FSOCS 檔案篩選

 

適用於: Forefront Security for Office Communications Server

主題上次修改日期: 2009-01-15

Microsoft Forefront Security for Office Communications Server (FSOCS) 檔案篩選功能讓您能夠依據指定的特定名稱、類型和大小搜尋郵件中的附件。您可以設定檔案篩選在找到相符的項目時,要對附件執行的動作,例如刪除、隔離、通知和報告偵測到的檔案。檔案篩選提供彈性的方式來偵測郵件中的檔案附件。

您可以設定檔案篩選,存取附加檔案的若干內容,其中包括下列各項:

  • 檔案名稱和副檔名

  • 實際檔案類型

  • 檔案大小。

  • 使用這些條件,您就可以利用各種不同的方法來篩選檔案。

您可以依據檔案類型、副檔名或名稱設定檔案篩選。如需相關資訊,請參閱依檔案類型篩選依副檔名篩選依名稱篩選

建立和設定檔案篩選
  1. 在快速導覽中,按一下 [篩選],然後按一下 [檔案] 圖示。

  2. 在 [檔案篩選] 窗格的上方區段中,選取 [IM 掃描工作]。

  3. 若要偵測具有特定檔案名稱的檔案,請在 [檔案名稱] 區段中按一下 [新增] 按鈕,以該名稱建立篩選,然後輸入要偵測的檔案的名稱。完成時,請按 ENTER (也有按鈕可以用來 [編輯] 和 [刪除] 現有項目)。

    若要變更執行選定篩選的順序,請使用與 [檔案名稱] 位於同一列的向上和向下箭頭。

    您可以選擇根據大小,設定檔案篩選來篩選檔案。若要依大小偵測檔案,請指定比較運算子 (=><>=<=) 及檔案大小 (單位是 KB、MB 或 GB;輸入檔案大小時必須使用英文關鍵字 KB、MB 和 GB 來表示大小)。緊接著檔案名稱後面放置運算子和檔案大小,檔案名稱與運算子之間或運算子與檔案大小之間沒有空格。在 [一般選項] 中,[最大容器檔案大小] 設定會指定 FSOCS 發現受感染的檔案時,嘗試清理或修復的最大容器檔案大小 (以位元為單位)。

    範例:

    *.bmp>=1.2MB   所有大於或等於 1.2 MB 的 .bmp 檔案

  4. 若要指定可與選取的檔案名稱產生關聯的檔案類型清單,請在清單中選取一個或多個檔案類型,或在清單下面選取 [所有類型] 核取方塊。如果在清單中找不到要與所選取的檔案名稱產生關聯的檔案類型,則選取 [所有類型] 核取方塊 (如需選項方塊中列出之檔案類型的描述,請參閱 FSOCS 檔案類型清單)。

    注意事項注意:
    [所有類型] 選項可以將 FSOCS 設定為只按照檔案名稱與副檔名進行篩選。選取 [所有類型] 核取方塊,就會將 FSOCS 設定為偵測選取的檔案名稱,不論檔案類型為何。如此可以防止使用者簡單地變更檔案的副檔名,就躲過篩選。

    如果知道要搜尋的檔案類型,當您選取適當的檔案類型而非 [所有類型] 時,FSOCS 的運作效率將會提升。例如,如果想要篩選所有 EXE 檔案,就建立名為「*」的篩選,然後將檔案類型設定為 EXE。

  5. 在 [檔案篩選] 欄位中,確認已將檔案篩選設定為 [啟用]。此選項預設為啟用。

  6. 在 [動作] 欄位中,指定如果篩選相符時所要採取的 [動作]。

  7. 使用 [傳送通知] 核取方塊,指定是否要為選取的檔案名稱傳送通知,這不會影響報告事件記錄。此外,您也必須設定通知 (如需相關資訊,請參閱 FSOCS 事件通知),根據預設,系統會停用通知。

  8. 使用 [隔離檔案] 核取方塊,指定是否要針對選取的檔案名稱隔離檔案,此選項預設為啟用。啟用隔離會儲存刪除的檔案,讓您能夠加以復原。不過,無法復原已清除蠕蟲的郵件。

  9. 您可以選擇性指定刪除文字,在刪除作業期間用來取代受感染檔案的內容。預設的刪除文字會通知您已移除受感染的檔案,以及檔案名稱和篩選名稱。若要建立自己的自訂郵件,請按一下 [刪除文字] 按鈕。

    注意事項注意:
    FSOCS 會提供可在 [刪除文字] 欄位中使用的關鍵字,讓您能取得受感染之郵件的相關資訊。如需關鍵字的相關資訊,請參閱 FSOCS 關鍵字替代巨集
  10. 按一下 [儲存]。

如果您想要篩選特定檔案類型,可以建立名為「*」的篩選,然後使用 [檔案類型] 區段中的核取方塊來指定要篩選的確切檔案類型。

例如,您可以建立篩選 *,然後將 [檔案類型] 設定為 [MP3]。如此可以確保系統會篩選所有 MP3 檔案,無論這些檔案的檔案名稱或副檔名為何。

設定通用篩選 (例如 *) 並使該篩選與特定檔案類型 (例如 EXE) 產生關聯的其中一個好處,就是可以防止使用者只藉由變更檔案的副檔名就躲過篩選。

注意事項注意:
如果要篩選 Microsoft Office 2003 及舊版 Microsoft Office Excel® 檔案,您必須在 [檔案名稱] 方塊中輸入 [*.xls] 或 [*],然後在 [檔案類型] 清單中選取 [WINEXCEL] 及 [DOCFILE]。Excel 1.x 檔案是 WINEXCEL 類型檔案,但較新的 Excel 版本則是 DOCFILE 類型檔案。
若為 Microsoft Office 2007 文件 (Word、Excel 和 PowerPoint®),就應該在 [檔案名稱] 方塊中輸入適當的副檔名,然後在 [檔案類型] 清單中選取 [OPENXML]。

如果您想要篩選特定副檔名的任何類型檔案,可以為副檔名建立通用篩選,然後將 [檔案類型] 選項設定為 [所有類型]。篩選相符不區分大小寫。

例如:先建立篩選 *.exe*,再將 [檔案類型] 選項設定為 [所有類型]。如此可以確保所有副檔名為 .exe 的檔案都會經過篩選。

重要事項重要:
建立通用檔案篩選來封鎖特定檔案類型 (例如 .exe 檔案) 的所有檔案時,建議您以這個格式來撰寫篩選:[*.exe*]。第二個星號可防止在副檔名之後有附加額外字元的檔案躲過篩選。
注意事項注意:
建議您避免使用 [檔案類型] 設定為 [所有類型] 的通用篩選 *,這種篩選設定可能會導致報告偵測到的項目時發生重複的情況。

如果您想要篩選特定名稱的所有檔案,可以使用該檔案名稱來建立篩選,然後將 [檔案類型] 選項設定為 [所有類型]。篩選相符不區分大小寫。

例如:如果有病毒使用名為 payload.doc 的附加檔案,您就可以建立篩選 payload.doc,然後將 [檔案類型] 選項設定為 [所有類型]。如此可以確保任何名為 payload.doc 的檔案都會經過篩選,不論其檔案類型為何。

如果有新的病毒肆虐,而在更新病毒掃描程式來加以偵測之前,您就知道病毒所在的檔案名稱,那麼依名稱來偵測檔案附件就會非常有用。Melissa 蠕蟲就是最好的例子。此蠕蟲位於名為 List.doc 的檔案中,FSOCS 可以早在病毒掃描程式偵測到它之前,使用檔案篩選率先偵測出來。

在 [檔案篩選] 窗格的 [動作] 欄位中,選取您想要 FSOCS 在符合檔案篩選時執行的動作。根據預設,動作會設為 [刪除:移除內容]。

注意事項注意:
您必須為您設定的每一個檔案篩選設定動作。[動作] 設定不是通用的。

 

動作 描述

略過: 僅進行偵測

記錄符合篩選條件的郵件數目,但允許郵件正常傳送。不過,如果在 [一般選項] 選取 [刪除損毀的壓縮檔案]、[刪除損毀的 Uuencode 檔案] 或 [刪除加密的壓縮檔案] 核取方塊,則只要找到符合上述任一條件的項目,便會予以刪除。

刪除: 移除內容

刪除檔案附件。系統會從郵件中移除偵測到的檔案附件,並在原處插入刪除文字。

封鎖:防止傳輸

不讓 IM 訊息或傳輸的檔案送達預定的收件者。

建立檔案篩選之後,您可加以修改。

編輯檔案篩選
  1. 在快速導覽中,按一下 [篩選],然後按一下 [檔案] 圖示。

  2. 在 [檔案篩選] 窗格的上方區段中,選取 [IM 掃描工作]。

  3. 對各種欄位進行必要的變更,這些變更會套用至選取的掃描工作。

  4. 按一下 [儲存]。對組態進行任何變更,都會啟用 [儲存] 和 [取消] 按鈕。如果對選取的掃描工作做了變更,並嘗試移到另一個掃描工作或快速導覽圖示而未儲存變更,系統便會提示您儲存或放棄變更。

使用萬用字元,可以讓篩選比對檔案名稱中的模式,而非特定的檔案名稱。您可以使用下列任一項來調整您的篩選。

 

萬用字元 描述

*

用來比對檔案名稱中任意數量的字元。您可以使用多個星號。以下是其用法的部份範例:

  • 單一:下列任一個單一萬用字元模式都可偵測到 veryevil.doc: veryevil.*、very*.doc、very*、 *il.doc。

  • 多個:下列任一個多重萬用字元模式都可偵測到 eicar.com:e*c*r*om、 ei*.*、 *car.*。

    注意事項注意:
    使用多個星號即可篩選包含多個副檔名的檔案附件。例如:love*.*.*

?

用來比對名稱中的任意單一字元,該名稱中會有可變更的單一字元。例如:

virus?.exe 會比對 virusa.exe、virus1.exe 或 virus$.exe。不過,此篩選將無法找到 virus.exe。

[set]

用來表示連續的字元及範圍,以方括號括住 (例如 [abcdef])。此方法會比對指定集合內的任何單一字元。例如:

klez[a-h].exe 會比對從 kleza.exe 到 klezh.exe 的檔案。

[^set]

用來排除檔案名稱中確定未使用的字元。例如:

klez[^m-z].exe 不會比對 klezm.exe 到 klezz.exe 的檔案。

[range]

用來指出集合內的數個可能值,由一個開始字元、一個連字號 (-) 和一個結束字元所組成。例如:

klez[ad-gp].exe 會比對 kleza.exe、klezd.exe、klezf.exe 和 klezp.exe,但不會比對 klezb.exe 或 klezr.exe。

\char

表示特殊字元將當做一般文字使用(特殊字元包括:* ? [ ] - ^ < >)。反斜線稱為逸出字元,表示要將保留的控制字元視為一般文字字元。例如:

如果輸入 *hello*,系統會比對任何包含 hello 字元的檔案名稱。如果輸入 *\*hello\**,系統便會比對 *hello*。如果輸入 *\*hello\?\**,則會比對 *hello?*。

注意事項注意:
您必須在每個特殊字元前面使用 \。

使用檔案篩選結合 IM 掃描工作時,您可以將篩選設定為只檢查輸入或輸出郵件。在 [檔案名稱] 窗格輸入檔案名稱時,加上 <in> 或 <out> 前置詞,便可以達到上述目的。

如需輸入、輸出及內部指定的相關資訊,請參閱 IM 掃描工作

注意事項注意:
前置詞與檔案名稱之間不能有空格。
注意事項注意:
前置詞 <in> (用於輸入郵件) 和 <out> (用於輸出郵件) 只能使用英文。

在檔案名稱前面加上 <in> 指示詞,表示要讓 FSOCS 只將這個篩選套用至輸入郵件。輸入篩選的格式如下:

<in> filename

在檔案名稱前面加上 <out> 指示詞,表示要讓 FSOCS 只將這個篩選套用至輸出郵件。輸出篩選的格式如下:

<out> filename

如果檔案名稱前沒有附加前置詞,篩選就會套用到所有郵件,不論方向為何。

大致來說,容器檔案是可區分成不同組件的複雜檔案。FSOCS 可以掃描下列容器檔案以進行篩選比對:

  • PKZip (.zip)

  • GNU Zip (.gzip)

  • 自動解壓縮 .zip 保存檔

  • Zip 檔案 (.zip)

  • Java 保存檔 (.jar)

  • TNEF (Winmail.dat)

  • 結構化儲存體 (例如,.doc, .xls 或 .ppt)

  • OPENXML (例如,.docx, .xlsx 或 .pptx)

  • MIME (.eml)

  • SMIME (.eml)

  • UUEncode (.uue)

  • Unix 磁帶保存檔 (.tar)

  • RAR 保存檔 (.rar)

  • MACBinary (.bin)

FSOCS 會視需要掃描容器檔案的所有部分並重新包裝檔案。例如,如果您設定檔案篩選來刪除所有 .exe 檔案,FSOCS 就會刪除容器檔案內部的 .exe 檔案 (以刪除文字來取代),但是會保留容器中的所有其他檔案。

注意事項注意:
FSOCS 無法掃描有密碼保護的檔案或加密檔案,但是一律會將這些檔案以其加密形式完整傳遞給防毒掃描程式。

若要排除掃描 .zip (容器檔案) 的內容而不進行篩選比對,請在檔案篩選清單中指定 .zip 檔案名稱,然後將動作設定為 [略過]。清單中的篩選順序並不重要。如果 .zip 檔案的名稱列於檔案篩選清單中,且其動作設定為 [略過],檔案篩選就不會掃描其內容,但是仍然會掃描該檔案是否有病毒。如果要略過篩選所有 .zip 檔案,請建立篩選:*.zip,然後將動作設為 [略過]。

注意事項注意:
此功能預設只會套用到 .zip 及 .jar 檔案。如果要讓這個功能用於其他保存類型 (TAR、GZIP、RAR、Macintosh、SMIME 及自動解壓縮 .zip 保存檔),則可以設定下列 IM 掃描工作 DWORD 登錄值:
SkipFileFilterWithinCompressedInternet
如需這些登錄機碼的位置,請參閱 FSOCS 登錄機碼。在建立每個登錄值之後,請將這些值都設為 1,才能對指定的保存類型啟用檔案篩選。
注意事項注意:
OPENXML 檔案 (例如,Office 2007 文件) 為 ZIP 容器檔案,但是 ZIP 容器設定並不會影響這些檔案。

您可以使用檔案篩選來封鎖部分檔案類型以及允許其他類型。本範例中允許通過的檔案是 Office 檔案,因為一般而言,Office 檔案會比其他類型的檔案安全。它使用兩種檔案篩選,達到工作的目的。

注意事項注意:
務必在建立檔案篩選 2 之前先建立檔案篩選 1,因為篩選的套用順序是由上到下。

首先,建立允許 Office 檔案通過的檔案篩選。在本範例中,我們稱它為檔案篩選 1。

建立檔案篩選 1
  1. 在快速導覽中,按一下 [篩選],然後按一下 [檔案] 圖示。

  2. 在 [檔案篩選] 窗格中,執行下列步驟以建立新的檔案篩選:

    1. 按一下 [新增]。

    2. 在 [檔案名稱] 方塊中輸入 [<in>*],然後按 ENTER。

    3. 在 [檔案類型] 區段中,清除 [所有類型] 核取方塊,然後按一下 [是] 確認。

    4. 選取 DOC、OPENXML、TNEF 檔案類型 (TNEF 是必要的,因為它是內部郵件檔案附件的包裝函式)。

    5. 在 [動作] 清單中,按一下 [略過: 僅進行偵測]。

    6. 清除 [隔離檔案] 核取方塊,然後按一下 [儲存]。

接下來,建立篩選來封鎖所有檔案。我們會稱它為檔案篩選 2。只要您先建立檔案篩選 1,就會允許 Office 檔案,而封鎖所有其他檔案。

建立檔案篩選 2
  1. 在快速導覽中,按一下 [篩選],然後按一下 [檔案] 圖示。

  2. 在 [檔案篩選] 窗格中,執行下列步驟以建立新的檔案篩選:

    1. 按一下 [新增]。

    2. 在 [檔案名稱] 方塊中輸入 [*],然後按 ENTER。

    3. 在 [檔案類型] 區段中,確認已選取 [所有類型] 核取方塊。

    4. 在 [動作] 清單中,視需要按一下 [封鎖] 或 [清除]。

    5. 選取 [隔離檔案] 核取方塊和 [傳送通知] 核取方塊,然後按一下 [儲存]。

除了建立個別的檔案篩選之外,您也可以建立篩選清單,提供不同掃描工作所使用的篩選集合,或是將篩選加以組織。建立個別篩選的方式與前面描述的方式相同,但現在每個篩選都是清單的一部分。

首先建立新的檔案篩選清單。

建立檔案篩選清單
  1. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單] 圖示。

  2. 在 [清單類型] 窗格中,按一下 [檔案]。

  3. 在 [清單名稱] 區段中,按一下 [新增] 按鈕,輸入新清單的名稱,然後按一下 ENTER。空的清單會顯示在 [清單名稱] 區段中。

  4. 在 [清單名稱] 區段中,選取新的清單名稱,然後按一下 [編輯] 按鈕。

  5. 在 [編輯篩選清單] 對話方塊中,新增檔案名稱至清單。

  6. 在 [包含在篩選] 區段中,按一下 [新增] 按鈕。

    1. 輸入要包含在篩選清單中的檔案名稱。輸入完畢後,按 ENTER。輸入的項目數量不受限制,但是必須分開輸入。每個項目都遵循已在討論建立單一檔案篩選時說明的所有規則。

    2. 在 [從篩選排除] 區段中,輸入檔案篩選清單中永不包括的檔案名稱。如此可避免在從文字檔案中匯入清單時,意外新增這些檔案名稱。如需匯入檔案的相關資訊,請參閱將項目匯入篩選清單

    3. 新增項目之後,按一下 [確定]。您剛才輸入項目的清單會依照字母順序顯示在 [清單名稱] 旁邊的窗格中。

  7. 按一下 [儲存]。

  8. 依照建立檔案篩選中描述的相同方式設定篩選清單。

您可以在記事本之類的文字編輯器中以離線方式建立篩選清單的資料,然後再使用 Forefront Server Security 管理員將資料匯入適當的篩選清單。請注意,FSOCS 只能匯入屬於 UTF-16 或 ANSI 檔案的清單,無法正確匯入其他 Unicode 類型的清單。

建立項目並將項目匯入篩選清單
  1. 建立清單時,要讓每個篩選在檔案中自成一行,然後再將清單儲存為文字檔。

  2. 在快速導覽的 [篩選] 區段中,按一下 [篩選清單]。

  3. 選取要匯入資料的目標篩選清單,然後按一下 [編輯]。

  4. 在 [編輯篩選清單] 對話方塊中,按一下 [匯入] 按鈕。[Windows 檔案總管] 視窗隨即開啟,請使用這個視窗瀏覽至您在步驟 1 建立的文字檔。

  5. 選取檔案,然後按一下 [開啟]。這個檔案會匯入至 [匯入清單] 編輯器的中間窗格。

  6. 如果想要將所有項目移至 [包含在篩選] 區段中,請使用 [<===] 按鈕。如果想要將單一項目移入 [包含在篩選] 區段,則使用 [<---] 按鈕。如果想要將項目移至 [從匯入排除] 區段,可以使用右向箭頭。

  7. 移動所有想要的項目之後,按一下 [確定]。

  8. 按一下 [儲存]。

您可以建立篩選集範本,與任何 FSOCS 掃描工作搭配使用。單一篩選集範本可以和任一或所有掃描工作產生關聯,而您也可以建立多個篩選集範本,用於不同伺服器或不同掃描工作。如需建立與設定篩選集範本的相關資訊,請參閱 FSOCS 內容篩選中的<篩選集範本>。

FSOCS 對於依據名稱篩選檔案的支援,已擴充至英文字元集以外的其他語言。例如,對於包含日文字元、單字或片語的郵件附件或主旨列,處理方法與英文字元集相同。

[事件] 窗格包含統計資料計數器,這些計數器會記錄因符合特定條件而致使所位於的郵件必須遭到清除的附件數目。在 Windows [效能] 嵌入式管理單元中,也可以找到這些計數器。

 
顯示: