Exchange Server是全球最多企業IT的共同選擇,但同時它也成為了駭客攻擊的最愛,因此在享有全新Exchange Server 2016所帶來的IT效益之時,需要為它裝配最牢固的安全配備,以因應各種突如其來的侵擾。本文將以實戰講解的方式,示範如何善用商用付費的ScanMail以及開放原始碼的ClamWin套件,一次解決從檔案系統安全到訊息流的防毒需求。
無論是透過ClamWin的哪一種操作方式進行掃毒,只要發現病毒便會出現類似圖39所示的訊息視窗,告知病毒的名稱以及受感染的檔案數量與名稱。至於針對發現病毒的處理動作,可以預先從ClamWin組態配置(Preferences)中的設定來決定。
|
▲圖39 發現病毒檔案。 |
開啟ClamWin Preferences的組態管理頁面,可以將系統預設的一些設定修改成符合企業IT政策的需要。如圖40所示,在〔Internet Updates〕活頁標籤內,可以自訂線上更新檢查的頻率,建議將這裡的「Update Virus Database On Logon」設定也勾選起來,以便在每一次開機登入時自動更新病毒資料庫。
|
▲圖40 設定Internet更新。 |
如果自身的企業網路已強制必須經由Proxy才能連線Internet網站服務,那麼就必須進一步在〔Proxy〕活頁標籤內設定相關Proxy主機的位址、連接埠以及驗證資訊。
在〔General〕活頁標籤內,則主要是決定遭受病毒感染的檔案該如何處置,建議將它移動到隔離區的指定資料夾內,而對於記憶體中的受感染程式,則指定立即進行卸載處置,如圖41所示。
|
▲圖41 進行一般設定。 |
如圖42所示,在〔Filters〕活頁標籤內,則可以設定唯一所要掃描的檔案類型,或是設定想要排除的檔案類型,但目前還沒有提供設定排除檔案路徑的功能。
|
▲圖42 進行篩選設定。 |
而〔Schedules Scans〕活頁標籤內,系統預設並沒有任何的掃毒排程,可以加入自訂的掃毒排程,如圖43所示按下〔Add〕按鈕繼續。
|
▲圖43 管理排程掃毒作業。 |
如圖44所示,出現「Scheduled Scan」頁面後,選擇掃描的頻率與時間,例如設定每周六凌晨1:00進行掃描,並決定掃描的磁碟或資料夾,其中對於電腦記憶體的掃描務必勾選,才能夠確保伺服器系統的安全無虞。後續若想要停用特定的掃毒排程,只要勾選「Activate This Schedule」設定即可,無須刪除。
|
▲圖44 新增排程掃毒。 |
最後,在〔Limits〕活頁標籤內,如圖45所示可能需要調整掃描時的大小限制問題,例如預設不會掃描超過100MB以上的檔案,而在現實的系統內卻可能會存放超過此大小的檔案,但這裡所指的可不是Exchange的信箱資料庫,因為只要是資料庫類型的檔案,本身就應該設定在排除的清單內,包括各種關聯式資料庫檔案(例如SQL Server)。
|
▲圖45 做好相關限制設定。 |
而針對壓縮檔部分,同樣能夠設定檔案的大小、數量以及資料目錄階層的限制,但要記得這可不包括被加密的壓縮檔,因為加密的壓縮檔,本身就無法被任何防毒軟體所掃描。
雖然ClamWin防毒軟體已經提供相當不錯的掃毒功能,但可惜的是,它只能夠設定篩選所要排除的檔案類型,而無法針對特定的資料夾路徑進行排除,如此一來恐怕無法完全滿足Exchange Server 2016的防毒管理需求。那該怎麼辦呢?
還好目前有一款名為Clam Sentinel的開源防毒軟體,可以協助解決這個難題,而且還增加了許多相當棒的功能,包括主動式保護機制、入侵偵測、卸除式磁碟的病毒偵測、結合ClamWin隔離資料夾的管理等等。