OPLOSSING: Het scannen van malware duurt langer dan verwacht in Microsoft Forefront Threat Management Gateway 2010 wanneer u de optie Bestanden blokkeren groter dan (MB) instelt om zeer grote bestanden toe te staan
Belangrijk Dit artikel bevat informatie over het verlagen van beveiligingsinstellingen of het uitschakelen van beveiligingsfuncties op een computer. Je kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, raadt Microsoft u aan de risico's te evalueren die gepaard gaan met het implementeren van deze oplossing in uw specifieke omgeving. Als u ervoor kiest om deze oplossing te implementeren, moet u de benodigde aanvullende stappen uitvoeren om uw systeem te beschermen.
Wanneer u Microsoft Forefront Threat Management Gateway (TMG) 2010 Malware Scanning gebruikt, kunt u de grootte van bestanden beperken die worden gedownload met behulp van de optie Bestanden groter dan (MB) blokkeren .
Opmerking De optie Bestanden blokkeren groter dan (MB) bevindt zich op het tabblad Inspectie-instellingen van het dialoogvenster Malware-inspectie .
Als u de waarde voor deze optie zo instelt dat TMG 2010 zeer grote bestanden scant, duurt TMG Malware Scanning langer dan verwacht. Het kan bijvoorbeeld 30 minuten duren voordat een bestand van 4 gigabyte (GB) is gescand door de malware-inspectie-engine.
Opmerking U kunt TMG Malware Scanning niet configureren om een gedeeltelijke scan uit te voeren en alleen de eerste paar megabytes aan gedownloade bestanden te scannen.
Symptomen
Waarschuwing Deze oplossing kan uw computer of uw netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of door schadelijke software zoals virussen. Microsoft raadt deze oplossing niet aan, maar verstrekt deze informatie zodat u deze oplossing naar eigen goeddunken kunt implementeren. Gebruik deze oplossing op eigen risico.
U kunt dit probleem oplossen door de software-update te installeren die wordt beschreven in het volgende Microsoft Knowledge Base-artikel:
2517957 Software Update 1 Rollup 4 voor Forefront Threat Management Gateway (TMG) 2010 Service Pack 1Deze hotfix introduceert een nieuwe instelling, ScanMaxSizeOnlyIfExceeds. Met deze instelling wordt het gedrag van de configuratie-instelling Bestanden blokkeren groter dan (MB) gewijzigd van een limiet voor de maximale grootte van gedownloade bestanden in een gedeeltelijke scanlimiet in megabytes wanneer u ScanMaxSizeOnlyIfExceeds instelt op True.
Wanneer ScanMaxSizeOnlyIfExceeds is ingesteld op Waar, wordt er geen groottelimiet toegepast op gedownloade bestanden. Wanneer u echter een bestand downloadt dat groter is dan de waarde die is ingesteld in de optie Bestanden blokkeren groter dan (MB), wordt slechts een deel van het bestand (gelijk aan de grootte die is ingesteld in die optie) gescand.
De standaardinstelling van ScanMaxSizeOnlyIfExceeds is False. U kunt deze instelling toepassen op matrixniveau of op regelniveau. Als u de instelling wilt inschakelen met behulp van een script, selecteert u het juiste script uit de onderstaande scripts en voert u het uit op een van de matrixleden. U kunt ook de TMG-beheerconsole gebruiken om de waarde van de optie Bestanden blokkeren groter dan (MB) in te stellen.
Script op niveau van de arrary
Kopieer het volgende script naar Kladblok, sla het script op met de naam EnableMaxSizeScanAllowRule.vbs en voer het script vervolgens als volgt uit bij een opdrachtprompt:
cscript EnableMaxSizeScanAllowRule.vbs
Const SE_VPS_GUID = "{DFAEF493-C442-4F80-9622-5DA4143287D8}"
Const SE_VPS_NAME = "ScanMaxSizeOnlyIfExceeds"
Const SE_VPS_VALUE = true
Sub SetValue()
' Create the root obect.
Dim root ' The FPCLib.FPC root object
Set root = CreateObject("FPC.Root")
'Declare the other objects needed.
Dim array ' An FPCArray object
Dim VendorSets ' An FPCVendorParametersSets collection
Dim VendorSet ' An FPCVendorParametersSet object
' Get references to the array object
' and the network rules collection.
Set array = root.GetContainingArray
set malwareInspectionSettings = array.MalwareInspectionSettings
set scannerSettings = malwareInspectionSettings.ScannerSettings
Set VendorSets = scannerSettings.VendorParametersSets
On Error Resume Next
Set VendorSet = VendorSets.Item( SE_VPS_GUID )
If Err.Number <> 0 Then
Err.Clear
' Add the item
Set VendorSet = VendorSets.Add( SE_VPS_GUID )
CheckError
WScript.Echo "New VendorSet added... " & VendorSet.Name
Else
WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
End If
if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
Err.Clear
VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
If Err.Number <> 0 Then
CheckError
Else
VendorSets.Save false, true
CheckError
If Err.Number = 0 Then
WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
End If
End If
Else
WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
End If
End Sub
Sub CheckError()
If Err.Number <> 0 Then
WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
Err.Clear
End If
End Sub
SetValue
Script op regelniveau
Kopieer het volgende script naar Kladblok, sla het script op met de naam EnableMaxSizeScanAllowRule.vbs en voer het script vervolgens als volgt uit bij een opdrachtprompt:
cscript EnableMaxSizeScanAllowRule /RuleName:"MyRule"Vervang de tijdelijke aanduiding MyRule door de naam van de TMG-toegangsregel relevent.
Const SE_VPS_GUID = "{DFAEF493-C442-4F80-9622-5DA4143287D8}"
Const SE_VPS_NAME = "ScanMaxSizeOnlyIfExceeds"
Const SE_VPS_VALUE = true
Sub SetValue()
' Create the root obect.
Dim root ' The FPCLib.FPC root object
Set root = CreateObject("FPC.Root")
'Declare the other objects needed.
Dim array ' An FPCArray object
Dim VendorSets ' An FPCVendorParametersSets collection
Dim VendorSet ' An FPCVendorParametersSet object
' Get references to the array object
' and the network rules collection.
Set array = root.GetContainingArray
ruleName= WScript.Arguments.Named("RuleName")
set rule = array.ArrayPolicy.PolicyRules.Item(ruleName)
set malwareInspectionSettings = rule.MalwareInspectionProperties
set scannerSettings = malwareInspectionSettings.ScannerSettings
Set VendorSets = scannerSettings.VendorParametersSets
On Error Resume Next
Set VendorSet = VendorSets.Item( SE_VPS_GUID )
If Err.Number <> 0 Then
Err.Clear
' Add the item
Set VendorSet = VendorSets.Add( SE_VPS_GUID )
CheckError
WScript.Echo "New VendorSet added... " & VendorSet.Name
Else
WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
End If
if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
Err.Clear
VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
If Err.Number <> 0 Then
CheckError
Else
VendorSets.Save false, true
CheckError
If Err.Number = 0 Then
WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
End If
End If
Else
WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
End If
End Sub
Sub CheckError()
If Err.Number <> 0 Then
WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
Err.Clear
End If
End Sub
SetValue
Als u de wijzigingen wilt herstellen die u hebt aangebracht met behulp van het matrixscript of het regelscript en om terug te keren naar het standaardgedrag van de instelling Bestanden blokkeren die groter zijn dan (MB), bewerkt u het relevante script en wijzigt u de volgende regel van:
Const SE_VPS_VALUE = trueTo:
Const SE_VPS_VALUE = falseThen voert u het script opnieuw uit met behulp van de juiste instructies.
Oplossing
Belangrijk Houd er rekening mee dat wanneer u ScanMaxSizeOnlyIfExceeds instelt op False, u een beveiligingsrisico met zich mee brengt. Dit komt doordat een groot bestand dat malware bevat in de niet-gescande sectie van het bestand door TMG aan de client kan worden doorgegeven.
Microsoft raadt het volledige scannen van bestanden aan. Daarom raden we u aan deze instelling pas te gebruiken nadat u het risico zorgvuldig hebt overwogen en alleen als u een diepgaande verdedigingsbenadering gebruikt voor malwaredetectie, inclusief de juiste antimalwaresoftware aan de clientzijde.