檔案篩選

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2008-06-03

Forefront Security for Exchange Server 的檔案篩選功能,讓您能夠搜尋電子郵件中特定名稱、類型,以及大小的附件。 您可以設定檔案篩選在找到相符的項目時,要對附件執行的動作,例如刪除、隔離、通知,以及報告偵測到的檔案。 檔案篩選提供彈性的方法,可以偵測電子郵件中以及其他 Outlook 項目,包括工作與排程 (例如會議和約會) 的檔案附件。

您可以依據檔案類型、副檔名或名稱設定檔案篩選。 如需相關資訊,請參閱依檔案類型篩選依副檔名篩選依名稱篩選

建立和設定檔案篩選
  1. 在快速導覽中按一下 [篩選],然後按一下 [檔案] 圖示。 隨即出現 [檔案篩選] 窗格。

  2. 在上半部的工作窗格中,選取要建立檔案篩選的掃描工作。

  3. 若要偵測特定檔案名稱的檔案,請將檔案名稱新增至工作窗格的 [檔案名稱] 區段。 按一下 [新增] 按鈕,並輸入要偵測的檔案名稱 (也有按鈕可以用來 [編輯] 和 [刪除] 現有項目)。 使用向上箭頭和向下箭頭 (與 [檔案名稱] 位於同一列) 來變更所選篩選的執行順序。

    您也可以選擇設定檔案篩選,根據檔案的大小來進行篩選。 若要依大小偵測檔案,請指定比較運算子 (=、>、<、>=、<=) 及檔案大小 (單位是 KB、MB 或 GB)。 這些運算子會緊接在檔案名稱後面,且檔案名稱與運算子,或運算子與檔案大小之間都不該有空格。 檔案大小必須以英文的關鍵字 KB、MB 或 GB 的格式輸入。 [一般選項] 的 [最大容器檔案大小] 設定會指定 FSE 探索到感染的檔案時,將嘗試清除或修復的最大容器檔案大小 (單位為位元組)。

    範例:

    *.bmp>=1.2MB 所有大於或等於 1.2 MB 的 .bmp 檔案

    *.com>150KB 所有大於 150 KB 的 .com 檔案

    *>5GB 所有大於 5 GB 的檔案

  4. 指定可以與所選取的檔案名稱產生關聯的檔案類型清單。 您可以從清單中選取一個或多個檔案類型,或是選取位於清單下方的 [所有類型]。 如果在清單中找不到要與所選取的檔案名稱產生關聯的檔案類型,則可以選取 [所有類型] (如需選項方塊中列出之檔案類型的描述,請參閱檔案類型清單)。

    選取 [所有類型] 會將 Forefront Security for Exchange Server 設定為只按照檔案名稱與副檔名進行篩選。 選取 [所有類型] 時,Forefront Security for Exchange Server 會設定成偵測選取的檔案名稱,不論實際的檔案類型為何皆是如此。 如此可以防止使用者簡單地變更檔案的副檔名,就躲過篩選。

    如果您知道要搜尋的檔案類型,則可以選取適當的檔案類型而非 [所有類型],讓 Forefront Security for Exchange Server 在搜尋時更有效率。 例如,如果您想要篩選所有的 EXE 檔案,請建立篩選 *,並將檔案類型設為 EXE。

  5. 確定將 [檔案篩選] 設為 [已啟用]。 此選項預設為啟用。

  6. 指出如果篩選相符時,要採取的 [動作]。

  7. 指出是否要針對選取的檔案名稱 [傳送通知]。 這不會影響報告事件記錄。 此外,您也必須設定通知 (請參閱電子郵件通知)。 此選項預設為停用。

  8. 指出是否要針對選取的檔案名稱 [隔離檔案]。 此選項預設為啟用。 啟用隔離會儲存刪除的附件及清除的郵件,讓您能夠加以復原。 不過,無法復原已清除蠕蟲的郵件。

  9. 您可以選擇指定 [刪除文字],以便在刪除作業期間取代受感染檔案的內容。 預設的刪除文字會通知您已移除受感染的檔案,以及檔案名稱和篩選名稱。 若要建立您自訂的訊息,請按一下 [刪除文字]。

    注意事項注意:
    Forefront Security for Exchange Server 提供了可在刪除文字欄位中使用的關鍵字,讓您能取得受感染之郵件的相關資訊。 如需有關關鍵字的詳細資訊,請參閱關鍵字替代巨集
  10. 按一下 [儲存] 儲存篩選。

如果您要篩選特定檔案類型,可以建立篩選 *,並將 [檔案類型] 選項設為要篩選的確切檔案類型。

例如, 建立篩選 *,然後將 [檔案類型] 設為 [MP3]。 如此可以確保系統會篩選所有 MP3 檔案,無論這些檔案的檔案名稱或副檔名為何。

設定通用篩選 * 並使該篩選與特定檔案類型 (例如 EXE) 產生關聯的其中一個好處,就是可以防止使用者只藉由變更檔案的副檔名就躲過篩選。

注意事項注意:
如果您要篩選 Office 2003 及舊版 Microsoft Excel® 檔案,就必須在 [檔案名稱] 方塊中輸入 *.xls*,然後在 [檔案類型] 清單中選取 [WINEXCEL] 及 [DOCFILE]。 Excel 1.x 檔案是 WINEXCEL 類型檔案,但較新的 Excel 版本則是 DOCFILE 類型檔案。
若為 Office 2007 文件 (Word、Excel 以及 PowerPoint),就應該在 [檔案名稱] 方塊中使用適當的副檔名,然後在 [檔案類型] 清單中選取 OPENXML。

如果您要篩選特定副檔名的任何檔案,可以先針對副檔名建立通用篩選,然後再將 [檔案類型] 選項設為 [所有類型]。 篩選相符不區分大小寫。

例如, 先建立篩選 *.exe*,然後再將 [檔案類型] 選項設為 [所有類型]。 如此可以確保系統會篩選副檔名為 .exe 的所有檔案。

重要事項重要:
建立通用檔案篩選來停止特定檔案類型 (例如 .exe 檔案) 的所有檔案時,建議您以這個格式來撰寫篩選: *.exe*。 第二個星號 (*) 可防止在副檔名之後有附加額外字元的檔案躲過篩選。
注意事項注意:
Microsoft 建議您不要使用 [檔案類型] 設為 [所有類型] 的通用篩選 *。 這種篩選設定可能會導致報告偵測到的項目時發生重複的情況。

如果您要篩選特定名稱的所有檔案,可以先使用該檔案名稱來建立篩選,然後再將 [檔案類型] 選項設為 [所有類型]。 篩選相符不區分大小寫。

例如, 如果有病毒使用名為 payload.doc 的附加檔案,您就可以建立篩選 payload.doc,然後將 [檔案類型] 選項設為 [所有類型]。 如此可以確保系統會篩選名為 payload.doc 的任何檔案,無論這些檔案的檔案類型為何。

如果有新的病毒肆虐,而在更新病毒掃描程式來加以偵測之前,您就知道病毒所在的檔案名稱,那麼依名稱來偵測檔案附件就會非常有用。 Melissa 蠕蟲就是最好的例子。 此蠕蟲位於名為 List.doc 的檔案中,Forefront Security for Exchange Server 可以早在病毒掃描程式偵測到它之前,使用檔案篩選率先偵測出來。

選擇您要 Forefront Security for Exchange Server 在符合檔案篩選時執行的動作。 根據預設,動作會設為 [刪除: 移除內容]。

注意事項注意:
您必須為您設定的每一個檔案篩選設定動作。 [動作] 設定不是通用的。

 

略過: 僅進行偵測

記錄符合篩選條件的郵件數目,但允許郵件正常傳送。 不過,如果在 [一般選項] 選取 [刪除損毀的壓縮檔案]、[刪除損毀的 Uuencode 檔案] 或 [刪除加密的壓縮檔案],則只要找到符合上述任一條件的項目,便會予以刪除。

刪除: 移除內容

刪除檔案附件。 系統會從郵件中移除偵測到的檔案附件,並在原處插入 [刪除文字]。

清除: 消除郵件

刪除郵件系統中的郵件。 一旦您選取此選項時,便會出現警告,通知您符合此篩選的郵件,都將予以永久清除。 按一下 [是] 繼續。

注意事項注意:
不過,如果您選取 [隔離檔案] 方塊,已清除的郵件就會進行隔離,同時也可以從隔離資料庫中還原。

 

識別: 標記訊息

偵測到的郵件其主旨列或郵件標頭可標示自訂的文字或片語,這樣之後歸類到使用者收件匣的資料夾中或用於 Forefront Server Security Administrator 指定的其他用途時,就可以識別它。 按一下 [掃描工作設定] 工作窗格上的 [標記文字] 按鈕,並修改該文字,就可以修改標記。 然而,與特定掃描工作相關的所有篩選都會使用相同的標記。 此動作只適用於傳輸掃描工作。 如需有關標記文字的詳細資訊,請參閱傳輸掃描工作中的<設定傳輸掃描工作>。

建立檔案篩選之後,您可加以修改。

編輯檔案篩選
  1. 在快速導覽中按一下 [篩選],然後按一下 [檔案] 圖示。 隨即出現 [檔案篩選] 窗格。

  2. 在上半部的工作窗格中,選取要修改檔案篩選的掃描工作。

  3. 對各種欄位進行必要的變更, 這些變更會套用至選取的掃描工作。

  4. 按一下 [儲存] 儲存篩選變更。

    對組態進行任何變更都會啟用 [儲存] 和 [取消] 按鈕。如果您對選取的掃描工作進行變更,並嘗試移到其他掃描工作或快速導覽圖示而不儲存,系統便會提示您儲存或捨棄變更。

使用萬用字元,可以讓篩選比對檔案名稱中的模式,而非特定的檔案名稱。 您可以使用下列任一項來調整您的篩選:

 

*

用來比對檔案名稱中任意數量的字元。 您可以使用多個星號。 以下是其用法的部份範例:

單一:下列任一個單一萬用字元模式都可偵測到 veryevil.doc:

veryevil.*、very*.doc、very*、 *il.doc。

多個:下列任一個多重萬用字元模式都可偵測到 eicar.com: e*c*r*om、 ei*.*、 *car.*。

注意事項注意:
要篩選包含多個副檔名的檔案附件,可以使用多個星號。 例如, love*.*.*

 

?

用來比對名稱中的任意單一字元,該名稱中會有可變更的單一字元。 例如,

virus?.exe 會找到 virusa.exe、virus1.exe 或 virus$.exe。 不過,此篩選將無法找到 virus.exe。

[set]

連續的字元及範圍,以方括號括住 (例如 [abcdef])。 此方法會比對指定集合內的任何單一字元。 例如,

klez[a-h].exe 會找到從 kleza.exe 到 klezh.exe 的檔案。

[^set]

用來排除檔案名稱中確定未使用的字元。 例如,

klez[^m-z].exe 不會尋找 klezm.exe 到 klezz.exe 的檔案。

[range]

用來指出集合內的數個可能值, 由一個開始字元、一個連字號 (-) 和一個結束字元所組成。 例如,

klez[ad-gp].exe 將比對 kleza.exe、klezd.exe、klezf.exe 和 klezp.exe,但不會比對 klezb.exe 或 klezr.exe。

\char

表示特殊字元將當作一般文字使用 (特殊字元包括: * ? [ ] - ^ < >)。反斜線稱為逸出字元,其後的保留控制字元會被視為文字字元。 例如,

如果輸入 *hello*,系統會比對任何包含 hello 字元的檔案名稱。 如果輸入 *\*hello\**,系統便會比對 *hello*。 如果輸入 *\*hello\?\**,則會比對 *hello?*。

注意事項注意:
您必須在每個特殊字元前面使用 \。

使用檔案篩選結合傳輸掃描工作時,您可以將篩選設定為只檢查輸入或輸出郵件。 在 [檔案名稱] 工作窗格輸入檔案名稱時,加上 <in> 或 <out> 前置詞,便可以達到上述目的:

(如需輸入、輸出及內部指定的相關資訊,請參閱傳輸掃描工作)。

注意事項注意:
前置詞與檔案名稱之間不能有空格。
注意事項注意:
前置詞 <in> (用於輸入郵件) 和 <out> (用於輸出郵件) 只能使用英文。

在檔案名稱前面加上 <in> 指示詞,表示要讓 Forefront Security for Exchange Server 只將這個篩選套用到輸入郵件。

<in>檔案名稱

在檔案名稱前面加上 <out> 指示詞,表示要讓 Forefront Security for Exchange Server 只將這個篩選套用到輸出郵件。

<out>檔案名稱

如果檔案名稱前沒有附加前置詞,篩選就會套用到所有郵件,不論方向為何。

大致來說,容器檔案是可區分成不同組件的複雜檔案。 Forefront Security for Exchange Server 可以掃描下列容器檔案來進行篩選比對:

  • PKZip (.zip)

  • GNU Zip (.gzip)

  • 自動解壓縮 .zip 保存檔

  • Zip 檔案 (.zip)

  • Java 保存檔 (.jar)

  • TNEF (Winmail.dat)

  • 結構化儲存體 (例如,.doc, .xls 或 .ppt)

  • Open XML (例如,.docx, .xlsx 或 .pptx)

  • MIME (.eml)

  • SMIME (.eml)

  • UUENCODE (.uue)

  • Unix 磁帶保存檔 (.tar)

  • RAR 保存檔 (.rar)

  • MACBinary (.bin)

Forefront Security for Exchange Server 會掃描容器檔案的所有部分,並視需要重新封裝檔案。 例如,如果您設定檔案篩選來刪除所有 .exe 檔案,Forefront Security for Exchange Server 就會刪除容器檔案內部的 .exe 檔案 (以 [刪除文字] 取代它們),但會讓容器中的其他所有檔案保持完整。

注意事項注意:
Forefront Security for Exchange Server 無法掃描以密碼保護的檔案或加密的檔案。 雖然 FSS 不會解密這類型的檔案,不過會將檔案傳送至防毒掃描程式而且加密形式完全不變。

若要排除掃描 .zip (容器檔案) 的內容而不進行篩選比對,請在檔案篩選清單中指定 .zip 檔案名稱,然後將動作設為 [略過]。 清單中的篩選順序並不重要。 如果 .zip 檔案的名稱列於檔案篩選清單中,且其動作設定為 [略過],檔案篩選就不會掃描其內容, 但是仍然會掃描該檔案是否有病毒。 如果要略過所有 .zip 檔案,請建立篩選: *.zip,然後將動作設為 [略過]。

注意事項注意:
此功能預設只會套用到 .zip 及 .jar 檔案。 如果要讓這個功能用於其他保存類型 (TAR、GZIP、RAR、Macintosh、SMIME 及自動解壓縮 .zip 保存檔),則可以設定下列 DWORD 登錄值:
即時掃描工作 SkipFileFilterWithinCompressedRealtime
手動掃描工作 SkipFileFilterWithinCompressedManual
傳輸掃描工作 SkipFileFilterWithinCompressedInternet
如需這些登錄機碼的位置,請參閱登錄機碼。 在建立每個登錄值之後,請將這些值都設為 1,才能對指定的保存類型啟用檔案篩選。
注意事項注意:
OPENXML 檔案 (例如 Office 2007 文件) 雖然屬於 ZIP 容器檔案,但是並不會受 ZIP 容器設定影響。

您可以使用檔案篩選來封鎖部份檔案類型,並允許其他檔案類型。 本範例中允許通過的檔案是 Office 檔案,因為一般而言,Office 檔案會比其他類型的檔案安全。 它使用兩種檔案篩選,達到工作的目的。

注意事項注意:
務必在建立檔案篩選 2 之前先建立檔案篩選 1,因為篩選的套用順序是由上到下。

首先,建立允許 Office 檔案通過的檔案篩選。 在本範例中,我們稱它為檔案篩選 1。

建立檔案篩選 1
  1. 在快速導覽中按一下 [篩選],然後按一下 [檔案] 圖示。 隨即出現 [檔案篩選] 工作窗格。

  2. 按照下列步驟,建立新的檔案篩選:

    1. 按一下 [新增]。

    2. 鍵入 <in>* 當成檔案名稱,然後按 Enter。

    3. 清除 [檔案類型] 區段中的 [所有類型]。

    4. 按一下 [是] 確認。

    5. 選取 DOC、OPENXML、TNEF 檔案類型。 (TNEF 是必要的,因為它是內部郵件檔案附件的包裝函式)。

    6. 將 [動作] 設定為 [略過: 僅進行偵測]。

    7. 清除 [隔離檔案]。

    8. 儲存篩選。

接下來,建立篩選來封鎖所有檔案。 我們將它稱為「檔案篩選 2」。只要您先建立「檔案篩選 1」,就會允許 Office 檔案並封鎖其他所有檔案。

建立檔案篩選 2
  1. 在快速導覽中按一下 [篩選],然後按一下 [檔案] 圖示。 隨即出現 [檔案篩選] 工作窗格。

  2. 按照下列步驟,建立新的檔案篩選:

    1. 按一下 [新增]。

    2. 鍵入 * 當成檔案名稱,然後按 Enter。

    3. 確定選取 [檔案類型] 區段中的 [所有類型]。

    4. 依照需要,將動作設定成 [封鎖] 或 [清除]。

    5. 選取 [隔離檔案]。

    6. 選取 [傳送通知]。

    7. 儲存篩選。

注意事項注意:
請務必瞭解第一個篩選中的 [略過: 僅進行偵測] 動作幾乎會為每一個收到的附件產生事件記錄項目。此外,TNEF 用於所有的內部 Exchange 電子郵件,因此如果您在 Hub Server (限 Exchange Server 2007) 上建立這些篩選,您會為每一封電子郵件產生一個事件。 這樣您的伺服器很快地便無法應付,同時事件記錄的大小會膨脹到難以控制。 只要確定第一個規則的檔案名稱是 "<in>*",便可以解決這個問題。因此,雖然系統仍會產生很多事件,不過只會針對輸入電子郵件叫用此規則。 此外,如果您在第二個篩選選取 [隔離檔案],有可能會得到很多隔離的檔案。

建立個別的檔案篩選時,您可以建立檔案篩選清單來擁有篩選集合,以便在不同的掃描工作中使用,或僅做為整埋篩選之用。 建立個別篩選的方式與前面描述的方式相同,但現在每個篩選都是清單的一部分。

首先建立新的檔案篩選清單。

建立檔案篩選清單
  1. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單] 圖示。

  2. 在 [清單類型] 窗格中,選取 [檔案]。

  3. 在 [清單名稱] 區段中,按一下 [新增] 按鈕。

  4. 輸入新清單的名稱,然後按下 Enter。 空的清單會顯示在 [清單名稱] 區段中。

  5. 選取新的清單名稱之後,按一下 [編輯] 按鈕。 隨即出現 [編輯篩選清單] 對話方塊。 使用該對話方塊將檔案名稱新增到清單。

  6. 在 [包含在篩選] 區段中,按一下 [新增] 按鈕。

  7. 輸入要包含在篩選清單中的檔案名稱。 輸入完畢時,請按下 ENTER。 輸入的項目數量不受限制,但是必須分開輸入。 每個項目都遵循已在討論建立單一檔案篩選時說明的所有規則。

    [從篩選排除] 區段可用來輸入檔案篩選清單中永不包括的檔案名稱, 如此可避免在從文字檔案中匯入清單時,意外新增這些檔案名稱。 如需匯入檔案的相關資訊,請參閱將項目匯入篩選清單

  8. 新增項目完畢之後,請按一下 [確定]。 您剛才輸入項目的清單會依照字母順序顯示在 [清單名稱] 旁邊的窗格中。

  9. 按一下 [儲存] 儲存清單。

  10. 依照建立檔案篩選中描述的相同方式設定篩選清單。

您可以在記事本之類的文字編輯器中以離線方式建立篩選清單的資料,接著再使用 Forefront Server Security 管理員匯入適當的篩選清單。 請注意,Forefront Security for Exchange Server 只可以匯入 UTF-16 或 ANSI 檔案格式的清單。 並且無法正確匯入其他 Unicode 類型的清單。

建立項目並將項目匯入篩選清單
  1. 建立清單並將清單另存為文字檔案。 在檔案中,將每個篩選放在其專屬行中。

  2. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單]。

  3. 選取要匯入資料的目標篩選清單。

  4. 按一下 [編輯]。 隨即出現 [編輯篩選清單] 對話方塊。

  5. 按一下 [匯入] 按鈕。 隨即開啟 [檔案總管] 視窗。 請使用這個視窗瀏覽至您在步驟 1 建立的文字檔。

  6. 選取檔案,並按一下 [開啟]。

  7. 系統會將檔案匯入至 [匯入清單] 編輯器的中央窗格,方便您選取想要加入篩選清單中的項目。 您可以使用 <=== 按鈕,將所有項目移至 [包含在篩選] 區段,或使用 <--- 按鈕來移動單一項目。 您可以使用右向箭頭,將項目移至 [從匯入排除] 區段。

  8. 移動所有想要的項目之後,請按一下 [確定]。

  9. 按一下 [儲存] 儲存您的工作。

您可以建立篩選集範本與任何 Forefront Security for Exchange Server 掃描工作搭配使用。 單一篩選集範本可以與任一或所有掃描工作產生關聯,而您也可以建立多個篩選集範本,用於不同伺服器或不同掃描工作。 如需有關建立和設定篩選集範本的詳細資訊,請參閱內容篩選中的<篩選集範本>。

Forefront Security for Exchange Server 對於名稱篩選的支援,擴充至英文字元集以外的其他語言。 例如,對於包含日文字元、單字或片語的郵件附件,處理方法與英文字元集相同。

[事件] 工作窗格包含統計資料計數器,這些計數器會記錄因符合特定條件而致使所位於的郵件必須遭到清除的附件數目。 在 Windows [效能] 嵌入式管理單元中,也可以找到這些計數器。

 
顯示: