進行規劃以防範惡意網頁內容

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

網頁流量可能包含蠕蟲、病毒及間諜軟體等惡意程式碼。Forefront TMG 會使用下載自 Microsoft Update 或 Windows Server Update Services 的已知病毒、蠕蟲和其他惡意程式碼的定義,進行惡意程式碼檢查。Forefront TMG 惡意程式碼檢查篩選器會掃描輸出網頁流量,然後清除有害的 HTTP 內容,或是阻止它進入內部網路。

note附註:
  • 輸出檢查是指來自受到 Forefront TMG 保護之網路中用戶端的 HTTP 要求。

  • 掃描封存的內容時,如果掃描作業判斷封存已損毀,此內容就會略過掃描,而且您可以透過封存程式 (例如 WinZip) 開啟內容。

下列小節提供的資訊可協助您在組織中規劃惡意程式碼檢查:

部署考量

當您計劃在組織中部署惡意程式碼檢查時,請考慮下列事項:

  • 惡意程式碼檢查是以訂閱為基礎,而且屬於 Forefront TMG 網頁安全性服務授權的一部分。如需授權資訊,請參閱購買方式 (http://go.microsoft.com/fwlink/?LinkId=179848) (英文)。

  • 為了持續保護您的系統免受最新烕脅的攻擊,請確認 Forefront TMG 可以連線到選取的更新來源 (Microsoft Update 或 WSUS),而且已啟用最新簽章的自動安裝。如需相關資訊,請參閱規劃保護定義的更新

  • Forefront TMG 伺服器和用戶端電腦都會執行類型偵測。如果伺服器所識別的檔案內容類型與用戶端所識別的檔案不同,伺服器就無法為這個用戶端針對該檔案實作保護機制。為了避免這項風險,請確定 Forefront TMG 伺服器和用戶端電腦隨時都處於完全更新的狀態,以便維持兩者之間的類型偵測一致。

  • 根據預設,Forefront TMG 會使用 %SystemRoot%\Temp 資料夾,暫時累積和儲存要進行惡意程式碼檢查的檔案。請注意,下載大量大於 64 KB 的檔案時,可能會產生效能問題。如果您知道在組織中將會有大量的大型下載,建議您將 ScanStorage 資料夾放置在不同的實體磁碟上。如需相關資訊,請參閱設定惡意程式碼檢查儲存位置

  • 基於特定的考量,您可能會想要從惡意程式碼檢查排除選取的網站:

    • 排除來源:從惡意程式碼檢查排除來源的主要原因是避免掃描內容一次以上,因為這會造成效能降低,而且在某些實例中會產生問題。典型的實例是當下游 Proxy 掃描內容是否有惡意程式碼時。在這樣的情況下,您應該設定上游 Proxy,以排除掃描所有來自下游 Proxy 的要求。

    • 排除目的地:從惡意程式碼檢查中排除目的地的主要理由是要排除受信任的網站、大型檔案或下載時間冗長的網站以改善效能,以及解決相容性問題。

    如需相關資訊,請參閱定義惡意程式碼檢查的例外

  • 為了進行疑難排解,或是使用協力廠商的惡意程式碼檢查機制時,可以全域停用惡意程式碼檢查。例如,您可以停用惡意程式碼檢查功能,來判斷停用惡意程式碼檢查功能是否可以改善效能。

威脅等級

下表列出可以指派給惡意程式碼檢查期間所偵測之威脅的類別,以及啟用惡意程式碼檢查時針對每個類別所採取的動作。如需設定資訊,請參閱設定惡意程式碼檢查選項

 

威脅類別 描述 動作

低嚴重性威脅

潛在的垃圾軟體,可能會收集您個人或您電腦的資訊,或是變更電腦運作的方式,但是軟體的運作方式與安裝時所顯示的授權條款一致。

可由 Forefront TMG 系統管理員設定。

預設值:允許

中嚴重性威脅

可能會影響您的隱私權、或是在電腦上所做的變更可能會對您的電腦運算體驗造成負面影響的程式,例如,收集個人資訊或是變更設定。

可由 Forefront TMG 系統管理員設定。

預設值:允許

高敏感度威脅

可能會收集個人資訊以及對隱私權造成負面影響或是損毀電腦的程式,例如,收集資訊或是變更設定,而且通常未知會您或未經過您的同意。

可由 Forefront TMG 系統管理員設定。

預設值:封鎖

受感染的檔案

傳統上,受感染的檔案是指被病毒感染的檔案。病毒會將其程式碼插入或新增至檔案,以利病毒擴散。然而,受感染的檔案可以更廣泛地描述成任何報告為惡意程式碼或潛在的垃圾軟體。

封鎖

可疑的檔案

可疑的檔案可能會顯示和已知惡意程式碼關聯的多個特性或行為之一。通常會主動偵測被報告為可疑的檔案,而且我們的分析師之前可能未曾看過。偵測為可疑的檔案會加以隔離,而且系統可能會提示使用者將這些檔案提交給我們做進一步的分析,如此一來,有需要時就可以新增特定偵測。

可由 Forefront TMG 系統管理員設定。

預設值:封鎖

損毀的檔案

損毀的檔案是指在某方面經過修改而且可能無法再如預期般正常運作的檔案。

可由 Forefront TMG 系統管理員設定。

預設值:允許

加密的檔案

加密的檔案是那些基於保密的考量,使用加密轉換成無法閱讀的格式之檔案。在加密後,除非經過解密,否則無法解譯 (不論是由人類或電腦) 這樣的資料。惡意程式碼可能會使用加密來混淆其程式碼 (讓其程式碼無法閱讀),藉此希望阻礙其偵測及從受感染的電腦移除。

可由 Forefront TMG 系統管理員設定。

預設值:封鎖

內容傳送方法

因為檢查惡意程式碼時,要將內容從伺服器傳送到用戶端可能會有些許延遲,所以 Forefront TMG 可讓您選取下列其中一個傳送已掃描內容的方法,以便在掃描網頁內容是否有惡意程式碼時,塑造使用者經驗。

  • 傳送:Forefront TMG 會在檔案經過檢查時,將部分內容傳送給使用者。這個程序可協助避免在下載和檢查整個內容完成前,用戶端應用程式達到逾時限制。

  • 進度通知:Forefront TMG 會傳送 HTML 網頁給用戶端電腦,以通知使用者正在檢查要求的內容,並顯示下載和檢查進度的指示器。在完成內容的下載和檢查之後,該網頁便會通知使用者內容已就緒,並顯示可供下載內容的按鈕。

如需相關資訊,請參閱設定惡意程式碼檢查內容傳送

相關主題

顯示: