https://msdn.microsoft.com/pl-pl/library/hh824667
Forefront Protection 2010 for Exchange – część 5
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2012-03-15
W poprzedniej części cyklu omówiono mechanizmy ochrony antyspamowej. W tym artykule przyjrzymy się elementom filtrowania, dostępnym w produkcie FPE.
Elementy filtrowania w produkcie Forefront Protection for Exchange
Oprócz ochrony przed szkodliwym oprogramowaniem oraz spamem, produkt FPE został wyposażony w mechanizmy służące filtrowaniu treści przesyłanej za pomocą poczty elektronicznej. Listy filtrów oraz filtry konfigurowane są na poziomie Policy Management | Filters | Filter Lists oraz Filter Options. Na Rys. 1. zilustrowano okno listy filtrów.
.jpg "Konsola zarządzania FPE, poziom Policy Management | Filters | Filter Lists")
****Rys. 1.****Konsola zarządzania FPE, poziom Policy Management | Filters | Filter Lists.**
Opcje konfiguracyjne, dla wszystkich czterech trybów filtrowania, ustawia się na poziomie Policy Management | Filters | Filter Options. Na Rys. 2 zaprezentowano opcje konfiguracyjne dla trybów filtrowania Realtime oraz filtrowania określonego harmonogramem, natomiast na Rys. 3 przedstawione zostały opcje dla filtrowania w trybie on-demand. Dla tych trzech trybów opcje są identyczne:
- Enable file filters – globalne włączenie lub wyłączenie filtrowania dla danego trybu,
- Enable header filters (subject line and sender-domain)– włączenie filtrowania dla nagłówka wiadomości,
- Skip file filtering within compressed files – wyłączenie filtrowania treści, jeżeli została skompresowana,
- Przycisk Edit Deletion Text… - odpowiada za zdefiniowanie tekstu, który zostanie podstawiony w miejsce usuniętego (odfiltrowanego) elementu (pliku).
.jpg "Konsola zarządzania FPE, poziom Policy Management | Filters | Filter Options")
****Rys. 2.****Konsola zarządzania FPE, poziom Policy Management | Filters | Filter Options.**
Opcje konfiguracyjne filtrowania dla trybu on-demand przedstawione zostały na Rys. 3.
.jpg "Opcje konfiguracyjne filtrowania dla trybu on-demand")
****Rys. 3.****Opcje konfiguracyjne filtrowania dla trybu on-demand.**
Filtrowanie dla trybu transportowego ma więcej opcji konfiguracyjnych. Zostały one zilustrowane na Rys. 4. Dodatkowe opcje to:
- Enable keyword filtering – włączenie filtrowania po słowach kluczowych,
- Enable case-sensitive keyword filtering – włącza rozróżnianie wielkich i małych liter w słowach kluczowych.
Dla trybu transportowego rozróżniać będziemy filtrowanie po nazwach plików (file filtering) oraz filtrowanie po słowach kluczowych (keyword filering). Dla każdego z tych trybów określić możemy, czy filtrowanie ma dotyczyć ruchu wchodzącego (Inbound) lub wychodzącego (Outbound), czy też obu tych kierunków. Dodatkowe opcje pozwalają na dodanie informacji o odfiltrowanej treści, zarówno do nagłówka przesyłki jak i do linii tematu wiadomości.
.jpg "Opcje konfiguracyjne skanowania dla trybu transportowego")
****Rys. 4.****Opcje konfiguracyjne skanowania dla trybu transportowego.**
Tworzenie list filtrów
FPE umożliwia zdefiniowanie filtrów w pięciu kategoriach, zwanych listami filtrów:
- Allow senders – listy dozwolonych adresów e-mail nadawców,
- File – listy plików o określonej nazwie lub typie,
- Keyword – listy słów kluczowych,
- Sender-domain – listy nazw domen,
- Subject line – listy słów lub wyrażeń zawartych w temacie wiadomości.
W celu utworzenia nowych filtrów należy kliknąć Create Filter List, na poziomie Policy Management | Filters | Filter Options, w prawym oknie Actions. Zostanie wówczas wyświetlone okno, zaprezentowane na Rys. 5., w którym wybieramy jedną z kategorii list filtrów.
.jpg "Wybór kategorii list filtrów")
****Rys. 5.****Wybór kategorii list filtrów.**
Listy filtrów typu Allowed Senders
Okno tworzenia listy filtrów typu Allow Senders przedstawiono na Rys. 6. Jest to prosta lista adresów e-mail nadawców, które mają omijać filtrowanie w trybie File, Keywoard lub/i Content filtering. Elementy listy można dodawać/usuwać/edytować pojedynczo lub importować /eksportować całą listę do/z pliku tekstowego.
.jpg "Tworzenie listy typu Allow Senders")
****Rys. 6.****Tworzenie listy typu Allow Senders.**
Utworzona lista jest wykorzystywana wyłącznie w trybie transportowym. Na Rys. 7. zilustrowano okno włączenia/wyłączenia listy na serwerach Hub/Edge.
.jpg "Okno włączenia/wyłączenia listy typu Allow Senders")
****Rys. 7.****Okno włączenia/wyłączenia listy typu Allow Senders.**
Na Rys. 8. zaprezentowano okno Filters – Filter Lists z utworzoną oraz włączoną listą typu Allow Senders.
.jpg "Utworzona i włączona lista typu Allow Senders")
****Rys. 8.****Utworzona i włączona lista typu Allow Senders.**
Na Rys. 9. pokazano opcje utworzonej, przykładowej listy typu Allow Senders – okno Preview – zakładki Settings oraz Filter criteria. Parametry każdej utworzonej listy dowolnego typu można podejrzeć w oknie Preview. Przy filtrowaniu typu File, dostępna będzie jeszcze jedna zakładka, o nazwie File Types.
.jpg "Opcje utworzonej listy typu Allow Senders – okno Preview – zakładki Settings oraz Filter criteria") |
.jpg "Opcje utworzonej listy typu Allow Senders – okno Preview – zakładki Settings oraz Filter criteria") |
*Rys. 9.*Opcje utworzonej listy typu Allow Senders– okno Preview – zakładki Settings oraz Filter criteria.
Listy filtrów typu File
Drugi typ listy filtrów to lista typu File. Pierwsze okno konfiguracyjne zostało przedstawione na Rys. 10. Pozwala to na wybór jednego z trzech podtypów listy:
- Filter files of specific types by inspecting the file header – lista bazująca na typie pliku (załącznika), weryfikowanym poprzez sprawdzanie nagłówka pliku,
- Filter files with specyfic name patterns – lista bazująca na określonym wzorze nazwy pliku (załącznika),
- Filter files of specific types AND with specific name patterns - lista będąca połączeniem obu list poprzednich.
Można podać również inny podział filtrowania typu File. Rozróżniamy filtrowanie bazujące na:
- Typie pliku (format MIME),
- Nazwie pliku,
- Rozszerzeniu pliku,
- Wielkości pliku.
.jpg "Okno tworzenia listy typu File")
****Rys. 10.****Okno tworzenia listy typu File.**
Tworzenie listy bazującej na typie pliku ilustruje Rys. 11. Jako przykład wybrano filtrowanie plików typu bzip2.
.jpg "Tworzenie listy bazującej na typie pliku")
****Rys. 11.****Tworzenie listy bazującej na typie pliku.**
Filtrowanie tego typu jest dostępne dla wszystkich trybów filtrowania niezależnie. Dostępne opcje, związane z każdym z trybów filtrowania, przedstawione zostały na Rys. 12.
- Enabled – (Yes/No) – filtracja dla danego trybu skanowania jest włączona/wyłączona,
- Akctions – akcja, która ma być podjęta po wykryciu pliku o określonej nazwie lub typie,
- Quarantine files – (Yes/no) – określenie, czy odfiltrowany plik (załącznik) ma trafić do kwarantanny, czy nie,
- Notifications – określenie, czy osoby uczestniczące w wymianie poczty mają zostać powiadomione o fakcie odfiltrowania pliku (załącznika):
o Use notification settings – powiadamiaj uczestników wymiany poczty e-mail,
o Never send notifications – nie wysyłaj powiadomień.
.jpg "Dostępne opcje związane z każdym z trybów filtrowania dla listy typu File")
****Rys. 12.****Dostępne opcje związane z każdym z trybów filtrowania dla listy typu File.**
Tabela 1. Akcje filtrowania dla filtrowania typu File.
| Tryb filtrowania | Typ akcji |
| Realtime | Skip detect Purge Delete (domyślnie) |
| Scheduled | Skip detect Purge Delete (domyślnie) |
| On-demand | Skip detect Delete (domyślnie) |
| Hub/Edge Transport | Skip detect Purge Delete (domyślnie) Identify in subject line Identify in message header Identify in subject line and message header |
Tabela 2. Własności akcji filtrowania.
| Akcja | Działanie |
| Skip detect | Rejestruje ilość wystąpień danego zdarzenia, chociaż wiadomość przetwarzana jest bez zmian. Jeżeli została ustawiona jedna z opcji globalnych (Global Settings - Advanced Options) Delete corrupted compressed files, Delete corrupted UUEncoded Files lub Delete encrypted compressed files – plik zostanie usunięty. |
| Delete | Usuwa plik (załącznik). Pasujący do wzorca plik (załącznik) jest usuwany z wiadomości (nawet z pliku kontenerowego), a w jego miejsce podstawiany jest tekst informujący o odfiltrowaniu. |
| Purge | Usuwa całą wiadomość z systemu. Wiadomość nie może zostać odzyskana, chyba że włączona jest kwarantanna. |
| Identify in subject line | Następuje wyłącznie oznakowanie wiadomości w temacie wiadomości. |
| Identify in message header | Następuje wyłącznie oznakowanie wiadomości w nagłówku wiadomości. |
| Identify in subject line and message header | Następuje wyłącznie oznakowanie wiadomości w temacie wiadomości oraz w nagłówku wiadomości. |
Tabela 3. Kategorie i typy obsługiwanych plików.
| Kategoria | Typ pliku |
| Executable | .jpg){kind=small} |
| Archive & Compression | .jpg) |
| Audio & Video | .jpg) |
| Images & Graphics | .jpg) |
| Other Applications | .jpg) |
| Microsoft Office | .jpg) |
| Fonts | .jpg){kind=small} |
| Microsoft Windows | .jpg) |
Tabela 4. Obsługiwana lista typów plików.
| Rozszerzenie | Typ pliku |
| *.ace* | Archive file |
| *.ade* | Microsoft Access project extension |
| *.adp* | Microsoft Access project |
| *.adt* | ACT! document template |
| *.app* | Executable application |
| *.asp* | Active Server Page files |
| *.arj* | Archive file |
| *.asd* | Word files that always have macros |
| *.bas* | Microsoft Visual Basic class module |
| *.bat* | Batch file |
| *.bin* | Binary file |
| *.btm* | Batch to memory batch file |
| *.cbt* | Computer based training |
| *.ceo* | Virus |
| *.chm* | Compiled HTML help file |
| *.cmd* | Microsoft Windows command script |
| *.cla* | Java class file |
| *.com* | Microsoft MS-DOS program |
| *.cpl* | Control Panel extension |
| *.crt* | Security certificate |
| *.csc* | Corel script file |
| *.css* | Cascading Style Sheet file |
| *.dll* | DLL files |
| *.drv* | Driver files |
| *.exe* | Program executable |
| *.email* | Outlook Express e-mail message |
| *.fon* | Font file |
| *.hlp* | Help file |
| *.hta* | HTML program |
| *.htm* | HTML files |
| *.inf* | Setup information |
| *.ins* | Internet naming service |
| *.isp* | Internet communication settings |
| *.je* | JScript file |
| *.js* | JScript file |
| *.jse* | JScript encoded script file |
| *.lib* | Program library common object file format |
| *.lnk* | Shortcut |
| *.mdb* | Access database file |
| *.mde* | MDE database file |
| *.mht* | Archived Web page |
| *.msc* | Microsoft common console document |
| *.msi* | Microsoft Windows installer package |
| *.mso* | Math script object file |
| *.msp* | Microsoft Windows installer patch |
| *.mst* | Microsoft Visual test source files |
| *.obj* | Relocatable object code |
| *.ocx* | Object Linking and Embedding control executable |
| *.ov* | OrgViewer file |
| *.pcd* | Photo CD image, Microsoft Visual compiled script |
| *.pgm* | CGI program |
| *.pif* | Shortcut to MS-DOS program |
| *.prc* | Palm Pilot resource file |
| *.rar* | Archive file |
| *.reg* | Registration entries |
| *.scr* | Screen saver |
| *.sct* | Windows script component |
| *.shb* | Shortcut into a document |
| *.shs* | Shell scrap object |
| *.smm* | AMI Pro macro |
| *.swf* | Macromedia files |
| *.sys* | System device driver |
| *.tar* | Archive file |
| *.url* | Internet shortcut |
| *.vb* | VBScript file |
| *.vxd* | Virtual device driver |
| *.wsc* | Windows script component |
| *.wsf* | Windows script file |
| *.wsh* | Windows script host settings file |
| *}* | CLSID filter |
Filtrowanie bazujące na wielkości pliku
O ile wskazanie nazwy pliku, rodzaju czy rozszerzenia było dość oczywiste, to w interfejsie graficznym wskazanie wielkości pliku odbywa się z wykorzystaniem pewnego rodzaju operatorów.
Tabela 5. Operatory wykorzystywane do określenia wielkości pliku.
| Operator | Wynik działania |
| = | Równy |
| > | Większy niż |
| < | Mniejszy niż |
| >= | Większy niż lub równy |
| <= | Mniejszy niż lub równy |
Przykłady wykorzystania operatorów:
- *.bmp>=1.2MB - odfiltrowuje pliki z rozszerzeniem .bmp, które są większe lub równe 1.2 MB,
- *.com>150KB – odfiltrowuje wszystkie pliki z rozszerzeniem .com, które są większe niż 150 KB,
- *>5GB – odfiltrowuje wszystkie pliki większe niż 5 GB.
Listy filtrów typu Keyword
Kolejny typ listy filtrów to lista wyrazów lub wyrażeń. Na Rys. 13. zaprezentowano tworzenie listy typu Keyword. Elementy listy można dodawać/usuwać/edytować pojedynczo lub importować /eksportować całą listę do/z pliku tekstowego.
.jpg "Tworzenie listy typu Keyword")
****Rys. 13.****Tworzenie listy typu Keyword.**
W opcji Minimum unique keyword hits – określamy, od ilu wystąpień danego słowa kluczowego, zadziałać powinna akcja filtrowania (domyślnie od 1).
Filtrowanie tego typu jest dostępne tylko dla trybu transportowego. Dostępne opcje, związane z tym typem filtrowania, przedstawiono na Rys. 14.
.jpg "Okno włączenia/wyłączenia oraz opcji listy typu Keyword")
****Rys. 14.****Okno włączenia/wyłączenia oraz opcji listy typu Keyword.**
Opcje filtrowania dla listy typu Keyword:
- Enabled – (Yes/No) – filtracja dla danego trybu skanowania jest włączona/wyłączona,
- Akctions – akcja, która ma być podjęta po wykryciu pliku o określonej nazwie lub typie,
o Skip detect
o Purge
o Identify in subject line
o Identify in message header
o Identify in subject line and message header - Quarantine files – (Yes/No) – określenie, czy odfiltrowany plik (załącznik) ma trafić do kwarantanny, czy nie,
- Notifications – określenie, czy osoby uczestniczące w wymianie poczty mają zostać powiadomione o fakcie odfiltrowania pliku (załącznika):
o Use notification settings – powiadamiaj uczestników wymiany poczty e-mail,
o Never send notifications – nie wysyłaj powiadomień.
Dodatkowo, można określić niezależnie, czy filtrowanie ma zostać wykorzystane dla ruchu wchodzącego (Inboud), wychodzącego (Outbound) czy wewnętrznego (Internal).
Zaawansowane reguły tworzenia list typu Keyword
Poza listą, składającą się wprost z określonych słów kluczowych, można posługiwać się zdecydowanie bogatszym mechanizmem definiowania wyrażeń typu Keyword. Filtry mogą zawierać wyrażenia logiczne, pozwalające na większą kontrolę filtrowanej treści. Dostępne operatory to:
- _AND_ (logiczne AND) – przykładowo: [apples _AND_ oranges] – filtr zadziała, gdy wystąpią jednocześnie słowa: “apples” i “oranges”,
- _NOT_ (negacja) – przykładowo: [ _NOT_ oranges] – filtr zadziała, gdy w tekście nie będzie słowa “oranges”,
- _ANDNOT_ (zanegowanelogiczne AND) – przykładowo : [ apples _ANDNOT_ oranges] – filtr zadziała, gdy w tekście znajdzie się słowo “apples”, ale nie będzie słowa “oranges”. Operator _ANDNOT_ jest równoważny operatorowi _AND_ _NOT_.
- _HAS[#]OF_ (ilość wystąpień danego wyrażenia) – określa minimalną ilość wystąpienia danego wyrażenia, aby warunek został spełniony . Przykładowo: [ _HAS[4]OF_ get rich quick] – filtr zadziała, jeżeli w przeszukiwanym tekście ciąg - "get rich quick" wystąpi co najmniej 4 razy. Wystąpień pojedynczych nie definiuje się dodatkowo.
- _WITHIN[#]OF_ (wewnątrz wyrażenia). Filtr zadziała, jeżeli dwa wyrazy są rozdzielone określoną liczbą innych wyrazów . Przykładowo: [ free _WITHIN[10]OF_ offer] – filtr zadziała, jeżeli wyraz "free" pojawia się na 10 wyrazów przed lub po wyrazie "offer". WITHIN[0]OF_ - tworzy filtr, który ignoruje odległość pomiędzy dwoma wyrazami, czyli jest równoważny prostemu operatorowi _AND_.
Listy filtrów typu Sender-domain
Kolejny typ listy filtrów to lista blokowanych domen nadawców. Na Rys. 15. zaprezentowano tworzenie listy typu Sender-domain. Elementy listy można dodawać/usuwać/edytować pojedynczo lub importować /eksportować całą listę do/z pliku tekstowego.
.jpg "Tworzenie listy typu Sender-domain")
****Rys. 15.****Tworzenie listy typu Sender-domain.**
Filtrowanie tego typu jest dostępne niezależnie dla wszystkich trybów filtrowania. Dostępne opcje związane są z każdym z trybów filtrowania, co przedstawione zostało na Rys.16.
- Enabled – (Yes/No) – filtracja dla danego trybu skanowania jest włączona/wyłączona,
- Akctions – akcja, która ma być podjęta po wykryciu pliku o określonej nazwie lub typie,
- Quarantine files – (Yes/No) – określenie, czy odfiltrowany plik (załącznik) ma trafić do kwarantanny, czy nie,
- Notifications – określenie, czy osoby uczestniczące w wymianie poczty mają zostać powiadomione o fakcie odfiltrowania pliku (załącznika):
- o Use notification settings – powiadamiaj uczestników wymiany poczty e-mail,
- o Never send notifications – nie wysyłaj powiadomień.
.jpg "Dostępne opcje, związane z każdym z trybów filtrowania dla listy typu Sender-domain")
****Rys. 16.****Dostępne opcje, związane z każdym z trybów filtrowania dla listy typu Sender-domain.**
Tabela 6. Akcje filtrowania dla filtrowania typu Sender-domain.
| Tryb filtrowania | Typ akcji |
| Realtime | Skip detect (domyślnie) Purge |
| Scheduled | Skip detect(domyślnie) Purge |
| On-demand | Skip detect (domyślnie) - jedyna opcja |
| Hub/Edge Transport | Skip detect Purge Identify in subject line(domyślnie) Identify in message header Identify in subject line and message header |
Listy typu Subject line
Kolejny typ listy to lista blokowanych wyrazów lub wyrażeń, które są wyszukiwane w linii tematu wiadomości. Na Rys. 17. zaprezentowano tworzenie listy typu Subject line. Elementy listy można dodawać/usuwać/edytować pojedynczo lub importować /eksportować całą listę do/z pliku tekstowego.
.jpg "Tworzenie listy typu Subject Line")
****Rys. 17.****Tworzenie listy typu Subject Line.**
Filtrowanie tego typu jest dostępne dla wszystkich trybów filtrowania niezależnie. Dostępne opcje, związane z każdym z trybów filtrowania, przedstawione zostały na Rys. 18.
- Enabled – (yes/No) – filtracja dla danego trybu skanowania jest włączona/wyłączona,
- Akctions – akcja, która ma być podjęta po wykryciu pliku o określonej nazwie lub typie,
- Quarantine files – (yes/no) – określenie, czy odfiltrowany plik (załącznik) ma trafić do kwarantanny, czy nie,
- Notifications – określenie, czy osoby uczestniczące w wymianie poczty maja zostać powiadomione o fakcie odfiltrowania pliku (załącznika):
o Use notification settings – powiadamiaj uczestników wymiany poczty e-mail,
o Never send notifications – nie wysyłaj powiadomień.
.jpg "Dostępne opcje, związane z każdym z trybów filtrowania dla listy typu Subject Line")
Rys. 18.Dostępne opcje, związane z każdym z trybów filtrowania dla listy typu Subject Line.
Tabela 7. Akcje filtrowania dla filtrowania typu Subject Line.
| Tryb filtrowania | Typ akcji |
| Realtime | Skip detect (domyślnie) Purge |
| Scheduled | Skip detect(domyślnie) Purge |
| On-demand | Skip detect (domyślnie) - jedyna opcja |
| Hub/Edge Transport | Skip detect Purge Identify in subject line(domyślnie) Identify in message header Identify in subject line and message header |
Stosowanie symboli wieloznacznych (wildcard)
Przy tworzeniu filtrów typu file, subject line oraz sender-domain można wykorzystywać symbole wieloznaczne.
Tabela 8. Przykłady wykorzystania symboli wieloznacznych.
| Znak | Przykład stosowania |
| * | Symbol wykorzystywany do dopasowywania dowolnej ilości znaków do wzorca. Można go wykorzystywać wielokrotnie. Wykorzystanie pojedyncze: Każdy z poniższych przykładów pasuje do wzorca: veryevil.doc — veryevil.*, very*.doc, very*, *il.doc. Wykorzystanie wielokrotne: Każde wieloznaczne wystąpienie pasuje do wzorca: eicar.com — e*c*r*om, ei*.*, *car.*. Uwaga: Znak może być wykorzystywany również dla kombinacji całkowicie wieloznacznej w formacie *.*. |
| ? | Znak wykorzystywany do zastępowania pojedynczego znaku. Przykładowo: virus?.exe odpowiada wyrażeniom: virusa.exe, virus1.exe lub virus$.exe. Nie odpowiada on jednak wyrażeniu virus.exe. Może występować wielokrotnie, np.: C?O?N?T?E?S?T |
| [set] | Lista znaków objętych nawiasami kwadratowymi, przykładowo [abcdef]. Powoduje dopasowanie każdego znaku z zakresu objętego nawiasami. Przykładowo: klez[a-h].exe dopasuje wyrażenia od kleza.exe do klezh.exe. Inny przykład: Ozone i oz0ne (przez o i przez zero) – pasuje do filtra typu oz[o0]ne. |
| [^set] | Wyrażenie wykorzystywane w celu wyłączenia ciągu znaków z wyrażenia. Przykładowo: klez[^m-z].exe wyłącza wyrażenia od klezm.exe do klezz.exe. |
| [range] | Wyrażenie wykorzystywane do zdefiniowania kilku możliwych kombinacji ustawień danego ciągu znaków. Wyrażenie składa się z symboli początkowych i końcowych, rozdzielonych znakiem minus. Przykładowo: klez[ad-gp].exe dopasowuje wyrażenia kleza.exe, klezd.exe, klezg.exe oraz klezp.exe, ale nie klezb.exe lub klezr.exe. |
| \char | Umożliwia mapowanie znaków specjalnych. (Tymi znakami są: * ? [ ] - ^ < >). Przykładowo: *hello* powoduje dopasowanie ciągu hello w dowolnym miejscu łańcucha. Jednakże *\*hello\** powoduje dopasowywanie łańcucha o postaci *hello*. Inny przykład: *\*hello\?\** powoduje dopasowywanie łańcucha o postaci *hello?*. |
Uwaga informacyjna
Symbole wieloznaczne nie mogą być wykorzystywane przy tworzeniu filtrów typu Keyword.
W przypadku, gdy list filtrów, danego typu, będzie więcej niż jedna, można zmieniać kolejność, w której będą one wykorzystywane do filtracji danego typu ruchu. Na Rys. 19. pokazano listę filtrów z aktywnym przyciskiem Change … Filter List Order.
.jpg "Przykładowe okno Filters – Filter Lists z utworzonymi listami filtrów")
****Rys. 19.****Przykładowe okno Filters – Filter Lists z utworzonymi listami filtrów.**
Okno umożliwiające zmianę kolejności filtrów dla danego trybu skanowania przedstawiono na Rys. 20.
.jpg "Okno zmiany kolejności filtrów")
****Rys. 20.****Okno zmiany kolejności filtrów.**
Zarządzanie filtrami z wykorzystaniem Power Shella
Jak wspominano w drugiej części artykułu, poza interfejsem graficznym, dostępny jest zestaw poleceń służący zarządzaniu za pomocą PowerShella. Poniżej przedstawiono polecenia związane z filtrowaniem, a także krótkie przykłady ich wykorzystania.
Zarządzanie listami fitrów
| Get-FseFilterList | Podaje listę filtrów |
| Clear-FseFilterList | Czyści listę z filtrów |
| New-FseFilterList | Tworzy nową listę filtrów |
| Remove-FseFilterList | Usuwa listę filtrów |
| Set-FseFilterList | Zmienia parametry listy filtrów |
| Add-FseFilterListEntry | Dodaje wpis do listy filtrów |
| Remove-FseFilterListEntry | Usuwa wpis z listy filtrów |
Polecenia Get-FseFilterList. Należy podać, dla jakiego typu listy filtrów mają zostać wyświetlone.
| Składnia | Wyjaśnienie |
| Get-FseFilterList –AllowSender [ –List nazwa_listy] | Wyświetla listy/listę typu AllowSender |
| Get-FseFilterList –File [ –List nazwa_listy] | Wyświetla listy/listę typu File |
| Get-FseFilterList –Keyword [ –List nazwa_listy] | Wyświetla listy/listę typu Keyword |
| Get-FseFilterList –SenderDomain [ –List nazwa_listy] | Wyświetla listy/listę typu Sender-domain |
| Get-FseFilterList –Subject [ –List nazwa_listy] | Wyświetla listy/listę typu Subject |
Przykłady:
Podaje parametry list filtrów typu Allow Sender.
.jpg)
Podaje parametry list filtrów typu File.
.jpg)
Polecenie New-FseFilterList. Polecenie tworzony nową pustą listę filtrów danego typu. Należy określić, jakiego typu listę filtrów tworzymy.
| Składnia | Wyjaśnienie |
| New-FseFilterList –AllowSender –List nazwa_listy] [-Item elementy_listy] | Tworzy listę typu AllowSender. |
| New-FseFilterList –File –List nazwa_listy [-Item elementy_listy] [-FileType typy plikow] | Tworzy listę typu File. |
| New-FseFilterList –Keyword –List nazwa_listy [-Item elementy_listy] | Tworzy listę typu Keyword. |
| New-FseFilterList –SenderDomain –List nazwa_listy [-Item elementy_listy] | Tworzy listę typu Sender-domain. |
| New-FseFilterList –Subject –List nazwa_listy [-Item elementy_listy] | Wyświetla listy/listę typu Subject. |
Przykłady:
Tworzy pustą listę filtrów typu AllowSender, o nazwie Lista nadawców 2:
.jpg)
Tworzy listę filtrów typu File, o nazwie List2, która ma filtrować pliki wykonywalne (EXE) o dowolnej nazwie (pliki są filtrowane niezależnie od rozszerzenia):
.jpg)
Tworzy listę filtrów typu File, o nazwie „Bad Files”, która ma filtrować pliki multimedialne typu MP3,JPEG,MPEG1 oraz pliki o rozszerzeniu .mp3, jpg oraz mpg.:
.jpg)
Tabela 9. Obsługiwane przez PowerShella typy plików.
| Nazwa typu pliku wykorzystywane przez PowerShell | Wyjaśnienie |
| ANI | Windows 95 animated cursor file |
| ARC | ARC archive and compression format file |
| ARJ | ARJ archive and compression format file |
| AUTOCAD | AutoCad file |
| AVI | Windows Audio Visual Interleaved file format |
| BMP | Windows bitmap image file |
| BZIP2 | High-quality compression of a single file |
| CHI | Microsoft Help index (.chi) file |
| CLASS | Java byte code file (usually contained inside a JAR file) |
| DATAZ | InstallShield file (InstallShield 3) |
| DOC | Microsoft Office 97-2003 document OLE structured storage file: Word (.doc), Excel (.xls), PowerPoint (.ppt), Exchange Message files (.msg), and Shell scraps (.shs). |
| EICAR | Eicar virus test file |
| EPS | Encapsulated PostScript file (Adobe) |
| EXE | Microsoft executable file (includes .exe, .dll, .ocx, .sys, .scr) |
| FONT1 | Adobe Type 1 font file (includes .pfa, .pfb, .pfm) |
| GIF | Graphics Interchange format (.gif) image file |
| GZIP | GZip compression format file |
| HELP | Microsoft Help file (.hlp) |
| HYPERARC | Hyper archive format file (ARC compression format file from Systems Enhancement Associates) |
| ICO | Windows icon image file |
| IMCMIME | MIME formatted text file with IMC binary header |
| ISCAB | Windows cabinet archive and compression format file |
| JAR | Java archive format file |
| JPEG | JPEG graphic format file |
| LHA | LHA/LHARC compression format file (LHA, LHZ) |
| MACBIN | MacBinary format - a binary (non-text) format that encodes Macintosh files so that they can be safely stored or transferred through non-Macintosh systems |
| MDB | Microsoft Access database file |
| MP3 | MPEG Layer 3 audio format file (.mp3) |
| MPEG1 | MPEG animation video format file (.mpg) |
| MSCAB | Microsoft cabinet archive format file (Microsoft installation archive) |
| MSCOMPRESS | Microsoft compression format file |
| MSEXCEL1 | Microsoft Excel 1.x file (.xls) |
| MSLIBRARY | Microsoft object code library file |
| MSWORD12 | Microsoft Word (1.x and 2.x) file |
| NOTESDB | Notes database file |
| OBJ | Object code format file (Intel Relocatable Object Module - .obj) |
| OPENXML | Microsoft Office OpenXML File NOTE: This file type applies to Word, PowerPoint, and Excel 2007/2010 |
| PAL | Adobe PageMaker library palette file or a color palette file |
| PCX | PC Paintbrush exchange format graphic file |
| Portable Document Format file (Adobe) | |
| PIF | Windows Program Information File, or Vector Graphics GDF format file (IBM mainframe computers) |
| PKLITE | PKLite compression format file |
| PNG | Portable Network Graphics bitmap file |
| QTMOVIE | QuickTime video format file |
| RAR | RAR archive and compression format file |
| RIF | Fractal Design Painter bitmap graphics file |
| RTF | Rich Text File |
| SFXEXE | Self extracting executable file |
| SHORTCUT | Microsoft shortcut file (.lnk) |
| TAR | TAR archive format file (a UNIX method of archiving files, which can also be used by personal computers). TAR archives files but does not compress them, so sometimes .tar files are compressed with other tools, which produces extensions like .tar.gz, .tar.Z, and .tgz. |
| TEXT | Text file (.txt) |
| TIFF | Tagged Image File Format (TIFF) bitmap graphics file |
| TNEF | Microsoft Transport Neutral Encapsulation Format file (Message file) |
| TRUETYPE | Microsoft TrueType font file (.ttf) |
| TYPELIB | Microsoft Type Library file format (typically used for ActiveX service) |
| UNICODE | Unicode (Universal Character Code) double-byte text file |
| UNINST | InstallShield uninstall file |
| UNIXCOMPRESS | Unix compression format file |
| WAV | Waveform audio format file |
| WMF | Windows metafile format file (vectored and bit-mapped graphics) |
| WMFVISIO | Visio exported metafile format |
| WRITE | Windows Write file |
| XARA | XaraX graphic format file |
| ZIP | PKZip archive and compression format file |
| ZOO | ZOO compression format file |
Tworzy listę filtrów typu Keyword, o nazwie „List2”, która ma filtrować po słowach kluczowych „Hello” lub „ World”:
.jpg)
Tworzy listę filtrów typu AllowSender, o nazwie „Good Guys”, która ma filtrować dozwolonych nadawców me@contoso.com oraz „you@contoso.com”:
.jpg)
Konfiguracja list filtrów dla filtrowania w trybie transportowym
| Get-FseTransportFilter | Podaje konfiguracje list filtrów dla trybu transportowego. |
| Set-FseTransportFilter | Ustawia konfiguracje list filtrów dla trybu transportowego. |
Polecenie Get-FseTransportFilter. Należy podać, dla jakiego typu listy filtrów mają zostać wyświetlone.
| Składnia | Wyjaśnienie |
| Get-FseTransportFilter –AllowSender | Wyświetla listy/listę typu AllowSender dla filtrowania w trybie transportowym. |
| Get-FseTransportFilter –File | Wyświetla listy/listę typu File dla filtrowania w trybie transportowym. |
| Get-FseTransportFilter –Keyword | Wyświetla listy/listę typu Keyword dla filtrowania w trybie transportowym. |
| Get-FseTransportFilter –SenderDomain] | Wyświetla listy/listę typu Sender-domain dla filtrowania w trybie transportowym. |
| Get-FseTransportFilter –Subject | Wyświetla listy/listę typu Subject dla filtrowania w trybie transportowym. |
Przykłady:
Podaje parametry filtrów typu Allow Sender, dostępnych dla trybu transportowego:
.jpg)
Podaje parametry filtrów typu File, dostępnych dla trybu transportowego:
.jpg)
Konfiguracja list filtrów dla filtrowania w trybie Realtime
| Get-FseRealtimeFilter | Podaje konfiguracje list filtrów dla trybu realtime. |
| Set-FseRealtimeFilter | Ustawia konfiguracje list filtrów dla trybu realtime. |
Polecenie Get-FseRealtimeFilter. Należy podać, dla jakiego typu listy filtrów mają zostać wyświetlone:
| Składnia | Wyjaśnienie |
| Get-FseRealtimeFilter –File | Wyświetla listy/listę typu File dla filtrowania w trybie Realtime. |
| Get-FseRealtimeFilter –SenderDomain] | Wyświetla listy/listę typu Sender-domain dla filtrowania w trybie Realtime. |
| Get-FseRealtimeFilter –Subject | Wyświetla listy/listę typu Subject dla filtrowania w trybie Realtime. |
Konfiguracja list filtrów dla filtrowania w trybie On-demand
| Get-FseOnDemandFilter | Podaje konfiguracje list filtrów dla trybu on-demand. |
| Set-FseOnDemandFilter | Ustawia konfiguracje list filtrów dla trybu on-demand. |
Polecenie Get-FseOnDemandFilter. Należy podać, dla jakiego typu listy filtrów mają zostać wyświetlone.
| Składnia | Wyjaśnienie |
| Get-FseOnDemandFilter –File | Wyświetla listy/listę typu File dla filtrowania w trybie on-demand. |
| Get-FseOnDemandFilter –SenderDomain] | Wyświetla listy/listę typu Sender-domain dla filtrowania w trybie on-demand. |
| Get-FseOnDemandFilter –Subject | Wyświetla listy/listę typu Subject dla filtrowania w trybie on-demand. |
Konfiguracja list filtrów dla filtrowania w trybie określonym harmonogramem
| Get-FseScheduledFilter | Podaje konfiguracje list filtrów dla trybu określonego harmonogramem. |
| Set-FseScheduledFilter | Ustawia konfiguracje list filtrów dla trybu określonego harmonogramem. |
Polecenie Get-FseScheduledFilter. Należy podać, dla jakiego typu listy filtrów mają zostać wyświetlone.
| Składnia | Wyjaśnienie |
| Get-FseScheduledFilter –File | Wyświetla listy/listę typu File dla filtrowania w trybie określonym harmonogramem. |
| Get-FseScheduledFilter –SenderDomain] | Wyświetla listy/listę typu Sender-domain dla filtrowania w trybie określonym harmonogramem. |
| Get-FseScheduledFilter –Subject | Wyświetla listy/listę typu Subject dla filtrowania w trybie określonym harmonogramem. |
W następnej części przyjrzymy się zagadnieniom raportowania, logowania, incydentom oraz kwarantannie.