Forefront Security for Exchange Server 最佳實務 - 掃描考量

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2009-08-04

本節將討論不同掃描選項對傳輸掃描 ([傳輸掃描工作]) 和儲存庫掃描 ([即時] 或 [手動掃描工作]) 的作用。儲存庫掃描有四個選項,您可依需求啟用:其中兩個屬於 [一般選項] (即 [在掃描程式更新後掃描] 和 [如果已啟用 [在掃描程式更新後掃描] 則啟用背景掃描]),另外兩個則在 [登錄] 中 (即 [DisableAVStamping] 和 [主動掃描])。每個選項都會影響儲存庫掃描的行為 ([DisableAVStamping] 甚至也會影響傳輸掃描)。一般而言,每啟用一個額外選項,儲存庫掃描量就會隨之增加,防護層級也會相對提高;但是,增加掃描量卻可能影響效能。

會使掃描引擎更新之後,在存取先前掃描的檔案時,又重新掃描一遍。由於是以最新簽章進行重新掃描,因此安全性防護也相對提高。此設定只適用於 Mailbox server role。如需掃描程式更新的其他最佳實務,請參閱 Forefront Security for Exchange Server 最佳實務 - 更新引擎

會在掃描引擎一有更新時立即執行背景掃描 (前提是已啟用 [一般選項] 設定中的 [在掃描程式更新後掃描])。此設定只適用於 Mailbox server role。由於引擎更新相當頻繁,此設定會造成大型信箱儲存庫執行背景掃描。

對 Exchange 2007 Transport role 上每封郵件進行掃描後,FSE 就會套用安全防毒戳記,以避免郵件存入儲存庫時在 Mailbox server role 上又再掃描一次。

建議您依照系統預設使用安全防毒戳記。您應在打算使用不同引擎,或在傳輸伺服器和信箱伺服器上使用不同篩選設定時,才關閉此選項,否則,會進行不必要的重複掃描。

DisableAVStamping 登錄機碼可讓您覆寫建議的預設設定,這會抑制傳輸戳記,且信箱伺服器會將郵件視為尚未經過掃描。

若要覆寫預設值,請新增一個名為 DisableAVStamping 且值為 1 的 DWORD。此值預設不存在且假設為 0 (預設值)。

FSE 將登錄值儲存於下列位置:

32 位元系統:

  • HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server

64 位元系統:

  • HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

當您將 DisableAVStamping 設為 1,我們建議您要在傳輸伺服器的傳送目標信箱伺服器上啟用主動掃描,這會讓信箱伺服器上最新收到的郵件排入佇列,以等候掃描。建議您也要在公用資料夾伺服器上啟用主動掃描。若要在 Mailbox 或 Public Folder server role 上啟用主動掃描,請將下列 Exchange 機碼的 DWORD 值設為 1 (通常為停用且值為 0):

  • HKLM\System\CurrentControlSet\Services\MSExchangeIS\VirusScan

 
顯示: