Для запланированной проверки можно настроить различные параметры конфигурации в соответствии с потребностями конкретной среды. Можно выбрать количество антивирусных ядер для каждой проверки, задать действие, выполняемое при обнаружении вредоносной программы, и указать, следует ли помещать обнаруженные файлы на карантин.
 Примечание. |
|---|
| При настройке запланированной проверки по умолчанию проверяются только сообщения с вложениями. Если при этом также созданы фильтры тем или фильтры доменов отправителя, эти фильтры применяются только к сообщениям с вложениями, а не ко всем сообщениям. При настройке запланированной проверки всей почты (путем установки флажка Проверять тело сообщений в разделе Дополнительные параметры области Защита от вредоносных программ — Проверка почтового ящика по расписанию) фильтры применяются ко всем сообщениям. Другими словами, фильтры применяются к каждому сообщению, которое проверяется на наличие вредоносных программ. |
-
В окне Консоль администрирования Forefront Protection 2010 for Exchange Server выберите представление Управление политиками и нажмите в разделе Защита от вредоносных программ кнопку Почтовый ящик, проверка по расписанию.
-
В области Защита от вредоносных программ — Проверка почтового ящика по расписанию в разделе Общие параметры настройте указанные ниже параметры.
- Включить проверку по расписанию с помощью антивирусных
программ — установите или снимите этот флажок, чтобы включить
или отключить проверку на вирусы по расписанию. По умолчанию этот
параметр включен.
- Включить проверку по расписанию с помощью антишпионских
программ — установите или снимите этот флажок, чтобы включить
или отключить запланированную проверку на программы-шпионы. По
умолчанию этот параметр включен.
- Включить проверку по расписанию с помощью антивирусных
программ — установите или снимите этот флажок, чтобы включить
или отключить проверку на вирусы по расписанию. По умолчанию этот
параметр включен.
-
В области Защита от вредоносных программ — Проверка почтового ящика по расписанию в разделе Ядра и производительность укажите количество антивирусных ядер, которые будут использоваться при проверке. Дополнительные сведения см. в разделе Настройка количества антивирусных ядер, используемых для проверки.
-
В области Защита от вредоносных программ — Проверка почтового ящика по расписанию в разделе Действия при проверке настройте указанные ниже параметры.
- Действие — выберите действие, которое будет выполняться
при обнаружении вируса или программы-шпиона. Для вирусов можно
выбрать действие Пропустить: только обнаружение,
Очистить (по умолчанию) и Удалить. Для
программ-шпионов можно выбрать действие Пропустить: только
обнаружение, Удалить (по умолчанию) и Очистить.
Дополнительные сведения см. в разделе Настройка действия,
выполняемого при обнаружении вредоносной программ.
- Файлы на карантине — с помощью раскрывающегося списка
включите (выбрав пункт Да) или отключите (выбрав пункт
Нет) сохранение зараженных файлов, обнаруженных при
проверке. По умолчанию карантин включен. Включение карантина
позволяет сохранить удаленные вложения и очищенные сообщения в
безопасное место, откуда их можно будет восстановить. Сообщения,
очищенные от вирусов-червей, восстановить невозможно.
Дополнительные сведения о карантине см. в разделе Просмотр помещенных на
карантин элементов и управление ими.
- Изменить текст для удаления вредоносной программы —
можно ввести текст, которым при удалении будет заменяться
содержимое зараженного файла. В тексте для удаления по умолчанию
указывается, что зараженный файл был удален, а также имя файла и
название обнаруженной вредоносной программы. Чтобы изменить текст
для удаления по умолчанию, нажмите кнопку Изменить текст для
удаления вредоносной программы, измените текст в диалоговом
окне Изменение текста для удаления вредоносной программы и
нажмите кнопку Применить и закрыть, чтобы вернуться в
область Защита от вредоносных программ — Проверка почтового
ящика по расписанию.
Примечание.Программа FPE позволяет указывать ключевые слова, которые можно использовать в поле текста для удаления, чтобы получить информацию из зараженного сообщения. Чтобы воспользоваться ключевыми словами, в диалоговом окне Изменение текста для удаления вредоносной программы щелкните параметр правой кнопкой мыши, выберите команду Вставить поле и выберите необходимый макрос. Дополнительные сведения об этой функции см. в разделе Макросы подстановки ключевых слов.
- Действие — выберите действие, которое будет выполняться
при обнаружении вируса или программы-шпиона. Для вирусов можно
выбрать действие Пропустить: только обнаружение,
Очистить (по умолчанию) и Удалить. Для
программ-шпионов можно выбрать действие Пропустить: только
обнаружение, Удалить (по умолчанию) и Очистить.
Дополнительные сведения см. в разделе Настройка действия,
выполняемого при обнаружении вредоносной программ.
-
Нажмите кнопку Сохранить.
| Примечание. |
|---|
| Параметры Расписания описаны в разделе Настройка запуска проверки по расписанию. |
Настройка дополнительных параметров запланированной проверки
Ниже перечислены дополнительные параметры, которые можно настроить в разделе Дополнительные параметры области Защита от вредоносных программ — Проверка почтового ящика по расписанию. После внесения изменений нажмите кнопку Сохранить.
- Проверять DOC-файлы как контейнеры —
при проверке по расписанию структурированные файлы, а также файлы,
в которых используется OLE-формат внедрения данных (например, файлы
в форматах DOC, XLS, PPT и SHS), будут проверяться как контейнеры.
Это обеспечивает проверку всех внедренных файлов, поскольку
потенциально они могут быть носителями вредоносных программ. Этот
параметр по умолчанию отключен.
- Проверять тело сообщений — при
запланированной проверке будут проверяться не только вложения, но и
текст сообщений. Проверка текста сообщений по умолчанию отключена,
поскольку это увеличивает время проверки.
- Запустить запланированную проверку после
обновления ядра — запланированная проверка будет запущена сразу
же после обновления ядра или определений, независимо от того, на
какое время запланирован следующий запуск. Этот параметр по
умолчанию отключен.
Внимание!Если этот параметр включен, и во время выполнения запланированной проверки происходит обновление, задание запланированной проверки перезапускается, и проверка начинается с сообщения, на котором она была прервана. Если обновление продолжается до завершения работы задания запланированной проверки, это задание может выполняться в течение неограниченного времени. Таким образом, не рекомендуется планировать проверку большого набора данных, если этот параметр включен. Также обратите внимание на то, что если данный параметр включен, поиск вредоносных программ на сервере почтовых ящиков может отрицательно сказаться на производительности сервера. - Подавлять уведомления о вредоносных
программах — подавляет отправку уведомлений Обнаружен
вирус, Обнаружена программа-шпион и Обнаружен
вирус-червь, даже если эти уведомления включены. Этот параметр
по умолчанию отключен.
- Количество процессов — здесь
указывается количество процессов, которые будут запускаться для
каждого сервера почтовых ящиков. Значение по умолчанию — 1;
максимальное значение — 10.
Если запущено несколько запланированных процессов, первый процесс проверяет файл, если этот процесс не занят; в этом случае файл передается на проверку второму процессу. Если второй процесс тоже занят, а третий свободен, файл проверяется третьим процессом. Во всех случаях, когда это возможно, FPE передает файлы первому процессу, если тот доступен.
При использовании нескольких процессов загрузка на сервере возрастает при запуске, когда эти процессы загружаются, а также при их вызове для проверки файлов. Не следует использовать большее количество процессов, чем задано по умолчанию, за исключением крупномасштабных сред. Поскольку увеличение количества процессов приводит к увеличению нагрузки на ресурсы сервера, лучше увеличивать число процессов на единицу, каждый раз оценивая производительность.
Важно.Чтобы новое значение этого параметра вступило в силу, необходимо остановить и заново запустить службу банка данных Microsoft Exchange. Не используйте функцию "Перезапустить". - Время ожидания проверки (сек.) — здесь
указывается максимальное количество секунд, в течение которого
будет проверяться файл. Значение по умолчанию — 150 секунд.
Если проверка сообщения продолжается дольше указанного времени, процесс завершается, а FPE пытается перезапустить службу. В случае успешного перезапуска запланированная проверка возобновляется, а администратору отправляется уведомление о том, что задание проверки, превысившее лимит выделенного времени, было восстановлено.
При запуске нового процесса запланированной проверки сообщение, которое привело к завершению процесса, обрабатывается заново в соответствии со значением параметра Действие, выполняемое при тайм-ауте проверки. Например, если задано значение Удалить, FPE удаляет файл, заменяет его содержимое текстом, заданным для запланированной проверки, записывает необходимые сведения в журнал, помещает файл на карантин и архивирует его.
Если процесс перезапустить не удается, администратору отправляется уведомление о том, что проверка была остановлена. В этом случае запланированная проверка для отдельной группы хранения не выполняется, однако банк сообщений не останавливается.
Важно.Чтобы новое значение этого параметра вступило в силу, необходимо остановить и заново запустить службу банка данных Microsoft Exchange. Не используйте функцию "Перезапустить". - Действие, выполняемое при тайм-ауте
проверки — здесь указывается действие, выполняемое при
превышении лимита времени в процессе проверки файла. Возможны
следующие значения.
- Пропустить — файл будет пропущен без
проверки.
- Пропустить: только обнаружение —
вносит в журнал происшествий и журнал программы запись о превышении
времени проверки файла и пропускает файл без проверки.
- Удалить — регистрирует событие и
заменяет содержимое файла текстом для удаления. Значение по
умолчанию — Удалить.
Примечание.Если параметру Действие, выполняемое при тайм-ауте проверки присвоено значение Пропустить: только обнаружение или Удалить и включен карантин, копия файла сохраняется в базе данных. - Пропустить — файл будет пропущен без
проверки.
- Максимальное время проверки контейнера
(сек.) — здесь указывается количество секунд, в течение
которого при запланированной проверке будет проверяться сжатое
вложение, прежде чем возникнет происшествие ScanTimeExceeded. Этот
параметр предназначен для предотвращения отказа в обслуживании в
результате атак типа "смертоносный ZIP-файл". Значение по умолчанию
— 120 секунд.
Ниже перечислены дополнительные параметры, которые можно настроить в разделе Параметры проверки по расписанию области Защита от вредоносных программ — Проверка почтового ящика по расписанию. После внесения изменений нажмите кнопку Сохранить.
- Проверять только непроверенные
сообщения — проверка по расписанию будет выполняться только для
сообщений, которые еще не были проверены. Этот параметр по
умолчанию отключен.
- Проверять только сообщения с
вложениями — запланированная проверка будет выполняться только
для сообщений с вложениями. По умолчанию этот параметр включен.
- Включить максимальное время проверки —
этот флажок позволяет указать максимальное время выполнения
запланированной проверки до возникновения тайм-аута. Этот параметр
по умолчанию отключен (флажок снят), то есть время проверки не
ограничено. Если этот флажок установлен, укажите время в параметре
Максимальное время проверки (часы: минуты).
- Максимальное время проверки (часы:
минуты) — если параметр Включить максимальное время
проверки включен, то в этом параметре указывается максимальное
время (в часах и минутах) выполнения запланированной проверки до
возникновения тайм-аута. Если этот параметр включен, значение по
умолчанию составляет 1 час. Максимальное время, которое можно
указать, составляет 23 часа 59 минут.
- Проверять сообщения, полученные за
последние — здесь накладываются ограничения на запланированную
проверку; проверяются только сообщения, срок хранения которых не
превышает указанный. Выберите в раскрывающемся списке одно из
указанных ниже значений. В любое время, 4 часа, 6
часов, 8 часов, 12 часов, 18 часов, 1
день, 2 дня (по умолчанию), 3 дня, 4 дня,
5 дней, 6 дней, 7 дней, 30 дней.
При выборе периода проверки следует исходить из понимания конкретных угроз и учитывать всегда существующую задержку в обеспечении безопасности между выходом вредоносных программ и появлением их определений. Если проверка запускается ежедневно (дополнительные сведения см. в разделе Настройка запуска проверки по расписанию), рекомендуется проверять почту за последние два дня. Однако при выборе времени следует учитывать вопросы безопасности и производительности.Важно.При задании этого параметра следует проявлять осторожность. Если скорость поступления сообщений на почтовый сервер слишком высока или выбран слишком большой период проверки, запланированная проверка может выполняться непрерывно, что может отрицательно сказаться на производительности сервера.
- Задать приоритет — задает приоритет
ЦП, чтобы позволить более важным заданиям выполняться перед
запланированной проверкой в условиях нехватки ресурсов сервера.
Выберите в раскрывающемся списке Задать приоритет один из
указанных ниже параметров. Средний (по умолчанию), Ниже
среднего или Низкий.