設定傳輸掃描

 

適用於: Forefront Protection for Exchange

主題上次修改日期: 2010-05-10

有各種組態設定可用來為傳輸掃描進行調整,以便符合您環境的需求。這些設定包括選取用於每個掃描的掃描引擎數量、設定偵測到惡意程式碼時要採取的動作,以及指定是否要隔離偵測到的檔案。

設定傳輸掃描
  1. 在 Forefront Protection 2010 for Exchange Server 管理主控台 中,按一下 [原則管理],然後按一下 [惡意程式碼防護] 的 [集線傳輸] (如果您是使用邊際傳輸伺服器,會出現 [邊際傳輸] 而不是 [集線傳輸])。

  2. 在 [惡意程式碼防護 - 集線傳輸] 窗格的 [一般設定] 區段下,設定下列設定:

    1. 啟用傳輸防毒掃描:選取或清除此核取方塊,以啟用或停用傳輸防毒掃描。此設定預設為 [已啟用]。

    2. 啟用傳輸反間諜功能掃描:選取或清除此核取方塊,以啟用或停用傳輸反間諜功能掃描。此設定預設為 [已啟用]。

  3. 在 [惡意程式碼防護 - 集線傳輸] 窗格的 [引擎及效能] 區段下,選取應該用於此掃描的掃描引擎數目。如需詳細資訊,請參閱設定用於每個掃描的引擎數

  4. 在 [惡意程式碼防護 - 集線傳輸] 窗格的 [掃描動作] 區段下,設定下列設定:

    1. 動作:選取偵測到病毒或間諜軟體時所要執行的動作。對於病毒偵測,您可以選取 [略過偵測]、[清除] (預設值) 及 [刪除]。對於間諜軟體偵測,您可以選取 [略過偵測]、[刪除] (預設值) 及 [清除]。如需詳細資訊,請參閱設定偵測到惡意程式碼時的動作

    2. 隔離檔案:使用下拉式清單,啟用 (選取 []) 或停用 (選取 []) 儲存檔案掃描引擎偵測到的受感染檔案。隔離預設為啟用。啟用隔離會在安全的位置儲存刪除的附件及清除的郵件,讓您能夠加以復原。不過,無法復原已清除蠕蟲的郵件。如需隔離的詳細資訊,請參閱檢視及管理隔離

    3. 編輯惡意程式碼刪除文字:您可以指定刪除文字,以便在刪除作業中取代受感染檔案的內容。預設的刪除文字會通知您受感染的檔案已移除,以及檔案名稱和發現的惡意程式碼名稱。若要變更預設的刪除文字,按一下 [編輯惡意程式碼刪除文字],在 [編輯惡意程式碼刪除文字] 對話方塊中修改刪除文字,然後按一下 [套用並關閉],返回 [惡意程式碼防護 - 集線傳輸] 窗格。

      注意事項注意:
      FPE 會提供可在 [刪除文字] 欄位中使用的關鍵字,以從發現受感染的郵件中取得資訊。若要使用它們,在 [編輯惡意程式碼刪除文字] 對話方塊中,以滑鼠右鍵按一下並選取 [插入欄位],然後選取所需的巨集。如需此功能的詳細資訊,請參閱 關鍵字替代巨集
  5. 按一下 [儲存]。

您可以在 [惡意程式碼防護 - 集線傳輸] 窗格的 [其他選項] 區段下,設定下列其他設定。在對設定進行任何變更後,按一下 [儲存]。

  • 掃描 DOC 檔案為容器:設定傳輸掃描將結構化儲存體及 OLE 內嵌資料格式 (例如,.doc, .xls, .ppt 或 .shs) 做為容器檔案使用的檔案。這可確保任何內嵌檔案都會被視為可能的惡意程式碼攜帶者,以進行掃描。此設定預設為停用。

  • 如果郵件本文被刪除則進行清除:設定如果傳輸掃描器刪除郵件本文時,是否應該清除整個郵件。此設定預設為停用。

    部分郵件會在郵件檔的本文中攜帶惡意程式碼。當刪除全部或部分的郵件本文以移除惡意程式碼時,會以刪除文字取代刪除的郵件本文部分。如果您不希望電子郵件使用者收到包含刪除文字的已清理郵件,則可以清除已刪除全部或部分郵件本文而且沒有附件的郵件。例如,如果郵件同時包含 HTML 與純文字,而 HTML 已被刪除,則系統將會清除整個郵件。

  • 不再重新掃描已掃描病毒的郵件以最佳化效能:設定 FPE 略過 FPE 的任何執行個體先前在任何組態中掃描過的郵件。這個選項適用於傳輸伺服器上所接收,但已由 FPE 在 Exchange 組織中其他傳輸伺服器上掃描過的郵件。此設定預設為 [已啟用]。

  • 抑制惡意程式碼通知:抑制傳送 [找到病毒]、[找到間碟軟體] 及 [找到蠕蟲] 通知的功能,即使已經啟用這些通知也一樣。此設定預設為停用。

  • 不合法的 MIME 標頭動作:設定在掃描期間遇到不合法的 MIME 標頭時所應採取的動作。不合法 MIME 標頭是下列任何屬性為無效的郵件:[內容配置]、[內容類型標頭] 及 [多重內容轉移編碼]。您可以選取 [清除] 或 [忽略]。預設值是 [清除]。

    如果動作是設定為 [清除],則預設會將已偵測到具有不合法之 MIME 標頭的郵件加以隔離。如果您不希望隔離清除的郵件,請輸入下列 Windows PowerShell 命令,以停用這些項目的隔離:

    Set-FseTransportScan -IllegalMIMEHeaderQuarantine $false

  • 傳輸寄件者資訊:設定傳輸掃描要使用哪些寄件者資訊。請選取下列其中一個選項:

    • 使用 MIME 標頭:MIME FROM 標頭寄件者地址將用於傳輸掃描。當 MIME Sender 標頭也存在時,則系統會使用此標頭資訊。此為系統預設值。

    • 來自 SMTP 通訊協定的使用者寄件者地址:來自 SMTP 通訊協定的 MAIL FROM 寄件者地址將用於傳輸掃描。此欄位中的地址將在任何使用寄件者地址的地方加以使用。

  • 處理程序計數:設定每個傳輸伺服器要執行的處理程序數目。預設值為 4;最大值為 10。

    執行多個傳輸處理程序時,第一個處理程序會掃描檔案,如果它很忙碌,則會將檔案傳給第二個處理程序以進行掃描。如果第二個處理程序很忙碌且已啟用第三個處理程序,則第三個處理程序會掃描檔案。當第一個處理程序可用時,FPE 會隨時將檔案傳給第一個處理程序。

    在啟動伺服器時載入多個處理程序,或是呼叫多個處理程序來掃描檔案,都會增加伺服器的負載。除了在高容量的環境之外,並不需要有超過預設數目的處理程序。因為增加處理程序數目會耗用額外的伺服器資源,最好一次只增加一個處理程序,並在每個步驟評估效能。

    重要事項 重要:
    您必須先停止 Microsoft Exchange Transport 服務,然後再加以啟動,這個設定的變更才會生效。請勿使用 [重新啟動] 功能。
  • 掃描逾時 (秒):設定傳輸掃描在逾時之前掃描檔案的秒數。預設值為 300 秒。

    當傳輸掃描的掃描郵件時間超過指定時間時,系統便會終止處理程序,而 FPE 會嘗試重新啟動服務。如果重新啟動服務成功,傳輸掃描便會繼續,並傳送有關傳輸掃描曾停止但已復原的通知給系統管理員。

    新的傳輸掃描處理程序啟動時,系統會依據 [掃描逾時動作] 設定,重新處理導致作業終止的郵件。例如,如果動作是設定為 [刪除],FPE 就會刪除檔案、以傳輸掃描的刪除文字取代原內容、記錄 ExceededTransportTimeout 事件,並隔離和封存檔案。

    若無法重新啟動處理程序,則會傳送有關傳輸掃描已停止的通知給系統管理員。在此狀況下,傳輸掃描無法運作,也不會掃描郵件資料流。

    重要事項 重要:
    您必須先停止 Microsoft Exchange Transport 服務,然後再加以啟動,這個設定的變更才會生效。請勿使用 [重新啟動] 功能。
  • 掃描逾時動作:設定在掃描檔案時如果發生傳輸掃描逾時,系統所應採取的動作。選項包括:

    • 忽略:讓檔案不經掃描,直接通過。

    • 略過偵測:會在事件記錄和程式記錄中進行報告,指出檔案已超過掃描時間,因此未經掃描便讓其通過。

    • 刪除:報告事件,並以刪除文字取代檔案內容。[刪除] 是預設值。

    注意事項 注意:
    如果 [掃描逾時動作] 是設定為 [略過偵測] 或 [刪除],而且如果啟用了隔離,則會在資料庫中儲存一份檔案複本。
  • 最大容器掃描時間 (秒):設定傳輸掃描在將壓縮附件報告為 ScanTimeExceeded 事件之前,掃描該附件的秒數。此選項的目的在防止因 Zip-of-death 攻擊而造成阻斷服務的風險。預設值為 120 秒。

您可以設定 FPE 略過所有電子郵件訊息的傳輸掃描。當您設定 FPE 略過傳輸掃描時,傳輸掃描工作不會掃描或篩選惡意程式碼。

重要事項 重要:
只有在疑難排解和遵循客戶服務及支援 (CSS) 工程師指示進行操作時,才應該略過傳輸掃描。啟用時 (預設為停用),傳輸掃描無法提供惡意程式碼防護功能,而且可能會有未掃描到的惡意程式碼離開或進入您的組織。
略過傳輸掃描
  1. 在 Forefront Protection 2010 for Exchange Server 管理主控台 中按一下 [原則管理],然後按一下 [全域設定] 之下的 [掃描選項]。

  2. 在 [全域設定 - 掃描選項] 窗格的 [掃描目標 - 傳輸] 區段下,選取 [啟用略過掃描] 核取方塊。

  3. 按一下 [儲存]。

重要事項 重要:
當您完成疑難排解時,為了能夠再次防護惡意程式碼,就必須停用略過以還原掃描。要這樣做的方式是清除 [啟用略過掃描] 核取方塊,然後按一下 [儲存]。
 
顯示: