Einführung in die bewährten Methoden zu Forefront

Bewährte Methoden für Microsoft Forefront
Security für Exchange Server
Microsoft Forefront Security für Exchange Server 2007,
Version 10.1
Microsoft Corporation
Veröffentlicht: November 2007
Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich aller Verweise auf
URLs und andere Internetwebsites, können ohne vorherige Ankündigung geändert werden.
Soweit nichts anderes angegeben ist, sind die in den Beispielen verwendeten Namen von
Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen sowie E-MailAdressen und Logos frei erfunden. Jede Ähnlichkeit mit tatsächlichen Firmen,
Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-Adressen und
Logos ist rein zufällig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden
Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft
Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem
Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf
welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch
Fotokopieren, Aufzeichnen usw.) dies geschieht.
Microsoft Corporation kann Inhaber von Patenten oder Patentanträgen, Marken,
Urheberrechten oder anderem geistigen Eigentum sein, die den Inhalt dieses Dokuments
betreffen. Die Bereitstellung dieses Dokuments gewährt keinerlei Lizenzrechte an diesen
Patenten, Marken, Urheberrechten oder anderem geistigen Eigentum, es sei denn, dies
wurde ausdrücklich durch einen schriftlichen Lizenzvertrag mit der Microsoft Corporation
vereinbart.
© 2007 Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, Forefront, Windows und Windows Server sind entweder eingetragene Marken oder
Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Alle anderen Marken sind das Eigentum ihrer jeweiligen Eigentümer.
Informationen zu den Datenschutzbestimmungen für Microsoft Forefront Server Security
finden Sie auf der Microsoft Forefront Server Security-Website (möglicherweise in englischer
Sprache).
Inhalt
Einführung in die bewährten Methoden zu Forefront Security für Exchange Server ............... 5
Bewährte Methoden für Forefront Security für Exchange Server – Überlegungen zur
Bereitstellung ......................................................................................................................... 5
Installieren auf einem Cluster ................................................................................................... 7
Installieren auf einem CCR-Cluster mit Exchange 2007 ....................................................... 7
Installieren auf einem SCC-Cluster mit Exchange 2007 ....................................................... 8
Weitere Überlegungen ......................................................................................................... 10
Scannen des Exchange 2007-Postfachservers beim Zugriff .................................................. 10
Bewährte Methoden für Forefront Security für Exchange Server – Während eines
Virenausbruchs .................................................................................................................... 11
Bewährte Methoden für Forefront Security für Exchange Server – Allgemeine Optionen ..... 11
Allgemeine Optionen – Wichtige Einstellungen ...................................................................... 12
Überlegungen zur RAR-Datei .............................................................................................. 16
Exchange Best Practices Analyzer ......................................................................................... 20
InternetTimeout .................................................................................................................... 21
RealtimeTimeout.................................................................................................................. 21
Bewährte Methoden für Forefront Security für Exchange Server – Überlegungen zum
Scannen ............................................................................................................................... 21
Bei Scanner-Update scannen [Allgemeine Option] ............................................................. 21
Hintergrund-Scan aktivieren, wenn "Bei Scanner-Update scannen" aktiviert ist [Allgemeine
Option] .............................................................................................................................. 22
DisableAVStamping [Registrierung] .................................................................................... 22
Proaktiver Scanvorgang [Registrierung] .............................................................................. 23
Bewährte Methoden für Forefront Security für Exchange Server – Transportscan ................ 23
Transportscan mit den Standardeinstellungen .................................................................... 23
Transportscan mit deaktiviertem Stempel ........................................................................... 23
Transportscan für ausgehende Nachrichten ....................................................................... 24
Bewährte Methoden für Forefront Security für Exchange Server – Speicher-Scan ............... 24
Speicher-Scan mit den Standardeinstellungen ................................................................... 24
Speicher-Scans mit einer aktivierten Option ....................................................................... 25
Speicher-Scan mit zwei aktivierten Optionen ...................................................................... 25
Speicher-Scan mit drei aktivierten Optionen ....................................................................... 26
Speicher-Scan mit vier aktivierten Optionen ....................................................................... 28
Bewährte Methoden für Forefront Security für Exchange Server – Aktualisieren von Modulen
............................................................................................................................................. 28
Bewährte Methoden für Forefront Security für Exchange Server – Antiviruseinstellungen .... 29
Bewährte Methoden für Forefront Security für Exchange Server – Abweichungseinstellung 30
Abweichung für den Transportscanauftrag.......................................................................... 31
Abweichung für den Echtzeitscanauftrag ............................................................................ 31
Abweichung für den manuellen Scanauftrag ....................................................................... 31
Bewährte Methoden für Forefront Security für Exchange Server – Aktion ............................. 31
Bewährte Methoden für Forefront Security für Exchange Server – Quarantänedateien ........ 32
Filtern nach dem Transportscanauftrag .................................................................................. 32
Einführung in die bewährten Methoden zu
Forefront Security für Exchange Server
In diesem Dokument werden die empfohlenen Einstellungen für die Konfiguration von
Microsoft® Forefront™ Security für Exchange Server (FSE) erläutert. Wenn Sie sich nach
diesen Empfehlungen richten, sollten Sie für Ihr System die optimale Konfiguration erhalten
und so Gefahren für Ihre E-Mail-Infrastruktur vermeiden.
Diese Einstellungen sind Empfehlungen der technischen Spezialisten von Microsoft. Es
handelt sich dabei aber lediglich um Richtlinien, die Sie hinsichtlich der Anforderungen Ihres
Unternehmens überwachen und anpassen sollten.
Hinweis
In der Regel sind die Standardeinstellungen von Forefront Security für Exchange
Server die empfohlenen Einstellungen.
Vollständige Installations- und Verwendungsanweisungen finden Sie im "Benutzerhandbuch
für Microsoft Forefront Security für Exchange Server".
Bewährte Methoden für Forefront Security
für Exchange Server – Überlegungen zur
Bereitstellung
Für einen Basisschutz im gesamten Unternehmen sollte Forefront Security für Exchange
Server auf allen Edge- und Hubservern bereitgestellt werden. Mit dieser Konfiguration
werden alle eingehenden, ausgehenden und internen E-Mails bei der Übertragung auf den
Transportservern gescannt. Jedoch werden die Objekte, die nicht weitergeleitet werden, wie
Elemente öffentlicher Ordner, gesendete Elemente und Kalenderelemente (die nur auf einem
Postfachserver gescannt werden können) nicht geschützt. Inhalt, der bei der Übertragung
gescannt wurde, kann als Reaktion auf einen gezielten Angriff auf das System, der trotz des
Transportscanschutzes erfolgt, nach der Übermittlung an den Postfachserver nicht weiter
gescannt werden.
Für einen globalen Schutz im gesamten Unternehmen sollte Forefront Security für Exchange
Server auf allen Edge-, Hub- und Postfachservern bereitgestellt werden. Zur Optimierung der
Leistung sollten alle Server identische Schutzeinstellungen aufweisen (auch wenn es für den
Edgeserver vorteilhaft sein kann, wenn mehr Module und eine höhere
Abweichungseinstellung verwendet werden, um sicherzustellen, dass die gesamten E-Mails
von mehreren Modulen gescannt werden).
5
Wenn E-Mails auf einem Hub- oder Edgetransportserver eingehen, werden sie gescannt und
standardmäßig mit einer besonderen internen Eigenschaft, dem Antivirusstempel, versehen.
Die E-Mail behält diese Eigenschaft (die in Exchange 2007 zur Minimierung doppelter Scans
in den Transport- und Postfachserverfunktionen verwendet wird). Dadurch wird verhindert,
dass die E-Mail an verschiedenen Übertragungspunkten und beim ersten Ablegen im
Speicher erneut gescannt wird. Auch mit dieser Optimierung sollten Sie vor der Installation
von FSE (oder einer beliebigen Antivirusscansoftware) auf einem Postfachserver eine
gründliche Kapazitätsplanung und Leistungsbewertung durchführen, um sicherzustellen,
dass die freie Kapazität auf dem Server für die zusätzliche Belastung durch Antivirusscans
ausreicht.
Mit der Architektur mehrerer Module in Forefront wird der Antivirusschutz durch Vielfalt
maximiert. Studien haben gezeigt, dass durch Scans mit fünf Modulen das Zeitfenster der
Anfälligkeit für Viren vom Zeitpunkt, zu dem eine neue Bedrohung entdeckt wurde, bis zu
dem Zeitpunkt, zu dem zumindest ein Modulhersteller eine Schutzsignatur veröffentlicht,
reduziert wird. Standardmäßig werden Nachrichten nur einmal von Forefront gescannt.
Hintergrundscans auf dem Postfachserver sind jedoch eine bewährte Methode, um
Nachrichten regelmäßig mit aktuellen verfügbaren Signaturen erneut zu scannen. In
Exchange 2003 konnte mit Hintergrundscans nur der gesamte Postfachspeicher gescannt
werden, ein möglicherweise langer Prozess. In Exchange 2007 bieten inkrementelle
Hintergrundscans eine Möglichkeit, selektiv nur den Teil der Nachrichten auf dem Server zu
scannen, bei dem eine Infektion am wahrscheinlichsten ist. Ein regelmäßiger
Hintergrundscan des Speichers, um die Elemente erneut zu scannen, die in den letzten zwei
Tagen eingegangen sind, ist eine bewährte Methode. Dies ist die bevorzugte Einstellung für
mittelgroße bis große E-Mail-Server. Bei kleineren Servern mit weniger Postfächern kann
eine größere Auswahl von Nachrichten gescannt werden. In einigen Fällen können Sie alle
gespeicherten Nachrichten alle 24 Stunden scannen (außerhalb der Spitzenzeiten). Ein
regelmäßiger Hintergrundscan wird wie folgt konfiguriert:

Wählen Sie im Bereich Allgemeine Optionen im Abschnitt Hintergrund-Scan die
Optionen Nachrichten scannen, die eingegangen sind seit __ Tagen (geben Sie wie
oben vorgeschlagen zwei Tage an) und Nur Nachrichten mit Anhängen scannen aus.
Hinweis
Die Einstellung Nur ungescannte Nachrichten scannen darf nicht ausgewählt
werden, da sonst alle Nachrichten, die bereits mit einer früheren Signaturversion
gescannt wurden, nicht noch einmal gescannt werden.

Aktivieren Sie im Bereich Auftrag planen die Option Hintergrund-Scan-Auftrag, und
planen Sie ihn für ein ausgewähltes Datum, eine Uhrzeit und eine Frequenz ein.
Hinweis
Wenn auf großen Postfachservern E-Mails von mehr als zwei Tagen ausgewählt
werden, kann der Hintergrundscan Tage dauern. Sie können den Scan jederzeit
6
manuell anhalten, indem Sie im Bereich Auftrag planen auf die Schaltfläche
Anhalten klicken.
Installieren auf einem Cluster
Für die Installation von Forefront Security für Exchange Server in einer Clusterumgebung
müssen Sie sich beim lokalen Computer als Domänenbenutzer mit einem Konto anmelden,
das über lokale Administratorrechte verfügt. FSE muss auf jedem Knoten installiert sein. Alle
Programmdateien müssen in einem lokalen Pfad installiert werden.
Im Folgenden werden einige wichtige Überlegungen aufgeführt:

Konfigurationsdaten (beispielsweise <ScanJobs.fdb> und <Notifications.fdb>) werden
einem Postfachclusterserver (CMS) zugeordnet, sodass die einzelnen Knoten nicht
getrennt konfiguriert werden müssen.

Scannersignaturdateien werden einem CMS zugeordnet, sodass sowohl aktive als auch
passive Knoten aktuell sind.

Konfigurationsdaten, die in der Registrierung gespeichert sind, werden auf CMS-Basis
repliziert, wenn der CMS während eines Failoverereignisses von einem Computer zum
nächsten wechselt.

Forefront Server Security Administrator muss für die Verbindung mit FSE auf einem
Clusterserver mit der Virtual Machine verbunden sein. Wenn Sie versuchen, eine
Verbindung mit dem physischen Server herzustellen, werden Sie zur Auswahl der Virtual
Machine aufgefordert, mit der Sie eine Verbindung herstellen möchten.
Installieren auf einem CCR-Cluster mit
Exchange 2007
Installieren Sie FSE zuerst auf dem aktiven Knoten und anschließend auf dem passiven
Knoten. Befolgen Sie dabei die Anweisungen für Clusterinstallationen im "Handbuch für die
Installation von Microsoft Forefront Security für Exchange Server im Cluster" auf TechNet.
Wichtige Überlegungen zu CCR-Clusterinstallationen

Vor der Installation auf dem passiven Knoten müssen Sie FSE auf dem aktiven Knoten
installieren. Dies gilt für die erste Installation eines CCR-Clusterknotens. Wenn jedoch
ein Knoten ausfällt und eine Neuinstallation ausgeführt werden muss, sollten Sie die
Installation auf dem passiven Knoten ausführen, damit der passive Knoten die für gut
befundenen Daten vom aktiven Knoten repliziert. Führen Sie die Installation auf dem
aktiven Knoten aus, werden die für gut befundenen Daten überschrieben.
7

Führen Sie kein Failover für einen Clusterknoten, auf dem FSE installiert ist, auf einen
anderen Knoten aus, auf dem FSE nicht installiert ist.

Sie können keine Remoteinstallation eines CCR-Clusters ausführen. Verwenden Sie
stattdessen eine Terminalserversitzung.

Überprüfen Sie mithilfe der Clusterverwaltung, ob Exchange-Clusterressourcen auf dem
aktiven Knoten online sind, bevor Sie FSE installieren. Sind die ExchangeClusterressourcen vor der Installation von Forefront Security nicht online, wird der Knoten
als passiv erkannt.

Wenn Sie FSE auf einem CCR-Cluster installieren, muss der Installationspfad für beide
Knoten identisch sein.
Installieren auf einem SCC-Cluster mit
Exchange 2007
Installieren Sie FSE zuerst auf dem aktiven Knoten und anschließend auf dem passiven
Knoten. Befolgen Sie dabei die Anweisungen für Clusterinstallationen im "Handbuch für die
Installation von Microsoft Forefront Security für Exchange Server im Cluster" auf TechNet.
Wichtige Überlegungen zu SCC-Clusterinstallationen

Für Einzelkopiecluster (Single Copy Cluster, SCC) muss die Clustergruppe denselben
Namen aufweisen wie die Netzwerknamenressource. Andernfalls schlägt die FSEInstallation fehl.
Tipps zur SCC-Clusterinstallation
Das Installieren auf einem Cluster mithilfe der Konfiguration und Benennung der Ressourcen
innerhalb des Clusteradministrators ist schwierig. Das Entwickeln und Testen einer
Clusterinstallation setzt die Standardkonfiguration im Clusteradministrator voraus. Dieses hat
zu einiger Verwirrung und zu Installationsproblemen geführt. Probleme können entstehen,
wenn innerhalb der Clusterverwaltung Namensänderungen vorgenommen wurden, dies führt
zu zusätzlicher Verwirrung während der Installation.
Der Installationsprozess verwendet den Ressourcennamen, um den Laufwerkbuchstaben für
die Installation abzuleiten. Während der Installation wird der Benutzer aufgefordert, ein
freigegebenes Laufwerk und einen Clusterordner anzugeben. Basierend auf den
aufgelisteten Voraussetzungen, werden die Ergebnisse der zahlreichen Kombinationen unten
aufgelistet.
Übernehmen Sie die folgende Konfiguration im Clusteradministrator:
8
Ressourcennamen
Physischer Pfad
Typ
Laufwerk E:
E:
Freigegebenes Laufwerk
Laufwerk F:
F:
Freigegebenes Laufwerk
Laufwerk G:
G:
Freigegebenes Laufwerk
Mtptdr
F:\mpd
Bereitstellungspunkt
Gmpd
G:\mpd2
Bereitstellungspunkt
Für freigegebenes Laufwerk installiert:
Datenträgerressourcenname
Clusterordner
Pfad für Forefront-Benutzer
E:
Forefront-Cluster
E:\Forefront Cluster
Laufwerk F:
Forefront-Cluster
F:\Forefront Cluster
E:
Test\Forefront Cluster
E:\test\Forefront Cluster
F:\mtpdr
Forefront-Cluster
X – keine Übereinstimmung
im Ressourcennamen
F:\mpd
Forefront-Cluster
X – keine Übereinstimmung
im Ressourcennamen
E:\test
Forefront-Cluster
X – keine Übereinstimmung
im Ressourcennamen
F:
Forefront-Cluster
X – keine Übereinstimmung
im Ressourcennamen
für freigegebenes Laufwerk
Für Bereitstellungspunkt des Laufwerks installiert:
Datenträgerressourcenname
Clusterordner
Pfad für Forefront-Benutzer
G:
mpd2\Forefront Cluster
gmpd\Forefront Cluster
Laufwerk F:
mpd\Forefront Cluster
F:\mpd\Forefront Cluster
Mpd
Forefront-Cluster
X – kein Laufwerk ist mit dem
Bereitstellungspunkt der
Ressource verbunden
für freigegebenes Laufwerk
9
Datenträgerressourcenname
Clusterordner
Pfad für Forefront-Benutzer
E:
mpd\Forefront Cluster
X – Wird installiert, aber nicht
zum Bereitstellungspunkt. Es
wird in <E:\mpd\Forefront
Cluster> installiert
G:
gmpd\Forefront Cluster
X – Wird installiert, aber nicht
zum Bereitstellungspunkt. Es
wird in <g:\gmpd\Forefront
Cluster> installiert
für freigegebenes Laufwerk
Weitere Überlegungen

Es muss mindestens ein passiver Knoten vorhanden sein.

In Forefront werden eine beliebige Anzahl aktiver Knoten und ein oder mehrere passive
Knoten unterstützt.

Jeder Knoten kann nur auf einem CMS zur gleichen Zeit ausgeführt werden.

Failover müssen auf den passiven Knoten ausgeführt werden.

Sämtliche Konfigurationsdaten werden auf dem freigegebenen Laufwerk gespeichert,
aktive und passive Knoten weisen also die gleichen Einstellungen auf.
Scannen des Exchange 2007Postfachservers beim Zugriff
Durch den Schutz beim Zugriff werden nicht gescannte Elemente zum Scannen an FSE
gesendet, bevor sie von einem E-Mail-Client abgerufen werden. Nach der Neuinstallation von
FSE werden beim Zugriff sämtliche E-Mails gescannt, die höchstens einen Tag alt sind.
Jeden Tag werden von FSE 24 Stunden zum Grenzwert für Scanzugriff addiert, sodass
nach und nach immer ältere E-Mails gescannt werden. E-Mails, die älter sind als der aktuelle
Grenzwert für Scanzugriff, werden nicht gescannt, auch nicht bei Zugriff. Dadurch wird
verhindert, dass das System durch den ersten Scan bei der Installation von FSE überlastet
wird. Durch diese Einstellung für Grenzwert für Scanzugriff wird die Leistung des
Postfachservers verbessert, wenn alle Nachrichten auf dem Server noch nicht gescannt
wurden. Für große Postfachserver kann also bei der ersten Installation ein verminderter
Schutz erforderlich sein, um eine adäquate Serverleistung sicherzustellen.
10
Bewährte Methoden für Forefront Security
für Exchange Server – Während eines
Virenausbruchs
Während eines Virenausbruchs sollten Sie das Feature Bei Scanner-Update scannen unter
Allgemeine Optionen aktivieren. Dadurch werden die E-Mails immer wieder gescannt, wenn
Ihre Scanmodule aktualisiert werden.
Normalerweise würden Sie diese Einstellung nicht auswählen. Wenn auf dem Server aber
viel freie Kapazität verfügbar ist und die E-Mail-Nutzung nicht beeinträchtigt wird, können Sie
mit dieser Einstellung einen optimalen Schutz sicherstellen. Bedenken Sie, dass die Auswahl
dieses Features bei einem ausgelasteten Server großen Einfluss auf die Leistung haben
kann, da beträchtlich mehr Scanvorgänge für den Speicher ausgeführt werden.
Sie können auch Hintergrundscans verwenden (bei denen die aktuellen Signaturen für
Module angewendet werden, die für den Echtzeitscanauftrag ausgewählt wurden), um einen
Postfachserver nach einem Ausbruch zu scannen. Dadurch wird der Server von Malware
bereinigt, die auf den Server gelangt ist, bevor die Schutzsignaturen zur Verfügung standen.
Wenn zusätzliche Informationen über bestimmte Merkmale von bösartigen E-Mails bekannt
werden, können Dateifilter oder Filter für die Betreffzeile im Echtzeitscanauftrag aktiviert
werden.
Bewährte Methoden für Forefront Security
für Exchange Server – Allgemeine
Optionen
Allgemeine Optionen, auf die Sie über den Bereich EINSTELLUNGEN von Forefront Server
Security Administrator zugreifen, ermöglichen Ihnen den Zugriff auf eine Vielzahl von
Systemeinstellungen für Forefront Security für Exchange Server. Sie müssen also zum
Ändern dieser Einstellungen nicht auf die Registrierung zugreifen.
Obwohl viele Optionen über den Bereich Allgemeine Optionen gesteuert werden können,
sollten Sie möglicherweise die für jede Option voreingestellte Standardeinstellung (Aktiviert,
Deaktiviert oder Wert) für Ihr Unternehmen übernehmen. Nur in seltenen Fällen müssen
diese Einstellungen geändert werden.
11
Allgemeine Optionen – Wichtige
Einstellungen
Sie sollten diese Einstellungen besonders beachten:
Liste mit kritischen Benachrichtigungen
Wenn beim Scannen mit FSE ein Problem
auftaucht und das ordnungsgemäße
Scannen beendet wird (der ExchangeInformationsspeicher wird gespeichert und
FSE ist nicht verbunden, oder der
Informationsspeicher wird nicht normal
heruntergefahren), wird eine
Benachrichtigung an alle E-Mail-Adressen in
der Liste mit kritischen Benachrichtigungen
gesendet. Die einzelnen Adressen müssen
durch ein Semikolon (;) voneinander getrennt
werden. Sie sollten diese Einstellung
möglichst gleich nach der Installation des
Produkts konfigurieren.
Textscan – Echtzeit
Mit FSE kann der eigentliche Nachrichtentext
auf eingebettete Viren gescannt werden. Da
das Scannen von Nachrichtentexten die
Leistung stark beeinflusst, ist es
standardmäßig im Echtzeitscanauftrag
deaktiviert. Normalerweise ist es eine
bewährte Methode, das Scannen von
Nachrichtentexten in Echtzeit deaktiviert zu
lassen. Nur bei einem Virenausbruch, der
auch Viren im Nachrichtentext umfassen
kann, sollte es aktiviert werden. Das Scannen
von Nachrichtentexten ist für den
Transportscanauftrag immer aktiviert.
Beschädigte komprimierte Dateien
Sie sollten diese Option aktiviert belassen
(die Standardeinstellung). Sie sollten diese
Option auswählen, da in Forefront die Datei
nicht analysiert werden kann.
löschen
Beschädigte Uuencode-Dateien löschen
Sie sollten diese Option aktiviert belassen
(die Standardeinstellung). Sie sollten diese
Option auswählen, da in Forefront die Datei
nicht analysiert werden kann.
12
Verschlüsselte komprimierte Dateien löschen
Sie sollten diese Option auswählen, da
verschlüsselte Dateien nicht von AntivirusScanmodulen gescannt werden können.
Mehrteilige RAR-Archive als beschädigt
komprimiert behandeln
Informationen finden Sie unter Überlegungen
zur RAR-Datei.
Doc-Dateien als Container scannen -
Sie sollten diese Option auswählen, da Viren
und Würmer in Containerdateien eingebettet
werden können (z. B. DOC, XLS, PPT und
SHS). Sie sollten die entsprechende
Einstellung auch für die Transport- und
Echtzeitscanaufträge aktivieren.
Manuell
Leistung durch Überspringen
von bereits auf Viren gescannten
Nachrichten optimieren - Transport
Sie sollten diese Option aktiviert belassen,
um die durch den Antivirusstempel erzielten
Leistungssteigerungen umzusetzen. (Jede EMail erhält beim ersten Scannen im Edgeoder Hubserver einen sicheren
Antivirusheaderstempel, um bereits
gescannte E-Mails zu identifizieren. Spätere
Scanvorgänge (Hub oder Speicher)
überprüfen die E-Mail auf diesen Stempel. Ist
er vorhanden, wird die Nachricht nicht erneut
gescannt.) Wenn diese Option aktiviert ist,
werden Nachrichten, die bereits zuvor
erfolgreich von einem Transportserver (Hub
oder Edge) gescannt wurden, nicht noch
einmal gescannt. Informationen dazu, wie Sie
ein erneutes Scannen durch den
Postfachserver durchsetzen können, finden
Sie weiter unten in der Beschreibung des
Registrierungsschlüssels
DisableAVStamping im Abschnitt
"Überlegungen zum Scannen".
13
Bei Scanner-Update scannen
Während eines Ausbruchs sollten Sie diese
Option aktivieren. Dann werden E-Mails
immer gescannt, wenn ein Modul aktiviert
wird. Sie erreichen den optimalen Schutz, da
das Scannen immer mit aktuellen Signaturen
erfolgt. Ist der Ausbruch vorüber, deaktivieren
Sie diese Option wieder, da sie negativen
Einfluss auf die Systemleistung haben kann.
Wichtig
Wenn die Option Bei ScannerUpdate scannen aktiviert ist und
während eines Hintergrundscans ein
Modulupdate auftritt, wird der
Hintergrundscan bei der ersten EMail im gescannten Postfach neu
gestartet. Treten vor dem Abschluss
des Hintergrundscans weitere
Modulupdates auf, wird der
Hintergrundscan unbegrenzt weiter
ausgeführt. Daher wird empfohlen,
keinen Hintergrundscan für ein
großes Dataset zu planen, wenn die
Option Bei Scanner-Update
scannen aktiviert ist.
14
Anzahl von Echtzeitprozessen
Zur Leistungssteigerung können in FSE
zusätzliche Prozesse für den
Echtzeitscanauftrag erstellt werden. Scannt
der erste Prozess gerade eine Datei, beginnt
der zweite Prozess mit dem Scannen usw.
Durch Ändern dieses Werts kann die Anzahl
von Prozessen auf bis zu zehn erhöht
werden. Der Forefront-Dienst muss
wiederverwendet werden, damit die
Änderung wirksam wird. Seien Sie jedoch
vorsichtig bei der Erhöhung der Anzahl von
Prozessen, da jeder zusätzliche
Serverressourcen nutzt. Am besten erhöhen
Sie die Anzahl jeweils nur um einen Prozess
und bewerten bei jedem Schritt die Leistung.
Optimalerweise ist die Anzahl von Prozessen
doppelt so hoch, wie die Anzahl effektiver
Prozessoren auf dem Server. Für einen
Server mit zwei Prozessoren oder einen
Server mit einem Dual Core-Prozessor sollte
z. B. der Wert für Anzahl von
Echtzeitprozessen auf vier (die
Standardeinstellung) festgelegt werden.
Enthält der Server zwei Dual CoreProzessoren, ist die empfohlene Einstellung
acht. Diese Richtlinie gilt auch für Zählung
bei Transportvorgang.
Aus Quarantänesicherheit übermitteln
Zwar empfehlen wir die Standardeinstellung
Sicherer Modus, da sie die größte Sicherheit
bietet. Mit dieser Auswahl kann aber ein
großer Verwaltungsaufwand verbunden sein.
Wenn Sie über eine unter Quarantäne
gestellte Datei verfügen, die freigegeben
werden muss, müssen Sie mit der Einstellung
Sicherer Modus den Dateifilter vollständig
deaktivieren, der die Quarantäne der Datei
verursacht hat, bevor Sie die Datei freigeben
können. Anschließend müssen Sie den Filter
wieder aktivieren. Deshalb ist die Einstellung
Kompatibilitätsmodus möglicherweise
besser geeignet.
15
Max. Größe der Containerdatei
Diesen Wert sollten Sie entsprechend Ihrer
E-Mail-Richtlinie für die maximale Größe von
Dateianlagen ändern. Wird eine
Filterübereinstimmung oder ein Virus
gefunden, werden Anlagen automatisch
gelöscht, die größer als dieser Wert sind. Die
Standardeinstellung beträgt 26.214.400 Byte.
Interne Adresse
Sie sollten die Adressen einrichten, die für
FSE als intern gelten. Verwenden Sie dieses
Feld für eine geringe Anzahl von Adressen.
Verwenden Sie die externe Datei
Domains.dat, wenn Sie über eine große
Anzahl von Adressen verfügen.
Hintergrund-Scan aktivieren, wenn "Bei
Scanner-Update
Initiiert bei jedem Update eines Scanmoduls
einen Hintergrundscan, wenn unter
Allgemeine Optionen die Einstellung Bei
Scanner-Update scannen aktiviert ist. Diese
Option sollte aktiviert sein, auch wenn Bei
Scanner-Update scannen deaktiviert ist.
Hintergrundscans gelten nur für
Postfachserver, auf denen FSE installiert ist.
scannen" aktiviert ist
Nachrichten scannen, die eingegangen
sind seit x Tagen
Für den Installationsspeicher sollte FSE so
eingerichtet werden, dass die E-Mails
gescannt werden, die in den letzten zwei
Tagen empfangen wurden (die
Standardeinstellung). Einstellungen für
Hintergrundscans unter Allgemeine
Optionen werden nur wirksam, wenn ein
Hintergrundscan geplant ist.
Hintergrundscans sollten nicht während der
Hauptnutzungszeiten des Postfachservers
ausgeführt werden.
Überlegungen zur RAR-Datei
Ein RAR-Archiv kann vollständige RAR-Dateien und RAR-Teildateien enthalten. Archive mit
Teildateien werden als mehrteilige RAR-Archive bezeichnet. Stellen Sie sich z. B. vor, dass
Sie zwei RAR-Dateien empfangen (in einer E-Mail oder in zwei E-Mails). Die erste enthält 50
vollständige komprimierte RAR-Dateien und einen Teil einer anderen. Die zweite enthält den
Rest der Teildatei und weitere 25 vollständige komprimierte RAR-Dateien. Anschließende
16
Aktionen hängen von den Werten zweier allgemeiner Optionen ab: Mehrteilige RARArchive als beschädigt komprimiert behandeln und Beschädigte komprimierte Dateien
löschen. Im Folgenden werden die verschiedenen Kombinationen dargestellt:
Mehrteilige RAR-Archive als
Beschädigte komprimierte
beschädigt komprimiert
Dateien löschen
Ergebnis
behandeln
Aktiviert
Aktiviert
Das Archiv wird als
beschädigt komprimiert
behandelt, und die E-MailAnlagen werden gelöscht,
ohne dass sie auf Viren
gescannt werden. Diese
Kombination bietet zwar die
geringste Flexibilität bei der
Verwendung von
Komprimierungsformaten,
dies sind aber die
Standardeinstellungen, die
verwendet werden sollten,
wenn eine Unterstützung für
mehrteilige RAR-Archive
nicht erforderlich ist.
17
Mehrteilige RAR-Archive als
Beschädigte komprimierte
beschädigt komprimiert
Dateien löschen
Ergebnis
behandeln
Deaktiviert
Deaktiviert
Alle Dateien eines nicht
beschädigten Archivs werden
vom Virusmodul gescannt,
auch das Archiv als Ganzes
wird gescannt. Ein Archiv mit
mindestens einer
beschädigten Datei wird nur
als Ganzes gescannt. Wird
vom Modul ein Virus
gefunden, wird in beiden
Fällen ein Versuch der
Bereinigung unternommen.
Ist die Bereinigung nicht
erfolgreich, wird das gesamte
mehrteilige RAR-Archiv
gelöscht. E-Mails mit
Archiven, in denen keine
Viren gefunden werden,
werden an den Empfänger
gesendet. Durch eine
Deaktivierung dieser
Einstellungen wird zwar eine
größere Flexibilität für
Komprimierungsformate
erreicht, dies empfiehlt sich
aber nur, wenn durch die
Aktivierung die Übermittlung
wichtiger E-Mails verhindert
wird.
18
Mehrteilige RAR-Archive als
Beschädigte komprimierte
beschädigt komprimiert
Dateien löschen
Ergebnis
behandeln
Deaktiviert
Aktiviert
Ein Archiv mit mindestens
einer beschädigten Datei wird
gelöscht und nicht gescannt.
Alle Dateien eines nicht
beschädigten Archivs werden
von den Virusmodulen
gescannt. Alle gefundenen
Viren, die nicht bereinigt
werden können, führen dazu,
dass die entsprechende
Datei aus dem Archiv
gelöscht wird. Dann wird das
Archiv selbst als Ganzes
gescannt. Alle gefundenen
Viren, die nicht bereinigt
werden können, führen dazu,
dass das gesamte
mehrteilige RAR-Archiv
gelöscht wird. E-Mails mit
Archiven, in denen keine
Viren gefunden werden,
werden an den Empfänger
gesendet. Da Sie mit dieser
Kombination von
Einstellungen vor
beschädigten komprimierten
Dateien geschützt werden,
empfehlen wir diese
Einstellungen, sofern
Unterstützung mehrteiliger
RAR-Archive erforderlich ist.
19
Mehrteilige RAR-Archive als
Beschädigte komprimierte
beschädigt komprimiert
Dateien löschen
Ergebnis
behandeln
Aktiviert
Deaktiviert
Alle mehrteiligen RARArchive werden als
beschädigt komprimiert
behandelt. Nur das Archiv als
Ganzes wird gescannt. Alle
gefundenen Viren, die nicht
bereinigt werden können,
führen dazu, dass das
gesamte mehrteilige RARArchiv gelöscht wird. E-Mails
mit Archiven, in denen keine
Viren gefunden werden,
werden an den Empfänger
gesendet. Da diese
Kombination die geringste
Effektivität bei Antivirusscans
bietet, ist sie nicht
empfehlenswert.
Exchange Best Practices Analyzer
Mit Microsoft Exchange Best Practices Analyzer werden Einstellungen und Werte aus der
Registrierung, Active Directory (AD), der Metabasis und dem Systemmonitor gesammelt. Die
Einstellungen werden mit einer Reihe von Regeln für bewährte Methoden verglichen. Dann
wird ein Bericht generiert, in dem Empfehlungen zur Optimierung des Systems aufgeführt
sind.
Sie können Exchange Best Practices Analyzer von der Downloadseite für Exchange Best
Practices Analyzer herunterladen.
Zu den Elementen, die von Exchange Best Practices Analyzer überprüft werden, gehören die
Einstellungen für Allgemeine Optionen, ob die FSE-Dienste gestartet wurden sowie die
folgenden Registrierungseinträge, die nicht unter Allgemeine Optionen verfügbar sind.
Weitere Informationen zu Registrierungswerten finden Sie im Abschnitt
"Registrierungsschlüssel" im "Benutzerhandbuch für Microsoft Forefront Security für
Exchange Server".
20
InternetTimeout
Sie können Zeitüberschreitungsprobleme bei Transportscans verhindern, indem Sie die für
den Registrierungswert InternetTimeout angegebene Zeit erhöhen. Da es sich hierbei um
einen ausgeblendeten Registrierungswert handelt, müssen Sie einen neuen DWORDRegistrierungswert namens InternetTimeout erstellen und die Zeit in Millisekunden
festlegen. Wird ein zu niedriger Wert festgelegt, kann es bei der Verarbeitung eines Elements
im Virenscanner zu schnell zu einer Zeitüberschreitung kommen. Wird ein zu hoher Wert
festgelegt, kann die Verarbeitung eines Elements im Virenscanner zu lange dauern. Deshalb
empfiehlt sich ein Mindestwert von 150000 und ein Höchstwert von 660000.
RealtimeTimeout
Sie können Zeitüberschreitungsprobleme beim Scannen des Informationsspeichers
verhindern, indem Sie die für den Registrierungswert RealtimeTimeout angegebene Zeit
erhöhen. Dieser Wert wird wie der Registrierungsschlüssel InternetTimeout erstellt und
festgelegt.
Bewährte Methoden für Forefront Security
für Exchange Server – Überlegungen zum
Scannen
In diesem Abschnitt werden die Auswirkungen verschiedener Scanoptionen auf
Transportscans (Transportscanauftrag) und Speicher-Scans (Echtzeit- oder manueller
Scanauftrag) beschrieben. Für den Speicher-Scan gibt es vier Optionen, die nach Bedarf
aktiviert werden können. Zwei sind allgemeine Optionen (Bei Scanner-Update scannen und
Hintergrund-Scan aktivieren, wenn "Bei Scanner-Update scannen" aktiviert ist) und
zwei sind in der Registrierung (DisableAVStamping und Proaktiver Scanvorgang)
festgelegt. Alle Optionen haben Auswirkungen auf das Verhalten des Speicher-Scans
(DisableAVStamping beeinflusst zudem Transportscans). Allgemein kann gesagt werden,
dass mit der Aktivierung der einzelnen Optionen die Anzahl von Speicher-Scans steigt und
damit auch der Schutz. Ein erhöhtes Scanpotenzial beeinträchtigt jedoch die Leistung.
Bei Scanner-Update scannen [Allgemeine
Option]
Bewirkt, dass bereits gescannte Dateien erneut gescannt werden, wenn nach einer
Scanmodulaktualisierung darauf zugegriffen wird. Dies bedeutet einen erhöhten Schutz, da
Nachrichten mit den aktuellen Signaturen erneut gescannt werden. Diese Einstellung gilt nur
21
für die Postfachserverfunktion. Weitere bewährte Methoden zu Scannerupdates finden Sie
unter Bewährte Methoden für Forefront Security für Exchange Server – Aktualisieren von
Modulen.
Hintergrund-Scan aktivieren, wenn "Bei
Scanner-Update scannen" aktiviert ist
[Allgemeine Option]
Verursacht bei jedem Update eines Scanmoduls einen Hintergrundscan, wenn unter
Allgemeine Optionen die Einstellung Bei Scanner-Update scannen aktiviert wurde. Diese
Einstellung gilt nur für die Postfachserverfunktion. Da die Module häufig aktualisiert werden,
werden mit dieser Einstellung Hintergrundscans für große Postfachspeicher ausgelöst.
DisableAVStamping [Registrierung]
Nach dem Scannen der einzelnen Nachrichten in der Exchange 2007-Transportfunktion wird
in FSE ein sicherer Antivirenstempel angewendet. Auf diese Weise wird doppeltes Scannen
in der Postfachserverfunktion vermieden, wenn die Nachrichten im Speicher abgelegt
werden.
Sie sollten den sicheren Antivirentransportstempel wie vorgesehen verwenden. Sie sollten
ihn nur deaktivieren, wenn Sie unterschiedliche Module oder Filtereinstellungen auf dem
Transportserver und dem Postfachserver verwenden möchten. Andernfalls kommt es zum
unnötigen doppelten Scannen.
Mit dem Registrierungsschlüssel DisableAVStamping können Sie die empfohlene
Standardeinstellung außer Kraft setzen. Dadurch kann der Transportstempel unterdrückt
werden, und der Postfachserver behandelt die Nachricht, als sei sie zuvor noch nicht
gescannt worden.
Sie können die Standardeinstellung außer Kraft setzen, indem Sie einen neuen DWORDWert namens DisableAVStamping mit dem Wert 1 hinzufügen. Dieser Wert ist
standardmäßig nicht vorgesehen und ist auf <0> festgelegt (Standard).
In den folgenden Verzeichnissen werden Registrierungswerte durch Forefront Security für
Exchange Server (FSE) gespeichert:
Für 32-Bit-Systeme

<HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server>
Für 64-Bit-Systeme

<HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange
Server>
22
Proaktiver Scanvorgang [Registrierung]
Wenn der Wert von DisableAVStamping auf 1 festgelegt wird, wird empfohlen, dass Sie
proaktives Scannen auf allen Postfachservern aktivieren, zu denen der Transportserver
weitergeleitet wird. So werden neue Nachrichten auf dem Postfachserver zum Scannen in die
Warteschlange aufgenommen. Das proaktive Scannen sollte auf einem Server für Öffentliche
Ordner aktiviert sein. Legen Sie den DWORD-Wert des folgenden Exchange-Schlüssels auf
1 fest (normalerweise ist er mit einem Wert von 0 deaktiviert), um proaktives Scannen für die
Postfachserverfunktion oder die Öffentlicher Ordner-Serverfunktion zu aktivieren.

HKLM\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Bewährte Methoden für Forefront Security
für Exchange Server – Transportscan
In diesem Abschnitt werden die Auswirkungen der verschiedenen Optionen auf
Transportscans erläutert.
Transportscan mit den Standardeinstellungen
Forefront Security für Exchange Server ist darauf ausgelegt, redundantes Scannen möglichst
zu vermeiden. Wenn eine E-Mail also transportiert wird (eingehend, ausgehend oder intern),
wird die Nachricht nur vom ersten Transportknoten (Edge oder Hub) gescannt. Dort wird
dann auch der Antivirentransportstempel ergänzt. Nachfolgende Knoten beachten den
Transportstempel und scannen die Nachricht nicht noch einmal. Es empfiehlt sich, dass auf
allen Transportknoten die gleichen Scanmodule und Abweichungseinstellungen verwendet
werden.
Transportscan mit deaktiviertem Stempel
Wenn der Antivirentransportstempel deaktiviert ist (durch Deaktivieren der Einstellung
Leistung durch Überspringen von bereits auf Viren gescannten Nachrichten
optimieren - Transport unter Allgemeine Optionen), werden Nachrichten (eingehend,
ausgehend oder intern) von jedem Transportscanauftrag auf jedem Transportknoten (Edge
oder Hub) gescannt. Nutzen Sie diesen Modus, wenn Sie je nach Serverfunktion mit
unterschiedlichen Modulen scannen möchten.
23
Transportscan für ausgehende Nachrichten
Es gilt als positives Verhalten im Umgang miteinander über das Internet, wenn Sie
ausgehende Nachrichten auf Viren scannen. Darüber hinaus können Sie sich so vor der
rechtlichen Verantwortung schützen, sollte ein infizierter PC in Ihrer Organisation versuchen,
einen Virus zu versenden (ein verbreitetes Verhalten von Würmern).
Bewährte Methoden für Forefront Security
für Exchange Server – Speicher-Scan
In den folgenden Abschnitten werden in Tabellen die Auswirkungen der verschiedenen
Optionen auf Speicher-Scans gezeigt.
Speicher-Scan mit den Standardeinstellungen
In der folgenden Tabelle werden die Standardeinstellungen für Speicher-Scans beschrieben,
die in Forefront Security für Exchange Server verwendet werden. Dieses Verhalten tritt ein,
wenn keine Standardeinstellungen geändert werden.
Normaler Modus (Standardeinstellungen)
Bei der Übermittlung an den Speicher
(proaktiver Scan)
Nicht scannen
Beim ersten Zugriff, falls E-Mails neuer sind
als der Wert* Grenzwert für Scanzugriff
Nur scannen, wenn zuvor noch nicht
gescannt wurde
Beim ersten Zugriff, falls E-Mails älter sind
als der Wert* Grenzwert für Scanzugriff
Nicht scannen
Beim nächsten Zugriff
Nicht scannen
Beim Hintergrundscan
Immer scannen
Beim manuellen Scan
Immer scannen
Hinweis
Mit einem Stern (*) gekennzeichnete Elemente beziehen sich auf den Wert
Grenzwert für Scanzugriff. Weitere Informationen zu diesem Wert finden Sie unter
Scannen des Exchange 2007-Postfachservers beim Zugriff.
In den folgenden Tabellen werden die Abweichungen vom normalen Modus dargestellt, wenn
Sie die verschiedenen Optionen aktivieren.
24
Speicher-Scans mit einer aktivierten Option
In den folgenden Tabellen werden die Auswirkungen der Aktivierung einer zusätzlichen
Option für Speicher-Scans dargestellt, wenn ein Echtzeitscanauftrag oder ein manueller
Scanauftrag ausgeführt wird.
Bei Scanner-Update scannen ist aktiviert
Beim ersten Zugriff
Immer scannen
Beim nächsten Zugriff
Scannen, falls das Modul seit dem vorherigen
Scan beim Zugriff aktiviert wurde
Proaktives Scannen ist aktiviert (über den
Registrierungsschlüssel)
Bei der Übermittlung an den Speicher
(proaktiver Scan)
Immer scannen
Beim ersten Zugriff
Nicht scannen, falls proaktiv gescannt wird
Registrierungsschlüssel DisableAVStamping
ist aktiviert
Beim ersten Zugriff
Immer scannen
Speicher-Scan mit zwei aktivierten Optionen
In den folgenden Tabellen werden die Auswirkungen der Aktivierung einer Kombination von
zwei Optionen für Speicher-Scans erläutert.
Bei Scanner-Update scannen ist aktiviert
Hintergrund-Scan aktivieren, wenn "Bei
Scanner-Update scannen" aktiviert ist
Beim ersten Zugriff
Immer scannen
Beim nächsten Zugriff
Scannen, falls das Modul seit dem vorherigen
Scan beim Zugriff aktiviert wurde
Häufigkeit von Hintergrundscans
Bei jeder Modulaktualisierung
Hintergrundscan starten
25
Bei Scanner-Update scannen ist aktiviert
Proaktives Scannen ist aktiviert (über den
Registrierungsschlüssel)
Bei der Übermittlung an den Speicher
(proaktiver Scan)
Immer scannen
Beim ersten Zugriff
Scannen, wenn das Modul seit dem letzten
proaktiven Scan aktualisiert wurde.
Beim nächsten Zugriff
Scannen, falls das Modul seit dem letzten
Scan beim Zugriff aktiviert wurde
Bei Scanner-Update scannen ist aktiviert
Registrierungsschlüssel DisableAVStamping
ist aktiviert
Beim ersten Zugriff
Immer scannen
Beim nächsten Zugriff
Scannen, falls das Modul seit dem letzten
Scan beim Zugriff aktiviert wurde
Proaktives Scannen ist aktiviert
Registrierungsschlüssel DisableAVStamping
ist aktiviert
Bei der Übermittlung an den Speicher
(proaktiver Scan)
Immer scannen
Beim ersten Zugriff
Scannen, wenn das Modul seit dem letzten
proaktiven Scan aktualisiert wurde.
Beim nächsten Zugriff
Scannen, falls das Modul seit dem letzten
Scan beim Zugriff aktiviert wurde
Speicher-Scan mit drei aktivierten Optionen
In den folgenden Tabellen werden die Auswirkungen der Aktivierung einer Kombination von
drei Optionen für Speicher-Scans erläutert.
26
Bei Scanner-Update scannen ist aktiviert
Hintergrund-Scan aktivieren, wenn "Bei
Scanner-Update scannen" aktiviert ist
Proaktiver Scan ist aktiviert (über den
Registrierungsschlüssel)
Bei der Übermittlung an den Speicher
(proaktiver Scan)
Immer scannen
Beim ersten Zugriff
Scannen, wenn ein Modul seit dem letzten
proaktiven Scan aktualisiert wurde.
Beim nächsten Zugriff
Scannen, falls das Modul seit dem vorherigen
Scan beim Zugriff aktiviert wurde
Häufigkeit von Hintergrundscans
Bei jeder Modulaktualisierung
Hintergrundscan starten
Bei Scanner-Update scannen ist aktiviert
Proaktiver Scan ist aktiviert (über den
Registrierungsschlüssel)
Deaktivierung des Antivirusstempels ist
aktiviert
Bei der Übermittlung an den Speicher
(proaktiver Scan)
Immer scannen
Beim ersten Zugriff
Scannen, wenn ein Modul seit dem letzten
proaktiven Scan aktualisiert wurde.
Beim nächsten Zugriff
Scannen, falls das Modul seit dem vorherigen
Scan beim Zugriff aktiviert wurde
Bei Scanner-Update scannen ist aktiviert
Hintergrund-Scan aktivieren, wenn "Bei
Scanner-Update scannen" aktiviert ist
Deaktivierung des Antivirusstempels ist
aktiviert
Beim ersten Zugriff
Immer scannen
27
Bei Scanner-Update scannen ist aktiviert
Hintergrund-Scan aktivieren, wenn "Bei
Scanner-Update scannen" aktiviert ist
Deaktivierung des Antivirusstempels ist
aktiviert
Beim nächsten Zugriff
Scannen, falls das Modul seit dem vorherigen
Scan beim Zugriff aktiviert wurde
Speicher-Scan mit vier aktivierten Optionen
In der folgenden Tabelle werden die Auswirkungen der Aktivierung aller vier Optionen für
Speicher-Scans erläutert.
Bei Scanner-Update scannen ist aktiviert
Hintergrund-Scan aktivieren, wenn "Bei
Scanner-Update scannen" aktiviert ist
Proaktives Scannen ist aktiviert
Deaktivierung des Antivirusstempels ist
aktiviert
Bei der Übermittlung an den Speicher
(proaktiver Scan)
Immer scannen
Beim ersten Zugriff
Scannen, wenn ein Modul seit dem letzten
proaktiven Scan aktualisiert wurde.
Beim nächsten Zugriff
Scannen, falls das Modul seit dem vorherigen
Scan beim Zugriff aktiviert wurde
Bewährte Methoden für Forefront Security
für Exchange Server – Aktualisieren von
Modulen
Sie sollten zum Aktualisieren der Scanmodule die UNC-Methode verwenden. Dies bedeutet,
dass ein oder zwei Server (Hubs) die Updates vom Microsoft-HTTP-Server empfangen und
dann an die übrigen Server (Spokes) in Ihrer Umgebung verteilen, deren
28
Netzwerkaktualisierungspfade auf die Hubs verweisen. Dadurch können Sie die Nutzung
Ihrer Internetverbindung beträchtlich reduzieren und die Aktualisierungen schneller und
effizienter ausführen. Wenn Sie zwei statt einem Hub verwenden, können Sie einen Ausfall
durch einen einzelnen Punkt vermeiden, sollten auf einem der Hubs Probleme auftreten.
Hinweis
Beide Knoten eines CCR-Clusterservers sind als Neuverteilungsserver konfiguriert,
und bei diesen Servern muss diese Konfigurationsoption auch ausgewählt bleiben.
Weitere Informationen zur Verwendung der UNC-Aktualisierungsmethode finden Sie im
Kapitel zum Dateiscannerupdate im "Benutzerhandbuch für Microsoft Forefront Security für
Exchange Server".
Die Aktualisierungen sollten in der Umgebung gestaffelt ausgeführt werden, sodass die
Module der Edgeebene zuerst aktualisiert werden und die Module der Back-End-Server
später in der Stunde aktualisiert werden. Sollte eine Aktualisierung zu einem unerwarteten
Verhalten führen, haben Sie dann für die angegebene Dauer (z. B. 30 Minuten) Zeit
sicherzustellen, dass die problematische Aktualisierung nicht auf die Back-End-Server
übertragen wird.
Berücksichtigen Sie die Besonderheiten der verwendeten Module. Einige Viruslabore
veröffentlichen häufiger Signaturen als andere, aber alle Labore reagieren auf große
Ausbrüche mit einer größeren Anzahl von Aktualisierungen. Der Aktualisierungszeitplan für
alle Module, die häufiger als andere aktualisiert werden, sollte entsprechend festgelegt
werden.
Auch wenn Sie kein bestimmtes Modul verwenden, sollte es einmal täglich aktualisiert
werden, damit die Signaturen aktuell sind, wenn Sie es aktivieren müssen.
Bewährte Methoden für Forefront Security
für Exchange Server –
Antiviruseinstellungen
Konfigurieren Sie den Scanauftrag mit Ihrer Auswahl für das Modul, die
Abweichungseinstellung, die Aktion und die Quarantäne.
29
Bewährte Methoden für Forefront Security
für Exchange Server –
Abweichungseinstellung
Die Abweichungseinstellung steuert, wie viele Module benötigt werden, um Ihnen eine
akzeptable Wahrscheinlichkeit zu bieten, dass Ihr System geschützt ist (unter
Berücksichtigung, dass virtuelle Sicherheit und Systemleistung nicht genau zu vereinbaren
sind). Je mehr Module Sie verwenden, desto größer ist die Wahrscheinlichkeit, dass alle
Viren gefunden werden. Eine höhere Anzahl von Modulen wirkt sich jedoch auch stärker auf
die Systemleistung aus. In Forefront Security für Exchange Server wird ein sehr effizienter
Scanprozess im Arbeitsspeicher verwendet. Aber jedes zusätzliche Modul erhöht die
Scandauer und die Ressourcennutzung.
Das eine Extrem ist also die Anzahl der verwendeten Module für eine maximale Sicherheit.
Das andere Extrem ist die Anzahl der Module, die eine maximale Leistung ermöglichen. Wir
empfehlen, dass Sie im allgemeinen alle verfügbaren Scanmodule verwenden.
Sie können je nach Bedarf unterschiedliche Abweichungseinstellungen auf verschiedenen
Servern verwenden. So empfiehlt es sich unter Umständen, auf einem Gatewayserver nur
ein Modul zu verwenden, um so eine optimale Leistung zu erreichen. Sie können dann
mehrere Module auf Ihren anderen Servern verwenden, auf denen die Leistung nicht ganz so
kritisch ist.
Sie sollten die gleichen Module und Abweichungseinstellungen auf allen Edgetransport- und
Hubtransportservern verwenden (auch wenn ein Edgeserver von mehr Modulen und einer
höheren Abweichungseinstellung profitieren kann, damit sichergestellt ist, dass alle
Nachrichten von mehreren Modulen gescannt werden). So wird sichergestellt, dass
eingehende, ausgehende und interne Mails im gleichen Maß gescannt werden (interne Mails
werden auf dem Hub bei der Übertragung gescannt). Gleichzeitig vermeiden Sie unnötiges
doppeltes Scannen.
Hinweis
Mit Max. Sicherheit wird der E-Mail-Fluss immer unterbrochen, wenn ein Scanmodul
aktualisiert wird, da bei Max. Sicherheit jede Nachricht von jedem ausgewählten
Modul gescannt werden muss. Für eine vollständige Scanmodulabdeckung werden
die E-Mails in die Warteschlage aufgenommen, bis die Scanmodulaktualisierung
abgeschlossen ist (meist weniger als 30 Sekunden). Sie können dies vermeiden,
indem Sie Sicherheit bevorzugen auswählen. Dann werden das Scannen und der
E-Mail-Fluss von allen anderen ausgewählten Modulen fortgesetzt, während ein
Modul aktualisiert wird.
30
Abweichung für den Transportscanauftrag
Sie sollten die Abweichungsebene auf Sicherheit bevorzugen festlegen. Der
Transportscanauftrag stellt die erste Verteidigungslinie gegen unerwünschte und böswillige
Nachrichten und Anlagen dar, deshalb sollte auf dieser Ebene die umfangreichste Prüfung
erfolgen.
Sie sollten auf allen Servern eingehendes, ausgehendes und internes Scannen nutzen. Eine
Nachricht, die zwischen verschiedenen Computern mit Exchange Server in unterschiedlichen
Routinggruppen übermittelt wird, wird mithilfe von SMTP übertragen. Durch Scannen auf
dieser Ebene können Sie deshalb den Ausbruch eines SMTP-Massenmail-Wurms erkennen
und beenden.
Abweichung für den Echtzeitscanauftrag
Sie sollten mit Sicherheit bevorzugen beginnen, da Ihr wichtigste Anliegen die Sicherheit
der E-Mail-Infrastruktur sein sollte. Mit dieser Einstellung wird das Scannen mit drei bis fünf
Scanmodulen sichergestellt.
Hinweis
In Exchange 2007 ist die Standardeinstellung, E-Mails nicht zu scannen, die älter
sind als der Wert für Grenzwert für Scanzugriff. Sie können daher geöffnet werden,
ohne dass sie zuvor Scanmodule durchlaufen haben. Informationen zum Ändern
dieses Verhaltens finden Sie im Abschnitt Bewährte Methoden für Forefront Security
für Exchange Server – Überlegungen zur Bereitstellung.
Abweichung für den manuellen Scanauftrag
Sie sollten für den manuellen Scanauftrag die gleiche Abweichungseinstellung auswählen
wie für den Echtzeitscanauftrag.
Bewährte Methoden für Forefront Security
für Exchange Server – Aktion
Sie sollten für alle Scanaufträge die Aktion auf Löschen: Infektion entfernen festlegen.
Der Versuch, eine Anlage zu bereinigen und zu reparieren war vor einigen Jahren sinnvoller,
als Viren, die bereinigt werden konnten, verbreiteter waren und häufig gültige Dokumente
infiziert waren. Die Viren haben sich in den letzten Jahren verändert. Heute können die
meisten Viren nicht bereinigt werden. Außerdem sind seltener gültige Dateien infiziert. Meist
ist die gesamte Anlage ein Virus und hat keinen gültigen Inhalt. Da für das Bereinigen des
31
Virus zusätzliche Verarbeitungsressourcen erforderlich sind, ist die Option Löschen:
Infektion entfernen die bessere Wahl.
Bewährte Methoden für Forefront Security
für Exchange Server – Quarantänedateien
Das Quarantänefeature bietet ein zusätzliches Maß an Sicherheit, da Sie damit Nachrichten
abrufen können, die fälschlicherweise als Virus markiert wurden. Jedoch bedeutet die
Quarantäne von Dateien Aufwand, besonders dann, wenn täglich viele Viren gefunden
werden. Große Organisationen können jeden Monat Millionen von Viren blockieren. Viele
dieser Viren können aber Würmer sein, die nicht unter Quarantäne gestellt werden, da alle
Würmer entfernt werden. Idealerweise stellen Sie gefundene Viren unter Quarantäne. Sie
könnten jedoch feststellen, dass es besser ist, sie einfach zu löschen, auch wenn Sie
dadurch möglicherweise gültigen E-Mail-Inhalt verlieren. Ohne Quarantäne oder
Benachrichtigungen kann Ihre Virusverwaltung beträchtlich vereinfacht werden. Es besteht
aber die Gefahr, E-Mails zu verlieren, die die Benutzer empfangen möchten.
Filtern nach dem Transportscanauftrag
Sie sollten eine Filterliste für den Transportscanauftrag einrichten, die die Dateitypen enthält,
bei denen ein Virenbefall am wahrscheinlichsten ist.
Zusätzliche Filterfunktionen erhalten Sie über die Exchange 2007-Transportregeln (weitere
Informationen finden Sie in den Hilfethemen zu Exchange 2007) (möglicherweise in
englischer Sprache). Ein Unterschied zwischen FSE-Dateifilterung und ExchangeDateifilterung ist, dass in Exchange nur nach dem Dateinamen gefiltert wird. In FSE wird
dagegen versucht, Dateien zu finden und zu filtern, die möglichst mit einem Dateityp
übereinstimmen, auch wenn der Dateiname geändert wurde.
Hinweis
Sie sollten diese Liste regelmäßig überprüfen.
So konfigurieren Sie eine Filterliste potenziell gefährlicher Dateitypen
1. Erstellen Sie eine Filterliste für alle Dateien mit den folgenden Erweiterungen:
Erweiterung
Dateityp
ACE
Archivdatei
ADE
Microsoft Access-Projekterweiterung
32
ADP
Microsoft Access-Projekt
ADT
ACT!-Dokumentvorlage
APP
Ausführbare Anwendung
ASP
Active Server Page-Dateien
ARJ
Archivdatei
ASD
Word-Dateien, die immer Makros enthalten
BAS
Microsoft Visual Basic-Klassenmodul
BAT
Batchdatei
BIN
Binärdatei
BTM
Batch to Memory-Batchdatei
CBT
Lernprogramm
CEO
Virus
CHM
Kompilierte HTML-Hilfedatei
CMD
Microsoft Windows NT-Befehlsskript
CLA
Java-Klassendatei
CLASS
Java-Klassendatei
COM
Microsoft MS-DOS-Programm
CPL
Systemsteuerungsoption
CRT
Sicherheitszertifikat
CSC
Corel-Skriptdatei
CSS
Cascading Stylesheet-Datei
DLL
DLL-Dateien
DRV
Treiberdateien
EXE
Programm
EMAIL
Outlook Express-E-Mail-Nachricht
FON
Schriftartendatei
HLP
Hilfedatei
HTA
HTML-Programm
HTM*
HTML-Dateien
33
INF
Setupinformationen
INS
Internet Naming Service
ISP
Internetkommunikationseinstellungen
JE
JScript-Datei
JS
JScript-Datei
JSE
Codierte JScript-Skriptdatei
LIB
Program Library Common Object File Format
INK
Verknüpfung
MDB
Access-Datenbankdatei
MDE
MDE-Datenbank
MHT
Archivierte Webseite
MHTML
Archivierte Webseite
MHTM
Archivierte Webseite
MSC
Microsoft Common Console-Dokument
MSI
Microsoft Windows Installer-Paket
MSO
Mathematische Skriptobjektdatei
MSP
Microsoft Windows Installer-Patch
MST
Microsoft Visual Test-Quelldateien
OBJ
Verschiebbarer Objektcode
OCX
Ausführbare Datei zur Steuerung von Objektverknüpfung und einbettung
OV?
OrgViewer-Datei
PCD
Foto-CD-Abbild, kompiliertes Microsoft Visual-Skript
PGM
CGI-Programm
PIF
Verknüpfung mit dem MS-DOS-Programm
PRC
Palm Pilot-Ressourcendatei
RAR
Archivdatei
REG
Registrierungseintrag
SRC
Bildschirmschoner
34
SCT
Windows Script Component
SHB
Verknüpfung in ein Dokument
SHS
Shell-Datenauszug
SMM
AMI Pro-Makro
SWF
Macromedia-Dateien
SYS
Systemgerätetreiber
TAR
Archivdatei
URL
Internetverknüpfung
VB
VBScript-Datei
VBE
Codierte VBScript-Skriptdatei
VBS
VBScript-Datei
VXD
Virtueller Gerätetreiber
WSC
Windows Script Component
WSF
Windows-Skriptdatei
WSH
Windows Script Host-Einstellungsdatei
*}
CLSID-Filter
2. Filtern Sie diese Dateien in allen Containerdateien.
3. Stellen Sie sicher, dass Beschädigte komprimierte Dateien löschen unter Allgemeine
Optionen ausgewählt ist.
4. Stellen Sie sicher, dass Verschlüsselte komprimierte Dateien löschen unter
Allgemeine Optionen ausgewählt ist.
5.
Aktivieren Sie den Filter.
6. Speichern Sie den Filter.
35