Задание сканирования IM Microsoft Forefront Security для Office Communications Server (FSOCS) в режиме реального времени сканирует сообщения и файлы, передаваемые через сервер IM. FSOCS перехватывает сообщения и файлы, отправляемые пользователями, и сканирует их на наличие вирусов и недопустимого содержимого на основе параметров, настроенных администратором. Зараженные или соответствующие критериям фильтра сообщения и файлы подвергаются действиям, выбранным администратором.
?Настройка задания сканирования IM
Настройте задание сканирования IM, указав, какие входящие, исходящие и внутренние сообщения необходимо сканировать. Дополнительно можно указать текст для удаления.
?Настройка задания сканирования IM-
В списке выбора в разделе ПАРАМЕТРЫ выберите Задание сканирования.
-
В верхней части области Параметры задания сканирования (содержащей список настраиваемых заданий сканирования) выберите Задание сканирования IM.
-
В области Параметры задания сканирования в разделе Сообщения IM с помощью флажков выберите сочетание сканируемых сообщений: Входящие, Исходящие и Внутренние. Дополнительные сведения см. в разделе Очереди сообщений.
-
Дополнительно можно задать текст для удаления, который используется для замены содержимого зараженного файла в процессе удаления. Чтобы изменить или просмотреть текущий текст, нажмите кнопку Текст для удаления. Текст для удаления по умолчанию сообщает, что зараженный файл был удален, а также указывает имя файла и название обнаруженного вируса. Чтобы изменить существующий текст и создать собственное пользовательское сообщение, нажмите кнопку Текст для удаления.
Note: Приложение FSOCS позволяет указывать ключевые слова, которые можно использовать в поле текста для удаления, чтобы получить информацию из зараженного сообщения. Дополнительные сведения об этой функции см. в разделе Макросы подстановки ключевых слов FSOCS. -
Нажмите кнопку Сохранить.
Настройка параметров защиты от вирусов
Существуют различные параметры, которые можно настроить для задания сканирования IM. Сюда входят выбор программ для проверки файлов, уровень защиты, действия, уведомления и помещение в карантин.
Настройка параметров защиты от вирусов-
В списке выбора в разделе ПАРАМЕТРЫ щелкните значок Защита от вирусов.
-
В области Параметры защиты от вирусов в списке наверху щелкните Задание сканирования IM. В нижней половине области отобразятся текущие параметры.
-
В разделе Программы проверки файлов в списке доступных программ для проверки файлов сторонних производителей выберите программы для проверки файлов. Чтобы отключить поиск вирусов, но сохранить возможность фильтрации, выполните следующие действия.
- В списке выбора в разделе ?ВЫПОЛНИТЬ щелкните значок
Выполнить задание.
- В области Выполнить задание снимите флажок Поиск
вирусов, но оставьте необходимое сочетание флажков
Фильтрация файлов, Фильтрация содержимого и
Фильтрация ключевых слов.
- В списке выбора в разделе ?ВЫПОЛНИТЬ щелкните значок
Выполнить задание.
-
Выберите Уровень защиты, чтобы указать, сколько антивирусных ядер должно быть использовано для обеспечения надежной защиты системы. Дополнительные сведения см. в разделе Использование нескольких антивирусных ядер в программе FSOCS.
-
Выберите действие, которое должно выполнять приложение FSOCS при обнаружении вируса. Возможны следующие действия.
- Пропустить: только обнаружение — очистка от вируса или
удаление не выполняются. О наличии вирусов сообщается, но файлы
остаются зараженными. Однако, если в области Общие параметры
выбран вариант Удалять поврежденные сжатые файлы, Удалять
поврежденные файлы Uuencode или Удалять зашифрованные сжатые
файлы, выполнение любого из этих условий приведет к удалению
объекта. Дополнительные сведения об общих параметрах см. в разделе
Forefront Server
Security Administrator для FSOCS.
- Очистить: исправить вложение — выполняется попытка
очистки от вируса. Если очистка от вируса прошла успешно,
зараженное вложение или текст сообщения заменяется очищенной от
вируса версией. Если не удается очистить сообщение от вируса,
приложение FSOCS заменяет вложение или текст сообщения текстом
уведомления об удалении. Это значение выбрано по умолчанию.
- Удалить: удалить вирус — вложение удаляется без попытки
очистки от вирусов. Обнаруженное вложение удаляется из сообщения и
заменяется текстом уведомления об удалении.
- Блокировать — сообщение IM или передаваемый файл не
будут доставлены получателю.
- Пропустить: только обнаружение — очистка от вируса или
удаление не выполняются. О наличии вирусов сообщается, но файлы
остаются зараженными. Однако, если в области Общие параметры
выбран вариант Удалять поврежденные сжатые файлы, Удалять
поврежденные файлы Uuencode или Удалять зашифрованные сжатые
файлы, выполнение любого из этих условий приведет к удалению
объекта. Дополнительные сведения об общих параметрах см. в разделе
Forefront Server
Security Administrator для FSOCS.
-
Чтобы включить уведомления по электронной почте, установите флажок Отправлять уведомления. Этот параметр не влияет на запись отчетов в журнал происшествий. Кроме того, необходимо настроить уведомления. Дополнительные сведения о настройке уведомлений см. в разделе Уведомления о событиях FSOCS. По умолчанию уведомления отключены.
-
Чтобы включить или отключить сохранение зараженных вложений, обнаруженных программами проверки файлов, установите или снимите флажок Файлы на карантине. По умолчанию функция карантина включена. Выбор этого действия позволит сохранять и восстанавливать удаленные вложения и очищенные сообщения. Сообщения, очищенные от вирусов-червей, восстановить невозможно.
-
Нажмите кнопку Сохранить.
?Изменение задания сканирования IM
В списке выбора в разделе ПАРАМЕТРЫ выберите Задание сканирования или Защита от вирусов в зависимости от того, какие параметры нужно изменить. При внесении в конфигурацию каких-либо изменений становятся доступны кнопки Сохранить и Отмена. Если внести изменения в задание сканирования IM и попытаться перейти в другую область без сохранения, будет выведено напоминание о сохранении изменений.
?Управление заданием сканирования IM
Чтобы управлять заданием сканирования IM, следуйте следующим шагам.
Управление заданием сканирования IM-
Чтобы управлять заданием сканирования IM, выберите раздел ВЫПОЛНИТЬ в списке выбора и щелкните значок Выполнить задание.
-
Вверху области Выполнить задание выберите в списке Задание сканирования IM. В нижней части области Выполнить задание показано состояние и результаты выполнения выбранного задания сканирования.
Включение и отключение задания сканирования IM
Если выбрано задание сканирования IM, кнопки Включить и Не использовать позволяют управлять выполнением задания.
Отключение задания сканирования IM-
В списке выбора выберите раздел ПАРАМЕТРЫ, а затем щелкните значок Общие параметры.
-
Чтобы отключить задание сканирования IM, в области Общие параметры для параметра Включить Forefront выберите значение Отключить. Дополнительные сведения о перезапуске служб см. в разделе Службы FSOCS.
Параметр Не использовать указывает, должно ли использоваться сканирование IM. В отличие от отключения задания сканирования IM, при выборе параметра Не использовать сообщения продолжают направляться в антивирусные ядра. Однако антивирусные ядра всегда сообщают, что файлы являются чистыми.
Включение режима «Не использовать»-
В списке выбора выберите ВЫПОЛНИТЬ, а затем щелкните значок Выполнить задание. В области Выполнить задание нажмите кнопку Не использовать.
Note: Режим Не использовать должен применяться только в целях поиска и устранения неполадок. В этом случае он удобен, так как не требуется перезапускать службы. Однако, если режим Не использовать включен, защита от вирусов не действует.
-
В списке выбора выберите ВЫПОЛНИТЬ, а затем щелкните значок Выполнить задание. В области Выполнить задание нажмите кнопку Включить.
Выбор поиска вирусов, фильтрации файлов или фильтрации по ключевым словам
Задание сканирования IM может использоваться для поиска вирусов, фильтрации файлов, фильтрации содержимого, фильтрации по ключевым словам или сочетаний этих заданий.
Задание сочетания для сканирования-
В списке выбора выберите ВЫПОЛНИТЬ, а затем щелкните значок Выполнить задание.
-
В области Выполнить задание установите или снимите флажки Поиск вирусов, Фильтрация файлов, Фильтрация содержимого и Фильтрация ключевых слов, чтобы задать необходимое сочетание.
Note: Любые изменения этой настройки вступают в силу немедленно, даже если задание работает в текущий момент.
Проверка результатов и состояния
В нижней части области Выполнить задание показаны результаты фильтрации или поиска вирусов при выполнении задания сканирования IM. Эти результаты сохраняются на диске в файле журнала вирусов FSCController независимо от того, открыто или нет окно программы Microsoft Forefront Server Security Administrator.
Приложение FSOCS сообщает следующие сведения для каждого происшествия, обнаруженного заданием сканирования IM.
Элемент |
Описание |
Время |
Дата и время происшествия. |
Состояние |
Действие, предпринятое FSOCS. |
Папка |
Указывает, было ли сообщение внутренним, входящим или исходящим. |
Файл |
Имя вируса или файла, соответствующего фильтру содержимого или фильтру файлов. |
Происшествие |
Тип и название обнаруженного происшествия. |
Адрес отправителя |
Адрес электронной почты пользователя, отправившего сообщение, содержащее вирус или соответствующее фильтру. |
Адрес получателя |
Адрес электронной почты пользователя, получившего сообщение, содержащее вирус или соответствующее фильтру. |
Если файл журнала вирусов больше не нужен, его можно очистить с помощью кнопки Очистить журнал в области Выполнить задание. Это не влияет на журнал происшествий.
Чтобы удалить часть результатов, необходимо выбрать элементы в столбце Папка (с помощью мыши или клавиши ПРОБЕЛ в сочетании с клавишей SHIFT или CTRL). После выбора нужного набора результатов нажмите клавишу DELETE, чтобы удалить его из файла журнала вирусов.
Note: |
---|
Если выбрано много элементов, процесс удаления может занять длительное время. В этом случае появится окно с запросом подтверждения удаления. |
Чтобы сохранить результаты в текстовый файл, воспользуйтесь кнопкой Экспорт.
Восстановление сканирования IM
Если проверка сообщения в задании сканирования IM продолжается больше указанного времени (по умолчанию 5 минут или 300 000 миллисекунд), процесс прекращается и приложение FSOCS попытается перезапустить службу. В случае успешного перезапуска сканирование IM возобновляется, а администратору отправляется уведомление о том, что задание сканирования IM остановлено и восстановлено.
Когда начинается новый процесс сканирования IM, к сообщению, вызвавшему прекращение процесса сканирования, применяется действие, указанное в параметре Действие по истечении времени ожидания сканирования мгновенных сообщений в области Общие параметры. Например, если задано действие Удалить, приложение FSOCS удаляет файл, заменяет его содержимое текстом для удаления для задания сканирования IM, записывает сведения в журнал, отправляет файл на карантин и архивирует его. Дополнительные сведения об общих параметрах см. в разделе Forefront Server Security Administrator для FSOCS.
Если процесс перезапустить не удается, администратору отправляется уведомление о том, что задание сканирования IM остановлено. В этом случае сканирование IM и поиск вирусов в потоке сообщений IM не выполняются.
Если продолжают возникать проблемы с превышением времени ожидания, можно увеличить время в разделе реестра IMTimeout. Поскольку этот раздел реестра является скрытым, необходимо создать новое значение реестра DWORD с именем IMTimeout, в разделе Система исчисления выбрать Десятичная и указать время в миллисекундах в поле Значение. Чтобы изменения вступили в силу, перезапустите службы OCS и FSOCS. Дополнительные сведения о параметрах реестра см. в разделе Разделы реестра FSOCS.
Очереди сообщений
Приложение Forefront Security для Office Communications Server предоставляет гибкие возможности выбора логических очередей сообщений для поиска вирусов в рамках задания сканирования IM: входящих, исходящих или внутренних. Можно настроить приложение FSOCS на сканирование только одной очереди или всех трех. В области Параметры задания сканирования для выбора очередей существует три флажка: Входящие, Исходящие и Внутренние.
Сканирование очереди входящих сообщений
При установленном флажке Входящие в области Параметры задания сканирования приложение FSOCS проверяет все сообщения, отправленные не из этого домена.
Сканирование очереди исходящих сообщений
При установленном флажке Исходящие в области Параметры задания сканирования приложение FSOCS проверяет все сообщения, отправленные из этого домена.
Сканирование внутренних сообщений
Если в области Параметры задания сканирования установлен флажок Внутренние, приложение FSOCS сканирует все сообщения, передаваемые в пределах текущего домена.
Сканирование вложенных сжатых файлов
Сжатые файлы со слишком большой степенью вложенности могут замедлять работу FSOCS и сервера OCS. Многоуровневые вложения также могут использоваться в известных атаках типа «отказ в обслуживании», направленных против антивирусных программ. Чтобы минимизировать потенциальное влияние на производительность сервера и защитить его от атак типа «отказ в обслуживании», применяется общий параметр Макс. число вложенных сжатых файлов, позволяющий приложению FSOCS выполнять поиск вирусов во вложенных сжатых файлах. По умолчанию задана глубина вложения 5. Таким образом, файлы с количеством уровней вложенности больше 5 помечаются для удаления.
Эту настройку можно изменить в области Общие параметры. Дополнительные сведения см. в разделе Forefront Server Security Administrator для FSOCS.
Проверка файлов по типам
По умолчанию FSOCS выполняет поиск вирусов во всех сообщениях IM и передаваемых файлах. Чтобы поиск выполнялся как можно быстрее и эффективнее, можно настроить в FSOCS проверку только тех данных, которые могут содержать вирусы с наибольшей вероятностью. Для этого сначала определяется тип файла, а затем выясняется, является ли этот тип файлов распространенным объектом заражения вирусами. Тип файла определяется на основе его заголовка, а не расширения. Это более надежный метод, поскольку расширения легко подменить. Если нужно, чтобы программа FSOCS не выполняла проверку типов файлов, которые обычно не могут быть заражены вирусами, установите для раздела реестра ScanAllAttachments значение 0. Раздел ScanAllAttachments является «скрытым». Поэтому, если этот раздел не существует, его значение по умолчанию равно 1.
Note: |
---|
При установке для раздела реестра ScanAllAttachments значения 0 повышается производительность, но также повышается и риск проникновения необнаруженных вирусов. |