Фоновая проверка и проверка по требованию

Фоновая проверка – это режим работы Антивируса для роли Почтовый ящик, при котором Антивирус проверяет на вирусы и наличие других угроз сообщения, хранящиеся на сервере Microsoft Exchange, и другие объекты Microsoft Exchange с использованием последней версии антивирусных баз. Вы можете запускать фоновую проверку вручную или задать расписание запуска. Использование фоновой проверки позволяет снизить нагрузку на серверы в часы пик и повысить уровень безопасности почтовой инфраструктуры в целом.

Проверка по требованию – это режим работы Антивируса для роли Почтовый ящик, при котором Антивирус проверяет на вирусы и наличие других угроз сообщения и другие объекты Microsoft Exchange, хранящиеся в выбранных почтовых ящиках и общих папках на сервере Microsoft Exchange. Вы можете запускать проверку по требованию выбранных почтовых ящиков и общих папок вручную. Использование проверки по требованию позволяет ограничить область проверки и сократить время проверки. Если проверка по требованию была прервана, то при последующем запуске она начинается сначала, то есть программа проверяет все выбранные объекты повторно.

Здесь и далее, любая информация и инструкции по выполнению действий с сообщениями также применимы к другим объектам Microsoft Exchange (таким как задачи, встречи, собрания, записи), если специально не указано иное.

Фоновая проверка одних и тех же сообщений может выполняться неоднократно. Антивирус выполняет повторную фоновую проверку проверенных ранее сообщений после обновления антивирусных баз. Проверка по требованию одних и тех же сообщений в выбранных ящиках и общих папках выполняется однократно.

Если фоновая проверка была прервана, то при последующем запуске программа проверяет только те почтовые ящики и общие папки, которые не были проверены в предыдущий раз. Если фоновая проверка была завершена, то при последующем запуске она начинается сначала, то есть программа проверяет все выбранные объекты.

Фоновая проверка может вызвать замедление работы сервера Microsoft Exchange. Рекомендуется запускать фоновую проверку в период минимальной нагрузки на почтовые серверы, например, в ночное время. Если вы хотите выполнить проверку определенных почтовых ящиков или общих папок, вы можете использовать проверку по требованию.

Во время фоновой проверки и проверки по требованию:

1. Kaspersky Security в соответствии с установленными параметрами получает от сервера Microsoft Exchange сообщения электронной почты и другие объекты Microsoft Exchange (например, задачи, встречи, собрания, записи), размещенные в следующих областях:
   • Фоновая проверка – объекты, размещенные в защищаемых хранилищах.
   • Проверка по требованию – объекты, размещенные в выбранных почтовых ящиках и общих папках.
2. Kaspersky Security передает на обработку модулю Антивирус для роли Почтовый ящик следующие сообщения:
   • Фоновая проверка – сообщения, которые не были проверены с использованием последней версии антивирусных баз.
   • Проверка по требованию – сообщения, которые находятся в выбранных почтовых ящиках и общих папках и удовлетворяют настройкам параметров проверки по требованию.
3. При обнаружении зараженных объектов во время фоновой проверки и проверки по требованию Антивирус обрабатывает их в соответствии с параметрами, установленными в параметрах Антивируса для роли Почтовый ящик по следующему алгоритму:

   Если в сообщении или другом объекте Microsoft Exchange обнаружен зараженный объект и в параметрах Антивируса установлено действие Удалять объект или Удалять сообщение, Антивирус пытается вылечить объект.

   Если лечение удалось, Антивирус заменяет зараженный объект на вылеченный.

   Если лечение не удалось, Антивирус выполняет действия, приведенные в таблице ниже.

   Действия Антивируса, если лечение зараженного объекта не удалось

   Место обнаружения зараженного объект	Установленное действие	Действие Антивируса
   В сообщении	Удалять сообщение	Антивирус удаляет сообщение вместе с зараженным объектом.
   	Удалять объект	Антивирус заменяет зараженный объект (вложение) текстовым файлом с информацией о том, что зараженный объект был удален.
   В другом объекте Microsoft Exchange (например, в задаче, встрече, записи)	Удалять сообщение
   	Удалять объект

Антивирус не удаляет полностью объекты Microsoft Exchange, не являющиеся сообщениями, такие как задачи, встречи, собрания, записи. Из них могут быть удалены только зараженные вложения.

Сохранение копии объекта в резервном хранилище при фоновой проверке и проверке по требованию

Если в параметрах Антивируса для роли Почтовый ящик установлен флажок Сохранять копию объекта в резервном хранилище, Kaspersky Security перед обработкой объекта помещает его копию в резервное хранилище. Если у помещаемого объекта (например, у задачи) отсутствует поле От или Кому, это поле в резервном хранилище заполняется адресом пользователя, в почтовом ящике которого находится объект.

Особенности фоновой проверки и проверки по требованию

Функции фоновой проверки и проверки по требованию имеют следующие особенности:

• Использование службы EWS (Exchange Web Services). Программа использует для проверки службу EWS, выполняющуюся локально на защищаемом сервере Microsoft Exchange. Проверка на серверах профиля выполняется параллельно с использованием локальных служб EWS на каждом из защищаемых серверов. Если локальная служба EWS недоступна, программа записывает в журнал событий защищаемого сервера Microsoft Exchange сообщение с информацией об ошибке.

  Убедитесь, что при использовании службы EWS используются только безопасные шифры TLS. Перечень безопасных наборов шифров TLS. Для получения инструкций по настройке наборов шифров TLS обратитесь к статье на веб-сайте Microsoft.

  Список безопасных наборов шифров для TLS 1.2:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 = {0xC0, 0x30} — см. RFC 5289
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 = {0xC0, 0x2F} — см. RFC 5289
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 = {0xC0, 0x2B} — см. RFC 5289
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 = {0xC0, 0x2C} — см. RFC 5289
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 = {0xCC, 0xA8} — см. RFC 7905
  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 = {0xCC, 0xAA} — см. RFC 7905
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 = {0x00, 0x9F} — см. RFC 5288

  Список безопасных наборов шифров для TLS 1.3:

  • TLS_AES_128_GCM_SHA256 = {0x13, 0x01} — см. RFC 8446
  • TLS_AES_256_GCM_SHA384 = {0x13, 0x02} — см. RFC 8446
  • TLS_CHACHA20_POLY1305_SHA256 = {0x13, 0x03} — см. RFC 8446
  • TLS_AES_128_CCM_SHA256 = {0x13, 0x04} — см. RFC 8446
• Роль учетной записи службы программы. Выполнение проверки возможно, только если учетной записи службы программы назначена роль ApplicationImpersonation из набора встроенных ролей Role Based Access Control (RBAC) сервера Microsoft Exchange. В противном случае при попытке запуска проверки Kaspersky Security записывает в журнал событий Microsoft Windows сообщение об ошибке. Мастер установки программы назначает эту роль учетной записи службы программы автоматически в процессе установки или обновления программы. Если это назначение не было выполнено мастером установки программы из-за ошибки, необходимо выполнить его вручную средствами управления Microsoft Exchange.
• Ограничения проверки общих папок. Антивирус проверяет только те общие папки, для которых существует как минимум один пользователь, обладающий следующим набором прав доступа к этой общей папке:
  • Folder visible.
  • Read items.
  • Edit all.
  • Delete all.

Настройка параметров фоновой проверки

Программа выполняет фоновую проверку тех хранилищ почтовых ящиков и общих папок, которые отмечены в списке Защищаемые хранилища почтовых ящиков. Перед запуском фоновой проверки выберите хранилища, которые должны быть проверены, и сохраните изменения.

Если программа работает на сервере Microsoft Exchange в составе группы DAG, параметры фоновой проверки, настроенные на одном из серверов, автоматически распространяются на остальные серверы, входящие в эту группу DAG. На остальных серверах этой группы DAG настраивать параметры фоновой проверки не требуется.

Чтобы настроить параметры фоновой проверки, выполните следующие действия:

1. В дереве Консоли управления выполните следующие действия:
   • если вы хотите настроить параметры фоновой проверки для нераспределенного Сервера безопасности, раскройте узел нужного Сервера безопасности;
   • если вы хотите настроить параметры фоновой проверки для Серверов безопасности профиля, раскройте узел Профили и в нем раскройте узел профиля, для Серверов безопасности которого вы хотите настроить параметры фоновой проверки.
2. Выберите узел Защита сервера.
3. В рабочей области на закладке Защита для роли Почтовый ящик раскройте блок параметров Защита почтовых ящиков.
4. В разделе Фоновая проверка в раскрывающемся списке Расписание настройте режим запуска фоновой проверки:
   • Вручную. Запуск фоновой проверки выполняется вручную.
   • Ежедневно. Фоновая проверка выполняется ежедневно. Укажите точное время проверки в поле ввода времени в формате <ЧЧ:ММ>.
   • В выбранный день. Фоновая проверка выполняется в выбранные дни. Установите флажки напротив дней недели, в которые должна запускаться фоновая проверка, и укажите точное время запуска фоновой проверки в поле ввода времени в формате <ЧЧ:ММ>.
   • Ежемесячно. Фоновая проверка выполняется один раз в месяц. В поле ввода с прокруткой укажите день месяца, в который должна запускаться фоновая проверка, и укажите точное время запуска фоновой проверки в поле ввода времени в формате <ЧЧ:ММ>.
5. Если вы хотите чтобы программа проверяла содержимое (body) сообщения при фоновой проверке, установите флажок Проверять текст сообщения.
6. Если вы хотите чтобы программа проверяла только сообщения, полученные или измененные в течение определенного периода времени до начала фоновой проверки, установите флажок Проверять только недавние сообщения и укажите количество суток в поле ввода с прокруткой Проверять сообщения, полученные до запуска фоновой проверки не раньше, чем за (сут).

   Максимальное значение параметра – 364 дня.

7. Установите флажок Ограничить проверку по времени и задайте значение параметра Остановить проверку через (ч), чтобы оптимизировать время проверки.

   Максимальное значение параметра – 168 часов.

8. Нажмите на кнопку Сохранить.

Запуск фоновой проверки вручную

Программа выполняет фоновую проверку тех хранилищ почтовых ящиков и общих папок, которые отмечены в списке Защищаемые хранилища почтовых ящиков. Перед запуском фоновой проверки выберите хранилища, которые должны быть проверены, и сохраните изменения.

Чтобы запустить фоновую проверку вручную, выполните следующие действия:

1. В дереве Консоли управления раскройте узел Сервера безопасности, установленный на сервере Microsoft Exchange, на котором вы хотите запустить фоновую проверку.
2. Выберите узел Защита сервера.
3. В рабочей области на закладке Защита для роли Почтовый ящик раскройте блок параметров Защита почтовых ящиков.
4. В блоке Фоновая проверка нажмите на кнопку Запустить проверку.

   В процессе фоновой проверки доступна кнопка остановки задачи, а также отображаются этапы выполнения задачи (Подготовка к проверке, Этап 1 из 2. Проверка почтовых ящиков, Этап 2 из 2. Проверка общих папок). По окончании операции выводится отчет о проверке (время завершения, количество проверенных почтовых ящиков и общих папок).

5. Чтобы остановить фоновую проверку до ее завершения, нажмите на кнопку Остановить.

   Запуск и остановка фоновой проверки происходят в течение минуты после нажатия на кнопку Запустить проверку / Остановить.

Настройка параметров и запуск проверки по требованию

Программа выполняет проверку по требованию тех почтовых ящиков и общих папок, которые указаны в поле Область проверки.

Чтобы настроить параметры и запустить проверку по требованию, выполните следующие действия:

1. В дереве Консоли управления раскройте узел нужного Сервера безопасности.
2. Выберите узел Защита сервера.
3. В рабочей области на закладке Защита для роли Почтовый ящик раскройте блок параметров Проверка по требованию.
4. Если вы хотите, чтобы программа проверяла содержимое (body) сообщения при проверке по требованию, установите флажок Проверять текст сообщения.
5. Если вы хотите, чтобы программа проверяла только сообщения, полученные или измененные в течение определенного периода времени до начала проверки по требованию, установите флажок Проверять только недавние сообщения и укажите количество суток в поле Проверять сообщения, полученные до запуска фоновой проверки не раньше, чем за (сут). Программа выполняет проверку по требованию сообщений и других объектов Microsoft Exchange, измененных (в том числе и полученных) в течение указанного количества суток до запуска проверки по требованию.

   Максимальное значение параметра – 364 дня.

6. Если вы хотите ограничить проверку по требованию по времени, установите флажок Ограничить проверку по времени и укажите максимальную продолжительность проверки по требованию в поле Остановить проверку через (ч). Программа прекращает проверку по требованию, если она выполняется дольше указанного времени.

   Максимальное значение параметра – 168 часов.

7. Укажите почтовые ящики и общие папки, которые вы хотите проверить, в поле Область проверки. Выполните следующие действия:
   1. Нажмите на кнопку .
   2. В окне Область проверки выполните одно из следующих действий:
      • Если вы хотите добавить почтовый ящик в поле Область проверки, нажмите на кнопку Добавить пользователя и добавьте пользователя, почтовый ящик которого вы хотите проверить.
      • Если вы хотите добавить общую папку в поле Область проверки, нажмите на кнопку Добавить общую папку и установите флажки напротив папок, которые вы хотите проверить.
   3. Нажмите на кнопку OK.
8. Нажмите на кнопку Сохранить.
9. Если вы хотите запустить проверку по требованию, нажмите на кнопку Запустить проверку.

   В процессе проверки по требованию отображается кнопка остановки.

   В процессе проверки по требованию отображается индикатор выполнения и этапы выполнения проверки (Подготовка к проверке, Этап 1 из 2. Проверка почтовых ящиков, Этап 2 из 2. Проверка общих папок). По окончании операции выводится отчет о проверке (время завершения, количество проверенных почтовых ящиков и общих папок, количество зараженных или защищенных паролем объектов в почтовых ящиках и общих папках).

10. Чтобы остановить проверку по требованию до ее завершения, нажмите на кнопку Остановить.

    Запуск и остановка проверки по требованию происходят в течение минуты после нажатия на кнопку Запустить проверку / Остановить.

Окно Области проверки

Развернуть всё | Свернуть всё

В этом окне вы можете сформировать список почтовых ящиков пользователей и общих папок сервера Microsoft Exchange, который программа использует для проверки по требованию.

Добавить пользователя

Добавить общую папку

Удалить

Окно Выбор общих папок

Окно, в котором вы можете выбрать общие папки для проверки по требованию.

В списке находятся только общие папки верхнего уровня.

Если установлены флажки напротив названий общих папок, то программа включает эти папки в проверку по требованию. Программа добавляет выбранные общие папки в поле Область проверки.