Функция фильтрации файлов Microsoft Forefront Security для Office Communications Server (FSOCS) позволяет искать вложения, имеющие определенное имя, тип и размер, в сообщениях. Фильтр файлов может быть настроен для выполнения различных действий в случае обнаружения совпадения, таких как удаление, постановка на карантин, уведомление или регистрация сообщения об обнаруженном файле. Фильтр файлов предоставляет гибкие средства для обнаружения файловых вложений в сообщениях.

Фильтрация файлов может выполняться по нескольким характеристикам вложенного файла, включая следующие.

Создание фильтра файлов

Фильтры файлов можно настроить для фильтрации по типам, расширениям и именам файлов. Дополнительные сведения см. в разделах Фильтрация по типу файла, Фильтрация по расширению и Фильтрация по имени.

Создание и настройка фильтра файлов
  1. В списке выбора выберите команду ФИЛЬТРАЦИЯ, а затем щелкните значок Файл.

  2. В верхней части области Фильтрация файлов выберите Задание сканирования IM.

  3. Чтобы обнаруживать файлы с определенным именем, создайте в разделе Имена файлов фильтр с этим именем. Для этого нажмите кнопку Добавить и введите имя файла, который требуется обнаружить. Нажмите кнопку ВВОД. Также имеются кнопки Изменить и Удалить, позволяющие выполнить соответствующие действия над существующими записями.

    Чтобы изменить порядок, в котором применяется выбранный фильтр, используйте кнопки со стрелками вверх и вниз, расположенные на одной строке с разделом Имена файлов.

    Дополнительно фильтр файлов можно настроить для фильтрации файлов по размеру. Чтобы обнаруживать файлы по их размеру, следует указать оператор сравнения (=, >, <, >=, <=) и размер файла в килобайтах (КБ), мегабайтах (МБ) или гигабайтах (ГБ). Размер файла необходимо вводить в английских единицах размера: KB (килобайт), MB (мегабайт) и GB (гигабайт), как показано в примере ниже. Оператор и размер файла должны размещаться сразу за именем файла, без пробелов между именем файла и оператором или оператором и размером файла. Параметр Макс. размер файла-контейнера в окне Общие параметры указывает максимальный размер файла-контейнера (в байтах), который FSOCS попытается очистить или восстановить в случае обнаружения зараженного файла.

    Примеры

    *.bmp>=1.2MB Все файлы с расширением ?BMP, размер которых больше или равен 1,2 МБ

  4. Чтобы указать список типов файлов, которые могут быть связаны с выбранным именем файлов, выберите в списке один или более типов файлов или установите под списком флажок Все типы. Если тип файла, который требуется связать с выбранным именем файла, отсутствует в списке, выберите Все типы. Описание типов файлов, указанных в списке, см. в разделе Список типов файлов программы FSOCS.

    Note:
    При выборе Все типы приложение FSOCS будет фильтровать файлы только по имени и расширению файла. При установленном флажке Все типы будет обнаруживаться файл с выбранным именем независимо от типа файла. Это позволяет исключить возможность обхода фильтра путем простого изменения расширения имени файла.

    Если известен тип файла, который требуется искать, приложение FSOCS будет работать более эффективно, если выбрать соответствующий тип файла, а не значение Все типы. Например, если необходимо фильтровать все файлы EXE, создайте фильтр с именем «*» и выберите тип файла EXE.

  5. Убедитесь, что в поле Фильтр файлов для фильтра файлов установлено значение Включено. По умолчанию этот параметр включен.

  6. В поле Действие укажите действие, которое следует предпринять при обнаружении соответствия фильтру.

  7. С помощью флажка Отправлять уведомления можно указать, нужно ли отправлять уведомления для выбранного имени файла. Этот параметр не влияет на регистрацию в журнале происшествий. Кроме того, необходимо также настроить уведомления (см. раздел Уведомления о событиях FSOCS). По умолчанию уведомления отключены.

  8. С помощью флажка Файлы на карантине можно указать, нужно ли помещать файлы в карантин для выбранного имени файла. По умолчанию этот параметр включен. Включение карантина позволит сохранить удаленные файлы, делая возможным их восстановление. Сообщения, очищенные от вирусов-червей, восстановить невозможно.

  9. Дополнительно можно задать текст для удаления, который используется для замены содержимого зараженного файла в процессе удаления. Текст для удаления по умолчанию сообщает, что зараженный файл был удален с указанием имени файла и имени фильтра. Чтобы создать собственное сообщение, нажмите кнопку Текст для удаления.

    Note:
    Приложение FSOCS позволяет указывать ключевые слова, которые можно использовать в поле текста для удаления, чтобы получить информацию из зараженного сообщения. Дополнительные сведения о ключевых словах см. в разделе Макросы подстановки ключевых слов FSOCS.
  10. Нажмите кнопку Сохранить.

Фильтрация по типу файла

Если требуется фильтровать определенные типы файлов, можно создать фильтр «*» и установить флажки в разделе Типы файлов, чтобы задать типы файлов для фильтрации.

Например, создайте фильтр «*» и задайте в разделе Типы файлов значение MP3. Это обеспечит фильтрацию всех файлов MP3 независимо от их имени и расширения.

Одно из преимуществ задания общего фильтра (например, «*») и связывания его с определенным типом файлов (например, EXE) заключается в предотвращении возможности обхода фильтра путем простого изменения расширения имени файла.

Note:
Если требуется фильтровать файлы Microsoft Office 2003 и файлы Microsoft Office Excel® предыдущих версий, необходимо ввести в поле Имя файла значение *.xls или *, а затем выбрать в списке Тип файла оба значения WINEXCEL и DOCFILE. Файлы Excel 1.x имеют тип WINEXCEL, а файлы Excel более новых версий имеют тип DOCFILE.

Для документов Microsoft Office 2007 (Word, Excel и PowerPoint®) следует указать соответствующее расширение в поле Имя файла и выбрать в списке Типы файлов значение OPENXML.

Фильтрация по расширению

Если требуется фильтровать, независимо от типа, файлы с определенным расширением, можно создать общий фильтр для расширения и выбрать в списке Типы файлов значение Все типы. Фильтрация выполняется без учета регистра.

Например, можно создать фильтр *.exe* и выбрать в списке Типы файлов значение Все типы. Это обеспечит фильтрацию всех файлов с расширением .exe.

Important:
При создании общих фильтров файлов с целью фильтрации всех файлов определенного типа (например, EXE-файлов) рекомендуется записывать фильтр в следующем формате: *.exe*. Вторая звездочка (*) позволяет не пропустить файлы с дополнительными символами после расширения файла.
Note:
Рекомендуется избегать использования общего фильтра «*» с полем Типы файлов, установленным в значение Все типы. Такая настройка фильтра может привести к регистрации повторных обнаружений.

Фильтрация по имени

Если требуется фильтровать все файлы с определенным именем, можно создать фильтр для имени файла и выбрать в списке Типы файлов значение Все типы. Фильтрация выполняется без учета регистра.

Например, если вирус содержится во вложенном файле с именем payload.doc, можно создать фильтр payload.doc, а в списке Типы файлов выбрать значение Все типы. Это обеспечит фильтрацию файлов с именем payload.doc независимо от типа файла.

Фильтрация вложенных файлов по имени может также оказаться полезной на начальном этапе распространения нового вируса, когда известно имя файла, в котором находится вирус, а средства поиска вирусов еще не были обновлены и не могут обнаруживать этот вирус. Хорошим примером может служить вирус-червь Melissa. Он находился в файле List.doc и мог легко обнаруживаться программой FSOCS с помощью фильтра файлов еще до обнаружения его антивирусными программами.

Действие

В поле Действие области Фильтр файлов выберите действие, которое следует выполнить приложению FSOCS при обнаружении соответствия фильтру. По умолчанию выбрано значение Удалить: удаление содержимого.

Note:
Действие необходимо указывать для каждого настроенного фильтра файлов. Параметр Действие не является общим параметром.

Действие Описание

Пропустить: только обнаружение

В этом случае записывается количество сообщений, удовлетворяющих условиям фильтра, а сами сообщения направляются обычным образом. Однако, если в области Общие параметры установлены флажки Удалять поврежденные сжатые файлы, Удалять поврежденные файлы Uuencode или Удалять зашифрованные сжатые файлы, выполнение любого из этих условий приведет к удалению элемента.

Удалить: удаление содержимого.

Вложенный файл удаляется. Обнаруженное файловое вложение удаляется из сообщения, а на его место вставляется текст для удаления.

Блокировать: запретить передачу

Предотвращает доставку мгновенного сообщения или переданного файла назначенному получателю.

Изменение фильтра файлов

Созданный фильтр файлов может быть изменен.

Изменение фильтра файлов
  1. В списке выбора выберите команду ФИЛЬТРАЦИЯ, а затем щелкните значок Файл.

  2. В верхней части области Фильтрация файлов выберите «Задание сканирования IM».

  3. Измените необходимые поля. Изменения применяются к выбранному заданию сканирования.

  4. Нажмите кнопку Сохранить. Внесение изменений в настройки активирует кнопки Сохранить и Отмена. Если во время внесения изменений сделать попытку перейти к другому заданию сканирования или значку списка выбора без сохранения изменений, появится запрос на сохранение или отмену изменений.

Фильтрация имени файла по шаблону с использованием символов-шаблонов

Символы-шаблоны позволяют фильтровать имена файлов по совпадению шаблона поиска, а не определенного имени файла. Следующие символы-шаблоны позволяют расширить возможности фильтров.

Символ-шаблон Описание

*

Соответствует любому количеству символов в имени файла. Допускается использование нескольких символов звездочки. Ниже приведены примеры использования этого символа-шаблона.

  • Один знак. Каждый из следующих шаблонов с одним символом-шаблоном будет обнаруживать файл veryevil.doc: veryevil.*, very*.doc, very*, *il.doc.

  • Несколько знаков. Каждый из следующих шаблонов поиска с несколькими символами-шаблонами будет обнаруживать файл eicar.com: e*c*r*om, ei*.*, *car.*.

    Note:
    Несколько символов звездочки можно использовать для фильтрации вложенных файлов с несколькими расширениями. Например, love*.*.*

?

Соответствует любому одному символу в имени. Например,

шаблон поиска virus?.exe будет находить имена файлов virusa.exe, virus1.exe или virus$.exe. Однако этот фильтр не будет обнаруживать файл virus.exe.

[набор символов]

Используется для указания перечня символов и диапазонов символов, заключенных в квадратные скобки (например, [abcdef]). Совпадение будет обнаружено, если совпадает какой-либо символ из указанного набора. Например,

шаблон поиска klez[a-h].exe найдет файлы с kleza.exe по klezh.exe.

[^набор символов]

Применяется для исключения символов, которые не используются в имени файла. Например,

шаблон поиска klez[^m-z].exe не найдет файлы с klezm.exe по klezz.exe.

[диапазон символов]

Используется для указания нескольких возможных символов в наборе. Указывается начальным символом, символом дефиса (-) и конечным символом. Например,

фильтру klez[ad-gp].exe соответствуют имена файлов kleza.exe, klezd.exe, klezf.exe и klezp.exe, но не соответствуют klezb.exe или klezr.exe.

\символ

Указывает, что используется сам специальный символ. Специальные символы: * ? [ ] - ^ < >. Обратная косая черта называется экранирующим символом и указывает на то, что зарезервированный управляющий символ должен восприниматься буквально, т. е. как текстовый символ. Например,

при вводе слова *hello* будет выполняться поиск слова hello в любом месте имени файла. При вводе слова *\*hello\** будет выполняться поиск слова *hello*. При вводе *\*hello\?\** будет выполняться поиск слова *hello?*.

Note:
Обратная косая черта должна стоять перед каждым специальным символом.

Направленные фильтры файлов

При использовании файла фильтров в задании сканирования IM можно настроить фильтр так, чтобы фильтровались только входящие или исходящие сообщения. Для этого при вводе имени файла в области Имена файлов к имени добавляется префикс <in> или <out>.

Дополнительные сведения об определении входящих, исходящих и внутренних сообщений см. в разделе Задание сканирования IM.

Note:
Между префиксом и именем файла не должно быть пробела.
Note:
Префиксы <in> (для входящих сообщений) и <out> (для исходящих сообщений) нужно вводить на английском языке.

Фильтрация входящих сообщений

Добавление префикса <in> к имени файла информирует приложение FSOCS о необходимости применения этого фильтра только для входящих сообщений. Фильтрация входящих сообщений имеет следующий формат:

<in> имя_файла

Фильтрация исходящих сообщений

Добавление префикса <out> к имени файла информирует приложение FSOCS о необходимости применения этого фильтра только для исходящих сообщений. Фильтрация исходящих сообщений задается следующим форматом:

<out> имя_файла

Фильтрация входящих, исходящих и внутренних сообщений

Если префикс к имени файла отсутствует, фильтр будет применяться в отношении всех сообщений, независимо от направления передачи.

Фильтрация файлов-контейнеров

В широком смысле под файлами-контейнерами понимаются составные файлы, которые могут быть разделены на несколько частей. Приложение FSOCS может искать совпадение с фильтром в следующих файлах-контейнерах:

  • PKZip (ZIP);

  • GNU Zip (GZIP);

  • самораскрывающиеся архивы ZIP;

  • файлы Zip (ZIP);

  • архивы Java (JAR);

  • TNEF (Winmail.dat);

  • структурированные хранилища (например, DOC, XLS и PPT);

  • OPENXML (например, DOCX, XLSX и PPTX);

  • MIME (EML);

  • SMIME (EML);

  • UUENCODE (UUE);

  • ленточные архивы Unix (TAR);

  • архивы RAR (RAR);

  • MACBinary (BIN).

Приложение FSOCS сканирует все части файла-контейнера и при необходимости перекомпоновывает файл. Например, если настроить фильтр файлов для удаления всех файлов с расширением ?EXE, программа FSOCS удалит все EXE-файлы в файле-контейнере (меняя на текст для удаления) и оставит без изменения все другие файлы в контейнере.

Note:
Приложение FSOCS не может сканировать файлы, защищенные паролем, и зашифрованные файлы. Эти файлы всегда передаются полностью в антивирусные программы в шифрованном виде.

Исключение содержимого файла-контейнера из процесса фильтрации файлов

Чтобы исключить содержимое ZIP-файла ?(файла-контейнера) из процесса фильтрации, укажите имя ZIP-файла в списке фильтра файлов и выберите действие Пропустить. Место расположения фильтров в списке не важно. Если имя ZIP-файла включено в список фильтра файлов и выбрано действие Пропустить, содержимое файла не будет сканироваться. Однако сам файл будет проверен на наличие вирусов. Если необходимо пропускать все ZIP-файлы, создайте следующий фильтр: *.zip — и выберите действие Пропустить.

Note:
По умолчанию эта функция распространяется только на ZIP и JAR-файлы. Чтобы включить эту функцию для других типов архивных файлов (TAR, GZIP, RAR, Macintosh, SMIME и самораскрывающиеся архивы ZIP), можно задать следующие значение параметра реестра типа DWORD для задания сканирования IM:

SkipFileFilterWithinCompressedInternet.

Сведения о расположении этих разделов реестра см. в разделе Разделы реестра FSOCS. После создания каждого значения параметра реестра следует присвоить ему значение 1, чтобы включить фильтрацию указанных архивных файлов.
Note:
Файлы OPENXML (например, документы Office 2007) являются файлами-контейнерами в формате ZIP, однако на них не распространяется действие параметров контейнеров ZIP.

Использование фильтрации файлов для блокирования большинства типов файлов

Фильтры файлов можно использовать для того, чтобы блокировать одни типы файлов и пропускать другие. В этом примере пропускаются файлы Office, которые являются более безопасными по сравнению с другими типами. В данном случае необходимо создать два фильтра файлов.

Note:
Обязательно создайте фильтр файлов 1 до фильтра файла 2, поскольку применение фильтров происходит по порядку, сверху вниз.

Сначала следует создать фильтр файлов, который будет пропускать файлы Office. В данном примере он называется «Фильтр файлов 1».

Создание фильтра файлов 1
  1. В списке выбора выберите команду ФИЛЬТРАЦИЯ, а затем щелкните значок Файл.

  2. Чтобы создать новый фильтр файлов, выполните следующие действия в области «Фильтрация файлов».

    1. Нажмите кнопку Добавить.

    2. В поле Имя файла введите <in>* и нажмите клавишу ВВОД.

    3. В разделе Типы файлов снимите флажок Все типы и нажмите кнопку Да для подтверждения.

    4. Выберите типы файлов DOC, OPENXML и TNEF. Тип TNEF необходим, поскольку файлы этого типа служат оболочкой для вложенных файлов во внутренних сообщениях.

    5. В списке Действие выберите Пропустить: только обнаружение.

    6. Снимите флажок Файлы на карантине и нажмите кнопку Сохранить.

Затем следует создать фильтр для блокировки все файлов. Он будет называться «Фильтр файлов 2». Поскольку сначала был создан «Фильтр файлов 1», файлы Office будут пропускаться, а все остальные файлы будут заблокированы.

Создание фильтра файлов 2
  1. В списке выбора выберите команду ФИЛЬТРАЦИЯ, а затем щелкните значок Файл.

  2. Чтобы создать новый фильтр файлов выполните следующие действия в области Фильтрация файлов.

    1. Нажмите кнопку Добавить.

    2. В поле Имя файла введите * и нажмите клавишу ВВОД.

    3. Убедитесь, что в разделе Типы файлов установлен флажок Все типы.

    4. В списке Действие выберите Блокировать или Очистить в зависимости от требований.

    5. Установите флажки Файлы на карантине и Отправлять сообщения, затем нажмите кнопку Сохранить.

Списки фильтров файлов

Наряду с созданием отдельных фильтров файлов, можно также создавать списки фильтров файлов, чтобы использовать наборы фильтров в различных заданиях сканирования или для систематизации фильтров. Отдельные фильтры создаются так, как было описано раньше, однако теперь каждый фильтр является частью списка.

Создание списка фильтров файлов

Сначала необходимо создать новый список фильтров файлов.

Создание списка фильтров файлов
  1. В списке выбора выберите команду ФИЛЬТРАЦИЯ, а затем нажмите значок Списки фильтров.

  2. В области Типы списков выберите Файлы.

  3. В разделе Имена списков нажмите кнопку Добавить, введите название нового списка и нажмите клавишу ВВОД. В разделе Имена списков появится пустой список.

  4. В разделе Имена списков выберите имя нового списка фильтров и затем нажмите кнопку Изменить.

  5. В диалоговом окне Изменение списка фильтров добавьте к списку имена файлов.

  6. В разделе Включить в фильтр нажмите кнопку Добавить.

    1. Введите имя файла, которое требуется включить в список фильтров. По завершении ввода нажмите клавишу ВВОД. Можно ввести любое количество элементов, однако каждый из них необходимо вводить по отдельности. Каждый элемент подчиняется правилам, указанным для создания отдельных фильтров файлов.

    2. В разделе Исключить из фильтра введите имена файлов, которые не должны включаться в список фильтров файлов. Это позволяет избежать случайного добавления этих имен файлов при импорте списка из текстового файла. Дополнительные сведения об импорте файлов см. в разделе Импорт элементов в список фильтров.

    3. После добавления всех элементов нажмите кнопку ОК. Список введенных элементов в алфавитном порядке появится в области, расположенной рядом с разделом Имена списков.

  7. Нажмите кнопку Сохранить.

  8. Настройте список фильтров так же, как описано в разделе Создание фильтра файлов.

Импорт элементов в список фильтров

Списки фильтров можно создать автономно, например, в «Блокноте» или аналогичном текстовом редакторе, а затем импортировать данные из файла в соответствующий список файлов с помощью приложения Forefront Server Security Administrator. Обратите внимание, что приложение FSOCS может импортировать списки только из файлов, имеющих кодировку UTF-16 или ANSI. Импорт файлов в другой кодировке Юникода будет выполнен неправильно.

Создание и импорт данных в список фильтров
  1. При создании списка поместите каждый фильтр в отдельной строке файла и затем сохраните список в виде текстового файла.

  2. В списке выбора выберите команду ФИЛЬТРАЦИЯ, а затем нажмите значок Списки фильтров.

  3. Выберите список фильтров, в который требуется импортировать данные, и нажмите кнопку Изменить.

  4. В диалоговом окне Изменение списка фильтров нажмите кнопку Импорт. Откроется окно проводника Windows. Воспользуйтесь им для перехода к текстовому файлу, созданному в шаге 1.

  5. Выберите файл и затем нажмите кнопку Открыть. Файл будет импортирован в среднюю область редактора Импорта списка

  6. Чтобы переместить все элементы в раздел Включить в фильтр, используйте кнопку <===; для перемещения отдельных элементов используйте кнопку <---. Кнопки со стрелками вправо используются для перемещения элементов в раздел Исключить из импорта.

  7. После перемещения всех необходимых элементов нажмите кнопку ОК.

  8. Нажмите кнопку Сохранить.

Шаблоны наборов фильтров

В заданиях сканирования FSOCS можно использовать шаблоны наборов фильтров. Шаблон набора фильтров можно связывать с любым заданием сканирования или со всеми заданиями сканирования. Также можно создавать разные шаблоны наборов фильтров для использования с разными серверами или разными заданиями сканирования. Дополнительные сведения о создании и настройке шаблонов наборов фильтров см. в подразделе «Шаблоны наборов фильтров» раздела Фильтрация содержимого FSOCS.

Международные кодировки

Приложение FSOCS поддерживает фильтрацию по имени не только в английской кодировке. Например, сообщения с вложениями или строка темы, содержащие японские символы, слова или фразы, будут обрабатываться точно так же, как и в английской кодировке.

Ведение статистики

Область Происшествия содержит счетчики, которые отслеживают количество вложений, соответствующих указанным условиям, а поэтому приводящих к очистке сообщений, в которых они содержатся. Эти счетчики также можно найти в оснастке Windows «Производительность».