SharePoint Forefront Server Security Administrator

 

適用於: Forefront Security for SharePoint

主題上次修改日期: 2009-07-13

Forefront Server Security Administrator 可來在本機或遠端設定並執行 FSSP。若要讓 Forefront Server Security Administrator 順利啟動,FSCController 及 SharePoint 伺服器必須在 Forefront Server Security Administrator 所連線的電腦上執行。因為 Forefront Server Security Administrator 是 FSSP 軟體的前端,所以啟動及關閉 Forefront Server Security Administrator 都不會影響 FSSP 服務正在執行的後端程序。Forefront Server Security Administrator 也可以在唯讀模式中執行,讓無權變更設定或執行工作的使用者,得以視需要檢視使用者介面所提供的資訊(如需相關資訊,請參閱唯讀系統管理員)。

重要事項重要:
針對執行 Microsoft Windows XP® Service Pack 2 (SP2) 的使用者,由於 Windows XP SP2 中的預設安全性設定,Forefront Server Security Administrator 第一次安裝後將無法正常執行。
在 Windows XP SP2 上執行 Forefront Server Security Administrator
  1. 依序按一下 [開始] 及 [執行],然後輸入 dcomcnfg。隨即出現 [元件服務] 對話方塊。

  2. 依序展開 [元件服務] 及 [電腦],然後在 [我的電腦] 上按一下滑鼠右鍵。

  3. 選取 [內容],然後選取 [COM 安全性] 索引標籤。

  4. 按一下 [存取權限] 下的 [編輯限制],然後對 [Anonymous Logon] 使用者,選取 [遠端存取] 的 [允許] 核取方塊。

  5. 將 [Forefront Server Security Administrator] 應用程式新增到 Windows 防火牆例外清單:

    1. 開啟 [控制台],然後選取 [資訊安全中心]。

    2. 選取 [Windows 防火牆]。隨即出現 [Windows 防火牆] 對話方塊。

    3. 選取 [例外] 索引標籤。

    4. 按一下 [新增程式],從清單中選取 [Forefront Server Security Administrator],再按一下 [確定]。這樣就會將 Forefront Server Security Administrator 新增到 [程式和服務] 清單。

    5. 在 [程式和服務] 清單中選取 [Forefront Server Security Administrator]。

    6. 按一下 [新增連接埠]。

    7. 輸入連接埠的名稱。

    8. 輸入 135 做為連接埠號碼。

    9. 選取 [TCP] 做為通訊協定。

    10. 按一下 [確定]。

注意事項注意:
如果不放心對所有電腦開啟連接埠 135,可以只對 Forefront 伺服器開啟。新增連接埠 135 時,按一下 [變更領域],然後選取 [自訂清單]。輸入應允許其透過連接埠 135 進行存取的所有 Forefront 伺服器的 IP 位址。

若要執行 Forefront Server Security Administrator,請按一下 [開始],再依序展開 [程式集]、[Microsoft Forefront Server Security] 及 [SharePoint Security],然後選取 [Forefront Server Security Administrator]。或者,您也可以從命令提示進行啟動。

從命令提示啟動 Forefront Server Security Administrator (FSSAClient)
  1. 開啟 [命令提示字元] 視窗。

  2. 瀏覽到 Forefront Security for SharePoint 安裝目錄。

    預設為:C:\Program Files\Microsoft Forefront Security\SharePoint

  3. 輸入 fssaclient.exe

第一次啟動 Forefront Server Security Administrator 時,會出現 [連線到伺服器] 對話方塊,提示您連線到在本機電腦上執行的 SharePoint 伺服器。預設會填入本機伺服器名稱(您也可以輸入本機別名)。

Forefront Server Security Administrator 也可以連線到執行 FSSP 的遠端 SharePoint 伺服器。這允許您使用單一安裝的 Forefront Server Security Administrator,設定並控制整個網路的 FSSP。如果您連線到的伺服器位於不同網域,您必須確定 FSSPController 使用的使用者識別碼有效,且具有該網域中伺服器的存取權限。

若要連線到遠端伺服器,請將遠端電腦的伺服器名稱、IP 位址或網域名稱系統 (DNS) 名稱輸入 [連線到伺服器] 對話方塊 (每當啟動 Forefront Server Security Administrator 時便會隨即出現)。您也可以按一下 [瀏覽] 以顯示 [選擇伺服器] 對話方塊,在此選取已偵測到 FSSP 的任何伺服器,如此便不必輸入遠端電腦的識別碼。

如果 Forefront Server Security Administrator 已在執行中,您可以使用連線到其他伺服器中的程序,連線到遠端伺服器。

注意事項注意:
如果將 Forefront Server Security Administrator 連線到 SharePoint 伺服器時發生問題,請嘗試使用 PING 命令來測試是否可以使用伺服器。如果可以使用伺服器,請確定目前沒有其他 Forefront Server Security Administrator 連線到該伺服器。

若要連線到其他伺服器,請從 Forefront Server Security Administrator 的 [檔案] 功能表中選取 [開啟] 命令。隨即出現 [連線到伺服器] 對話方塊。輸入另一部執行 FSSP 的伺服器名稱、從下拉式清單選取您連線過的伺服器,或按一下 [瀏覽] 以連線到您先前從未連線的伺服器。您也可以使用 [Forefront Server Security Administrator] 對話方塊頂端的 [伺服器] 清單,以迅速地重新連線到伺服器。

Forefront Server Security Administrator 可以在唯讀模式中執行。若要這樣做,系統管理員需要修改 FSSP 安裝目錄上的 NTFS 權限,只允許具有 FSSP 設定變更權限的使用者享有修改權。FSSP 安裝目錄預設為:C:\Program Files\Microsoft Forefront Security\SharePoint。其實際值可在登錄機碼中的 [DatabasePath] 找到:

32 位元系統:

HKLM\Software\Microsoft\Forefront Server Security\SharePoint

64 位元系統:

HKLM\Software\Wow6432Node\Microsoft\Forefront Server Security\ SharePoint

若要確保組態正確,首先移除所有使用者的修改權,然後設定修改權,只讓您允許變更 Forefront Security for SharePoint 設定的使用者享有修改權。當沒有修改權限的使用者開啟 Forefront Server Security Administrator 時,即不允許任何組態變更。

Forefront Server Security Administrator 使用者介面包含左邊的快速導覽及右邊的工作窗格。

快速導覽分成數個區域:

設定   設定掃描工作、防毒設定、掃描程式更新、範本及一般選項。如需相關資訊,請參閱一般選項

篩選   設定關鍵字篩選、檔案篩選及篩選清單。

作業   設定工作、排程工作及執行快速掃描。

報告   設定通知。檢視事件及隔離區域。

位於 [設定] 快速導覽的 [一般選項] 可讓您存取 Forefront Security for SharePoint 的各種系統層級設定,不需要直接存取登錄即可變更這些設定。

雖然您可以透過 [一般選項] 面板控制許多選項,不過每一個選項的預設值 (已啟用、已停用或一個值) 應該都適合各企業的需求。需要變更這些設定的情況並不常見。不過,安裝期間會輸入幾個設定,您偶爾可能需要變更其中一個。

[一般選項] 工作窗格分成數個區段:診斷、事件記錄、掃描程式更新及掃描。

 

其他手動

記錄每一個由手動掃描程式掃描的檔案。

其他即時

記錄每一個由即時掃描程式掃描的檔案。

啟動時通知

表示每當即時掃描工作啟動時,FSSP 應傳送通知到病毒管理員清單中列出的電子郵件地址 (即時掃描、電子郵件)。只能使用 SMTP 地址(如需設定系統管理員通知的相關資訊,請參閱事件通知)。

 

啟用事件記錄檔

讓 FSSP 事件可以記錄到事件記錄檔。預設為已啟用。

啟用效能監視與統計

讓 FSSP 效能統計資料可以記錄在效能監視器中。預設為已啟用。

啟用 Forefront 程式記錄

啟用 FSSP 程式記錄 (ProgramLog.txt)。預設為已啟用。

啟用 Forefront 病毒記錄

啟用 FSSP 病毒記錄 (VirusLog.txt)。預設為已停用。

最大程式記錄檔大小

指定程式記錄檔的大小上限。以 KB 表示。最小大小為 512 KB。0 值 (預設值) 表示沒有最大上限。

如需記錄檔及效能監視的相關資訊,請參閱 SharePoint 報告及統計

 

重新發佈伺服器

表示將以一台伺服器做為中樞伺服器,以對其他伺服器發佈掃描程式更新(如需相關資訊,請參閱發佈更新)。

啟動時執行更新

表示每次啟動 FSSP 時,應自動更新引擎。

傳送更新通知

每次更新掃描引擎時,即傳送通知給病毒管理員(如需設定系統管理員通知的相關資訊,請參閱事件通知)。

使用 Proxy 設定

表示將使用 Proxy 設定(如需相關資訊,請參閱透過 Proxy 進行更新)。

使用 UNC 認證

表示需要 UNC 認證(如需相關資訊,請參閱發佈更新)。

Proxy 伺服器名稱/IP 位址

表示 Proxy 伺服器的名稱或 IP 位址。如果使用 Proxy 設定則需要此值。

Proxy 連接埠

表示 Forefront Security for SharePoint 應使用的連接埠號碼。如果使用 Proxy 設定則需要此值。預設為連接埠 80。

Proxy 使用者名稱

(如有需要) 表示具有 Proxy 伺服器存取權的使用者名稱。選用欄位。

Proxy 密碼

(如有需要) 表示 Proxy 使用者名稱的適當密碼。選用欄位。

UNC 使用者名稱

(如有需要) 表示具有 UNC 路徑存取權的使用者名稱。選用欄位。

UNC 密碼

(如有需要) 表示 UNC 使用者名稱的適當密碼。選用欄位。

如需更新掃描引擎的相關資訊,請參閱 SharePoint 檔案掃描程式更新

 

封鎖/刪除損毀的壓縮檔案

表示是否要刪除或封鎖損毀的壓縮檔案,視即時及手動掃描工作的 [動作] 設定而定。系統會將它們報告為 CorruptedCompressedFile 病毒。預設為已啟用。

封鎖/刪除損毀的 Uuencode 檔案

表示是否要刪除或封鎖損毀的 UUENCODE 檔案,視即時及手動掃描工作的 [動作] 設定而定。系統會將它們報告為 CorruptedCompressedUuencodeFile 病毒。預設為已啟用。

封鎖/刪除加密的壓縮檔案

表示是否要刪除或封鎖加密的壓縮檔案,視即時及手動掃描工作的 [動作] 設定而定(AV 掃描引擎無法掃描加密檔案)。系統會將它們報告為 EncryptedCompressedFile 病毒。

將包含高度壓縮檔案的 ZIP 保存檔視為損毀的壓縮檔案

指定是否將包含高壓縮檔案的 ZIP 保存檔,報告成損毀的壓縮檔案。若將保存檔報告成損毀的壓縮檔案,並已啟用 [封鎖/刪除損毀的壓縮檔案] 選項,則會刪除保存檔。若未啟用 [封鎖/刪除損毀的壓縮檔案],則會將 ZIP 保存檔中的檔案 (以其壓縮格式) 傳遞給要掃描的病毒引擎。系統也會將 ZIP 保存檔本身傳遞給病毒引擎。如果掃描不到威脅,則將傳遞此訊息。如果可以清除威脅,則將傳遞此訊息。如果無法清除威脅,則將刪除此訊息。若以未知的演算法壓縮檔案,則不論此選項的設定為何,一律將其視為損毀的壓縮檔案。預設會啟用此選項 (換言之,將包含高度壓縮檔案的 ZIP 保存檔視為損毀的壓縮檔案)。

將多組件 RAR 保存檔視為損毀的壓縮檔案

RAR 保存檔中的檔案可跨多個檔案或組件 (因此稱為「多組件」) 壓縮,藉此將極大的檔案細分成較小的檔案以方便傳輸。這個選項可指定是否將包含此類組件的 RAR 保存檔,報告成損毀的壓縮檔案。

您可以停用此選項來接受此類檔案。但在這種情況下,若病毒分割以散佈在多個磁碟區,則可能偵測不到該病毒。因此,此設定預設為啟用。

若將保存檔報告成損毀的壓縮檔案,並已啟用 [封鎖/刪除損毀的壓縮檔案] 選項,則會刪除保存檔。若未啟用 [封鎖/刪除損毀的壓縮檔案],則只會將整個 RAR 保存檔傳遞給要掃描的病毒引擎。如果在掃描保存檔時找不到威脅,則將傳遞此訊息。如果發現威脅並可清除,則將傳遞此訊息。如果發現威脅但無法清除,則將刪除此訊息。預設為已啟用。

附註   如果使用多組件 RAR 來壓縮超過 100 MB 的未壓縮檔案,則應該瞭解登錄值 MaxUncompressedFileSize。如需相關資訊,請參閱 SharePoint 登錄機碼

將串連 gzip 視為損毀的壓縮檔案

多個 Gnu zip (gzip) 檔案可串連成單一檔案。雖然 FSE 可辨識串連 gzip,但可能無法辨識跨串連 gzip 所分割的個別檔案。因此,FSE 預設會將串連 gzip 視為損毀的壓縮檔案。此預設行為可搭配 [封鎖/刪除損毀的壓縮檔案] 選項,阻止傳遞所有串連 gzip,藉此防堵可能的感染。

停用 [將串連 gzip 視為損毀的壓縮檔案] 選項可讓您接收串連 gzip。但在這種情況下,可能偵測不到病毒。

掃描 Doc 檔案為容器 - 手動

指定手動掃描工作應掃描 .doc 檔案,以及任何其他使用結構化儲存體及 OLE 內嵌資料格式 (例如,.xls, .ppt 或 .shs) 做為容器檔案的檔案。這可確保任何內嵌檔案都會被視為可能的病毒攜帶者,獲得掃描。

掃描 Doc 檔案為容器 - 即時

指定即時掃描工作應掃描 .doc 檔案,以及任何其他使用結構化儲存體及 OLE 內嵌資料格式 (例如,.xls, .ppt 或 .shs) 做為容器檔案的檔案。這可確保任何內嵌檔案都會被視為可能的病毒攜帶者,獲得掃描。

注意事項注意:
當 Microsoft Office 檔案 (PowerPoint®、Access、Excel® 或 Word 文件) 內嵌在另一個 Office 檔案時,其資料會併入為原始 Office 檔案的一部份。系統不會將這些內嵌檔案當作個別檔案進行掃描。不過,如果將其他檔案類型 (例如 .exe) 內嵌在隨後內嵌於 Office 檔案的其中一個檔案,系統會偵測到該檔案並將之視為個別檔案進行掃描(.exe 副檔名仍會顯示,因為圖示是無法刪除的 GIF 檔案。只要按一下檔案,圖示就會變成正確的 TXT 圖示)。

 

區分大小寫的關鍵字篩選

指定關鍵字篩選應區分大小寫。篩選預設為不區分大小寫。

在掃描程式更新後掃描

表示要在掃描程式更新後存取先前掃描過的檔案時,應重新掃描。

Forefront 手動優先順序

指定手動掃描的優先順序:[一般] (預設值)、[一般以下] 或 [低]。當伺服器資源需求量偏高時,此設定可讓更重要的工作比手動掃描更優先處理。

注意事項注意:
當手動掃描優先順序設為 [低] 時,如果您按一下 [執行工作] 工作窗格中的 [停止],手動掃描工作不會立即停止。

 

最大容器檔案感染

指定壓縮檔案中允許的感染數上限。如果超出此值,將刪除整個檔案,而且 FSSP 會傳送通知,報告找到 ExceedinglyInfected 病毒。零值表示不限制偵測到的感染數。預設值為 5 個感染。

最大容器檔案大小

指定 FSSP 探索到感染的檔案時,將嘗試清除或修復的最大容器檔案大小 (以位元為單位)。預設為 26 MB (26,214,400 位元組)。如果大於最大上限的檔案受到感染或符合檔案篩選規則,系統會刪除這些檔案。Forefront Security for SharePoint 會將這些刪除的檔案報告為 LargeInfectedContainerFile 病毒。

最大巢狀附件

指定可以出現在 MSG、TNEF、MIME 及 UUENCODE 文件的巢狀文件數量上限。此限制將包括上述所有文件類型的巢狀總和。如果超出最大數量,FSSP 將封鎖或刪除文件,並報告找到 ExceedinglyInfected 病毒。預設為 30。

最大巢狀壓縮檔案

指定壓縮檔案的最大巢狀深度。如果超出此值,將刪除整個檔案,而且 FSSP 會傳送通知,報告找到 ExceedinglyNested 病毒。零值代表允許的巢狀深度無上限。預設為 5。

最大容器掃描時間 - 即時

指定在即時掃描中,FSSP 將壓縮附件報告為 ScanTimeExceeded 病毒之前,掃描該附件的毫秒數。其目的在防止拒絕服務後,受到 Zip-of-death 攻擊。預設值為 600,000 毫秒 (十分鐘)。

最大容器掃描時間 - 手動

指定在手動掃描中,FSSP 將壓縮附件報告為 ScanTimeExceeded 病毒之前,掃描該附件的毫秒數。其目的在防止拒絕服務後,受到 Zip-of-death 攻擊。預設值為 600,000 毫秒 (十分鐘)。

 
顯示: