Для проверки в реальном времени можно настроить различные параметры конфигурации в соответствии с потребностями конкретной среды. Можно выбрать количество антивирусных ядер для каждой проверки, задать действие при обнаружении вредоносной программы и указать, следует ли помещать обнаруженные файлы на карантин.

Примечание.
При настройке проверки в реальном времени по умолчанию проверяются только сообщения с вложениями. Если при этом также созданы фильтры тем или фильтры доменов отправителя, эти фильтры применяются только к сообщениям с вложениями, а не ко всем сообщениям. При настройке проверки в реальном времени на проверку всей почты (путем установки флажка Проверять текст сообщений в разделе Дополнительные параметры области Защита от вредоносных программ — Проверка почтового ящика в реальном времени) фильтры применяются ко всем сообщениям. Другими словами, фильтры применяются к каждому сообщению, которое проверяется на наличие вредоносных программ.
Настройка проверки в реальном времени
  1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server выберите представление Управление политиками и нажмите в разделе Защита от вредоносных программ кнопку Почтовый ящик, проверка в реальном времени.

  2. В области Защита от вредоносных программ — Проверка почтового ящика в реальном времени в разделе Общие параметры настройте указанные ниже параметры.

    1. Включить проверку в реальном времени с помощью антивирусных программ — установите или снимите этот флажок, чтобы включить или отключить проверку на вирусы в реальном времени. По умолчанию этот параметр включен.

    2. Включить проверку в реальном времени с помощью антишпионских программ — установите или снимите этот флажок, чтобы включить или отключить проверку на программы-шпионы в реальном времени. По умолчанию этот параметр включен.

  3. В области Защита от вредоносных программ — Проверка почтового ящика в реальном времени в разделе Ядра и производительность укажите количество антивирусных ядер, которые будут использоваться при проверке. Дополнительные сведения см. в разделе Настройка количества антивирусных ядер, используемых для проверки.

  4. В области Защита от вредоносных программ — Проверка почтового ящика в реальном времени в разделе Действия при проверке настройте указанные ниже параметры.

    1. Действие — выберите действие, которое будет выполняться при обнаружении вируса или программы-шпиона. Для вирусов можно выбрать действие Пропустить: только обнаружение, Очистить (по умолчанию) и Удалить. Для программ-шпионов можно выбрать действие Пропустить: только обнаружение, Удалить (по умолчанию) и Очистить. Дополнительные сведения см. в разделе Настройка действия, выполняемого при обнаружении вредоносной программ.

    2. Файлы на карантине — с помощью раскрывающегося списка включите (выбрав пункт Да) или отключите (выбрав пункт Нет) сохранение зараженных файлов, обнаруженных при проверке. По умолчанию карантин включен. Включение карантина позволяет сохранить удаленные вложения и очищенные сообщения в безопасное место, откуда их можно будет восстановить. Сообщения, очищенные от вирусов-червей, восстановить невозможно. Дополнительные сведения о карантине см. в разделе Просмотр помещенных на карантин элементов и управление ими.

    3. Изменить текст об удалении вредоносных программ — можно ввести текст, на который при удалении будет заменяться содержимое зараженного файла. В тексте для удаления по умолчанию указывается, что зараженный файл был удален, а также имя файла и название обнаруженной вредоносной программы. Чтобы изменить текст для удаления по умолчанию, нажмите кнопку Изменить текст об удалении вредоносных программ, измените текст в диалоговом окне Изменение текста об удалении вредоносных программ и нажмите кнопку Применить и закрыть, чтобы вернуться в область Защита от вредоносных программ — Проверка почтового ящика в реальном времени.

      Примечание.
      Программа FPE позволяет указывать ключевые слова, которые можно использовать в поле текста для удаления, чтобы получить информацию из зараженного сообщения. Чтобы воспользоваться ключевыми словами, в диалоговом окне Изменение текста об удалении вредоносных программ щелкните параметр правой кнопкой мыши, выберите команду Вставить поле и выберите необходимый макрос. Дополнительные сведения об этой функции см. в разделе Макросы подстановки ключевых слов.
  5. Нажмите кнопку Сохранить.

Настройка дополнительных параметров проверки в реальном времени

Ниже перечислены дополнительные параметры, которые можно настроить в разделе Дополнительные параметры области Защита от вредоносных программ — Проверка почтового ящика в реальном времени. После внесения изменений нажмите кнопку Сохранить.

  • Проверять файлы DOC как контейнеры — при проверке в реальном времени структурированные файлы, а также файлы, в которых используется OLE-формат внедрения данных (например, файлы в форматах DOC, XLS, PPT и SHS), будут проверяться как контейнеры. Это обеспечивает проверку всех внедренных файлов, поскольку потенциально они могут быть носителями вредоносных программ. Этот параметр по умолчанию отключен.

  • Проверять текст сообщений — при проверке в реальном времени будут проверяться не только вложения, но и текст сообщений. Проверка текста сообщений по умолчанию отключена, поскольку это увеличивает время проверки.

  • Проверять после обновления ядра — при проверке в реальном времени проверенные ранее сообщения будут повторно проверяться при обращении к ним после обновления антивирусного ядра.

    Этот параметр по умолчанию отключен. Если этот параметр включен, это обеспечивает повышенную защиту банка данных благодаря повторной проверке сообщений, которые уже были проверены ранее. Повторная проверка сообщений будет выполняться при первом возникновении события доступа и при каждом последующем возникновении события доступа, если после последней проверки сообщения были загружены обновления.

    Внимание!
    При включении этого параметра может возникнуть дополнительная нагрузка на сервер Exchange Server за счет более интенсивной проверки на вредоносные программы. Это может привести к снижению производительности сервера. Кроме того, необходимо учитывать, что при включении данного параметра автоматически включается упреждающая проверка. Дополнительные сведения см. в разделе Включение упреждающей проверки.
    Примечание.
    Сообщения, получаемые клиентскими программами Microsoft Outlook Office 2003 и Microsoft Office Outlook 2007, которые запущены только в режиме кэширования, вызывают при начальной синхронизации событие доступа. Повторная проверка таких сообщений не будет выполняться на сервере при обращении к ним на локальном компьютере и извлечении сообщения из кэша. Чтобы заново проверить уже загруженные сообщения, включите этот параметр. Если при проверке в реальном времени в сообщении обнаруживается вредоносная программа и выполняется очистка или удаление сообщения, то при следующей синхронизации клиента Outlook с сервером уже извлеченное сообщение будет очищено или удалено.
  • Подавлять уведомления о вредоносных программах — подавляет отправку уведомлений Обнаружен вирус, Обнаружена программа-шпион и Обнаружен вирус-червь, даже если эти уведомления включены. Этот параметр по умолчанию отключен.

  • Количество процессов — здесь указывается количество процессов, которые будут запускаться для каждого сервера почтовых ящиков. Значение по умолчанию — 4; максимальное значение — 10.

    Если запущено несколько процессов проверки в реальном времени, первый процесс проверяет файл, если этот процесс не занят; в этом случае файл передается на проверку второму процессу. Если второй процесс тоже занят, а третий свободен, файл проверяется третьим процессом. Во всех случаях, когда это возможно, FPE передает файлы первому процессу, если тот доступен.

    При использовании нескольких процессов загрузка на сервере возрастает при запуске, когда эти процессы загружаются, а также при их вызове для проверки файлов. Не следует использовать большее количество процессов, чем задано по умолчанию, за исключением крупномасштабных сред. Поскольку увеличение количества процессов приводит к увеличению нагрузки на ресурсы сервера, лучше каждый раз увеличивать число процессов на единицу и каждый раз оценивать производительность.

    Рекомендуется задавать вдвое больше процессов проверки в реальном времени, чем число рабочих процессоров на сервере. Например, на двухпроцессорном сервере или однопроцессорном сервере с двухъядерным процессором параметру Количество процессов следует присвоить значение по умолчанию 4. Если на сервере установлены два двухъядерных процессора, рекомендуется присвоить этому параметру значение 8.

    Важно.
    Чтобы новое значение этого параметра вступило в силу, необходимо остановить и заново запустить службу банка данных Microsoft Exchange. Не используйте функцию "Перезапустить".
  • Время ожидания проверки (сек.) — здесь указывается максимальное количество секунд, в течение которого будет проверяться файл. Значение по умолчанию — 150 секунд.

    Если проверка сообщения продолжается дольше указанного времени, процесс завершается, а FPE пытается перезапустить службу. В случае успешного перезапуска проверка в реальном времени возобновляется, а администратору отправляется уведомление о том, что задание проверки в реальном времени, превысившее лимит выделенного времени, было восстановлено.

    При запуске нового процесса проверки в реальном времени сообщение, которое привело к завершению процесса, обрабатывается заново в соответствии со значением параметра Действие, выполняемое при тайм-ауте проверки. Например, если задано значение Удалить, FPE удаляет файл, заменяет его содержимое на текст для удаления, заданный для проверки в реальном времени, записывает в журнал сведения о происшествии ExceededRealtimeTimeout, помещает файл на карантин и архивирует его.

    Если процесс перезапустить не удается, администратору отправляется уведомление о том, что проверка в реальном времени остановлена. В этом случае проверка в реальном времени для отдельной группы хранения не выполняется, однако банк сообщений не останавливается.

    Важно.
    Чтобы новое значение этого параметра вступило в силу, необходимо остановить и заново запустить службу банка данных Microsoft Exchange. Не используйте функцию "Перезапустить".
  • Действие, выполняемое при тайм-ауте проверки — здесь указывается действие, выполняемое при превышении лимита времени в процессе проверки файла. Возможны следующие значения.

    • Пропустить — файл будет пропущен без проверки.

    • Пропустить: только обнаружение — вносит в журнал происшествий и журнал программы запись о превышении времени проверки файла и пропускает файл без проверки.

    • Удалить — регистрирует событие и заменяет содержимое файла текстом для удаления. Значение по умолчанию — Удалить.

    Примечание.
    Если параметру Действие, выполняемое при тайм-ауте проверки присвоено значение Пропустить: только обнаружение или Удалить и включен карантин, копия файла сохраняется в базе данных.
  • Максимальное время проверки контейнера (сек.) — здесь указывается количество секунд, в течение которого при проверке в реальном времени будет проверяться сжатое вложение, прежде чем возникнет происшествие ScanTimeExceeded. Этот параметр предназначен для предотвращения отказа в обслуживании в результате атак типа "смертоносный ZIP-файл". Значение по умолчанию — 120 секунд.

Пропуск проверки в реальном времени

Программу FPE можно настроить таким образом, чтобы проверка в реальном времени всех сообщений электронной почты не выполнялась. При настройке программы FPE на пропуск проверки в реальном времени при выполнении задания проверки в реальном времени ни проверка на вредоносные программы, ни фильтрация не выполняется.

Важно.
Пропуск проверки в реальном времени должен использоваться только в целях устранения неполадок и под руководством инженера службы поддержки клиентов. Если этот параметр включен (по умолчанию он отключен), проверка в реальном времени не обеспечивает защиту от вредоносных программ, и вся почта помечается как надежная.
Пропуск проверки в реальном времени
  1. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Параметры проверки.

  2. В области Глобальные параметры — Параметры проверки в разделе Цели проверки — В реальном времени установите флажок Обход проверок включен.

  3. Нажмите кнопку Сохранить.

Важно.
После устранения неполадок необходимо включить проверку, чтобы защитить систему от вредоносных программ. Для этого снимите флажок Обход проверок включен и нажмите кнопку Сохранить. Если проверка была пропущена в течение любого промежутка времени, рекомендуется выполнить полную запланированную проверку для обнаружения вредоносных программ, которые могли быть пропущены.

Связанные разделы