Hintergrunduntersuchung und Untersuchung auf Befehl

Bei der Virensuche im Hintergrund handelt es sich um einen Funktionsmodus von Anti-Virus für die Postfachrolle, bei dem Anti-Virus auf dem Microsoft Exchange-Server befindliche E-Mails und andere Microsoft Exchange-Objekte unter Nutzung der letzten Version der Antiviren-Datenbanken auf Viren und andere Bedrohungen untersucht. Sie können die Hintergrunduntersuchung manuell starten oder einen Zeitplan für den Start angeben. Durch die Hintergrundprüfung wird die Serverauslastung zu Spitzenzeiten reduziert und die Sicherheit der E-Mail-Architektur insgesamt erhöht.

Die Untersuchung auf Befehl ist ein Funktionsmodus von Anti-Virus für die Postfachrolle, bei dem Anti-Virus in den ausgewählten E-Mail-Postfächern und den öffentlichen Ordnern auf dem Microsoft Exchange Server befindliche E-Mail-Nachrichten und andere Microsoft Exchange-Objekte auf Viren und andere Bedrohungen untersucht. Sie können die Untersuchung auf Befehl der ausgewählten E-Mail-Postfächer und der öffentlichen Ordner manuell starten. Die Nutzung der Untersuchung auf Befehl erlaubt es, den Untersuchungsbereich zu beschränken und die Untersuchungsdauer zu verringern. Wenn die Untersuchung auf Befehl unterbrochen wurde, beginnt sie beim nächsten Start von vorne, d. h. das Programm untersucht alle ausgewählten Objekte erneut.

Hier und im Weiteren gilt, dass alle Informationen und Anweisungen bezüglich der Behandlung von E-Mails auch auf andere Microsoft Exchange Objekte (wie Aufgaben, Termine, Besprechungen, Notizen) anwendbar sind, sofern nicht ausdrücklich abweichend angegeben.

E-Mails können mehrfach einer Hintergrundprüfung unterzogen werden. Anti-Virus nimmt nach einem Update der Antiviren-Datenbanken eine erneute Hintergrundprüfung bereits untersuchter E-Mails vor. Die Untersuchung auf Befehl ein und derselben Nachrichten in den ausgewählten Postfächern und den öffentlichen Ordnern wird einmalig ausgeführt.

Wenn die Untersuchung im Hintergrund unterbrochen wurde, untersucht das Programm beim nächsten Start nur die E-Mail-Postfächer und gemeinsamen Ordner, die beim letzten Mal nicht untersucht wurden. Wenn die Untersuchung im Hintergrund abgeschlossen wurde, beginnt sie beim nächsten Start von vorne, d. h. das Programm untersucht alle ausgewählten Objekte.

Wenn in Ihrem Unternehmen Microsoft Exchange Server verschiedener Versionen (beispielsweise Microsoft Exchange 2010 / 2013) gleichzeitig verwendet werden, ist es empfehlenswert, die Untersuchung auf Befehl der ausgewählten E-Mail-Postfächer und der öffentlichen Ordner aus der Konsole des Sicherheitsservers desjenigen Servers auszuführen, auf dem sich der Speicher dieser E-Mail-Postfächer und der öffentlichen Ordner befindet.

Die Hintergrundprüfung kann zu einer Verlangsamung des Microsoft Exchange-Servers führen. Es wird empfohlen, die Hintergrunduntersuchung dann zu starten, wenn die Mail-Server nur geringfügig ausgelastet sind, beispielsweise während der Nachtstunden. Wenn Sie die Untersuchung bestimmter E-Mail-Postfächer oder der öffentlichen Ordner durchführen möchten, können Sie die Untersuchung auf Befehl verwenden.

Während der Hintergrunduntersuchung und der Untersuchung auf Befehl:

1. Kaspersky Security empfängt gemäß den installierten Einstellungen vom Microsoft Exchange Server E-Mail-Nachrichten und andere Microsoft Exchange-Objekte (beispielsweise Aufgaben, Termine, Meetings, Notizen), die sich in den folgenden Bereichen befinden:
   • Hintergrunduntersuchung – Objekte, die sich in geschützten E-Mail-Postfachverzeichnissen und öffentlichen Ordnern befinden.
   • Untersuchung auf Befehl – Objekte, die sich in den ausgewählten E-Mail-Postfächern und den öffentlichen Ordnern befinden.
2. Kaspersky Security übergibt zur Verarbeitung durch das Modul Anti-Virus für die Postfachrolle die folgenden Nachrichten weiter:
   • Hintergrunduntersuchung – Nachrichten, die nicht unter Verwendung der letzten Version der Antiviren-Datenbanken untersucht wurden
   • Untersuchung auf Befehl – Nachrichten, die sich in den ausgewählten E-Mail-Postfächern und den öffentlichen Ordnern befinden und den Einstellungen der Untersuchung auf Befehl entsprechen.
3. Werden während der Hintergrunduntersuchung und der Untersuchung auf Befehl infizierte Objekte erkannt, werden diese von Anti-Virus auf Grundlage der in den Einstellungen von Anti-Virus für die Postfachrolle festgelegten Parameter nach folgendem Algorithmus verarbeitet:

   Wurde in einer E-Mail oder einem anderen Microsoft Exchange Objekt ein infiziertes Objekt festgestellt und in den Einstellungen von Anti-Virus die Aktion Objekt löschen oder E-Mail löschen ausgewählt, so versucht Anti-Virus das Objekt zu desinfizieren.

   Ist die Desinfektion erfolgreich, so ersetzt Anti-Virus das infizierte Objekt durch das desinfizierte.

   Schlägt die Desinfektion fehl, so führt Anti-Virus die in der nachfolgenden Tabelle angegebenen Aktionen aus.

   Aktionen von Anti-Virus bei fehlgeschlagener Desinfektion des Objekts

   Wo wurde das Objekt gefunden?	Festgelegte Aktion	Aktion von Anti-Virus
   In einer E-Mail	E-Mail löschen	Der Anti-Virus löscht die E-Mail und das infizierte Objekt.
   	Objekt löschen	Anti-Virus ersetzt das infizierte Objekt (den infizierten Anhang) durch eine Textdatei mit der Mitteilung, dass das infizierte Objekt gelöscht wurde.
   In einem anderen Microsoft Exchange Objekt (beispielsweise in einer Aufgabe, einer Besprechung oder einer Notiz)	E-Mail löschen
   	Objekt löschen

Anti-Virus löscht Microsoft Exchange-Objekte wie Aufgaben, Termine, Besprechungen oder Notizen, die keine Nachrichten sind, nicht vollständig. Aus diesen können lediglich infizierte Anhänge entfernt werden.

Bei Hintergrunduntersuchung und Untersuchung auf Befehl Kopie des Objektes im Backup-Ordner speichern

Ist in den Einstellungen von Anti-Virus für die Postfachrolle das Kontrollkästchen Kopie des Objektes im Backup-Ordner speichern aktiviert, so legt Kaspersky Security vor der Verarbeitung eine Kopie des Objekts im Backup ab. Fehlt dem im Backup abgelegten Objekt (beispielsweise eine Aufgabe) das Feld Von oder das Feld An, so wird dieses Feld im Backup mit der Adresse des Benutzers ausgefüllt, in dessen Postfach sich das Objekt befindet.

Besonderheiten der Hintergrunduntersuchung und der Untersuchung auf Befehl je nach Version des geschützten Microsoft Exchange Servers

Abhängig von der Version des geschützten Microsoft Exchange-Servers verwendet Kaspersky Security für die Hintergrunduntersuchung folgende Technologien:

• Auf Microsoft Exchange 2010-Servern: VSAPI (Virus Scanning Application Programming Interface).
• Auf den Servern Microsoft Exchange 2013 und Microsoft Exchange 2016 – EWS (Exchange Web Services).

Zum Ausführen der Untersuchung auf Befehl verwendet Kaspersky Security die EWS-Technologie (Exchange Web Services).

Die Funktionen der Hintergrunduntersuchung und der Untersuchung auf Befehl auf den Microsoft Exchange 2010 / 2013 / 2016 Servern umfassen folgende Besonderheiten:

• Verwendung des EWS-Servers Das Programm verwendet für die Hintergrundprüfung den EWS-Server, der sich lokal auf dem zu schützenden Microsoft Exchange 2013 / 2016-Server befindet. Beim Start der Hintergrunduntersuchung auf Microsoft Exchange 2013 / 2016-Servern, die zum Profil gehören, wird die Untersuchung parallel zu den lokalen EWS-Servern auf den geschützten Microsoft Exchange-Servern ausgeführt. Wenn der lokale EWS-Server nicht erreichbar ist, trägt das Programm eine Meldung mit detaillierten Informationen über den Fehler in das Ereignisprotokoll des geschützten Microsoft Exchange-Servers ein.
• Rolle des Benutzerkontos des Programmdienstes auf den Microsoft Exchange 2013 / 2016 Servern Auf den Microsoft Exchange 2013 / 2016-Servern ist eine Hintergrunduntersuchung und der Untersuchung auf Befehl nur dann möglich, wenn dem Benutzerkonto des Programmdienstes die Rolle ApplicationImpersonation der integrierten Rollen von Role Based Access Control (RBAC) des Microsoft Exchange 2013 / 2016 Servers zugewiesen wurde. Andernfalls schreibt Kaspersky Security beim Versuch, die Hintergrunduntersuchung und die Untersuchung auf Befehl zu starten, eine Fehlermeldung in das Ereignisprotokoll von Microsoft Windows. Der Installationsassistent des Programms weist dem Konto des Dienstes diese Rolle während der Installation oder beim Update des Programmdienstes automatisch zu. Ist diese Zuweisung durch den Installationsassistenten aufgrund eines Fehlers nicht erfolgt, so muss sie manuell mit den Verwaltungskomponenten von Microsoft Exchange vorgenommen werden.
• Rolle des Benutzerkontos des Programmdienstes auf dem Microsoft Exchange 2010 Server Auf einem Microsoft Exchange 2010 Server ist eine Untersuchung auf Befehl nur dann möglich, wenn dem Benutzerkonto des Programmdienstes die Rolle ApplicationImpersonation der integrierten Rollen von Role Based Access Control (RBAC) des Microsoft Exchange 2010 Servers zugewiesen wurde. Andernfalls schreibt Kaspersky Security beim Versuch, die Untersuchung auf Befehl zu starten, eine Fehlermeldung in das Ereignisprotokoll von Microsoft Windows. Die Rolle ApplicationImpersonation muss manuell mithilfe der Microsoft Exchange-Verwaltungstools zugewiesen werden.
• Beschränkung der Untersuchung von öffentlichen Ordnern. Anti-Virus untersucht auf Microsoft Exchange Servern 2013 / 2016 nur diejenigen öffentlichen Ordner, die folgender Bedingung entsprechen: Es existiert mindestens ein Benutzer, der über die folgende Kombination von Zugriffsrechten für diesen öffentlichen Ordner verfügt:
  • Folder visible.
  • Read items.
  • Edit all.
  • Delete all

In diesem Abschnitt Einstellungen für die Untersuchung im Hintergrund anpassen Hintergrunduntersuchung manuell starten Anpassen der Einstellungen und Start der Untersuchung auf Befehl Fenster „Untersuchungsbereiche“ Fenster „Auswahl der öffentlichen Ordner“

Zum Anfang