Trabalho de verificação em tempo real

 

Aplica-se a: Forefront Security for Exchange Server

Tópico modificado por último: 2009-07-27

O trabalho de verificação em tempo real do Forefront Security para Exchange Server é executado no servidor do Exchange para fornecer imediata verificação de mensagens de email que estejam sendo enviadas ou recebidas por caixas de correio e pastas públicas residentes no servidor. Este método de verificação de mensagens de email em tempo real é o método mais eficaz para interromper a disseminação de anexos infectados. O trabalho de verificação em tempo real pode ser configurado para verificar o corpo das mensagens, como também os anexos. Esse recurso é desabilitado por padrão na instalação, mas poderá ser habilitado se você marcar a caixa de seleção Verificação de Corpo - Tempo Real no painel de trabalho Opções Gerais. A verificação do corpo da mensagem aumenta o tempo necessário para a verificação de mensagens.

Durante a instalação, quatro trabalhos (processos) de verificação em tempo real são criados para o servidor de caixas de correio. Você pode criar mais trabalhos de verificação em tempo real, alterando o valor do campo Contagem de Processo de Tempo Real, na configuração Opções Gerais, de modo que ele represente o número de FSCRealtimeScanners a serem executados em cada servidor de caixas de correio. O máximo é 10.

Durante a execução de vários processos em tempo real, os arquivos serão verificados pelo primeiro processo, exceto se ele estiver ocupado. Neste caso, o arquivo será entregue ao segundo processo. Se o segundo processo estiver ocupado e um terceiro estiver habilitado, o arquivo será verificado por este terceiro processo. Sempre que possível, o Forefront Security para Exchange Server entrega os arquivos ao primeiro processo, se ele estiver disponível. O recurso de vários processos aumenta a carga do servidor na inicialização, quando os processos estão sendo carregados, e sempre que forem acionados para verificar um arquivo. Não é provável que mais de quatro processos sejam necessários, a não ser em ambientes de alto volume, que precisam de mais redundância que a fornecida por três ou quatro processos. Como regra geral, a Microsoft recomenda a habilitação de apenas dois processos em tempo real por processador, em cada servidor.

O Forefront Security para Exchange Server, por padrão, está configurado para dedicar um quarto do número total de processos em tempo real à verificação em segundo plano, ficando os processos restantes dedicados à verificação de acesso e à verificação proativa. Por exemplo, a configuração padrão inclui quatro processos em tempo real, portanto, três deles estão dedicados às verificações de acesso e proativa e um é disponibilizado para a verificação em segundo plano. Se o número de processos em tempo real for aumentado, o número de processos disponíveis para verificação em segundo plano também aumentará.

Por padrão, para melhorar o desempenho de verificação, todas as verificações em tempo real verificam somente anexos de mensagens. Para habilitar a adição de verificação de corpo, abra o painel de trabalho Opções Gerais e defina a opção Verificação de Corpo - Tempo Real como Habilitado. Isso configurará o Forefront Security para Exchange Server para verificar o corpo das mensagens e também os anexos.

Ao definir as configurações do Trabalho de Verificação em Tempo Real, selecione as caixas de correio e as pastas públicas a serem protegidas e, opcionalmente, especifique o Texto de Exclusão.

Para selecionar as caixas de correio e definir o texto de exclusão
  1. Na seção CONFIGURAÇÕES do Painel de Navegação, selecione Trabalho de Verificação. O painel de trabalho Configurações do Trabalho de Verificação é exibido.

  2. Na parte superior do painel de trabalho (que contém uma lista de trabalhos de verificação configuráveis), selecione Trabalho de Verificação em Tempo Real.

  3. Na parte denominada Verificar do painel de trabalho, selecione as caixas de correio e as pastas públicas a serem protegidas. Para obter mais informações, consulte Sobre caixas de correio e pastas públicas.

  4. Você também pode especificar o Texto de Exclusão, que é usado para substituir o conteúdo de um arquivo infectado durante uma operação de exclusão. O texto de exclusão padrão informa que um arquivo infectado foi removido, o nome desse arquivo e o vírus encontrado. Para criar sua própria mensagem personalizada, clique em Texto de Exclusão.

    ObservaçãoObservação:
    O FSE fornece palavras-chave que podem ser usadas no campo de texto de exclusão para obter as informações da mensagem na qual a infecção foi encontrada. Para obter mais informações sobre esse recurso, consulte Macros de substituição de palavra-chave.
  5. Clique em Salvar para salvar a configuração do seu trabalho de verificação.

Existem várias configurações que você pode ajustar para o Trabalho de Verificação em Tempo Real. Elas incluem seleção do scanner de arquivo, ajuste, ação, notificações e quarentena.

Para definir configurações do antivírus
  1. Na seção CONFIGURAÇÕES do Painel de Navegação, clique no ícone Antivírus. O painel Configurações de Antivírus é exibido.

  2. Na lista do painel superior, selecione Trabalho de Verificação em Tempo Real. As configurações atuais do arquivo são exibidas na metade inferior do painel de trabalho.

  3. Na lista de scanners de terceiros disponíveis na seção Scanners de Arquivos, escolha os mecanismos de verificação de arquivo. Para desabilitar a verificação de vírus, mas preservar a capacidade de executar a filtragem de arquivos e de conteúdo, desmarque a caixa de seleção Verificação de Vírus no painel de trabalho Executar Trabalho da seção OPERAR do Painel de Navegação referente ao Trabalho de Verificação em Tempo Real.

  4. No campo Ajuste, selecione o ajuste para controlar quantos mecanismos devem ser usados para fornecer uma probabilidade aceitável de que o sistema esteja protegido. Para obter mais informações, consulte Vários mecanismos de verificação.

  5. No campo Ação, escolha a ação que deseja que o Forefront Security para Exchange Server execute quando um vírus for detectado. As opções são:

     

    Ignorar: Detectar Somente

    Não faz nenhuma tentativa de limpeza ou exclusão. Os vírus são reportados, mas os arquivos permanecem infectados. Entretanto, se a opção Excluir Arquivos Corrompidos Compactados, Excluir Arquivos Corrompidos Uuencode ou Excluir Arquivos Criptografados Compactados estiver selecionada em Opções Gerais, qualquer correspondência a uma dessas condições excluirá o item.

    Limpar: reparar anexo

    Tenta limpar o vírus. Em caso de êxito, o anexo ou corpo de mensagem infectado é substituído por uma versão limpa. Se não for possível limpá-lo, o anexo ou o corpo de mensagem será substituído pelo Texto de Exclusão.

    Excluir: remover infecção

    Exclui o anexo sem tentar limpá-lo. O anexo detectado é removido da mensagem e o Texto de Exclusão é inserido em seu lugar.

  6. Habilite as notificações por email selecionando Enviar Notificações. Essa configuração não afeta o log de Incidentes. Além disso, configure também as notificações (consulte Notificações por email). As notificações estão desabilitadas por padrão.

  7. Habilite ou desabilite o salvamento de anexos detectados pelo mecanismo de verificação de arquivos marcando ou desmarcando Arquivos em quarentena. A quarentena fica habilitada por padrão. A habilitação do recurso de quarentena armazena os anexos excluídos e as mensagens limpadas, permitindo que você os recupere. Entretanto, não é possível recuperar as mensagens de worm eliminadas.

  8. Clique em Salvar para salvar as configurações do antivírus.

ObservaçãoObservação:
As configurações de trabalho de verificação em tempo real também podem ser utilizadas pela verificação em segundo plano.

Selecione Trabalho de Verificação em Tempo Real no painel de trabalho Configurações de Trabalho de Verificação. As alterações feitas na parte inferior do painel de trabalho Configurações de Trabalho de Verificação se aplicam ao trabalho de verificação atualmente selecionado na lista de trabalhos. Qualquer alteração feita à configuração ativa os botões Salvar e Cancelar. Se você alterar um trabalho de verificação e tentar passar para outro trabalho de verificação ou ícone do painel sem salvá-lo, receberá um aviso solicitando que as alterações sejam salvas.

Para controlar o Trabalho de Verificação em Tempo Real, clique em OPERAR no Painel de Navegação e clique no ícone Executar Trabalho. O painel de trabalho Executar Trabalho é exibido.

Selecione o Trabalho de Verificação em Tempo Real na lista localizada na parte superior do painel de trabalho Executar Trabalho. A parte inferior do painel de trabalho Executar Trabalho mostra o status e os resultados do trabalho de verificação atualmente selecionado.

Com o Trabalho de Verificação em Tempo Real selecionado, os botões Habilitar e Ignorar controlam a operação do trabalho.

O Trabalho de Verificação em Tempo Real pode verificar vírus, realizar filtragens de arquivos ou de conteúdo ou fazer uma combinação das três tarefas. Use as caixas de seleção Verificação de Vírus, Filtragem de Arquivos e Filtragem de Conteúdo para fazer as seleções apropriadas. Qualquer alteração feita nessas configurações entra imediatamente em vigor, mesmo se o trabalho estiver em execução no momento.

A janela inferior exibe os resultados de infecção ou filtro encontrados pelo Trabalho de Verificação em Tempo Real. O FSCController armazena esses resultados em disco, no arquivo de log de vírus. Os resultados não dependem de o Forefront Server Security Administrator estar aberto. O arquivo de log de vírus poderá ser limpo quando não for mais necessário, usando o botão Limpar Log. Isso não afeta o log de incidentes.

Um subconjunto de resultados também pode ser excluído por meio da seleção de entradas na coluna Pasta (use o mouse ou a BARRA DE ESPAÇOS do teclado em combinação com as teclas SHIFT ou CTRL. Quando o subconjunto desejado estiver selecionado, pressione a tecla DELETE para removê-lo do arquivo de log de vírus.

ObservaçãoObservação:
Se um número grande de entradas for selecionado, a duração do processo de exclusão poderá ser longa. Neste caso, será exibida uma caixa de mensagem solicitando a confirmação da exclusão.

Use o botão Exportar para salvar os resultados em texto formatado ou em texto delimitado.

A parte inferior da tela relata o status do trabalho selecionado e da caixa de correio, pasta ou arquivo atualmente sob verificação.

O Forefront Security para Exchange Server oferece flexibilidade para a escolha de quais caixas de correio, pastas públicas e itens devem ser verificados em um determinado trabalho de verificação em tempo real. Você pode configurar a verificação para que ela inclua todas as caixas de correio e pastas públicas existentes e novas ou pode criar uma lista de inclusão com base nas caixas de correio e pastas públicas disponíveis.

ObservaçãoObservação:
Caixas de correio e pastas públicas com nomes inteiramente inseridos entre barras invertidas (\) não serão verificadas se o Forefront Security para Exchange Server for configurado para verificação Seletiva. Se o FSE for configurado para verificar caixas de correio ou pastas públicas, aquelas que usarem barras invertidas ou outros caracteres especiais serão verificadas.

Na área Verificar do painel de trabalho Configurações de Trabalho de Verificação, as caixas de correio e as pastas públicas têm três opções de seleção:

 

Tudo

Verifique todas as caixas de correio ou pastas públicas existentes e recém-criadas.

Nenhum

Não verifica nenhuma caixa de correio ou pasta pública.

Selecionado

Verifica caixas de correio ou pastas públicas específicas. Se você escolher a opção Selecionado, o ícone embaixo das opções será ativado. Clique nesse ícone para ver a lista de caixas de correio ou de pastas públicas no servidor.

Você pode selecionar cada caixa de correio ou pasta pública a ser verificada, clicando no respectivo nome. Também é possível usar os botões associados para selecionar a opção Tudo ou Nenhum das caixas de correio ou pastas públicas. O botão +/- inverte a seleção atual.

ObservaçãoObservação:
Selecionar todas as caixas de correio ou pastas públicas na janela de seleção não é o mesmo que selecionar a opção Tudo do painel anterior. Uma lista de inclusão é criada com base nas seleções feitas aqui. As novas caixas de correio ou pastas públicas adicionadas após essa seleção não serão incluídas automaticamente.
Para voltar ao painel principal de seleção de verificação, clique na seta no canto superior direito do painel de seleção da caixa de correio ou pasta pública.

A verificação pró-ativa do Microsoft Exchange pode ser habilitada nos servidores de pasta pública, para verificar arquivos à medida que são publicados no servidor, e nos servidores de caixa de correio, para verificar itens enviados. Você pode habilitar a verificação pró-ativa de uma das seguintes maneiras:

  • Defina o seguinte valor DWORD do Exchange do Registro como 1:

    HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan

    Por padrão, esse valor do Registro é definido como 0 (verificação pró-ativa desabilitada).

  • Marque a configuração Verificar ao Atualizar Scanner nas Opções Gerais. Quando você habilita essa configuração, o Trabalho de Verificação em Tempo Real verifica novamente as mensagens previamente verificadas quando elas forem acessadas após uma atualização do mecanismo. Essa configuração habilitada também define automaticamente o valor VirusScan do Registro como 1. Entretanto, você pode preferir habilitar a verificação pró-ativa sem verificar novamente as mensagens após as atualizações do mecanismo, pois isso pode afetar o desempenho do servidor. Neste caso, você simplesmente define o valor VirusScan do Registro como 1 e deixa a configuração Verificar ao Atualizar Scanner desabilitada (este é o padrão).

Caso o trabalho de verificação em tempo real tenha uma duração maior que a quantidade de tempo especificada para a verificação de um arquivo (o padrão é 5 minutos ou 300.000 milissegundos), o processo será finalizado e o Forefront Security para Exchange Server tentará reiniciar o serviço. Se tiver êxito, a verificação em tempo real será retomada e uma notificação será enviada ao administrador, informando que o trabalho de verificação em tempo real excedeu o tempo de verificação alocado e foi recuperado.

Quando o novo processo de verificação em tempo real é iniciado, a mensagem que provocou sua finalização é reprocessada de acordo com a ação definida para a opção Ação de Tempo Limite de Verificação em Tempo Real, na configuração Opções Gerais. Por exemplo, se ela estiver definida como Excluir, o Forefront Security para Exchange Server excluirá o arquivo, substituirá seu conteúdo pelo Texto de Exclusão para o Trabalho de Verificação em Tempo Real, registrará as informações e colocará em quarentena e arquivará o arquivo. Se o Forefront Security para Exchange Server atingir novamente o tempo limite durante o processamento da mensagem, ela será entregue sem ser verificada. (Para obter mais informações sobre as Opções Gerais, consulte Forefront Server Security Administrator.)

Se não for possível reiniciar o processo, uma notificação será enviada ao administrador, informando que o trabalho de verificação em tempo real foi interrompido. Neste caso, a verificação em tempo real de um determinado grupo de armazenamento não funcionará, mas o armazenamento de informações não será interrompido.

O tempo limite padrão de verificação de mensagens pode ser modificado por meio da criação do valor do Registro DWORD RealtimeTimeout e da configuração de um novo tempo limite. O valor é especificado em milissegundos.

Se continuar tendo problemas com o tempo limite, tente aumentar o tempo especificado no valor do Registro RealtimeTimeout. Como esse é um valor oculto do Registro, você deve criar um novo valor DWORD do Registro denominado RealtimeTimeout, definir a Base como Decimal e digitar o tempo, em milissegundos, na caixa Dados de valor. Recicle os serviços Exchange e Forefront Security para Exchange Server para que a alteração entre em vigor. Para obter mais informações sobre valores do Registro, consulte Chaves de Registro.

Por padrão, o Forefront Security para Exchange Server está configurado para verificar a presença de vírus em todos os anexos. Entretanto, para executar verificações o mais rápida e eficientemente possível, o Forefront Security para Exchange Server pode ser configurado para verificar somente os anexos mais prováveis de conter vírus. Para isso, o aplicativo determina primeiramente o tipo de arquivo e, em seguida, se esse tipo de arquivo pode ser infectado com vírus. Para determinar o tipo de arquivo, o programa analisa o cabeçalho, e não a extensão do arquivo. Esse é um método muito mais seguro, pois as extensões de arquivo podem ser facilmente falsificadas. Essa verificação melhora o desempenho do Forefront Security para Exchange Server, pois garante que nenhum anexo de arquivo possivelmente infectado seja encaminhado sem ser verificado. Se você quiser que o Forefront Security para Exchange Server ignore a verificação de tipos de arquivos que não costumam transportar vírus, defina a chave do Registro ScanAllAttachments para 0. (ScanAllAttachments é uma chave "silenciosa", ou seja, se não estiver presente, seu valor assume o padrão de 1.)

 
Mostrar: