Ansichten:
Die Einstellungen der Durchsuchungsrichtlinie ermöglichen es Ihnen, zu konfigurieren, wie die Dateidurchsuchungs-Engine komprimierte Archive (wie ZIP, RAR, 7z usw.) behandelt. Diese Einstellungen helfen, die Sicherheitsabdeckung mit Leistung und Ressourcenmanagement in Einklang zu bringen. Das Verständnis dieser Konfigurationen hilft Ihnen, das Durchsuchungsverhalten für Ihren spezifischen Anwendungsfall zu optimieren.

max-decompress-layer

Description: Controls the maximum depth of nested compression layers that the scan engine will extract and analyze.
Komprimierte Archive können andere komprimierte Dateien enthalten (zum Beispiel eine ZIP-Datei, die eine weitere ZIP-Datei enthält). Diese Einstellung bestimmt, wie viele Ebenen tief der Scanner beim Extrahieren verschachtelter Archive gehen wird.
Accepted Values: 0 zu 20
Standard: 20

Wert
Verhalten
0
Dekomprimierung vollständig überspringen - nur das Archiv selbst durchsuchen, ohne Inhalte zu extrahieren
1-20
Extrahieren und bis zur angegebenen Anzahl von verschachtelten Komprimierungsebenen DURCHSUCHEN
Beispiel: Wenn auf 3 gesetzt, analysiert der Scanner die Ebenen 1 bis 3, überspringt jedoch alle darüber hinausgehenden Ebenen.
  • Ebene 1: Das ursprüngliche Archiv
  • Ebene 2: Archive im Original gefunden
  • Schicht 3: Archive in Schicht 2-Archiven gefunden
Auswirkung: Höhere Werte bieten umfassenderen Schutz, erfordern jedoch mehr Verarbeitungszeit und Ressourcen.
Fehlermeldung: Wenn eine Datei während des Scans dieses Limit überschreitet:
Too many compressed layers. Decompress some layers and try
    again.

maximales Dekompressionsverhältnis

Beschreibung: Steuert das maximal zulässige Kompressionsverhältnis (Originaldateigröße ÷ komprimierte Dateigröße) für jede Datei innerhalb eines Archivs.
Diese Einstellung schützt vor "Zip-Bomben"-Angriffen, bei denen bösartig gestaltete Archive extrem hohe Kompressionsraten enthalten, die beim Dekomprimieren übermäßige Systemressourcen verbrauchen könnten.
Accepted Values: 0 (kein Limit) oder 100 und höher
Standard: 0

Wert
Verhalten
0
kein Limit
100+
Extrahieren und Dateien durchsuchen, deren Kompressionsrate unter dem angegebenen Limit liegt
Funktionsweise: Das Kompressionsverhältnis wird berechnet als:
Compression
                Ratio = Decompressed File Size / Compressed File
        Size
Beispiel: Eine komprimierte Datei von 1 MB, die auf 100 MB expandiert, hat ein Kompressionsverhältnis von 100:1. Dateien mit einem Verhältnis von mehr als 100:1 werden übersprungen.
Auswirkung: Niedrigere Werte bieten besseren Schutz gegen Dekompressionsangriffe, können jedoch legitime, stark komprimierte Dateien ablehnen. Höhere Werte sind toleranter, erfordern jedoch eine sorgfältige Berücksichtigung der Systemressourcen.
Fehlermeldung: Wenn eine Datei während des Scans dieses Limit überschreitet:
Maximum compression ratio exceeded. Contact
    support.

maximale-Dekomprimierungsdatei-Anzahl

Description: Controls the maximum number of files within an archive that the scan engine will extract and analyze.
Diese Einstellung hilft, die Scanzeit und Systemressourcen zu verwalten, wenn Archive mit einer großen Anzahl von Dateien verarbeitet werden.
Accepted Values: 0+
Standard: 0

Wert
Verhalten
0
Kein Limit - alle Dateien im Archiv durchsuchen
1+
Durchsuchen Sie bis zu der angegebenen Anzahl von Dateien innerhalb des Archivs
Beispiel: Wenn auf 1000 gesetzt, analysiert der Scanner bis zu 1.000 Dateien innerhalb eines einzelnen Archivs. Alle darüber hinausgehenden Dateien werden nicht gescannt.
Auswirkung: Niedrigere Werte verkürzen die Scanzeit für große Archive, können jedoch dazu führen, dass einige Dateien nicht gescannt werden. Die Einstellung auf 0 (kein Limit) gewährleistet eine vollständige Abdeckung, kann jedoch die Verarbeitungszeit für Archive mit vielen Dateien erhöhen.
Fehlermeldung: Wenn eine Datei während des Scans dieses Limit überschreitet:
Too many files in the zip. Remove some files to scan the
    zip.

maximale Dekomprimierungsgröße

Beschreibung: Steuert die maximal zulässige Größe (in Megabyte) für jede einzelne Datei innerhalb eines Archivs nach der Dekomprimierung.
Diese Einstellung stellt sicher, dass extrem große Dateien in Archiven während der Extraktion und des Scannens keine übermäßigen Systemressourcen verbrauchen.
Accepted Values: 0 bis 2048 (MB)
Standard: 2048

Wert
Verhalten
0
Überspringen Sie die Dekomprimierung vollständig für alle Archivinhalte
1-2048
Extrahieren und Dateien bis zur angegebenen Größe in MB DURCHSUCHEN
Beispiel: Wenn auf 500 gesetzt, werden einzelne Dateien innerhalb eines Archivs, die beim Dekomprimieren 500 MB überschreiten, übersprungen.
Auswirkung: Niedrigere Werte reduzieren den Speicher- und Festplattenverbrauch während des Scannens, können jedoch große Dateien überspringen. Höhere Werte (bis zu 2048 MB / 2 GB) ermöglichen das Scannen größerer Dateien, erfordern jedoch ausreichende Systemressourcen.
Fehlermeldung: Wenn eine Datei während des Scans dieses Limit überschreitet:
File is too large to extract. Reduce the file size and try
    again.

Bewährte Methoden

Beim Festlegen der Durchsuchungsparameter:
  • Balance security and performance: Höhere Grenzwerte bieten umfassendere Scans, erfordern jedoch mehr Systemressourcen
  • Consider your use case: Passen Sie die Einstellungen basierend auf den Dateitypen an, mit denen Ihre Organisation typischerweise umgeht
  • Monitor for errors: Wenn Sie häufig auf Fehler stoßen, die das Limit überschreiten, sollten Sie die entsprechenden Richtlinieneinstellungen anpassen
  • Protect against attacks: Halten Sie angemessene Grenzen für das Dekompressionsverhältnis ein, um sich vor bösartigen Archivangriffen zu schützen