Verificação Antivírus em Nível de Arquivo no Exchange 2010
Aplica-se a: Exchange Server 2010
Tópico modificado em: 2010-01-20
Este tópico descreve os efeitos de programas antivírus em nível de arquivo em computadores que executam o Microsoft Exchange Server 2010. Se você implantou as recomendações descritas neste tópico, você poderá ajudar a aprimorar a segurança e a integridade de sua organização do Exchange.
Verificadores de vírus em nível de arquivo são usados com freqüência. Entretanto, se eles estiverem configurados incorretamente, poderão causar problemas no Exchange 2010. Há dois tipos de verificações em nível de arquivo:
- Verificação em nível de arquivo residente em memória refere-se a uma parte de software antivírus em nível de arquivo que sempre é carregada na memória. Ela verifica todos os arquivos utilizados no disco rígido e na memória do computador.
- Verificação em nível de arquivo sob demanda refere-se a uma parte do software antivírus em nível de arquivo que você pode configurar para verificar arquivos no disco rígido manualmente ou com base em uma agenda. Algumas versões de software antivírus iniciam a verificação sob demanda automaticamente depois que assinaturas de vírus são atualizadas, para garantir que todos os arquivos sejam verificados com as assinaturas mais recentes.
Os seguintes problemas podem ocorrer na utilização de verificadores de vírus em nível de arquivo com o Exchange 2010:
- Verificadores de vírus em nível de arquivo podem verificar um arquivo quando ele estiver sendo usado ou em intervalos agendados. Isso pode fazer com que os verificadores bloqueiem ou coloquem em quarentena um arquivo de log ou banco de dados do Exchange, quando o Microsoft Exchange tentar usar o arquivo. Esse comportamento pode causar uma falha grave no Microsoft Exchange e também pode gerar erros -1018.
- Verificadores de vírus em nível de arquivo não oferecem proteção contra vírus de email, como o worm Storm. O worm Storm era um cavalo-de-troia backdoor que se propagava através de mensagens de email. O worm fazia o computador infectado entrar em uma botnet, em que o computador era usado para enviar mensagens de spam em levas periódicas. Esse tipo de vírus pode afetar o desempenho do computador e da rede em que o computador está.
Recomendações para o uso de verificação em nível de arquivo com o Exchange 2010
Se você estiver implantando verificadores de vírus em nível de arquivo em servidores do Exchange 2010, certifique-se de que as exclusões apropriadas, como exclusões de diretório, de processo e de extensão de nome de arquivo, estejam no lugar para verificações residentes na memória e em nível de arquivo. Esta seção descreve exclusões de diretório, de processo e de extensão de nome de arquivo para cada servidor ou função de servidor.
Exclusões de diretório
É necessário excluir diretórios específicos de cada servidor Exchange ou função de servidor em que um verificador antivírus em nível de arquivo seja executado. Esta seção descreve os diretórios que devem ser excluídos da verificação de vírus em nível de arquivo para cada servidor ou função de servidor.
Função de servidor Caixa de Correio
- Bancos de dados, arquivos de ponto de verificação e arquivos de log do Exchange. Por padrão, eles estão localizados em subpastas da pasta %ExchangeInstallPath%\Mailbox. É possível obter a localização do diretório executando os seguintes comandos no Shell de Gerenciamento do Exchange:
- Para determinar a localização de um banco de dados de caixa de correio, log de transações e arquivo de ponto de verificação, execute o seguinte comando:
Get-MailboxDatabase -server <servername>| format-list *path*
- Para determinar a localização de um banco de dados de caixa de correio, log de transações e arquivo de ponto de verificação, execute o seguinte comando:
- Índices de conteúdo de banco de dados. Por padrão, eles estão na mesma pasta que o arquivo do banco de dados.
- Arquivos de métrica de grupo. Por padrão, eles estão localizados na pasta %ExchangeInstallPath%\GroupMetrics.
- Arquivos de log gerais, como arquivos de log de controle de mensagens e de reparo de calendário. Por padrão, esses arquivos estão localizados em subpastas nas pastas %ExchangeInstallPath%\TransportRoles\Logs e %ExchangeInstallPath%\Logging. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-MailboxServer <servername> | format-list *path*
- Os arquivos de catálogo de endereços offline. Por padrão, eles estão localizados em subpastas na pasta %ExchangeInstallPath%\ExchangeOAB
- Arquivos de sistema IIS na pasta %SystemRoot%\System32\Inetsrv
- A pasta temporária que é usada por utilitários de manutenção offline, como Eseutil.exe. Por padrão, essa pasta é o local a partir do qual o arquivo .exe é executado. No entanto, é possível configurar onde realizar a operação, ao executar o utilitário.
- A pasta temporária de banco de dados de Caixa de Correio: %ExchangeInstallPath%\Mailbox\MDBTEMP
- Quaisquer pastas sensíveis de programa antivírus do Exchange
- Bancos de dados, arquivos de ponto de verificação e arquivos de log do Exchange. Por padrão, eles estão localizados em subpastas da pasta %ExchangeInstallPath%\Mailbox. É possível obter a localização do diretório executando os seguintes comandos no Shell de Gerenciamento do Exchange:
Servidor de caixas de correio que é membro de um grupo de disponibilidade do banco de dados
Todos os itens listados na lista de funções de servidor Caixa de Correio e o seguinte:- O disco de quorum e a pasta %Winnt%\Cluster
Servidor testemunha
- Os arquivos do diretório testemunha. Eles estão localizados em outro servidor do ambiente, normalmente em um servidor de Transporte de Hub. Por padrão, esses arquivos estão localizados em \\%UnidadeDoSistema%:\DAGFileShareWitnesses\<DAGFQDN> e no compartilhamento-padrão (<DAGFQDN>) no servidor. Para mais informações sobre um grupo de disponibilidade de banco de dados (DAGs) e servidores testemunhas, consulte Gerenciando grupos de disponibilidade de bancos de dados.
Função de servidor Transporte de Hub
- Arquivos de log gerais, por exemplo, rastreamento de mensagens e logs de conectividade. Por padrão, esses arquivos estão localizados em subpastas na pasta %ExchangeInstallPath%\TransportRoles\Logs. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-TransportServer <servername>| format-list *logpath*,*tracingpath*
- Pastas de diretório de mensagens para Retirada e Repetição. Por padrão, essas pastas estão localizadas na pasta %ExchangeInstallPath%\TransportRoles. Para determinar os caminhos que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-TransportServer <servername>| fl *dir*path*
- A função do servidor de transporte fila do banco de dados, ponto de verificação e arquivos de log. Por padrão, eles estão localizados na pasta %ExchangeInstallPath%\TransportRoles\Data\Queue. Para mais informações, consulte Gerenciando Filas de Transporte.
- O banco de dados da Reputação do Remetente da função de servidor de transporte, ponto de verificação e arquivos de log. Por padrão, eles estão localizados na pasta %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.
- O banco de dados do filtro de IP da função de servidor de transporte, ponto de verificação e arquivos de log. Por padrão, eles estão localizados na pasta %ExchangeInstallPath%\TransportRoles\Data\IpFilter.
- As pastas temporárias que são utilizadas para realizar conversões:
- Por padrão, as conversões de conteúdo são realizadas na pasta TMP do servidor do Exchange.
- Por padrão, as conversões de OLE dele são executadas na pasta %ExchangeInstallPath%\Working\OleConvertor.
- Quaisquer pastas sensíveis de programa antivírus do Exchange
- Arquivos de log gerais, por exemplo, rastreamento de mensagens e logs de conectividade. Por padrão, esses arquivos estão localizados em subpastas na pasta %ExchangeInstallPath%\TransportRoles\Logs. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Função de servidor Transporte de Borda
- O banco de dados do Active Directory Lightweight Directory Service (AD LDS) e arquivos de log. Por padrão, eles estão localizados na pasta %ExchangeInstallPath%\TransportRoles\Data\Adam. Para mais informações sobre arquivos de banco de dados do AD LDS, consulte Modificar configuração AD LDS.
- Arquivos de log gerais, por exemplo, rastreamento de mensagens. Por padrão, esses arquivos estão localizados em subpastas na pasta %ExchangeInstallPath%\TransportRoles\Logs. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-TransportServer <servername> | format-list *logpath*,*tracingpath*
- As pastas de mensagem de Retirada e Repetição. Por padrão, eles estão localizados na pasta %ExchangeInstallPath%\TransportRoles. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-TransportServer <servername>| format-list *dir*path*
- A função do servidor de transporte fila do banco de dados, ponto de verificação e arquivos de log. Por padrão, eles estão localizados na pasta %ExchangeInstallPath%\TransportRoles\Data\Queue. Para mais informações sobre filas de servidor de transporte, consulte Gerenciando Filas de Transporte.
- O banco de dados da Reputação do Remetente da função de servidor de transporte, ponto de verificação e arquivos de log. Por padrão, elas são localizadas na pasta %ExchangeInstallPath%\TransportRoles\Data\SenderReputation
- O banco de dados do filtro de IP da função de servidor de transporte, ponto de verificação e arquivos de log. Por padrão, elas são localizadas na pasta %ExchangeInstallPath%\TransportRoles\Data\IpFilter
- As pastas temporárias que são utilizadas para realizar conversões:
- Por padrão, as conversões de conteúdo são realizadas na pasta TMP do servidor.
- Por padrão, as conversões de OLE dele são executadas na pasta %ExchangeInstallPath%\Working\OleConvertor.
- Quaisquer pastas sensíveis de programa antivírus do Exchange
função de servidor Acesso para Cliente
- Para servidores usando o IIS (Serviços de Informações da Internet) 7.0, a pasta de compactação que é utilizada com o Microsoft Outlook Web App. Por padrão, a pasta de compactação no IIS 7.0 está localizada em %UnidadeDoSistema%\inetpub\temp\Arquivos temporários compactados do IIS.
- Para servidores usando o IIS 6.0, a pasta de compactação que é utilizada com o Microsoft Outlook Web App. Por padrão, a pasta de compactação para o IIS 6.0 está localizada em %raizdosistema%\Arquivos temporários compactados do IIS.
- Observação Para mais informações sobre possíveis erros resultantes de verificar a pasta de compactação do ISS, consulte o artigo 817442 da Base de Dados de Conhecimento de Microsoft, Um arquivo de 0 byte pode ser retornado quando a compactação está habilitada em um servidor que está executando o IIS.
- Arquivos de sistema IIS na pasta %SystemRoot%\System32\Inetsrv
- Inetpub\logs\logfiles\w3svc
- Os arquivos relacionados da Internet que são armazenados nas subpastas da pasta %ExchangeInstallPath%\ClientAccess
- Para servidores que tenham o log de protocolo habilitado para POP3 ou IMAP4, estas pastas:
- Pasta POP3: %ExchangeInstallPath%\Logging\POP3
- Pasta IMAP4: %ExchangeInstallPath%\Logging\IMAP4
- As pastas temporárias que são utilizadas para realizar conversões:
- Por padrão, as conversões de conteúdo são realizadas na pasta TMP do servidor.
- Por padrão, as conversões de OLE dele são executadas na pasta %ExchangeInstallPath%\Working\OleConvertor.
Função de servidor Unificação de Mensagens
- Os arquivos de gramática para localidades diferentes, por exemplo, en-EN ou es-ES. Por padrão, eles são armazenados nas subpastas na pasta %ExchangeInstallPath%\UnifiedMessaging\grammars.
- Os prompts de voz, saudações e arquivos de mensagem informativa. Por padrão, eles são armazenados nas subpastas na pasta %ExchangeInstallPath%\UnifiedMessaging\Prompts
- Os arquivos de caixa postal são temporariamente armazenados na pasta %ExchangeInstallPath%\UnifiedMessaging\voicemail.
- Os arquivos temporários gerados pela Unificação de mensagens. Por padrão, eles são armazenados na pasta %ExchangeInstallPath%\UnifiedMessaging\temp.
Proteção do Microsoft Forefront para Exchange
- A pasta de instalação do Forefront. Por padrão, ela é %Arquivos de Programas%\Microsoft Forefront Security\Exchange Server.
- Quaisquer mensagens arquivadas. Por padrão, elas são armazenadas na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Archive.
- Quaisquer arquivos em quarentena. Por padrão, eles são armazenados na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine.
- Os arquivos do mecanismo antivírus. Por padrão, eles são armazenados nas subpastas de %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86.
- Os arquivos de configuração. Por padrão, eles são armazenados na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data.
Exclusões de processo
Muitos verificadores em nível de arquivo agora suportam a verificação de processos, o que pode afetar negativamente o Microsoft Exchange, se os processos incorretos forem verificados. Portanto, é necessário excluir os seguintes processos dos verificadores de vírus em nível de arquivo.
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Cluster.exe |
MSExchangeASTopologyService.exe |
Dsamain.exe |
MSExchangeFDS.exe |
EdgeCredentialSvc.exe |
MSExchangeMailboxAssistants.exe |
EdgeTransport.exe |
MSExchangeMailboxReplication.exe |
ExFBA.exe |
MSExchangeMailSubmission.exe |
GalGrammarGenerator.exe |
MSExchangeRepl.exe |
Inetinfo.exe |
MSExchangeTransport.exe |
Mad.exe |
MSExchangeTransportLogSearch.exe |
Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeThrottling.exe |
Microsoft.Exchange.AntispamUpdateSvc.exe |
Msftefd.exe |
Microsoft.Exchange.ContentFilter.Wrapper.exe |
Msftesql.exe |
Microsoft.Exchange.EdgeSyncSvc.exe |
OleConverter.exe |
Microsoft.Exchange.Imap4.exe |
Powershell.exe |
Microsoft.Exchange.Imap4service.exe |
SESWorker.exe |
Microsoft.Exchange.Infoworker.Assistants.exe |
SpeechService.exe |
Microsoft.Exchange.Monitoring.exe |
Store.exe |
Microsoft.Exchange.Pop3.exe |
TranscodingService.exe |
Microsoft.Exchange.Pop3service.exe |
UmService.exe |
Microsoft.Exchange.ProtectedServiceHost.exe |
UmWorkerProcess.exe |
Microsoft.Exchange.RPCClientAccess.Service.exe |
W3wp.exe |
Se você também estiver implantando a Proteção do Forefront para Exchange Server, exclua os seguintes processos.
Adonavsvc.exe |
FscStatsServ.exe |
FscController.exe |
FscTransportScanner.exe |
FscDiag.exe |
FscUtility.exe |
FscExec.exe |
FsEmailPickup.exe |
FscImc.exe |
FssaClient.exe |
FscManualScanner.exe |
GetEngineFiles.exe |
FscMonitor.exe |
PerfmonitorSetup.exe |
FscRealtimeScanner.exe |
ScanEngineTest.exe |
FscStarter.exe |
SemSetup.exe |
Exclusões de extensão de nomes de arquivo
Além de excluir diretórios e processos específicos, você deve excluir as seguinte extensões de nome de arquivo específicas do Exchange, caso as exclusões de diretório falhem ou os arquivos sejam movidos de seus locais-padrão.
Extensões relacionadas a aplicativos
- .config
- .dia
- .wsb
Extensões relacionadas a bancos de dados
- .chk
- .log
- .edb
- .jrs
- .que
Extensões relacionadas a Catálogos de Endereços Offline:
- .lzx
Extensões relacionadas a Índice de Conteúdo
.ci
.wid
.001
.dir
.000
.002
Extensões relacionadas à Unificação de Mensagens
- .cfg
- .grxml
GroupMetrics
- .dsc
- .bin
- .xml
Extensões relacionadas à Proteção do Forefront para Exchange Server
.avc
.dt
.lst
.cab
.fdb
.mdb
cfg
.fdm
.ppl
.config
.ide
.set
.da1
.key
.v3d
.dat
.klb
.vdb
.def
.kli
.vdm
As extensões de nomes de arquivo listadas na Proteção do Forefront para Exchange Server são os arquivos de assinatura de vários mecanismos de diretório antivírus. Na maioria dos casos, essas extensões de nomes de arquivo não se alteram, mas podem ser adicionadas futuramente quando fornecedores de antivírus terceirizados atualizarem seus arquivos de assinatura antivírus.