Для очистки сообщения, зараженных вирусами-червями, в Forefront Protection 2010 for Exchange Server (FPE) можно настроить задания проверки передачи, проверки в реальном времени и проверки по расписанию. Вирус-червь — это вредоносная программа, которая распространяется с компьютера на компьютер. В отличие от вируса вирусу-червю не нужна программа-носитель, вирусы-черви распространяют свои копии с компьютера на компьютер. Очистка от вирусов-червей — это мощная функция, помогающая предотвратить атаки, которые могли бы причинить ущерб сети. (FPE не поддерживает очистку сообщений от вирусов-червей при проверке по требованию.)

Программа FPE обнаруживает сообщения, зараженные вирусами-червями, с помощью регулярно обновляемого списка вирусов-червей WormPrge.dat, который поддерживается корпорацией Майкрософт и обновляется аналогично модулям защиты от вредоносных программ. Как правило, в файле WormPrge.dat содержатся имена вирусов-червей, обнаруживаемых текущими антивирусными ядрами. (Обратите внимание, что в разных антивирусных ядрах вирусы-черви могут иметь различные имена.)

По мере обнаружения новых вирусов-червей корпорация Майкрософт обновляет список вирусов-червей и выкладывает этот список для загрузки. Обновление можно выполнять по расписанию или вручную. Дополнительные сведения о выполнении обновлений см. в разделе Настройка обновлений модулей и определений.

Примечание.
Определения в списке вирусов-червей отличаются от определений, используемых антивирусными ядрами. Список вирусов-червей включает общие записи имен червей. Эти записи могут предоставить большую защиту от будущих вирусов-червей, принадлежащих к уже обнаруженному семейству вирусов-червей. Например, при обнаружении нового вируса-червя с именем "Win32/abcdef.A@mm" программа FPE обновляет список вирусов-червей, включая в него запись вида "*abcdef*". Такая запись охватывает все новые разновидности одного и того же вируса-червя, например Win32/abcdef.M@mm. Поскольку в списке вирусов-червей содержатся обобщенные названия, его не требуется обновлять так же часто, так антивирусные ядра.

Включение и отключение очистки от вирусов-червей

Очистка от вирусов-червей включена по умолчанию. Очистку от вирусов-червей для конкретных заданий проверки можно отключить с помощью команды Windows PowerShell -EnableWormPurge. Если очистка от вирусов-червей включена (параметру -EnableWormPurge присвоено значение $true), то при обнаружении вируса-червя программа FPE выполняет поиск его имени в списке вирусов-червей. При обнаружении имени в списке вирусов-червей элемент очищается; в противном случае выполняется действие, заданное для вирусов. Если очистка от вирусов-червей отключена (параметру -EnableWormPurge присвоено значение $false), то независимо от наличия имени вируса-червя в соответствующем списке выполняется действие, заданное для вирусов.

Примечание.
Вирусы-черви (сообщения и вложения), очищенные при выполнении заданий проверки, не помещаются на карантин, даже если включен режим карантина. Это сделано, чтобы не допустить попадания в базу данных карантина множества копий одного сообщения.
Доступ к командной консоли Forefront
  • Нажмите кнопку Пуск и последовательно выберите пункты Программы, Microsoft Forefront Server Security и Командная консоль Forefront.

Чтобы отключить очистку от вирусов-червей для задания проверки передачи, выполните следующую команду Windows PowerShell:

Set-FseTransportScan -EnableWormPurge $false

Чтобы отключить очистку от вирусов-червей для задания проверки в реальном времени, выполните следующую команду Windows PowerShell:

Set-FseRealtimeScan -EnableWormPurge $false

Чтобы отключить очистку от вирусов-червей для задания проверки по расписанию, выполните следующую команду Windows PowerShell:

Set-FseScheduledScan -EnableWormPurge $false

Примечание.
Чтобы включить очистку от вирусов-червей для конкретного задания проверки, замените в соответствующей команде выше значение $false на $true.

Очистка от вирусов-червей с помощью фильтрации файлов

Чтобы не допустить распространения нового вируса-червя в то время, пока не обновлено антивирусное ядро, можно добавить имена вложений сообщений, создаваемых вирусом-червем, в список фильтров файлов. В поле Действие для списка выберите значение Очистить. Дополнительные сведения о фильтрации файлов см. в разделе Создание списка фильтров файлов.

Примечание.
При выборе действия Очистить все сообщение удаляется без возможности восстановления. Рекомендуется выбрать это действие для очистки сообщений, зараженных вирусами-червями, пока не выпущены обновления антивирусных ядер или определений.

В отличие от сообщений, зараженных другими типами вирусов, даже если выбрать действие "Поместить на карантин", на карантин помещается только вложение, обнаруженное фильтром, а текст сообщения и другие вложенные файлы будут удалены. Это не должно привести к проблемам при фильтрации файлов на наличие вирусов-червей, так как в этом случае текст сообщения не представляет никакой ценности, а сообщение, скорее всего, не содержит других вложений.

Создание собственного списка для очистки от вирусов-червей

Администраторы могут создавать собственный список для очистки от вирусов-червей (файл CustPrge.dat) для указания дополнительных имен вирусов-червей, которые еще не включены в файл Wormprge.dat, или для создания списка, который будет использоваться для очистки всех зараженных сообщений. В этом случае функция очистки от вирусов-червей будет проверять зараженные сообщения и файлы с использованием обоих списков (списка Майкрософт WormPrge.dat и списка CustPrge.dat).

Чтобы создать собственный список для очистки от вирусов-червей
  1. Создайте в папке \Engines\x86\Wormlist новую папку с именем CustomList. Расположение папки Engines по умолчанию для конкретной операционной системы см. в разделе Папки по умолчанию.

  2. В папке CustomList создайте файл с именем CustPrge.dat.

  3. В текстовом редакторе введите имена вирусов, от которых необходимо защититься, в файл CustPrge.dat и сохраните этот файл. В каждой строке можно вводить только одно имя, за которым должен идти знак возврата каретки. Имена вирусов можно найти в уведомлениях об обновлении антивирусных ядер или на веб-сайтах поставщиков антивирусных ядер. В именах можно использовать подстановочный знак звездочки (*).

    Примечание.
    В том случае, если в различных антивирусных ядрах используются разные имена для одного вируса, то для обеспечения полной защиты следует включить в список CustPrge.dat все имена.
  4. Если требуется очищать все зараженные сообщения, введите в список только одну строку, содержащую знак звездочки (*) и знак возврата каретки. Для каждого задания проверки (проверки передачи, проверки в реальном времени или проверки по расписанию), при выполнении которого требуется очищать все вирусы, выберите в поле Действие значение Удалить.

  5. Перезапустите службу передачи Microsoft Exchange и службу банка данных Microsoft Exchange.

508 Resource Limit Is Reached

Resource Limit Is Reached

The website is temporarily unable to service your request as it exceeded resource limit. Please try again later.