設定排程掃描

 

適用於: Forefront Protection for Exchange

主題上次修改日期: 2010-07-07

有各種組態設定可用以為排程掃描調整,以便符合您環境的需求。 這些設定包括選取用於每個掃描的掃描引擎數量、設定偵測到惡意程式碼時要採取的動作,以及指定是否要隔離偵測到的檔案。

設定排程掃描
  1. 在 Forefront Protection 2010 for Exchange Server 管理主控台 中按一下 [原則管理],然後按一下 [惡意程式碼防護] 下方的 [信箱 - 排程]。

  2. 在 [惡意程式碼防護 - 信箱排程] 窗格的 [一般設定] 區段下,設定下列設定:

    1. 啟用防毒排程掃描:選取或清除此核取方塊,以啟用或停用防毒排程掃描。 此設定預設為 [已啟用]。

    2. 啟用反間諜功能排程掃描:選取或清除此核取方塊,以啟用或停用反間諜功能排程掃描。 此設定預設為 [已啟用]。

  3. 在 [惡意程式碼防護 - 信箱排程] 窗格的 [引擎及效能] 區段下,選取應該用於此掃描的掃描引擎數目。 如需詳細資訊,請參閱設定用於每個掃描的引擎數

  4. 在 [惡意程式碼防護 - 信箱排程] 窗格的 [掃描動作] 區段下,設定下列設定:

    1. 動作:選取偵測到病毒或間諜軟體時所要執行的動作。 對於病毒偵測,您可以選取 [略過偵測]、[清除] (預設值) 及 [刪除]。 對於間諜軟體偵測,您可以選取 [略過偵測]、[刪除] (預設值) 及 [清除]。 如需詳細資訊,請參閱設定偵測到惡意程式碼時的動作

    2. 隔離檔案:使用下拉式清單,啟用 (選取 []) 或停用 (選取 []) 儲存檔案掃描引擎偵測到的受感染檔案。 隔離預設為啟用。 啟用隔離會在安全的位置儲存刪除的附件及清除的郵件,讓您能夠加以復原。 不過,無法復原已清除蠕蟲的郵件。 如需隔離的詳細資訊,請參閱檢視及管理隔離

    3. 編輯惡意程式碼刪除文字:您可以指定刪除文字,以便在刪除作業中取代受感染檔案的內容。 預設的刪除文字會通知您受感染的檔案已移除,以及檔案名稱和發現的惡意程式碼名稱。 若要變更預設的刪除文字,按一下 [編輯惡意程式碼刪除文字],在 [編輯惡意程式碼刪除文字] 對話方塊中修改刪除文字,然後按一下 [套用並關閉],返回 [惡意程式碼防護 - 信箱排程] 窗格。

      注意事項注意:
      FPE 會提供可在 [刪除文字] 欄位中使用的關鍵字,以從發現受感染的郵件中取得資訊。 若要使用它們,在 [編輯惡意程式碼刪除文字] 對話方塊中,以滑鼠右鍵按一下並選取 [插入欄位],然後選取所需的巨集。 如需此功能的詳細資訊,請參閱 關鍵字替代巨集
  5. 按一下 [儲存]。

注意事項注意:
排定排程掃描中會說明 [排程] 選項。

您可以在 [惡意程式碼防護 - 信箱排程] 窗格的 [其他選項] 區段下,設定下列其他設定。 在對設定進行任何變更後,按一下 [儲存]。

  • 掃描 DOC 檔案為容器:設定排程掃描將結構化儲存體及 OLE 內嵌資料格式 (例如,doc,, .xls, .ppt 或 .shs) 做為容器檔案使用的檔案。 這可確保任何內嵌檔案都會被視為可能的惡意程式碼攜帶者,以進行掃描。 此設定預設為停用。

  • 掃描郵件本文:設定排程掃描掃描郵件本文及附件。 預設會停用掃描郵件本文,因為郵件本文掃描會增加執行掃描所需的時間。

  • 引擎更新後啟動排程掃描:設定引擎或定義更新後立即執行排程掃描,而不管它下次排程執行的時間。 此設定預設為停用。

    注意警告:
    啟用這個設定之後,如果在排程掃描進行中時執行引擎更新,則系統會在正在掃描的郵件上,重新啟動排程掃描。 如果在排程掃描完成之前,更新仍持續進行,掃描會持續無限期地的執行。 因此建議如果啟用此設定,不要為大型的資料集排程掃描。 另請注意,啟用這個選項時,信箱伺服器可能會進行大量的惡意程式碼掃描,因而影響伺服器的效能。
  • 抑制惡意程式碼通知:抑制傳送 [找到病毒]、[找到間碟軟體] 及 [找到蠕蟲] 通知的功能,即使已經啟用這些通知也一樣。 此設定預設為停用。

  • 處理程序計數:設定每個信箱伺服器要執行的處理程序數目。 預設值為 1;最大值為 10。

    執行多個排程處理程序時,第一個處理程序會掃描檔案,如果它很忙碌,則會將檔案傳給第二個處理程序以進行掃描。 如果第二個處理程序很忙碌且已啟用第三個處理程序,則第三個處理程序會掃描檔案。 當第一個處理程序可用時,FPE 會隨時將檔案傳給第一個處理程序。

    在啟動伺服器時載入多個處理程序,或是呼叫多個處理程序來掃描檔案,都會增加伺服器的負載。 除了在高容量的環境之外,並不需要有超過預設數目的處理程序。 因為增加處理程序數目會耗用額外的伺服器資源,最好一次只增加一個處理程序,並在每個步驟評估效能。

    重要事項重要:
    您必須先停止 Microsoft Exchange Information Store 服務後再加以啟動,這個設定的變更才會生效。 請勿使用 [重新啟動] 功能。
  • 掃描逾時 (秒):設定排程掃描在逾時之前掃描檔案的秒數。 預設值為 150 秒。

    當排程掃描掃描郵件的時間超過指定時間時,系統便會終止處理程序,而 FPE 會嘗試重新啟動服務。 如果成功,則會繼續排程掃描並將通知傳送給系統管理員,以報告排程掃描工作已超過所配置的掃描時間,且已復原該處理程序。

    新的排程掃描處理程序啟動時,系統會依據 [掃描逾時動作] 設定,重新處理導致作業終止的郵件。 例如,如果動作是設定為 [刪除],FPE 就會刪除檔案、以排程掃描的刪除文字取代其內容、記錄資訊,並隔離和保存檔案。

    若系統無法重新啟動處理程序,便會傳送通知給系統管理員,報告排程掃描已停止。 在這個狀況中,特殊儲存群組的排程掃描無法運作,但資訊儲存不會停止。

    重要事項重要:
    您必須先停止 Microsoft Exchange Information Store 服務後再加以啟動,這個設定的變更才會生效。 請勿使用 [重新啟動] 功能。
  • 掃描逾時動作:設定系統在掃描檔案時,如果排程掃描逾時的話所應採取的動作。 選項如下:

    • 忽略:讓檔案不經掃描,直接通過。

    • 略過偵測:會在事件記錄和程式記錄中進行報告,指出檔案已超過掃描時間,因此未經掃描便讓其通過。

    • 刪除:報告事件,並以刪除文字取代檔案內容。 [刪除] 是預設值。

    注意事項注意:
    如果 [掃描逾時動作] 是設定為 [略過偵測] 或 [刪除],而且如果啟用了隔離,則會在資料庫中儲存一份檔案複本。
  • 最大容器掃描時間 (秒):設定排程掃描將壓縮附件報告為 ScanTimeExceeded 事件之前,掃描該附件的秒數。 此選項的目的在防止因 Zip-of-death 攻擊而造成阻斷服務的風險。 預設值為 120 秒。

您可以在 [惡意程式碼防護 - 信箱排程] 窗格的 [排程掃描設定] 區段下,設定下列其他設定。 在對設定進行任何變更後,按一下 [儲存]。

  • 僅掃描未掃描的郵件:設定排程掃描只掃描尚未掃描的郵件。 此設定預設為停用。

  • 僅掃描帶有附件的郵件:設定排程掃描只掃描包含附件的郵件。 此設定預設為 [已啟用]。

  • 啟用最大掃描時間:選取此核取方塊可讓您指定排程掃描在逾時前執行的時間上限。 此設定預設為停用 (清除),這表示沒有掃描時間限制。 若選取,請使用 [最大掃描時間 (時: 分)] 選項來設定時間。

  • 最大掃描時間 (時: 分):如果啟用 [啟用最大掃描時間] 設定,請使用此設定來指定排程掃描在逾時前將執行的時間上限 (小時和分)。 啟用時,預設值為 1 小時。 您可以指定的時間上限是 23 小時 59 分。

  • 僅掃描下列過去時間的郵件:設定排程掃描根據其郵件的保留天數來掃描郵件,以限制排程掃描。 在下拉式清單中,按一下下列其中一個選項: [任何時間]、[4 小時]、[6 小時]、[8 小時]、[12 小時]、[18 小時]、[1 天]、[2 天] (預設值)、[3 天]、[4 天]、[5 天]、[6 天]、[7 天]、[30 天]。

    重要事項重要:
    設定此選項時請小心。 如果信箱伺服器的郵件到達率很高,而選取的回溯掃描期間太長,可能會不停地執行排程掃描,而對伺服器效能造成負面的影響。

    您必須根據對特定威脅的了解來設定選取的回溯掃描時間,或者設定成針對惡意程式碼肆虐和保護簽章釋出之間必然出現的空檔進行保護。 如果將掃描排程為每日執行 (如需詳細資訊,請參閱排定排程掃描),則建議您設定為掃描前兩天的郵件量。 不過,您應該同時根據安全性與效能考量來設定掃描時間。

  • 設定優先順序:設定 CPU 優先順序,以便在伺服器資源需求量偏高時,允許更重要的工作比其他排程掃描更優先執行。 在 [設定優先順序] 下拉式清單中,按一下下列其中一個選項: [一般] (預設值)、[一般以下] 或 []。

 
顯示: