Konfigurieren des Echtzeitscans

 

Gilt für: Forefront Protection for Exchange

Letzte Änderung des Themas: 2010-09-21

Es gibt verschiedene Konfigurationseinstellungen, die Sie für Echtzeitscans anpassen können, um die Anforderungen der Umgebung zu erfüllen. Dazu gehört das Auswählen der Anzahl der Scanmodule, die für jeden Scan verwendet werden soll, das Festlegen der bei Erkennen von Malware zu ergreifenden Maßnahmen und die Angabe, ob verdächtige Dateien unter Quarantäne gestellt werden sollen.

So konfigurieren Sie den Echtzeitscan
  1. Klicken Sie in Forefront Protection 2010 für Exchange Server Administrator Console auf Richtlinienverwaltung, und klicken Sie unter Antimalware auf Postfach - Echtzeit.

  2. Konfigurieren Sie im Bereich Antimalware - Postfach Echtzeit unter dem Abschnitt Allgemeine Einstellungen die folgenden Einstellungen:

    1. Echtzeitantivirenscan aktivieren – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen, um den Echtzeitvirenscan zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig aktiviert.

    2. Echtzeitantivirenscan aktivieren – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen, um den Echtzeitspywarescan zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig aktiviert.

  3. Wählen Sie im Bereich Antimalware - Postfach Echtzeit unter dem Abschnitt Module und Leistung die Anzahl der Scanmodule aus, die für diesen Scan verwendet werden sollen. Weitere Informationen finden Sie unter Konfigurieren der Anzahl der für jeden Scan verwendeten Scanmodule.

  4. Konfigurieren Sie im Bereich Antimalware - Postfach Echtzeit unter dem Abschnitt Scanaktionen die folgenden Einstellungen:

    1. Aktion – Wählen Sie die Aktion aus, die bei Erkennen eines Virus oder von Spyware ausgeführt werden soll. Für Viruserkennungen können Sie Erkennung überspringen, Bereinigen (Standard) und Löschen auswählen. Für Spywareerkennungen können Sie Erkennung überspringen, Löschen (Standard) und Entfernen auswählen. Weitere Informationen finden Sie unter Konfigurieren der beim Erkennen von Malware auszuführenden Aktion.

    2. Quarantänedateien – Aktivieren oder deaktivieren Sie mithilfe der Dropdownliste (durch Auswählen von Ja bzw. von Nein) das Speichern von infizierten Dateien, die von den Dateiscanmodulen erkannt wurden. Die Quarantäne ist standardmäßig aktiviert. Durch das Aktivieren der Quarantäne werden gelöschte Anlagen und entfernte Nachrichten an einem Ort gespeichert, an dem sie wiederhergestellt werden können. Entfernte wurminfizierte Nachrichten können jedoch nicht wiederhergestellt werden. Weitere Informationen zur Quarantäne finden Sie unter Anzeigen und Verwalten von Quarantäne.

    3. Text für Malwarelöschung bearbeiten – Sie können Text für das Löschen angeben, durch den der Inhalt einer infizierten Datei während eines Löschvorgangs ersetzt wird. Wenn Sie den Standardtext für Löschen beibehalten, werden Sie informiert, dass eine infizierte Datei entfernt wurde, und es wird angegeben, um welche Datei und welche Malware es sich gehandelt hat. Klicken Sie zum Ändern des standardmäßigen Text für das Löschen auf Text für Malwarelöschung bearbeiten, nehmen Sie Änderungen am Text für das Löschen im Dialogfeld Text für Malwarelöschung bearbeiten vor, und klicken Sie anschließend auf Übernehmen und Schließen, um zum Bereich Antimalware - Postfach Echtzeit zurückzukehren.

      HinweisHinweis:
      FPE enthält Schlüsselwörter, die Sie unter "Text für das Löschen" verwenden können, um Informationen aus der Nachricht abzurufen, in der die Infektion aufgetreten ist. Klicken Sie zum Verwenden der Schlüsselwörter im Dialogfeld Text für Malwarelöschung bearbeiten mit der rechten Maustaste, wählen Sie Feld einfügen und anschließend das gewünschte Makro aus. Weitere Informationen zu dieser Funktion finden Sie unter Schlüsselwortersetzungsmakros.
  5. Klicken Sie auf Speichern.

Sie können die folgenden zusätzlichen Einstellungen unter dem Abschnitt Zusätzliche Optionen des Bereichs Antimalware - Postfach Echtzeit konfigurieren. Klicken Sie auf Speichern, nachdem Sie alle Änderungen an den Einstellungen vorgenommen haben.

  • DOC-Dateien als Container scannen – Konfiguriert den Echtzeitscan so, dass Dateien gescannt werden, die strukturierten Speicher und das OLE-eingebettete Dateiformat (beispielsweise DOC, XLS, PPT oder SHS) als Containerdateien verwenden. Dadurch wird sichergestellt, dass eingebettete Dateien als potenzielle Träger von Malware gescannt werden. Diese Einstellung ist standardmäßig deaktiviert.

  • Nachrichtentext scannen – Konfiguriert den Echtzeitscan so, dass Nachrichtentexte sowie Anlagen gescannt werden. Das Scannen von Nachrichtentexten ist standardmäßig deaktiviert, da dadurch die für einen Scan erforderliche Zeit verlängert wird.

  • Nach Modulupdate scannen – Konfiguriert den Echtzeitscan so, dass zuvor gescannte Nachrichten erneut gescannt werden, wenn nach einem Modul- oder Definitionsupdate darauf zugegriffen wird.

    Diese Einstellung ist standardmäßig deaktiviert. Wenn die Einstellung aktiviert wird, steht ein höherer Sicherheitsschutz des Informationsspeichers zur Verfügung, da bereits gescannte Nachrichten erneut gescannt werden. Nachrichten werden beim ersten Zugriffsscanereignis und bei jedem weiteren Zugriffsscanereignis erneut gescannt, falls seit dem letzten Scannen der Nachricht neue Updates empfangen wurden.

    VorsichtVorsicht:
    Wenn die Option ausgewählt ist, wird der Exchange-Server möglicherweise häufiger auf Malware durchsucht. Dies wirkt sich möglicherweise auf die Serverleistung aus. Zudem wird durch automatisches Aktivieren der Einstellung auch proaktives Scannen aktiviert. Weitere Informationen finden Sie unter Aktivieren von proaktivem Scannen.
    HinweisHinweis:
    Nachrichten, die von im Cachemodus ausgeführten Clients von Microsoft Office Outlook 2003 oder Microsoft Office Outlook 2007 abgerufen werden, erzeugen nur dann ein Zugriffsscanereignis, wenn sie ursprünglich mit dem Client synchronisiert wurden. Sie werden nicht erneut auf dem Server gescannt, wenn auf dem lokalen Client auf die Nachricht zugegriffen und sie aus dem Cache abgerufen wird. Zum erneuten Scannen bereits abgerufener Nachrichten muss diese Einstellung aktiviert werden. Wird beim Echtzeitscan in einer Nachricht Malware erkannt und die Nachricht daraufhin bereinigt oder entfernt, wird die bereits abgerufene infizierte Nachricht bei der erneuten Synchronisierung des Outlook-Clients mit dem Server ebenfalls bereinigt oder entfernt.
  • Malwarebenachrichtigungen unterdrücken – Unterdrückt die Benachrichtigungen Virus gefunden, Spyware gefunden und Wurm gefunden auch, wenn diese Benachrichtigungen aktiviert sind. Diese Einstellung ist standardmäßig deaktiviert.

  • Anzahl der Vorgänge – Konfiguriert die Anzahl der Prozesse, die pro Postfachserver ausgeführt werden sollen. Der Standardwert ist 4 (maximaler Wert 10).

    Bei Ausführung mehrerer Echtzeitprozesse wird die Datei im ersten Prozess gescannt, sofern der Prozess nicht ausgelastet ist. In diesem Fall wird die Datei zum Scannen an den zweiten Prozess übergeben. Wenn der zweite Prozess ausgelastet und ein dritter aktiviert ist, wird die Datei im dritten Prozess gescannt. Dateien werden von FPE an den ersten Prozess übergeben, sofern dieser verfügbar ist.

    Die Ausführung mehrerer Prozesse erhöht die Belastung des Servers beim Starten. Dies gilt, wenn die Prozesse geladen werden und wenn sie zum Scannen einer Datei aufgerufen werden. Mehr als die Standardanzahl von Prozessen sollte nicht notwendig sein, außer in Umgebungen hohen Volumen. Da durch das Erhöhen der Anzahl von Prozessen zusätzliche Serverressourcen belegt werden, wird empfohlen, sie einzeln zu vergrößern und die Leistung schrittweise zu bewerten.

    Es wird empfohlen, dass die Anzahl der Echtzeitprozesse die der effektiven Prozessoren auf dem Server um das Doppelte übersteigt. Beispielsweise sollte für einen Server mit zwei Prozessoren oder einem Dual Core-Server mit einem Prozessor die Anzahl der Echtzeitprozesse auf den Standardwert "4" festzulegen. Enthält der Server zwei Prozessoren, bei denen es sich jeweils um einen Dual Core-Prozessor handelt, ist die empfohlene Einstellung "8".

    WichtigWichtig:
    Der Microsoft Exchange-Informationsspeicherdienst muss beendet und anschließend gestartet werden, damit Änderungen an der Einstellung wirksam werden. Verwenden Sie nicht die Neustartfunktion.
  • Scantimeout (Sekunden) – Konfiguriert die Dauer in Sekunden, mit der eine Datei bis zur Zeitüberschreitung gescannt wird. Der Standardwert beträgt 150 Sekunden.

    Falls beim Echtzeitscan die angegebene Zeit für das Scannen einer Nachricht überschritten wird, wird der Prozess beendet, und der Dienst wird von FPE neu gestartet. Bei Erfolg wird der Echtzeitscan fortgesetzt, und es wird eine Benachrichtigung an den Administrator gesendet, die angibt, dass der Echtzeitscan die zugeteilte Scanzeit überschritten hat und wiederhergestellt wurde.

    Beim Starten des neuen Echtzeitscanvorgangs wird die Nachricht, durch die der Abbruch verursacht wurde, erneut gemäß der Einstellung Aktion bei Scanzeitüberschreitung verarbeitet. Wenn diese Einstellung z. B. auf Löschen festgelegt ist, wird die Datei von FPE gelöscht. Anschließend wird der Inhalt durch den Text für das Löschen für den Echtzeitscan ersetzt, ein Vorfall vom Typ "ExceededRealtimeTimeout" protokolliert und die Datei unter Quarantäne gestellt und archiviert.

    Wenn der Vorgang nicht neu gestartet werden kann, wird der Administrator darüber benachrichtigt, dass der Echtzeitscan beendet wurde. In diesem Fall funktioniert der Echtzeitscan für diese spezielle Speichergruppe nicht mehr, doch der Informationsspeicher wird nicht beendet.

    WichtigWichtig:
    Der Microsoft Exchange-Informationsspeicherdienst muss beendet und anschließend gestartet werden, damit Änderungen an der Einstellung wirksam werden. Verwenden Sie nicht die Neustartfunktion.
  • Aktion bei Scantimeout – Konfiguriert, welche Aktion auszuführen ist, wenn für den Echtzeitscan beim Scannen einer Datei eine Zeitüberschreitung eintritt. Folgende Optionen stehen zur Auswahl:

    • Ignorieren – Die Datei wird weitergeleitet, ohne gescannt zu werden.

    • Erkennung überspringen – Gibt im Vorfall- und im Programmprotokoll an, dass die Scanzeit von der Datei überschritten und sie ohne Scannvorgang übergeben wurde.

    • Löschen – Das Ereignis wird gemeldet, und der Dateiinhalt wird durch den Text für das Löschen ersetzt. Der Standardwert ist Löschen.

    HinweisHinweis:
    Wenn Aktion bei Scanzeitüberschreitung auf Erkennung überspringen oder Löschen festgelegt und die Quarantäne aktiviert ist, wird eine Kopie der Datei in der Datenbank gespeichert.
  • Maximale Containerscanzeit (Sekunden) – Konfiguriert die Dauer in Sekunden, mit der eine komprimierte Anlage gescannt wird, bevor ein Vorfall vom Typ "ScanTimeExceeded" gemeldet wird. Diese Option soll Denial-of-Service aufgrund von Zip-of-Death-Angriffen verhindern. Der Standardwert beträgt 120 Sekunden.

Sie können FPE so konfigurieren, dass der Echtzeitscan aller E-Mails umgangen wird. Wenn Sie FPE für die Umgehung des Echtzeitscans konfigurieren, wird im Echtzeitscanauftrag kein Malwarescanning oder -filterung ausgeführt.

WichtigWichtig:
Die Umgehung des Echzeitscans sollte nur zur Problembehandlung und unter der Anleitung eines Mitarbeiters des Kundenservice und -supports (CSS) verwendet werden. Wenn die Einstellung aktiviert ist (standardmäßig deaktiviert), bietet der Echtzeitscan keinen Schutz vor Malware, und alle E-Mails werden als "Sauber" markiert.
So umgehen Sie Echtzeitscans
  1. Klicken Sie in Forefront Protection 2010 für Exchange Server Administrator Console auf Richtlinieneinstellungen, und klicken Sie unter Globale Einstellungen auf Scanoptionen.

  2. Aktivieren Sie im Bereich Globale Einstellungen - Scanoptionen unter dem Abschnitt Scanziele - Echtzeit das Kontrollkästchen Scanumgehung aktivieren.

  3. Klicken Sie auf Speichern.

WichtigWichtig:
Wenn Sie nach der Problembehandlung den Malwareschutz wiederherstellen möchten, müssen die Scanvorgänge durch Deaktivieren der Umgehung wiederhergestellt werden. Deaktivieren Sie dazu das Kontrollkästchen Scanumgehung aktivieren, und klicken Sie anschließend auf Speichern. Wenn der Scan für einen gewissen Zeitraum umgangen wurde, wird empfohlen, einen vollständigen geplanten Scan auszuführen, um nach Malware zu suchen, die möglicherweise umgangen wurden.
 
Anzeigen: