Проверка на наличие вредоносных программ может быть отключена глобально для целей устранения неполадок или в случае, когда механизм проверки, встроенный в Forefront TMG, заменяется фильтром стороннего поставщика. Например, можно отключить проверку наличия вредоносных программ, чтобы определить, не повысит ли такое отключение производительность системы.

Когда проверка наличия вредоносных программ в системе включена, ее можно включать отдельно в каждом правиле доступа для HTTP-трафика, разрешенного соответствующим правилом.

Поведение фильтра проверки наличия вредоносных программ можно настраивать. В частности, можно настроить фильтр так, чтобы при включенной проверке наличия вредоносных программ выполнялись следующие действия:

• Пытаться очистить зараженные файлы: по умолчанию этот параметр включен.
  
  
• Блокировать файлы с низким и средним уровнем угрозы: уровни угроз, обнаруживаемых в ходе проверки наличия вредоносных программ, определяются как малый, средний, высокий и критический. По умолчанию блокируются только файлы высокого и критического уровня угрозы. Файлы, уровень угрозы для которых определен как низкий или средний, не считаются опасными.
  
  
• Блокировать подозрительные файлы: по умолчанию этот параметр включен.
  
  
• Блокировать поврежденные файлы: по умолчанию этот параметр отключен.
  
  
• Блокировать файлы, проверка которых невозможна: по умолчанию этот параметр отключен.
  
  
• Блокировать зашифрованные файлы: по умолчанию этот параметр включен.
  
  
• Блокировать файлы, если время сканирования превышает (секунд): по умолчанию, если время сканирования превышает 300 секунд, сканирование останавливается, и файл блокируется.
  
  
• Блокировать файлы, размер которых превышает (МБ): по умолчанию файлы размером свыше 1000 МБ блокируются без сканирования.
  
  
• Блокировать архивные файлы, если размер распакованного содержимого превышает (МБ): по умолчанию архивы, размер содержимого которых после распаковки превышает 4095 МБ, блокируются без сканирования.
  
  
• Блокировать файлы, если глубина вложенности архива превышает: по умолчанию архивы, уровень вложенности которых превышает 20, блокируются без сканирования.
  
  

Для угроз, обнаруживаемых в ходе проверки наличия вредоносных программ, определено четыре уровня:

• Низкий
  
  
• Средний
  
  
• Высокий
  
  
• Критический
  
  

По умолчанию фильтр проверки наличия вредоносных программ не блокирует содержимое с низким и средним уровнем угрозы.

Может возникнуть потребность исключить из проверки наличия вредоносных программ доверенные веб-узлы с большим объемом данных с целью повышения производительности. Исключить из проверки наличия вредоносных программ можно весь трафик, обусловленный запросами к следующим типам пунктов назначения:

• IP-адреса. IP-адреса пунктов назначения, принадлежащие конкретным сетевым объектам, могут быть исключены из проверки наличия вредоносных программ. Весь HTTP-трафик, обусловленный запросами к IP-адресам, которые принадлежат сетевым объектам, перечисленным в списке исключений, не будет сканироваться или каким-образом затрагиваться функциями проверки наличия вредоносных программ. В этот список могут включаться такие сетевые объекты как компьютеры, наборы компьютеров, сети, наборы сетей, подсети и диапазоны IP-адресов.
  
  
• Наборы доменных имен. Доменные имена, входящие в один или несколько наборов доменных имен, могут быть исключены из проверки наличия вредоносных программ. Весь HTTP-трафик, обусловленный запросами к доменным именам, которые входят в набор доменных имен, указанный в списке исключений, не будет сканироваться на наличие вредоносных программ.
  
  
• Наборы URL-адресов. URL-адреса, входящие в один или несколько наборов URL-адресов, могут быть исключены из проверки наличия вредоносных программ. Весь HTTP-трафик, обусловленный запросами к URL-адресам, которые входят в набор URL-адресов, указанный в списке исключений, не будет сканироваться на наличие вредоносных программ.
  
  

Пункты назначения, исключенные из проверки наличия вредоносных программ, задаются на вкладке Исключения диалогового окна Проверка наличия вредоносных программ. По умолчанию предопределенный набор доменных имен «Веб-узлы, исключенные из проверки наличия вредоносных программ» содержит следующие узлы:

• *.microsoft.com.
  
  
• *.windowsupdate.com
  
  
• *.windows.com
  
  

Исключения из проверки наличия вредоносных программ имеют приоритет над параметрами правил политики. Исходящий и входящий трафик этих пунктов назначения не будет исследоваться ни при каких обстоятельствах.

Исключать из проверки наличия вредоносных программ следует только заслуживающие доверия веб-узлы. Избегайте исключения веб-узлов, содержимое которых исходит от пользователей (например форумы). Следует также настороженно относиться к веб-узлам, с которых пользователи часто загружают файлы огромного размера путем отправки запросов на диапазон, поскольку вредоносный веб-узел может попытаться атаковать организацию, использующую ISA с проверкой наличия вредоносных программ, при помощи таких запросов на диапазон. Метод атаки следующий:

• Прежде чем отправлять вредоносное содержимое, веб-узел зарабатывает хорошую репутацию, предоставляя популярное содержимое в файлах огромного размера. На этом этапе веб-узел вынуждает пользователей из организации, которую предстоит атаковать, использовать запросы на диапазон - например путем разрыва тех подключений, в которых пользователи пытаются загрузить содержимое без запросов на диапазон.
  
  
• Когда оператор веб-узла уверяется, что организация, являющаяся целью атаки, исключила данный веб-узел из проверки наличия вредоносных программ, он передает вредоносное содержимое в ответ на запросы на диапазон от этой организации.
  
  

По умолчанию Forefront TMG использует папку %SystemRoot%\Temp для временного накопления и хранения файлов с целью проверки наличия вредоносных программ. Место временного хранения файлов для проверки наличия вредоносных программ можно изменить в консоли управления Forefront TMG.

Поскольку проверка наличия вредоносных программ может вызвать некоторую задержку в доставке содержимого с сервера клиенту, Forefront TMG осуществляет ускоренную предварительную передачу содержимого по мере прохождения файлами проверки, чтобы пользователи испытывали меньше неудобств в ходе проверки. Вместо этого Forefront TMG может отправлять уведомления о ходе выполнения проверки для указанных типов файлов, чтобы информировать пользователя во время этой задержки о том, что происходит.

Параметры доставки содержимого включают следующее:

• Включение и отключение отправки уведомлений о ходе проверки для заданных типов содержимого.
  
  
• Список типов MIME-содержимого и расширений файлов, для которых будут отправляться уведомления о ходе проверки, если отправка таких уведомлений включена.
  
  

Для получения более подробных сведений об ускоренной предварительной передаче и уведомлениях о ходе проверки см. Доставка содержимого.

Forefront TMG предусматривает возможность автоматической отправки отчета о вредоносных программах, выявленных в ходе проверки, в Центр поддержки Response Center корпорации Майкрософт. В отчете указывается источник вредоносной программы, уровень угрозы и предпринятые меры. Также отчеты могут содержать образцы трафика и полные URL-адреса. Центр поддержки Response Center корпорации Майкрософт использует эти сведения для выявления возможных шаблонов атак с распространением вредоносных программ. Для получения дополнительных сведений см. Сообщение о вредоносных URL-адресах.