FSOCS Forefront Server Security Administrator

 

Gilt für: Forefront Security for Office Communications Server

Letzte Änderung des Themas: 2009-01-06

Mit Forefront Server Security Administrator kann Microsoft Forefront Security for Office Communications Server (FSOCS) lokal oder remote konfiguriert und ausgeführt werden. Auf dem Computer, der mit Forefront Server Security Administrator verbunden ist, müssen FSCController und die Front-End-Dienste von Office Communications Server (RtcSrv) ausgeführt werden, um Forefront Server Security Administrator erfolgreich zu starten. Wenn Sie Forefront Server Security Administrator starten, ohne dass diese Dienste ausgeführt werden, wird eine Fehlermeldung angezeigt.

Da es sich bei Forefront Server Security Administrator um das Front-End der FSOCS-Software handelt, kann es gestartet und geschlossen werden, ohne dass dadurch die von den FSOCS-Diensten ausgeführten Back-End-Prozesse beeinträchtigt werden. Forefront Server Security Administrator kann auch im schreibgeschützten Modus ausgeführt werden. Dadurch können auch Benutzer auf die Anwendung zugreifen, die nicht zum Ändern von Einstellungen oder zum Ausführen von Aufträgen berechtigt sind, möglicherweise jedoch über die Benutzeroberfläche bereitgestellte Informationen benötigen.

HinweisHinweis:
Verwenden Sie Forefront Server Security Administrator nicht mit Vorgängerversionen des Produkts (Sybari Antigen für IM).

Aufgrund der Standardsicherheitseinstellungen in Windows XP Service Pack 2 (SP2) und Windows Server 2003 SP2 müssen Sie zuerst das Administratorkonto aktivieren, bevor Sie Forefront Server Security Administrator auf diesen Betriebssystemen verwenden können.

So aktivieren Sie Forefront Server Security Administrator unter Windows XP SP2
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dcomcnfg ein.

  2. Erweitern Sie im Dialogfeld Komponentendienste die Elemente Komponentendienste und Computer, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte COM-Sicherheit unter Zugriffsberechtigungen auf Limits bearbeiten, und aktivieren Sie für den Benutzer ANONYMOUS-ANMELDUNG bei Remotezugriff das Kontrollkästchen Zulassen.

  4. Fügen Sie in der Liste der Windows-Firewallausnahmen die Anwendung Forefront Server Security Administrator wie folgt hinzu:

    1. Öffnen Sie die Systemsteuerung, und doppelklicken Sie auf Sicherheitscenter.

    2. Klicken Sie auf Windows-Firewall.

    3. Klicken Sie im Dialogfeld Windows-Firewall auf der Registerkarte Ausnahmen auf Programm hinzufügen. Klicken Sie in der Liste auf FSSAClient und anschließend auf OK. Damit wird Forefront Server Security Administrator der Liste Programme und Dienste hinzugefügt.

    4. Klicken Sie in der Liste Programme und Dienste auf FSSAClient.

    5. Klicken Sie auf Port hinzufügen, geben Sie einen Namen für den Port ein, geben Sie 135 als Portnummer ein, und wählen Sie TCP als Protokoll aus.

    6. Klicken Sie auf OK.

HinweisHinweis:
Wenn Sie Port 135 nicht für alle Computer öffnen möchten, können Sie den Zugriff auch auf die Server beschränken, auf denen FSOCS ausgeführt wird. Klicken Sie dazu beim Hinzufügen von Port 135 auf Bereich ändern, und wählen Sie Benutzerdefinierte Liste aus. Geben Sie die IP-Adressen aller Forefront-Server ein, denen der Zugriff über Port 135 ermöglicht werden soll.
So aktivieren Sie Forefront Server Security Administrator unter Windows Server 2003 SP2
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dcomcnfg ein.

  2. Erweitern Sie im Dialogfeld Komponentendienste im Konsolenstamm die Elemente Komponentendienste und Computer, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie im Dialogfeld Eigenschaften auf der Registerkarte COM-Sicherheit unter Zugriffsberechtigungen auf Limits bearbeiten, und fügen Sie dann das Konto ANONYMOUS-ANMELDUNG hinzu.

  4. Aktivieren Sie für den Benutzer ANONYMOUS-ANMELDUNG bei Remotezugriff das Kontrollkästchen Zulassen.

Forefront Server Security Administrator kann über das Startmenü oder über eine Eingabeaufforderung gestartet werden.

So starten Sie Forefront Server Security Administrator vom Startmenü aus
  • Klicken Sie auf Start, und zeigen Sie auf Alle Programme. Zeigen Sie dann auf den Ordner Microsoft Forefront Server Security, anschließend auf den Ordner Office Communications Server, und klicken Sie auf Forefront Server Security Administrator.

So starten Sie Forefront Server Security Administrator von einer Eingabeaufforderung aus
  1. Öffnen Sie eine Eingabeaufforderung.

  2. Navigieren Sie zum FSOCS-Installationsverzeichnis. Der Standardspeicherort lautet folgendermaßen:

    C:\Programme\Microsoft Forefront Security\Office Communications Server

  3. Geben Sie FSSAclient.exe ein, und drücken Sie die EINGABETASTE.

Wenn Sie Forefront Server Security Administrator das erste Mal starten, werden Sie aufgefordert, eine Verbindung zum OCS 2007- oder OCS 2007 R2-Server auf dem lokalen Computer herzustellen. Sie können die Verbindung mit dem lokalen Server über den Servernamen oder einen lokalen Alias herstellen.

Forefront Server Security Administrator kann mit einem OCS 2007- oder OCS 2007 R2-Remoteserver mit FSOCS verbunden werden. Dadurch können Administratoren eine einzige Installation von Forefront Server Security Administrator verwenden, um FSOCS im gesamten Netzwerk zu konfigurieren und zu steuern.

Um eine Verbindung mit einem Remoteserver herzustellen, klicken Sie bei Anzeige des Dialogfelds Server auf die Schaltfläche Durchsuchen, oder geben Sie Servername, IP-Adresse oder den DNS-Namen (Domain Name System) des Remoteservers an.

HinweisHinweis:
Aufgrund der erweiterten Sicherheitseinstellungen in Windows Server 2003 Service Pack 1 (SP1) müssen bei der Installation von FSOCS auf einem Server mit Windows Server 2003 SP1 ggf. die DCOM-Einstellungen aktualisiert werden, um einen Remotezugriff zu ermöglichen. Remoteadministratoren müssen berechtigt sein, Remotestarts und Remoteaktivierungen durchzuführen.
Da sowohl bei einer Installation von Forefront Server Security Administrator als auch bei der vollen Produktinstallation Zugriffssteuerungslisten (Access Control Lists, ACLs) im Installationsordner von FSOCS installiert werden, muss ein Remoteadministrator nicht nur auf den lokalen Installationsordner und Registrierungsschlüssel zugreifen können, sondern auch auf den Server, mit dem eine Verbindung hergestellt werden soll.
Wenn beim Herstellen einer Verbindung zwischen Forefront Server Security Administrator und dem OCS-Server Probleme auftreten, können Sie die Verfügbarkeit des Servers mit dem PING-Befehl überprüfen. Wenn der Server verfügbar ist, sollten Sie sicherstellen, dass keine andere Instanz von Forefront Server Security Administrator damit verbunden ist.

Sie können eine Verbindung zwischen Forefront Server Security Administrator und einem anderen Server herstellen.

So stellen Sie eine Verbindung mit einem anderen Server her
  1. Klicken Sie im Menü Datei von Forefront Server Security Administrator auf den Befehl Öffnen.

  2. Führen Sie im Dialogfeld Verbindung zu Server herstellen einen der folgenden Schritte durch:

    • Geben Sie den Namen eines anderen Servers ein, auf dem FSOCS ausgeführt wird.

    • Wählen Sie in der Dropdownliste einen Server aus, mit dem Sie zuvor bereits eine Verbindung hergestellt haben.

    • Klicken Sie auf Durchsuchen, um eine Verbindung mit einem neuen Server herzustellen.

HinweisHinweis:
Sie können auch die Liste Server verwenden, die sich oben im Dialogfeld von Forefront Server Security Administrator befindet, um schnell eine Verbindung mit einem Server wiederherzustellen.

Forefront Server Security Administrator kann auch im schreibgeschützten Modus ausgeführt werden. Dazu müssen die Berechtigungen für das NTFS-Dateisystem im FSOCS-Datenbankverzeichnis vom Administrator geändert werden, damit Benutzern mit Berechtigung zum Ändern von FSOCS-Einstellungen der Zugriff für das Bearbeiten gewährt wird. In der Standardeinstellung befindet sich das Datenbankverzeichnis an folgendem Speicherort:

C:\Programme\Microsoft Forefront Security\Office Communications Server\Data

So konfigurieren Sie schreibgeschützten Zugriff
  1. Navigieren Sie in Windows Explorer zum folgenden Speicherort:C:\Programme\Microsoft Forefront Security\Office Communications Server\

  2. Klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie dann auf Eigenschaften.

  3. Fügen Sie auf der Seite Eigenschaften auf der Registerkarte Sicherheit einen neuen Benutzer oder eine neue Gruppe für den schreibgeschützten Zugriff hinzu.

  4. Deaktivieren Sie unter Zulassen alle Kontrollkästchen mit Ausnahme von Lesen& Ausführen, klicken Sie auf Speichern, und schließen Sie die Seite Eigenschaften.

  5. Öffnen Sie die Registrierung, und navigieren Sie zum Registrierungsschlüssel Forefront Server Security an folgendem Speicherort:

    HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server

  6. Klicken Sie mit der rechten Maustaste auf den Schlüssel, und klicken Sie dann auf Berechtigungen.

  7. Fügen Sie den Benutzer oder die Gruppe hinzu, der Sie schreibgeschützten Zugriff gewähren möchten.

  8. Deaktivieren Sie unter Zulassen alle Kontrollkästchen mit Ausnahme von Lesen (Spezielle Berechtigungen kann ggf. auch aktiviert bleiben).

  9. Navigieren Sie zum Registrierungsschlüssel Administrator am selben HKLM-Speicherort.

  10. Klicken Sie mit der rechten Maustaste auf den Registrierungsschlüssel Administrator, und klicken Sie dann auf Berechtigungen.

  11. Fügen Sie den Benutzer oder die Gruppe hinzu, der Sie schreibgeschützten Zugriff gewähren möchten.

  12. Aktivieren Sie das Kontrollkästchen Vollzugriff, und schließen Sie den Registrierungs-Editor.

  13. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dcomcnfg ein.

  14. Erweitern Sie im Dialogfeld Komponentendienste im Konsolenstamm die Elemente Komponentendienste, Computer, Arbeitsplatz und anschließend Eigenschaften.

  15. Klicken Sie mit der rechten Maustaste auf DCOM-Konfiguration, und klicken Sie dann auf Eigenschaften.

  16. Klicken Sie im Dialogfeld Eigenschaften auf der Registerkarte Sicherheit im Abschnitt Start- und Aktivierungsberechtigungen auf die Schaltfläche Bearbeiten.

  17. Fügen Sie den Benutzer oder die Gruppe für den schreibgeschützten Zugriff hinzu, aktivieren Sie alle Kontrollkästchen für Zulassen, und klicken Sie auf OK.

  18. Klicken Sie im Abschnitt Zugriffsberechtigungen auf die Schaltfläche Bearbeiten.

  19. Fügen Sie den Benutzer oder die Gruppe für den schreibgeschützten Zugriff hinzu, aktivieren Sie alle Kontrollkästchen für Zulassen, und klicken Sie auf OK.

  20. Klicken Sie auf Speichern, und schließen Sie das Dialogfeld Eigenschaften.

Wenn ein Benutzer ohne Berechtigungen zum Bearbeiten den Administrator öffnet, sind darin keine Konfigurationsänderungen möglich.

HinweisHinweis:
  • Das Systemkonto und das Benutzerkonto für den RTCProxy-Dienst (wird bei der Installation angegeben) müssen über Vollzugriff für den Ordner Forefront Security for Office Communications Server verfügen, damit das Produkt ordnungsgemäß ausgeführt wird.

  • Wenn Sie unter Windows Server 2003 SP 1 einen Benutzer, der zur Administratorengruppe gehört, mit schreibgeschütztem Zugriff für FSOCS erstellen, wird der folgende Fehler angezeigt, wenn sich der Benutzer anmeldet und Forefront Server Security Administrator öffnen möchte: "FEHLER: Verbindung zum Dienst konnte nicht hergestellt werden. Ein Fehler wurde zurückgegeben. Pfad: CocreateInstanceEx.Fehler: Zugriff verweigert".

    Dieser Fehler wird durch eine Sicherheitserweiterung in Windows Server 2003 SP 1 verursacht. Gehen Sie wie folgt vor, um das Problem zu umgehen.

So umgehen Sie die Sicherheitserweiterung in Windows Server 2003 SP 1
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie DCOMCNFG ein.

  2. Erweitern Sie im Dialogfeld Komponentendienste die Elemente Komponentendienste, Computer, Arbeitsplatz und anschließend DCOM-Konfiguration.

  3. Klicken Sie mit der rechten Maustaste auf FSCController, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie im Dialogfeld FSCController-Eigenschaften auf der Registerkarte Sicherheit im Abschnitt Start- und Aktivierungsberechtigungen auf die Schaltfläche Bearbeiten.

  5. Fügen Sie Domänenbenutzer hinzu, und wählen Sie für Lokaler Start, Remotestart, Lokale Aktivierung und Remoteaktivierung die Option Zulassen aus.

  6. Klicken Sie in beiden Dialogfeldern auf OK.

Die Benutzeroberfläche von Forefront Server Security Administrator enthält links den Navigationsbereich und rechts die verschiedenen Bereiche.

Der Navigationsbereich ist wiederum in verschiedene Bereiche unterteilt, die Symbole enthalten, mit denen Sie auf die folgenden Bereiche zugreifen können:

  • EINSTELLUNGEN — Hier können Sie Scan-Aufträge, Antiviruseinstellungen, Scannerupdates, Vorlagen und allgemeine Optionen konfigurieren.

  • FILTERN — Hier können Sie Filterung nach Inhalten, nach Schlüsselwörtern, nach Dateien sowie Listen zulässiger Absender/Empfänger sowie Filterlisten konfigurieren.

  • BETRIEB — Hier können Sie Virenscan und Filteroptionen steuern.

  • BERICHT — Hier können Sie Benachrichtigungen konfigurieren, Vorfälle anzeigen und verwalten sowie unter Quarantäne gestellte Dateien anzeigen und verwalten.

Der Bereich Allgemeine Optionen, der im Abschnitt EINSTELLUNGEN des Navigationsbereichs aufgerufen werden kann, bietet Zugriff auf eine Reihe von Einstellungen der Systemebene für FSOCS. Diese Optionen sind in der Registrierung gespeichert. Im Bereich Allgemeine Optionen können diese Einstellungen geändert werden, ohne direkt auf die Systemregistrierung zugreifen zu müssen.

Obwohl viele Optionen über den Bereich Allgemeine Optionen gesteuert werden können, sollten Sie möglicherweise die für jede Option voreingestellte Standardeinstellung (Aktiviert, Deaktiviert oder Wert) für Ihr Unternehmen übernehmen. Diese Einstellungen müssen nur sehr selten geändert werden. Einige dieser Einstellungen wurden jedoch während der Installation eingegeben, und es ist möglich, dass Sie eine davon gelegentlich ändern müssen.

So greifen Sie auf Allgemeine Optionen zu: Klicken Sie im Navigationsbereich im Abschnitt EINSTELLUNGEN auf Allgemeine Optionen. Der Bereich Allgemeine Optionen wird geöffnet.

Der Bereich Allgemeine Optionen ist in mehrere Teilbereiche untergliedert: Diagnose, Protokollierung, Scanner-Updates, Scannen, Transport-Benachrichtigungsserver und IM-Benachrichtigungs-Agent.

In der folgenden Liste sind die Einstellungen im Abschnitt Diagnose des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Zusätzlich, IM

Zusätzliche Diagnosenachrichten werden für IM zu Programlog.txt hinzugefügt. Diese Option ist standardmäßig deaktiviert. . Funktioniert in Verbindung mit Forefront-Programmprotokoll aktivieren, einer allgemeinen Option im Abschnitt Protokollierung. Weitere Informationen über diese Einstellung finden Sie unter Im Programmprotokoll erfasste Daten.

Beim Start benachrichtigen

Gibt an, dass von FSOCS beim Start des Scanners automatisch eine Benachrichtigung an alle E-Mail-Adressen in der Virusadministratorenliste gesendet wird. Diese Option ist standardmäßig deaktiviert.

In der folgenden Liste sind die Einstellungen im Abschnitt Protokollierung des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Ereignisprotokoll aktivieren

Aktiviert das Protokollieren von FSOCS-Ereignissen im Ereignisprotokoll. Diese Option ist standardmäßig aktiviert.

Leistungsüberwachung und Statistik aktivieren

Aktiviert das Protokollieren von FSOCS-Leistungsstatistiken im Snap-In Systemmonitor. Diese Option ist standardmäßig aktiviert.

Forefront-Programmprotokoll aktivieren

Aktiviert das Forefront-Programmprotokoll (ProgramLog.txt). Diese Option ist standardmäßig aktiviert. Funktioniert in Verbindung mit Zusätzlich, IM, einer allgemeinen Option im Abschnitt Diagnose. Weitere Informationen über diese Einstellung finden Sie unter Im Programmprotokoll erfasste Daten.

Forefront-Virusprotokoll aktivieren

Aktiviert das Forefront-Virusprotokoll (VirusLog.txt). Diese Option ist standardmäßig deaktiviert.

Vorfallprotokollierung aktivieren

Aktiviert die Vorfallprotokollierung für den IM-Scan-Auftrag. Diese Option ist standardmäßig aktiviert. Bei Deaktivierung dieser Einstellung werden in den Unterbereich Auftrag ausführen des Bereichs BETRIEB oder in den Unterbereich Vorfälle des Bereichs BERICHTE keine Einträge geschrieben.

Max. Größe des Programmprotokolls

Gibt die maximale Größe des Programmprotokolls an. Die Größenangabe erfolgt in Kilobytes (KB). Die Mindestgröße beträgt 512 KB. Der Wert 0 (Standard) gibt an, dass keine Größenbegrenzung besteht. Der Standardwert ist 25600 KB.

Weitere Informationen zu den Protokolldateien und dem Snap-In Systemmonitor finden Sie unter FSOCS – Berichterstattung und Statistik.

In der folgenden Liste sind die Einstellungen im Abschnitt Scanner-Updates des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Neuverteilungsserver

Gibt an, dass dieser Server als zentraler Hub fungiert, um Scanner-Updates an andere Server zu verteilen. Diese Option ist standardmäßig deaktiviert. (Weitere Informationen finden Sie unter FSOCS – Aktualisieren des Dateiscanners.)

Updates beim Start ausführen

Gibt an, dass Module bei jedem Start von FSOCS automatisch aktualisiert werden. Diese Option ist standardmäßig deaktiviert.

Update-Benachrichtigung senden

Gibt an, dass nach jeder Aktualisierung eines Scanmoduls eine Benachrichtigung an den Virus-Administrator gesendet wird. Diese Option ist standardmäßig deaktiviert. (Weitere Informationen zum Einrichten von Benachrichtigungen an Administratoren finden Sie unter FSOCS – Ereignisbenachrichtigungen.)

Proxyeinstellungen verwenden

Gibt an, dass beim Abrufen von Antivirusscanner-Updates die Proxyeinstellungen verwendet werden sollen. Diese Option ist standardmäßig deaktiviert, sofern Sie nicht bei der Installation angegeben haben, dass Proxyeinstellungen verwendet werden sollen. (Weitere Informationen finden Sie unter "Aktualisieren des Dateiscanners über einen Proxy" im Kapitel FSOCS – Aktualisieren des Dateiscanners.)

UNC-Anmeldeinformationen verwenden

Gibt an, dass beim Abrufen von Antivirusscanner-Updates Anmeldeinformationen erforderlich sind, die der universellen Namensgebung (Universal Naming Convention, UNC) entsprechen. Diese Option ist standardmäßig deaktiviert. (Weitere Informationen finden Sie unter FSOCS – Aktualisieren des Dateiscanners.)

Name/IP-Adresse des Proxyservers

Der Name bzw. die IP-Adresse des Proxyservers. Diese Angabe ist erforderlich, wenn beim Abrufen von Antivirusscanner-Updates Proxyeinstellungen verwendet werden. Falls Sie bei der Installation angegeben haben, dass Proxyeinstellungen verwendet werden sollen, wird der dann eingegebene Wert für dieses Feld verwendet.

Proxyanschluss

Gibt die Portnummer des Proxyservers an. Diese Angabe ist erforderlich, wenn beim Abrufen von Antivirusscanner-Updates Proxyeinstellungen verwendet werden. Der Standardport ist 80. Falls Sie bei der Installation angegeben haben, dass Proxyeinstellungen verwendet werden sollen, wird der dann eingegebene Wert für dieses Feld verwendet.

Proxy-Benutzername

Der Name eines Benutzers mit Zugriffsrechten für den Proxyserver (falls erforderlich). Optionales Feld.

Proxy-Kennwort

Das entsprechende Kennwort für den Proxy-Benutzernamen (falls erforderlich). Optionales Feld.

UNC-Benutzername

Der Name eines Benutzers mit Zugriffsrechten für den UNC-Pfad (falls erforderlich). Optionales Feld.

UNC-Kennwort

Das entsprechende Kennwort für den UNC-Benutzernamen (falls erforderlich). Optionales Feld.

Weitere Informationen zum Aktualisieren von Scanmodulen finden Sie unter FSOCS – Aktualisieren des Dateiscanners.

In der folgenden Liste sind die Einstellungen im Abschnitt Scannen des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Beschädigte komprimierte Dateien löschen

Gibt an, ob beschädigte komprimierte Dateien gelöscht werden sollen. Eine beschädigte komprimierte Datei weist den Typ einer Archivdatei oder komprimierten Datei auf, erfüllt jedoch nicht den Standard dieses Typs. Bei diesen Dateien sind normalerweise die internen Header nicht ordnungsgemäß festgelegt, oder die Datei übersteigt die in FSOCS konfigurierte Größenbeschränkung.

Wenn eine beschädigte komprimierte Datei erkannt wird, meldet FSOCS diese als CorruptedCompressedFile-Virus. Diese Option ist standardmäßig aktiviert.

Die Quarantäne dieser Dateien wird durch die einzelnen Scan-Auftrageinstellungen bestimmt. In der Standardeinstellung werden als beschädigt erkannte Dateien unter Quarantäne gestellt. Sie können auch einen neuen Registrierungsschlüssel mit dem Namen QuarantineCorruptedCompressedFiles erstellen, um die Quarantäne für diese Dateitypen außer Kraft zu setzen. Die DWORD-Einstellung muss erstellt werden, und es muss der Wert 0 dafür festgelegt werden.

HinweisHinweis:
Neben CorruptedCompressedFile-Viren werden durch diese Einstellung auch die folgenden Dateitypen behandelt:
  • UnwritableCompressedFile — Ein Typ von beschädigter komprimierter Datei, deren Inhalt aufgrund der Beschädigung nicht ordnungsgemäß bearbeitet (bereinigt oder gelöscht) oder von den Scannern wieder ordnungsgemäß ins Archiv eingefügt werden kann.

  • UnReadableCompressedFile — Ein Typ von beschädigter komprimierter Datei, deren Inhalt aufgrund der Beschädigung nicht ordnungsgemäß aus dem Archiv gelesen werden kann.

Beschädigte UUEncode-Dateien löschen

Gibt an, ob beschädigte UUEncode-Dateien gelöscht werden sollen. Normalerweise wird eine UUEncoded-Datei, die von FSOCS nicht analysiert werden kann, als beschädigt angesehen. Diese Dateien werden von FSOCS als CorruptedCompressedUuencodeFile-Virus gemeldet. Diese Option ist standardmäßig aktiviert.

Verschlüsselte komprimierte Dateien löschen

Gibt an, ob eine verschlüsselte komprimierte Datei, die mindestens ein verschlüsseltes Element enthält, gelöscht wird (verschlüsselte Dateien können von Antivirusscanmodulen nicht gescannt werden). Diese Option ist standardmäßig deaktiviert. Diese Dateien werden von FSOCS als EncryptedCompressedFile-Virus gemeldet.

ZIP-Archive, die hochkomprimierte Dateien enthalten, als beschädigt komprimiert behandeln

Gibt an, ob ZIP-Archive, die hochkomprimierte Dateien enthalten, als beschädigt komprimiert gemeldet werden sollen. Wenn das Archiv als beschädigt komprimiert gemeldet wird und das Kontrollkästchen Beschädigte komprimierte Dateien löschen aktiviert ist, wird das Archiv gelöscht. Wenn das Kontrollkästchen Beschädigte komprimierte Dateien löschen deaktiviert ist, werden die Dateien im ZIP-Archiv an die Antivirusscanmodule übergeben, um in ihrer komprimierten Form gescannt zu werden. Das ZIP-Archiv selbst wird ebenfalls an die Antivirusscanmodule übergeben. Wird beim Scan keine Bedrohung gefunden, wird die Nachricht übermittelt. Kann eine Bedrohung bereinigt werden, wird die Nachricht übermittelt. Kann eine Bedrohung nicht bereinigt werden, wird die Nachricht gelöscht. Wenn die Datei mit einem unbekannten Algorithmus komprimiert ist, wird sie unabhängig von dieser Option als beschädigt komprimiert behandelt. Die Option ist standardmäßig aktiviert (das heißt, ZIP-Archive mit hochkomprimierten Dateien werden als beschädigt komprimiert behandelt).

Mehrteilige RAR-Archive als beschädigt komprimiert behandeln

Eine Datei in einem RAR-Archiv kann über mehrere Dateien oder Teile hinweg komprimiert werden (daher "mehrteilig"). So können sehr große Dateien zur einfacheren Dateiübertragung in kleinere Dateien aufgeteilt werden. Die Option gibt an, ob RAR-Archive mit solchen Bestandteilen als beschädigt komprimiert gemeldet werden.

Wenn Sie diese Option deaktivieren, können Sie solche Dateien empfangen. Allerdings wird in diesem Fall ein Virus, der über mehrere Volumes verteilt ist, möglicherweise nicht erkannt. Daher ist diese Einstellung standardmäßig aktiviert.

Wenn das Archiv als beschädigt komprimiert gemeldet wird und das Kontrollkästchen Beschädigte komprimierte Dateien löschen aktiviert ist, wird das Archiv gelöscht. Ist das Kontrollkästchen Beschädigte komprimierte Dateien löschen deaktiviert, wird nur das gesamte RAR-Archiv zum Scan an die Antivirusscanmodule übergeben. Wird beim Scan des Archivs keine Bedrohung gefunden, wird die Nachricht übermittelt. Wird eine Bedrohung gefunden und kann diese bereinigt werden, wird die Nachricht übermittelt. Wenn eine Bedrohung gefunden wird und nicht bereinigt werden kann, wird die Nachricht gelöscht. Diese Option ist standardmäßig aktiviert.

HinweisHinweis:
Wenn Sie in einem mehrteiligen RAR-Archiv Dateien komprimieren, die unkomprimiert 100 MB überschreiten, sollten Sie den Registrierungswert MaxUncompressedFileSize beachten. Weitere Informationen finden Sie unter FSOCS – Registrierungsschlüssel.

Verkettete Gzips als beschädigt und komprimiert behandeln

Mehrere GNU Zip-Dateien (gzip) können zu einer Datei verkettet werden. Zwar werden verkettete GNU Zip-Dateien von FSOCS erkannt, die einzelnen auf mehrere verkettete GNU Zip-Dateien verteilten Dateien werden jedoch möglicherweise nicht erkannt. Daher werden verkettete GNU Zip-Dateien von FSOCS standardmäßig als beschädigt komprimiert behandelt. Zusammen mit der Option Beschädigte komprimierte Dateien löschen wird dadurch verhindert, dass verkettete GNU Zip-Dateien durchgelassen werden. Dadurch werden mögliche Infektionen vermieden.

Durch Deaktivieren der Option Verkettete Gzips als beschädigt und komprimiert behandeln können Sie verkettete GNU Zip-Dateien empfangen. Jedoch besteht in diesem Fall die Gefahr, dass ein Virus nicht entdeckt wird.

Doc-Dateien als Container scannen - IM

Gibt an, dass DOC-Dateien und andere Dateien mit strukturiertem Speicher und OLE-eingebettetem Dateiformat (beispielsweise XLS, PPT oder SHS) vom IM-Scan-Auftrag als Containerdateien gescannt werden. Auf diese Weise wird sichergestellt, dass eingebettete Dateien als potenzielle Virenträger gescannt werden. Diese Option ist standardmäßig deaktiviert.

Beim Filtern nach Schlüsselwörtern Groß- und Kleinschreibung beachten

Gibt an, dass beim Filtern nach Schlüsselwörtern die Groß-/Kleinschreibung beachtet wird. Diese Option ist standardmäßig deaktiviert (das heißt, beim Filtern wird die Groß-/Kleinschreibung nicht beachtet).

Forefront aktivieren

Dadurch können Administratoren den FSOCS-Auftrag aktivieren oder deaktivieren. Die Optionen sind Deaktivieren und Aktivieren (Standardeinstellung). Nach Änderung dieser Einstellung müssen die FSOCS-Dienste wiederverwendet werden. (Weitere Informationen zum Wiederverwenden der Dienste finden Sie unter "Wiederverwenden der FSOCS-Dienste" unter FSOCS – Dienste.)

IM-Prozesszähler

Mit dieser Option wird die Anzahl der von FSOCS verwendeten Scanvorgänge geändert. Der Standardwert ist 4. Mit Forefront Server Security Administrator können bis zu 10 IM-Vorgänge erstellt werden. Wenn Sie mehr Vorgänge benötigen (maximal 25), können Sie die Anzahl angeben, indem Sie den Wert des IMProcessCount-Registrierungsschlüssels ändern. Dieser befindet sich an folgendem Speicherort: HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server Wenn Sie die Anzahl der Vorgänge ändern, müssen die FSOCS-Dienste wiederverwendet werden. (Weitere Informationen zu dieser Einstellung finden Sie unter IM-Scanauftrag.)

Aktion bei Modul-Fehler

Mit dieser Option können Administratoren eine Aktion festlegen, die von FSOCS im Fall eines Scanmodulfehlers ausgeführt werden soll. (Beispiele hierfür sind eine Modulausnahme, zu viele Schreib-/Lesevorgänge, ein gefundener Virus ohne Virusnamen, mehrere Modulfehler und jeder andere Fehlercode, der von einem Modul zurückgegeben wird.) Folgende Optionen stehen zur Auswahl:

  • Ignorieren — Der Fehler wird im Programmprotokoll eingetragen.

  • Überspringen: nur erkennen — Der Fehler wird im Programmprotokoll eingetragen, und auf der Benutzeroberfläche wird ein EngineError-Eintrag mit dem Status Erkannt angezeigt.

  • Löschen – Der Fehler wird im Programmprotokoll eingetragen, die Datei, die den Fehler verursacht hat, gelöscht und auf der Benutzeroberfläche ein EngineError-Eintrag mit dem Status Entfernt angezeigt.

  • Die Datei, die den Modulfehler verursacht hat, wird immer unter Quarantäne gestellt. Der Standardwert ist Löschen.

IM-Aktion bei Scanzeitüberschreitung

Gibt an, was geschehen soll, wenn beim Scannen einer Datei per IM-Scan-Auftrag das Zeitlimit überschritten wird. Folgende Optionen stehen zur Auswahl:

  • Ignorieren – Die Datei wird weitergeleitet, ohne gescannt zu werden.

  • Überspringen – Im Vorfallprotokoll und im Programmprotokoll wird eingetragen, dass die Datei die Scanzeit überschritten hat, und die Datei wird ohne Scannen weitergeleitet.

  • Löschen – Das Ereignis wird gemeldet, und der Dateiinhalt wird durch den Text für das Löschen ersetzt.

  • Eine Kopie der Datei wird in der Quarantänedatenbank gespeichert, wenn die Quarantänefunktion aktiviert ist und für IM-Aktion bei Scanzeitüberschreitung entweder der Wert Überspringen oder Löschen festgelegt wurde. Der Standardwert ist Löschen.

Max. Infektionen der Container-Datei

Gibt die Höchstzahl der zulässigen Infektionen in einer komprimierten Datei an. Wird diese Zahl überschritten, wird die gesamte Datei gelöscht und ein Vorfall protokolliert, dass ein ExceedinglyInfected-Virus gefunden wurde. Der Wert 0 bedeutet, dass eine einzelne Infektion das Löschen des gesamten Containers bewirkt. In diesem Fall ist an den protokollierten Vorfall "Container Removed" angefügt. Der Standardwert ist 5.

Max. Größe der Containerdatei

Gibt an, bis zu welcher Containerdateigröße (in Byte) von FSOCS versucht wird, eine entdeckte infizierte Datei zu bereinigen oder zu reparieren. Der Standardwert liegt bei 26 MB (26.214.400 Bytes). Dateien, die die maximale Größe überschreiten, werden gelöscht, wenn sie infiziert sind oder mit Dateifilterregeln übereinstimmen, vorausgesetzt dass die Aktion für den IM-Scanauftrag auf Löschen oder Bereinigen festgelegt wurde. FSOCS meldet diese gelöschten Dateien als LargeInfectedContainerFile-Virus.

Max. verschachtelte Anhänge

Gibt die maximale Anzahl von geschachtelten Dokumenten an, die in MSG-, TNEF-, MIME- und UUEncode-Dokumenten vorhanden sein dürfen. Dieser Grenzwert enthält die Summe der Schachtelungen all dieser Typen. Wird der Höchstwert überschritten, blockiert oder löscht FSOCS das Dokument und meldet, dass ein ExceedinglyInfected-Virus gefunden wurde. Der Standardwert ist 30.

Max. verschachtelte komprimierte Dateien

Gibt die maximale Schachtelungstiefe für eine komprimierte Datei an. Wird diese Zahl überschritten, löscht FSOCS die gesamte Datei und sendet eine Benachrichtigung, dass ein ExceedinglyNested-Virus gefunden wurde. Der Wert null bedeutet, dass beliebig viele Schachtelungen zulässig sind. Der Standardwert ist 5.

Max. Container-Scan-Zeit (mSek) - IM

Gibt an, wie lange (in Millisekunden) eine komprimierte Anlage vom EchtzeitScan-Auftrag oder IM-Scan-Auftrag gescannt wird, bevor sie als ScanTimeExceeded-Virus gemeldet wird. Hiermit soll ein Denial-of-Service-Risiko durch Zip-of-Death-Angriffe verhindert werden. Der Standardwert liegt bei 120.000 Millisekunden (2 Minuten).

Interne Adresse

FSOCS kann so konfiguriert werden, dass unterschiedliche Benachrichtigungen an interne und externe Absender und Empfänger gesendet werden. Ist die Liste der internen Namen klein, geben Sie die Domänennamen im Feld Interne Adresse ein, um anzugeben, wer interne Benachrichtigungen erhalten soll. Domänen sollten als eine durch Semikolons getrennte Liste ohne Leerzeichen eingegeben werden (Beispiel: contoso.com; fabrikam.com; fineartschool.net). Alle Änderungen dieses Werts werden umgehend in Virenbenachrichtigungen widergespiegelt.

Achten Sie beim Eingeben eines Domänennamens im Feld Interne Adresse darauf, dass Unterdomänen durch den Eintrag abgedeckt sind.

Beispiel: domain.com umfasst subdomain.domain.com und subdomain2.domain.com.

Andere Domänen wie domain.net oder domain.org müssen einzeln eingegeben werden.

Die im Feld Interne Adresse eingegebenen Werte werden für einen Teilzeichenfolgenvergleich mit dem Ende einer E-Mail-Adresse verwendet. Beispielsweise würde bei dem Eintrag mple.com davon ausgegangen, dass es sich bei jemand@example.com und jemand@abcdef123example.com um interne Adressen handelt.

Falls eine große Anzahl von Domänen als interne Adressen verwendet wird, sollten Sie diese in eine externe Datei Domains.dat eingeben und das Feld Interne Adresse leer lassen. Domains.dat wurde bei der Installation als leere Datei im in DatabasePath festgelegten Verzeichnis erstellt. Es handelt sich um eine Textdatei, in die Sie alle internen Domänen, jeweils in einer gesonderten Zeile, eingeben. Anders als das Feld Interne Adresse müssen alle Unterdomänen einzeln eingegeben werden.

Damit die externe Datei Domains.dat verwendet wird, müssen Sie den Wert des Registrierungswerts UseDomainsDat in 1 ändern (der Standardwert ist 0). Weitere Informationen über diesen Schlüssel finden Sie unter FSOCS – Registrierungsschlüssel.

HinweisHinweis:
Die Datei Domains.dat wird täglich um 02:00 Uhr neu geladen. Erst dann treten Änderungen in Kraft, die Sie an der Datei vorgenommen haben.

(Weitere Informationen zu internen Adressen und Benachrichtigungen finden Sie unter FSOCS – Ereignisbenachrichtigungen.)

In der folgenden Liste sind die Einstellungen im Abschnitt Transport-Benachrichtigungsserver des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung Beschreibung

Transportserver

Gibt den Transportserver an, der für Administrator-E-Mail-Benachrichtigungen und für die Übermittlung unter Quarantäne gestellter Nachrichten verwendet wird.

Benutzername

Gibt einen Benutzer mit Zugriffsrechten für den festgelegten Transportserver an. Dieser optionale Name wird im Feld VON der Benachrichtigung angezeigt. Wenn alle Felder in diesem Abschnitt (außer Transportserver) leer sind, wird im Feld VON Folgendes angezeigt:

ForefrontServerSecurity@<computerName>.com

wobei <computerName> für den Namen des Servers steht, auf dem Forefront ausgeführt wird.

Kennwort

Gibt das Kennwort für den festgelegten Benutzer an. Wenn dieses optionale Feld leer ist, wird für den angegebenen Benutzernamen keine Authentifizierung vorgenommen.

In der folgenden Liste sind die Einstellungen im Abschnitt IM-Benachrichtigungs-Agent des Bereichs Allgemeine Optionen mit Erläuterungen enthalten.

 

Einstellung

Beschreibung

ForefrontRTCProxy-Dienstanmeldeinformationen verwenden

Gibt an, ob der IM-Benachrichtigungs-Agent die vom Benutzer angegebenen Anmeldeinformationen verwenden soll. Wenn diese Einstellung aktiviert ist, verwendet der IM-Benachrichtigungs-Agent beim Anmelden an OCS dieselben Anmeldeinformationen wie das ForefrontRTCProxy-Dienstkonto. Bei Nicht-Edge-Rollen ist die Einstellung standardmäßig aktiviert.

Transport

Wählen Sie "TLS" oder "TCP". Die Verwendung von TLS, einem sicheren, Zertifikat-basierten Verbindungskanal, wird empfohlen. Bei TCP handelt es sich um einen nicht sicheren Verbindungskanal.

Benutzername

Gibt einen Benutzer an, der für IM-Kommunikation zugelassen ist und der zum Versenden von IM-Benachrichtigungen verwendet wird. Geben Sie den Benutzernamen im Format Domäne\Benutzername ein.

Kennwort

Gibt das Kennwort für den festgelegten Benutzer an. Wenn dieses optionale Feld leer ist, wird für den angegebenen Benutzernamen keine Authentifizierung vorgenommen. Das Kennwort sollte mit dem Kennwort des angegebenen Benutzers übereinstimmen, um eine Authentifizierung im Active Directory der Organisation zu ermöglichen.

SIP-URI

Gibt den SIP-URI des Benachrichtigungs-Agenten an, wie in Active Directory konfiguriert.

Home- oder Poolserver

Gibt den Server an, zu dem der Benutzer eine Verbindung herstellen sollte, um Sofortnachrichten zu senden. Bei Director- und Front-End-Servern ist dies der Name des Pools, in dem sich der Benutzer auf dem Standard Edition-Server befindet. Bei Edge ist dies der Hostname des Directors.

Die folgenden Arten von Informationen stehen für die Protokollierung zur Verfügung:

  • Fehler — Wird generiert, wenn ein Fehler erkannt wird.

  • Ausnahme — Wird generiert, wenn eine Ausnahme festgehalten wird.

  • Warnung — Wird generiert, wenn ein behebbarer Fehler erkannt oder ein überwachter Schwellenwert erreicht wird.

  • Information — Wird generiert, wenn eine bedeutende Prozessphase beginnt oder endet. Wird auch generiert, um den Fortschritt einer Phase anzuzeigen.

  • Diagnose — Wird generiert, wenn zusätzliche Details in das Protokoll eingetragen werden sollten.

Die Einstellungen der allgemeinen Optionen bestimmen, welche dieser Arten protokolliert werden. Das Protokollsystem unterstützt drei Protokollierungsstufen:

  • Diagnose — Alle Meldungen werden in das Programmprotokoll geschrieben, wenn die allgemeinen Optionen Forefront-Programmprotokoll aktivieren und Zusätzlich, IM aktiviert sind.

  • Normal — Alle Meldungen bis auf Diagnosemeldungen werden in das Programmprotokoll geschrieben, wenn Forefront-Programmprotokoll aktivieren aktiviert ist, Zusätzlich, IM jedoch nicht.

  • Keine — Die Protokollierung ist deaktiviert, wenn Forefront-Programmprotokoll aktivieren deaktiviert ist.

 
Anzeigen: