Konfigurieren des Echtzeitscans

 

Gilt für: Forefront Protection 2010 for SharePoint

Letzte Änderung des Themas: 2010-02-08

Es gibt verschiedene Konfigurationseinstellungen, die Sie für die Echtzeitscans von Microsoft Forefront Protection 2010 für SharePoint (FPSP) anpassen können, um die Anforderungen der Umgebung zu erfüllen. Dazu gehört das Auswählen der Anzahl der Scanmodule, die für jeden Scan verwendet werden soll, das Festlegen der bei Erkennen von Malware zu ergreifenden Maßnahmen und die Angabe, ob verdächtige Dateien unter Quarantäne gestellt werden sollen.

So konfigurieren Sie den Echtzeitscan
  1. Klicken Sie in der Forefront Protection 2010 für SharePoint Administrator Console auf Richtlinienverwaltung, und klicken Sie unter Antimalware auf Echtzeit.

  2. Konfigurieren Sie im Bereich Antimalware - Echtzeit im Abschnitt Allgemeine Optionen die folgenden Einstellungen:

    1. Echtzeitantivirenscan aktivieren – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen, um den Echtzeitvirenscan zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig aktiviert.

    2. Echtzeitantivirenscan aktivieren – Aktivieren oder deaktivieren Sie dieses Kontrollkästchen, um den Echtzeitspywarescan zu aktivieren oder zu deaktivieren. Diese Einstellung ist standardmäßig aktiviert.

  3. Konfigurieren Sie im Bereich Antimalware - Echtzeit im Abschnitt Module und Leistung die Anzahl der Scanmodule, die für diesen Scan verwendet werden sollen. Weitere Informationen finden Sie unter Konfigurieren der Anzahl der für jeden Scan verwendeten Scanmodule.

  4. Konfigurieren Sie im Bereich Antimalware - Echtzeit im Abschnitt Scanaktionen die folgenden Einstellungen:

    1. Aktion – Wählen Sie die Aktion aus, die bei Erkennen eines Virus oder von Spyware ausgeführt werden soll. Weitere Informationen finden Sie unter Konfigurieren der beim Erkennen von Malware auszuführenden Aktion.

    2. Quarantänedateien – Aktivieren oder deaktivieren Sie mithilfe der Dropdownliste (durch Auswählen von Ja bzw. von Nein) das Speichern von infizierten Dateien, die von den Dateiscanmodulen erkannt wurden. Die Quarantäne ist standardmäßig aktiviert. Durch das Aktivieren der Quarantäne werden gelöschte Dateien an einem sicheren Ort gespeichert, an dem sie wiederhergestellt werden können. Weitere Informationen zur Quarantäne finden Sie unter Anzeigen und Verwalten von Quarantäne.

    3. Text für Malwarelöschung bearbeiten – Sie können Text für das Löschen angeben, durch den der Inhalt einer infizierten Datei während eines Löschvorgangs ersetzt wird. Wenn Sie den Standardtext für Löschen beibehalten, werden Sie informiert, dass eine infizierte Datei entfernt wurde, und es wird angegeben, um welche Datei und welche Malware es sich gehandelt hat. Klicken Sie zum Ändern des standardmäßigen Texts auf Löschungstext bearbeiten, nehmen Sie im Dialogfeld Text für Malwarelöschung bearbeiten die entsprechenden Änderungen vor, und klicken Sie anschließend auf OK, um zum Bereich Antimalware - Echtzeit zurückzukehren.

      HinweisHinweis:
      FPSP enthält Schlüsselwörter, die Sie unter "Text für das Löschen" verwenden können, um Informationen aus der Nachricht abzurufen, in der die Infektion aufgetreten ist. Klicken Sie zum Verwenden der Schlüsselwörter mit der rechten Maustaste in das Dialogfeld Löschungstext für Malware, und wählen Sie Feld einfügen und anschließend das gewünschte Makro aus. Weitere Informationen zu dieser Funktion finden Sie unter Schlüsselwortersetzungsmakros.
  5. Im Bereich Antimalware - Echtzeit können Sie im Abschnitt Antivireneinstellungen für SharePoint optional verschiedene andere Einstellungen über die zentrale SharePoint-Verwaltung ändern. Dazu zählen das Scannen von Dokumenten beim Hoch- bzw. Herunterladen, Benutzern das Herunterladen von infizierten Dokumenten zu ermöglichen und der Wert der Zeitüberschreitung für Echtzeitscans. Weitere Informationen finden Sie unter Konfigurieren anderer Einstellungen über SharePoint-Zentraladministration.

  6. Klicken Sie auf Speichern.

Sie können die folgenden zusätzlichen Einstellungen unter dem Abschnitt Zusätzliche Optionen des Bereichs Antimalware - Echtzeit konfigurieren. Klicken Sie auf Speichern, nachdem Sie alle Änderungen an den Einstellungen vorgenommen haben.

  • DOC-Dateien als Container scannen – Konfiguriert den Echtzeitscan so, dass Dateien gescannt werden, die strukturierten Speicher und das OLE-eingebettete Dateiformat (beispielsweise DOC, XLS, PPT oder SHS) als Containerdateien verwenden. Dadurch wird sichergestellt, dass eingebettete Dateien als potenzielle Träger von Malware gescannt werden. Diese Einstellung ist standardmäßig aktiviert.

  • Nach Modulupdate scannen – Konfiguriert den Echtzeitscan so, dass zuvor gescannte Dateien erneut gescannt werden, wenn nach einem Modulupdate darauf zugegriffen wird.

    Diese Einstellung ist standardmäßig deaktiviert. Wenn die Einstellung aktiviert wird, steht ein höherer Sicherheitsschutz zur Verfügung, da bereits gescannte Dateien erneut gescannt werden. Dateien werden beim ersten Zugriffsscanereignis und bei jedem weiteren Zugriffsscanereignis erneut gescannt, falls seit dem letzten Scannen der Datei neue Moduldefinitionsupdates empfangen wurden.

    HinweisHinweis:
    Wenn die Option ausgewählt ist, wird der SharePoint-Server möglicherweise häufiger auf Malware durchsucht. Dies wirkt sich möglicherweise auf die Serverleistung aus.
    TippTipp:
    Während eines „Virenausbruchsszenarios“ empfehlen wir Ihnen, die Einstellung Nach Modulupdate scannen zu aktivieren. Wenn diese Einstellung aktiviert ist, werden die Dateien nach jedem Modulupdate erneut gescannt, wenn ein Zugriff darauf erfolgt. Auf diese Weise erhalten Sie das höchste Maß an Schutz, da die Dateien stets mit den allerneuesten Definitionen geprüft werden. Deaktivieren Sie diese Einstellung wieder, wenn das Ausbruchsszenario vorbei ist.
    Normalerweise sollte diese Einstellung nicht aktiviert sein, aber wenn Ihr Server über sehr viel freie Kapazität verfügt und die Arbeitsgeschwindigkeit der Benutzer durch das Scannen nicht beeinträchtigt wird, können Sie mit dieser Einstellung für maximale Sicherheit sorgen. Beachten Sie jedoch, dass das Aktivieren dieser Einstellung einen Server ohne freie Kapazitäten stark ausbremsen kann, da die Zahl der durchzuführenden Scanvorgänge beträchtlich steigt.
  • Malwarebenachrichtigungen unterdrücken – Unterdrückt die Benachrichtigungen Virus gefunden und Spyware gefunden auch dann, wenn diese Benachrichtigungen aktiviert sind. Diese Einstellung ist standardmäßig deaktiviert.

  • Anzahl der Vorgänge – Konfiguriert die Anzahl der Prozesse, die pro Web-Front-End-Server ausgeführt werden sollen. Der Standardwert ist 4 (maximaler Wert 10).

    Bei Ausführung mehrerer Echtzeitprozesse wird die Datei im ersten Prozess gescannt, sofern der Prozess nicht ausgelastet ist. In diesem Fall wird die Datei zum Scannen an den zweiten Prozess übergeben. Wenn der zweite Prozess ausgelastet und ein dritter aktiviert ist, wird die Datei im dritten Prozess gescannt. Wenn dem Server keine freien Scanvorgänge mehr zur Verfügung stehen, wird ein Scan in die Warteschlange gestellt, bis ein Scanvorgang verfügbar ist.

    Bei Systemen mit mehr als vier Prozessorkernen kann die Leistung gesteigert werden, indem die Anzahl der Vorgänge auf die Gesamtanzahl der verfügbaren CPU-Kerne erhöht wird. Jeder zusätzliche Vorgang benötigt zusätzliche Systemressourcen. Beachten Sie beim Erhöhen dieser Einstellung die Ressourcenauslastung und die Leistung, bevor Sie weitere Änderungen vornehmen.

    WichtigWichtig:
    Beenden und starten Sie anschließend den Microsoft Forefront Server Security-Controller- und WWW-Publishingdienst, damit die Änderungen an dieser Einstellung wirksam werden.
  • Maximale Containerscanzeit (Sekunden) – Konfiguriert die Dauer in Sekunden, mit der eine komprimierte Datei gescannt wird, bevor ein Vorfall vom Typ "ScanTimeExceeded" gemeldet wird. Diese Option soll Denial-of-Service aufgrund von Zip-of-Death-Angriffen verhindern. Der Standardwert ist 120 Sekunden (2 Minuten).


Sie können FPSP so konfigurieren, dass der Echtzeitscan aller SharePoint-Dateien umgangen wird. Wenn Sie FPSP für die Umgehung des Echtzeitscans konfigurieren, wird im Echtzeitscanauftrag kein Malwarescanning oder -filterung ausgeführt.

WichtigWichtig:
Die Umgehung des Echzeitscans sollte nur zur Problembehandlung und unter der Anleitung eines Mitarbeiters des Kundenservice und -supports (CSS) verwendet werden. Wenn die Einstellung aktiviert ist (standardmäßig deaktiviert), bietet der Echtzeitscan keinen Schutz vor Malware, und alle E-Mails werden als "Sauber" markiert.
So umgehen Sie Echtzeitscans
  1. Klicken Sie in der Forefront Protection 2010 für SharePoint Administrator Console auf Richtlinieneinstellungen, und klicken Sie unter Globale Einstellungen auf Scanoptionen.

  2. Aktivieren Sie im Bereich Globale Einstellungen - Scanoptionen unter dem Abschnitt Echtzeitscan das Kontrollkästchen Echtzeitscan umgehen.

  3. Klicken Sie auf Speichern.

WichtigWichtig:
Wenn Sie nach der Problembehandlung den Malwareschutz wiederherstellen möchten, müssen die Scanvorgänge durch Deaktivieren der Umgehung wiederhergestellt werden. Deaktivieren Sie dazu das Kontrollkästchen Scan umgehen, und klicken Sie anschließend auf Speichern. Wenn der Scan für einen gewissen Zeitraum umgangen wurde, wird empfohlen, einen vollständigen geplanten Scan auszuführen, um nach Malware zu suchen, die möglicherweise umgangen wurden.
 
Anzeigen: