Kaspersky Anti-Virus 5.6 für ISA Server 2004/2006 Standard Edition

Um zu verstehen, in welchen Fällen der Client von ISA Server eine infizierte Datei empfangen kann, wollen wir betrachten, wie die Datei, die vom ISA Server nach FTP downloadet wird, empfangen und vom Anti-Virus untersucht wird.
Dieser Vorgang schließt folgende Stufen ein:

1. Der Kunde fordert die Datei.



2. ISA Server lädt die Daten vom Remote-Server und gibt sie dem FTP-Filter des Kaspersky Anti-Virus (teilweise).



3. Ab der bestimmten Augenblick beginnt Kaspersky Anti-Virus die Daten dem Kunden in Teilen von 8 KB zu übergeben (gleichzeitig erwartet er die Ladung der gesamten datei vom Remote-Server).
   
   Zu jedem Augenblick kann dem Kunden nicht mehr Daten gegeben werden, als die Anzahl der Daten, die vom Remote-Server auf den Rechner mit dem Anti-Virus geladen wurde, minus die Größe der Daten, die in den Einstellungen von Anti-Virus festgelegt wird (der Parameter Data received by server before the first chunk of data is sent to the client).
   
   Mit dieser Anforderung kann Anti-Virus die folgenden 8 KB dem Kunden geben, bis neue Daten vom Remote-Server in der hinreichenden Größe geladen werden. 



4. Nach dem Empfang aller Daten vom Remote-Server wird die Datei zur Untersuchung gesendet. 



5. Die Untersuchung kann folgende Ergebnisse ausgeben:  
• Wurde die Datei als „nicht infiziert“ bezeichnet, werden die Reste der Datei dem Kunden mit maximaler Geschwindigkeit übergeben. 
• Wurde die Datei als „infiziert“ bezeichnet, wird die Verbindung getrennt. In diesem Fall entsteht die Situation, wenn Anti-Virus dem Kunden die Daten übergeben hat, die einen Virus enthalten. 
• Für die Zeit, die für die Untersuchung verfügt wurde (time-out der Untersuchung), wurde die Datei nicht untersucht. In diesem Fall wird die Datei dem Kunden als „nicht infiziert“ übergeben.

So kann der Kunde einen Virus in zwei Fällen bekommen: 

• Während des Time-out wenn die Datei vom Remote-Server geladen wird und wenn sie untersucht wird, wurde dem Kunden der wesentliche Teil der Datei mit dem Virus übergeben wurde. Denn die Datei wurde nicht ganz übergeben, kann sie ohne spezielle Aktionen des Benutzers nicht aktiviert werden (es wird entweder ein Teil der Datei im Cache des Browsers oder eine temporäre Datei „Download manager“ u.ä. sein). 
• Die Untersuchung der Datei hat zu viel Zeit genommen und das Objekt wurde dem Kunden ohne Untersuchung gesendet. Es wird genau die Datei sein, die vom Remote-Server zur Antwort auf die Anforderung des Kunden gesendet wurde, als ob die Datei unter Umgehung des Anti-Virus geladen wurde. 
   

Wahrscheinlich können die genannten Szenarien realisiert werden, wenn die gesamte Untersuchungszeit des Objekts sehr groß ist. Diese Zeit besteht aus der Zeit der Ladung des Objekts vom Remote-Server auf den Rechner mit ISA Server und aus der Untersuchungszeit der Datei. Der erste Teil betrifft große Dateien und langsame Verbindungen, der zweite – hauptsächlich die zusammengesetzte Objekte (Archive).
 
Der Benutzer von Anti-Virus für ISA Server kann das Risiko der Realisierung der genannten Szenarien fast bis zum Null verringern, wenn er folgende Einstellungen verändert:

Data received by server before the first chunk of data is sent to the client (Registerkarte FTP) – mit diesem Parameter wird die Grenze erhöht:  Anti-Virus wird die Daten dem Kunden nicht übergeben, bis diese Größe erreicht wird.

Maximum scan time (Registerkarte Settings) – mit diesem Parameter können Sie die Möglichkeit senken, dass das Objekt dem Kunden ohne Untersuchung übergeben wird (wenn Time-out der Untersuchung abgelaufen ist). Jedoch wenn Sie den maximalen Wert dieses Parameter festlegen, kann es vorkommen, dass der Kunde nach dem Ablauf der Dauer der Erwartung abgeschaltet wird. 

Beachten Sie, dass dieses Schema der Bearbeitung und der vorzeitigen Übergabe der Daten dem Kunden ist genommen, um die Situation zu vermeiden, wenn der Kunde die Verbindung trennt, weil die Frist des Time-out ist abgelaufen, erwartend bis die Datei vollständig geladen und auf Viren untersucht wird.