Веб-трафик может содержать вредоносные программы (например, черви, вирусы и шпионские программы). В состав Шлюз Microsoft Forefront Threat Management входят универсальные средства для проверки, очистки и блокирования опасного HTTP-содержимого и файлов. При включении проверки на наличие вредоносных программ загружаемые веб-страницы и файлы, разрешенные правилами политики, могут проходить проверку.

Проверка на наличие вредоносных программ выполняется с помощью фильтра проверки на наличие вредоносных программ (веб-фильтра). Проверке подлежит трафик, передаваемый по протоколу HTTP. В ходе проверки ПО клиента межсетевого экрана не задействуется.

Проверке подлежит тело любых HTTP-запросов и ответов вне зависимости от содержащейся в HTTP-заголовке команды. Если тело сжато, а схему кодирования распознать не удается, Forefront TMG не может выполнить проверку содержимого. HTTP-содержимое со сжатием GZIP может быть раскодировано, проверено и снова сжато.

При обнаружении вируса в файле или архиве (например, в файле ZIP, TAR или CAB) Forefront TMG попытается очистить файл, восстановить архив и переслать очищенный файл клиенту вместо зараженного. Если очистка файла невозможна, вместо него пользователь получает уведомление в виде текстового файла. Однако в случае передачи в потоковом режиме лечение файла или вывод вместо него текстового уведомления невозможны. В этом случае при обнаружении вредоносной программы загрузка прекращается.

Сценарии работы пользователя

Основной сценарий проверки на наличие вредоносных программ представляет собой загрузку содержимого, разрешенного правилами веб-доступа. В этом случае Forefront TMG может проверять веб-страницы и файлы, загружаемые по протоколу HTTP с внешних веб-узлов.

Когда веб-обозреватель посылает разрешенный запрос на открытие веб-страницы, сперва загружается запрошенная страница, а затем посылается большое количество запросов на получение внедренных элементов, включая изображения, скрипты и файлы других типов. Каждый внедренный элемент загружается в виде отдельного файла.

Если на веб-странице имеется ссылка на исполняемый файл, пользователь может щелкнуть эту ссылку и затем выбрать команду Сохранить как для сохранения объекта.

Определения вредоносных программ и их обновление

При проверке на наличие вредоносных программ Forefront TMG использует определения известных вирусов, червей и других вредоносных программ. Определения можно загрузить из Центра обновления Майкрософт через Интернет. Forefront TMG производит автоматическую проверку наличия и загрузку новых и обновленных определений в соответствии с расписанием обновления, настраиваемым пользователем. В любой момент можно дать Forefront TMG команду на проверку наличия новых и обновленных определений. Доступ к графику загрузки обновлений можно получить в узле Центр обновления консоли управления Forefront TMG. При выборе этого узла в области сведений отображаются время последней проверки обновлений, время загрузки и установки последнего обновления, а также состояние последней попытки проверки обновлений.

По умолчанию загрузка обновлений производится каждые 15 минут. С помощью мастера начальной настройки можно изменить расписание получения обновлений. Дополнительные сведения о настройке расписания для обновления определений вредоносных программ см. в разделе Настройка параметров обновления.

Примечание.
В соответствии с требованиями Майкрософт, для обновления определений вредоносных программ по истечении 90-дневного ознакомительного периода необходима лицензия.

Загрузка обновлений происходит и при отключении проверки на наличие вредоносных программ. Если вы не хотите, чтобы Forefront TMG выполнял проверку и загрузку обновлений для проверки наличия вредоносных программ, действуйте, как описано в процедуре настройки параметров обновления определений наличия вредоносных программ, и на вкладке Обновления определений в разделе Действие по автоматическому обновлению выберите Не выполнять.

Настройка

Поведение фильтра проверки на наличие вредоносных программ можно изменить. В частности, можно настроить следующие действия, выполняемые в случае, если проверка на наличие вредоносных программ включена.

  • Пытаться очистить зараженные файлы. По умолчанию этот параметр включен.

  • Блокировать файлы низкого и среднего уровня угрозы. Уровень угрозы, обнаруженной в ходе проверки на наличие вредоносных программ, может быть низким, средним, высоким или критическим. По умолчанию файлы с высоким и критическим уровнем угрозы блокируются. Файлы с низким и средним уровнем угрозы не считаются опасными.

  • Блокировать подозрительные файлы. По умолчанию этот параметр включен.

  • Блокировать поврежденные файлы. По умолчанию этот параметр включен.

  • Блокировать файлы, проверка которых невозможна. По умолчанию этот параметр включен.

  • Блокировать все зашифрованные файлы. По умолчанию этот параметр включен.

  • Блокировать файлы, если время проверки превысило установленный пользователем предел. По умолчанию, если время проверки превышает 300 секунд, проверка завершается, и файл блокируется.

  • Блокировать файлы, размер которых в мегабайтах превышает установленный пользователем предел. По умолчанию файлы, размер которых превышает 1000 мегабайт, блокируется без проверки.

  • Блокировать архивы, распакованный размер которых в мегабайтах превышает установленный пользователем предел. По умолчанию файлы, размер которых после распаковки превышает 4095 мегабайт, блокируется без проверки.

  • Блокировать архивы, глубина вложенности которых превышает установленный пользователем предел. По умолчанию архивы, максимальная глубина вложенности которых превышает 20 уровней, блокируются без проверки.

Forefront TMG может автоматически отправлять сведения о случаях обнаружения вредоносных программ в ходе проверки в центр Microsoft Response Center. В отчеты включается информация об источнике вредоносной программы, уровне угрозы и предпринятом действии, а также могут включаться образцы трафика и полные URL-адреса. Эти сведения используются центром Microsoft Response Center для выявления возможных схем распространения вредоносных программ. Дополнительные сведения см. в разделе Сообщение о вредоносных URL-адресах.

Исключения из проверки на наличие вредоносных программ

Возможна ситуация, когда администратор решает исключить из проверки доверенные веб-узлы, создающие большой объем трафика, с целью повышения производительности. Любой трафик, передаваемый в ответ на запросы к следующим типам назначения, может быть исключен из проверки на наличие вредоносных программ.

  • IP-адреса. IP-адреса назначения, относящиеся к определенным сетям, могут быть исключены из проверки на наличие вредоносных программ. Весь трафик, передаваемый в ответ на запросы к IP-адресам, которые относятся к внесенным в список исключений объектам сети, не будет проходить проверку на наличие вредоносных программ или подвергаться иным воздействиям. В список сетевых объектов могут быть включены компьютеры, наборы компьютеров, сети, наборы сетей, подсети и диапазоны IP-адресов.

  • Наборы доменных имен. Доменные имена, включенные в один или несколько наборов доменных имен, могут быть исключены из проверки на наличие вредоносных программ. Весь HTTP-трафик, передаваемый в ответ на запросы к доменным именам, которые включены во внесенные в список исключений наборы доменных имен, не будет проходить проверку на наличие вредоносных программ или подвергаться иным воздействиям.

По умолчанию в набор доменных имен «Веб-узлы, исключенные из проверки на наличие вредоносных программ» включены следующие веб-узлы:

  • *.microsoft.com

  • *.windowsupdate.com

  • *.windows.com

Исключения из проверки на наличие вредоносных программ переопределяет параметры правил политики. Входящий и исходящий трафик от этих мест назначения не проходит проверку.

Доставка содержимого

Так как при проверке на наличие вредоносных программ могут возникать задержки в доставке содержимого от сервера клиенту, Forefront TMG передает небольшие части содержимого в процессе проверки файлов для повышения удобства работы пользователей. Кроме того, Forefront TMG может посылать уведомления о выполнении проверки указанных типов файлов при длительной задержке.

Дополнительные сведения о передаче в потоковом режиме и уведомлениях о выполнении см. в разделе Доставка содержимого.

Параметры проверки на наличие вредоносных программ в правилах политики

Каждое правило веб-доступа имеет параметры проверки на наличие вредоносных программ. При создании любого правила для него можно включить проверку на наличие вредоносных программ. Можно указать, должна ли выполняться проверка содержимого, разрешенного в соответствии с правилом к загрузке клиентом с сервера.

Для правил системной политики проверка на наличие вредоносных программ отключена. Правило системной политики, разрешающее передачу трафика из сети локального узла во внешнюю сеть, позволяет работать в Интернете непосредственно с компьютера Forefront TMG. HTTP-содержимое, которое было получено в ответ на запрос, посланный непосредственно с компьютера Forefront TMG и разрешенный в соответствии с таким правилом системной политики, исключается из проверки на наличие вредоносных программ. По этой причине не рекомендуется работать в Интернете непосредственно с компьютера Forefront TMG. Веб-узлы, не имеющие доверия, можно блокировать путем добавления их в зону Ограниченные веб-узлы в веб-обозревателе Internet Explorer на компьютере Forefront TMG.

Статистика активности

Сведения о действиях по проверке на наличие вредоносных программ приводятся в следующих двух полях статистики активности Forefront TMG.

  • Проверено пакетов на наличие вредоносных программ

  • Блокировано пакетов при проверке на наличие вредоносных программ

Поля журнала, связанные с проверкой на наличие вредоносных программ

В следующей таблице представлены поля журнала, связанные с проверкой на наличие вредоносных программ, и возможные значения для каждого поля.

Имя поля (средство просмотра журналов) Возможные значения

Метод доставки содержимого
  • Уведомления о выполнении

  • Быстрая потоковая передача

  • Обычная потоковая передача

Malware Inspection Result (Результат проверки вредоносных программ)
  • Поврежденный файл

  • Destination Included in Malware Inspection Exceptions List (Назначение включено в список исключений из проверки вредоносных программ)

  • Зашифрованный файл

  • Зараженный файл

  • Low and Medium Level Threats Not Blocked (Незаблокированные угрозы низкого и среднего уровней)

  • Malware Inspection Disabled (Проверка вредоносных программ отключена)

  • Malware Inspection Disabled for the Matching Policy Rule (Проверка вредоносных программ отключена для соответствующего правила политики)

  • Malware Inspection Disabled for the Matching Policy Rule (Проверка вредоносных программ отключена для соответствующего правила веб-цепочки)

  • Превышена глубина вложенности архива

  • Превышен максимальный размер

  • Maximum Unpacked File Size Exceeded (Превышен максимальный размер нераспакованного файла)

  • No Violation Detected (Нарушений не обнаружено)

  • Request Served by Malware Inspection Web Filter (Запрос обслужен веб-фильтром проверки вредоносных программ)

  • Request/Response Pair Identified as Exempted Protocol Message (Пара вопрос-ответ является недопустимым сообщением протокола)

  • Response Identified as a 200 Response to a CONNECT Request (На запрос CONNECT получен ответ с кодом статуса 200)

  • Response Originated from Proxy Server (Запрос получен от прокси-сервера)

  • Response Scanned Before Being Routed by CARP (Ответ проверен перед передачей по протоколу CARP)

  • Storage Space Limit Exceeded (Превышен предельный размер дискового пространства)

  • Подозрительный файл

  • Время ожидания вышло

  • Неизвестно

  • Неизвестная кодировка

Действие по проверке на наличие вредоносных программ
  • Разрешено

  • Блокировано

  • Очищено

Продолжительность проверки на наличие вредоносных программ

Время в миллисекундах (0, если не задано)

Имя угрозы

Описание угрозы

Уровень угрозы
  • Низкий

  • Средний

  • Высокий

  • Критический

Отчеты

В Forefront TMG возможно создание отчетов по проверке наличия вредоносных программ, где отображаются названия современных угроз, имена пользователей и веб-узлов, с которыми связано наибольшее число подозрительных происшествий, статистические данные о фильтре вредоносных программ и ежедневная сводка по действиям вредоносных программ.

События и оповещения

В следующей таблице перечислены события, связанные с проверкой на наличие вредоносных программ.

Код события Описание события

23416

Служба межсетевого экрана (Microsoft) успешно создала новую папку накопления имя_папки.

23417

Службе межсетевого экрана (Microsoft) не удалось создать новую папку накопления имя_папки.

23459

Превышен максимальный размер дискового пространства, выделенный для накопления фильтру проверки наличия вредоносных программ. Запросы, генерирующие это событие, блокируются.

Если проблема возникнет повторно, увеличьте размер дискового пространства для накопления.

23460

Фильтру проверки наличия вредоносных программ требуется для накопления больше места, чем доступно на диске. Запросы, генерирующие это событие, блокируются.

Если проблема возникнет повторно, переместите папку накопления на диск большего объема или замените диск на более вместительный.

23461

Превышен предел накопления для проверки наличия вредоносных программ в отношении клиента адрес_клиента. Запросы, генерирующие это событие, блокируются.

23462

Проверка наличия вредоносных программ включена по крайней мере в одном правиле доступа или веб-публикации, но ее нельзя выполнить, поскольку не включена ункция проверки наличия вредоносных программ.

23463

Фильтр проверки наличия вредоносных программ обнаружил вредоносное содержимое и либо удалил его, либо заблокировал сообщение. Подробные сведения см. в журнале веб-прокси.

23464

Фильтру проверки наличия вредоносных программ не удалось загрузить файл шаблона уведомления о ходе выполнения имя_файла.

23465

Содержимое было проверено, но клиент не нажал кнопку «Загрузить» на странице с уведомлением о выполнении в течение назначенного времени.

23466

Время, прошедшее с момента обновления используемых фильтром проверки наличия вредоносных программ определений, превышает рекомендованный предел кол-во_дней. Эффективность проверки может быть снижена, пока не будет произведено обновление определений. Причиной может служить истечение срока действия лицензии или невозможность подключения к Центру обновления Майкрософт. Для выявления причин изучите соответствующие события.

23467

Фильтр проверки наличия вредоносных программ успешно загрузил определения из папки имя_папки. Версии загруженных файлов:

Сведения о файле

23468

Не удалось загрузить определения для проверки наличия вредоносных программ из папки имя_папки.

23469

Фильтру проверки наличия вредоносных программ не удалось удалить папку имя_папки, содержащую определения, которые были заменены более новыми версиями. Фильтр проверки наличия вредоносных программ попытается удалить папку при следующем запуске службы межсетевого экрана (Microsoft).

23470

Срок действия одной или нескольких лицензий на службы подписки скоро истечет. Для получения дополнительных сведений о состоянии лицензий щелкните «Центр обновлений».

23471

Срок действия одной или нескольких лицензий на службы подписки истек. Для получения дополнительных сведений о состоянии лицензий щелкните «Центр обновлений».

23472

Фильтр проверки наличия вредоносных программ обнаружил попытку получения клиентом клиент1 содержимого, запрошенного клиентом клиент2 по коду загрузки, указанному в ходе проверки в уведомлении о выполнении. Код загрузки: код_загрузки.

Счетчики производительности проверки на наличие вредоносных программ

Счетчики производительности проверки наличия вредоносных программ отслуживают активность фильтра проверки наличия вредоносных программ. Дополнительные сведения о счетчиках производительности проверки на наличие вредоносных программ см. в разделе Счетчики производительности для защиты от вредоносных программ.