Forefront Server Security 管理員

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2011-06-22

Forefront Server Security Administrator 可用來在本機或遠端設定並執行 Forefront Security for Exchange Server。 若要讓 Forefront Server Security Administrator 順利啟動,FSCController 和 Microsoft® Exchange Server 必須在 Forefront Server Security Administrator 所連線的電腦上執行。 如果您啟動系統管理員而 Exchange 伺服器未在執行中,您會收到錯誤訊息。

因為 Forefront Server Security Administrator 是 Forefront Security for Exchange Server 軟體的前端,所以啟動及關閉 Forefront Server Security Administrator 都不會影響 Forefront Security for Exchange Server 服務正在執行的後端處理程序。 Forefront Server Security Administrator 也可以在唯讀模式中執行,讓無權變更設定或執行工作的使用者,得以視需要檢視使用者介面所提供的資訊

注意事項注意:
您不可以使用 Forefront Server Security 管理員來連線到舊版的 Microsoft Antigen for Exchange。

因為 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 SP2 有預設的安全性設定,您必須先啟用系統管理員,才能在這些作業系統上使用 Forefront Server Security 管理員。

重要事項重要:
因為 Microsoft Windows XP Service Pack 2 (SP2) 以及 Microsoft Windows Server 2003 (SP 2) 的預設安全性設定因素,所以 Forefront Server Security 管理員第一次安裝後並不會正確執行。
在 Microsoft Windows XP SP2 上執行 Forefront Server Security 管理員
  1. 依序按一下 [開始] 和 [執行],然後輸入 dcomcnfg。 隨即出現 [元件服務] 對話方塊。

  2. 在 [元件服務] 對話方塊中,依序展開 [元件服務] 和 [電腦]、以滑鼠右鍵按一下 [我的電腦],然後按一下 [內容]。

  3. 在 [COM 安全設定] 索引標籤的 [存取權限] 底下,按一下 [編輯限制],然後對 [匿名登入] 使用者,選取 [遠端存取] 的 [允許] 核取方塊。

  4. 將 [Forefront Server Security 管理員] 應用程式新增到 Windows 防火牆例外清單:

    1. 開啟 [控制台],然後選取 [資訊安全中心]。

    2. 選取 [Windows 防火牆]。 隨即出現 [Windows 防火牆] 對話方塊。

    3. 選取 [例外] 索引標籤。

    4. 按一下 [新增程式],從清單中選取 [FSSAClient],再按一下 [確定]。 Forefront Server Security 管理員便會新增到 [程式和服務] 清單中。

    5. 在 [程式和服務] 清單中選取 [FSSAClient]。

    6. 按一下 [新增連線埠]、輸入連接埠的名稱、輸入連接埠號碼 135,然後選取 [TCP] 做為通訊協定。

    7. 按一下 [確定]。

      注意事項注意:
      如果擔心對所有電腦開啟連接埠 135,可以只對執行 Forefront Security for Exchange Server 的伺服器開啟。 新增連接埠 135 時,按一下 [變更領域],然後選取 [自訂清單]。 輸入允許其透過連接埠 135 進行存取之所有 Forefront 伺服器的 IP 位址。
在 Microsoft Windows 2003 SP2 上執行 Forefront Server Security 管理員
  1. 按一下 [開始] ,選取 [執行],然後輸入 dcomcnfg。 隨即出現 [元件服務] 對話方塊。

  2. 在 [主控台根目錄] 中,展開 [元件服務]。

  3. 展開 [電腦]。

  4. 在 [我的電腦] 上按一下滑鼠右鍵。

  5. 選取 [內容],然後選取 [COM 安全性] 索引標籤。

  6. 按一下 [存取權限] 之下的 [編輯限制],然後新增 Anonymous Logon 帳戶。

  7. 為匿名登入的使用者,選取 [遠端存取] 的 [允許] 核取方塊。

您可以從 [開始] 功能表或命令提示字元啟動 Forefront Server Security 管理員。

從 [開始] 功能表啟動 Forefront Server Security 管理員
  1. 按一下 [開始]。

  2. 指向 [所有程式]。

  3. 指向 [Microsoft Forefront Server Security] 資料夾。

  4. 指向 [Exchange Server] 資料夾。

  5. 按一下 [Forefront Server Security Administrator]。

從命令提示字元啟動 Forefront Server Security 管理員
  1. 開啟命令提示字元視窗。

  2. 瀏覽至 Forefront Security for Exchange Server 安裝目錄。

    預設為: C:\Program Files(x86)\Microsoft Forefront Security\Exchange Server

  3. 輸入 FSSAclient.exe,然後按下 Enter

第一次啟動 Forefront Server Security Administrator 時,系統會提示您連線到本機電腦上執行的 Exchange 伺服器。 您可以使用伺服器名稱或本機別名,連線到本機 Exchange 伺服器。

Forefront Server Security 管理員可以連線到執行 Forefront Security for Exchange Server 的遠端 Exchange 伺服器。 這可讓系統管理員只使用一套 Forefront Server Security Administrator 安裝,就能設定並控制整個網路的 Forefront Security for Exchange Server。

若要連線到遠端伺服器,請在 [伺服器] 提示方塊出現時,按一下 [瀏覽] 按鈕,或輸入遠端電腦的伺服器名稱、IP 位址或網域名稱系統 (DNS) 名稱。

注意事項注意:
因為 Windows Server 2003 Service Pack1 (SP1) 中有增強的安全性設定,所以當 Forefront Security for Exchange Server 安裝在執行 Windows Server 2003 SP1 的伺服器上時,您可能需要更新 DCOM 設定才能進行遠端存取。 您必須為遠端系統管理員啟用遠端啟動和遠端啟用的權限。
由於 Forefront Security for Exchange Server 會在只限系統管理員安裝與完整產品安裝的安裝資料夾中安裝存取控制清單 (ACL),因此遠端系統管理員必須擁有本機安裝資料夾和登錄機碼的存取權限,以及所連線伺服器的存取權限。
如果 Forefront Server Security 管理員連線到 Exchange 伺服器時發生問題,請嘗試使用 PING 命令來測試是否可以使用伺服器。 如果可以,請確定目前沒有其他 Forefront Server Security 管理員執行個體連線到該伺服器。

若要連線到其他伺服器,請從 Forefront Server Security 管理員的 [檔案] 功能表中選取 [開啟] 命令。 隨即出現 [連線到伺服器] 對話方塊。 輸入另一台執行 FSE 的伺服器名稱、從下拉式清單選取您連線過的伺服器,或按一下 [瀏覽] 以連線到您先前從未連線的伺服器。 您也可以使用 [Forefront Server Security 管理員] 對話方塊頂端的 [伺服器] 清單,以迅速地重新連線到伺服器。

Forefront Server Security 管理員可以在唯讀模式中執行。 若要使用此模式,系統管理員必須修改 Forefront Security for Exchange Server 資料庫目錄上的 NTFS 檔案系統權限,只允許具有 Forefront Security for Exchange Server 設定變更權限的使用者擁有修改權限。 根據預設值,資料庫目錄的位置為 Program Files(x86)\Microsoft Forefront Security\Exchange Server\Data。

確保適當的組態
  1. 啟動 Windows 檔案總管。

  2. 瀏覽至第一個伺服器上的 Microsoft Forefront Security\Exchange Server 資料夾。

  3. 以滑鼠右鍵按一下此資料夾,然後選取 [內容]。 隨即出現 [內容] 頁面。

  4. 按一下 [安全性] 索引標籤。

  5. 新增您希望擁有唯讀權限的使用者或群組。

  6. 清除 [允許] 之下的每一個項目 (除了 [讀取] 和 [執行] 之外)。

  7. 儲存並關閉 [內容] 頁面。

  8. 瀏覽至 Forefront Server Security 登錄機碼。 您可以在 HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server 下找到登錄機碼。

  9. 按一下滑鼠右鍵,然後選取 [使用權限]。

  10. 新增您希望擁有唯讀權限的使用者或群組。

  11. 清除 [允許] 下的每一個項目 (除了 [讀取] 之外) ([特殊權限] 可能也會保持選取)。

  12. 瀏覽至 Forefront Server Security 機碼下的 [管理員] 登錄機碼。

  13. 以滑鼠右鍵按一下此機碼,然後選取 [使用權限]。

  14. 新增您希望擁有唯讀權限的使用者或群組。

  15. 選取 [完全控制]。

  16. 依序從 [開始]、[執行],然後鍵入 dcomcnfg 來啟動 DCOM 設定。 隨即出現 [元件服務] 對話方塊。

  17. 在 [主控台根目錄] 區段中,展開 [元件服務]。

  18. 展開 [電腦]。

  19. 展開 [我的電腦]。

  20. 展開 [DCOM 設定]。

  21. 在 [DCOM 設定] 上按一下滑鼠右鍵,然後選取 [內容]。

  22. 按一下 [安全性] 索引標籤。

  23. 按一下 [啟動和啟用權限] 區段中的 [編輯] 按鈕。

  24. 新增您希望擁有唯讀權限的使用者或群組。

  25. 選取所有的 [允許] 核取方塊,然後按一下 [確定]。

  26. 按一下 [存取權限] 區段的 [編輯] 按鈕。

  27. 新增您希望擁有唯讀權限的使用者或群組。

  28. 選取所有的 [允許] 核取方塊,然後按一下 [確定]。

  29. 儲存並關閉 [內容] 頁面。

當不具備修改權限的使用者開啟此 UI 時,它將不允許該使用者做任何組態的變更。

附註:

  • 系統帳戶與 Exchange 服務帳戶必須有 Forefront Security for Exchange Server 資料夾的完整控制權,否則 Forefront Security for Exchange Server 將無法正常執行。

  • 如果您建立的使用者屬於擁有 FSE 唯讀權限的系統管理員群組,當使用者登入以及嘗試開啟 Forefront Server Security 管理員時,會發生下列錯誤:

    錯誤: 無法連線服務。 傳回一個錯誤。 位置: CocreateInstanceEx.Error: 拒絕存取。

    此錯誤是由 Windows Server 2003 SP 1 安全性加強所造成的。 若要解決此問題,請依照下列步驟進行:

    1. 從 [開始]、[執行] 以執行 DCOMCNFG。 隨即出現 [元件服務] 對話方塊。

    2. 展開 [元件服務]。

    3. 依序展開 [電腦]、[我的電腦],以及 [DCOM 設定]。

    4. 以滑鼠右鍵按一下 [FSCController],然後選取 [內容]。

    5. 按一下 [安全性] 索引標籤,然後按一下 [啟動和啟用權限] 中的 [編輯]。

    6. 新增 [Domain Users],然後按一下 [本機啟動]、[遠端啟動]、[本機啟用] 以及 [遠端啟用] 的 [允許]。

    7. 在兩個開啟的對話方塊中,按一下 [確定]。

Forefront Server Security 管理員使用者介面包含左邊的快速導覽及右邊的工作窗格。

快速導覽分成數個區域,每個區域都有圖示可讓您存取各種工作窗格:

設定 [設定] 區域可讓您設定掃描工作、防毒設定、掃描程式更新、範本和一般選項。

篩選 [篩選] 區域可讓您設定內容篩選、關鍵字篩選、檔案篩選、允許的寄件者清單和篩選清單。

作業 [作業] 區域可讓您控制病毒掃描和篩選選項、排程並執行掃描工作,以及執行快速掃描。

報告 [報告] 區域可讓您設定通知、檢視並管理事件,以及檢視並管理隔離檔案。

[一般選項] (從快速導覽的 [設定] 區段中存取) 可讓您存取 Forefront Security for Exchange Server 的各種系統層級設定。 這些選項全都儲存在登錄中。 [一般選項] 窗格讓您不需要直接存取登錄即可變更這些設定。 請注意,您必須重新啟動 Forefront Security for Exchange Server 服務,對 [啟用 Forefront Security for Exchange 掃描]、[傳輸處理程序計數] 及 [即時處理程序計數] 設定所做的變更才會生效。

雖然您可以透過 [一般選項] 窗格控制許多選項,不過每一個選項的預設值 (已啟用、已停用或某個值) 應該都能適合各企業的需求。 需要變更這些設定的情況並不常見。 不過,安裝期間會輸入幾個設定,您偶爾可能需要變更其中一個設定。

若要存取 [一般選項] 窗格,請按一下快速導覽 [設定] 區段中的 [一般選項]。 隨即開啟 [一般選項] 窗格。

[一般選項] 工作窗格分成數個區段: [診斷]、[記錄]、[掃描程式更新]、[掃描] 及 [背景掃描]。

此表將列出並說明 [一般選項] 之 [診斷] 區段中的設定。

 

設定 描述

其他傳輸

會為傳輸掃描將其他診斷訊息新增至 programlog.txt。 預設為已停用。

其他手動

會為手動掃描將其他診斷訊息新增至 programlog.txt。 預設為已停用。

其他即時

會為即時掃描將其他診斷訊息新增至 programlog.txt。 預設為已停用。

啟動時通知

指示每當網際網路掃描程式啟動時,FSE 就應傳送通知到病毒管理員清單中列出的所有電子郵件地址。 預設為已停用。

保存傳輸郵件

可讓系統管理員將輸入和輸出的「邊際傳輸」或「集線傳輸」電子郵件,保存在 Forefront Security for Exchange Server 安裝資料夾中的兩個資料夾內 (名稱分別為 InOut)。 會為每一封郵件指定一個由年、日、月、時間及三位數的數字所構成的檔案名稱。 例如, 20022009102005020.eml。

這些選項可協助系統管理員和 Forefront Security for Exchange Server 支援工程師診斷及分析出使用者可能遇到的問題。

保存選項如下:

沒有封存 (預設值)不保存任何郵件。

掃描前保存在掃描前保存郵件。

掃描後保存在掃描後保存郵件。

掃描前與掃描後保存在掃描前和掃描後保存郵件。

重大通知清單

指示當 Exchange 儲存區啟動而 Forefront Security for Exchange Server 未被攔截,或者 Forefront Security Store 異常關閉時,應通知的系統管理員和其他人。 系統會以分號隔開多個電子郵件地址。 範例: admin@microsoft.com;admin2@microsoft.com。

此表將列出並說明 [一般選項] 之 [記錄] 區段中的設定。

 

設定 描述

啟用事件記錄檔

讓 FSE 事件可以記錄到事件記錄檔。 預設為已啟用。

啟用效能監視與統計

啟用效能嵌入式管理單元的 FSE 效能記錄。預設值為啟用。

啟用 Forefront 程式記錄

啟用 Forefront 程式記錄 (ProgramLog.txt)。 預設為已啟用。

啟用 Forefront 病毒記錄

啟用 Forefront 病毒記錄 (VirusLog.txt)。 預設為已停用。

啟用事件記錄-傳輸

啟用傳輸掃描工作的事件記錄。 預設為已啟用。

啟用事件記錄-即時

啟用即時掃描工作的事件記錄。 預設為已啟用。

啟用事件記錄-手動

啟用手動掃描工作的事件記錄。 預設為已啟用。

最大程式記錄大小

指定程式記錄的大小上限。 以 KB 表示。最小大小為 512 KB。 0 值 (預設值) 表示大小沒有最大上限。

如需有關記錄檔及效能嵌入式管理單元的詳細資訊,請參閱報告及統計資料

此表將列出並說明 [一般選項] 之 [掃描程式更新] 區段中的設定。

 

設定 描述

重新發佈伺服器

指示以此伺服器做為中央中樞伺服器,對其他伺服器發佈掃描程式更新。 預設為已停用 (如需詳細資訊,請參閱檔案掃描程式更新)。

啟動時執行更新

指示每次啟動 FSE 時,應自動更新引擎。 預設為已停用。

傳送更新通知

指示每次更新掃描引擎時,必須傳送通知給病毒管理員。 預設為已停用 (如需有關設定系統管理員通知的詳細資訊,請參閱電子郵件通知)。

使用 Proxy 設定

指示擷取防毒掃描程式更新時所要使用的 Proxy 設定。 除非在安裝時指示使用 Proxy 設定,否則預設為停用 (如需詳細資訊,請參閱檔案掃描程式更新的<透過 Proxy 更新檔案掃描程式>)。

使用 UNC 認證

指示擷取防毒掃描程式更新時需要通用命名慣例 (UNC) 認證。 預設為已停用 (如需詳細資訊,請參閱檔案掃描程式更新)。 如果您使用 Microsoft Forefront Server Security Management Console 來重新發佈,則不支援認證。 因此,如果您要使用 Microsoft Server Security Management Console 來管理防毒引擎更新,請務必清除這個設定。

Proxy 伺服器名稱/IP 位址

Proxy 伺服器的名稱或 IP 位址。 如果在擷取防毒掃描程式更新時使用 Proxy 設定,則需要此值。 如果您在安裝時指示會使用 Proxy 設定,則會使用您輸入的值來填入此欄位。

Proxy 連接埠

指定 Proxy 伺服器的連接埠號碼。 如果在擷取防毒掃描程式更新時使用 Proxy 設定,則需要此值。 預設為連接埠 80。如果您在安裝時指示會使用 Proxy 設定,則會使用您輸入的值來填入此欄位。

Proxy 使用者名稱

具有 Proxy 伺服器存取權的使用者名稱 (如有需要)。 選用欄位。

Proxy 密碼

Proxy 使用者名稱的適當密碼 (如有需要)。 選用欄位。

UNC 使用者名稱

具有 UNC 路徑存取權的使用者名稱 (如有需要)。 選用欄位。

UNC 密碼

UNC 使用者名稱的適當密碼 (如有需要)。 選用欄位。

如需有關更新掃描引擎的詳細資訊,請參閱檔案掃描程式更新

此表將列出並說明 [一般選項] 之 [掃描] 區段中的設定。

 

設定 描述

本文掃描 – 手動

啟用手動掃描工作的郵件本文掃描。 預設為已停用。

本文掃描 – 即時

啟用即時掃描工作的郵件本文掃描。 預設為已停用。

刪除損毀的壓縮檔案

指定是否刪除損毀的壓縮檔案。 損毀的壓縮檔案雖然屬於封存或壓縮的檔案類型,但並不符合這些檔案類型的標準。 這些檔案通常具有設定錯誤的內部標頭,或者可能是檔案超過 FSE 設定的大小上限。

偵測到損毀的壓縮檔案時,FSE 會將它報告為 CorruptedCompressedFile 病毒。 預設會啟用此選項。

個別掃描工作設定將決定是否隔離這些檔案。 預設會隔離判定為損毀的檔案。 您也可以建立名為 QuarantineCorruptedCompressedFiles 的新登錄機碼設定,以便覆寫這些檔案類型的隔離設定。 您必須建立 DWORD 設定,並將其值設為 0。

注意事項注意:
除了 CorruptedCompressedFile 病毒以外,此設定也會處理下列檔案類型:

UnwritableCompressedFile - 損毀的壓縮檔案類型,因檔案損毀而使掃描程式無法正確修改 (清理或刪除) 其內容,或無法將內容正確插回到封存中。

UnReadableCompressedFile - 損毀的壓縮檔案類型,因封存損毀而無法從封存中正確讀取其內容。

刪除損毀的 Uuencode 檔案

指定是否刪除損毀的 UUENCODE 檔案。 一般而言,系統會將 FSE 無法剖析的 Uuencoded 檔案視為已損毀。 FSE 會將這些檔案報告為 CorruptedCompressedUuencodeFile 病毒。 預設為已啟用。

刪除加密的壓縮檔案

指定是否刪除至少在內容中有一個加密項目的加密壓縮檔案 (防毒掃描引擎無法掃描加密的檔案)。 預設為已停用。 FSE 會將這些檔案報告為 EncryptedCompressedFile 病毒。

將包含高度壓縮檔案的 ZIP 封存視為損毀的壓縮

指定是否將包含高度壓縮檔案的 ZIP 封存,報告為損毀的壓縮。 如果封存被報告為損毀的壓縮,而且如果已啟用 [刪除損毀的壓縮檔案] 選項,則會刪除封存。 如果未啟用 [刪除損毀的壓縮檔案],則 ZIP 封存中的檔案會傳遞至病毒引擎進行掃描,而且是使用它們的壓縮格式。 ZIP 封存本身也會傳遞至病毒引擎。 如果掃描後未發現任何威脅,就會傳遞郵件。 如果可以清理威脅,則會傳遞郵件。 如果無法清理威脅,則會刪除郵件。 如果使用不明的演算法壓縮檔案,就會將此檔案視為損毀的壓縮,無論此選項的設定為何。 預設會啟用此選項 (換言之,將包含高度壓縮檔案的 ZIP 保存檔視為損毀的壓縮檔案)。

將多段 RAR 封存視為損毀的壓縮

RAR 保存檔中的檔案可跨多個檔案或組件 (因此稱為「多組件」) 壓縮,藉此將極大的檔案細分成較小的檔案以方便傳輸。 此選項指定是否將包含類似組件的 RAR 封存,報告為損毀的壓縮。

停用此選項可讓您接收類似的檔案。 不過,在此情況下,如果檔案被分割至多個磁碟區,偵測時可能會遺漏病毒。 因此,預設會啟用此設定。

如果封存被報告為損毀的壓縮,而且如果已啟用 [刪除損毀的壓縮檔案] 選項,則會刪除封存。 如果未啟用 [刪除損毀的壓縮檔案],則只會掃描做為一個整體而傳送至病毒引擎的 RAR 封存。 如果掃描封存時未發現威脅,則會傳遞郵件。 如果發現威脅而且可以清理,則會傳遞郵件。 如果發現威脅但是無法清理,則會刪除郵件。 預設為已啟用。

注意事項注意:
如果解壓縮時,您使用多段 RAR 來壓縮超過 100MB 的檔案,則應該注意 MaxUncompressedFileSize 登錄值。 如需詳細資訊,請參閱登錄機碼

將串連的 GZIP 視為毀損的壓縮檔案

多個 Gnu zip (gzip) 檔案可以串連成單一檔案。 雖然 FSE 會辨識串連的 gzip,但是它無法辨識分割至串連 gzip 的個別檔案。 因此,FSE 預設會將串連的 gzip 視為損毀的壓縮檔案。 組合 [刪除損毀的壓縮檔案] 選項之後,此預設行為會禁止所有串連的 gzip 被放行,因而防止潛在的感染。

停用 [將串連的 Gzip 視為毀損的壓縮檔案] 選項可以讓您接收串連的 Gzip。 不過,在此情況下,偵測時可能會遺漏病毒。

掃描做為容器的 Doc 檔案 - 手動

指定手動掃描工作應掃描 .doc 檔案,以及任何其他使用結構化儲存及 OLE 內嵌資料格式 (例如,.xls, .ppt 或 .shs) 做為容器檔案的檔案。 這可確保任何內嵌檔案都會被視為可能的病毒攜帶者,以進行掃描。 此設定不適用於 Office 2007 (OpenXML) 檔案;它們會被永遠視為容器,以進行掃描。 如需 OpenXML 檔案的相關資訊,請參閱檔案類型清單。 預設為已停用。

掃描做為容器的 Doc 檔案 - 傳輸

指定傳輸掃描工作應掃描 .doc 檔案,以及任何其他使用結構化儲存及 OLE 內嵌資料格式 (例如,.xls, .ppt 或 .shs) 做為容器檔案的檔案。 這可確保任何內嵌檔案都會被視為可能的病毒攜帶者,以進行掃描。 如需 OpenXML 檔案的相關資訊,請參閱檔案類型清單。 預設為已停用。

掃描做為容器的 Doc 檔案 - 即時

指定即時掃描工作應掃描 .doc 檔案,以及任何其他使用結構化儲存及 OLE 內嵌資料格式 (例如,.xls, .ppt 或 .shs) 做為容器檔案的檔案。 這可確保任何內嵌檔案都會被視為可能的病毒攜帶者,以進行掃描。 如需 OpenXML 檔案的相關資訊,請參閱檔案類型清單。 預設為已停用。

區分大小寫的關鍵字篩選

指定關鍵字篩選應區分大小寫。 預設為停用 (也就是,篩選不區分大小寫)。

修正 MIME 標頭內的純 CR 或 LF

指定 FSE 是否應該修正純換行字元和純換行符號。 這項設定會更正 Microsoft Outlook® 與 Outlook Express 使用之 MIME 標頭剖析方法,與 RFC 822 規格在 MIME 標頭中處理「純換行字元 (CR)」(0x0d) 與「純換行符號 (LF)」(0x0a) 之間的差異。 預設為已停用。 如果您啟用這項設定,它就會將不符合規範的 MIME 郵件更正成符合 RFC 2822 規格,表示純換行字元和純換行符號會被取代成 "CR-LF" 組合。 含有純換行字元或純換行符號的郵件可由不同的電子郵件用戶端以不同的方式剖析。 根據設計,FSE 與 Microsoft Outlook 和 Outlook Express 會以相同的方式來剖析這些郵件。 如果這項功能已啟用,FSE 就會將這些郵件更改成符合 RFC 2822 規格,因此所有電子郵件用戶端都會以相同的方式剖析它們。 如果這項功能已停用,Microsoft Outlook 和 Outlook Express 以外的電子郵件用戶端可能會以有別於 FSE 的方式剖析含有純換行字元或純換行符號的郵件。 因此,病毒可能會逃避偵測。 為了發揮最佳系統效能,這項功能預設為停用。 如果組織所使用的電子郵件用戶端會以有別於 Microsoft Outlook 和 Outlook Express 的方式解譯含有純換行字元或純換行符號的郵件,您就應該啟用這項功能,以便確保最佳安全性。

透過不掃描已經過病毒掃描的郵件來最佳化效能 - 傳輸

將 Forefront Security for Exchange Server 設定為略過掃描先前已由任何組態中的 Forefront Security for Exchange Server 執行個體掃描過的郵件。 這個選項適用於傳輸伺服器上所接收,但已由 Exchange 組織中其他傳輸伺服器上的 Forefront Security for Exchange Server 掃描過的郵件。 預設為已啟用。

在掃描程式更新後掃描

會導致掃描程式更新之後,存取先前掃描的檔案時,又重新掃描一遍。 這項設定適用於儲存在信箱伺服器或公用資料夾伺服器上的郵件。 會重新掃描已經掃描過的郵件,提供加強的安全性保護。 若第一次發生信箱伺服器「存取時」事件,以及上次掃描郵件後又收到新的病毒簽章,則在初始事件之後的每個「存取時」事件時,系統會重新掃描郵件。 預設為已停用。

注意警告:
啟用這個選項之後,如果在背景掃描進行中時執行引擎更新,則系統會在掃描信箱中的第一封郵件時,重新啟動背景掃描。 如果在背景掃描完成之前,仍繼續執行更新,則背景掃描便會繼續無限期執行。因此,建議您如果已啟用這個選項,就不要針對大型資料集排定背景掃描。
重要事項重要:
啟用這個選項時,信箱伺服器在掃描病毒時可能會耗費大量資源,因而影響伺服器的效能。 此外,請注意,啟用這項設定也會自動啟用主動掃描。如需詳細資訊,請參閱即時掃描工作中的<關於主動掃描>。
注意事項注意:
在快取模式下執行之 Microsoft Outlook 2003 或 Microsoft Outlook 2007 用戶端所擷取的郵件,只會在開始與用戶端同步處理時產生「存取時」事件。 如果郵件是在本機用戶端進行存取而且是從快取中擷取的,則不會在伺服器上重新掃描這些郵件。 若要重新掃描這些已經擷取的郵件,請使用 [一般選項] 之 [背景掃描] 區段中的 [如果已啟用 [在掃描程式更新後掃描] 則啟用背景掃描] 選項。 如果背景掃描在郵件中偵測到病毒並清理或清除該郵件,則 Outlook 用戶端下次與伺服器重新同步處理時,將會清理或清除已經擷取的受感染郵件。

執行反向 DNS 查詢

當 [內部位址] 清單包含伺服器網域名稱以外的項目時,可以提供啟用反向 DNS 查詢輸入和輸出判斷的能力。 關鍵字與檔案篩選會使用輸入或輸出判斷。 若您選取這個選項 (啟用),Forefront Security for Exchange Server 就會使用反向 DNS 查詢來取得網域名稱,並進行輸入或輸出判斷。 若您清除選項 (停用),Forefront Security for Exchange Server 會使用已接收標頭中的資訊,以及 Exchange Transport Agent 中的安全路由資訊,進行輸入或輸出判斷。 預設為已停用。

如果郵件本文被刪除則清除郵件 - 傳輸

部分郵件會在郵件檔的本中文攜帶病毒。 當刪除部分或全部的郵件本文以移除病毒時,Forefront Security for Exchange Server 會將刪除文字插入其位置。 如果系統管理員不希望電子郵件使用者收到包含刪除文字的已清理郵件,則可以使用此設定,清理已被 Forefront Security for Exchange Server 刪除全部或部分郵件本文,而且沒有附件的郵件。 請注意,如果郵件同時包含 HTML 與純文字,而 HTML 已被刪除,若已選取此選項,則系統將會清除郵件。 預設為已停用。

啟用 Forefront Security for Exchange 掃描

允許系統管理員啟用或停用所有或已選取的 Forefront Security for Exchange Server 工作。 選項包括 [全部停用]、[啟用儲存庫掃描] (即時和手動)、[啟用傳輸掃描],以及 [全部啟用] (預設值)。 您變更此設定之後,必須回收 Forefront Security for Exchange Server 服務 (如需有關回收服務的詳細資訊,請參閱 Forefront Security for Exchange Server 服務中的<回收 Forefront Security for Exchange Server 服務>)。

傳輸處理程序計數

用於變更 Forefront Security for Exchange Server 所使用的 FSCTransportScanning 處理程序數目。 預設值為 4,您最多可以建立 10 個傳輸處理程序。 您變更此設定之後,必須回收 Forefront Security for Exchange Server 服務 (如需此設定的相關資訊,請參閱傳輸掃描工作)。

即時處理程序計數

用於變更 Forefront Security for Exchange Server 所使用的即時處理程序數目。 預設值為 4,您最多可以建立 10 個即時處理程序。 您變更此設定之後,必須回收 Forefront Security for Exchange Server 服務 (如需此設定的相關資訊,請參閱即時掃描工作)。

Forefront 手動優先順序

可讓系統管理員將手動掃描的 CPU 優先順序設定為: [一般] (預設值)、[一般以下] 或 [低],以便在伺服器資源需求量偏高時,允許更重要的工作比手動掃描更優先執行。

引擎錯誤動作

可讓系統管理員在掃描引擎發生錯誤時,設定 Forefront Security for Exchange Server 應採取的動作 (例如引擎例外狀況、過度的讀取/寫入作業、發現沒有病毒名稱的病毒、多重引擎錯誤以及引擎傳回的任何其他錯誤碼)。 選項包括: [忽略] (會將錯誤記錄到程式記錄)、[略過: 僅進行偵測] (會將錯誤記錄到程式記錄並在 UI 中顯示狀態為 [已偵測到] 的 EngineError 項目),以及 [刪除] (會將錯誤記錄到程式記錄、刪除造成錯誤的檔案,以及在 UI 顯示狀態為 [已移除] 的 EngineError 項目)。 導致引擎錯誤的檔案永遠會遭到隔離。 此設定的預設值為 [刪除]。

不合法的 MIME 標頭動作

如果 Forefront Security for Exchange Server 在掃描過程中遇到不合法的 MIME 標頭,您可以啟用 [清除: 消除郵件] (預設值) 以消除郵件,或將設定設為 [忽略] 郵件。 不合法的 MIME 標頭是指其內容配置或內容類型標頭超過應有長度的郵件。 系統預設會隔離所識別的郵件。 如果您不想要隔離所識別的郵件,請建立名為 DisableQuarantineForIllegalMimeHeader 的新登錄 DWORD 值,並將其值設定為 1 以覆寫隔離。

傳輸掃描逾時動作

指示在掃描檔案時,如果傳輸掃描工作逾時的話所應採取的動作。 選項包括 [忽略]、[略過: 僅進行偵測],以及 [刪除]。 [忽略] 設定會讓檔案不經掃描,直接通過。 [略過] 設定會在事件記錄和程式記錄中進行報告,指出檔案已超過掃描時間,因此未經掃描便讓其通過。 [刪除] 設定也會報告事件,並以刪除文字取代檔案內容。 如果已啟用隔離設定,而且 [傳輸掃描逾時動作] 設定為 [略過] 或 [刪除],則會在隔離資料庫中儲存一份檔案複本。 此設定的預設值為 [刪除]。

即時掃描逾時動作

指示在掃描檔案時,如果即時掃描工作逾時的話所應採取的動作。 選項包括 [忽略]、[略過: 僅進行偵測],以及 [刪除]。 [忽略] 設定會讓檔案不經掃描,直接通過。 [略過] 設定會在事件記錄和程式記錄中進行報告,指出檔案已超過掃描時間,因此未經掃描便讓其通過。 [刪除] 設定也會報告事件,並以刪除文字取代檔案內容。 如果已啟用隔離設定,而且 [即時掃描逾時動作] 設定為 [略過] 或 [刪除],則會在隔離資料庫中儲存一份檔案複本。 此設定的預設值為 [刪除]。

隔離郵件

Forefront Security for Exchange Server 會執行兩個不同的隔離作業: 隔離整封郵件或只隔離附件。 當您啟用隔離時,系統只會針對設定為 [清除] 的內容篩選及檔案篩選來隔離整封郵件。 選項包括:

[隔離為單一 EML 檔案] (預設) - 已隔離的郵件與所有的附件會以 EML 檔案格式進行隔離。

[分開隔離郵件本文和附件] - 會以個別部分隔離郵件 (本文與附件)。

如需此設定的完整說明,請參閱<隔離>。

請注意,這些設定不適用於因為病毒掃描而隔離的檔案。 當偵測到感染時,只會隔離受感染的附件。

傳遞自隔離安全性

此值可以讓系統管理員在處理從隔離區轉寄的郵件與附件時更具彈性。 此設定的選項有 [安全模式] 及 [相容模式]。

  • [安全模式] 會強制重新掃描從隔離區傳遞過來的所有郵件與附件,檢查其是否有病毒及符合篩選。 此設定為預設的設定值。

  • [相容模式] 允許郵件和附件直接從隔離區傳送,不必掃描是否有篩選符合項 (系統一律會掃描郵件與附件是否有病毒)。 Forefront Security for Exchange Server 會對這些由隔離區傳遞過來的所有郵件,在其主旨列放入特殊標記文字,以便識別。

(如需有關使用此設定的詳細資訊,請參閱報告及統計資料)。

傳輸寄件者資訊

根據預設,Forefront Security for Exchange Server 會將 MIME FROM 標頭寄件者地址用於傳輸掃描工作。 這項設定可讓系統管理員將 SMTP 通訊協定的 MAIL FROM 寄件者地址用於傳輸掃描工作。 當您選取 [使用傳輸協定 [MAIL FROM]] 時,系統便會將該欄位中的地址用於任何有使用寄件者地址的位置,例如寄件者或網域內容篩選、通知,或 Administrator 中的報告。 此設定的選項有:

  • 使用 MIME From: 標頭 (預設值)。

  • 使用傳輸協定 [MAIL FROM]

請注意,當您選取 [MIME From],而且 MIME Sender 標頭也存在時,則系統會使用 MIME Sender 標頭資訊。

最大容器檔案感染

指定壓縮檔案中允許的感染數上限。 如果超出此值,將會刪除整個檔案並記錄一個事件,說明找到 ExceedinglyInfected 病毒。 值為 0 表示單一感染會造成整個容器被刪除。 在此情況下,記錄的事件會將「 容器已移除」附加至符合篩選的項目。 預設值為 5 個感染。

最大容器檔案大小

指定 FSE 發現受感染的檔案時,會嘗試清理或修復的最大容器檔案大小 (以位元為單位)。 預設為 26 MB (26,214,400 位元組)。 如果大於最大上限的檔案受到感染或符合檔案篩選規則,便會刪除這些檔案。 Forefront Security for Exchange Server 會將這些刪除的檔案報告為 LargeInfectedContainerFile 病毒。

最大巢狀附件

指定可在 MSG、TNEF、MIME 及 UUEncoded 檔案中出現的最大巢狀文件限制。 請注意,對於即時掃描工作而言,巢狀 MSG 檔案不會被特定電子郵件用戶端視為巢狀檔案。 如果超過最大數目,FSE 就會刪除此文件並報告 ExceedinglyNested 事件。 預設值為 30。

最大巢狀壓縮檔案

指定壓縮檔案的巢狀深度上限。 如果超出此值,將刪除整個檔案,而且 FSE 會傳送通知,說明找到 ExceedinglyNested 病毒。 零值代表允許的巢狀深度無上限。 預設為 5。

最大容器掃描時間 (毫秒) - 即時/傳輸

指定將壓縮附件報告為 ScanTimeExceeded 病毒之前,即時掃描工作或傳輸掃描工作掃描該附件的毫秒數。 其目的在防止拒絕服務後,受到 Zip-of-death 攻擊的風險。 預設值為 120,000 毫秒 (兩分鐘)。

最大容器掃描時間 (毫秒) - 手動

指定手動掃描工作將壓縮附件報告為 ScanTimeExceeded 病毒之前,掃描該附件的毫秒數。 其目的在防止拒絕服務後,受到 Zip-of-death 攻擊的風險。 預設值為 600,000 毫秒 (10 分鐘)。

內部位址

Forefront Security for Exchange Server 可以設定為將不同的通知傳送到內部及外部寄件者和收件者。 您的內部名稱清單很小,請在 [內部位址] 欄位中輸入網域名稱,以顯示內部通知的收件者。 網域應該輸入為分號區隔的清單 (例如, microsoft.com;microsoft.net;company.com),且不能有空格。 對此值所做的任何變更會立即反映在病毒通知中。

在 [內部位址] 欄位中入網域名稱時,請注意此項目會涵蓋其子網域。

例如, domain.com 會包含 subdomain.domain.com 和 subdomain2.domain.com。

domain.net 或 domain.org 等其他網域必須個別輸入。

輸入在 [內部位址] 的值會當成電子郵件地址結尾的相符子字串。 例如,“soft.com” 會將 "someone@microsoft.com" 與 "someone@abcdef123soft.com" 當成內部位址。

如果您有很多要做為內部位址的網域,請將這些網域輸入到名稱為 Domains.dat 的外部檔案中,而讓 [內部位址] 欄位保留空白。 安裝時,會在 DatabasePath 目錄中建立一個空的 Domains.dat 檔案。 它是一個文件檔,您可以在檔案中輸入您所有的內部網域,每一行一個網域。 與 [內部位址] 欄位不同的是,必須分開輸入所有的子網域。

為了要使用外部 Domains.dat 檔案,您必須將 UseDomainsDat 登錄機碼的值變更為 1 (它的預設值為 0)。 如需有關此機碼的詳細資訊,請參閱登錄機碼

注意事項注意:
每天會在 02:00 (上午 2:00) 重新載入 Domains.dat。 您對檔案所做的變更將在此時生效。

(如需有關內部位址與通知的詳細資訊,請參閱電子郵件通知)。

傳輸外部主機

如果您使用「邊際傳輸」或「集線傳輸」將電子郵件傳送到您的 Exchange 環境中,則可輸入 Edge Transport Server 的 IP 位址,讓 Forefront Security for Exchange Server 在判斷針對郵件使用哪些篩選及掃描工作時,將來自該伺服器的所有郵件都視為輸入郵件。 如果您沒有輸入「邊際傳輸」或「集線傳輸」的 IP 位址,Forefront Security for Exchange Server 則會使用其內部邏輯,判斷郵件是否為輸入。 IP 位址應該輸入為分號區隔的清單,且不能有空格。

此表將列出並說明 [一般選項] 之 [背景掃描] 區段中的設定。

 

設定 描述

如果已啟用 [在掃描程式更新後掃描] 則啟用背景掃描

指示如果已啟用 [在掃描程式更新後掃描掃] 的 [一般選項] 設定,則每次更新掃描引擎時,FSE 應該起始背景掃描。 預設為已啟用。

僅掃描帶有附件的郵件

指示背景掃描工作只掃描包含附件的郵件。 預設為已啟用。

僅掃描未掃描的郵件

指示背景掃描工作只掃描尚未掃描的郵件。 預設為已停用。

掃描下列時間內收到的郵件:<x> 天

可讓系統管理員將 Forefront Security for Exchange Server 設定成根據時間掃描郵件,以便對背景掃描設限。 選項包括: 任何時間、4 小時、6 小時、8 小時、12 小時、18 小時、1 天、2 天 (預設)、3 天、4 天、5 天、6 天、7 天以及 30 天。

設定此選項時請小心。 如果信箱伺服器的郵件到達率很高,而選取的背景掃描期間太長,可能會不停地執行背景掃描,而對伺服器效能造成負面的影響。 您必須根據對特定威脅的了解來設定選取的背景掃描時間,或者設定成保護惡意程式碼肆虐和可使用保護簽章時會出現的空檔。 如果將背景掃描排定為每日執行 (請參閱背景掃描與存取時掃描),則建議您設定為掃描前兩天的郵件量。 不過,您應該同時根據安全性與效能考量來設定掃描時間。    

Forefront Security for Exchange Server 的集中管理是由 Microsoft Forefront Server Security Management Console (FSSMC) 所處理。 FSSMC 可讓系統管理員:

  • 在本機與遠端伺服器上安裝或解除安裝 FSE。

  • 更新本機與遠端伺服器上全部或個別的掃描引擎。

  • 同時在多台伺服器上執行手動掃描。

  • 檢查多台伺服器上的 FSE、掃描引擎及病毒定義版本。

  • 部署 FSE 範本檔案。

  • 從多台伺服器擷取病毒記錄。

  • 擷取隔離的檔案。

  • 從單一或多台伺服器擷取 ProgramLog.txt 檔案。

  • 擷取病毒事件資訊。

  • 部署一般選項設定。

  • 部署篩選清單範本。

  • 產生 HTML 報告。

  • 傳送疫情警示。

如需有關使用 FSSMC 的詳細指示,請參閱《Microsoft Forefront Server Security Management Console 使用者操作手冊》。

 
顯示: