Logiciel anti-virus du système d’exploitation sur les serveurs Exchange
S’applique à : Exchange Server 2013
Cette rubrique décrit les effets des programmes antivirus au niveau des fichiers sur les ordinateurs qui exécutent Microsoft Exchange Server 2013. Si vous implémentez les recommandations décrites dans cette rubrique, vous pouvez améliorer la sécurité et l’intégrité de votre organisation Exchange.
Les analyseurs au niveau du fichier sont fréquemment utilisés. Toutefois, s’ils sont configurés de manière incorrecte, ils peuvent entraîner des problèmes dans Exchange 2013. Il existe deux types d’analyseurs au niveau du fichier :
L’analyse au niveau du fichier résidant en mémoire fait référence à une partie du logiciel antivirus au niveau du fichier qui est chargé en mémoire à tout moment. Il vérifie tous les fichiers utilisés sur le disque dur et dans la mémoire de l’ordinateur.
L’analyse au niveau du fichier à la demande fait référence à une partie du logiciel antivirus au niveau du fichier que vous pouvez configurer pour analyser les fichiers sur le disque dur manuellement ou selon une planification. Certaines versions des logiciels antivirus démarrent automatiquement l’analyse à la demande après la mise à jour des signatures de virus pour s’assurer que tous les fichiers sont analysés avec les signatures les plus récentes.
Les problèmes suivants peuvent se produire lorsque vous utilisez des scanneurs au niveau du fichier avec Exchange 2013 :
Les analyseurs au niveau du fichier peuvent analyser un fichier lorsque le fichier est utilisé ou à un intervalle planifié. Cela peut entraîner le verrouillage ou la mise en quarantaine d’un journal Exchange ou d’un fichier de base de données pendant qu’Exchange 2013 tente d’utiliser le fichier. Ce comportement peut entraîner une défaillance grave dans Exchange 2013 et peut également provoquer des erreurs de journal des événements -1018.
Les scanneurs au niveau du fichier ne fournissent pas de protection contre les virus de messagerie, tels que storm worm. Storm Worm était un programme de cheval de Troie de porte dérobée qui s’est propagé par e-mail. Le ver a joint l’ordinateur infecté à un botnet, où l’ordinateur a été utilisé pour envoyer du courrier indésirable par rafales périodiques.
Recommandations relatives à l’utilisation de l’analyse au niveau des fichiers avec Exchange 2013
Si vous déployez des analyseurs au niveau du fichier sur des serveurs Exchange 2013, assurez-vous que les exclusions appropriées, telles que les exclusions de répertoire, les exclusions de processus et les exclusions d’extension de nom de fichier, sont en place pour l’analyse au niveau de la mémoire et au niveau du fichier. Cette section décrit les exclusions de répertoire recommandées, les exclusions de processus et les exclusions d’extension de nom de fichier.
Exclusions d’annuaires
Vous devez exclure des répertoires spécifiques pour chaque serveur Exchange sur lequel vous exécutez un scanneur antivirus au niveau du fichier. Cette section décrit les répertoires que vous devez exclure de l’analyse au niveau du fichier.
Serveurs de boîtes aux lettres
Bases de données de boîte aux lettres
Bases de données, fichiers de point de contrôle et fichiers journaux Exchange. Par défaut, ils se trouvent dans des sous-dossiers sous le dossier %ExchangeInstallPath%Mailbox. Pour déterminer l’emplacement d’une base de données de boîtes aux lettres, du journal des transactions et d’un fichier de point de contrôle, exécutez la commande suivante :
Get-MailboxDatabase -Server <servername>| Format-List *path*Index de contenu de base de données. Par défaut, ils se trouvent dans le même dossier que le fichier de base de données.
Regrouper les fichiers de métriques. Par défaut, ces fichiers se trouvent dans le dossier %ExchangeInstallPath%GroupMetrics.
Fichiers journaux généraux, tels que le suivi des messages et les fichiers journaux de réparation de calendrier. Par défaut, ces fichiers se trouvent dans des sous-dossiers sous le dossier %ExchangeInstallPath%TransportRoles\Logs et le dossier %ExchangeInstallPath%Logging. Pour déterminer les chemins d’accès au journal utilisés, exécutez la commande suivante dans Exchange Management Shell :
Get-MailboxServer <servername> | Format-List *path*Fichiers de carnet d’adresses en mode hors connexion. Par défaut, ils se trouvent dans des sous-dossiers sous le dossier %ExchangeInstallPath%ClientAccess\OAB.
Fichiers système IIS dans le dossier %SystemRoot%\System32\Inetsrv.
Dossier temporaire de la base de données de boîtes aux lettres : %ExchangeInstallPath%Mailbox\MDBTEMP
Membres des groupes de disponibilité de base de données
Tous les éléments répertoriés dans la liste Bases de données de boîtes aux lettres et la base de données de quorum de cluster qui existe dans %Windir%\Cluster.
Fichiers de répertoire témoins. Ces fichiers se trouvent sur un autre serveur de l’environnement, généralement un serveur d’accès au client qui n’est pas installé sur le même ordinateur qu’un serveur de boîtes aux lettres. Par défaut, les fichiers de répertoire témoin se trouvent dans %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>.
service de transport
Les fichiers journaux, par exemple, le suivi des messages et les journaux de connectivité. Par défaut, ces fichiers se trouvent dans des sous-dossiers sous le dossier %ExchangeInstallPath%TransportRoles\Logs. Pour déterminer les chemins d’accès au journal utilisés, exécutez la commande suivante dans Exchange Management Shell :
Get-TransportService <servername> | Format-List *logpath*,*tracingpath*Collecte et relecture des dossiers de répertoires de messages. Par défaut, ces dossiers se trouvent sous le dossier %ExchangeInstallPath%TransportRoles. Pour déterminer les chemins d’accès utilisés, exécutez la commande suivante dans Exchange Management Shell :
Get-TransportService <servername>| Format-List *dir*path*Les bases de données de file d’attente, les points de contrôle et les fichiers journaux. Par défaut, ils se trouvent dans le dossier %ExchangeInstallPath%TransportRoles\Data\Queue.
La base de données, le point de contrôle et les fichiers journaux de réputation de l’expéditeur. Par défaut, elles se trouvent dans le dossier %ExchangeInstallPath%TransportRoles\Data\SenderReputation.
Dossiers temporaires utilisés pour effectuer des conversions :
Par défaut, les conversions de contenu sont effectuées dans le dossier %TMP% du serveur Exchange.
Par défaut, les conversions RTF (Rich Text Format) en MIME/HTML sont effectuées dans le dossier %ExchangeInstallPath%Working\OleConverter.
Le composant d’analyse de contenu est utilisé par l’agent de logiciels malveillants et la protection contre la perte de données (DLP). Par défaut, ces fichiers se trouvent dans le dossier %ExchangeInstallPath%FIP-FS.
Service de transport de boîtes aux lettres
- Fichiers journaux, par exemple, journaux de connectivité. Par défaut, ces fichiers se trouvent dans des sous-dossiers sous le dossier %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Pour déterminer les chemins d’accès au journal utilisés, exécutez la commande suivante dans Exchange Management Shell :
Get-MailboxTransportService <servername> | Format-List *logpath*
- Fichiers journaux, par exemple, journaux de connectivité. Par défaut, ces fichiers se trouvent dans des sous-dossiers sous le dossier %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Pour déterminer les chemins d’accès au journal utilisés, exécutez la commande suivante dans Exchange Management Shell :
Messagerie unifiée
Fichiers de grammaire pour différents paramètres régionaux, par exemple en-EN ou es-ES. Par défaut, ils sont stockés dans les sous-dossiers du dossier %ExchangeInstallPath%UnifiedMessaging\grammars.
Les invites vocales, les messages d’accueil et les fichiers de messages d’information. Par défaut, ils sont stockés dans les sous-dossiers du dossier %ExchangeInstallPath%UnifiedMessaging\Prompts
Fichiers de messagerie vocale stockés temporairement dans le dossier %ExchangeInstallPath%UnifiedMessaging\voicemail.
Fichiers temporaires générés par la messagerie unifiée. Par défaut, ils sont stockés dans le dossier %ExchangeInstallPath%UnifiedMessaging\temp.
Configuration
- Exchange Server configurer des fichiers temporaires. Ces fichiers se trouvent généralement dans %SystemRoot%\Temp\ExchangeSetup.
Service Search Exchange
- Fichiers temporaires utilisés par le service de recherche Exchange et Microsoft Filter Pack pour effectuer la conversion de fichier dans un environnement bac à sable. Ces fichiers se trouvent dans %SystemRoot%\Temp\OICE_\<GUID>\.
Serveurs d’accès au client
Composants web
Pour les serveurs utilisant Internet Information Services (IIS) 7.0, le dossier de compression utilisé avec Microsoft Outlook Web App. Par défaut, le dossier de compression pour IIS 7.0 se trouve dans %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.
Fichiers système IIS dans le dossier %SystemRoot%\System32\Inetsrv
Inetpub\logs\logfiles\w3svc
Sous-dossiers dans %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
Journalisation des protocoles POP3 et IMAP4
Dossier POP3 : %ExchangeInstallPath%Logging\POP3
Dossier IMAP4 : %ExchangeInstallPath%Logging\IMAP4
Service de transport frontal
- Fichiers journaux, par exemple, journaux de connectivité et journaux de protocole. Par défaut, ces fichiers se trouvent dans des sous-dossiers sous le dossier %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Pour déterminer les chemins d’accès au journal utilisés, exécutez la commande suivante dans Exchange Management Shell :
Get-FrontEndTransportService <servername> | Format-List *logpath*
- Fichiers journaux, par exemple, journaux de connectivité et journaux de protocole. Par défaut, ces fichiers se trouvent dans des sous-dossiers sous le dossier %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Pour déterminer les chemins d’accès au journal utilisés, exécutez la commande suivante dans Exchange Management Shell :
Configuration
- Exchange Server configurer des fichiers temporaires. Ces fichiers se trouvent généralement dans %SystemRoot%\Temp\ExchangeSetup.
Exclusions de processus
De nombreux scanneurs de niveau fichier prennent désormais en charge l’analyse des processus, ce qui peut nuire à Microsoft Exchange si les processus incorrects sont analysés. Par conséquent, vous devez exclure les processus suivants des scanneurs au niveau du fichier.
| Processus | Path | Comments | Serveurs |
|---|---|---|---|
| Dsamain.exe | %SystemRoot%\System32 | Active Directory Lightweight Directory Services (AD LDS) sur les serveurs de transport Edge abonnés. | Serveurs de transport Edge |
| EdgeTransport.exe | %ExchangeInstallPath%Bin | Processus de travail de service de transport Microsoft Exchange | Serveurs de boîtes aux lettres Serveurs de transport Edge |
| fms.exe | %ExchangeInstallPath%FIP-FS\Bin | Composant d'analyse de contenu utilisé par l'agent anti-programme malveillant et dans la protection contre la perte de données (stratégie DLP). | Serveurs de boîtes aux lettres |
| hostcontrollerservice.exe | %ExchangeInstallPath%Bin\Search\Ceres\HostController | Service de contrôleur d'hôte Microsoft Exchange Search (HostControllerService) | Serveurs de boîtes aux lettres Serveurs d’accès au client |
| inetinfo.exe | %SystemRoot%\System32\inetsrv | Internet Information Services (IIS) | Serveurs de boîtes aux lettres Serveurs d’accès au client |
| Microsoft.Exchange.AntispamUpdateSvc.exe | %ExchangeInstallPath%Bin | Service de mise à jour anti-courrier indésirable Microsoft Exchange (MSExchangeAntispamUpdate) | Serveurs de boîtes aux lettres Serveurs de transport Edge |
| Microsoft.Exchange.ContentFilter.Wrapper.exe | %ExchangeInstallPath%TransportRoles\agents\Hygiene | Agent de filtrage du contenu | Serveurs de boîtes aux lettres Serveurs de transport Edge |
| Microsoft.Exchange.Diagnostics.Service.exe | %ExchangeInstallPath%Bin | Service de diagnostic Microsoft Exchange (MSExchangeDiagnostics) | Serveurs de boîtes aux lettres Serveurs d’accès au client Serveurs de transport Edge |
| Microsoft.Exchange.Directory.TopologyService.exe | %ExchangeInstallPath%Bin | Service de topologie Active Directory de Microsoft Exchange (MSExchangeADTopology) | Serveurs de boîtes aux lettres Serveurs d’accès au client |
| Microsoft.Exchange.EdgeCredentialSvc.exe | %ExchangeInstallPath%Bin | Service d'informations d'identification Microsoft Exchange (MSExchangeEdgeCredential) | Serveurs de transport Edge |
| Microsoft.Exchange.EdgeSyncSvc.exe | %ExchangeInstallPath%Bin | Service EdgeSync Microsoft Exchange (MSExchangeEdgeSync) | Serveurs de boîtes aux lettres |
| Microsoft.Exchange.Imap4.exe | ExchangeInstallPath%FrontEnd\PopImap | Service IMAP4 Microsoft Exchange (MSExchangeImap4) | Serveurs d’accès au client |
| Microsoft.Exchange.Imap4service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Service principal IMAP4 Microsoft Exchange (MSExchangeIMAP4BE) | Serveurs de boîtes aux lettres |
| Microsoft.Exchange.Pop3.exe | %ExchangeInstallPath%FrontEnd\PopImap | Service POP3 Microsoft Exchange (MSExchangePop3) | Serveurs d’accès au client |
| Microsoft.Exchange.Pop3service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Service principal POP3 Microsoft Exchange (MSExchangePOP3BE) | Serveurs de boîtes aux lettres |
| Microsoft.Exchange.ProtectedServiceHost.exe | %ExchangeInstallPath%Bin | Service d'hôte de service Microsoft Exchange (MSExchangeServiceHost) | Serveurs de boîtes aux lettres Serveurs d’accès au client Serveurs de transport Edge |
| Microsoft.Exchange.RPCClientAccess.Service.exe | %ExchangeInstallPath%Bin | Service d'accès au client RPC Microsoft Exchange (MSExchangeRPC) | Serveurs de boîtes aux lettres |
| Microsoft.Exchange.Search.Service.exe | %ExchangeInstallPath%Bin | Service de recherche Microsoft Exchange (MSExchangeFastSearch) | Serveurs de boîtes aux lettres |
| Microsoft.Exchange.Servicehost.exe | %ExchangeInstallPath%Bin | Service d'hôte de service Microsoft Exchange (MSExchangeServiceHost) | Serveurs de boîtes aux lettres Serveurs d’accès au client Serveurs de transport Edge |
| Microsoft.Exchange.Store.Service.exe | %ExchangeInstallPath%Bin | Service de banque d'informations Microsoft Exchange (MSExchangeIS) | Serveurs de boîtes aux lettres |
| Microsoft.Exchange.Store.Worker.exe | %ExchangeInstallPath%Bin | Processus de travail du service de banque d'informations Microsoft Exchange | Serveurs de boîtes aux lettres |
| Microsoft.Exchange.UM.CallRouter.exe | %ExchangeInstallPath%FrontEnd\CallRouter | Service de routeur d'appel de messagerie unifiée Microsoft Exchange (MSExchangeUMCR) | Serveurs d’accès au client |
| MSExchangeDagMgmt.exe | %ExchangeInstallPath%Bin | Service de gestion de DAG Microsoft Exchange(MSExchangeDagMgmt) | Serveurs de boîtes aux lettres |
| MSExchangeDelivery.exe | %ExchangeInstallPath%Bin | Service de remise de transport de boîte aux lettres Microsoft Exchange (MSExchangeDelivery) | Serveurs de boîtes aux lettres |
| MSExchangeFrontendTransport.exe | %ExchangeInstallPath%Bin | Service de transport frontal Microsoft Exchange (MSExchangeFrontEndTransport) | Serveurs d’accès au client |
| MSExchangeHMHost.exe | %ExchangeInstallPath%Bin | Service de gestionnaire de contrôle d'intégrité Microsoft Exchange (MSExchangeHM) | Serveurs de boîtes aux lettres Serveurs d’accès au client Serveurs de transport Edge |
| MSExchangeHMWorker.exe | %ExchangeInstallPath%Bin | Processus de travail de service de gestionnaire de contrôle d'intégrité Microsoft Exchange | Serveurs de boîtes aux lettres Serveurs d’accès au client Serveurs de transport Edge |
| MSExchangeMailboxAssistants.exe | %ExchangeInstallPath%Bin | Service d'Assistants de boîte aux lettres Microsoft Exchange (MSExchangeMailboxAssistants) | Serveurs de boîtes aux lettres |
| MSExchangeMailboxReplication.exe | %ExchangeInstallPath%Bin | Service de réplication de boîte aux lettres Microsoft Exchange (MSExchangeMailboxReplication) | Serveurs de boîtes aux lettres |
| MSExchangeMigrationWorkflow.exe | %ExchangeInstallPath%Bin | Service de flux de travail de migration Microsoft Exchange (MSExchangeMigrationWorkflow) | Serveurs de boîtes aux lettres |
| MSExchangeRepl.exe | %ExchangeInstallPath%Bin | Service de réplication Microsoft Exchange (MSExchangeRepl) | Serveurs de boîtes aux lettres |
| MSExchangeSubmission.exe | %ExchangeInstallPath%Bin | Service de dépôt de transport de boîte aux lettres Microsoft Exchange (MSExchangeSubmission) | Serveurs de boîtes aux lettres |
| MSExchangeTransport.exe | %ExchangeInstallPath%Bin | Service de transport Microsoft Exchange (MSExchangeTransport) | Serveurs de boîtes aux lettres Serveurs de transport Edge |
| MSExchangeTransportLogSearch.exe | %ExchangeInstallPath%Bin | Service de recherche de journal de transport Microsoft Exchange (MSExchangeTransportLogSearch) | Serveurs de boîtes aux lettres Serveurs de transport Edge |
| MSExchangeThrottling.exe | %ExchangeInstallPath%Bin | Service de limitation Microsoft Exchange (MSExchangeThrottling) | Serveurs de boîtes aux lettres |
| Noderunner.exe | %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 | Service de recherche Microsoft Exchange (MSExchangeFastSearch) | Serveurs de boîtes aux lettres |
| OleConverter.exe | %ExchangeInstallPath%Bin | Convertit les messages RTF au format MIME/HTML pour les destinataires externes. | Serveurs de boîtes aux lettres |
| ParserServer.exe | %ExchangeInstallPath%Bin\Search\Ceres\ParserServer | Service de recherche Microsoft Exchange (MSExchangeFastSearch) | Serveurs de boîtes aux lettres |
| Powershell.exe | C:\Windows\System32\WindowsPowerShell\v1.0 | Environnement de ligne de commande Exchange Management Shell | Serveurs de boîtes aux lettres Serveurs d’accès au client Serveurs de transport Edge |
| ScanEngineTest.exe | %ExchangeInstallPath%FIP-FS\Bin | Composant d'analyse de contenu utilisé par l'agent anti-programme malveillant et dans la protection contre la perte de données (stratégie DLP). | Serveurs de boîtes aux lettres |
| ScanningProcess.exe | %ExchangeInstallPath%FIP-FS\Bin | Composant d'analyse de contenu utilisé par l'agent anti-programme malveillant et dans la protection contre la perte de données (stratégie DLP). | Serveurs de boîtes aux lettres |
| TranscodingService.exe | %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing | Affichage de documents WebReady dans Outlook Web App. | Serveurs de boîtes aux lettres |
| UmService.exe | %ExchangeInstallPath%Bin | Service de messagerie unifiée Microsoft Exchange (MSExchangeUM) | Serveurs de boîtes aux lettres |
| UmWorkerProcess.exe | %ExchangeInstallPath%Bin | Processus de travail de service de messagerie unifiée Microsoft Exchange | Serveurs de boîtes aux lettres |
| UpdateService.exe | %ExchangeInstallPath%FIP-FS\Bin | Composant d'analyse de contenu utilisé par l'agent anti-programme malveillant et dans la protection contre la perte de données (stratégie DLP). | Serveurs de boîtes aux lettres |
| W3wp.exe | %SystemRoot%\System32\inetsrv | Internet Information Services (IIS) | Serveurs de boîtes aux lettres Serveurs d’accès au client |
Exclusions d’extensions de nom de fichier
Outre l’exclusion de répertoires et de processus spécifiques, vous devez exclure les extensions de nom de fichier spécifiques à Exchange suivantes en cas d’échec des exclusions de répertoire ou de déplacement de fichiers à partir de leurs emplacements par défaut.
Extensions liées à l’application :
- .config
- .Dia
- .Wsb
Extensions liées à la base de données :
- .Chk
- .Edb
- .Jrs
- .Jsl
- .rapport
- .que
Extensions liées au carnet d’adresses en mode hors connexion :
- .Lzx
Extensions liées à l’index de contenu :
- .Ci
- .Dir
- .Wid
- .000
- .001
- .002
Extensions liées à la messagerie unifiée :
- .Cfg
- .grxml
Extensions liées aux métriques de groupe :
- .Dsc
- .txt