Веб-трафик может содержать вредоносное программное обеспечение (черви, вирусы и шпионские программы). В Шлюз Microsoft Forefront Threat Management имеется функция проверки наличия вредоносных программ, позволяющая сканировать, очищать и блокировать опасное содержимое и файлы. Такая проверка реализована с помощью фильтра проверки наличия вредоносных программ. Когда проверка наличия вредоносных программ включена, загружаемое веб-содержимое, разрешенное правилами доступа, может исследоваться на наличие вредоносного программного обеспечения.

Настройка проверки наличия вредоносных программ

Настройка проверки наличия вредоносных программ Forefront TMG производится при помощи следующих элементов управления:

  • Включение и отключение проверки наличия вредоносных программ

  • Параметры проверки наличия вредоносных программ

  • Исключения, не подлежащие проверке наличия вредоносных программ

  • Параметры временного хранилища

  • Параметры доставки содержимого

  • Включение и отключение отправки в корпорацию Майкрософт отчета о вредоносных программах, выявленных в ходе проверки

  • Параметры получения обновлений

Отключение проверки наличия вредоносных программ

Проверка на наличие вредоносных программ может быть отключена глобально для целей устранения неполадок или в случае, когда механизм проверки, встроенный в Forefront TMG, заменяется фильтром стороннего поставщика. Например, можно отключить проверку наличия вредоносных программ, чтобы определить, не повысит ли такое отключение производительность системы.

Когда проверка наличия вредоносных программ в системе включена, ее можно включать отдельно в каждом правиле доступа для HTTP-трафика, разрешенного соответствующим правилом.

Настройка параметров проверки наличия вредоносных программ

Поведение фильтра проверки наличия вредоносных программ можно настраивать. В частности, можно настроить фильтр так, чтобы при включенной проверке наличия вредоносных программ выполнялись следующие действия:

  • Пытаться очистить зараженные файлы: по умолчанию этот параметр включен.

  • Блокировать файлы с низким и средним уровнем угрозы: уровни угроз, обнаруживаемых в ходе проверки наличия вредоносных программ, определяются как малый, средний, высокий и критический. По умолчанию блокируются только файлы высокого и критического уровня угрозы. Файлы, уровень угрозы для которых определен как низкий или средний, не считаются опасными.

  • Блокировать подозрительные файлы: по умолчанию этот параметр включен.

  • Блокировать поврежденные файлы: по умолчанию этот параметр отключен.

  • Блокировать файлы, проверка которых невозможна: по умолчанию этот параметр отключен.

  • Блокировать зашифрованные файлы: по умолчанию этот параметр включен.

  • Блокировать файлы, если время сканирования превышает (секунд): по умолчанию, если время сканирования превышает 300 секунд, сканирование останавливается, и файл блокируется.

  • Блокировать файлы, размер которых превышает (МБ): по умолчанию файлы размером свыше 1000 МБ блокируются без сканирования.

  • Блокировать архивные файлы, если размер распакованного содержимого превышает (МБ): по умолчанию архивы, размер содержимого которых после распаковки превышает 4095 МБ, блокируются без сканирования.

  • Блокировать файлы, если глубина вложенности архива превышает: по умолчанию архивы, уровень вложенности которых превышает 20, блокируются без сканирования.

Уровни угрозы

Для угроз, обнаруживаемых в ходе проверки наличия вредоносных программ, определено четыре уровня:

  • Низкий

  • Средний

  • Высокий

  • Критический

По умолчанию фильтр проверки наличия вредоносных программ не блокирует содержимое с низким и средним уровнем угрозы.

Исключения из проверки наличия вредоносных программ

Может возникнуть потребность исключить из проверки наличия вредоносных программ доверенные веб-узлы с большим объемом данных с целью повышения производительности. Исключить из проверки наличия вредоносных программ можно весь трафик, обусловленный запросами к следующим типам пунктов назначения:

  • IP-адреса. IP-адреса пунктов назначения, принадлежащие конкретным сетевым объектам, могут быть исключены из проверки наличия вредоносных программ. Весь HTTP-трафик, обусловленный запросами к IP-адресам, которые принадлежат сетевым объектам, перечисленным в списке исключений, не будет сканироваться или каким-образом затрагиваться функциями проверки наличия вредоносных программ. В этот список могут включаться такие сетевые объекты как компьютеры, наборы компьютеров, сети, наборы сетей, подсети и диапазоны IP-адресов.

  • Наборы доменных имен. Доменные имена, входящие в один или несколько наборов доменных имен, могут быть исключены из проверки наличия вредоносных программ. Весь HTTP-трафик, обусловленный запросами к доменным именам, которые входят в набор доменных имен, указанный в списке исключений, не будет сканироваться на наличие вредоносных программ.

  • Наборы URL-адресов. URL-адреса, входящие в один или несколько наборов URL-адресов, могут быть исключены из проверки наличия вредоносных программ. Весь HTTP-трафик, обусловленный запросами к URL-адресам, которые входят в набор URL-адресов, указанный в списке исключений, не будет сканироваться на наличие вредоносных программ.

Пункты назначения, исключенные из проверки наличия вредоносных программ, задаются на вкладке Исключения диалогового окна Проверка наличия вредоносных программ. По умолчанию предопределенный набор доменных имен «Веб-узлы, исключенные из проверки наличия вредоносных программ» содержит следующие узлы:

  • *.microsoft.com.

  • *.windowsupdate.com

  • *.windows.com

Исключения из проверки наличия вредоносных программ имеют приоритет над параметрами правил политики. Исходящий и входящий трафик этих пунктов назначения не будет исследоваться ни при каких обстоятельствах.

Исключать из проверки наличия вредоносных программ следует только заслуживающие доверия веб-узлы. Избегайте исключения веб-узлов, содержимое которых исходит от пользователей (например форумы). Следует также настороженно относиться к веб-узлам, с которых пользователи часто загружают файлы огромного размера путем отправки запросов на диапазон, поскольку вредоносный веб-узел может попытаться атаковать организацию, использующую ISA с проверкой наличия вредоносных программ, при помощи таких запросов на диапазон. Метод атаки следующий:

  • Прежде чем отправлять вредоносное содержимое, веб-узел зарабатывает хорошую репутацию, предоставляя популярное содержимое в файлах огромного размера. На этом этапе веб-узел вынуждает пользователей из организации, которую предстоит атаковать, использовать запросы на диапазон - например путем разрыва тех подключений, в которых пользователи пытаются загрузить содержимое без запросов на диапазон.

  • Когда оператор веб-узла уверяется, что организация, являющаяся целью атаки, исключила данный веб-узел из проверки наличия вредоносных программ, он передает вредоносное содержимое в ответ на запросы на диапазон от этой организации.

Папка для хранения

По умолчанию Forefront TMG использует папку %SystemRoot%\Temp для временного накопления и хранения файлов с целью проверки наличия вредоносных программ. Место временного хранения файлов для проверки наличия вредоносных программ можно изменить в консоли управления Forefront TMG.

Параметры доставки содержимого

Поскольку проверка наличия вредоносных программ может вызвать некоторую задержку в доставке содержимого с сервера клиенту, Forefront TMG осуществляет ускоренную предварительную передачу содержимого по мере прохождения файлами проверки, чтобы пользователи испытывали меньше неудобств в ходе проверки. Вместо этого Forefront TMG может отправлять уведомления о ходе выполнения проверки для указанных типов файлов, чтобы информировать пользователя во время этой задержки о том, что происходит.

Параметры доставки содержимого включают следующее:

  • Включение и отключение отправки уведомлений о ходе проверки для заданных типов содержимого.

  • Список типов MIME-содержимого и расширений файлов, для которых будут отправляться уведомления о ходе проверки, если отправка таких уведомлений включена.

Для получения более подробных сведений об ускоренной предварительной передаче и уведомлениях о ходе проверки см. Доставка содержимого.

Отправка в корпорацию Майкрософт отчета о вредоносных программах, выявленных в ходе проверки

Forefront TMG предусматривает возможность автоматической отправки отчета о вредоносных программах, выявленных в ходе проверки, в Центр поддержки Response Center корпорации Майкрософт. В отчете указывается источник вредоносной программы, уровень угрозы и предпринятые меры. Также отчеты могут содержать образцы трафика и полные URL-адреса. Центр поддержки Response Center корпорации Майкрософт использует эти сведения для выявления возможных шаблонов атак с распространением вредоносных программ. Для получения дополнительных сведений см. Сообщение о вредоносных URL-адресах.

Определения вредоносных программ и их обновление

При проверке наличия вредоносных программ Forefront TMG использует определения известных вирусов, червей и другого вредоносного программного обеспечения. Эти обновления можно загрузить через Интернет с веб-узла Центра обновления Майкрософт. Forefront TMG автоматически проверяет наличие новых и обновленных определений вредоносных программ и загружает их по заданному пользователем графику. В любой момент можно дать Forefront TMG команду на проверку наличия новых и обновленных определений. Доступ к графику можно получить в узле Центр обновления консоли управления Forefront TMG. При выборе этого узла в области сведений отображаются время последней проверки обновлений, время загрузки и установки последнего обновления, а также состояние последней попытки проверки обновлений. Эти сведения можно использовать для проверки правильности загрузки обновлений после настройки.

По умолчанию определения обновляются каждые 15 минут. Мастер начальной настройки предоставляет возможность изменить графики загрузки обновлений для проверки наличия вредоносных программ. Для получения дополнительных сведений о настройке графика обновления определений наличия вредоносных программ см. Настройка параметров обновления.

Примечание.
Корпорация Майкрософт требует наличия лицензии на получение по подписке обновленных определений вредоносных программ с веб-узла Центра обновления Майкрософт по истечении 90-дневного ознакомительного периода.

Обновленные определения загружаются даже в том случае, если проверка наличия вредоносных программ отключена. Если вы не хотите, чтобы Forefront TMG выполнял проверку и загрузку обновлений для проверки наличия вредоносных программ, действуйте, как описано в процедуре настройки параметров обновления определений наличия вредоносных программ, и на вкладке Обновления определений в разделе Действие по автоматическому обновлению выберите Не выполнять.

Настройка параметров проверки наличия вредоносных программ в правилах политики

Каждое правило веб-доступа имеет параметр для проверки наличия вредоносных программ. При создании каждого правила для него можно включить проверку наличия вредоносных программ. Когда правило доступа разрешает HTTP-трафик, пользователь может указать, следует ли сканировать содержимое, загрузку которого с сервера на клиент разрешает данное правило.

Для правил системной политики проверка наличия вредоносных программ отключена. Правило системной политики, разрешающее HTTP-трафик из сети локального узла во внешнюю сеть, допускает просмотр Интернета непосредственно с компьютера Forefront TMG. HTTP-содержимое, которое возвращается в ответ на запрос, переданный непосредственно с компьютера Forefront TMG и разрешенный таким правилом системной политики, исключается из проверки наличия вредоносных программ. По этой причине мы не рекомендуем просматривать Интернет непосредственно с компьютера Forefront TMG. Веб-узлы, не являющиеся доверенными можно блокировать, добавив их в зону Ограниченные узлы обозревателя Internet Explorer на компьютере Forefront TMG.

Статистика активности

Общие сведения об операциях по проверке наличия вредоносных программ отображаются в следующих двух полях области статистики активности Forefront TMG:

  • Число пакетов, просканированных в ходе проверки наличия вредоносных программ

  • Число пакетов, блокированных в ходе проверки наличия вредоносных программ

Отчеты

Forefront TMG генерирует отчеты о результатах проверки наличия вредоносных программ. Предусмотрены следующие виды отчетов:

  • Основные угрозы. Чаще всего обнаруживаемые угрозы.

  • Основные пользователи. Пользователи, для которых чаще всего проводилась проверка наличия вредоносных программ.

  • Основные узлы. Веб-узлы, содержимое которых проверялось чаще всего.

  • Продолжительность основной проверки. Веб-узлы, при загрузке содержимого с которых по запросу клиентов потребовалось наибольшее среднее время проверки.

Число угроз, пользователей и веб-узлов, включаемых в соответствующие отчеты, можно настраивать.