Войти
IT Management Company
г. Одесса

ул. Гранитная 1, офис 42

+38 (048) 706-38-48
+38 (048) 701-65-51
Резервная линия
Заказать звонок
Войти
Контактная информация
г. Одесса

ул. Гранитная 1, офис 42

[email protected]

Источник статьи https://itmsft.com/blog/

Microsoft Forefront Protection 2010 for Exchange Server. Эксплуатация.(Часть 2)

Yuriy O.
Yuriy O.

 

Назначение: Forefront Protection for Exchange

Для очистки сообщения, зараженных вирусами-червями, в Forefront Protection 2010 for Exchange Server (FPE) можно настроить задания проверки передачи, проверки в реальном времени и проверки по расписанию. Вирус-червь — это вредоносная программа, которая распространяется с компьютера на компьютер. В отличие от вируса вирусу-червю не нужна программа-носитель, вирусы-черви распространяют свои копии с компьютера на компьютер. Очистка от вирусов-червей — это мощная функция, помогающая предотвратить атаки, которые могли бы причинить ущерб сети. (FPE не поддерживает очистку сообщений от вирусов-червей при проверке по требованию.)

Программа FPE обнаруживает сообщения, зараженные вирусами-червями, с помощью регулярно обновляемого списка вирусов-червей WormPrge.dat, который поддерживается корпорацией Майкрософт и обновляется аналогично модулям защиты от вредоносных программ. Как правило, в файле WormPrge.dat содержатся имена вирусов-червей, обнаруживаемых текущими антивирусными ядрами. (Обратите внимание, что в разных антивирусных ядрах вирусы-черви могут иметь различные имена.)

По мере обнаружения новых вирусов-червей корпорация Майкрософт обновляет список вирусов-червей и выкладывает этот список для загрузки. Обновление можно выполнять по расписанию или вручную.

Определения в списке вирусов-червей отличаются от определений, используемых антивирусными ядрами. Список вирусов-червей включает общие записи имен червей. Эти записи могут предоставить большую защиту от будущих вирусов-червей, принадлежащих к уже обнаруженному семейству вирусов-червей. Например, при обнаружении нового вируса-червя с именем "Win32/abcdef.A@mm" программа FPE обновляет список вирусов-червей, включая в него запись вида "*abcdef*". Такая запись охватывает все новые разновидности одного и того же вируса-червя, например Win32/abcdef.M@mm. Поскольку в списке вирусов-червей содержатся обобщенные названия, его не требуется обновлять так же часто, так антивирусные ядра.

Включение и отключение очистки от вирусов-червей

Очистка от вирусов-червей включена по умолчанию. Очистку от вирусов-червей для конкретных заданий проверки можно отключить с помощью команды Windows PowerShell -EnableWormPurge. Если очистка от вирусов-червей включена (параметру -EnableWormPurge присвоено значение $true), то при обнаружении вируса-червя программа FPE выполняет поиск его имени в списке вирусов-червей. При обнаружении имени в списке вирусов-червей элемент очищается; в противном случае выполняется действие, заданное для вирусов. Если очистка от вирусов-червей отключена (параметру -EnableWormPurge присвоено значение $false), то независимо от наличия имени вируса-червя в соответствующем списке выполняется действие, заданное для вирусов.

Вирусы-черви (сообщения и вложения), очищенные при выполнении заданий проверки, не помещаются на карантин, даже если включен режим карантина. Это сделано, чтобы не допустить попадания в базу данных карантина множества копий одного сообщения.

Доступ к командной консоли Forefront

  • Нажмите кнопку Пуск и последовательно выберите пункты Программы, Microsoft Forefront Server Protection и Командная консоль Forefront.

Чтобы отключить очистку от вирусов-червей для задания проверки передачи, выполните следующую команду Windows PowerShell:

Set-FseTransportScan -EnableWormPurge $false

Чтобы отключить очистку от вирусов-червей для задания проверки в реальном времени, выполните следующую команду Windows PowerShell:

Set-FseRealtimeScan -EnableWormPurge $false

Чтобы отключить очистку от вирусов-червей для задания проверки по расписанию, выполните следующую команду Windows PowerShell:

Set-FseScheduledScan -EnableWormPurge $false

Чтобы включить очистку от вирусов-червей для конкретного задания проверки, замените в соответствующей команде выше значение $false на $true.

Очистка от вирусов-червей с помощью фильтрации файлов

Чтобы не допустить распространения нового вируса-червя в то время, пока не обновлено антивирусное ядро, можно добавить имена вложений сообщений, создаваемых вирусом-червем, в список фильтров файлов. В поле Действие для списка выберите значение Очистить.

При выборе действия Очистить все сообщение удаляется без возможности восстановления. Рекомендуется выбрать это действие для очистки сообщений, зараженных вирусами-червями, пока не выпущены обновления антивирусных ядер или определений.

В отличие от сообщений, зараженных другими типами вирусов, даже если выбрать действие "Поместить на карантин", на карантин помещается только вложение, обнаруженное фильтром, а текст сообщения и другие вложенные файлы будут удалены. Это не должно привести к проблемам при фильтрации файлов на наличие вирусов-червей, так как в этом случае текст сообщения не представляет никакой ценности, а сообщение, скорее всего, не содержит других вложений.

Создание собственного списка для очистки от вирусов-червей

Администраторы могут создавать собственный список для очистки от вирусов-червей (файл CustPrge.dat) для указания дополнительных имен вирусов-червей, которые еще не включены в файл Wormprge.dat, или для создания списка, который будет использоваться для очистки всех зараженных сообщений. В этом случае функция очистки от вирусов-червей будет проверять зараженные сообщения и файлы с использованием обоих списков (списка Майкрософт WormPrge.dat и списка CustPrge.dat).

Чтобы создать собственный список для очистки от вирусов-червей

  1. Создайте в папке \Engines\x86\Wormlist новую папку с именем CustomList. Расположение папки Engines по умолчанию для конкретной операционной системы см. в разделе Папки по умолчанию.

  2. В папке CustomList создайте файл с именем CustPrge.dat.

  3. В текстовом редакторе введите имена вирусов, от которых необходимо защититься, в файл CustPrge.dat и сохраните этот файл. В каждой строке можно вводить только одно имя, за которым должен идти знак возврата каретки. Имена вирусов можно найти в уведомлениях об обновлении антивирусных ядер или на веб-сайтах поставщиков антивирусных ядер. В именах можно использовать подстановочный знак звездочки (*).

    В том случае, если в различных антивирусных ядрах используются разные имена для одного вируса, то для обеспечения полной защиты следует включить в список CustPrge.dat все имена.

  4. Если требуется очищать все зараженные сообщения, введите в список только одну строку, содержащую знак звездочки (*) и знак возврата каретки. Для каждого задания проверки (проверки передачи, проверки в реальном времени или проверки по расписанию), при выполнении которого требуется очищать все вирусы, выберите в поле Действие значение Удалить.

  5. Перезапустите службу передачи Microsoft Exchange и службу банка данных Microsoft Exchange.

 

Наблюдение за производительностью и работоспособностью

При наблюдении за средой Forefront Protection 2010 for Exchange Server (FPE) можно просматривать статистические отчеты и использовать мониторы работоспособности. В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Панель мониторинга.

В области Представления безопасности сервера — Панель мониторинга выводятся указанные ниже сведения.

  • Имя компьютера, на котором установлен сервер Exchange Server.
  • Мониторы работоспособности. Используются для наблюдения за работоспособностью заданий проверки, служб, модулей и лицензий.
  • Системные мониторы. Для каждого типа задания проверки выводится круговая диаграмма, показывающая количество проверенных сообщений, зараженных вредоносными программами, и количество проверенных сообщений, соответствующих условиям фильтров каждого типа (фильтров файлов, фильтров по ключевым словам, фильтров по строке темы и фильтров доменов отправителей). Также указывается общее количество проверенных сообщений с датой и временем последнего обновления данных.

Наблюдение за производительностью системы

Для наблюдения за работоспособностью FPE используются мониторы работоспособности в верхней части панели мониторинга. Существует четыре типа мониторов работоспособности.

  • Задания проверки — отслеживает текущее состояние заданий проверки.
  • Службы — отслеживает текущее состояние служб FPE.
  • Модули — отслеживает текущее состояние антивирусных ядер.
  • Лицензирование — отслеживает текущее состояние лицензии на FPE.
Просмотр сведений о работоспособности

С каждым монитором связана ссылка Показать подробности. Чтобы вывести подробные сведения, щелкните ссылку Показать подробности. При этом будут выведены значки сводки и соответствующие сведения.

Ниже перечислены используемые значки сводки.

  • Исправно — зеленый круг с галочкой. Этот значок указывает на то, что система работоспособна, и никаких действий выполнять не требуется.
  • Предупреждение — желтый треугольник с восклицательным знаком. Этот значок указывает на то, что ситуация отличается от идеальной и требует вмешательства.
  • Ошибка — красный круг со знаком "X". Этот значок указывает на наличие ошибки, которую необходимо исправить.
  • Неизвестно — серый щит. Этот значок указывает на то, что для программы FPE еще не была выполнена запланированная проверка, программе не удалось определить текущее состояние либо соответствующий элемент для системы не определен. После определения программой FPE состояния работоспособности создается соответствующее событие.

Ниже перечислены отображаемые сведения.

  • Точка работоспособности — здесь указываются отслеживаемые элементы, например процессы проверки в реальном времени.
  • Последнее обновление — здесь указывается время последней проверки монитора.
  • Сообщение — здесь указывается текущее состояние отслеживаемой точки работоспособности, в том числе сведения об обнаруженных проблемах.

Если для программы FPE еще не была выполнена запланированная проверка либо ей не удалось определить текущее состояние точки работоспособности, сообщение не выводится. После определения программой FPE состояния работоспособности выводится соответствующее сообщение.

О точках работоспособности

Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить.

Ниже перечислены точки работоспособности для заданий проверки, которые отслеживает программа FPE.

Точка работоспособности
Описание

Проверка передачи включена

Отслеживает, включена ли проверка передачи.

Пограничный транспорт подключен

Отслеживает, включена ли служба передачи Microsoft Exchange и зарегистрирован ли агент Forefront.

Процессы проверки передачи

Отслеживает работоспособность запущенных процессов проверки передачи.

Инициализация выбранного модуля проверки передачи

Отслеживает, были ли инициализированы все модули, выбранные для проверки передачи.

Проверка в реальном времени включена

Отслеживает, включена ли проверка в реальном времени.

Банк данных подключен

Отслеживает, включена ли служба банка данных Microsoft Exchange и зарегистрирована ли библиотека VSAPI Forefront.

Процессы проверки в реальном времени

Отслеживает работоспособность запущенных процессов проверки в реальном времени.

Инициализация выбранного модуля проверки в реальном времени

Отслеживает, были ли инициализированы все модули, выбранные для проверки в реальном времени.

Инициализация выбранного модуля проверки по расписанию

Отслеживает, были ли инициализированы все модули, выбранные для проверки по расписанию.

Ниже перечислены точки работоспособности для служб, которые отслеживает программа FPE.

Точка работоспособности
Описание

Служба обработки событий

Отслеживает, работает ли служба обработки событий.

Служба мониторинга

Отслеживает, работает ли служба мониторинга.

Служба получения электронной почты

Отслеживает, работает ли служба получения электронной почты.

Свободное место на диске

Отслеживает оставшееся место на диске.

Ниже перечислены точки работоспособности для модулей, которые отслеживает программа FPE.

Точка работоспособности
Описание

Обновление определений нежелательной почты

Отслеживает, были ли обновлены определения нежелательной почты, и как давно. Сведения об обновлениях модуля защиты от нежелательной почты (в противоположность обновлениям определений нежелательной почты) см. в разделе Просмотр сводных сведений о модулях.

Выбранные модули обновлены

Отслеживает, были ли выбраны для обновления модули, выбранные для заданий проверки.

Включены обновления всех модулей

Отслеживает, были ли обновлены модули, выбранные для обновления.

Период обновления выбранных модулей

Отслеживает, были ли за последнее время обновлены модули, выбранные для обновления.

Программа FPE также отслеживает состояние лицензии.

Точка работоспособности
Описание

Состояние лицензии

Отслеживает, действует ли лицензия, истекает ли ее срок действия или уже истек.


Просмотр сводных сведений о модулях

Сводные сведения о модулях программы FPE можно просмотреть в мониторе работоспособности Модули, выбрав параметр Сводные сведения о модулях.

В диалоговом окне Сводные сведения о модулях отображаются указанные ниже сведения о модулях и обновлениях определений.

  • Модуль — модуль проверки, например Модуль защиты от вредоносных программ Майкрософт.
  • Используется — здесь указывается, используется ли данный модуль в задании проверки.
  • Обновления включены — здесь указывается, включены ли обновления для модуля (Да) или отключены (Нет).
  • Версия модуля — версия модуля.
  • Версия определений — версия используемых модулем файлов определений вредоносных программ. (Эти данные доступны не для всех модулей.)
  • Последнее обновление — дата и время последнего удачного или неудачного обновления модуля или файлов определений. Сбойные обновления выделены красным цветом.
  • Последняя проверка — дата и время последнего обновления, выполненного для нового модуля или обновления определений.

     

    Для модуля защиты от нежелательной почты Cloudmark в полях Последнее обновление и Последняя проверка отображается только дата и время последнего удачного или неудачного обновления модуля. Обновления файлов определений для защиты от нежелательной почты отображаются в точке работоспособности Обновление определений нежелательной почты.

 

Содержимое столбцов можно отсортировать по алфавиту, щелкнув заголовок соответствующего столбца. Сведения об изменении параметров обновления модулей и файлов определений см. в разделе Настройка обновлений модулей и определений.


Настройка представления "Панель мониторинга"

Элементы, отображаемые в области Представления безопасности сервера — Панель мониторинга, можно настроить.

Настройка представления "Панель мониторинга"

  1. В разделе Действия нажмите кнопку Коллекция элементов управления.

  2. В диалоговом окне Коллекция элементов управления выберите элементы, которые будут отображаться в области Представления безопасности сервера — Панель мониторинга. Галочка рядом с элементом указывает на то, элемент отображается; отсутствие галочки указывает на то, что элемент скрыт (чтобы удалить элемент из представления, также можно щелкнуть значок с красной буквой "X" рядом с элементом).

  3. Чтобы закрыть диалоговое окно Коллекция элементов управления, нажмите кнопку Выход.

Отслеживание производительности с помощью статистики

Для наблюдения за производительностью FPE можно использовать статистику, отображаемую в области Панель мониторинга. Если необходима более подробная статистика, см. разделы Просмотр подробной статистики по вредоносным программам, Просмотр подробной статистики фильтрации и Просмотр подробной статистики нежелательной почты.


Просмотр подробной статистики по вредоносным программам

Чтобы просмотреть статистику по сообщениям, зараженным вредоносными программами, переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Сведения о вредоносных программах. В области Представления безопасности сервера — Сведения о вредоносных программах отображаемые сведения сгруппированы по типам заданий проверки: проверка передачи, проверка в реальном времени, проверка по расписанию и проверка по требованию. Содержимое столбцов можно отсортировать, щелкнув заголовок соответствующего столбца. Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить.

В этой области выводятся указанные ниже сведения.

  • Вредоносных программ, обнаруженных в сообщениях — общее количество сообщений, зараженных вредоносными программами. Эти данные применимы только к проверке передачи.
  • Вредоносных программ, обнаруженных в компонентах сообщений — общее количество компонентов сообщений (например, вложений или файлов внутри контейнеров), зараженных вредоносными программами.
  • Очищенных сообщений — общее количество сообщений, удаленных из почтовой системы при обнаружении вредоносных программ.
  • Удаленных компонентов сообщений — общее количество компонентов сообщений, удаленных и замененных на текст для удаления при обнаружении вредоносных программ.
  • Очищенных компонентов сообщений — общее количество компонентов сообщений, очищенных при обнаружении вредоносных программ.
  • Пропущенных компонентов сообщений — общее количество компонентов сообщений, зараженных вредоносными программами, для которых не было выполнено никаких действий.
  • Сообщений на карантине — общее количество сообщений, целиком помещенных на карантин при обнаружении вредоносных программ. Эти данные применимы только к проверке передачи.
  • Компонентов сообщений на карантине — общее количество компонентов сообщений, помещенных на карантин при обнаружении вредоносных программ.


Просмотр подробной статистики фильтрации

Чтобы просмотреть статистику по сообщениям, удовлетворяющим условиям фильтров, переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Сведения о фильтрации. В области Представления безопасности сервера — Сведения о фильтрации сведения о срабатывании различных фильтров сгруппированы по типам заданий проверки: проверка передачи, проверка в реальном времени, проверка по расписанию и проверка по требованию. Содержимое столбцов можно отсортировать, щелкнув заголовок соответствующего столбца. Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить.

В этой области выводятся указанные ниже сведения.

  • Проверено сообщений — общее количество проверенных сообщений. Эти данные применимы только к проверке передачи.
  • Проверено компонентов сообщений — общее количество проверенных компонентов сообщений (например, вложений или файлов внутри контейнеров).
  • Сообщений, удовлетворяющих условиям фильтра — общее количество сообщений, удовлетворяющих условиям фильтров. Эти данные применимы только к проверке передачи.
  • Компонентов сообщений, удовлетворяющих условиям фильтра — общее количество компонентов сообщений, удовлетворяющих условиям фильтров.
  • Сообщений, очищенных из-за соответствия условиям фильтра — общее количество сообщений, удаленных из почтовой системы из-за соответствия условиям фильтра. Эти данные применимы только к проверке передачи.
  • Компонентов сообщений, удаленных из-за соответствия условиям фильтров — общее количество компонентов, удаленных и замененных на текст для удаления из-за соответствия условиям фильтра.
  • Компонентов сообщений, пропущенных при соответствии условиям фильтра — общее количество компонентов сообщений, обнаруженных и записанных в журнал из-за соответствия условиям фильтра, для которых не было выполнено никаких действий.
  • Полных сообщений, помещенных на карантин из-за соответствия условиям фильтра — общее количество сообщений, целиком помещенных на карантин из-за соответствия условиям фильтра. Эти данные применимы только к проверке передачи.
  • Отдельных компонентов сообщений, помещенных на карантин из-за соответствия условиям фильтра — общее количество компонентов сообщений, помещенных на карантин из-за соответствия условиям фильтра.


Просмотр подробной статистики нежелательной почты

Чтобы просмотреть статистику нежелательной почты, переключитесь в представление Мониторинг и нажмите в разделе Представления безопасности сервера кнопку Сведения о нежелательной почте. В области Представления безопасности сервера — Сведения о нежелательной почте отображаемые сведения сгруппированы по типам фильтрации нежелательной почты: фильтрация подключений, фильтрация SMTP, фильтрация содержимого и фильтрация возвращаемых писем. Чтобы гарантированно просмотреть новейшие данные, нажмите в разделе Действия кнопку Обновить.

В этой области выводятся указанные ниже сведения.

Фильтрация подключений

  • Сообщений, обработанных при фильтрации подключений — общее количество сообщений, обработанных при фильтрации подключений.
  • Сообщений, разрешенных белым списком IP-адресов — общее количество сообщений, допущенных в организацию Exchange по белому списку IP-адресов без проверки на нежелательную почту.
  • Сообщений, заблокированных черным списком IP-адресов — общее количество сообщений, заблокированных черным списком IP-адресов.
  • Сообщений, заблокированных списком блокировки уведомлений о доставке — общее количество сообщений, заблокированных списком блокировки уведомлений о доставке.

Фильтрация SMTP

  • Сообщений, обработанных при фильтрации SMTP — общее количество сообщений, обработанных при фильтрации SMTP.
  • Сообщений, заблокированных при фильтрации отправителей — общее количество сообщений, заблокированных при фильтрации отправителей.
  • Сообщений, заблокированных при фильтрации кодов отправителей — общее количество сообщений, заблокированных при фильтрации кодов отправителей.
  • Сообщений, заблокированных при фильтрации получателей — общее количество сообщений, заблокированных при фильтрации получателей.

Фильтрация содержимого

  • Сообщений, обработанных при фильтрации содержимого — общее количество сообщений, обработанных при фильтрации содержимого.
  • Сообщений, отклоненных при фильтрации содержимого — общее количество сообщений, отклоненных при фильтрации содержимого.
  • Сообщений, удаленных при фильтрации содержимого — общее количество сообщений, удаленных при фильтрации содержимого.
  • Сообщений, помещенных на карантин при фильтрации содержимого — общее количество сообщений, помещенных на карантин как нежелательные при фильтрации содержимого.

Фильтрация возвращаемых писем

  • Сообщений, обработанных при фильтрации возвращаемых писем — общее количество сообщений, обработанных при фильтрации возвращаемых писем.
  • Сообщений, заблокированных списком отклонения доменов — общее количество сообщений, заблокированных списком отклонения доменов.
  • Сообщений, разрешенных списком исключений доменов — общее количество сообщений, разрешенных списком исключений доменов.
  • Сообщений, заблокированных агентом возвращаемых писем — общее количество сообщений, заблокированных агентом возвращаемых писем.
Сброс данных статистики

Чтобы начать сбор данных заново, можно сбросить статистику вредоносных программ, фильтрации и нежелательной почты.

  • В области Представления безопасности сервера — Сведения о вредоносных программах или Представления безопасности сервера — Сведения о фильтрации в разделе Действия нажмите кнопку Удалить данные статистики передачи, Удалить данные статистики проверки в реальном времени, Удалить данные статистики проверки по расписанию или Удалить данные статистики проверки по требованию. Независимо от того, какая область открыта, для выбранного задания проверки будут очищены данные статистики как для вредоносных программ, так и для фильтрации.
  • В области Представления безопасности сервера — Сведения о нежелательной почте нажмите в разделе Действия кнопку Удалить данные статистики модуля защиты от нежелательной почты.
  • Чтобы очистить все данные статистики (статистики вредоносных программ, фильтрации и нежелательной почты) для всех заданий проверки, в области Представления безопасности сервера — Панель мониторинга в разделе Действия нажмите кнопку Удалить все данные статистики.
Написать комментарий