Compartilhar via


Verificação antivírus no nível de arquivo no Exchange 2007

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2009-07-22

Este tópico descreve os efeitos de programas antivírus em nível de arquivo em computadores que executam o Microsoft Exchange Server 2007. Se você implantou as recomendações descritas neste tópico, será possível aprimorar a segurança e a integridade de sua organização do Exchange.

Verificadores de vírus em nível de arquivo são usados com freqüência. No entanto, se forem configurados incorretamente, poderão causar problemas no Exchange 2007.

Há dois tipos de verificadores de vírus em nível de arquivo:

  • Verificação em nível de arquivo residente em memória refere-se a uma parte de software antivírus em nível de arquivo que sempre é carregada na memória. Ela verifica todos os arquivos utilizados no disco rígido e na memória do computador.

  • Verificação em nível de arquivo sob demanda refere-se a uma parte do software antivírus em nível de arquivo que você pode configurar para verificar arquivos no disco rígido manualmente ou com base em uma agenda. Algumas versões de software antivírus iniciam a verificação sob demanda automaticamente depois que assinaturas de vírus são atualizadas, para garantir que todos os arquivos sejam verificados com as assinaturas mais recentes.

Os seguintes problemas podem ocorrer na utilização de verificadores de vírus em nível de arquivo com o Exchange 2007:

  • Verificadores de vírus em nível de arquivo podem verificar um arquivo quando ele estiver sendo usado ou em intervalos agendados. Isso pode fazer com que os verificadores bloqueiem ou coloquem em quarentena um arquivo de log ou banco de dados do Exchange, quando o Microsoft Exchange tentar usar o arquivo. Esse comportamento pode causar uma falha grave no Microsoft Exchange e também pode gerar erros -1018.

  • Verificadores de vírus em nível de arquivo não oferecem proteção contra vírus de email, como o vírus Melissa.

    Dica

    O vírus Melissa foi um vírus de macro Cavalo de Tróia que se propagou por mensagens de email em 1999. O vírus enviava mensagens de email com anexos mal-intencionados para endereços que ele encontrava nos catálogos de endereços pessoais de clientes de email do Microsoft Outlook. Vírus desse tipo podem causar destruição de dados.

Recomendações do Exchange 2007

Se estiver implantando verificadores de vírus em nível de arquivo em servidores Exchange 2007, certifique-se de que as exclusões apropriadas, como exclusões de diretório, de processo e de extensão de nome de arquivo, estejam apropriadas para verificações em tempo real e agendadas. Esta seção descreve exclusões de diretório, de processo e de extensão de nome de arquivo para cada servidor ou função de servidor.

Exclusões de diretório

É necessário excluir diretórios específicos de cada servidor Exchange ou função de servidor em que um verificador antivírus em nível de arquivo seja executado. Esta seção descreve os diretórios que devem ser excluídos da verificação de vírus em nível de arquivo para cada servidor ou função de servidor.

  • Função de servidor Caixa de Correio

    • Bancos de dados do Exchange, arquivos de ponto de verificação e arquivos de log de todos os grupos de armazenamento. Por padrão, eles estão localizados em subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\Mailbox. É possível obter a localização do diretório executando os seguintes comandos no Shell de Gerenciamento do Exchange:

      • Para determinar a localização de um log de transações e arquivo de ponto de verificação, execute o seguinte comando: Get-StorageGroup -server <servername>| fl *path*

      • Para determinar a localização de um banco de dados de caixa de correio, execute o seguinte comando: Get-MailboxDatabase -server <servername>| fl *path*

      • Para determinar a localização de um banco de dados de pasta pública, execute o seguinte comando: Get-PublicFolderDatabase -server <servername>| fl *path*

    • Índices de conteúdo de banco de dados. Por padrão, eles estão localizados em subpastas do grupo de armazenamento, na pasta %Arquivos de Programas%\Microsoft\Exchange Server\Mailbox.

    • Arquivos de log gerais, como arquivos de log de controle de mensagens. Esses arquivos estão localizados em subpastas das pastas %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Logs e %Arquivos de Programas%\Microsoft\Exchange Server\Logging. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange: Get-MailboxServer <servername>| fl *path* 

    • Os arquivos do Catálogo de Endereços Offline estão localizados em subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\ExchangeOAB

    • Arquivos de sistema IIS na pasta %SystemRoot%\System32\Inetsrv

    • A pasta temporária que é usada por utilitários de manutenção offline, como Eseutil.exe. Por padrão, essa pasta é o local a partir do qual o arquivo .exe é executado. No entanto, é possível configurar a partir de onde realizar a operação ao executar o utilitário.

    • As pastas temporárias que são utilizadas para realizar conversões:

      • As conversões de conteúdo são realizadas na pasta TMP do servidor.

      • As conversões OLE são realizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\Working\OleConvertor.

      • A pasta temporária de banco de dados de Caixa de Correio: %Arquivos de Programas%\Microsoft\Exchange Server\Mailbox\MDBTEMP

    • Quaisquer pastas sensíveis de programa antivírus do Exchange

  • Servidor de caixas de correio clusterizadas
    Todos os itens listados na lista de funções de servidor Caixa de Correio e o seguinte:

    • O disco de quorum e a pasta %Winnt%\Cluster

    • A testemunha de compartilhamento de arquivo. Ela está localizada em outro servidor do ambiente, normalmente em um servidor Transporte de Hub.

    • O diretório ExchangeOAB está em uma unidade compartilhada. O local é especificado pela chave do Registro SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<CMS-name>\OabDropFolderLocation

      Dica

      Por padrão, o diretório ExchangeOAB está no seguinte local: %Program Files%\Microsoft\Exchange Server\ExchangeOAB

  • Função de servidor Transporte de Hub

    • Arquivos de log gerais, por exemplo, rastreamento de mensagens. Esses arquivos estão localizados em subpastas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Logs. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange: Get-TransportServer <servername>| fl *logpath*,*tracingpath*

    • As pastas de mensagens que estão localizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles. Para determinar os caminhos que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange: Get-TransportServer <servername>| fl *dir*path* 

    • Banco de dados enfileirados da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Para obter mais informações sobre como obter a localização do diretório se os arquivos do banco de dados enfileirados tiverem sido movidos do local padrão, consulte Trabalhando com o banco de dados de filas em servidores de Transporte.

    • Banco de dados de Reputação do Remetente da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

    • Banco de dados do filtro de IP da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

    • As pastas temporárias que são utilizadas para realizar conversões:

      • As conversões de conteúdo são realizadas na pasta TMP do servidor.

      • As conversões OLE são realizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\Working\OleConvertor.

    • Quaisquer pastas sensíveis de programa antivírus do Exchange

  • Função de servidor Transporte de Borda

    • O banco de dados do Modo de Aplicativo do Active Directory (ADAM) e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\Adam. Para obter mais informações sobre como obter a localização do diretório se os arquivos de banco de dados do ADAM tiverem sido movidos do local padrão, consulte Como modificar a configuração do ADAM.

    • Arquivos de log gerais, por exemplo, rastreamento de mensagens. Esses arquivos estão localizados em subpastas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Logs. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange: Get-TransportServer <servername>| fl *logpath*,*tracingpath* 

    • As pastas de mensagens que estão localizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange: Get-TransportServer <servername>| fl *dir*path* 

    • Banco de dados enfileirados da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Para obter mais informações sobre como obter a localização do diretório se os arquivos do banco de dados enfileirados tiverem sido movidos do local padrão, consulte Trabalhando com o banco de dados de filas em servidores de Transporte.

    • Banco de dados de Reputação do Remetente da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

    • Banco de dados do filtro de IP da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

    • As pastas temporárias que são utilizadas para realizar conversões:

      • As conversões de conteúdo são realizadas na pasta TMP do servidor.

      • As conversões OLE são realizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\Working\OleConvertor.

    • Quaisquer pastas sensíveis de programa antivírus do Exchange

  • função de servidor Acesso para Cliente

    • A pasta de compactação do IIS (Serviços de Informações da Internet) 6.0 que é utilizada com o Microsoft Outlook Web Access. Por padrão, a pasta de compactação no IIS 6.0 está localizada em %systemroot%\Arquivos temporários compactados do IIS.

      Para obter mais informações, consulte o artigo  817442 da Base de Dados de Conhecimento de Microsoft, Um arquivo de 0 byte pode ser retornado quando a compactação está habilitada em um servidor que está executando o IIS.

    • Arquivos de sistema IIS na pasta %SystemRoot%\System32\Inetsrv

    • Os arquivos relacionados à Internet que estiverem armazenados nas subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\ClientAccess

    • As pastas temporárias que são utilizadas para realizar conversões de conteúdo: Por padrão, essa é a pasta TMP do servidor.

  • Função de servidor Unificação de Mensagens

    • Os arquivos de gramática que estão armazenados nas subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\UnifiedMessaging\grammars

    • Os prompts de voz que estão armazenados nas subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\UnifiedMessaging\Prompts

    • Os arquivos de correio de voz que estão armazenados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\UnifiedMessaging\voicemail

    • Os arquivos de correio de voz inválidos que estão armazenados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail

  • Microsoft ForeFront Security para Exchange Server

    • As mensagens arquivadas que estão armazenadas na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Archive

    • Os arquivos em quarentena que estão armazenados na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine

    • Os arquivos do mecanismo antivírus que estão armazenados nas subpastas da pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86

    • Os arquivos de configuração que estão armazenados na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data

  • Microsoft ForeFront Security para Exchange Server em clusters de cópia única (SCC)
    Além dos diretórios que contêm mecanismo antivírus e arquivos de configuração, exclua o diretório do armazenamento compartilhado usado para dados do ForeFront.

    Para determinar o caminho que o ForeFront usa em um SCC, verifique o valor da chave do Registro a seguir:

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath

    UNRESOLVED_TOKEN_VAL(exRegistry) 

Exclusões de processo

Muitos verificadores de vírus em nível de arquivo agora oferecem suporte à verificação de processos. Isso também pode prejudicar o Microsoft Exchange se os processos incorretos forem verificados. Portanto, é necessário excluir os seguintes processos dos verificadores de vírus em nível de arquivo.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

Msexchangeadtopologyservice.exe

Dsamain.exe

Msexchangefds.exe

Edgecredentialsvc.exe

Msexchangemailboxassistants.exe

Edgetransport.exe

Msexchangemailsubmission.exe

Galgrammargenerator.exe

Msexchangetransport.exe

Inetinfo.exe

Msexchangetransportlogsearch.exe

Mad.exe

Msftefd.exe

Microsoft.Exchange.Antispamupdatesvc.exe

Msftesql.exe

Microsoft.Exchange.Contentfilter.Wrapper.exe

Oleconverter.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Powershell.exe

Microsoft.Exchange.Edgesyncsvc.exe

Sesworker.exe

Microsoft.Exchange.Imap4.exe

Speechservice.exe

Microsoft.Exchange.Imap4service.exe

Store.exe

Microsoft.Exchange.Infoworker.Assistants.exe

Transcodingservice.exe

Microsoft.Exchange.Monitoring.exe

Umservice.exe

Microsoft.Exchange.Pop3.exe

Umworkerprocess.exe

Microsoft.Exchange.Pop3service.exe

W3wp.exe

Se você também estiver implantando o ForeFront Security para Exchange Server, exclua os seguintes processos.

Adonavsvc.exe

Fscstatsserv.exe

Fsccontroller.exe

Fsctransportscanner.exe

Fscdiag.exe

Fscutility.exe

Fscexec.exe

Fsemailpickup.exe

Fscimc.exe

Fssaclient.exe

Fscmanualscanner.exe

Getenginefiles.exe

Fscmonitor.exe

Perfmonitorsetup.exe

Fscrealtimescanner.exe

Scanenginetest.exe

Fscstarter.exe

Semsetup.exe

Exclusões de extensão de nomes de arquivo

Além de excluir diretórios e processos específicos, como medida secundária, no caso de ocorrerem falhas nas exclusões de diretório ou de os arquivos serem movidos, você deverá excluir as seguintes extensões de nomes de arquivo específicas do Exchange.

  • Extensões relacionadas a aplicativos

    • .config

    • .dia

    • .wsb

  • Extensões relacionadas a bancos de dados

    • .chk

    • .log

    • .edb

    • .jrs

    • .que

  • Extensões relacionadas a Catálogos de Endereços Offline:

    • .lzx
  • Extensões relacionadas a Índice de Conteúdo

    .ci

    .wid

    .001

    .dir

    .000

    .002

  • Extensões relacionadas à Unificação de Mensagens

    • .cfg

    • .grxml

  • Extensões relacionadas ao ForeFront Security para Exchange Server

    .avc

    .dt

    .lst

    .cab

    .fdb

    .mdb

    cfg

    .fdm

    .ppl

    .config

    .ide

    .set

    .da1

    .key

    .v3d

    .dat

    .klb

    .vdb

    .def

    .kli

    .vdm

As extensões de nomes de arquivo listadas no ForeFront Security para Exchange Server são os arquivos de assinatura de vários mecanismos de diretório antivírus. Na maioria dos casos, essas extensões de nomes de arquivo não se alteram, mas podem ser adicionadas futuramente quando fornecedores de antivírus terceirizados atualizarem seus arquivos de assinatura antivírus.