Поиск вирусов на файловом уровне в Exchange Server 2007
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2009-07-22
В этом разделе объясняются действия антивирусных программ, работающих на файловом уровне, на компьютерах с Microsoft Exchange Server 2007. Рекомендации, описанные в этом разделе, позволяют улучшить безопасность и работоспособность организации Exchange.
Средства проверки на файловом уровне широко используются. Тем не менее их неправильная настройка может привести к проблемам в Exchange 2007.
Существует два типа средств проверки на файловом уровне.
Резидентное средство проверки на файловом уровне — это часть антивирусной программы, выполняющей проверку на файловом уровне, которая всегда загружена в память. Она проверяет все файлы, которые используются на жестком диске и в памяти компьютера.
Средство проверки на файловом уровне по запросу — это часть антивирусной программы, выполняющей проверку на файловом уровне, которую можно настроить для проверки файлов на жестком диске вручную или по расписанию. Некоторые версии антивирусных программ начинают проверку по запросу автоматически после обновления сигнатур вирусов, чтобы обеспечить проверку всех файлов с использованием последних сигнатур.
Ниже описаны проблемы, которые могут возникать при использовании средств проверки на файловом уровне в Exchange 2007.
Средства проверки на файловом уровне могут проверять файлы при их использовании или через запланированный интервал. Это может привести к том, что средства проверки заблокируют либо поместят на карантин файл журнала или базы данных Exchange, в то время как Microsoft Exchange будет пытаться использовать его. Это поведение может вызвать серьезный сбой Microsoft Exchange, а также ошибки -1018.
Средства проверки на файловом уровне не обеспечивают защиту от вирусов, которые распространяются по электронной почте, таких как вирус Melissa.
Примечание. Melissa — это макровирус с вредоносной программой типа «Троянский конь», который распространялся через сообщения электронной почты в 1999 г. Этот вирус отправлял сообщения электронной почты с вредоносными вложениями на адреса из личных адресных книг на почтовых клиентах Microsoft Outlook. Такие вирусы могут приводить к уничтожению данных.
Рекомендации для Exchange Server 2007
При развертывании средств проверки на файловом уровне на серверах Exchange 2007 убедитесь в наличии соответствующих исключений, таких как исключения для каталогов, процессов и расширений имен файлов, для запланированных проверок и проверок в режиме реального времени. В этом разделе описаны исключения для каталогов, процессов и расширений имен файлов для каждого сервера или роли сервера.
Исключения для каталогов
Необходимо задать исключения для отдельных каталогов для каждого сервера или роли сервера Exchange, на которых запущено средство поиска вирусов на файловом уровне. В этом разделе описаны каталоги, для которых необходимо отключить проверку на файловом уровне, для каждого сервера или роли сервера.
Роль сервера почтовых ящиков
Базы данных, файлы контрольных точек и файлы журналов Exchange для всех групп хранения. По умолчанию они находятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\Mailbox. Чтобы определить расположение каталога, выполните следующие команды в командной консоли Exchange:
Чтобы определить расположение журнала транзакций и файла контрольных точек, выполните следующую команду:
Get-StorageGroup -server <servername>| fl *path*
Чтобы определить расположение базы данных почтовых ящиков, выполните следующую команду:
Get-MailboxDatabase -server <servername>| fl *path*
Чтобы определить расположение базы данных общих папок, выполните следующую команду:
Get-PublicFolderDatabase -server <servername>| fl *path*
Индексы содержимого баз данных. По умолчанию они находятся во вложенных папках группы хранения в папке %Program Files%\Microsoft\Exchange Server\Mailbox.
Файлы общих журналов, например файлы журнала отслеживания сообщений. Эти файлы находятся во вложенных папках папок %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs и %Program Files%\Microsoft\Exchange Server\Logging. Чтобы определить используемые пути к журналам, выполните в командной консоли Exchange следующую команду:
Get-MailboxServer <servername>| fl *path*
Файлы автономной адресной книги, которые находятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\ExchangeOAB.
Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.
Временная папка, которая используется автономными программами обслуживания, такими как Eseutil.exe. По умолчанию это папка, из которой запускается EXE-файл программы. Тем не менее можно настроить папку для выполнения этой операции при запуске программы.
Временные папки, которые используются для выполнения преобразований:
преобразования содержимого выполняются в папке TMP сервера;
преобразования OLE выполняются в папке %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.
Временная папка базы данных почтовых ящиков: %Program Files%\Microsoft\Exchange Server\Mailbox\MDBTEMP
Все папки антивирусных программ, поддерживающих Exchange.
Кластерный сервер почтовых ящиков
Все папки, перечисленные для роли сервера почтовых ящиков, а также следующие:диск кворума и папка %Winnt%\Cluster;
файловый ресурс-свидетель (он расположен на другом сервере в среде, обычно на транспортном сервере-концентраторе);
каталог ExchangeOAB расположен на общем диске (его местоположение определяется параметром реестра SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<CMS-name>\OabDropFolderLocation).
Примечание. По умолчанию каталог ExchangeOAB расположен в следующем месте: %Program Files%\Microsoft\Exchange Server\ExchangeOAB.
Роль транспортного сервера-концентратора
Файлы общих журналов, например файлы журнала отслеживания сообщений. Эти файлы находятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange:
Get-TransportServer <servername>| fl *logpath*,*tracingpath*
Папки сообщений, которые находятся в папке %Program Files%\Microsoft\Exchange Server\TransportRoles. Чтобы определить используемые пути, выполните следующую команду в командной консоли Exchange:
Get-TransportServer <servername>| fl *dir*path*
База данных очереди роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Дополнительные сведения о том, как определить расположение каталога, если файлы базы данных очереди были перемещены из папки по умолчанию, см. в разделе Работа с базой данных очереди на транспортных серверах.
База данных репутации отправителей роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.
База данных IP-фильтров роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.
Временные папки, которые используются для выполнения преобразований:
преобразования содержимого выполняются в папке TMP сервера;
преобразования OLE выполняются в папке %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.
Все папки антивирусных программ, поддерживающих Exchange.
Роль пограничного транспортного сервера
База данных ADAM и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Adam. Дополнительные сведения о том, как определить расположение каталога, если файлы базы данных ADAM были перемещены из папки по умолчанию, см. в разделе Инструкции по изменению настройки ADAM.
Файлы общих журналов, например файлы журнала отслеживания сообщений. Эти файлы находятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консолиExchange:
Get-TransportServer <servername>| fl *logpath*,*tracingpath*
Папки сообщений, которые находятся в папке %Program Files%\Microsoft\Exchange Server\TransportRoles. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange:
Get-TransportServer <servername>| fl *dir*path*
База данных очереди роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Дополнительные сведения о том, как определить расположение каталога, если файлы базы данных очереди были перемещены из папки по умолчанию, см. в разделе Работа с базой данных очереди на транспортных серверах.
База данных репутации отправителей роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.
База данных IP-фильтров роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.
Временные папки, которые используются для выполнения преобразований:
преобразования содержимого выполняются в папке TMP сервера;
преобразования OLE выполняются в папке %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.
Все папки антивирусных программ, поддерживающих Exchange.
Роль сервера клиентского доступа
Папка сжатия IIS 6.0, которая используется с Microsoft Outlook Web Access. По умолчанию папка сжатия в IIS 6.0 имеет следующий путь: %systemroot%\IIS Temporary Compressed Files.
Дополнительные сведения см. Microsoft в статье 817442 базы знаний Майкрософт При включенном сжатии на сервере со службами IIS может быть возвращен файл размером 0 байт (на английском языке).
Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.
Файлы, связанные с Интернетом, которые хранятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\ClientAccess.
Временная папка, которая используется для преобразования содержимого. По умолчанию используется папка TMP сервера.
Роль сервера единой системы обмена сообщениями
Файлы грамматики, которые хранятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\grammars.
Голосовые приглашения, которые хранятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\Prompts.
Файлы голосовой почты, которые хранятся в папке %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\voicemail.
Файлы голосовой почты с ошибками, которые хранятся в папке %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail.
Microsoft ForeFront Security для Exchange Server
Архивы сообщений, которые хранятся в папке %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Archive.
Файлы, помещенные на карантин, которые хранятся в папке %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine.
Файлы антивирусного ядра, которые хранятся во вложенных папках папки %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86.
Файлы конфигурации, которые хранятся в папке %Program Files%\Microsoft ForeFront Security\Exchange Server\Data.
Microsoft ForeFront Security для Exchange Server в кластерах с единым хранилищем
Кроме каталогов, содержащих файлы антивирусного ядра и файлы конфигурации, исключите каталог общего хранилища, используемый для хранения данных ForeFront.Чтобы определить путь, используемый решением ForeFront в кластере с единым хранилищем, узнайте значение следующего параметра реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath
UNRESOLVED_TOKEN_VAL(exRegistry)
Исключения для процессов
Многие современные средства проверки на файловом уровне поддерживают проверку процессов. Проверка неправильных процессов также может негативно повлиять на Microsoft Exchange. Поэтому необходимо отключить проверку на файловом уровне для указанных ниже процессов.
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Cluster.exe |
Msexchangeadtopologyservice.exe |
Dsamain.exe |
Msexchangefds.exe |
Edgecredentialsvc.exe |
Msexchangemailboxassistants.exe |
Edgetransport.exe |
Msexchangemailsubmission.exe |
Galgrammargenerator.exe |
Msexchangetransport.exe |
Inetinfo.exe |
Msexchangetransportlogsearch.exe |
Mad.exe |
Msftefd.exe |
Microsoft.Exchange.Antispamupdatesvc.exe |
Msftesql.exe |
Microsoft.Exchange.Contentfilter.Wrapper.exe |
Oleconverter.exe |
Microsoft.Exchange.Cluster.Replayservice.exe |
Powershell.exe |
Microsoft.Exchange.Edgesyncsvc.exe |
Sesworker.exe |
Microsoft.Exchange.Imap4.exe |
Speechservice.exe |
Microsoft.Exchange.Imap4service.exe |
Store.exe |
Microsoft.Exchange.Infoworker.Assistants.exe |
Transcodingservice.exe |
Microsoft.Exchange.Monitoring.exe |
Umservice.exe |
Microsoft.Exchange.Pop3.exe |
Umworkerprocess.exe |
Microsoft.Exchange.Pop3service.exe |
W3wp.exe |
При развертывании ForeFront Security для Exchange Server также необходимо исключить из проверки следующие процессы:
Adonavsvc.exe |
Fscstatsserv.exe |
Fsccontroller.exe |
Fsctransportscanner.exe |
Fscdiag.exe |
Fscutility.exe |
Fscexec.exe |
Fsemailpickup.exe |
Fscimc.exe |
Fssaclient.exe |
Fscmanualscanner.exe |
Getenginefiles.exe |
Fscmonitor.exe |
Perfmonitorsetup.exe |
Fscrealtimescanner.exe |
Scanenginetest.exe |
Fscstarter.exe |
Semsetup.exe |
Исключения для расширений имен файлов
Кроме исключения из проверки определенных каталогов и процессов в качестве меры безопасности на случай ошибки исключений для каталогов или перемещения файлов необходимо исключить из проверки перечисленные ниже расширения имен файлов, свойственные Exchange.
Расширения, связанные с приложениями
.config
.dia
.wsb
Расширения, связанные с базами данных
.chk
.log
.edb
.jrs
.que
Расширения, связанные с автономной адресной книгой
- .lzx
Расширения, связанные с индексами содержимого
.ci
.wid
.001
.dir
.000
.002
Расширения, связанные с единой системой обмена сообщениями
.cfg
.grxml
Расширения, связанные с ForeFront Security для Exchange Server
.avc
.dt
.lst
.cab
.fdb
.mdb
.cfg
.fdm
.ppl
.config
.ide
.set
.da1
.key
.v3d
.dat
.klb
.vdb
.def
.kli
.vdm
Расширения имен файлов, связанные с ForeFront Security для Exchange Server, — это расширения файлов сигнатур для различных антивирусных ядер. В большинстве случаев эти расширения имен файлов не меняются, но они могут добавляться в будущем при обновлении файлов антивирусных сигнатур сторонними поставщиками антивирусных программ.