設定即時掃描

 

主題上次修改日期: 2010-02-08

有各種組態設定可用以為 Microsoft Forefront Protection 2010 for SharePoint (FPSP) 即時掃描調整,以便符合您環境的需求。 這些設定包括選取用於每個掃描的掃描引擎數量、設定偵測到惡意程式碼時要採取的動作,以及指定是否要隔離偵測到的檔案。

設定即時掃描
  1. 在 Forefront Protection 2010 for SharePoint 管理主控台 中按一下 [原則管理],然後按一下 [惡意程式碼防護] 中的 [即時]

  2. [惡意程式碼防護 - 即時] 窗格的 [一般選項] 區段之下,設定下列設定:

    1. 啟用即時防毒掃描:選取或清除此核取方塊,以啟用或停用即時防毒掃描。 此設定預設為 [已啟用]。

    2. 啟用即時反間諜軟體掃描:選取或清除此核取方塊,以啟用或停用即時反間諜軟體掃描。 此設定預設為 [已啟用]。

  3. [惡意程式碼防護 - 即時] 窗格的 [引擎及效能] 區段中,設定應該用於此掃描的掃描引擎數目。 如需詳細資訊,請參閱設定用於每個掃描的引擎數

  4. [惡意程式碼防護 - 即時] 窗格的 [掃描動作] 區段中,設定下列設定:

    1. 動作:選取偵測到病毒或間諜軟體時所要執行的動作。 如需詳細資訊,請參閱設定偵測到惡意程式碼時的動作

    2. 隔離檔案:使用下拉式清單,啟用 (選取 [是]) 或停用 (選取 [否]) 儲存檔案掃描引擎偵測到的受感染檔案。 隔離預設為啟用。 啟用隔離時,刪除的檔案會儲存到安全的位置,讓您能夠加以復原。 如需隔離的詳細資訊,請參閱檢視及管理隔離

    3. 編輯惡意程式碼刪除文字:您可以指定刪除文字,以便在刪除作業中取代受感染檔案的內容。 預設的刪除文字會通知您受感染的檔案已移除,以及檔案名稱和發現的惡意程式碼名稱。 若要變更預設的刪除文字,按一下 [編輯刪除文字],在 [編輯惡意程式碼刪除文字] 對話方塊中修改刪除文字,然後按一下 [確定],返回 [惡意程式碼防護 - 即時] 窗格。

      注意事項注意:
      FPSP 會提供可在 [刪除文字] 欄位中使用的關鍵字,以從發現受感染的郵件中取得資訊。 若要使用關鍵字,請在 [惡意程式碼刪除文字] 對話方塊中,按一下滑鼠右鍵以選取 [插入欄位],然後選取所需的巨集。 如需此功能的詳細資訊,請參閱 關鍵字替代巨集
  5. [惡意程式碼防護 - 即時] 窗格的 [SharePoint 防毒設定] 區段中,您可以透過 [SharePoint 管理中心],選擇性地修改幾種設定。 這些設定包括在上傳或下載時掃描文件、允許使用者下載受感染的文件,以及即時掃描的逾時值。 如需詳細資訊,請參閱透過 SharePoint 管理中心設定其他設定

  6. 按一下 [儲存]

您可以在 [惡意程式碼防護 - 即時] 窗格的 [其他選項] 區段之下,設定下列其他設定。 在對設定進行任何變更後,按一下 [儲存]

  • 掃描 DOC 檔案為容器:設定即時掃描,將使用結構化儲存體及 OLE 內嵌資料格式的檔案 (例如 .doc, .xls, .ppt 和 .shs) 當做容器檔案進行掃描。 這可確保任何內嵌檔案都會被視為可能的惡意程式碼攜帶者,以進行掃描。 此設定預設為 [已啟用]。

  • 引擎更新後掃描:設定在引擎完成更新後存取檔案時,即時掃描將重新掃描先前掃描過的檔案。

    此設定預設為停用。 啟用時,此設定會重新掃描已經掃描過的檔案,提供加強的安全性保護。 若第一次發生「存取時」事件,以及上次掃描檔案後又收到新的引擎定義更新,則在初始事件之後的每個「存取時」事件發生時,系統會重新掃描檔案。

    注意事項注意:
    啟用這個選項時,SharePoint 伺服器可能會進行大量的惡意程式碼掃描。 這可能會影響伺服器效能。
    提示秘訣:
    在病毒「爆發」期間,建議您啟用 [引擎更新後掃描] 設定,以便在每次引擎更新之後存取檔案時重複掃描檔案。 因此,您永遠可以取得最新定義進行掃描,而享有最佳保護。 當病毒爆發過後,請再次停用此設定。
    您通常不會啟用此設定,但如果伺服器有許多可用的容量,而且不會影響到使用者經驗的話,則全天候啟用此設定可提供最佳的防護等級。請記住,啟用此設定可能會嚴重影響忙碌伺服器的效能,因為它會進行更頻繁的掃描。
  • 抑制惡意程式碼通知:抑制傳送 [找到病毒][找到間碟軟體] 通知的功能,即使已經啟用這些通知也一樣。 此設定預設為停用。

  • 處理程序計數:設定每個 Web Front End 伺服器要執行的處理程序數目。 預設值為 4;最大值為 10。

    執行多個即時處理程序時,第一個處理程序會掃描檔案,如果它很忙碌,則會將檔案傳給第二個處理程序以進行掃描。 如果第二個處理程序很忙碌且已啟用第三個處理程序,則第三個處理程序會掃描檔案。 當伺服器執行完可用的掃描處理程序時,系統會將掃描排入佇列,直到掃描處理程序變成可用為止。

    在處理器核心超過 4 個的系統上,您可以根據可用的 CPU 核心總數增加處理程序的數目,藉以改善效能。 每個額外的處理程序都將耗用額外的系統資源。 增加此設定時,您應該先密切監視資源耗用量和效能,然後再進行其他調整。

    重要事項重要:
    您必須先停止 Microsoft Forefront Server Security Controller 服務和 World Wide Web Publishing 服務,然後再加以啟動,這個設定的變更才會生效。
  • 最大容器掃描時間 (秒):設定即時掃描將壓縮附件報告為 "ScanTimeExceeded" 事件之前,掃描該檔案的秒數。 此選項的目的在防止因 Zip-of-death 攻擊而造成阻斷服務的風險。 預設值為 120 秒 (2 分鐘)。


您可以設定 FPSP 略過所有 SharePoint 檔案的即時掃描。 當您設定 FPSP 略過即時掃描時,即時掃描工作不會執行惡意程式碼掃描或篩選。

重要事項重要:
只有在疑難排解和遵循客戶服務及支援 (CSS) 工程師指示進行操作時,才應該略過即時掃描。 啟用時 (預設是停用),即時掃描無法提供惡意程式碼防護,因此所有郵件都會標記為「乾淨」。
略過即時掃描
  1. 在 Forefront Protection 2010 for SharePoint 管理主控台 中按一下 [原則管理],然後按一下 [全域設定] 之下的 [掃描選項]

  2. [全域設定 - 掃描選項] 窗格的 [掃描目標 - 即時掃描] 區段下,選取 [略過即時掃描] 核取方塊。

  3. 按一下 [儲存]

重要事項重要:
當您完成疑難排解時,為了能夠再次防護惡意程式碼,就必須停用略過以還原掃描。 要這樣做的方式是清除 [略過掃描] 核取方塊,然後按一下 [儲存]。 如果您有任何期間略過掃描,也建議您執行完整的排程掃描,檢查是否有已略過的惡意程式碼。
 
顯示: