IM 掃描工作

 

適用於: Forefront Security for Office Communications Server

主題上次修改日期: 2008-11-14

Microsoft Forefront Security for Office Communications Server (FSOCS) IM 掃描工作會即時掃描透過 IM 伺服器傳輸的郵件和檔案。當使用者傳送郵件或檔案時,FSOCS 會根據系統管理員設定的設定,加以攔截並掃描其中病毒和內容。如果發現受到病毒感染或符合篩選條件的郵件或檔案,系統便會根據系統管理員選取的動作來加以處理。

設定 IM 掃描工作以指定要掃描的輸入、輸出和內部郵件組合。您可以選擇性指定刪除文字。

設定 IM 掃描工作
  1. 在 [快速導覽] 的 [設定] 區段中,選取 [掃描工作]。

  2. 在 [掃描工作設定] 窗格的上半部 (其中包含可設定的掃描工作清單),選取 [IM 掃描工作]。

  3. 在 [掃描工作設定] 窗格的 [IM 訊息] 區段中,使用核取方塊來選取要掃描的 [輸入]、[輸出] 和 [內部] 郵件組合。如需相關資訊,請參閱關於郵件佇列

  4. 您可以選擇性指定刪除文字,在刪除作業期間用來取代受感染檔案的內容。若要修改或檢視目前的文字,請按一下 [刪除文字] 按鈕。預設的刪除文字會通知您已移除受感染的檔案,並列出檔案名稱和發現的病毒名稱。若要修改現有文字以建立自訂訊息,請按一下 [刪除文字]。

    注意事項注意:
    FSOCS 會提供可在 [刪除文字] 欄位中使用的關鍵字,讓您能取得受感染之郵件的相關資訊。如需此功能的相關資訊,請參閱 FSOCS 關鍵字替代巨集
  5. 按一下 [儲存]。

可以用來調整 IM 掃描工作的設定有許多種,包括檔案掃描程式選項、偏差、動作、通知和隔離。

設定防毒設定
  1. 在 [快速導覽] 的 [設定] 區段中,按一下 [防毒] 圖示。

  2. 在 [防毒設定] 窗格的清單頂端,按一下 [IM 掃描工作]。目前的設定會顯示在窗格的下半部。

  3. 在 [檔案掃描程式] 區段的 [可用協力廠商掃描程式] 清單中,按一下 [檔案掃描引擎]。若要停用病毒掃描,但保留執行篩選的功能,請依下列步驟進行:

    1. 在 [快速導覽] 的 [作業] 區段中,按一下 [執行工作] 圖示。

    2. 在 [執行工作] 窗格中,取消選取 [病毒掃描] 核取方塊,但保留一些已選取的 [檔案篩選]、[內容篩選] 和 [關鍵字篩選] 核取方塊組合。

  4. 選取 [偏差],藉以控制系統提供在可接受的風險內保護系統所應使用的引擎數。如需相關資訊,請參閱 FSOCS 多重掃描引擎

  5. 選擇您想要 FSOCS 在偵測到病毒時執行的動作。動作選項如下:

    • 略過: 僅進行偵測—不會嘗試清理或刪除感染。將會報告發現病毒,但該檔案仍維持在受感染的狀態。不過,如果在 [一般選項] 中選取 [刪除損毀的壓縮檔案]、[刪除損毀的 Uuencode 檔案] 或 [刪除加密的壓縮檔案],則只要找到符合上述任一條件的項目,便會予以刪除。如需 [一般選項] 的相關資訊,請參閱 FSOCS Forefront Server Security 管理員

    • 清除: 修復附件—嘗試清理病毒。若順利清理,將以清理的版本取代感染的附件或訊息本文。如果無法清理,FSOCS 就會以「刪除文字」取代附件或郵件本文。此設定為預設的設定值。

    • 刪除: 移除感染—不先嘗試清理病毒便刪除附件。系統會從郵件中移除偵測到的附件,並在原處插入刪除文字。

    • 封鎖—不讓 IM 訊息或傳輸的檔案送達預定的收件者。

  6. 若要啟用電子郵件通知,請選取 [傳送通知] 核取方塊。這個設定不會影響報告事件記錄。此外,您也必須設定通知 (如需設定通知的相關資訊,請參閱 FSOCS 事件通知)。根據預設,系統會停用通知。

  7. 若要啟用或停用檔案掃描引擎偵測到的受感染附件儲存,請選取或取消選取 [隔離檔案] 核取方塊。隔離預設為啟用。啟用隔離會儲存刪除的附件及清除的郵件,讓您能夠加以復原。不過,無法復原已清除蠕蟲的郵件。

  8. 按一下 [儲存]。

在 [快速導覽] 的 [設定] 區段中,根據您想要修改的設定,選取 [掃描工作] 或 [防毒]。對組態進行任何變更,都會啟用 [儲存] 和 [取消] 按鈕。如果您對 IM 掃描工作進行變更,並在尚未儲存時嘗試瀏覽至另一個窗格,系統就會提示您儲存變更。

若要控制 IM 掃描工作,請執行下列步驟。

控制 IM 掃描工作
  1. 若要控制 IM 掃描工作,請按一下 [快速導覽] 中的 [作業],然後按一下 [執行工作] 圖示。

  2. 在 [執行工作] 窗格頂端的清單中,選取 [IM 掃描工作]。[執行工作] 窗格的下半部會顯示目前選取之掃描工作的狀態和結果。

選取 IM 掃描工作之後,可以使用 [啟用] 和 [略過] 按鈕控制工作的作業。

停用 IM 掃描工作
  1. 在 [快速導覽] 中,按一下 [設定],然後按一下 [一般選項] 圖示。

  2. 若要停用 IM 掃描工作,請在 [一般選項] 窗格的 [啟用 Forefront] 選項中選取 [停用]。如需重新啟動服務的相關資訊,請參閱 FSOCS 服務

[略過] 會指定是否要略過 IM 掃描。與停用 IM 掃描工作的情況不同,[略過] 還是會繼續傳送郵件至掃描引擎,然而,掃描引擎會永遠報告檔案沒問題。

開啟略過模式
  • 在 [快速導覽] 中,按一下 [作業],然後按一下 [執行工作] 圖示。在 [執行工作] 窗格中,按一下 [略過] 按鈕。

    注意事項注意:
    [略過] 模式只能用於疑難排解。這點非常便利,因為系統不需要回收服務。不過,一旦 [略過] 生效,就無法獲得免受病毒威脅的保護。
關閉略過模式
  • 在 [快速導覽] 中,按一下 [作業],然後按一下 [執行工作] 圖示。在 [執行工作] 窗格中,按一下 [啟用] 按鈕。

IM 掃描工作可以掃描病毒、執行檔案篩選、內容篩選或關鍵字篩選,或是各種工作的組合。

設定掃描組合
  1. 在 [快速導覽] 中,按一下 [作業],然後按一下 [執行工作] 圖示。

  2. 在 [執行工作] 窗格中,選取或取消選取 [病毒掃描]、[檔案篩選]、[內容篩選] 和 [關鍵字篩選] 核取方塊,以進行適當的選取。

    注意事項注意:
    即使該工作目前正在執行中,對這些設定所做的任何變更都會立即生效。

[執行工作] 窗格的下半部會顯示 IM 掃描工作所發現的感染問題或篩選結果。FSCController 會將這些結果儲存到磁碟中的病毒記錄檔,而且 Forefront Server Security 管理員是否維持開啟並不會影響結果。

下列是 FSOCS 針對 IM 掃描工作發現的每個事件所報告的資訊:

 

項目

描述

時間

事件的日期與時間。

狀態

FSOCS 採取的動作。

資料夾

指出是內部、輸入還是輸出郵件。

檔案

符合檔案篩選或內容篩選的病毒名稱或檔案名稱。

事件

偵測到的事件類型與名稱。

寄件者地址

傳送受感染或篩選郵件之人員的電子郵件地址。

收件者地址

接收受感染或篩選郵件之收件者的電子郵件地址。

您可以使用 [執行工作] 窗格中的 [清除記錄檔] 按鈕來清除不再需要的病毒記錄檔。這個動作不會影響事件記錄。

您也可以在 [資料夾] 欄中選取項目 (使用滑鼠或空格鍵與 SHIFT 或 CTRL 鍵的組合),以刪除結果的子集。選取所要的子集之後,按 DELETE 鍵,從病毒記錄檔中刪除子集。

注意事項注意:
如果選取大量項目,刪除程序可能會花費較長的時間。在此情況下,會出現一個訊息方塊,要求您確認是否要刪除。

使用 [匯出] 按鈕將結果儲存到文字檔中。

當 IM 掃描工作掃描郵件所耗費時間超過指定時間 (預設為 5 分鐘或 300,000 毫秒) 時,系統便會終止處理程序,而 FSOCS 會嘗試重新啟動服務。如果順利重新啟動,IM 掃描便會繼續,並傳送有關 IM 掃描工作已停止並已復原的通知給系統管理員。

啟動新的 IM 掃描處理程序時,會依據 [一般選項] 設定中 [IM 掃描逾時動作] 所設定的動作,重新處理導致 IM 掃描終止的郵件。例如,如果動作是設定為 [刪除],FSOCS 就會刪除檔案、以 IM 掃描工作的刪除文字取代原內容、記錄資訊,並隔離和封存檔案。如需 [一般選項] 的相關資訊,請參閱 FSOCS Forefront Server Security 管理員

如果系統無法重新啟動處理程序,便會傳送通知給系統管理員,報告 IM 掃描工作已停止。此時,IM 掃描將無法運作,也不會掃描 IM 郵件資料流。

如果持續發生逾時問題,可嘗試增加 IMTimeout 登錄值中所指定的時間。由於這是隱藏的登錄值,您必須建立新的 Double Word (DWORD) 登錄值 (稱為 IMTimeout)、將 [底數] 設定為 [十進位],並在 [數值資料] 方塊中輸入時間 (毫秒)。回收 OCS 和 FSOCS 服務,令變更生效。如需登錄值的相關資訊,請參閱 FSOCS 登錄機碼

對於要以 IM 掃描工作掃描哪些邏輯郵件佇列,Forefront Security for Office Communications Server 提供了選擇彈性:輸入、輸出或內部。您可以將 FSOCS 設定為只掃描一個或一併掃描三個佇列。在 [掃描工作設定] 窗格中,有下列三個佇列的核取方塊可供選取:[輸入]、[輸出] 與 [內部]。

選取 [掃描工作設定] 窗格中的 [輸入] 核取方塊,可以設定 FSOCS 掃描所有並非來自您網域內的郵件。

選取 [掃描工作設定] 窗格中的 [輸出] 核取方塊,可以設定 FSOCS 掃描所有離開您網域的外寄郵件。

選取 [掃描工作設定] 窗格中的 [內部] 核取方塊,可以設定 FSOCS 掃描所有從您網域內某個位置,傳送至您網域內其他位置的郵件。

巢狀過多的壓縮檔案會降低 FSOCS 與 OCS 伺服器的效能。多重巢狀也是一種利用阻斷服務來挑戰防毒產品的已知攻擊。為了將對伺服器效能的潛在影響減至最低,並抵擋阻斷服務攻擊,FSOCS 會依據 [一般選項] 設定中的 [最大巢狀壓縮檔案] 來掃描巢狀的壓縮檔案是否有病毒。 此設定的巢狀深度預設值為 5,因此會將超過五個巢狀的檔案標示為刪除。

您可以視環境需求,在 [一般選項] 窗格中變更此設定。如需相關資訊,請參閱 FSOCS Forefront Server Security 管理員

根據預設,FSOCS 已設定為掃描所有 IM 訊息和檔案傳輸是否含有病毒。不過,為了要盡可能快速且有效率地執行掃描,您可以將 FSOCS 設定為只掃描比較可能包含病毒的資料。其做法是先判斷檔案類型,再判斷該檔案類型是否為病毒感染的常見目標。一般應該查看檔案標頭來判斷該檔案的類型,而不是查看副檔名。因為副檔名很容易造假,所以這種方法比較安全。如果您想要讓 FSOCS 略過掃描鮮少人知道可用來夾帶病毒的檔案類型,請將登錄機碼 ScanAllAttachments 設定為 0 值 (ScanAllAttachments 是「隱藏」的機碼;也就是,此機碼若不存在,其值預設為 1)。

注意事項注意:
ScanAllAttachments 機碼設定為 0,會增加效能,但也會增加病毒躲過偵測的風險。
 
顯示: