Сканирование объектов и действия для агентов Messaging Security Agent

Просмотров:

Настройте следующие параметры для каждого типа сканирования (сканирование вручную, сканирование по расписанию и сканирование в режиме реального времени):

Вкладка Цель

Объекты сканирования
Параметры сканирования на наличие других угроз
Исключения из сканирования

Вкладка Действие

Действия при сканировании/ActiveAction
Уведомления
Дополнительные настройки

Объекты сканирования

Выберите объекты сканирования.

Все файлы вложений: Будут пропущены только зашифрованные или защищенные паролем файлы.

Прим.:
Функция обеспечивает максимально возможную защиту. Вместе с тем, сканирование каждого файла занимает много времени и ресурсов и в ряде ситуаций может быть излишним. Поэтому количество файлов для сканирования можно ограничить.
IntelliScan: Сканирование файлов, основанное на определении истинного содержимого. См. IntelliScan.
Файлы указанного типа: Worry-Free Business Security будет сканировать только типы файлов с указанными расширениями. Разделяйте записи точкой с запятой (;).

Выберите другие функции:

Включить IntelliTrap: IntelliTrap обнаруживает вредоносный код в сжатых файлах. См. IntelliTrap.
Сканировать тело сообщений: Выполняется сканирование тела сообщения электронной почты, которое может содержать внедренный вредоносный код.

Параметры сканирования на наличие других угроз

Выберите другие угрозы, сканирование которых должен выполнять агент: Для получения информации об этих угрозах см. Сведения об угрозах.

Выберите дополнительные функции:

Создавать резервную копию зараженного файла перед его лечением: Worry-Free Business Security перед очисткой создает резервную копию угрозы. Резервная копия файла шифруется и хранится в папке клиента:

<папка установки Messaging Security Agent>\storage\backup

Вы можете изменить папку в разделе Дополнительные параметры, подразделе Параметры создания резервных копий.

Для получения информации о расшифровке файлов см. Восстановление зашифрованных файлов
Отказаться от лечения зараженных сжатых файлов для увеличения производительности

Исключения из сканирования

На вкладке Цель перейдите в раздел Исключения и выберите один из следующих критериев, которые агент будет использовать при исключении сообщения электронной почты из сканирования:

Размер тела сообщения превышает: Программа Messaging Security Agent сканирует электронные сообщения, только если размер тела сообщения не превышает указанного значения.
Размер вложения превышает: Программа Messaging Security Agent сканирует электронные сообщения, только если размер вложенного файла не превышает указанного значения.

Совет:
Trend Micro рекомендует предельное значение 30 МБ.
Количество файлов в архиве превышает: Если количество файлов в сжатом файле превышает указанное значение, Messaging Security Agent отсканирует только то количество файлов, которое установлено данным параметром.
Размер распакованного файла превышает: Messaging Security Agent отсканирует только те сжатые файлы, размер которых после распаковки не превосходит указанного значения.
Количество уровней сжатия превышает: Messaging Security Agent отсканирует только те сжатые файлы, в которых количество уровней сжатия не превышает указанного значения. Например, если установить ограничение в 5 уровней сжатия, Messaging Security Agent отсканирует первые 5 уровней сжатых файлов, но не будет сканировать файлы, имеющие 6 и более уровней сжатия.

Размер распакованного файла превышает размер упакованного файла в «х» раз: Messaging Security Agent отсканирует только те сжатые файлы, для которых отношение размера распакованного файла к размеру упакованного файла не превышает указанного значения. Эта функция предотвращает сканирование программой Messaging Security Agent таких сжатых файлов, которые могут привести к атаке типа «отказ от обслуживания» (DoS). Атака DoS происходит, если ресурсы почтового сервера переполнены ненужными заданиями. Чтобы исключить такую ситуацию, следует ограничить размер распаковываемых файлов.

Пример: В указанной ниже таблице в качестве значения x было введено 100.

Размер файла (без сжатия)	Размер файла (без сжатия)	Результат
500 KB	10 КБ (соотношение 50:1)	Просканирован
1000 КБ	10 КБ (соотношение 100:1)	Просканирован
1 001 KB	10 КБ (соотношение превосходит 100:1)	Не сканировался *
2 000 KB	10 КБ (соотношение 200:1)	Не сканировался *

* Messaging Security Agent предпринимает действия, указанные вами для исключенных файлов.

Действия при сканировании

Messaging Security Agent можно настроить для выполнения действий, определяемых пользователем, в соответствии с типом угроз, таких как вирусы/вредоносные программы, «троянские» программы и черви. При настройке действий вручную установите действия для угрозы каждого типа.

Табл. 1. Настроенные действия Messaging Security Agent
Действие	Описание
Лечить	Удаление вредоносного кода из тел и вложений зараженных сообщений. Оставшийся текст электронного сообщения, все незараженные и вылеченные файлы отправляются получателям. Trend Micro рекомендует использовать действие «лечить» в качестве действия по умолчанию для вирусов/вредоносных программ. При определенных условиях Messaging Security Agent не может вылечить файл. Во время сканирования вручную или сканирования по расписанию Messaging Security Agent обновляет хранилище информации и заменяет файлы на вылеченные.
Заменить текстом или файлом	Удаляет зараженное/отфильтрованное содержимое и заменяет его текстом или файлом. Сообщение отправляется законному получателю, но заменяющий текст информирует о том, что содержимое исходного письма было заражено и поэтому заменено. Для фильтрации содержимого и предотвращения потери данных текст можно заменять только в полях тела или вложения (но не в полях «От», «Кому», «Копия» или «Тема»).
Поместить в карантин сообщение целиком	(Только для сканирования в режиме реального времени) Помещение в папку карантина только инфицированного содержимого, при этом сообщение доставляется получателю без данного содержимого. Для фильтрации содержимого, предотвращения потери данных и блокирования вложений переместите все сообщение в папку карантина.
Поместить часть сообщения в карантин	(Только для сканирования в режиме реального времени) Помещение в папку карантина только инфицированного или отфильтрованного содержимого, при этом сообщение доставляется получателю без данного содержимого.
Удалить сообщение целиком	(Только для сканирования в режиме реального времени) Удаляет сообщение целиком. Получатель исходного сообщения его не получит.
Пропустить	Регистрация в журналах заражения файлов вирусами без выполнения какого-либо действия. Исключенные, зашифрованные или защищенные паролем файлы доставляются получателю без добавления обновлений в журналы. Для фильтрации содержимого доставляет сообщение без изменений.
Архивировать	Перемещение сообщения в папку архива и доставка сообщения получателю исходного сообщения.
Переместить сообщение на карантин в папку для спама на сервере	Отправляет сообщение целиком на карантин на сервер Security Server.
Переместить сообщение в карантин в пользовательскую папку для спама	Отправляет сообщение целиком на карантин в пользовательскую папку спама. Папка находится на сервере Information Store.
Пометить и доставить	Добавляет к заголовку сообщения метку, обозначающую сообщение как спам, а затем доставляет сообщение получателю.

В дополнение к этим действиям вы также можете настроить следующие:

Включить действие при массовых рассылках. Выберите действие при массовых рассылках: «Лечить», «Заменить текстом или файлом», «Удалить сообщение целиком», «Пропустить» или «Поместить часть сообщения на карантин».
Выполнять при невозможности лечения: Задайте следующее действие при неудачных попытках лечения. Выберите «Заменить текстом или файлом», «Удалить сообщение целиком», «Пропустить» или «Поместить часть сообщения на карантин».

ActiveAction

В следующей таблице показано, как ActiveAction обрабатывает каждый тип вирусов/вредоносных программ:

Табл. 2. Рекомендуемые компанией Trend Micro действия против вирусов и вредоносных программ
Тип вируса или вредоносной программы	Сканирование в режиме реального времени		Сканирование вручную/сканирование по расписанию
Тип вируса или вредоносной программы	Первое действие	Второе действие	Первое действие	Второе действие
Вирус	Лечить	Удалить сообщение целиком	Лечить	Заменить текстом или файлом
«Троянские кони» / черви	Заменить текстом или файлом	---	Заменить текстом или файлом	---
Упаковщик	Поместить часть сообщения в карантин	---	Поместить часть сообщения в карантин	---
Другой вредоносный код	Лечить	Удалить сообщение целиком	Лечить	Заменить текстом или файлом
Прочие угрозы	Поместить часть сообщения в карантин	---	Заменить текстом или файлом	---
Массовая рассылка	Удалить сообщение целиком	---	Заменить текстом или файлом	---

Уведомления о действиях при сканировании

Выберите Уведомлять получателей, чтобы агент Messaging Security Agent уведомил предполагаемых получателей при выполнении действия в отношении сообщения электронной почты. По различным причинам, может быть необходимо не уведомлять внешних получателей электронной почты о том, что сообщение, содержащее важную информацию, было заблокировано. Выберите Не уведомлять внешних получателей, чтобы отправлять уведомления только внутренним получателям. Определите внутренние адреса в разделе Действия > Параметры уведомления > Определение внутренней почты.

Также можно отключить отправку уведомлений внешним получателям с подставным адресом.

Дополнительные параметры (действия при сканировании)

Настройки	Подробнее
Макросы	Макровирусы зависят от приложения и заражают макросы в этом приложении. При расширенном сканировании макросов используется эвристический подход, позволяющий обнаруживать вирусы в макросах или удалять все обнаруженные коды макросов. Эвристическое сканирование является оценочным методом обнаружения вирусов, в котором используются технологии распознавания по шаблонам и технологии на основе правил поиска вредоносных макросов. Этот метод отлично подходит для обнаружения неизвестных вирусов и угроз, для которых нет известной сигнатуры вируса. Агент Messaging Security Agent выполняет действие по защите от вредоносного кода макроса. Уровень эвристики Первый уровень использует наиболее специфические критерии, однако обнаруживает минимальное количество кодов макросов. Четвертый уровень обнаруживает наибольшее количество кодов макросов, но использует наименее специфические критерии и может отнести надежный код макроса к вредоносному. Совет: Trend Micro рекомендует устанавливать второй уровень. Он позволяет обнаруживать достаточно много вирусов в макросах, проводить сканирование на высокой скорости и использует только самые необходимые правила для нахождения вирусов в макросах. Кроме того, на втором уровне достаточно низкая степень ошибки при определении вредоносного кода. Удалять все макросы, обнаруженные в ходе расширенного сканирования макросов: Удалить все коды макросов, обнаруженные в просканированных файлах
Части сообщений, не допускающие сканирования	Выберите действие и состояние уведомления для зашифрованных и защищенных паролем файлов. Выберите одно из следующих действий: «Заменить текстом или файлом», «Поместить на карантин сообщение целиком», «Удалить сообщение целиком», «Пропустить» или «Поместить часть сообщения на карантин».
Исключенные части сообщений	Выберите действие и состояние уведомления для частей сообщений, которые были исключены. Выберите одно из следующих действий: «Заменить текстом или файлом», «Поместить на карантин сообщение целиком», «Удалить сообщение целиком», «Пропустить» или «Поместить часть сообщения на карантин».
Параметры создания резервных копий	Папка для сохранения резервных копий зараженных файлов перед их лечением.
Параметры замены	Настройте текст и файл, которыми заменяется вредоносная программа. Если в качестве действия выбрано Заменить текстом или файлом, программа Worry-Free Business Security заменит угрозу заданными текстовой строкой и файлом.