SharePoint 即時掃描工作

 

適用於: Forefront Security for SharePoint

主題上次修改日期: 2009-05-08

Forefront Security for SharePoint 即時掃描工作可在 SharePoint 伺服器上執行,以立即掃描在該伺服器上載或下載的所有檔案。 當使用者使用網頁瀏覽器或任何使用 SharePoint 2007 Object Model 的應用程式上傳或下載文件時,VSAPI 攔截 DLL 會將文件傳送至 FSSP 以進行掃描。 這種即時掃描檔案傳輸的方式,是停止受感染檔案擴散最有效的方式。

在安裝期間,會建立三個即時掃描工作 (處理程序)。 將 RealtimeProcessCount 登錄機碼的值,變更為您要在 SharePoint 伺服器上執行的 FFSCCRealtime 處理程序數目,您就可建立其他即時掃描工作。 其上限為 10。 如需此設定的相關資訊,請參閱 SharePoint 登錄機碼。 即時處理程序的數目若超過預設值 3,可能會影響伺服器效能。

注意事項注意:
FSSP 清除已存入文件庫的受感染檔案時,不會變更檔案的副檔名。 例如: 若偵測到檔案 Eicar.com,則會移除該內容並以刪除文字取代,但副檔名仍為 .com,不會變更為 Eicar.txt。不過,若清除巢狀於壓縮檔案中的同一個檔案,則副檔名會變更為 .txt。

執行多個即時處理程序時,第一個處理程序會掃描檔案 (如果它很忙碌,則會將檔案傳給第二個處理程序)。 如果第二個處理程序很忙碌且已啟用第三個處理程序,則會由第三個處理程序來掃描檔案。 當第一個處理程序可用時,Forefront Security for SharePoint 會將檔案傳給該處理程序。 在啟動伺服器時載入多個處理程序,或是呼叫多個處理程序來掃描檔案,都會增加伺服器的負載。 除了在高容量的環境 (需要由三或四個處理程序所提供的其他重複項) 之外,並不需要有四個以上的處理程序。 Microsoft 通常會建議您在每台伺服器上針對每個處理器只啟用四個即時處理程序。

當您設定即時掃描工作設定時,請選取要保護的文件庫,並選擇性地指定 [刪除文字]。

注意事項注意:
您也可以透過 SharePoint Server 2007 的 SharePoint 管理中心中的 [設定防毒設定],修改這些 SharePoint 2007 設定。
選取文件庫與設定刪除文字
  1. 從快速導覽的 [設定] 區段中,選取 [掃描工作]。 隨即出現 [掃描工作設定] 工作窗格。

  2. 在工作窗格的上層部分 (包含可設定的掃描工作清單),選取 [即時掃描工作]。

  3. 根據您的需要變更 [即時防毒組態設定]。 如需相關資訊,請參閱設定防毒設定

  4. 您可以選擇指定 [刪除文字],以便在刪除作業期間取代受感染檔案的內容。 預設的刪除文字會通知您受感染的檔案已移除,以及發現檔案名稱和病毒名稱。 若要建立您自訂的訊息,請按一下 [刪除文字]。

    注意事項注意:
    FSSP 會提供可在 [刪除文字] 欄位中使用的關鍵字,以從受感染的郵件中取得相關資訊。 如需此功能的相關資訊,請參閱 SharePoint 關鍵字替代巨集
  5. 設定掃描的引擎。 如需相關資訊,請參閱設定防毒設定

  6. 按一下 [儲存] 以儲存掃描工作組態。

您可為即時掃描工作調整各種設定。

設定防毒設定
  1. 在快速導覽的 [設定] 區段中,按一下 [防毒] 圖示。 隨即出現 [防毒設定] 工作窗格。

  2. 在上方窗格的清單中,選取 [即時掃描工作]。 工作窗格下半部會顯示檔案目前的設定。

    注意事項注意:
    這個畫面上全都是唯讀的設定, 下方有 SharePoint Administration 網站的連結,讓您使用 SharePoint 使用者介面進行變更。

    上傳時掃描文件 - 掃描要上傳到 SharePoint Portal Server 的文件。 此選項預設為啟用。

    下載時掃描文件 - 掃描從 SharePoint Portal Server 下載的文件。 此選項預設為啟用。

    允許使用者下載受到感染的文件 - 讓使用者可以下載受到感染的文件。 若未選取,系統會封鎖所有受到感染的文件。 此選項預設為停用。

    嘗試清除受到感染的文件 - 允許 FSSP 在可能的情況下清除受到感染的文件。 若 FSSP 無法清除受感染檔案,則會報告該檔案受到感染,SharePoint Portal Server 便會封鎖這支檔案。 若受感染檔案為巢狀結構,FSSP 將移除受到感染的巢狀檔案 (若無法清除)。 若您清除此選項,Forefront Security for SharePoint 會將偵測到的檔案標示為受感染,SharePoint Portal Server 就會封鎖這些檔案。 此選項預設為啟用。

    掃描逾時時間: ___ 秒 - FSSP 在逾時前持續掃描文件的秒數。 預設為 600 秒 (10 分鐘)。

    允許掃描程式使用至 ___ 執行緒 - FSSP 將同時執行的處理程序數目。 預設為 10 個執行緒,也是最大值。

    注意事項注意:
    [上傳時掃描文件] 與 [下載時掃描文件] 同時清除時,將停用即時掃描工作及其 [嘗試清理受到感染的文件] 設定。
  3. 在 [檔案掃描程式] 區段的可用協力廠商掃描程式清單中,選擇檔案掃描引擎。 若要在停用病毒掃描的同時保留執行 [檔案篩選] 和 [內容篩選] 的功能,請在快速導覽的 [作業] 區段中,為 [即時掃描工作] 清除 [執行工作] 工作窗格的 [病毒掃描] 核取方塊。

  4. 在 [偏差] 欄位中,選取偏差來控制需要使用多少個引擎,才足以保護您的系統。 如需相關資訊,請參閱 SharePoint 多個掃描引擎

  5. 在 [動作] 欄位中,選取在偵測到病毒時要 Forefront Security for SharePoint 執行的動作。 動作選項如下:

    略過: 僅進行偵測 - 不會嘗試清除或刪除。 將會報告發現病毒,但該檔案仍維持在受感染的狀態。 不過,如果在 [一般選項] 選取 [刪除損毀的壓縮檔案]、[刪除損毀的 Uuencode 檔案] 或 [刪除加密的壓縮檔案],則只要找到符合上述任一條件的項目,便會予以刪除。

    清除: 修復文件 - 嘗試清除病毒。 若順利清除,將以乾淨的版本取代感染的檔案。 如果無法清除,則會以 [刪除文字] 取代檔案。 此設定為預設的設定值。

    封鎖: 防止傳輸 - 將封鎖感染的檔案,使其無法上傳或下載。 使用者將會收到 SharePoint 訊息,說明檔案遭到感染而無法上傳或下載。

  6. 選取 [傳送通知] 來啟用電子郵件通知。 此設定不會影響事件記錄的報告。 此外,您也必須設定通知 (請參閱 SharePoint 電子郵件通知)。 通知預設為停用。

  7. 選取或清除 [隔離檔案],啟用或停用儲存檔案掃描引擎所偵測到的檔案。 隔離預設為啟用。 啟用隔離可儲存刪除的檔案,供您稍後復原該檔案。

  8. 根據預設,FSSP 已設定為掃描所有檔案是否含有病毒。 不過,為了要盡可能快速且有效率地執行掃描,您可以將 FSSP 設定為只掃描比較可能包含病毒的檔案。 其做法是先判斷檔案類型,再判斷該檔案類型是否會遭到病毒感染。 一般應該查看檔案標頭來判斷該檔案的類型,而不是查看副檔名。 因為副檔名很容易造假,所以這種方法比較安全。 這個檢查可以提升 FSSP 的效能,同時可確保系統一定會掃描可能受感染的檔案附件。 如果您想要讓 FSSP 略過掃描比較少用來夾帶病毒的檔案類型,請將登錄機碼 ScanAllAttachments 設定為 0 (ScanAllAttachments 是「隱藏」機碼。也就是說,若沒有顯示,其值預設為 1)。

    您可在下列位置找到登錄機碼:

    32 位元系統:

    HKLM\SOFTWARE\Microsoft\Forefront Server Security\SharePoint

    64 位元系統:

    HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\SharePoint

  9. 按一下 [儲存]。

在 [掃描工作設定] 工作窗格中選取 [即時掃描工作]。 對 [掃描工作設定] 工作窗格下半部所進行的變更會套用至目前已在 [掃描工作] 清單中選取的掃描工作。 對組態進行任何變更,便會啟用 [儲存] 和 [取消] 按鈕。 如果您變更掃描工作,並嘗試移到另一個掃描工作或快速導覽圖示而不儲存,系統便會提示您儲存變更。

若要控制即時掃描工作,請按一下快速導覽中的 [作業],然後按一下 [執行工作] 圖示, 隨即出現 [執行工作] 工作窗格。

在 [執行工作] 工作窗格頂端的清單中,選取 [即時掃描工作]。 [執行工作] 工作窗格的下半部會顯示目前選取之掃描工作的狀態和結果。

選取 [即時掃描工作] 時,[啟用] 和 [略過] 按鈕可控制工作的作業。

即時掃描工作可以掃描病毒、執行檔案篩選或關鍵字篩選,或是這三項工作的組合。 使用 [病毒掃描]、[檔案篩選] 及 [關鍵字篩選] 核取方塊來選取適當的項目。 這些設定一經變更就會立即套用,即使目前工作正在執行也不例外。

[執行工作] 工作窗格的下半部會顯示即時掃描工作所發現的感染或篩選結果。 FSCController 會將這些結果儲存到磁碟中的病毒記錄檔,即使 Forefront Server Security Administrator 未開啟也不受影響。 您可以刪除不再需要使用的資料庫檔案。 如需相關資訊,請參閱 SharePoint 報告及統計中的<清除資料庫>。

當即時掃描工作所花的時間超過指定的檔案掃描時間 (預設為 10 分鐘或 600000 毫秒),就會終止此程序,且 Forefront Security for SharePoint 會嘗試重新啟動服務。 如果成功,則會繼續即時掃描並將通知傳送給系統管理員,以報告即時掃描工作已超過所配置的掃描時間,且已復原該動作。

若處理程序無法重新啟動,系統管理員會收到通知,報告即時掃描工作已中止。 在此狀況下,即時掃描無法運作,也不會掃描檔案。

若系統持續發生逾時問題,您可以增加逾時前的時間間隔。 建立名為 RealtimeTimeout 的新 DWORD 登錄值並設定時間 (毫秒) (例如,20 分鐘為 1200000 毫秒)。 如需登錄值的相關資訊,請參閱 SharePoint 登錄機碼

 
顯示: