設定即時掃描

 

適用於: Forefront Protection for Exchange

主題上次修改日期: 2010-09-21

有各種組態設定可用以為即時掃描進行調整,以便符合您的環境需求。 這些設定包括選取用於每個掃描的掃描引擎數量、設定偵測到惡意程式碼時要採取的動作,以及指定是否要隔離偵測到的檔案。

設定即時掃描
  1. 在 Forefront Protection 2010 for Exchange Server 管理主控台 中按一下 [原則管理],然後按一下 [惡意程式碼防護] 之下的 [信箱 - 即時]。

  2. 在 [惡意程式碼防護 - 信箱即時] 窗格的 [一般設定] 區段之下,設定下列設定:

    1. 啟用即時防毒掃描:選取或清除此核取方塊,以啟用或停用即時防毒掃描。 此設定預設為 [已啟用]。

    2. 啟用即時反間諜軟體掃描:選取或清除此核取方塊,以啟用或停用即時反間諜軟體掃描。 此設定預設為 [已啟用]。

  3. 在 [惡意程式碼防護 - 信箱即時] 窗格的 [引擎及效能] 區段之下,選取應該用於此掃描的掃描引擎數目。 如需詳細資訊,請參閱設定用於每個掃描的引擎數

  4. 在 [惡意程式碼防護 - 信箱即時] 窗格的 [掃描動作] 區段之下,設定下列設定:

    1. 動作:選取偵測到病毒或間諜軟體時所要執行的動作。 對於病毒偵測,您可以選取 [略過偵測]、[清除] (預設值) 及 [刪除]。 對於間諜軟體偵測,您可以選取 [略過偵測]、[刪除] (預設值) 及 [清除]。 如需詳細資訊,請參閱設定偵測到惡意程式碼時的動作

    2. 隔離檔案:使用下拉式清單,啟用 (選取 []) 或停用 (選取 []) 儲存檔案掃描引擎偵測到的受感染檔案。 隔離預設為啟用。 啟用隔離會在安全的位置儲存刪除的附件及清除的郵件,讓您能夠加以復原。 不過,無法復原已清除蠕蟲的郵件。 如需隔離的詳細資訊,請參閱檢視及管理隔離

    3. 編輯惡意程式碼刪除文字:您可以指定刪除文字,以便在刪除作業中取代受感染檔案的內容。 預設的刪除文字會通知您受感染的檔案已移除,以及檔案名稱和發現的惡意程式碼名稱。 若要變更預設的刪除文字,按一下 [編輯惡意程式碼刪除文字],在 [編輯惡意程式碼刪除文字] 對話方塊中修改刪除文字,然後按一下 [套用並關閉],返回 [惡意程式碼防護 - 信箱即時] 窗格。

      注意事項注意:
      FPE 會提供可在 [刪除文字] 欄位中使用的關鍵字,以從發現受感染的郵件中取得資訊。 若要使用它們,在 [編輯惡意程式碼刪除文字] 對話方塊中,以滑鼠右鍵按一下並選取 [插入欄位],然後選取所需的巨集。 如需此功能的詳細資訊,請參閱 關鍵字替代巨集
  5. 按一下 [儲存]。

您可以在 [惡意程式碼防護 - 信箱即時] 窗格的 [其他選項] 區段之下,設定下列其他設定。 在對設定進行任何變更後,按一下 [儲存]。

  • 掃描 DOC 檔案為容器:設定即時掃描將結構化儲存體及 OLE 內嵌資料格式 (例如,doc, .xls, .ppt 或 .shs) 做為容器檔案使用的檔案。 這可確保任何內嵌檔案都會被視為可能的惡意程式碼攜帶者,以進行掃描。 此設定預設為停用。

  • 掃描郵件本文:設定即時掃描以掃描郵件本文及附件。 預設會停用掃描郵件本文,因為郵件本文掃描會增加執行掃描所需的時間。

  • 引擎更新後掃描:設定在引擎或定義完成更新後存取郵件時,即時掃描將重新掃描先前掃描過的郵件。

    此設定預設為停用。 啟用時,此設定會重新掃描已經掃描過的郵件,提供資訊儲存區加強的安全性保護。 若第一次發生「存取時」事件,以及上次掃描郵件後又收到新的更新,則在初始事件之後的每個「存取時」事件發生時,系統會重新掃描郵件。

    注意警告:
    啟用這個選項時,Exchange 伺服器可能會進行大量的惡意程式碼掃描。 這可能會影響伺服器效能。 此外請注意,啟用這項設定也會自動啟用主動掃描,如需詳細資訊,請參閱啟用主動掃描
    注意事項注意:
    在快取模式下執行之 Microsoft Office Outlook 2003 或 Microsoft Office Outlook 2007 用戶端所擷取的郵件,只會在開始與用戶端同步處理時產生「存取時」事件。 如果郵件是在本機用戶端進行存取而且是從快取中擷取的,則不會在伺服器上重新掃描這些郵件。 若要重新掃描這些已經擷取的郵件,請啟用此設定。 如果即時掃描在郵件中偵測到惡意程式碼並清理或清除該郵件,則 Outlook 用戶端下次與伺服器重新同步處理時,將會清理或清除已經擷取的受感染郵件。
  • 抑制惡意程式碼通知:抑制傳送 [找到病毒]、[找到間碟軟體] 及 [找到蠕蟲] 通知的功能,即使已經啟用這些通知也一樣。 此設定預設為停用。

  • 處理程序計數:設定每個信箱伺服器要執行的處理程序數目。 預設值為 4;最大值為 10。

    執行多個即時處理程序時,第一個處理程序會掃描檔案,如果它很忙碌,則會將檔案傳給第二個處理程序以進行掃描。 如果第二個處理程序很忙碌且已啟用第三個處理程序,則第三個處理程序會掃描檔案。 當第一個處理程序可用時,FPE 會隨時將檔案傳給第一個處理程序。

    在啟動伺服器時載入多個處理程序,或是呼叫多個處理程序來掃描檔案,都會增加伺服器的負載。 除了在高容量的環境之外,並不需要有超過預設數目的處理程序。 因為增加處理程序數目會耗用額外的伺服器資源,最好一次只增加一個處理程序,並在每個步驟評估效能。

    建議您將即時處理程序數目設為伺服器上有效處理器數量的兩倍。 例如,有兩個處理器的伺服器或是雙核心單處理器的伺服器,都應該將 [即時程序計數] 的預設值設定為 4。如果伺服器含有兩個雙核心的處理器,建議設定值是 8。

    重要事項重要:
    您必須先停止 Microsoft Exchange Information Store 服務後再加以啟動,這個設定的變更才會生效。 請勿使用 [重新啟動] 功能。
  • 掃描逾時 (秒):設定即時掃描在逾時之前掃描檔案的秒數。 預設值為 150 秒。

    當即時掃描的掃描郵件時間超過指定時間時,系統便會終止處理程序,而 FPE 會嘗試重新啟動服務。 如果成功,則會繼續即時掃描並傳送通知給系統管理員,以報告即時掃描工作曾超過所配置的掃描時間,且已復原該動作。

    新的即時掃描處理程序啟動時,系統會依據 [掃描逾時動作] 設定,重新處理導致作業終止的郵件。 例如,如果動作是設定為 [刪除],FPE 就會刪除檔案、以即時掃描的刪除文字取代原內容、記錄 ExceededRealtimeTimeout 事件,並隔離和保存檔案。

    若系統無法重新啟動處理程序,便會傳送通知給系統管理員,報告即時掃描已停止。 在這個事件中,特殊儲存群組的即時掃描無法運作,但資訊儲存不會停止。

    重要事項重要:
    您必須先停止 Microsoft Exchange Information Store 服務後再加以啟動,這個設定的變更才會生效。 請勿使用 [重新啟動] 功能。
  • 掃描逾時動作:設定在掃描檔案時如果發生即時掃描逾時,系統所應採取的動作。 選項如下:

    • 忽略:讓檔案不經掃描,直接通過。

    • 略過偵測:會在事件記錄和程式記錄中進行報告,指出檔案已超過掃描時間,因此未經掃描便讓其通過。

    • 刪除:報告事件,並以刪除文字取代檔案內容。 [刪除] 是預設值。

    注意事項注意:
    如果 [掃描逾時動作] 是設定為 [略過偵測] 或 [刪除],而且如果啟用了隔離,則會在資料庫中儲存一份檔案複本。
  • 最大容器掃描時間 (秒):設定即時掃描將壓縮附件報告為 ScanTimeExceeded 事件之前,掃描該附件的秒數。 此選項的目的在防止因 Zip-of-death 攻擊而造成阻斷服務的風險。 預設值為 120 秒。

您可以設定 FPE 略過所有電子郵件訊息的即時掃描。 當您設定 FPE 略過即時掃描時,即時掃描工作不會執行惡意程式碼掃描或篩選。

重要事項重要:
只有在疑難排解和遵循客戶服務及支援 (CSS) 工程師指示進行操作時,才應該略過即時掃描。 啟用時 (預設是停用),即時掃描無法提供惡意程式碼防護,因此所有郵件都會標記為「乾淨」。
略過即時掃描
  1. 在 Forefront Protection 2010 for Exchange Server 管理主控台 中按一下 [原則管理],然後按一下 [全域設定] 之下的 [掃描選項]。

  2. 在 [全域設定 - 掃描選項] 窗格的 [掃描目標 - 即時] 區段下,選取 [啟用略過掃描] 核取方塊。

  3. 按一下 [儲存]。

重要事項重要:
當您完成疑難排解時,為了能夠再次防護惡意程式碼,就必須停用略過以還原掃描。 要這樣做的方式是清除 [啟用略過掃描] 核取方塊,然後按一下 [儲存]。 如果您有任何期間略過掃描,也建議您執行完整的排程掃描,檢查是否有已略過的惡意程式碼。
 
顯示: