Фоновая проверка и проверка по требованию

Фоновая проверка – это режим работы Антивируса для роли Почтовый ящик, при котором Антивирус проверяет на вирусы и наличие других угроз сообщения, хранящиеся на сервере Microsoft Exchange, и другие объекты Microsoft Exchange с использованием последней версии антивирусных баз. Вы можете запускать фоновую проверку вручную или задать расписание запуска. Использование фоновой проверки позволяет снизить нагрузку на серверы в часы пик и повысить уровень безопасности почтовой инфраструктуры в целом.

Проверка по требованию – это режим работы Антивируса для роли Почтовый ящик, при котором Антивирус проверяет на вирусы и наличие других угроз сообщения и другие объекты Microsoft Exchange, хранящиеся в выбранных почтовых ящиках и общих папках на сервере Microsoft Exchange. Вы можете запускать проверку по требованию выбранных почтовых ящиков и общих папок вручную. Использование проверки по требованию позволяет ограничить область проверки и сократить время проверки. Если проверка по требованию была прервана, то при последующем запуске она начинается сначала, то есть программа проверяет все выбранные объекты повторно.

Здесь и далее, любая информация и инструкции по выполнению действий с сообщениями также применимы к другим объектам Microsoft Exchange (таким как задачи, встречи, собрания, записи), если специально не указано иное.

Фоновая проверка одних и тех же сообщений может выполняться неоднократно. Антивирус выполняет повторную фоновую проверку проверенных ранее сообщений после обновления антивирусных баз. Проверка по требованию одних и тех же сообщений в выбранных ящиках и общих папках выполняется однократно.

Если фоновая проверка была прервана, то при последующем запуске программа проверяет только те почтовые ящики и общие папки, которые не были проверены в предыдущий раз. Если фоновая проверка была завершена, то при последующем запуске она начинается сначала, то есть программа проверяет все выбранные объекты.

Фоновая проверка может вызвать замедление работы сервера Microsoft Exchange. Рекомендуется запускать фоновую проверку в период минимальной нагрузки на почтовые серверы, например, в ночное время. Если вы хотите выполнить проверку определенных почтовых ящиков или общих папок, вы можете использовать проверку по требованию.

Во время фоновой проверки и проверки по требованию:

1. Kaspersky Security в соответствии с установленными параметрами получает от сервера Microsoft Exchange сообщения электронной почты и другие объекты Microsoft Exchange (например, задачи, встречи, собрания, записи), размещенные в следующих областях:
   • Фоновая проверка – объекты, размещенные в защищаемых хранилищах.
   • Проверка по требованию – объекты, размещенные в выбранных почтовых ящиках и общих папках.
2. Kaspersky Security передает на обработку модулю Антивирус для роли Почтовый ящик следующие сообщения:
   • Фоновая проверка – сообщения, которые не были проверены с использованием последней версии антивирусных баз.
   • Проверка по требованию – сообщения, которые находятся в выбранных почтовых ящиках и общих папках и удовлетворяют настройкам параметров проверки по требованию.
3. При обнаружении зараженных объектов во время фоновой проверки и проверки по требованию Антивирус обрабатывает их в соответствии с параметрами, установленными в параметрах Антивируса для роли Почтовый ящик по следующему алгоритму:

   Если в сообщении или другом объекте Microsoft Exchange обнаружен зараженный объект и в параметрах Антивируса установлено действие Удалять объект или Удалять сообщение, Антивирус пытается вылечить объект.

   Если лечение удалось, Антивирус заменяет зараженный объект на вылеченный.

   Если лечение не удалось, Антивирус выполняет действия, приведенные в таблице ниже.

   Действия Антивируса, если лечение зараженного объекта не удалось

   Место обнаружения зараженного объект	Установленное действие	Действие Антивируса
   В сообщении	Удалять сообщение	Антивирус удаляет сообщение вместе с зараженным объектом.
   	Удалять объект	Антивирус заменяет зараженный объект (вложение) текстовым файлом с информацией о том, что зараженный объект был удален.
   В другом объекте Microsoft Exchange (например, в задаче, встрече, записи)	Удалять сообщение
   	Удалять объект

Антивирус не удаляет полностью объекты Microsoft Exchange, не являющиеся сообщениями, такие как задачи, встречи, собрания, записи. Из них могут быть удалены только зараженные вложения.

Сохранение копии объекта в резервном хранилище при фоновой проверке и проверке по требованию

Если в параметрах Антивируса для роли Почтовый ящик установлен флажок Сохранять копию объекта в резервном хранилище, Kaspersky Security перед обработкой объекта помещает его копию в резервное хранилище. Если у помещаемого объекта (например, у задачи) отсутствует поле От или Кому, это поле в резервном хранилище заполняется адресом пользователя, в почтовом ящике которого находится объект.

Особенности фоновой проверки и проверки по требованию

Функции фоновой проверки и проверки по требованию имеют следующие особенности:

• Использование службы EWS (Exchange Web Services). Программа использует для проверки службу EWS, выполняющуюся локально на защищаемом сервере Microsoft Exchange. Проверка на серверах профиля выполняется параллельно с использованием локальных служб EWS на каждом из защищаемых серверов. Если локальная служба EWS недоступна, программа записывает в журнал событий защищаемого сервера Microsoft Exchange сообщение с информацией об ошибке.

  Убедитесь, что при использовании службы EWS используются только безопасные шифры TLS. Перечень безопасных наборов шифров TLS. Для получения инструкций по настройке наборов шифров TLS обратитесь к статье на веб-сайте Microsoft.

  Список безопасных наборов шифров для TLS 1.2:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 = {0xC0, 0x30} — см. RFC 5289
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 = {0xC0, 0x2F} — см. RFC 5289
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 = {0xC0, 0x2B} — см. RFC 5289
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 = {0xC0, 0x2C} — см. RFC 5289
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 = {0xCC, 0xA8} — см. RFC 7905
  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 = {0xCC, 0xAA} — см. RFC 7905
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 = {0x00, 0x9F} — см. RFC 5288

  Список безопасных наборов шифров для TLS 1.3:

  • TLS_AES_128_GCM_SHA256 = {0x13, 0x01} — см. RFC 8446
  • TLS_AES_256_GCM_SHA384 = {0x13, 0x02} — см. RFC 8446
  • TLS_CHACHA20_POLY1305_SHA256 = {0x13, 0x03} — см. RFC 8446
  • TLS_AES_128_CCM_SHA256 = {0x13, 0x04} — см. RFC 8446
• Роль учетной записи службы программы. Выполнение проверки возможно, только если учетной записи службы программы назначена роль ApplicationImpersonation из набора встроенных ролей Role Based Access Control (RBAC) сервера Microsoft Exchange. В противном случае при попытке запуска проверки Kaspersky Security записывает в журнал событий Microsoft Windows сообщение об ошибке. Мастер установки программы назначает эту роль учетной записи службы программы автоматически в процессе установки или обновления программы. Если это назначение не было выполнено мастером установки программы из-за ошибки, необходимо выполнить его вручную средствами управления Microsoft Exchange.
• Ограничения проверки общих папок. Антивирус проверяет только те общие папки, для которых существует как минимум один пользователь, обладающий следующим набором прав доступа к этой общей папке:
  • Folder visible.
  • Read items.
  • Edit all.
  • Delete all.