SharePoint 檔案篩選

 

適用於: Forefront Security for SharePoint

主題上次修改日期: 2008-02-06

Forefront Security for SharePoint 檔案篩選功能可讓您搜尋含特定名稱、類型和大小的檔案。您可以設定檔案篩選在找到相符的項目時,要對檔案執行的動作,例如刪除、隔離、通知,以及報告偵測到的檔案。檔案篩選提供一個彈性的方法,可偵測上傳到 SharePoint 伺服器的特定檔案,或從該伺服器下載的特定檔案。

此外,FSSP 可掃描壓縮檔案的內容以找出檔案篩選符合項。例如,若設定了一個要刪除所有 .exe 檔案的篩選,FSSP 將會在壓縮檔案內部刪除它們,並原封不動地保留所有非 .exe 的檔案。FSSP 可掃描所有的壓縮檔案和不同種類的壓縮格式 (例如 PKZIP、WINZIP 或 GZIP),但不能掃描有密碼保護的壓縮檔案。FSSP 也能掃描內嵌於其他容器檔案中的檔案,例如 Word 文件。

您可以設定檔案篩選,以各種方式來存取檔案:檔案名稱及副檔名、實際檔案類型,以及檔案大小。使用這些條件,您就可以利用各種不同的方法來篩選檔案。

您可以依檔案類型、副檔名或名稱來設定檔案篩選。如需相關資訊,請參閱依檔案類型篩選依副檔名篩選依名稱篩選

設定檔案篩選
  1. 在快速導覽中按一下 [篩選],然後按一下 [檔案] 圖示。隨即出現 [檔案篩選] 窗格。

  2. 在上半部的工作窗格中,選取要建立檔案篩選的掃描工作。

  3. 若要偵測特定檔案名稱的檔案,請將檔案名稱新增至工作窗格的 [檔案名稱] 區段。按一下 [新增] 按鈕,並鍵入要偵測的檔案名稱(另有按鈕可 [編輯] 和 [刪除] 現有的項目)。使用向上箭頭和向下箭頭 (與 [檔案名稱] 位於同一列) 來變更所選篩選的執行順序。

    您也可以選擇設定檔案篩選,根據檔案的大小來進行篩選。若要依大小偵測檔案,請指定比較運算子 (=、>、<、>=、<=) 及檔案大小 (單位是 KB、MB 或 GB)。這些運算子會緊接在檔案名稱後面,且檔案名稱與運算子,或運算子與檔案大小之間都不該有空格。檔案大小必須以英文的關鍵字 KB、MB 或 GB 的格式輸入。[一般選項] 的 [最大容器檔案大小] 設定會指定 FSSP 探索到感染的檔案時,將嘗試清除或修復的最大容器檔案大小 (單位為位元組)。

    範例:

    *.bmp>=1.2MB   所有包含 .bmp 副檔名,且大於或等於 1.2 MB 的檔案

    *.com>150KB   所有包含 .com 副檔名且大於 150 KB 的檔案

    *.*>5GB   所有大於 5 GB 的檔案,不論名稱為何

  4. 指定可以與所選取的檔案名稱產生關聯的檔案類型清單。您可以從清單中選取一個或多個檔案類型,或是選取位於清單下方的 [所有類型]。如果在清單中找不到要與所選取的檔案名稱產生關聯的檔案類型,則可以選取 [所有類型]。如需相關資訊,請參閱依檔案類型篩選(如需選項方塊中列出之檔案類型的描述,請參閱 SharePoint 檔案類型清單)。

    [所有類型] 選項會將 Forefront Security for SharePoint 設定為僅依據檔案名稱和副檔名來進行篩選。選取 [所有類型] 時,Forefront Security for SharePoint 會設定成偵測選取的檔案名稱,不論實際的檔案類型為何皆是如此。如此可防止使用者藉由變更檔案的副檔名,即可略過篩選。

    如果您知道要搜尋的檔案類型,則可以選取適當的檔案類型而非 [所有類型],讓 Forefront Security for SharePoint 在搜尋時更有效率。例如,如果您想要篩選所有的 EXE 檔案,請建立檔案名稱篩選 *.*,並將檔案類型設為 EXE。

  5. 確定將檔案篩選設為 [已啟用]。此選項預設為啟用。

  6. 指定有符合的篩選項目時所採取的 [動作]。

  7. 指定是否為選取的檔案名稱 [傳送通知]。此動作不會影響事件記錄的報告。此外,您也必須設定通知 (請參閱 SharePoint 電子郵件通知)。此選項預設為停用。

  8. 指定是否為選取的檔案名稱 [隔離檔案]。此選項預設為啟用。啟用隔離可儲存刪除的檔案,供您稍後復原該檔案。

  9. 您可以選擇指定 [刪除文字],以便在刪除作業期間取代受感染檔案的內容。預設的刪除文字會通知您受感染的檔案已移除,以及檔案名稱和篩選名稱。若要建立您自訂的訊息,請按一下 [刪除文字]。

    注意事項注意:
    Forefront Security for SharePoint 會提供可在 [刪除文字] 欄位中使用的關鍵字,以從受感染的訊息中取得相關資訊。如需關鍵字的相關資訊,請參閱 SharePoint 關鍵字替代巨集
  10. 按一下 [儲存] 以儲存篩選。

如果您要篩選特定檔案類型,可以先建立篩選 *.*,然後再將 [檔案類型] 選項設為要篩選的確切檔案類型。

例如:先建立篩選 *.*,然後再將 [檔案類型] 設為 [MP3]。如此可以確保系統會篩選所有 MP3 檔案,無論這些檔案的檔案名稱或副檔名為何。

在您建立檔案篩選後,系統預設會選取 [所有類型] 核取方塊 (在 [檔案類型] 區段中)。例如,如果您確定要搜尋 Word 文件,可以清除 [所有類型],然後從 [檔案類型] 清單中選取 [DOCFILE],讓 FSSP 更有效地運作。如果不確定類型,則可將 resume.* 新增到 [檔案名稱] 清單中,並保留選取 [所有類型]。如此即可確保系統能偵測到含名稱 resume 的所有檔案,而不論其副檔名或類型為何。

設定通用篩選 (例如 *.*) 並使它與特定檔案類型 (例如 EXE) 產生關聯的好處之一,就是防止使用者藉由變更檔案的副檔名,即可略過篩選。

注意事項注意:
如果要篩選 Office 2003 及舊版 Microsoft Excel® 檔案,就必須在 [檔案名稱] 方塊中輸入 *.xls*.*,然後在 [檔案類型] 清單中選取 [WINEXCEL] 及 [DOCFILE]。Excel 1.x 檔案是 WINEXCEL 類型檔案,但較新的 Excel 版本則是 DOCFILE 類型檔案。
若為 Office 2007 文件 (Word、Excel 及 PowerPoint),就應該在 [檔案名稱] 方塊中使用適當的副檔名,然後在 [檔案類型] 清單中選取 [OPENXML]。

如果您要篩選特定副檔名的任何檔案,可以先針對副檔名建立通用篩選,然後再將 [檔案類型] 選項設為 [所有類型]。篩選比對不區分大小寫。

例如:先建立篩選 *.exe*,然後再將 [檔案類型] 選項設為 [所有類型]。如此可確保系統會篩選副檔名 .exe 的所有檔案。

重要事項重要:
建立通用檔案篩選來停止特定檔案類型 (例如 .exe 檔案) 的所有檔案時,建議您以這個格式來撰寫篩選:
*.exe*
第二個星號 (*) 可防止在副檔名之後有附加額外字元的檔案略過篩選。
注意事項注意:
Microsoft 建議您不要使用 [檔案類型] 設為 [所有類型] 的通用篩選 *。此篩選組態可能會導致系統回報重複的偵測。

如果您要篩選特定名稱的所有檔案,可以先使用該檔案名稱來建立篩選,然後再將 [檔案類型] 選項設為 [所有類型]。篩選比對不區分大小寫。

例如:如果有病毒使用的附加檔案名為 payload.doc,您就可以建立篩選 payload.doc,然後將 [檔案類型] 選項設為 [所有類型]。如此可確保系統會篩選名為 payload.doc 的任何檔案,無論檔案類型為何。

如果有新的病毒肆虐,而在更新病毒掃描程式以進行偵測之前,就知道病毒所在的檔案名稱的話,那麼依名稱來偵測檔案也很有用。Melissa 蠕蟲就是一個明顯的例子。此蠕蟲位於名為 List.doc 的檔案中,Forefront Security for SharePoint 可以早在病毒掃描程式偵測到它之前,使用檔案篩選率先偵測出來。

選擇您要 Forefront Security for SharePoint 在符合檔案篩選時執行的動作。即時和手動掃描提供的動作有所不同。

注意事項注意:
您必須為您設定的每一個檔案篩選設定動作。[動作] 設定不是通用的。

 

略過:僅進行偵測

記錄符合篩選條件的郵件數目,但允許上傳和下載檔案。然而,若在 [一般選項] 中選取 [刪除損毀的壓縮檔案]、[刪除損毀的 Uuencode 檔案] 或 [刪除加密的壓縮檔案],則符合其中任何條件都會刪除項目。這個選項只適用於手動掃描,而且是預設值。

刪除:移除內容

刪除偵測到的檔案,在刪除檔案的位置插入 [刪除文字]。這個選項只適用於手動掃描。

封鎖:防止傳輸

FSSP 會停止掃描病毒,並且封鎖該檔案,阻止使用者存取。這是即時掃描的唯一可用選項。

一旦建立檔案篩選,即可修改該檔案篩選。

編輯檔案篩選
  1. 在快速導覽中按一下 [篩選],然後按一下 [檔案] 圖示。隨即出現 [檔案篩選] 窗格。

  2. 在上半部的工作窗格中,選取要修改檔案篩選的掃描工作。

  3. 對各個欄位進行必要的變更。這些變更適用於選取的掃描工作。

  4. 按一下 [儲存] 以儲存篩選變更。

對組態進行任何變更,便會啟用 [儲存] 和 [取消] 按鈕,如果您對選取的掃描工作進行變更,並嘗試移到其他掃描工作或快速導覽圖示而不儲存,系統便會提示您儲存或捨棄變更。

使用萬用字元,可以讓篩選比對檔案名稱中的模式,而非特定的檔案名稱。您可以使用下列任一項來調整您的篩選:

 

*

用來比對檔案名稱中任意數量的字元。您可以使用多個星號。以下是其用法的部份範例:

單一:下列任一個單一萬用字元模式都可偵測到 veryevil.doc:

veryevil.*、very*.doc、very*、 *il.doc。

多重:下列任一個多重萬用字元模式都可偵測到 eicar.com:

e*c*r*om、 ei*.*、 *car.*。

注意事項注意:
要篩選包含多個副檔名的檔案附件,可以使用多個星號。例如:love*.*.*

 

?

用來比對名稱中的任意單一字元,該名稱中會有可變更的單一字元。例如:

virus?.exe 會找到 virusa.exe、virus1.exe 或 virus$.exe。不過,這個篩選找不到 virus.exe。

[set]

連續的字元及範圍,以方括號括住 (例如 [abcdef])。此方法會比對指定集合內的任何單一字元。例如:

klez[a-h].exe 會找到從 kleza.exe 到 klezh.exe 的檔案。

[^set]

用來排除檔案名稱中確定未使用的字元。例如:

klez[^m-z].exe 不會尋找 klezm.exe 到 klezz.exe 的檔案。

range

用來指出集合內的數個可能值,由一個開始字元、一個連字號 (-) 和一個結束字元所組成。例如:

klez[ad-gp].exe 將比對 kleza.exe、klezd.exe、klezf.exe 和 klezp.exe,但不會比對 klezb.exe 或 klezr.exe。

\char

表示特殊字元將當作一般文字使用(特殊字元包括:* ? [ ] - ^ < >)。反斜線稱為逸出字元,其後的保留控制字元會被視為文字字元。例如:

如果輸入 *hello*,系統會比對任何包含 hello 字元的檔案名稱。如果輸入 *\*hello\**,系統便會比對 *hello*。如果輸入 *\*hello\?\**,則會比對 *hello?*。

注意事項注意:
您必須在每個特殊字元前面使用 \。

大致來說,容器檔案是可區分成不同組件的複雜檔案。Forefront Security for SharePoint 可以掃描下列容器檔案來進行篩選比對:

  • PKZip (.zip)

  • GNU Zip (.gzip)

  • 自動解壓縮 .zip 保存檔

  • Zip 檔案 (.zip)

  • Java 保存檔 (.jar)

  • TNEF (Winmail.dat)

  • 結構化儲存體 (例如:.doc, .xls 或 .ppt)

  • 開啟 XML (例如:.docx, .xlsx 或 .pptx)

  • MIME (.eml)

  • SMIME (.eml)

  • UUENCODE (.uue)

  • Unix 磁帶保存檔 (.tar)

  • RAR 保存檔 (.rar)

  • MACBinary (.bin)

Forefront Security for SharePoint 會掃描容器檔案的所有組件,並視需要重新封裝檔案。例如,如果您設定檔案篩選來刪除所有 .exe 檔案,Forefront Security for SharePoint 就會刪除容器檔案內部的 .exe 檔案 (以 [刪除文字] 取代它們),但會讓容器中的其他所有檔案保持完整。

注意事項注意:
Forefront Security for SharePoint 無法掃描以密碼保護的檔案或加密的檔案。雖然 FSS 不會解密此類檔案,但仍會以檔案的加密格式,將這些檔案完全傳遞給防毒掃描程式。

若要排除掃描 .zip (容器檔案) 的內容而不進行篩選比對,請在檔案篩選清單中指定 .zip 檔案名稱,然後將動作設為 [略過]。清單中的篩選順序並不重要。如果 .zip 檔案的名稱位於檔案篩選清單中,而它的動作設為 [略過],則不會將檔案篩選套用到容器的內容。但是仍然會掃描該檔案是否有病毒。如果要略過所有 .zip 檔案,請建立篩選:*.zip,然後將動作設為 [略過]。

注意事項注意:
此功能預設只會套用到 .zip 及 .jar 檔案。如果要讓這個功能用於其他保存類型 (TAR、GZIP、RAR、Macintosh、SMIME 及自動解壓縮 .zip 保存檔),則可以設定下列 DWORD 登錄值:
  • 即時掃描工作:SkipFileFilterWithinCompressedRealtime

  • 手動掃描工作:SkipFileFilterWithinCompressedManual

注意事項注意:
OPENXML 檔案 (例如 Office 2007 文件) 雖然屬於 ZIP 容器檔案,但是並不會受 ZIP 容器設定影響。

您可以使用檔案篩選來封鎖部份檔案類型,並允許其他檔案類型。這個範例允許上傳或下載 Office 檔案,此類檔案比其他種類的檔案更安全。它會使用兩個檔案篩選,以便正常運作。

注意事項注意:
請務必先建立檔案篩選 1 再建立檔案篩選 2,因為系統會從上到下依序套用篩選。

首先,請建立檔案篩選來允許上傳或下載 Office 檔案。在這個範例中,我們稱為「檔案篩選 1」。

建立檔案篩選 1
  1. 在快速導覽中按一下 [篩選],然後按一下 [檔案] 圖示。隨即出現 [檔案篩選] 工作窗格。

  2. 執行下列步驟來建立新的檔案篩選:

    1. 按一下 [新增],

    2. 鍵入 <in>* 做為檔案名稱,再按 ENTER

    3. 清除 [檔案類型] 區段中的 [所有類型]。

    4. 按一下 [是] 確認。

    5. 選取 DOC、OPENXML、TNEF 檔案類型(TNEF 是必要的,因為它是內部郵件的檔案所相關的包裝函式)。

    6. 將 [動作] 設為 [略過:僅進行偵測]

    7. 清除 [隔離檔案]。

    8. [儲存] 篩選。

接下來,建立篩選來封鎖所有檔案。我們將它稱為「檔案篩選 2」。只要您先建立「檔案篩選 1」,就會允許 Office 檔案並封鎖其他所有檔案。

建立檔案篩選 2
  1. 在快速導覽中按一下 [篩選],然後按一下 [檔案] 圖示。隨即出現 [檔案篩選] 工作窗格。

  2. 執行下列步驟來建立新的檔案篩選:

    1. 按一下 [新增].。

    2. 鍵入 * 做為檔案名稱,再按 ENTER

    3. 確定選取 [檔案類型] 區段中的 [所有類型]。

    4. 視需要將動作設定為 [封鎖] 或 [清除]。

    5. 選取 [隔離檔案]。

    6. 選取 [傳送通知]。

    7. [儲存] 篩選。

建立個別的檔案篩選時,您可以建立檔案篩選清單來擁有篩選集合,以便在不同的掃描工作中使用,或僅做為整埋篩選之用。個別篩選的建立方式與前述的方法相同,但每個篩選此時都是清單的一部份。

請從建立新的檔案篩選清單著手。

建立檔案篩選清單
  1. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單] 圖示。

  2. 在 [清單類型] 窗格中,選取 [檔案]。

  3. 在 [清單名稱] 區段中,按一下 [新增] 按鈕。

  4. 輸入新清單的名稱,再按 ENTER。[清單名稱] 區段會出現空白清單。

  5. 選取新的清單名稱,按一下 [編輯] 按鈕。隨即出現 [編輯篩選清單] 對話方塊。使用該對話方塊將檔案名稱新增到清單。

  6. 在 [包含在篩選] 區段中,按一下 [新增] 按鈕。

  7. 鍵入要包含於篩選清單中的檔案名稱。鍵入完畢後,請按 ENTER。您可以擁有任意數量的項目,但必須分別輸入每個項目。每個項目都遵循前述的單一檔案篩選的所有建立規則。

    [從篩選排除] 區段可用來輸入檔案篩選清單中永不包括的檔案名稱,如此可避免在從文字檔案中匯入清單時,意外新增這些檔案名稱。如需匯入檔案的相關資訊,請參閱將項目匯入篩選清單

  8. 新增完項目後,按一下 [確定]。[清單名稱] 旁的窗格會出現您剛才輸入的項目清單 (按英文字母順序排列)。

  9. 按一下 [儲存] 以儲存清單。

  10. 依照建立檔案篩選說明的方法來設定篩選清單。

您可以離線在記事本之類的文字編輯器中建立篩選清單資料,接著再使用 Forefront Server Security Administrator 匯入適當的篩選清單。請注意,Forefront Security for SharePoint 只可以匯入 UTF-16 或 ANSI 檔案格式的清單。並且無法正確匯入其他 Unicode 類型的清單。

建立項目並將項目匯入篩選清單
  1. 建立清單並將清單另存為文字檔案。在檔案中,將每個項目放在其專屬行位中。

  2. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單]。

  3. 選取想要匯入資料的目標篩選清單。

  4. 按一下 [編輯],隨即出現 [編輯篩選清單] 對話方塊。

  5. 按一下 [匯入] 按鈕。隨即開啟 [檔案總管] 視窗。使用該視窗,瀏覽到您在步驟 1 中建立的文字檔案。

  6. 選取檔案,並按一下 [開啟]。

  7. 系統會將檔案匯入至 [匯入清單] 編輯器的中央 ([新增項目]) 窗格,方便您選取想要加入篩選清單中的項目。使用 <=== 按鈕,將所有項目移到 [包含在篩選] 窗格中,或使用 <--- 按鈕來移動單一項目。您可以使用向右箭頭,將項目移到 [從匯入排除] 窗格中。

  8. 移動所有必要項目後,按一下 [確定]。

  9. 按一下 [儲存]。

您可以檢視任何已選篩選清單的內容,方法是按一下 [清單] 按鈕 (在 [檔案篩選] 工作窗格的 [篩選清單] 區段中)、選取項目,然後按一下 [檢視清單]。若要變更內容,請參閱編輯檔案篩選

完成內容檢視後,請按一下 [上一步] 按鈕 (向左箭頭)。

您可以建立篩選集範本,以與任一 Forefront Security for SharePoint 掃描工作搭配使用。單一篩選集範本可以與任一或所有掃描工作產生關聯,您也可以建立多個篩選集範本,以用於不同伺服器或不同掃描工作。

從建立篩選集範本著手。

建立篩選集範本
  1. 如果看不到範本,請依序按一下 [檔案]、[範本] 及 [檢視範本] 來顯示範本。

  2. 依序按一下 [檔案]、[範本] 及 [新增]。隨即出現 [新增範本] 對話方塊。

  3. 選取 [篩選集],並輸入其名稱,再按一下 [確定]。名稱最長為 19 個字元。您的新篩選集範本現在會出現在上方窗格的清單中,您可以設定該範本。

在您建立篩選集之後,必須對該篩選集進行設定。

設定篩選集範本
  1. 在快速導覽的 [篩選] 區段中,按一下 [檔案]。隨即出現 [檔案篩選] 工作窗格。

  2. 在上方窗格中,選取要設定的篩選集範本的名稱。

  3. 使用 [新增] 按鈕,新增 [檔案篩選],然後指定該篩選的條件。您可以在一個篩選集範本中建立多個篩選。

  4. 按一下 [儲存] 以儲存您的工作。

建立與設定篩選集範本之後,請將它與掃描工作建立關聯。在掃描期間,Forefront Security for SharePoint 會先使用篩選集範本組態,然後再使用任何其他您在設定掃描工作時所指定的篩選設定。

將篩選集範本與掃描工作建立關聯
  1. 在快速導覽的 [設定] 區段中,選取 [範本]。

  2. 在 [工作清單] 中選取掃描工作。

  3. 從下方窗格的 [篩選集] 清單中選取要與工作產生關聯的篩選集範本。您可以將單一篩選集範本與一個掃描工作建立關聯。如果不確定篩選集範本的內容,請按一下 [檢視篩選集]。完成內容檢視後,請按一下 [上一步] 按鈕 (向左箭頭)。

  4. 按一下 [儲存]。篩選集範本現在已與該掃描工作產生關聯。在掃描期間,FSSP 會先使用篩選集範本組態,再使用設定掃描工作時所指定的任何其他篩選設定。

注意事項注意:
若要取消關聯,請重複上述程序中的步驟,然後從 [篩選集] 清單中選取 [無] (或選取不同的篩選集範本)。

您可以修改篩選集範本中的設定。

編輯篩選集範本
  1. 在快速導覽的 [篩選] 區段中,按一下 [檔案]。隨即出現 [檔案篩選] 工作窗格。

  2. 在上方窗格中,選取篩選集範本。

  3. 在下方窗格中,選取要修改組態的篩選。

  4. 按一下 [編輯] 並進行變更。

  5. 按一下 [儲存]。

注意事項注意:
您建立的檔案篩選會顯示在 [檔案名稱] 區段中,並且可予以修改。區段中也會顯示篩選集範本;但您無法在 [檔案名稱] 區段中選取這些範本以進行修改。若要修改篩選集範本,必須在上方窗格中選取其範本。將篩選集範本指派給掃描工作時,除非您選取功能表列上 [檔案] 選項中的 [檢視範本],否則不會顯示篩選集的內容。

您可以刪除篩選集範本。

刪除篩選集範本
  1. 若已將篩選集範本與掃描工作建立關聯,則必須移除關聯。遵循將篩選集範本與掃描工作建立關聯的指示,並將關聯重設為 [無],或為關聯選取不同的篩選集範本。

  2. 在 [範本設定] 工作窗格的 [工作清單] 中,選取篩選集。

  3. 依序按一下 [檔案]、[範本] 及 [刪除]。

  4. 確認刪除要求。

您可以重新命名篩選集範本。

重新命名篩選集範本
  1. 在 [範本設定] 工作窗格的 [工作清單] 中,選取篩選集。

  2. 按一下 [檔案],選取 [範本],然後按一下 [重新命名]。隨即出現 [重新命名範本] 對話方塊。

  3. 鍵入範本的新名稱。名稱最長為 19 個字元。

  4. 按一下 [確定]。

您可以使用 Microsoft Forefront Server Security Management Console (FSSMC) 的「部署工作」,將篩選集範本發佈到遠端伺服器。如需使用 FSSMC 的相關資訊,請參閱《Microsoft Forefront Server Security Management Console 使用者操作手冊》。

您也可以從命令提示字元使用 FSCStarter,在遠端伺服器上手動安裝篩選集範本。如需完整的 FSCStarter 指示,請參閱 SharePoint 範本中的<部署命名範本>。

在 Forefront Security for SharePoint 中,對於依名稱進行檔案篩選的支援超過國際字完集的範圍。例如,名稱中包含日文字元的檔案,其處理方式與英文字元集相同。

[報告] 快速導覽中的 [事件] 工作窗格包含統計值計數器,其中記錄符合指定條件、並因此遭到清除的檔案數量。在 Windows [效能] 嵌入式管理單元中,也可以找到這些計數器。

 
顯示: