安全性與組態通知

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2012-05-14

Forefront Security for Exchange Server 包括許多與舊版不同的安全性更新與組態變更。此章節將詳細描述安全性與組態資訊,而且會視需要加以更新,以反映 Forefront Security for Exchange Server 中的新變更。

透過降低啟動 Forefront Security for Exchange Server 服務與處理程序時的權限,系統的安全性已獲得改善。這項變更能防止格式錯誤的資料入侵 Forefront Security for Exchange Server 程式碼或協力廠商掃描引擎中的安全性漏洞。許多服務與程序執行時會使用網路服務帳戶;少數則使用本機系統帳戶。當 FSS 服務啟動時,除服務執行工作所需的權限外,其他權限都將被 Forefront Security for Exchange Server 移除。

啟用的權限僅限於:

  • SeImpersonatePrivilege

  • SeChangeNotifyPrivilege

  • SeSecurityPrivilege

  • SeIncreaseQuota

  • SeTCB

  • SeAssignPrimaryToken

現在,針對資源也有限制的存取控制清單 (ACL)。Forefront Security for Exchange Server 資源的安全性已獲得改善,可避免未經授權的存取。透過此項變更,只有 Administrators 群組成員的使用者才可存取 Forefront Security for Exchange。

下表描述套用至 Forefront Security for Exchange Server 資源的 ACL。

 

資源類型 資源 ACL 集

檔案

<安裝路徑>

系統 – 完整存取權

Administrators 群組 – 完整存取權

網路服務 - 讀取

檔案

Data 資料夾

系統 – 完整存取權

Administrators 群組 – 完整存取權

網路服務 – 完整存取權

登錄

HKLM/Software/xxxxx/xxxxx

系統 – 完整存取權

Administrators 群組 – 完整存取權

網路服務 - 讀取

DCOM

FSEIMC

FSCMonitor

FSCController

FSCStatisticsService

系統 – 完整存取權

Administrators 群組 – 完整存取權

網路服務 - 讀取

以下描述一般選項的變更:

  • 引擎錯誤動作。一般選項 [引擎錯誤動作] 的預設動作已從 [略過] 變更為 [刪除]。[刪除] 動作會將錯誤記錄到程式記錄檔內、刪除導致錯誤的檔案,並在 Forefront Server Security 管理員中顯示狀態為 [已移除] 的 EngineError 項目。

  • 傳輸掃描逾時動作。一般選項 [TransportScanTimeoutAction] 的預設動作已從 [略過] 變更為 [刪除]。

  • 即時掃描逾時動作。一般選項 [RealtimeScanTimeoutAction] 的預設動作已從 [略過] 變更為 [刪除]。

  • 隔離逾時。系統新增了一個登錄值 [QuarantineTimeout],用來覆寫掃描工作逾時後的隔離。該值是 DWORD 類型。若沒有登錄值或存在的登錄值不是零,則系統會將導致掃描工作逾時的郵件隔離。若登錄值存在且值為零,則郵件不會被隔離。

  • 刪除損毀的壓縮檔案。一般選項 [DeleteCorruptedCompressedFile] 的預設設定已從 [關閉] 變更為 [開啟]。系統會將辨識為已損毀的檔案隔離。如果您不想隔離這些檔案,可以建立名為 QuarantineCorruptedCompressedFiles 的新登錄機碼設定以覆寫隔離。您必須建立 DWORD 設定,並將其值設為 0。

  • 不合法的 MIME 標頭動作。系統新增了一般選項 [不合法的 MIME 標頭動作]。啟用此選項時,Forefront Security for Exchange Server 會刪除格式錯誤以及多重標頭的郵件,這些標頭會導致無法明確辨識郵件。系統會在其中檢查是否有多重標頭及格式錯誤的部分標頭,包括 content-type、content-disposition 及 content-transfer-encoding 標頭。此選項預設為 [開啟]。

以下是其他的變更與更新:

  • ScanAllAttachments 登錄設定。所有新安裝的 Forefront Security for Exchange Server,其登錄設定 [ScanAllAttachments] 預設均為 1。此值會將 Forefront Security for Exchange Server 預設為對所有附件掃描病毒。如需此設定的相關資訊,請參閱掃描工作章節的<依類型掃描檔案>。

  • Winmail.dat 掃描。Forefront Security for Exchange Server 傳輸掃描工作會掃描 Winmail.dat 檔案中是否有病毒。Exchange 會將 Winmail.dat 檔案用於多種用途。其中一種用途是在伺服器間傳送 Winmail.dat 檔案以方便複寫 (IPM 複寫郵件)。若 Forefront Security for Exchange Server 修改了其中任一個 Winmail.dat 檔案,共用資料夾複寫處理程序便會失敗。若要避免發生此情況,您可將名為 [DoNotScanIPMReplicationMessages] 的新 DWORD 登錄機碼設定為 1,傳輸掃描工作便不會掃描 IPM 複寫郵件。

    注意事項注意:
    即使設定了此機碼,當病毒透過公用資料夾複寫進行複寫時,Forefront Security for Exchange Server 即時掃描工作仍可偵測到病毒。
  • FTP 引擎更新。系統已不再支援透過檔案傳送通訊協定 (FTP) 伺服器更新引擎。您必須使用 HTTP 或於本機使用 UCN 共用,才能進行更新。

 
顯示: