即時掃描工作

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2009-07-27

在 Exchange 伺服器上執行的 Forefront Security for Exchange Server 即時掃描工作可立即掃描伺服器上的信箱和公用資料夾所傳送或接收的電子郵件訊息。 這個即時掃描電子郵件訊息的方法,是停止散播受感染檔案附件的最有效方法。 您可以設定即時掃描工作來掃描郵件本文及附件。 根據預設,安裝時會停用此功能,但您可藉由選取 [一般選項] 工作窗格中的 [即時本文掃描 - 即時] 核取方塊來啟用此功能。 掃描郵件本文會增加掃描郵件所需的時間。

在安裝期間,系統會為信箱伺服器建立四個即時掃描工作 (處理程序)。 您可以變更 [一般選項] 設定的 [即時處理程序計數] 值來表示每個信箱伺服器要執行的 FSCRealtimeScanner 數量,從而建立其他即時掃描工作。 其上限為 10。

執行多個即時處理程序時,第一個處理程序會掃描檔案 (如果它很忙碌,則會將檔案傳給第二個處理程序)。 如果第二個處理程序很忙碌且已啟用第三個處理程序,則會由第三個處理程序來掃描檔案。 當第一個程序可用時,Forefront Security for Exchange Server 會盡可能將檔案傳給第一個程序。 在啟動伺服器時載入多個處理程序,或是呼叫多個處理程序來掃描檔案,都會增加伺服器的負載。 除了在高容量的環境 (需要由三或四個處理程序所提供的其他重複項) 之外,並不需要有四個以上的處理程序。 Microsoft 通常會建議您在每台伺服器上針對每個處理器只啟用四個即時處理程序。

Forefront Security for Exchange Server 預設會設為使用可用即時處理程序總數的四分之一來執行背景掃描,其他處理程序則用來執行「存取式」掃描和「主動式」掃描。 例如,預設設定包含四個即時處理程序,其中三個會用於主動式和存取式掃描,一個用於背景掃描。 如果增加了即時處理程序數量,那麼也可增加背景掃描可用的處理程序數量。

根據預設,為了增強掃描效能,所有的即時掃描都只會掃描郵件附件。 若要增加本文掃描,請開啟 [一般選項] 工作窗格,並將 [本文掃描 - 即時] 選項設為 [已啟用]。 如此即可設定 Forefront Security for Exchange Server 掃描郵件本文及附件。

當您設定即時掃描工作設定時,請選取要保護的信箱與公用資料夾,並選擇性地指定 [刪除文字]。

若要選取信箱與設定刪除文字
  1. 從快速導覽的 [設定] 區段中,選取 [掃描工作]。 隨即出現 [掃描工作設定] 工作窗格。

  2. 在工作窗格的上層部分 (包含可設定的掃描工作清單),選取 [即時掃描工作]。

  3. 在工作窗格的 [掃描] 部分中,選取要保護的信箱與公用資料夾。 如需詳細資訊,請參閱關於信箱與公用資料夾

  4. 您可以選擇指定 [刪除文字],以便在刪除作業期間取代受感染檔案的內容。 預設的刪除文字會通知您已移除受感染的檔案,並列出檔案名稱和發現的病毒名稱。 若要建立您自訂的訊息,請按一下 [刪除文字]。

    注意事項注意:
    FSE 會提供可在 [刪除文字] 欄位中使用的關鍵字,以從受感染的郵件中取得相關資訊。 如需有關這項功能的詳細資訊,請參閱關鍵字替代巨集
  5. 按一下 [儲存] 儲存掃描工作組態。

您可為即時掃描工作調整各種設定。 包含檔案掃描程式選項、偏差、動作、通知和隔離。

設定防毒設定
  1. 在快速導覽的 [設定] 區段中,按一下 [防毒] 圖示。 隨即出現 [防毒設定] 工作窗格。

  2. 在上方窗格的清單中,選取 [即時掃描工作]。 工作窗格下半部會顯示檔案目前的設定。

  3. 在 [檔案掃描程式] 區段的可用協力廠商掃描程式清單中,選擇檔案掃描引擎。 若要在停用病毒掃描的同時保留執行 [檔案篩選] 和 [內容篩選] 的功能,請在快速導覽的 [作業] 區段中,為 [即時掃描工作] 清除 [執行工作] 工作窗格的 [病毒掃描] 核取方塊。

  4. 在 [偏差] 欄位中,選取偏差來控制需要使用多少個引擎,才足以保護您的系統。 如需詳細資訊,請參閱多重

  5. 在 [動作] 欄位中,選取在偵測到病毒時要 Forefront Security for Exchange Server 執行的動作。 動作選項如下:

     

    略過: 僅進行偵測

    不嘗試清理或刪除。 將會報告發現病毒,但該檔案仍維持在受感染的狀態。 不過,如果在 [一般選項] 選取 [刪除損毀的壓縮檔案]、[刪除損毀的 Uuencode 檔案] 或 [刪除加密的壓縮檔案],則只要找到符合上述任一條件的項目,便會予以刪除。

    清理: 修復附件

    嘗試清除病毒。 若順利清除,將以清理的版本取代受感染的附件或郵件本文。 若無法清除,則會以 [刪除文字] 取代附件或郵件本文。

    刪除: 移除感染

    不先嘗試清理病毒便刪除附件。 系統會從郵件中移除偵測到的附件,並在原處插入 [刪除文字]。

  6. 選取 [傳送通知] 來啟用電子郵件通知。 這個設定不會影響報告事件記錄。 此外,您也必須設定通知 (請參閱電子郵件通知)。 根據預設,系統會停用通知。

  7. 選取或清除 [隔離檔案],藉以啟用或停用儲存檔案掃描引擎所偵測到的附件。 隔離預設為啟用。 啟用隔離會儲存刪除的附件及清除的郵件,讓您能夠加以復原。 不過,無法復原已清除蠕蟲的郵件。

  8. 按一下 [儲存] 儲存您的防毒設定。

注意事項注意:
背景掃描也會使用即時掃描工作設定。

在 [掃描工作設定] 工作窗格中選取 [即時掃描工作]。 對 [掃描工作設定] 工作窗格下半部所進行的變更會套用至目前已在工作清單中選取的掃描工作。 對組態進行任何變更都會啟用 [儲存] 和 [取消] 按鈕。 如果您變更掃描工作,並嘗試移到另一個掃描工作或快速導覽圖示而不儲存,系統便會提示您儲存變更。

若要控制即時掃描工作,請按一下快速導覽中的 [作業],然後按一下 [執行工作] 圖示。 隨即出現 [執行工作] 工作窗格。

在 [執行工作] 工作窗格頂端的清單中,選取 [即時掃描工作]。 [執行工作] 工作窗格的下半部會顯示目前選取之掃描工作的狀態和結果。

選取 [即時掃描工作] 時,[啟用] 和 [略過] 按鈕可控制工作的作業。

即時掃描工作可以掃描病毒、執行檔案篩選或內容篩選,或是這三項工作的組合。 您可以使用 [病毒掃描]、[檔案篩選] 及 [內容篩選] 核取方塊來選取適當的項目。 系統會立即執行對這些設定所做的任何變更,即使工作正在執行也一樣。

下層視窗會顯示即時掃描工作所找到的感染或篩選的結果。 FSCController 會將這些結果儲存到磁碟中的病毒記錄檔,即使 Forefront Server Security 管理員未開啟也不受影響。 您可以使用 [清除記錄檔] 按鈕來清除不再需要的病毒記錄檔。 這個動作不會影響事件記錄。

您也可以在 [資料夾] 欄中選取項目 (使用滑鼠或空格鍵與 SHIFTCTRL 鍵的組合),以刪除結果的子集。 選取所要的子集之後,按下 DELETE 鍵就會從病毒記錄檔中移除子集。

注意事項注意:
如果選取大量項目,刪除程序可能會花費較長的時間。 在此情況下,會出現一個訊息方塊,要求您確認是否要刪除。

請使用 [匯出] 按鈕,以格式化的文字或分隔符號文字格式來儲存結果。

所選取工作的狀態以及目前正在掃描的信箱、資料夾或檔案都會報告在畫面底部。

Forefront Security for Exchange Server 可讓您使用即時掃描工作,彈性地選擇要掃描哪些信箱、公用資料夾及項目。 您可以設定掃描來包含所有現有和新的信箱和公用資料夾,也可以從可用信箱和公用資料夾建立包含清單。

注意事項注意:
如果將 Forefront Security for Exchange Server 設定為進行「已選取」掃描,它就不會掃描名稱是由反斜線 (\) 構成的信箱與公用資料夾。 若 FSE 是設定成掃描全部的信箱或公用資料夾,則會同時掃描使用反斜線或其他特殊字元的信箱或公用資料夾。

在 [掃描工作設定] 工作窗格的 [掃描] 部分中,信箱與公用資料夾各有三個選項:

 

全部

掃描所有現有和新建的信箱或公用資料夾。

不掃描任何信箱或公用資料夾。

已選取

掃描特定信箱或公用資料夾。 若選擇 [已選取],選項下方的圖示會變成作用中。 按一下此圖示,可查看伺服器上的信箱或公用資料夾清單。

您可以按一下信箱或公用資料夾名稱,以選擇要掃描的項目。 您可以使用相關按鈕來選取所有信箱或公用資料夾,或者都不選。 [+/-] 按鈕可新增或刪除目前的選項。

注意事項注意:
在選擇窗格中選擇所有信箱或公用資料夾,跟在先前的窗格中選擇 [全部] 選項並不相同。 您可以透過在此所做的選擇來建立包含清單, 但是在完成此選擇之後新增的信箱或公用資料夾並不會自動加入清單。
若要回到主要的掃描選擇窗格,請按一下信箱或公用資料夾選擇窗格右上角的箭頭。

Microsoft Exchange 主動掃描可以在公用資料夾上啟用,以便掃描所有公佈至伺服器的檔案,也可以在信箱伺服器上啟用,以便掃描傳送的項目。 您可以用下列其中一種方式來啟用主動掃描:

  • 將下列 Exchange DWORD 登錄值設定為 1

    HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan

    根據預設,這個登錄值設定為 0 (停用主動掃描)。

  • 核取 [一般選項] 的 [在掃描程式更新後掃描] 設定。 啟用這項設定時,如果您在引擎更新之後存取先前掃描過的郵件,即時掃描工作就會重新掃描它們。 此外,啟用這項設定也會自動將 VirusScan 登錄值設定為 1。 不過,您可能會想要啟用主動掃描,但不要在引擎更新之後重新掃描郵件,因為這樣做可能會影響伺服器效能。 在此情況下,您應該只將 VirusScan 登錄值設定為 1,並且將 [在掃描程式更新後掃描] 設定保留停用狀態 (這是預設值)。

當即時掃描工作所花的時間超過指定的檔案掃描時間 (預設為 5 分鐘或 300,000 毫秒),就會終止此處理程序,且 Forefront Security for Exchange Server 會嘗試重新啟動服務。 如果成功,則會繼續即時掃描並將通知傳送給系統管理員,以報告即時掃描工作已超過所配置的掃描時間,且已復原該動作。

啟動新的即時掃描處理程序時,會依據 [一般選項] 設定的 [即時掃描逾時動作] 所設定的動作,重新處理導致即時掃描終止的郵件。 例如,如果動作是設定為 [刪除],Forefront Security for Exchange Server 就會刪除檔案、以即時掃描工作的刪除文字取代原內容、記錄資訊,並隔離和封存檔案。 如果 Forefront Security for Exchange Server 在處理郵件時再次逾時,則將傳遞郵件而不進行掃描 (如需有關 [一般選項] 的詳細資訊,請參閱 Forefront Server Security 管理員)。

若系統無法重新啟動處理程序,便會傳送通知給系統管理員,報告即時掃描工作已停止。 在這個事件中,特殊儲存群組的即時掃描將無法運作,但資訊儲存不會停止。

您可以建立 DWORD 登錄值 RealtimeTimeout 並設定新的逾時來修改郵件掃描的預設逾時。 此值的單位為毫秒。

如果持續發生逾時問題,可嘗試增加 RealtimeTimeout 登錄值中所指定的時間。 由於這是隱藏的登錄值,所以您必須建立新的 DWORD 登錄值 (名為 RealtimeTimeout)、將 [底數] 設定為 [十進位],並在 [數值資料] 方塊中輸入時間 (以毫秒為單位)。 若要讓此變更生效,請回收 Exchange 及 Forefront Security for Exchange Server 服務。 如需有關登錄值的詳細資訊,請參閱登錄機碼

根據預設,Forefront Security for Exchange Server 已設為掃描所有附件是否含有病毒。 不過,為了要盡可能快速且有效率地執行掃描,您可以將 Forefront Security for Exchange Server 設定為只掃描比較可能包含病毒的檔案附件。 其做法是先判斷檔案類型,再判斷該檔案類型是否會遭到病毒感染。 一般應該查看檔案標頭來判斷該檔案的類型,而不是查看副檔名。 因為副檔名很容易造假,所以這種方法比較安全。 此項檢查可以提升 Forefront Security for Exchange Server 的效能,同時可確保系統一定會掃描可能受感染的檔案附件。 如果您想要讓 Forefront Security for Exchange Server 略過掃描鮮少人知道可用來夾帶病毒的檔案類型,請將登錄機碼 ScanAllAttachments 設定為 0 (ScanAllAttachments 是「隱藏」機碼。也就是說,若不存在,其值預設為 1)。

 
顯示: