ΕΠΙΔΙΟΡΘΩΣΗ: Η σάρωση για λογισμικό κακόβουλης λειτουργίας διαρκεί περισσότερο από το αναμενόμενο στην Πύλη διαχείρισης απειλών του Microsoft Forefront 2010 όταν ορίζετε την επιλογή "Αποκλεισμός αρχείων μεγαλύτερων από (MB)" ώστε να επιτρέπονται πολύ μεγάλα αρχεία
Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες που σας δείχνουν πώς μπορείτε να βοηθήσετε να μειώσετε τις ρυθμίσεις ασφαλείας ή πώς μπορείτε να απενεργοποιήσετε τις δυνατότητες ασφαλείας σε έναν υπολογιστή. Μπορείτε να κάνετε αυτές τις αλλαγές για να επιλύσετε ένα συγκεκριμένο πρόβλημα. Προτού κάνετε αυτές τις αλλαγές, η Microsoft συνιστά να αξιολογήσετε τους κινδύνους που σχετίζονται με την εφαρμογή αυτής της επίλυσης στο συγκεκριμένο περιβάλλον σας. Εάν επιλέξετε να εφαρμόσετε αυτήν την επίλυση, ακολουθήστε τυχόν κατάλληλα πρόσθετα βήματα για να συμβάλετε στην προστασία του συστήματός σας.
Όταν χρησιμοποιείτε το Microsoft Forefront Threat Management Gateway (TMG) 2010 Malware Scanning, μπορείτε να περιορίσετε το μέγεθος των αρχείων που λαμβάνονται χρησιμοποιώντας την επιλογή Αποκλεισμός αρχείων μεγαλύτερων από (MB).
Σημείωση Η επιλογή Αποκλεισμός αρχείων μεγαλύτερων από (MB) βρίσκεται στην καρτέλα Ρυθμίσεις επιθεώρησης του παραθύρου διαλόγου Έλεγχος λογισμικού κακόβουλης λειτουργίας .
Εάν ορίσετε την τιμή για αυτή την επιλογή έτσι ώστε το TMG 2010 να σαρώνει πολύ μεγάλα αρχεία, η σάρωση λογισμικού κακόβουλης λειτουργίας TMG διαρκεί περισσότερο από το αναμενόμενο. Για παράδειγμα, ένα αρχείο 4 gigabyte (GB) μπορεί να διαρκέσει έως και 30 λεπτά για τη σάρωση του μηχανισμού ελέγχου κακόβουλου λογισμικού.
Σημείωση Δεν μπορείτε να ρυθμίσετε τις παραμέτρους της σάρωσης λογισμικού κακόβουλης λειτουργίας TMG για την εκτέλεση μερικής σάρωσης και τη σάρωση μόνο των πρώτων megabyte αρχείων που έχουν ληφθεί.
Συμπτώματα
Προειδοποίηση Αυτή η λύση μπορεί να κάνει τον υπολογιστή ή το δίκτυό σας πιο ευάλωτο σε επιθέσεις από κακόβουλους χρήστες ή από κακόβουλο λογισμικό, όπως ιούς. Η Microsoft δεν συνιστά αυτήν την επίλυση, αλλά παρέχει αυτές τις πληροφορίες, ώστε να μπορείτε να επιλέξετε να εφαρμόσετε αυτήν την επίλυση κατά τη διακριτική σας ευχέρεια. Χρησιμοποιήστε αυτήν την ανάλυση με δική σας ευθύνη.
Για να επιλύσετε αυτό το πρόβλημα, εγκαταστήστε την ενημέρωση λογισμικού που περιγράφεται στο ακόλουθο άρθρο της Γνωσιακής βάσης της Microsoft:
2517957 Ενημέρωση λογισμικού 1 Συνάθροιση 4 για Forefront Threat Management Gateway (TMG) 2010 Service Pack 1Αυτή η άμεση επιδιόρθωση παρουσιάζει μια νέα ρύθμιση, τη ScanMaxSizeOnlyIfExceeds. Αυτή η ρύθμιση αλλάζει τη συμπεριφορά της ρύθμισης Ρύθμιση παραμέτρων Αποκλεισμού μεγαλύτερων από (MB) από όριο του μέγιστου μεγέθους αρχείων που έχουν ληφθεί σε όριο μερικής σάρωσης σε megabyte όταν ορίζετε την τιμή ScanMaxSizeOnlyIfExceeds σε True.
Όταν η ρύθμιση ScanMaxSizeOnlyIfExceeds έχει οριστεί σε Αληθές, δεν εφαρμόζεται όριο μεγέθους στα ληφθέντα αρχεία. Ωστόσο, όταν κάνετε λήψη ενός αρχείου είναι μεγαλύτερο από την τιμή που έχει οριστεί στην επιλογή Αποκλεισμός αρχείων μεγαλύτερων από (MB), σαρώνεται μόνο ένα τμήμα του αρχείου (ίσο με το μέγεθος που έχει οριστεί σε αυτή την επιλογή).
Η προεπιλεγμένη ρύθμιση του ScanMaxSizeOnlyIfExceeds είναι False. Μπορείτε να εφαρμόσετε αυτήν τη ρύθμιση σε επίπεδο πίνακα ή σε επίπεδο κανόνα. Για να ενεργοποιήσετε τη ρύθμιση χρησιμοποιώντας μια δέσμη ενεργειών, επιλέξτε την κατάλληλη δέσμη ενεργειών από αυτές που παρουσιάζονται παρακάτω και, στη συνέχεια, εκτελέστε την σε ένα από τα μέλη του πίνακα. Μπορείτε επίσης να χρησιμοποιήσετε την Κονσόλα διαχείρισης TMG για να ορίσετε την τιμή της επιλογής Αποκλεισμός αρχείων μεγαλύτερων από (MB).
Δέσμη ενεργειών επιπέδου Αφηγητή
Αντιγράψτε την ακόλουθη δέσμη ενεργειών στο Σημειωματάριο, αποθηκεύστε τη δέσμη ενεργειών με το όνομα EnableMaxSizeScanAllowRule.vbs και, στη συνέχεια, σε μια γραμμή εντολών, εκτελέστε τη δέσμη ενεργειών ως εξής:
EnableMaxSizeScanAllowRule.vbs cscript
Const SE_VPS_GUID = "{DFAEF493-C442-4F80-9622-5DA4143287D8}"
Const SE_VPS_NAME = "ScanMaxSizeOnlyIfExceeds"
Const SE_VPS_VALUE = true
Sub SetValue()
' Create the root obect.
Dim root ' The FPCLib.FPC root object
Set root = CreateObject("FPC.Root")
'Declare the other objects needed.
Dim array ' An FPCArray object
Dim VendorSets ' An FPCVendorParametersSets collection
Dim VendorSet ' An FPCVendorParametersSet object
' Get references to the array object
' and the network rules collection.
Set array = root.GetContainingArray
set malwareInspectionSettings = array.MalwareInspectionSettings
set scannerSettings = malwareInspectionSettings.ScannerSettings
Set VendorSets = scannerSettings.VendorParametersSets
On Error Resume Next
Set VendorSet = VendorSets.Item( SE_VPS_GUID )
If Err.Number <> 0 Then
Err.Clear
' Add the item
Set VendorSet = VendorSets.Add( SE_VPS_GUID )
CheckError
WScript.Echo "New VendorSet added... " & VendorSet.Name
Else
WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
End If
if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
Err.Clear
VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
If Err.Number <> 0 Then
CheckError
Else
VendorSets.Save false, true
CheckError
If Err.Number = 0 Then
WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
End If
End If
Else
WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
End If
End Sub
Sub CheckError()
If Err.Number <> 0 Then
WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
Err.Clear
End If
End Sub
SetValue
Δέσμη ενεργειών επιπέδου κανόνα
Αντιγράψτε την ακόλουθη δέσμη ενεργειών στο Σημειωματάριο, αποθηκεύστε τη δέσμη ενεργειών με το όνομα EnableMaxSizeScanAllowRule.vbs και, στη συνέχεια, σε μια γραμμή εντολών, εκτελέστε τη δέσμη ενεργειών ως εξής:
cscript EnableMaxSizeScanAllowRule /RuleName:"MyRule"Replace the placeholder MyRule with the name of the relevent TMG Access rule.
Const SE_VPS_GUID = "{DFAEF493-C442-4F80-9622-5DA4143287D8}"
Const SE_VPS_NAME = "ScanMaxSizeOnlyIfExceeds"
Const SE_VPS_VALUE = true
Sub SetValue()
' Create the root obect.
Dim root ' The FPCLib.FPC root object
Set root = CreateObject("FPC.Root")
'Declare the other objects needed.
Dim array ' An FPCArray object
Dim VendorSets ' An FPCVendorParametersSets collection
Dim VendorSet ' An FPCVendorParametersSet object
' Get references to the array object
' and the network rules collection.
Set array = root.GetContainingArray
ruleName= WScript.Arguments.Named("RuleName")
set rule = array.ArrayPolicy.PolicyRules.Item(ruleName)
set malwareInspectionSettings = rule.MalwareInspectionProperties
set scannerSettings = malwareInspectionSettings.ScannerSettings
Set VendorSets = scannerSettings.VendorParametersSets
On Error Resume Next
Set VendorSet = VendorSets.Item( SE_VPS_GUID )
If Err.Number <> 0 Then
Err.Clear
' Add the item
Set VendorSet = VendorSets.Add( SE_VPS_GUID )
CheckError
WScript.Echo "New VendorSet added... " & VendorSet.Name
Else
WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
End If
if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
Err.Clear
VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
If Err.Number <> 0 Then
CheckError
Else
VendorSets.Save false, true
CheckError
If Err.Number = 0 Then
WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
End If
End If
Else
WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
End If
End Sub
Sub CheckError()
If Err.Number <> 0 Then
WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
Err.Clear
End If
End Sub
SetValue
Για να επαναφέρετε τις αλλαγές που κάνατε χρησιμοποιώντας τη δέσμη ενεργειών πίνακα ή τη δέσμη ενεργειών "Κανόνας" και για να επαναφέρετε την προεπιλεγμένη συμπεριφορά της ρύθμισης Αποκλεισμός αρχείων μεγαλύτερων από (MB), επεξεργαστείτε τη σχετική δέσμη ενεργειών και αλλάξτε την ακόλουθη γραμμή από:
Const SE_VPS_VALUE = trueTo:
Const SE_VPS_VALUE = falseThen, επαναλάβετε την εκτέλεση της δέσμης ενεργειών ακολουθώντας τις κατάλληλες οδηγίες.
Επίλυση
Σημαντικό! Λάβετε υπόψη ότι, όταν ορίζετε τη ρύθμιση ScanMaxSizeOnlyIfExceeds σε False, εισάγετε έναν κίνδυνο για την ασφάλεια. Αυτό συμβαίνει επειδή ένα μεγάλο αρχείο που περιέχει λογισμικό κακόβουλης λειτουργίας στην ενότητα του αρχείου που δεν έχει σαρωθεί θα μπορούσε να μεταβιβαστεί από την TMG στον υπολογιστή-πελάτη.
Η Microsoft συνιστά την πλήρη σάρωση αρχείων. Επομένως, σας συμβουλεύουμε να χρησιμοποιείτε αυτήν τη ρύθμιση μόνο αφού εξετάσετε προσεκτικά τον κίνδυνο και μόνο αν χρησιμοποιήσετε μια προσέγγιση σε βάθος άμυνας για τον εντοπισμό λογισμικού κακόβουλης λειτουργίας, συμπεριλαμβανομένου του κατάλληλου λογισμικού προστασίας από λογισμικό κακόβουλης λειτουργίας από την πλευρά του προγράμματος-πελάτη.