Forefront Server Security Administrator

 

Aplica-se a: Forefront Security for Exchange Server

Tópico modificado por último: 2011-06-22

O Forefront Server Security Administrator é usado para configurar e executar o Forefront Security para Exchange Server local ou remotamente. Para que o Forefront Server Security Administrator seja iniciado com êxito, é preciso que o FSCController e o Microsoft® Exchange Server estejam em execução no computador em que o Forefront Server Security Administrator está conectado. Se o Administrator for iniciado e o servidor do Exchange não estiver em execução, você receberá uma mensagem de erro.

Como o Forefront Server Security Administrator é o front-end do software Forefront Security para Exchange Server, ele pode ser iniciado e fechado sem que isso afete os processos back-end sendo executados pelos serviços do Forefront Security para Exchange Server. O Forefront Server Security Administrator também pode ser executado em modo somente leitura, para fornecer acesso aos usuários que não têm permissão para alterar configurações ou executar trabalhos, mas que precisam visualizar as informações fornecidas pela interface do usuário.

ObservaçãoObservação:
O Forefront Server Security Administrator não deve ser utilizado para conectar versões anteriores do Microsoft Antigen para Exchange.

Devido às configurações de segurança padrão no Windows XP Service Pack 2 (SP2) e Windows Server 2003 SP2, antes de usar o Forefront Server Security Administrator nesses sistemas operacionais, primeiro você deve habilitar o Administrator.

ImportanteImportante:
Devido às configurações padrão de segurança do Microsoft Windows XP Service Pack 2 (SP2) e Microsoft Windows Server 2003 (SP 2), o Forefront Server Security Administrator não será adequadamente executado logo que instalado.
Para habilitar o Forefront Server Security Administrator para execução no Microsoft Windows XP SP2
  1. Clique em Iniciar, Executar e digite dcomcnfg. A caixa de diálogo Serviços de Componentes será exibida.

  2. Na caixa de diálogo Serviços de Componente, expanda Serviços de Componente e Computadores, clique com o botão direito do mouse em Meu Computador e clique em Propriedades.

  3. Na guia Segurança COM, clique em Editar Limites em Permissões de Acesso e, em seguida, marque a caixa de seleção Permitir para o Acesso Remoto do usuário Logon Anônimo.

  4. Adicione o aplicativo Forefront Server Security Administrator à lista de exceções do firewall do Windows:

    1. Abra o Painel de Controle e selecione Central de Segurança.

    2. Selecione Administrador de Firewall. A caixa de diálogo Firewall do Windows é exibida.

    3. Selecione a guia Exceções.

    4. Clique em Adicionar Programa, selecione FSSAClient na lista e clique em OK. Isto adiciona o Forefront Server Security Administrator à lista Programas e Serviços.

    5. Selecione FSSAClient na lista Programas e Serviços.

    6. Clique em Adicionar Porta, insira um nome para a porta, insira 135 como o número da porta e selecione TCP como o protocolo.

    7. Clique em OK.

      ObservaçãoObservação:
      Se estiver preocupado com a abertura da porta 135 para todos os computadores, ela poderá ser aberta apenas para os servidores que executarem o Forefront Security para Exchange Server. Ao adicionar a porta 135, clique em Alterar Escopo e selecione Lista personalizada. Digite o endereço IP de todos os servidores Forefront a serem autorizados a acessar a porta 135.
Para habilitar o Forefront Server Security Administrator para execução no Microsoft Windows Server 2003 SP2
  1. Clique em Iniciar, selecione Executar e digite dcomcnfg. A caixa de diálogo Serviços de Componentes será exibida.

  2. Na Raiz do Console, expanda Serviços de Componentes.

  3. Expanda Computadores.

  4. Clique com o botão direito do mouse em Meu computador.

  5. Selecione Propriedades e selecione a guia Segurança COM.

  6. Em Permissões de Acesso, clique em Editar Limites e adicione a conta de logon anônimo.

  7. Marque a caixa de seleção Permitir para Acesso Remoto do usuário de Logon Anônimo.

Você pode iniciar o Forefront Server Security Administrator pelo menu Iniciar ou de um prompt de comando.

Para iniciar o Forefront Server Security Administrator pelo menu Iniciar
  1. Clique em Iniciar.

  2. Aponte para Todos os Programas.

  3. Aponte para a pasta Microsoft Forefront Server Security.

  4. Aponte para a pasta Exchange Server.

  5. Clique em Forefront Server Security Administrator.

Para iniciar o Forefront Server Security Administrator via prompt de comando
  1. Abra uma janela do prompt de comando.

  2. Navegue até o diretório de instalação do Forefront Security para Exchange Server.

    Padrão: C:\Arquivos de Programas(x86)\Microsoft Forefront Security\Exchange Server

  3. Insira FSSAclient.exe e pressione Enter.

Quando o Forefront Server Security Administrator é iniciado pela primeira vez, ele solicita que você se conecte ao servidor do Exchange em execução no computador local. Você pode usar o nome do servidor ou o alias local para se conectar ao servidor do Exchange.

O Forefront Server Security Administrator pode ser conectado a um servidor remoto do Exchange que esteja executando o Forefront Security para Exchange Server. Isso permite que o administrador utilize uma única instalação do Forefront Server Security Administrator para configurar e controlar o Forefront Security para Exchange Server em toda a rede.

Para estabelecer conexão com um servidor remoto, quando a caixa de prompt Servidor for exibida, clique no botão Procurar ou insira o nome do servidor, o endereço IP ou o nome DNS do computador remoto.

ObservaçãoObservação:
Devido às configurações avançadas de segurança do Windows Serverº2003 Service Packº1 (SP1), as configurações DCOM talvez não precisem ser atualizadas quando o Forefront Security para Exchange Server for instalado em um servidor que execute o Windows Serverº2003 SP1, para permitir o acesso remoto. Os administradores remotos precisam ter privilégios habilitados para inicialização e ativação remotas.
Como o Forefront Security para Exchange Server instala listas de controle de acesso (ACLs) na pasta de instalação, tanto nas instalações restritas ao administrador como na instalação completa do produto, é preciso que o administrador remoto tenha acesso à pasta local de instalação e à chave do Registro, como também ao servidor ao qual está se conectando.
Se encontrar problemas ao fazer a conexão do Forefront Server Security Administrator ao servidor do Exchange, tente usar o comando PING para testar a disponibilidade do servidor. Se o servidor estiver disponível, verifique se nenhuma outra instância do Forefront Server Security Administrator está conectada a ele neste momento.

Para conectar a outro servidor, selecione o comando Abrir no menu Arquivo do Forefront Server Security Administrator. A caixa de diálogo Conectar ao Servidor é exibida. Digite o nome de outro servidor que esteja executando o FSE; ou selecione, na lista suspensa, um servidor ao qual já tenha se conectado antes; ou clique em Procurar para anexar um servidor ao qual você nunca tenha se conectado. Também é possível usar a lista Servidores, na parte superior da caixa de diálogo Forefront Server Security Administrator, para rapidamente se reconectar a um servidor.

O Forefront Server Security Administrator pode ser executado em modo somente leitura. Para isso, o administrador precisa modificar as permissões do sistema de arquivos NTFS no diretório de banco de dados do Forefront Security para Exchange Server, para habilitar o acesso Modificar somente para os usuários com permissão para alterar as configurações do Forefront Security para Exchange Server. Por padrão, o diretório de banco de dados é Arquivos de Programa(x86)\Microsoft Forefront Security\Exchange Server\Dados.

Para garantir uma configuração adequada
  1. Inicie o Windows Explorer.

  2. Navegue até a pasta Microsoft Forefront Security\Exchange Server no primeiro servidor.

  3. Clique com o botão direito do mouse na pasta e selecione Propriedades. É exibida a página Propriedades.

  4. Clique na guia Segurança.

  5. Adicione um usuário ou grupo que queira que tenha acesso somente leitura.

  6. Limpe tudo que esteja em Permitir, exceto Leitura e Executar.

  7. Salve e feche as páginas de Propriedades.

  8. Navegue até a chave do Registro do Forefront Server Security. Ela está em HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

  9. Clique com o botão direito do mouse e selecione Permissões.

  10. Adicione o usuário ou grupo que queira que tenha acesso somente leitura.

  11. Limpe tudo que esteja em Permitir, exceto Leitura (a opção Permissões Especiais também deve permanecer selecionada).

  12. Navegue até a chave do Registro Administrator, logo abaixo da chave Forefront Server Security.

  13. Clique com o botão direito do mouse na chave e selecione Permissões.

  14. Adicione o usuário ou grupo que queira que tenha acesso somente leitura.

  15. Marque Controle Total.

  16. Inicie o Config. DCOM digitando dcomcnfg em Iniciar/Executar. A caixa de diálogo Serviços de Componentes será exibida.

  17. Na seção Raiz do Console, expanda a opção Serviços de Componentes.

  18. Expanda Computadores.

  19. Expanda Meu Computador.

  20. Expanda Config. DCOM.

  21. Clique com o botão direito do mouse em Config. DCOM e selecione Propriedades.

  22. Clique na guia Segurança.

  23. Clique no botão Editar da seção Permissões de Inicialização e Ativação.

  24. Adicione o usuário ou grupo que queira que tenha acesso somente leitura.

  25. Marque todas as caixas de seleção Permitir e clique em OK.

  26. Clique no botão Editar na seção Permissões de Acesso.

  27. Adicione o usuário ou grupo que queira que tenha acesso somente leitura.

  28. Marque todas as caixas de seleção Permitir e clique em OK.

  29. Salve e feche a página Propriedades.

Quando um usuário sem acesso de modificação abre a interface do usuário, ele não tem permissão para alterar configurações.

Notas:

  • A conta de sistema e a conta de serviço do Exchange devem ter total controle da pasta Forefront Security para Exchange Server, caso contrário, o Forefront Security para Exchange Server não funcionará da maneira apropriada.

  • Se você criar um usuário que faça parte do grupo de administradores, com direitos de acesso somente leitura no FSE, quando esse usuário fizer logon e tentar abrir o Forefront Server Security Administrator, ocorrerá o seguinte erro:

    ERRO: Não é possível fazer conexão com o serviço. Erro retornado. Local: CocreateInstanceEx.Error: Acesso negado.

    Este erro é causado por um aprimoramento na segurança do Windows Server 2003 SP 1. Para resolver o problema, siga estes passos:

    1. Execute DCOMCNFG em INICIAR/Executar. A caixa de diálogo Serviços de Componentes será exibida.

    2. Expanda os Serviços de Componentes.

    3. Expanda Computadores, Meu Computador e Config DCOM.

    4. Clique com o botão direito do mouse em FSCController e selecione Propriedades.

    5. Clique na guia Segurança e clique em Editar em Permissões de Inicialização e Ativação.

    6. Adicione Usuários de Domínio e clique em Permitir Início Local, Início Remoto, Ativação Local e Ativação Remota.

    7. Clique em OK nas duas caixas de diálogo abertas.

A interface do usuário do Forefront Server Security Administrator contém o Painel de Navegação, à esquerda, e os painéis de trabalho, à direita.

O Painel de Navegação divide-se em várias áreas, cada uma contendo ícones que permitem o acesso a vários painéis de trabalho:

CONFIGURAÇÕES A área CONFIGURAÇÕES permite configurar trabalhos de verificação, configurações de antivírus, atualizações de scanner, modelos e Opções Gerais.

FILTRANDO A área FILTRANDO permite configurar a filtragem de conteúdo, a filtragem de palavra-chave, a filtragem de arquivo, listas de remetentes permitidos e listas de filtros.

OPERAR A área OPERAR permite controlar a verificação de vírus a as opções de filtro, agendar e executar trabalhos de verificação e executar verificações rápidas.

RELATAR A área RELATAR permite configurar notificações, exibir e gerenciar incidentes, e exibir e gerenciar arquivos em quarentena.

As Opções Gerais, acessadas na seção CONFIGURAÇÕES do Painel de Navegação, fornece acesso a várias configurações em nível de sistema para o Forefront Security para Exchange Server. Essas opções estão armazenadas no Registro. O painel Opções Gerais elimina a necessidade de acessar diretamente o Registro durante a alteração dessas configurações. Observe que as configurações Habilitar Verificação do Forefront Security para Exchange, Conta de Processo de Transporte e Conta do Processo em Tempo Real exigem que, para que a alteração seja aplicada, os serviços do Forefront Security para Exchange Server sejam reiniciados.

Embora existam muitas opções que podem ser controladas pelo painel Opções Gerais, cada uma delas tem um padrão (habilitada, desabilitada ou um valor) que, provavelmente, é o correto para a sua empresa. Não é comum que essas configurações precisem ser alteradas. Entretanto, várias configurações foram inseridas durante a instalação e talvez você precise alterar alguma delas de vez em quando.

Para acessar o painel Opções Gerais, clique em Opções Gerais na seção CONFIGURAÇÕES do Painel de Navegação. O painel Opções Gerais é exibido.

O painel de trabalho Opções Gerais está dividido em várias seções: Diagnóstico, Registro em Log, Atualizações do Scanner, Verificação e Verificação em Segundo Plano.

Esta tabela lista e descreve as configurações na seção Diagnóstico das Opções Gerais.

 

Configuração Descrição

Transporte Adicional

Mensagens adicionais de diagnóstico são adicionadas ao arquivo programlog.txt da verificação de transporte. Desabilitada por padrão.

Manual Adicional

Mensagens adicionais de diagnóstico são adicionadas ao arquivo programlog.txt da verificação manual. Desabilitada por padrão.

Tempo Real Adicional

Mensagens adicionais de diagnóstico são adicionadas ao arquivo programlog.txt da verificação em tempo real. Desabilitada por padrão.

Notificar na Inicialização

Indica se o FSE deve enviar uma notificação para todos os endereços de email indicados na lista Administradores de Vírus sempre que o scanner de Internet for iniciado. Desabilitada por padrão.

Arquivar Email de Transporte

Permite que os administradores arquivem emails de entrada e de saída de transporte de borda ou de transporte de hub em duas pastas (denominadas Entrada e Saída), que estão localizadas na pasta de instalação do Forefront Security para Exchange Server. Cada mensagem receberá um nome, formado por ano, dia, mês, hora e um número de três dígitos. Por exemplo: 20022009102005020.eml.

Essas opções são fornecidas para ajudar os administradores e os engenheiros de suporte do Forefront Security para Exchange Server a diagnosticar e isolar problemas que os usuários estejam enfrentando.

As opções de arquivamento são:

Sem Arquivamento (o padrão) nenhum email é arquivado.

Arquivar Antes de Verificaras mensagens são arquivadas antes da verificação.

Arquivar Após Verificaras mensagens são arquivadas após a verificação.

Arquivar Antes e Depois de Verificaras mensagens são arquivadas antes e após a verificação.

Lista de Notificações Críticas

Indica aos administradores e a outros usuários quem deve ser notificado no caso de o armazenamento do Exchange ser iniciado e o Forefront Security para Exchange Server não estar ativado, ou caso o armazenamento do Forefront Security seja desativado de modo anormal. Os vários endereços de email são separados por ponto-e-vírgula. Exemplo: admin@microsoft.com;admin2@microsoft.com.

Esta tabela lista e descreve as configurações na seção Registro em log das Opções Gerais.

 

Configuração Descrição

Habilitar o Log de Eventos

Habilita o registro de eventos do FSE no log de eventos. Habilitada por padrão.

Habilitar Estatísticas e Desempenho do Sistema

Habilita o log de estatísticas de desempenho do FSE no snap-in Desempenho. Habilitada por padrão.

Habilitar Log de Programa do Forefront

Habilita o log de programa do Forefront (ProgramLog.txt). Habilitada por padrão.

Habilitar Log de Vírus do Forefront

Habilita o log de vírus do Forefront (VirusLog.txt). Desabilitada por padrão.

Habilitar Log de Incidentes – Transporte

Habilita o log de incidentes do trabalho de verificação de transporte. Habilitada por padrão.

Habilitar Log de Incidentes – Tempo Real

Habilita o log de incidentes do trabalho de verificação em tempo real. Habilitada por padrão.

Habilitar Log de Incidentes – Manual

Habilita o log de incidentes do trabalho de verificação manual. Habilitada por padrão.

Tamanho Máximo do Log de Programa

Especifica o tamanho máximo do log do programa. Expresso em kilobytes (KB); o tamanho mínimo é de 512 KB. Um valor 0 (o padrão) indica que não há limite máximo de tamanho.

Para obter mais informações sobre os arquivos de log e o snap-in de desempenho, consulte Relatórios e estatísticas.

Esta tabela lista e descreve as configurações na seção Atualizações do Scanner das Opções Gerais.

 

Configuração Descrição

Servidor de Redistribuição

Indica que este servidor está atuando como hub central para distribuir atualizações de scanner a outros servidores. Desabilitada por padrão. (Para obter mais informações, consulte Atualização de scanner de arquivo.)

Executar Atualizações na Inicialização

Indica que o mecanismo deverá ser automaticamente atualizado sempre que o FSE for iniciado. Desabilitada por padrão.

Enviar Notificação de Atualização

Indica se uma notificação deve ser enviada ao Administrador de Vírus sempre que um mecanismo de verificação é atualizado. Desabilitada por padrão. (Para obter mais informações sobre a configuração de notificações para administradores, consulte Notificações por email.)

Usar Configurações de Proxy

Indica que as configurações proxy devem ser usadas durante a recuperação de atualizações de scanner antivírus. Desabilitada por padrão, a menos que, durante a instalação, você tenha indicado que deviam ser usadas as configurações do proxy. (Para obter mais informações, consulte "Atualizando o scanner de arquivo via proxy" em Atualização de scanner de arquivo.)

Usar Credenciais UNC

Indica se credenciais UNC são necessárias durante a recuperação de atualizações de scanner antivírus. Desabilitada por padrão. (Para obter mais informações, consulte Atualização de scanner de arquivo.) As credenciais não serão aceitas se você utilizar o Microsoft Forefront Server Security Management Console para redistribuição. Portanto, não se esqueça de limpar essa configuração se estiver usando o Console de Gerenciamento do Microsoft Server Security para gerenciar as atualizações de mecanismos antivírus.

Nome/Endereço IP do Servidor Proxy

O nome e o endereço IP do servidor proxy. Opção necessária se as configurações de proxy forem usadas durante a recuperação de atualizações de scanner antivírus. Se você indicou, durante a instalação, que deviam ser usadas as configurações do proxy, o valor inserido é usado para preencher este campo.

Porta do proxy

Indica o número da porta do servidor proxy. Opção necessária se as configurações de proxy forem usadas durante a recuperação de atualizações de scanner antivírus. O padrão é porta 80. Se você indicou, durante a instalação, que deviam ser usadas as configurações do proxy, o valor inserido é usado para preencher este campo.

Nome de Usuário Proxy

O nome de um usuário com direitos de acesso ao servidor proxy, se necessário. Campo opcional.

Senha Proxy

A senha apropriada do nome de usuário do proxy, se necessário. Campo opcional.

Nome de usuário UNC

O nome de um usuário com direitos de acesso ao caminho UNC, se necessário. Campo opcional.

Senha UNC

A senha apropriada do nome de usuário UNC, se necessário. Campo opcional.

Para obter mais informações sobre a atualização de mecanismos de verificação, consulte Atualização de scanner de arquivo.

Esta tabela lista e descreve as configurações na seção Verificação das Opções Gerais.

 

Configuração Descrição

Verificação de Corpo – Manual

Habilita a verificação do corpo da mensagem no trabalho de verificação manual. Desabilitada por padrão.

Verificação de Corpo – Tempo Real

Habilita a verificação do corpo da mensagem no trabalho de verificação em tempo real. Desabilitada por padrão.

Excluir Arquivos Corrompidos Compactados

Especifica se os arquivos corrompidos compactados serão excluídos. Um arquivo corrompido compactado é um tipo de arquivo morto ou compactado que não segue o padrão desse tipo. Em geral, esses arquivos têm cabeçalhos internos definidos incorretamente ou pode ser que excedam o limite de tamanho configurado para o FSE.

Quando um arquivo compactado corrompido é detectado, o FSE o relata como um vírus CorruptedCompressedFile. Essa opção está habilitada por padrão.

A colocação desses arquivos em quarentena é determinada pelas configurações do trabalho de verificação individual. Por padrão, os arquivos identificados como corrompidos são colocados em quarentena. Você também pode criar uma nova configuração de chave do Registro denominada QuarantineCorruptedCompressedFiles para substituir a quarentena desses tipos de arquivos. A configuração DWORD deve ser criada e seu valor, definido como 0.

ObservaçãoObservação:
Além de vírus CorruptedCompressedFile, essa configuração também administra estes tipos de arquivos:

UnwritableCompressedFile - um tipo de arquivo compactado corrompido cujo conteúdo não pode ser modificado corretamente (limpo ou excluído), nem inserido novamente de maneira correta no arquivo morto pelos scanners, devido à sua natureza corrompida.

UnReadableCompressedFile - um tipo de arquivo compactado corrompido cujo conteúdo não pode ser lido corretamente fora do arquivo morto, devido à natureza corrompida do arquivo morto.

Excluir Arquivos Uuencode Corrompidos

Especifica se os arquivos corrompidos UUENCODE serão excluídos. Em geral, um arquivo Uuencoded que o FSE não pode analisar é considerado corrompido. O FSE reporta isso como um vírus CorruptedCompressedUuencodeFile. Habilitada por padrão.

Excluir Arquivos Criptografados Compactados

Especifica se um arquivo compactado criptografado com pelo menos um item criptografado em seu conteúdo é excluído (arquivos criptografados não podem ser verificados pelos mecanismos de verificação antivírus). Desabilitada por padrão. O FSE reporta isso como um vírus EncryptedCompressedFile.

Tratar arquivos ZIP que contêm arquivos altamente compactados como arquivos corrompidos compactados

Especifica se os arquivos ZIP que contêm arquivos altamente compactados são relatados como arquivos corrompidos compactados. Se o arquivo for relatado como compactado corrompido e se a opção Excluir arquivos corrompidos compactados estiver habilitada, o arquivo é excluído. Se a opção Excluir arquivos corrompidos compactados não estiver habilitada, os arquivos do arquivo ZIP são passados, na forma compactada, para verificação pelos mecanismos de vírus. O próprio arquivo ZIP também, é passado pelos mecanismos de vírus. Se for verificada e nenhum vírus for encontrado, a mensagem será entregue. Se houver uma ameaça que possa ser eliminada, a mensagem será entregue. Se houver uma ameaça que não possa ser eliminada, a mensagem será excluída. Se o arquivo está compactado com um algoritmo desconhecido, ele será tratado como corrompido compactado, independentemente da configuração desta opção. Essa opção é habilitada por padrão (ou seja, os arquivos ZIP contendo arquivos altamente compactados são tratados como arquivos corrompidos compactados).

Tratar arquivos RAR de várias partes como corrompidos compactados

Um arquivo dentro de um arquivo RAR pode ser compactado em vários arquivos ou partes, o que permite que arquivos muito grandes sejam divididos em arquivos com tamanhos menores, para facilitar a transferência. Esta opção especifica se os arquivos RAR com essas partes são relatados como corrompidos compactados.

A desabilitação desta opção permite que você receba esses arquivos. Contudo, neste caso, um vírus pode escapar da detecção se estiver dividido em vários volumes. Portanto, essa configuração é habilitada por padrão.

Se o arquivo for relatado como corrompido compactado e se a opção Excluir arquivos corrompidos compactados estiver habilitada, o arquivo é excluído. Se a opção Excluir arquivos corrompidos compactados não estiver habilitada, somente o arquivo RAR como um todo é passado para verificação pelos mecanismos de vírus. Se não for encontrada nenhuma ameaça quando o arquivo for verificado, a mensagem será entregue. Se houver uma ameaça que possa ser eliminada, a mensagem será entregue. Se houver uma ameaça que não possa ser eliminada, a mensagem será excluída. Habilitada por padrão.

ObservaçãoObservação:
Se estiver usando RAR de várias partes para compactar arquivos que excedam 100MB quando descompactados, você deve conhecer o valor do Registro MaxUncompressedFileSize. Para obter mais informações, consulte Chaves de Registro.

Tratar gzips interligados como arquivos corrompidos compactados

Vários arquivos Gnu zip (gzip) podem estar interligados em um único arquivo. Embora o FSE reconheça arquivos gzips interligados, ele talvez não reconheça arquivos individuais divididos em vários gzips interligados. Assim, por padrão, o FSE trata os gzips interligados como corrompidos compactados. Combinada com a opção Excluir Arquivos Corrompidos Compactados, esse comportamento padrão impede que todos os gzips interligados passem, evitando possíveis infecções.

A desabilitação da opção Tratar gzips interligados como arquivos corrompidos compactados permite que você receba gzips interligados. Neste caso, porém, um vírus pode escapar da detecção.

Verificar arquivos de documentos como contêineres - Manual

Especifica se o Trabalho de Verificação Manual deve verificar arquivos .doc e outros arquivos que usam armazenamento estruturado e o formato de dados embutidos OLE (por exemplo, .xls, .ppt ou .shs) como arquivos de contêiner. Isto garante que todos os arquivos incorporados sejam verificados como potenciais transportadores de vírus. Essa configuração não se aplica aos arquivos do Office 2007 (OpenXML); eles são sempre verificados como contêineres. Para obter mais informações sobre os arquivos OpenXML, consulte Lista de tipos de arquivo. Desabilitada por padrão.

Verificar arquivos de documentos como contêineres - Transporte

Especifica se o trabalho de verificação de transporte deve verificar arquivos .doc e outros arquivos que utilizem armazenamento estruturado e o formato de dados embutidos OLE (por exemplo, .xls, .ppt ou .shs) como arquivos de contêiner. Isto garante que todos os arquivos incorporados sejam verificados como potenciais transportadores de vírus. Para obter mais informações sobre os arquivos OpenXML, consulte Lista de tipos de arquivo. Desabilitada por padrão.

Verificar arquivos de documentos como contêineres - Em tempo real

Especifica se o Trabalho de Verificação em Tempo Real deve verificar arquivos .doc e outros arquivos que usam armazenamento estruturado e o formato de dados embutidos OLE (por exemplo, .xls, .ppt ou .shs) como arquivos de contêiner. Isto garante que todos os arquivos incorporados sejam verificados como potenciais transportadores de vírus. Para obter mais informações sobre os arquivos OpenXML, consulte Lista de tipos de arquivo. Desabilitada por padrão.

Filtragem com diferenciação de maiúsculas/minúsculas

Especifica se a filtragem de palavra-chave deve diferenciar maiúsculas de minúsculas. Desabilitada por padrão (isto é, a filtragem não diferencia maiúsculas de minúsculas).

Corrigir Bare CR ou LF em Cabeçalhos Mime

Especifica se o FSE deve corrigir retornos de carro e alimentações de linha simples. Isso corrige uma discrepância entre o método de análise do cabeçalho MIME, utilizado pelo Microsoft Outlook® e pelo Outlook Express, e a especificação RFC 822 relacionada ao modo como o "retorno de carro (CR) simples" (0x0d) e a "alimentação de linha (LF) simples" (0x0a) são tratados em cabeçalhos MIME. Desabilitada por padrão. Se estiver habilitada, corrige as mensagens MIME para que sejam compatíveis com a especificação RFC 2822, o que significa que os retornos de carro e as alimentações de linha simples são substituídos por uma combinação "CR-LF". As mensagens com retornos de carro e alimentações de linha simples podem ser analisadas por diferentes clientes de email. Por design, o FSE analisa essas mensagens da mesma maneira que o Microsoft Outlook e o Outlook Express. Se o recurso estiver habilitado, o FSE altera essas mensagens para que fiquem compatíveis com a especificação RFC 2822 e, com isso, todos os clientes de email as analisarão da mesma maneira. Se o recurso estiver desabilitado, os clientes de email, exceto o Microsoft Outlook e o Outlook Express, poderão analisar mensagens com retornos de carro e alimentações de linha simples de modo diferente do FSE. Isso poderia fazer um vírus evitar a detecção. Para maximizar o desempenho do sistema, esse recurso é desabilitado por padrão. Se a sua organização usa clientes de email que interpretam mensagens com retornos de carro e alimentações de linha simples de modo diferente do Microsoft Outlook e do Outlook Express, você deve habilitar o recurso para segurança máxima.

Otimizar o desempenho sem verificação de mensagens já examinadas para detecção de vírus - Transporte

Configura o Forefront Security para Exchange Server para ignorar a verificação de mensagens já examinadas anteriormente por alguma instância do Forefront Security para Exchange Server, em qualquer configuração. Isto se aplica às mensagens que estão sendo recebidas nos servidores de transporte, mas que já foram verificadas pelo Forefront Security para Exchange Server em outro servidor de transporte da organização do Exchange. Habilitada por padrão.

Verificar ao Atualizar Scanner

Faz com que os arquivos verificados anteriormente sejam mais uma vez examinados quando acessados depois de uma atualização do scanner. Isto se aplica às mensagens armazenadas no servidor de caixa de correio ou em um servidor de pasta pública. Essa configuração fornece uma proteção de segurança maior para verificar outra vez as mensagens já verificadas. As mensagens são novamente verificadas na primeira vez em que ocorre o evento “durante acesso” no servidor de caixa de correio e durante todos os eventos “durante acesso” após o evento inicial, caso novas assinaturas de vírus tenham sido recebidas desde a última vez em que a mensagem foi verificada. Desabilitada por padrão.

CuidadoCuidado:
Quando essa opção está habilitada e ocorre uma atualização de mecanismo enquanto uma verificação em segundo plano está em andamento, a verificação em segundo plano é reiniciada no email que estava sendo verificado. Se as atualizações continuarem a ocorrer após a verificação em segundo plano, esta continuará a ser executada indefinidamente. Portanto, é recomendável que você não agende uma verificação em segundo plano para um grande conjunto de dados se essa opção estiver habilitada.
ImportanteImportante:
Quando essa opção está habilitada, o servidor de caixa de correio pode passar por uma intensa verificação de vírus, o que pode impactar seu desempenho. Além disso, saiba que habilitar essa configuração automaticamente habilita também a verificação pró-ativa; para obter mais informações, consulte "Sobre a verificação pró-ativa" em Trabalho de verificação em tempo real.
ObservaçãoObservação:
As mensagens recuperadas pelos clientes Microsoft Outlook 2003 ou Microsoft Outlook 2007 em execução no modo de cache geram apenas um evento “durante acesso” quando são originalmente sincronizadas com o cliente. Elas não são novamente verificadas no servidor quando são acessadas no cliente local e recuperadas do cache. Para verificar novamente essas mensagens já recuperadas, use a opção Habilitar Verificação em Segundo Plano se 'Verificar ao Atualizar Scanner' estiver habilitada na seção Verificação em Segundo Plano de Opções Gerais. Se a verificação em segundo plano detectar um vírus em uma mensagem e limpar ou eliminar a mensagem, na próxima vez que o cliente Outlook fizer nova sincronização com o servidor, a mensagem infectada já recuperada será limpa ou eliminada.

Realizar pesquisa reversa de DNS

Permite habilitar ou desabilitar pesquisas reversas de DNS para determinação de entrada e saída, caso a lista Endereço Interno contenha outras entradas que não o nome de domínio do servidor. A determinação de entrada e saída é utilizada pela filtragem de palavra-chave e de arquivo. Quando selecionada (habilitada), o Forefront Security para Exchange Server usa a pesquisa reversa de DNS para obter o nome de domínio e fazer a determinação de entrada e saída. Se a opção não estiver selecionada (desabilitada), o Forefront Security para Exchange Server utilizará as informações do cabeçalho recebido, como também as informações de roteamento seguro do Agente de Transporte do Exchange, para fazer a determinação de entrada e saída. Desabilitada por padrão.

Limpar Mensagem se Corpo da Mensagem Excluído - Transporte

Algumas mensagens carregam vírus no corpo do arquivo de mensagem. Quando todo o corpo da mensagem ou parte dele é excluído para remoção de vírus, o Forefront Security para Exchange Server insere um texto de exclusão em seu lugar. Se os administradores não quiserem que os usuários de email recebam mensagens limpas contendo um texto de exclusão, eles podem usar esta configuração para eliminar mensagens cujo corpo total ou parcial tenha sido excluído pelo Forefront Security para Exchange Server, e não haverá nenhum anexo. Observe que se uma mensagem contiver HTML e texto sem formatação, e o HTML for excluído, a mensagem será eliminada se esta opção estiver selecionada. Desabilitada por padrão.

Habilitar Forefront Security para Verificação do Exchange

Permite que os administradores habilitem ou desabilitem todos os trabalhos selecionados do Forefront Security para Exchange Server. As opções são Desabilitar Tudo, Habilitar a Verificação de Armazenamento (em tempo real e manual), Habilitar a Verificação de Transporte e Habilitar Tudo (o padrão). Após alterar essa configuração, recicle os serviços do Forefront Security para Exchange Server. (Para obter mais informações sobre a reciclagem de serviços, consulte "Reciclando os serviços do Forefront Security para Exchange Server" em Serviços do Forefront Security para Exchange Server.)

Contagem de processo de transporte

Opção utilizada para alterar o número de processos FSCTransportScanning utilizados pelo Forefront Security para Exchange Server. O valor padrão é 4. É possível criar até 10 processos de transporte. Após alterar essa configuração, recicle os serviços do Forefront Security para Exchange Server. (Para obter mais informações sobre essa configuração, consulte Trabalho de verificação de transporte.)

Contagem de processo de tempo real

Opção utilizada para alterar o número de processos em tempo real utilizados pelo Forefront Security para Exchange Server. O valor padrão é 4. É possível criar até 10 processos em tempo real. Após alterar essa configuração, recicle os serviços do Forefront Security para Exchange Server. (Para obter mais informações sobre essa configuração, consulte Trabalho de verificação em tempo real.)

Prioridade manual do Forefront

Permite que os administradores definam a prioridade das verificações manuais de CPU como: Normal (o padrão), Abaixo do Normal ou Baixa, para permitir que os trabalhos mais importantes tenham precedência sobre as verificações manuais quando houver muita demanda de recursos do servidor.

Ação de Erro do Mecanismo

Permite que os administradores determinem a ação que o Forefront Security para Exchange Server deverá executar se ocorrer um erro de mecanismo de verificação. (Os exemplos incluem exceção de mecanismo, excesso de operações de leitura/gravação, vírus encontrado sem um nome, vários erros de mecanismo e qualquer outro código de falha retornado por um mecanismo.) As opções são: Ignorar, que registra o erro no log do programa; Ignorar: somente detectar, que registra o erro no log do programa e exibe uma entrada EngineError com o estado Detectado na interface do usuário; e Excluir, que registra o erro no log do programa, exclui o arquivo que causou o erro e exibe uma entrada EngineError com o estado Removido na interface do usuário. O arquivo que gerou o erro será sempre colocado em quarentena. O valor padrão é Excluir.

Ação do cabeçalho MIME ilegal

Se o Forefront Security para Exchange Server encontrar um cabeçalho MIME ilegal durante a verificação, o programa poderá ser configurado para Limpar: eliminar mensagem (padrão) ou Ignorar a mensagem. Os cabeçalhos MIME ilegais são mensagens em que o cabeçalho Content-Disposition ou Content-Type é mais longo do que deveria ser. Por padrão, as mensagens identificadas são colocadas em quarentena. Se você não quiser que as mensagens identificadas sejam colocadas em quarentena, crie um novo valor do Registro DWORD, denominado DisableQuarantineForIllegalMimeHeader, e defina-o como 1 para cancelar a quarentena.

Ação de tempo limite da verificação de transporte

Indica o que deverá ser feito se o tempo limite do trabalho de verificação de transporte for atingido durante a verificação de um arquivo. As opções são Ignorar, Ignorar: detectar somente e Excluir. A configuração Ignorar permite que o arquivo passe sem ser verificado. A configuração Ignorar relata no log de incidentes e no log de programa que o arquivo excedeu o tempo de verificação e permite que ele passe sem ser verificado. A configuração Excluir também relata o evento e substitui o conteúdo do arquivo pelo texto de exclusão. Uma cópia do arquivo será armazenada no banco de dados Quarentena se o recurso de quarentena estiver habilitado e se a opção Ação de Tempo Limite de Verificação de Transporte estiver definida como Ignorar ou Excluir. O valor padrão é Excluir.

Ação de tempo limite da verificação em tempo real

Indica o que deverá ser feito se o tempo limite do trabalho de verificação em tempo real for atingido durante a verificação de um arquivo. As opções são Ignorar, Ignorar: detectar somente e Excluir. A configuração Ignorar permite que o arquivo passe sem ser verificado. A configuração Ignorar relata no log de incidentes e no log de programa que o arquivo excedeu o tempo de verificação e permite que ele passe sem ser verificado. A configuração Excluir também relata o evento e substitui o conteúdo do arquivo pelo texto de exclusão. Uma cópia do arquivo será armazenada no banco de dados Quarentena se o recurso de quarentena estiver habilitado e se a opção Ação de Tempo Limite de Verificação em Tempo Real estiver definida como Ignorar ou Excluir. O valor padrão é Excluir.

Colocar Mensagens em Quarentena

O Forefront Security para Exchange Server executa duas operações de quarentena diferentes: quarentena de mensagens inteiras ou quarentena apenas dos anexos. As mensagens inteiras são colocadas em quarentena somente em filtros de conteúdo e em filtros de arquivo que estejam configurados para eliminá-las quando a opção de quarentena está habilitada. As opções são:

Colocar em Quarentena como Arquivo EML Único (padrão) - a mensagem e todos os anexos são colocados em quarentena no formato de arquivo EML.

Colocar Separadamente Corpo e Anexo da Mensagem em Quarentena - as mensagens são colocadas em quarentena em partes separadas (corpo e anexos).

Para obter uma descrição completa dessa configuração, consulte Quarentena.

Observe que essas configurações não se aplicam a arquivos colocados em quarentena como resultado da verificação de vírus. Quando uma infecção é detectada, somente os anexos infectados são colocados em quarentena.

Enviar a partir da segurança de quarentena

Este valor oferece aos administradores flexibilidade para lidar com mensagens e anexos encaminhados da quarentena. As opções dessa configuração são Modo Seguro e Modo de Compatibilidade.

  • O Modo Seguro faz com que todas as mensagens e anexos entregues pela quarentena sejam verificados outra vez para detecção de vírus e correspondências de filtros. Essa é a configuração padrão.

  • O Modo de Compatibilidade permite que mensagens e anexos sejam entregues a partir da Quarentena sem a verificação de correspondências de filtros. (Mensagens e anexos são sempre verificados para detecção de vírus.) O Forefront Security para Exchange Server identifica essas mensagens com um texto especial de marca na linha de assunto de todas as mensagens entregues pela quarentena.

(Para obter mais informações sobre como usar essa configuração, consulte Relatórios e estatísticas.)

Transportar Informações de Remetente

Por padrão, o Forefront Security para Exchange Server utiliza o endereço de remetente de cabeçalho MIME DE no trabalho de verificação de transporte. Essa configuração permite aos administradores usar o endereço de remetente DE, do protocolo SMTP, para o Trabalho de Verificação de Transporte. Quando a opção Usar Protocolo de Transporte EMAIL DE está selecionada, o endereço nesse campo é usado em todos os locais em que o endereço do remetente é usado; por exemplo, na filtragem de conteúdo de remetente ou domínio, em notificações ou em relatórios do Administrator. As opções dessa configuração são:

  • Usar MIME De: Cabeçalho (padrão).

  • Usar Protocolo de Transporte EMAIL DE

Observe que, quando a opção MIME De está selecionada e um cabeçalho de remetente MIME também está presente, são utilizadas as informações do cabeçalho de remetente MIME.

Número Máximo de Infecções de Arquivo do Contêiner

Este valor especifica o número máximo de infecções permitidas em um arquivo compactado. Se esse número for excedido, todo o arquivo será excluído e um incidente será registrado, comunicando que foi encontrado um vírus ExceedinglyInfected. O valor zero significa que uma única infecção fará todo o contêiner ser excluído. Neste caso, o incidente registrado tem a mensagem "Contêiner Removido" anexada à correspondência de filtro. O valor padrão é de 5 infecções.

Tamanho Máximo de Arquivo do Contêiner

Especifica o tamanho máximo do arquivo contêiner (em bytes) que o FSE tentará limpar ou reparar caso um arquivo infectado seja detectado. O padrão é 26 MB (26.214.400 bytes). Arquivos maiores que o tamanho máximo serão excluídos se estiverem infectados ou se atenderem às regras de filtro. O Forefront Security para Exchange Server reporta esses arquivos excluídos como vírus LargeInfectedContainerFile.

Número Máximo de Anexos Aninhados

Especifica o limite máximo de documentos aninhados que podem ser exibidos em arquivos MSG, TNEF, MIME e UUEncoded. Observe que, para o Trabalho de Verificação em Tempo Real, um arquivo MSG aninhado não é tratado como um arquivo aninhado com determinados clientes de email. Se o número máximo for excedido, o FSE excluirá o documento e relatará um incidente ExceedinglyNested. O valor padrão é 30.

Número Máximo de Arquivos Compactados Aninhados

Especifica a profundidade aninhada máxima de um arquivo compactado. Se esse número for excedido, todo o arquivo será excluído e o FSE enviará uma notificação, comunicando que o vírus ExceedinglyNested foi encontrado. Um valor 0 representa que uma quantidade infinita de elementos aninhados é permitida. O padrão é 5.

Tempo máximo de verificação de contêiner (msec) – Tempo real/Transporte

Especifica o número de milissegundos em que o Trabalho de Verificação em Tempo Real ou o Trabalho de Verificação de Transporte verificará um anexo compactado antes de relatá-lo como um vírus ScanTimeExceeded. O objetivo é evitar o risco de negação de serviço, gerado por zip de ataque de destruição. O valor padrão é de 120.000 milissegundos (dois minutos).

Tempo máximo de verificação de contêiner (msec) – Manual

Especifica o número de milissegundos em que o Trabalho de Verificação Manual verificará um anexo compactado antes de relatá-lo como vírus ScanTimeExceeded em verificações manuais. O objetivo é evitar o risco de negação de serviço, gerado por zip de ataque de destruição. O valor padrão é 600.000 milissegundos (dez minutos).

Endereço Interno

O Forefront Security para Exchange Server pode ser configurado para enviar diferentes notificações para remetentes e destinatários internos e externos. Se sua lista de nomes internos for pequena, insira os nomes de domínio no campo Endereço Interno, para mostrar a quem deve ser enviada notificação interna. Os domínios devem ser inseridos como uma lista delimitada por ponto-e-vírgula (por exemplo: microsoft.com;microsoft.net;company.com), sem espaços. Qualquer alteração nesse valor influenciará imediatamente as notificações de vírus.

Ao digitar um nome de domínio no campo Endereço Interno, lembre-se de que a entrada abrange os subdomínios.

Por exemplo: domain.com inclui subdomain.domain.com e subdomain2.domain.com.

Domínios alternativos, como domain.net ou domain.org, devem ser inseridos individualmente.

Os valores inseridos em Endereço Interno são usados como uma correspondência de subseqüência do final de um endereço de email. Por exemplo, “soft.com” incluiria “alguém@microsoft.com” e “alguém@abcdef123soft.com” como endereços internos.

Se você tiver uma quantidade grande de domínios para uso como endereço interno, insira-os em um arquivo externo denominado Domains.dat, deixando o campo Endereço Interno em branco. O Domains.dat foi criado como um arquivo vazio no diretório DatabasePath, durante a instalação. É um arquivo de texto, no qual você insere todos os seus domínios internos, cada um em uma linha separada. Diferentemente do campo Endereço Interno, todos os subdomínios devem ser inseridos individualmente.

Para usar o arquivo externo Domains.dat, é preciso alterar o valor da chave de registro UseDomainsDat para 1 (o valor padrão é 0). Para obter mais informações sobre essa chave, consulte Chaves de Registro.

ObservaçãoObservação:
O arquivo Domains.dat é recarregado às 02:00 (2:00 da manhã) todo dia. É quando as alterações que você fez no arquivo começam a ter efeito.

(Para obter mais informações sobre endereços internos e notificações, consulte Notificações por email.)

Hosts Externos de Transporte

Se você estiver usando um Transporte de Borda ou Transporte de Hub para encaminhar emails em seu ambiente Exchange, poderá digitar o endereço IP do servidor de transporte de borda para que o Forefront Security para Exchange Server trate todos os emails que vierem desse servidor como entrada, ao determinar quais filtros e trabalhos de verificação deverão ser usados para uma mensagem. Se não digitar o endereço IP do Transporte de Borda ou Transporte de Hub, o Forefront Security para Exchange Server utilizará a lógica interna para determinar se as mensagem são de entrada ou não. Os endereços IP devem ser inseridos na forma de lista delimitada por ponto-e-vírgula e sem espaços.

Esta tabela lista e descreve as configurações na seção Verificação em Segundo Plano das Opções Gerais.

 

Configuração Descrição

Habilitar Verificação em Segundo Plano se a Opção 'Verificar ao Atualizar Scanner' Estiver Habilitada

Indica se o FSE deve iniciar uma verificação em segundo plano sempre que o mecanismo de verificação for atualizado, caso a opção Verificar ao Atualizar Scanner esteja habilitada na configuração Opções Gerais. Habilitada por padrão.

Verificar Somente Mensagens com Anexos

Indica que a verificação em segundo plano deverá verificar somente as mensagens que incluírem anexos. Habilitada por padrão.

Verificar Somente Mensagens Não Verificadas

Indica que o trabalho de verificação em segundo plano deve verificar somente as mensagens que ainda não foram verificadas. Desabilitada por padrão.

Verificar Mensagens Recebidas nos Últimos <x> Dias

Estabelece um limite para a verificação em segundo plano ao permitir que os administradores configurem o Forefront Security para Exchange Server para verificar mensagens com base no tempo de existência. As opções são: A Qualquer Momento, 4 Horas, 6 Horas, 8 Horas, 12 Horas, 18 Horas,1 Dia, 2 Dias (padrão), 3 Dias, 4 Dias, 5 Dias, 6 Dias, 7 Dias e 30 Dias.

Seja cuidadoso ao configurar essa opção. Se a taxa de chegada de mensagens no servidor de caixa de correio for muito alta e se um período de verificação retroativa for muito longo, a verificação em segundo plano poderá entrar em execução contínua, o que poderá impactar negativamente o desempenho do servidor. O período retroativo de verificação deve ser definido com base no reconhecimento de uma ameaça específica ou para abranger, de modo geral, a defasagem de proteção ininterrupta entre o momento em que um possível malware é liberado no ambiente e a disponibilidade de assinaturas de proteção. Se a verificação em segundo plano estiver agendada para execução diária (consulte Verificação em segundo plano e verificação de acesso), a configuração recomendada é verificar os emails dos dois dias anteriores. Entretanto, o período deve se basear nas considerações de segurança e desempenho.    

O gerenciamento centralizado do Forefront Security para Exchange Server é controlado pelo Microsoft Forefront Server Security Management Console (FSSMC). O FSSMC permite aos administradores:

  • Instalar ou desinstalar o FSE em servidores locais e remotos.

  • Atualizar todos ou cada mecanismo de verificação em servidores locais e remotos.

  • Executar uma verificação manual em vários servidores simultaneamente.

  • Verificar as versões de FSE, mecanismos de verificação e definições de vírus em vários servidores.

  • Implantar arquivos de modelo do FSE.

  • Recuperar logs de vírus em vários servidores.

  • Recuperar arquivos em quarentena.

  • Recuperar o arquivo ProgramLog.txt em vários ou em um único servidor.

  • Recuperar informações de incidentes de vírus.

  • Implantar as configurações Opções Gerais.

  • Implantar modelos de lista de filtros.

  • Gerar relatórios HTML.

  • Enviar alertas de ataque.

Para obter instruções detalhadas sobre como usar o FSSMC, consulte o "Guia do Usuário do Console de Gerenciamento do Microsoft Forefront Server Security".

 
Mostrar: