Веб-трафик может содержать вредоносные программы, в том числе сетевые черви, вирусы и шпионские программы. В Forefront TMG для проверки на наличие вредоносных программ используются загружаемые из Центра обновления Майкрософт или служб Windows Server Update Services (WSUS) определения известных вирусов, сетевых червей и других вредоносных программ. Фильтр проверки наличия вредоносных программ Forefront TMG обеспечивает сканирование веб-страниц и файлов, запрашиваемых клиентскими компьютерами, и либо очищает вредоносное содержимое HTTP, либо блокирует его доступ во внутреннюю сеть.

В следующих разделах представлены сведения по планированию проверки на наличие вредоносных программ в организации:

Вопросы развертывания

При планировании развертывания проверки на наличие вредоносных программ в организации учитывайте следующие факторы:

  • Проверка на наличие вредоносных программ основывается на подписке и входит в состав лицензии службы веб-безопасности Forefront TMG. Дополнительные сведения о лицензировании см. на странице Как купить продукты пограничной безопасности и доступа Forefront (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=107228).

  • Чтобы обеспечить защиту от новейших угроз, убедитесь, что Forefront TMG подключен к выбранному источнику обновлений, Центру обновления Майкрософт или службам WSUS, а также включена автоматическая установка последних версий сигнатур. Дополнительные сведения см. в разделе Планирование обновления определений для механизмов защиты.

  • По умолчанию Forefront TMG использует папку %SystemRoot%\Temp для временного накопления и хранения файлов с целью проверки наличия вредоносных программ. Обратите внимание, что при загрузке большого числа файлов с размером больше 64 КБ могут возникнуть проблемы с производительностью. Если в организации планируется загрузка большого количества файлов, рекомендуется переместить папку ScanStorage на отдельный физический диск. Дополнительные сведения см. в разделе Настройка локального хранилища для проверки наличия вредоносных программ.

  • По определенным причинам может возникнуть потребность исключить из проверки наличия вредоносных программ выбранные веб-сайты:

    • Исключение источников. Основная причина исключения источников из проверки наличия вредоносных программ заключается в том, чтобы предотвратить многократное сканирование содержимого, что в некоторых сценариях может привести к снижению производительности. Типичный сценарий предполагает сканирование содержимого на наличие вредоносных программ нижестоящим прокси-сервером. В этом случае на вышестоящем прокси-сервере следует исключить из сканирования все запросы, поступающие с нижестоящего.

    • Исключение назначений — основная причина исключения назначений из проверки наличия вредоносных программ заключается в том, чтобы повысить производительность, исключая из проверки надежные сайты, и устранить проблемы совместимости.

    Дополнительные сведения см. в разделе Определение исключений для проверки наличия вредоносных программ.

  • Проверка на наличие вредоносных программ может быть отключена глобально для устранения неполадок или при использовании механизма проверки стороннего поставщика. Например, можно отключить проверку наличия вредоносных программ, чтобы определить, не повысит ли такое отключение производительность системы.

Уровни угрозы

В следующей таблице перечислены возможные категории угроз, которые могут обнаруживаться во время проверки наличия вредоносных программ, а также действия, предпринимаемые для каждой категории при включенной проверке. Дополнительные сведения о конфигурации см. в разделе Настройка параметров проверки наличия вредоносных программ.

Категория угрозы Описание действие

Низкий уровень угрозы

Потенциально нежелательная программа, которая может собирать сведения о пользователе и компьютере или вмешиваться в работу компьютера, однако работает в соответствии с условиями лицензионного соглашения, которое отображается при ее установке.

Настраивается администратором Forefront TMG.

Значение по умолчанию: разрешить

Средний уровень угрозы

Программы, которые могут влиять на конфиденциальность данных или вносить отрицательно влияющие на производительность компьютера изменения, например собирать персональную информацию или изменять параметры.

Настраивается администратором Forefront TMG.

Значение по умолчанию: разрешить

Высокий уровень угрозы

Программы, которые могут повредить компьютер, влиять на конфиденциальность данных или вносить отрицательно влияющие на производительность компьютера изменения, например собирать персональную информацию или изменять параметры.

Настраивается администратором Forefront TMG.

Значение по умолчанию: блокировать

Зараженные файлы

К таким файлам обычно относятся файлы, зараженные вирусом. Вирусы добавляют в файл код, способствующий собственному распространению. Кроме того, в более широком смысле к зараженным файлам можно отнести любой файл, определенный как вредоносная или потенциально нежелательная программа.

Блокировка

Подозрительные файлы

К подозрительным относятся файлы, которые проявляют одну или несколько характеристик или функциональных возможностей, свойственных известным вредоносным программам.  Файлы, определяемые как подозрительные, часто обнаруживаются заблаговременно и до этого могут быть неизвестны аналитикам. Подозрительные файлы помещаются в карантин. Пользователям предлагается отправить такие файлы в корпорацию Майкрософт для дальнейшего анализа и, при необходимости, для внесения сигнатуры файла в базу данных вредоносных программ.

Настраивается администратором Forefront TMG.

Значение по умолчанию: блокировать

Поврежденные файлы

К поврежденным относятся файлы, в которые внесены любые изменения, нарушающие их изначальные функциональные возможности.

Настраивается администратором Forefront TMG.

Значение по умолчанию: разрешить

Зашифрованные файлы

К зашифрованным относятся файлы, в целях безопасности преобразованные с помощью функций шифрования в недоступный для чтения формат. После шифрования эти данные недоступны для интерпретации человеком или компьютером до тех пор, пока не будут расшифрованы. С помощью шифрования может скрываться код вредоносных программ, чтобы препятствовать его обнаружению и удалению с зараженного компьютера.

Настраивается администратором Forefront TMG.

Значение по умолчанию: блокировать

Методы доставки содержимого

Поскольку проверка наличия вредоносных программ может вызвать некоторую задержку в доставке содержимого с сервера клиенту, в Forefront TMG можно выбрать один из следующих методов доставки веб-содержимого, сканируемого на наличие вредоносных программ:

  • Постепенная передача — Forefront TMG передает содержимое по частям по мере проверки файлов. Это позволяет клиентскому приложению начать получение данных до истечения времени ожидания, пока все содержимое будет загружено и проверено.

  • Уведомление о выполнении — Forefront TMG отправляет на клиентский компьютер HTML-страницу, информирующую пользователя о том, что идет проверка запрошенного содержимого, и содержащую индикаторы хода загрузки и проверки. По завершении загрузки и проверки содержимого на странице появляются соответствующее сообщение и кнопка для загрузки содержимого на компьютер клиента.

Дополнительные сведения см. в разделе Настройка доставки содержимого, которое проверяется на наличие вредоносных программ.

См. также