Дополнительные IM

Добавление дополнительных диагностических сообщений в файл programlog.txt для IM. По умолчанию этот параметр отключен. . Применяется совместно с параметром Включить журнал программы Forefront — общим параметром из раздела Ведение журнала. Дополнительные сведения об этом параметре см. в разделе Данные, заносимые в журнал программы.

Уведомлять при запуске

Указывает, что приложение FSOCS должно отправлять уведомление по всем адресам электронной почты из списка администраторов вирусов при запуске сканера. По умолчанию этот параметр отключен.

Включить журнал событий

Включение регистрации событий FSOCS в журнале событий. По умолчанию этот параметр включен.

Включить системный монитор и статистику

Включение ведения статистики производительности FSOCS в оснастке «Производительность». По умолчанию этот параметр включен.

Включить журнал приложения Forefront

Включение журнала приложения Forefront (ProgramLog.txt). По умолчанию этот параметр включен. Применяется совместно с параметром Дополнительные IM — общим параметром из раздела Диагностика. Дополнительные сведения об этом параметре см. в разделе Данные, заносимые в журнал программы.

Включить журнал вирусов Forefront

Включение журнала вирусов Forefront (VirusLog.txt). По умолчанию этот параметр отключен.

Включить регистрацию происшествий

Включение регистрации происшествий для задания сканирования IM. По умолчанию этот параметр включен. Отключение этого параметра предотвращает внесение записей в область Выполнить задание списка выбора ВЫПОЛНИТЬ или область Происшествия списка выбора ОТЧЕТЫ.

Макс. размер журнала программы

Указывает максимальный размер журнала программы. Размер указывается в килобайтах (КБ). Минимальный размер составляет 512 КБ. Значение 0 (по умолчанию) означает отсутствие ограничения для максимального размера. По умолчанию используется значение 25 600 КБ.

Сервер распространения

Определяет центральный сервер для распространения обновлений сканера по другим серверам. По умолчанию этот параметр отключен. Дополнительные сведения см. в разделе Обновление FSOCS.

Обновлять при запуске

Указывает, что обновление антивирусных ядер должно выполняться автоматически при каждом запуске FSOCS. По умолчанию этот параметр отключен.

Отправлять уведомление об обновлении

Указывает, что при каждом обновлении антивирусного ядра администратору вирусов отправляется уведомление. По умолчанию этот параметр отключен. Дополнительные сведения о настройке уведомлений для администраторов см. в разделе Уведомления о событиях FSOCS.

Использовать параметры прокси-сервера

Указывает на необходимость использования параметров прокси-сервера при получении обновлений антивирусного сканера. По умолчанию этот параметр отключен, если в процессе установки не было выбрано использование параметров прокси-сервера. Дополнительные сведения см. в подразделе «Обновление программы проверки файлов через прокси-сервер» раздела Обновление FSOCS.

Использовать учетные данные UNC

Указывает на необходимость использования учетных данных в формате UNC при получении обновлений антивирусного сканера. По умолчанию этот параметр отключен. Дополнительные сведения см. в разделе Обновление FSOCS.

Имя/IP-адрес прокси-сервера

Имя или IP-адрес прокси-сервера. Обязательное поле, если при получении обновлений антивирусного сканера используются параметры прокси-сервера. Если в процессе установки было выбрано использование параметров прокси-сервера, в этом поле будет находиться значение, введенное при установке.

Порт прокси-сервера

Номер порта прокси-сервера. Обязательное поле, если при получении обновлений антивирусного сканера используются параметры прокси-сервера. Порт по умолчанию — 80. Если при установке было выбрано использование параметров прокси-сервера, в этом поле будет находиться значение, введенное при установке.

Имя пользователя прокси-сервера

Имя пользователя, имеющего права доступа к прокси-серверу, если это необходимо. Необязательное поле.

Пароль для прокси-сервера

Пароль для этого имени пользователя (если необходимо). Необязательное поле.

Имя пользователя UNC

Имя пользователя, имеющего права доступа к UNC-пути, если это необходимо. Необязательное поле.

Пароль UNC

Пароль, соответствующий имени пользователя UNC, если необходимо. Необязательное поле.

Удалять поврежденные сжатые файлы

Указывает, нужно ли удалять поврежденные сжатые файлы. Поврежденный сжатый файл имеет архивный или сжатый тип файла, не удовлетворяющий требованиям стандарта для данного типа. Обычно внутри таких файлов заданы неправильные заголовки или размер файла превышает ограничение, установленное в FSOCS.

При обнаружении поврежденного сжатого файла FSOCS регистрирует его как вирус «CorruptedCompressedFile». По умолчанию этот параметр включен.

Помещение таких файлов на карантин определяется индивидуальными параметрами задания сканирования. По умолчанию поврежденные файлы будут помещены на карантин. Чтобы отключить помещение на карантин данного типа файлов, можно создать новый параметр реестра с именем QuarantineCorruptedCompressedFiles. Этот параметр должен иметь тип DWORD и его значение должно быть установлено в 0.

Note:
Дополнительно к вирусам типа CorruptedCompressedFile данный параметр управляет также следующими типами файлов.

• UnwritableCompressedFile — тип поврежденного сжатого файла, содержимое которого не может быть правильно изменено (очищено или удалено) или правильно вставлено сканерами обратно в архив из-за повреждения самого файла.
  
  
• UnReadableCompressedFile — тип поврежденного сжатого файла, содержимое которого не может быть правильно прочитано из архива из-за повреждения самого архива.
  
  

Удалять поврежденные файлы UUEncode

Указывает, нужно ли удалять поврежденные файлы UUEncode. Как правило, поврежденными считаются те файлы UUEncode, которые не могут быть проанализированы программой FSOCS. Приложение FSOCS сообщает о таких файлах как о вирусе CorruptedCompressedUuencodeFile. По умолчанию этот параметр включен.

Удалять зашифрованные сжатые файлы

Указывает, нужно ли удалять зашифрованные сжатые файлы, содержащие в себе по крайней мере один зашифрованный элемент (зашифрованные файлы не могут сканироваться антивирусными ядрами). По умолчанию этот параметр отключен. Приложение FSOCS сообщает о таких файлах как о вирусе EncryptedCompressedFile.

Обрабатывать архивы ZIP, которые содержат файлы с высокой степенью сжатия, как поврежденные сжатые файлы

Указывает, нужно ли обрабатывать архивы ZIP, которые содержат файлы с высокой степенью сжатия, как поврежденные сжатые файлы. Если установлен флажок Удалять поврежденные сжатые файлы, а архив признается поврежденным сжатым файлом, такой архив удаляется. Если флажок Удалять поврежденные сжатые файлы снят, файлы, содержащиеся в архиве ZIP, передаются антивирусным ядрам для проверки в сжатом виде. Сам архив ZIP также передается антивирусным ядрам. Если в результате проверки вирусы не обнаружены, сообщение будет доставлено. Если вирус можно обезвредить, сообщение будет доставлено. Если вирус невозможно обезвредить, сообщение будет удалено. Если для сжатия файла применялся неизвестный алгоритм, файл будет считаться поврежденным сжатым файлом независимо от значения данного параметра. По умолчанию этот параметр включен (т. е. архивы ZIP, содержащие файлы с высокой степенью сжатия, будут считаться поврежденными сжатыми файлами).

Обрабатывать многотомные архивы RAR как поврежденные сжатые файлы

Файл в архиве RAR может храниться в нескольких файлах или томах (такой архив называется многотомным). Благодаря этому большие файлы можно разбивать на файлы меньшего размера для упрощения передачи файлов. Этот параметр указывает, нужно ли обрабатывать архивы RAR, содержащие такие тома, как поврежденные сжатые файлы.

Отключение этого параметра обеспечит возможность получения таких файлов. Однако в этом случае, если вирус разделен между несколькими томами, он не будет обнаружен. Поэтому по умолчанию этот параметр включен.

Если установлен флажок Удалять поврежденные сжатые файлы, а архив признается поврежденным сжатым файлом, такой архив удаляется. Если флажок Удалять поврежденные сжатые файлы снят, антивирусным ядрам для проверки передается только полностью весь архив RAR. Если в результате проверки архива вирусы не обнаружены, сообщение будет доставлено. Если вирус найден и его можно обезвредить, сообщение будет доставлено. Если вирус найден и его невозможно обезвредить, сообщение будет удалено. По умолчанию этот параметр включен.

Note:
При использовании многотомных архивов RAR для сжатия файлов, размер которых превышает 100 МБ в несжатом виде, следует учитывать значение параметра реестра MaxUncompressedFileSize. Дополнительные сведения см. разделе Разделы реестра FSOCS.

Рассматривать сцепленные GZIP-файлы как поврежденные сжатые файлы

Несколько GZIP-файлов могут быть объединены в один файл. Приложение FSOCS распознает сцепленные GZIP-файлы, однако оно не может распознавать отдельные файлы, разделенные между несколькими объединенными GZIP-файлами. Поэтому по умолчанию сцепленные GZIP-файлы обрабатываются как поврежденные сжатые файлы. Сочетание этого параметра и параметра Удалять поврежденные сжатые файлы позволит избежать пропускания всех сцепленных GZIP-файлов и, тем самым, предотвратить возможное заражение.

Чтобы разрешить получение сцепленных GZIP-файлов, отключите параметр Рассматривать сцепленные GZIP-файлы как поврежденные сжатые файлы. Однако в этом случае вирус может быть не обнаружен.

Сканировать файлы Doc как контейнеры — IM

Указывает, что при выполнении заданий сканирования IM, заданных вручную, необходимо сканировать DOC-файлы и другие файлы, где используется структурированная система хранения данных и вложенный формат данных OLE (например, XLS, PPT или SHS), как файлы-контейнеры. Это обеспечивает сканирование всех внедренных файлов, поскольку потенциально они могут быть носителями вирусов. По умолчанию этот параметр отключен.

Фильтрация ключевых слов с учетом регистра

Указывает, что фильтрация ключевых слов должна выполняться с учетом регистра. По умолчанию этот параметр отключен (т.е. фильтрация выполняется без учета регистра).

Включить Forefront

Разрешает администраторам включать или отключать задание FSOCS. Возможные значения: Отключить и Включить (значение по умолчанию). После изменения этого параметра необходимо перезапустить службы FSOCS. Дополнительные сведения о перезапуске служб см. в подразделе «Перезапуск служб FSOCS» раздела Службы FSOCS.

Счетчик процессов IM

Используется для изменения количества процессов сканирования, используемых программой FSOCS. Значение по умолчанию — 4. Используя Forefront Server Security Administrator, можно создавать до 10 процессов IM. Если необходимо большее число процессов (максимум 25), можно указать их число, изменив значение раздела регистра IMProcessCount. Он находится в следующем месте: HKLM\SOFTWARE\Microsoft\Forefront Server Security\Office Communications Server. Если число процессов было изменено, необходимо перезапустить службы FSOCS. Дополнительные сведения об этом параметре см. в разделе Задание сканирования IM.

Действие при ошибке модуля

Этот параметр позволяет администраторам задавать действие, которое приложение FSOCS должно выполнять в случае ошибки антивирусного ядра. Примеры ошибок ядра: исключение антивирусного ядра, избыточные операции чтения или записи, обнаружение вируса без имени вируса, множественные ошибки антивирусного ядра и ошибки с другими кодами, возвращаемыми ядром. Возможны следующие значения.

• Игнорировать — регистрирует сообщение об ошибке в журнал программы.
  
  
• Пропустить: только обнаружение — заносит сообщение об ошибке в журнал программы и отображает в пользовательском интерфейсе сообщение об ошибке модуля с состоянием Обнаружен.
  
  
• Удалить — заносит сообщение об ошибке в журнал программы, удаляет файл, вызвавший ошибку, и отображает в интерфейсе пользователя сообщение об ошибке модуля с состоянием Удален.
  
  
• Файл, вызвавший ошибку антивирусного ядра, всегда помещается на карантин. Значение по умолчанию: Удалить.
  
  

Действие по истечении времени ожидания сканирования мгновенных сообщений

Определяет действие, которое следует предпринимать в случае по истечении времени ожидания задания сканирования IM при сканировании файла. Возможны следующие значения.

• Игнорировать — файл будет пропущен без сканирования.
  
  
• Пропустить — вносит в журнал происшествий и журнал программы запись о превышении времени сканирования файла и пропускает файл без сканирования.
  
  
• Удалить — регистрирует событие и заменяет содержимое файла текстом для удаления.
  
  
• Копия файла сохраняется в базе данных карантина, если включен режим карантина и значение параметра Действие по истечении времени ожидания сканирования мгновенных сообщений равно Пропустить или Удалить. Значение по умолчанию: Удалить.
  
  

Макс. число заражений в файле-контейнере

Этот параметр определяет максимальное допустимое число заражений в сжатом файле. В случае превышения этого числа весь файл удаляется, в журнал вносится запись о происшествии, сообщающая, что обнаружен вирус ExceedinglyInfected. Если выбрано значение параметра 0, то при обнаружении одного заражения будет удален весь контейнер. В этом случае к тексту сообщения о происшествии добавляется фраза «Контейнер удален». Значение по умолчанию: 5.

Макс. размер файла-контейнера

Этот параметр определяет максимальный размер файла-контейнера (в байтах), который приложение FSOCS попытается очистить или восстановить в случае обнаружения зараженного файла. Значение по умолчанию: 26 МБ (26 214 400 байт). Зараженные файлы или файлы, отвечающие правилам фильтрации файлов, будут удалены, если их размер превышает максимальный, при условии, что действие Задание сканирования IM было установлено в Удалить или Очистить. Приложение FSOCS сообщает о таких файлах как о вирусе LargeInfectedContainerFile.

Макс. число вложений

Определяет максимальное количество вложенных документов в документах типа MSG, TNEF, MIME и UUENCODE. Это ограничение включает суммарное число вложений файлов всех этих типов. В случае превышения максимального числа приложение FSOCS заблокирует или удалит документ и сообщит об обнаружении вируса ExceedinglyInfected. Значение по умолчанию: 30.

Макс. число вложенных сжатых файлов

Этот параметр определяет максимальный уровень вложенности в сжатом файле. В случае превышения этого числа весь файл удаляется, а приложение FSOCS отправляет уведомление о том, что обнаружен вирус ExceedinglyNested. Нулевое значение означает, что вложенность не ограничена. Значение по умолчанию: 5.

Макс. время сканирования контейнера (мсек) — IM

Время в миллисекундах (мсек), в течение которого задание сканирования в реальном времени или задание сканирования IM будет сканировать сжатое вложение, прежде чем сообщить о вирусе ScanTimeExceeded. Это ограничение вводится для предотвращения отказа в обслуживании вследствие атак типа «zip of death». Значение по умолчанию: 120 000 мсек (2 минуты).

Внутренний адрес

В приложении FSOCS предусмотрена возможность отправки различных уведомлений внутренним и внешним отправителям и получателям. Если список внутренних имен небольшой, в поле Внутренний адрес следует ввести имена доменов для отправки внутренних уведомлений. Домены следует вводить в виде списка без пробелов, с точкой с запятой в качестве разделителя (например: contoso.com; fabrikam.com; fineartschool.net). Измененное значение немедленно начинает учитываться при отправке уведомлений о вирусах.

При вводе имени домена в поле Внутренний адрес учитывайте, что будут включены и дочерние домены.

Например, при вводе domain.com также будут включены дочерние домены subdomain.domain.com и subdomain2.domain.com.

Дополнительные домены, например domain.net или domain.org, необходимо указывать отдельно.

Значения, введенные в поле Внутренний адрес, используются для поиска совпадений окончания адреса электронной почты. Например, если введен домен mple.com, то адреса someone@example.com и someone@abcdef123example.com будут считаться внутренними адресами.

Если в качестве внутренних адресов используется большое количество доменов, введите их в текстовый файл Domains.dat, а поле Внутренний адрес оставьте пустым. Пустой файл Domains.dat создается во время установки в папке DatabasePath. В этот текстовый файл следует ввести все внутренние домены, по одному в каждой строке. В отличие от поля Внутренний адрес все дочерние домены следует указывать отдельно.

Чтобы использовать внешний файл Domains.dat, необходимо присвоить параметру реестра UseDomainsDat значение 1 (по умолчанию используется значение 0). Дополнительные сведения см. разделе Разделы реестра FSOCS.

Note:
Перезагрузка файла Domains.dat выполняется ежедневно в 2:00. Изменения, внесенные в файл, вступают в действие в это время.

Дополнительные сведения о внутренних адресах и уведомлениях см. в разделе Уведомления о событиях FSOCS.

Сервер передачи

Задает сервер передачи, используемый для уведомлений по электронной почте администратора и для доставки сообщений, помещенных на карантин.

Имя пользователя

Задает имя пользователя, имеющего права доступа к назначенному серверу передачи. Это необязательное имя отображается в поле уведомления ОТ. Если все поля этого раздела (помимо поля «Сервер передачи») являются незаполненными, в поле ОТ отображается следующее:

ForefrontServerSecurity@<имя_компьютера>.com

где <имя_компьютера> является именем сервера, на котором работает Forefront.

Пароль

Задает пароль для назначенного пользователя. Если это необязательное поле не заполнено, аутентификация указанного пользователя не проводится.

Параметр

Описание

Использовать учетные данные службы ForefrontRTCProxy

Указывает, следует ли агенту уведомлений с помощью мгновенных сообщений использовать пользовательские учетные данные, указанные пользователем. Если этот параметр включен, агент уведомлений с помощью мгновенных сообщений использует такие же учетные данные, что и служба ForefrontRTCProxy при входе на сервер OCS. По умолчанию данный параметр включен для ролей сервера, не являющимся пограничным.

Транспорт

Выберите значение «TLS» или «TCP». Рекомендуется использовать протокол TLS — защищенный, основанный на сертификате канал соединения. Протокол TCP является незащищенным каналом соединения.

Имя пользователя

Указывает имя пользователя, которому разрешен обмен сообщениями IM и который, следовательно, используется для отправления уведомлений IM. Имя пользователя вводится в формате домен\имя_пользователя.

Пароль

Задает пароль для назначенного пользователя. Если это необязательное поле не заполнено, аутентификация указанного пользователя не проводится. Чтобы была возможна аутентификация в службе каталогов Active Directory организации, пароль должен совпадать с паролем указанного пользователя.

Универсальный код ресурса (URI) протокола SIP

Указывает универсальный код ресурса (URI) протокола SIP для агента уведомлений, как это указано в настройках службы каталогов Active Directory.

Домашний сервер или сервер пула

Указывает сервер, к которому следует подключиться пользователю для отправки мгновенных сообщений. На серверах с ролью Director и серверах, обслуживающих клиентские запросы, это имя пула, в котором расположен пользователь на сервере Standard Edition. На пограничном сервере — это имя сервера Director.