Фильтрация содержимого в Microsoft Forefront Security для Office Communications Server (FSOCS) позволяет администраторам фильтровать сообщения на основе условий отправителей или получателей и адреса домена. Фильтрация содержимого предоставляет дополнительное средство для помощи в управлении сообщениями, входящими и исходящими из корпоративного потока сообщений.

Администраторы могут выбрать для сканирования любое сочетание входящих сообщений (созданных за пределами предприятия), исходящих сообщений (отправленных с предприятия) или внутренних сообщений (пересылаемых внутри интрасети). Этот выбор производится в диалоговом окне Параметры задания сканирования (дополнительные сведения см. в разделе Задание сканирования IM). По умолчанию они все включены.

Настройка фильтрации отправителей и получателей

Фильтрация отправителей и получателей дает возможность фильтровать сообщения определенных отправителей, доменов или получателей. В фильтрах можно использовать символы-шаблоны, например, можно создавать такие фильтры как *@example.com, чтобы фильтровать все сообщения из определенного домена.

Настройка фильтрации отправителей и получателей
  1. В списке выбора выберите ФИЛЬТРАЦИЯ и щелкните значок Содержимое.

  2. В верхней части области Фильтрация содержимого выберите Задание сканирования IM.

  3. В области Поля содержимого выберите Домен/Адрес и в разделе Фильтры содержимого нажмите кнопку Добавить.

  4. В окне введите отправителя или домен, которые требуется фильтровать. Если необходимо использовать общий фильтр имени домена, то перед именем домена следует ввести звездочку (*) (являющуюся символом-шаблоном).

    Примеры

    Общий фильтр домена: *@example.com

    Определенный отправитель: someone@example.com

  5. После ввода отправителя или домена нажмите клавишу ВВОД. Повторите эти действия нужное количество раз.

  6. Включите фильтр, используя поле Фильтр.

  7. В поле Действие выберите действие, которое следует предпринять при обнаружении соответствия фильтру.

  8. Если при обнаружении соответствия фильтру требуется отправлять уведомления, установите флажок Отправлять уведомления. Администраторы содержимого отправляют уведомление о том, что сообщение было отфильтровано. Кроме того, необходимо настроить уведомления. Дополнительные сведения см. в разделе Уведомления о событиях FSOCS.

  9. Если при возникновении события соответствия фильтру требуется отправить элемент на карантин, установите флажок Карантин. Выбор этого действия позволит сохранять и восстанавливать удаленные вложения и очищенные сообщения. Сообщения, очищенные от вирусов-червей, восстановить невозможно.

  10. Нажмите кнопку Сохранить.

При фильтрации с помощью поля «Отправитель-получатель» FSOCS пытается сравнивать имя экрана, адрес или домен отправителя. При совпадении любого из вышеперечисленных параметров включается действие для фильтра, примененного к сообщению.

Можно создать фильтр отправителей-получателей, который фильтрует сообщения всех пользователей в домене, за исключением определенных пользователей. Дополнительные сведения см. в разделе Фильтрация сообщений от всех пользователей домена, за исключением определенных пользователей.

Действие

Необходимо определить действие, которое FSOCS должно принять при определении соответствия условию фильтрации.

Note:
Действие необходимо указывать для каждого настроенного фильтра содержимого. Выбранное действие не является общим параметром.

Можно выбрать следующие действия.

Действие Описание

Пропустить: только обнаружение.

В этом случае записывается количество сообщений, удовлетворяющих условиям фильтра, а сами сообщения направляются обычным образом. Однако, если в области «Общие параметры» установлены флажки Удалять поврежденные сжатые файлы, Удалять поврежденные файлы Uuencode или Удалять зашифрованные сжатые файлы, выполнение любого из этих условий приведет к удалению объекта.

Блокировать: запретить передачу

Предотвращает доставку мгновенного сообщения или переданного файла назначенному получателю.

Редактирование фильтра содержимого

После создания фильтра содержимого его можно редактировать.

Редактирование фильтра содержимого
  1. В списке выбора щелкните ФИЛЬТРАЦИЯ и выберите значок Содержимое.

  2. В верхней части области Фильтрация содержимого выберите задание сканирования, для которого требуется изменить фильтр содержимого.

  3. Произведите требуемые изменения в различных полях области Фильтрация содержимого. Изменения применяются к выбранному заданию сканирования.

  4. Нажмите кнопку Сохранить. Кнопки Сохранить и Отмена станут активными после изменения параметров настройки. Если во время внесения изменений сделать попытку перейти к другому заданию сканирования или значку списка выбора без сохранения изменений, появится запрос на сохранение или отмену изменений.

Фильтрация по шаблонам

Символы-шаблоны позволяют фильтровать содержимое по шаблону. Для расширения возможностей фильтров можно использовать следующие символы-шаблоны.

Символ-шаблон Описание

*

Соответствует любому количеству знаков. Допускается использование нескольких знаков звездочки. Ниже приведены примеры использования этого символа-шаблона.

  • Один знак. Каждый из следующих шаблонов будет обнаруживать слово veryevil: veryevil*, very*, *il

  • Несколько знаков. Каждый из следующих шаблонов будет обнаруживать слово veryevil: V*r*v*l, *very*, *evil*

?

Соответствует любому одиночному символу. Злоумышленники часто вставляют дополнительные знаки между буквами, чтобы обойти фильтры.

Например, чтобы отфильтровать слово К-О-Н-К-У-Р-С, можно использовать фильтр: К?О?Н?К?У?Р?С.

[набор знаков]

Перечень символов и диапазонов символов, заключенный в квадратные скобки (например, [abcdef]). Совпадение будет обнаружено, если совпадает какой-либо символ из указанного набора.

Например, это может оказаться полезным для создания единого правила, которое будет выполняться, когда вместо буквы «о» используется нуль (0). Например, слова «порнография» и «п0рнография» будут фильтроваться с помощью фильтра п[о0]рнография.

[^набор символов]

Применяется для исключения символов, которые не должны использоваться.

[диапазон символов]

Используется для указания нескольких возможных символов в наборе. Определяется начальным символом, символом дефиса (-) и конечным символом.

Например, фильтру klez[ad-gp] соответствуют слова kleza, klezd, kleze, klezf, klezg и klezp, но не соответствуют klezb или klezr.

\символ

Указывает на то, что используется сам специальный символ (специальные символы: * ? [ ] - ^ < >). Обратная косая черта называется escape-символом и указывает на то, что зарезервированный управляющий символ должен восприниматься буквально, т. е. как текстовый символ.

Например, при вводе слова *hello* будет выполняться поиск слова hello в любом месте имени файла. При вводе слова *\*hello\** будет выполняться поиск слова *hello*. При вводе *\*hello\?\** будет выполняться поиск слова *hello?*.

Note:
Обратная косая черта должна стоять перед каждым специальным символом, используемым в качестве текстового символа.

Списки фильтров содержимого

Кроме создания отдельных фильтров содержимого отправителей-получателей, можно создавать их списки для использования этих коллекций фильтров различными заданиями сканирования или для организации своих фильтров. Отдельные фильтры создаются вышеописанным способом, но теперь каждый фильтр является частью списка.

Создание списка фильтров содержимого

Начните с создания нового списка фильтров для фильтров отправителей-получателей.

Создание списка фильтров содержимого
  1. В списке выбора выберите команду ФИЛЬТРАЦИЯ, а затем нажмите значок Списки фильтров.

  2. В области Типы списков выберите Отправители-получатели.

  3. В области Имена списков нажмите кнопку Добавить.

  4. В появившемся окне введите имя нового списка и нажмите клавишу ВВОД. В область Имена списков добавляется пустой список.

  5. В области Имена списков выберите новый список и нажмите кнопку Изменить.

  6. В диалоговом окне Редактировать список фильтра добавьте в список элементы (определенных отправителей, либо домены).

    1. В разделе Включить в фильтр нажмите кнопку Добавить.

    2. В появившемся текстовом поле введите отправителя, получателя или домен, которые надо включить в список. После завершения ввода нажмите клавишу ВВОД. Можно ввести любое количество элементов, однако каждый элемент необходимо вводить по отдельности. Каждый элемент соблюдает все правила, обсужденные ранее при создании одиночных фильтров отправителей-получателей.

    3. В разделе Исключить из фильтра введите данные, которые никогда не будут включены в фильтр. Это позволяет избежать случайного добавления таких данных при импорте списка из текстового файла. Дополнительные сведения об импорте файлов см. в разделе Импорт элементов в список фильтров.

    4. После ввода всех ключевых слов нажмите кнопку ОК. В области рядом с разделом Имена списков появится список введенных элементов в алфавитном порядке.

  7. Нажмите кнопку Сохранить.

  8. Настройте список фильтров способом, описанным в разделе Настройка фильтрации отправителей-получателей.

Импорт элементов в список фильтров

Списки фильтров можно создать автономно, например, в блокноте или аналогичном текстовом редакторе, а затем импортировать данные из файла в соответствующий список файлов с помощью программы Forefront Server Security Administrator. Обратите внимание, что приложение FSOCS может импортировать только списки, содержащиеся в файлах с кодировкой UTF-16 или ANSI. Импорт файлов в другой кодировке Юникода будет выполнен неправильно.

Создание и импорт данных в список фильтров
  1. При создании списка разместите каждый фильтр на отдельной строке файла и сохраните его в виде текстового файла.

  2. В области ФИЛЬТРАЦИЯ списка выбора щелкните значок Списки фильтров.

  3. Выберите список фильтров, в который будут импортированы данные, или создайте новый, затем нажмите кнопку Редактировать.

  4. В диалоговом окне Изменение списка фильтров нажмите кнопку Импорт. Откроется окно проводника Windows. Используйте его для перехода к текстовому файлу, созданному на этапе 1.

  5. Выберите файл и нажмите кнопку Открыть. Файл импортируется в среднюю область редактора Импорт списка.

  6. Если в область Включить в фильтр требуется переместить все элементы, используйте кнопку <===. Если в область Включить в фильтр требуется переместить только отдельные элементы, используйте кнопку <---. Кнопки со стрелками вправо используются для перемещения элементов в область Исключить из импорта.

  7. После перемещения всех необходимых элементов нажмите кнопку ОК.

  8. Нажмите кнопку Сохранить.

Фильтрация сообщений от всех пользователей домена, за исключением определенных пользователей

В данном разделе описывается настройка FSOCS для фильтрации сообщений от всех пользователей домена, за исключением определенных пользователей данного домена.

Фильтрация сообщений от всех пользователей домена, за исключением определенных пользователей
  1. В списке выбора щелкните ФИЛЬТРАЦИЯ и выберите значок Содержимое.

  2. В верхней части области Фильтрация содержимого выберите «Задание сканирования IM».

  3. Установите фильтры содержимого, содержащие адреса определенных пользователей, сообщения которых не должны фильтроваться. Если отправитель и получатель сообщения указаны в фильтрах содержимого, фильтрация не выполняется. Если в фильтре содержимого указан только один из них, выполняется фильтрация, включающая помещение на карантин и уведомления, если они настроены.

    1. В нижнем левом углу области Поля содержимого выберите Домен/Адрес, затем в области Фильтры содержимого нажмите кнопку Добавить.

    2. В появившемся текстовом поле введите адрес определенного пользователя. Например, введите someone@example.com и нажмите клавишу ВВОД.

    3. В поле Действие установите действие Пропустить: только обнаружение .

      Note:
      Можно добавлять несколько адресов, но каждый следует вводить отдельно. Если требуется добавить адреса, для которых не производится фильтрация, повторите шаг 3.
  4. Установите имя домена для фильтрации.

    1. В нижнем левом углу области Поля содержимого выберите Домен/Адрес, затем в области Фильтры содержимого нажмите кнопку Добавить.

    2. В появившемся текстовом поле введите имя домена для фильтрации. При вводе имени домена добавьте к нему символ-шаблон звездочку (*). Например, введите *@example.com.

      Note:
      Убедитесь, что фильтр для имени домена добавлен прямо под фильтром для пользователей, сообщения которых не должны фильтроваться. FSOCS обрабатывает список сверху вниз.
    3. В поле Действие установите действие Блокировать: запретить передачу, а затем

  5. Нажмите кнопку Сохранить.

Другой способ заключается в настройке списка разрешенных отправителей-получателей. Любой пользователь из списка разрешенных отправителей-получателей может отправлять сообщения любым пользователям и получать сообщения от любых пользователей без фильтрации. Однако при этом недоступны уведомления и карантин. (Для получения дополнительных сведений о списках разрешенных отправителей-получателей см. раздел «Списки разрешенных отправителей-получателей» на странице Фильтрация ключевых слов в программе FSOCS.)

Международные кодировки

FSOCS поддерживает фильтрацию по имени с использованием наборов символов не только английского языка. Например, сообщения с вложениями или строка темы, содержащие японские символы, слова или фразы, будут обрабатываться точно так же, как и наборы знаков английского языка.

Отчеты

Сообщения, отфильтрованные с помощью фильтра отправителей-получателей, указываются под заголовком Вирус или Фильтр в журнале происшествий. Сообщения, отфильтрованные с помощью фильтра отправителей-получателей, помечаются следующим образом: ОТПРАВИТЕЛЬ=<фильтр>. В журналах происшествий имя файла не указывается. В области карантина для текста и вложений указывается фильтр отправителей-получателей или строки темы.

Шаблоны наборов фильтров

Шаблоны наборов фильтров можно создать для использования в любом задании сканирования FSOCS. С заданием сканирования IM может быть связан один шаблон наборов фильтров, администраторы также могут создать несколько шаблонов наборов фильтров для использования на различных серверах. Шаблоны наборов фильтров могут создаваться для использования либо с фильтрами файлов, либо с фильтрами содержимого.

Создание шаблона набора фильтров

Начать следует с создания шаблона набора фильтров.

Создание шаблона набора фильтров
  1. Если шаблоны не отображаются, в меню Файл выберите пункт Шаблоны, а затем Просмотр шаблонов.

  2. Выберите команду Файл, а затем команды Шаблоны и Создать.

  3. В диалоговом окне Новый шаблон выберите команду Набор фильтров, введите имя набора и нажмите кнопку ОК. Длина имени должна составлять не более 19 знаков. В списке, расположенном в верхней области, появится новый шаблон набора фильтров. Далее можно приступать к его настройке.

Настройка шаблона набора фильтров

Созданный шаблон набора фильтров необходимо настроить.

Настройка шаблона набора фильтров
  1. В области ФИЛЬТРАЦИЯ списка выбора выберите Файл или Содержимое, в зависимости от требуемого типа набора фильтров.

  2. В верхней части области Фильтры файлов или Фильтры содержимого выберите имя шаблона набора фильтров для настройки.

  3. Чтобы добавить фильтр файлов или содержимого в шаблон набора фильтров, нажмите кнопку Добавить и укажите условие для этого фильтра. Шаблон набора фильтров может содержать несколько фильтров. Кроме того, в шаблон набора фильтров может входить сочетание фильтров файлов и фильтров содержимого.

  4. Нажмите кнопку Сохранить.

Связывание шаблона набора фильтров с заданием сканирования

После создания и настройки шаблона набора фильтров его необходимо связать с заданием сканирования. В процессе сканирования FSOCS будет сначала использовать шаблон набора фильтров, а затем другой параметр фильтрации, указанный при настройке задания сканирования.

Связывание шаблона набора фильтров с заданием сканирования
  1. В области ПАРАМЕТРЫ списка выбора выберите Шаблоны, а затем задание сканирования IM.

  2. В списке Набор фильтров, расположенном в нижней области, выберите шаблон набора фильтров, который требуется связать с заданием сканирования IM. С заданием сканирования можно связать один шаблон набора фильтров. Если требуется просмотреть содержимое шаблона набора фильтров, щелкните Просмотр набора фильтров. Нажмите кнопку со стрелкой влево в нижней части области, когда закончите просмотр содержимого.

  3. Нажмите кнопку Сохранить. Шаблон набора фильтров будет связан с заданием сканирования.

Note:
Чтобы отменить связь, повторите предшествующие действия и выберите в списке Набор фильтров значение Нет (или выберите другой шаблон набора фильтров).

Изменение шаблона набора фильтров

Параметры шаблона набора фильтров можно изменить.

Изменение шаблона набора фильтров
  1. В области ФИЛЬТРАЦИЯ списка выбора щелкните Файл или Содержимое.

  2. В верхней части области Фильтры файлов или Фильтры содержимого выберите шаблон набора фильтров.

  3. Выберите в нижней области фильтр, параметры которого требуется изменить.

  4. Нажмите кнопку Изменить и внесите требуемые изменения в соответствующие поля выбранной области. После завершения нажмите кнопку Сохранить.

Note:
Созданные фильтры файлов отображаются в разделе Имена файлов, и их можно изменять. Шаблоны наборов фильтров также отображаются, однако их нельзя выбрать для изменения в разделе Имена файлов. Чтобы изменить шаблон набора фильтров, необходимо выбрать его в верхней области. Если шаблон набора фильтров связан с некоторым заданием сканирования, содержимое набора не отображается в области, пока в разделе Файл строки меню не выбран параметр Просмотр шаблонов.

Удаление шаблона набора фильтров

Шаблон набора фильтров можно удалить.

Удаление шаблона набора фильтров
  1. Если шаблон набора фильтров связан с заданием сканирования, сначала нужно удалить эту связь. Выполните действия, приведенные в разделе Связывание шаблона набора фильтров с заданием сканирования, после чего либо выберите значение связи Нет, либо выберите другой шаблон набора фильтров для этой связи.

  2. В области Параметры шаблона списка заданий выберите набор фильтров.

  3. В меню Файл выберите команды Шаблоны и Удалить.

  4. Подтвердите удаление.

Переименование шаблона набора фильтров

Имя шаблона набора фильтров можно изменить.

Переименование шаблона набора фильтров
  1. В области Параметры шаблона списка заданий выберите набор фильтров.

  2. В меню Файл выберите команды Шаблоны и Переименовать.

  3. В диалоговом окне Переименование шаблона введите новое имя шаблона. Длина имени должна составлять не более 19 знаков.

  4. Нажмите кнопку ОК.

Распространение шаблонов наборов фильтров на удаленные серверы

Чтобы вручную установить шаблоны наборов фильтров на удаленных серверах, можно запустить команду FSCStarter из командной строки.

Синтаксис команды FSCStarter следующий:

FSCStarter t[параметры] [\имя_сервера]

Параметр t означает, что команда FSCStarter должна считать настройки из файла Template.fdb и использовать их для указанного сервера.

Дополнительные сведения о команде FSCStarter см. в подразделе «Развертывание именованных шаблонов» раздела Шаблоны FSOCS.

Например, чтобы обновить параметры фильтра содержимого на сервере server1, необходимо ввести следующую команду:

FSCStarter tc \server1