Антивирусная программа в операционной системе на серверах Exchange Server
Область применения: Exchange Server 2013 г.
В этом разделе описывается влияние антивирусных программ на уровне файлов на компьютеры под управлением Microsoft Exchange Server 2013. Если вы реализуете рекомендации, описанные в этом разделе, вы можете повысить безопасность и работоспособность организации Exchange.
Часто используются сканеры на уровне файлов. Однако если они настроены неправильно, они могут вызвать проблемы в Exchange 2013. Существует два типа сканеров на уровне файлов:
Сканирование на уровне файлов на уровне памяти относится к части антивирусного программного обеспечения на уровне файлов, которая постоянно загружается в память. Он проверяет все файлы, используемые на жестком диске и в памяти компьютера.
Сканирование на уровне файлов по запросу относится к части антивирусной программы на уровне файлов, которую можно настроить для сканирования файлов на жестком диске вручную или по расписанию. Некоторые версии антивирусного программного обеспечения автоматически запускают проверку по запросу после обновления подписей вирусов, чтобы убедиться, что все файлы сканируются с помощью последних подписей.
При использовании сканеров на уровне файлов в Exchange 2013 могут возникнуть следующие проблемы:
Сканеры на уровне файлов могут сканировать файл при использовании файла или через запланированный интервал. Это может привести к тому, что сканеры будут блокировать или помещать в карантин журнал Exchange или файл базы данных, пока Exchange 2013 пытается использовать этот файл. Это может вызвать серьезный сбой в Exchange 2013, а также ошибки журнала событий -1018.
Сканеры на уровне файлов не обеспечивают защиту от вирусов электронной почты, таких как Storm Worm. Storm Worm был backdoor троянского коня программы, которая распространялась через сообщения электронной почты. Червь присоединил зараженный компьютер к ботнету, где компьютер использовался для отправки спама периодическими всплесками.
Рекомендации по использованию проверки на уровне файлов в Exchange 2013
Если вы развертываете сканеры на уровне файлов на серверах Exchange 2013, убедитесь, что соответствующие исключения, такие как исключения каталогов, исключения процессов и исключения расширений имен файлов, имеются для сканирования как в памяти, так и на уровне файлов. В этом разделе описываются рекомендуемые исключения каталогов, исключения процессов и исключения расширений имен файлов.
Исключения каталогов
Необходимо исключить определенные каталоги для каждого сервера Exchange Server, на котором запущен антивирусный сканер на уровне файлов. В этом разделе описываются каталоги, которые следует исключить из проверки на уровне файлов.
Серверы почтовых ящиков
Базы данных почтовых ящиков
Базы данных Exchange, файлы контрольных точек и файлы журналов. По умолчанию они находятся во вложенных папках в папке %ExchangeInstallPath%Mailbox. Чтобы определить расположение базы данных почтовых ящиков, журнала транзакций и файла контрольных точек, выполните следующую команду:
Get-MailboxDatabase -Server <servername>| Format-List *path*Индексы содержимого базы данных. По умолчанию они находятся в той же папке, что и файл базы данных.
Файлы метрик группы. По умолчанию эти файлы находятся в папке %ExchangeInstallPath%GroupMetrics.
Общие файлы журнала, такие как отслеживание сообщений и файлы журналов восстановления календаря. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs и папке %ExchangeInstallPath%Logging. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange:
Get-MailboxServer <servername> | Format-List *path*Файлы автономной адресной книги. По умолчанию они находятся во вложенных папках в папке %ExchangeInstallPath%ClientAccess\OAB.
Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.
Временная папка базы данных почтовых ящиков: %ExchangeInstallPath%Mailbox\MDBTEMP
Члены групп доступности базы данных
Все элементы, перечисленные в списке базы данных почтовых ящиков , и база данных кворума кластера, которая существует в %Windir%\Cluster.
Файлы следящего каталога. Эти файлы находятся на другом сервере в среде, обычно на сервере клиентского доступа, который не установлен на том же компьютере, что и сервер почтовых ящиков. По умолчанию файлы следящего каталога находятся в папке %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>.
Служба транспорта
Файлы журнала, например журналы отслеживания сообщений и подключения. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange:
Get-TransportService <servername> | Format-List *logpath*,*tracingpath*Папки каталога сообщений pickup и replay. По умолчанию эти папки находятся в папке %ExchangeInstallPath%TransportRoles. Чтобы определить используемые пути, выполните следующую команду в командной консоли Exchange:
Get-TransportService <servername>| Format-List *dir*path*Базы данных очередей, контрольные точки и файлы журналов. По умолчанию они находятся в папке %ExchangeInstallPath%TransportRoles\Data\Queue.
Файлы базы данных репутации отправителя, контрольных точек и журналов. По умолчанию они находятся в папке %ExchangeInstallPath%TransportRoles\Data\SenderReputation.
Временные папки, используемые для выполнения преобразований:
По умолчанию преобразования содержимого выполняются в папке %TMP% сервера Exchange Server.
По умолчанию преобразования форматов RTF в MIME/HTML выполняются в папке %ExchangeInstallPath%Working\OleConverter.
Компонент проверки содержимого используется агентом вредоносных программ и защитой от потери данных (DLP). По умолчанию эти файлы находятся в папке %ExchangeInstallPath%FIP-FS.
Транспортная служба почтовых ящиков.
- Файлы журнала, например журналы подключений. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange:
Get-MailboxTransportService <servername> | Format-List *logpath*
- Файлы журнала, например журналы подключений. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange:
Единая система обмена сообщениями
Грамматические файлы для различных языковых стандартов, например en-EN или es-ES. По умолчанию они хранятся во вложенных папках в папке %ExchangeInstallPath%UnifiedMessaging\grammars.
Голосовые подсказки, приветствия и информационные файлы сообщений. По умолчанию они хранятся во вложенных папках в папке %ExchangeInstallPath%UnifiedMessaging\Prompts.
Файлы голосовой почты, которые временно хранятся в папке %ExchangeInstallPath%UnifiedMessaging\voicemail.
Временные файлы, созданные единой системой обмена сообщениями. По умолчанию они хранятся в папке %ExchangeInstallPath%UnifiedMessaging\temp.
Установка
- Exchange Server настройки временных файлов. Эти файлы обычно находятся в папке %SystemRoot%\Temp\ExchangeSetup.
Exchange служба
- Временные файлы, используемые службой поиска Exchange и пакетом фильтров Microsoft Filter Pack для преобразования файлов в изолированной среде. Эти файлы находятся в папке %SystemRoot%\Temp\OICE_\<GUID>\.
серверы клиентского доступа
Веб-компоненты
Для серверов, использующих службы IIS 7.0, папка сжатия, используемая с Microsoft Outlook Web App. По умолчанию папка сжатия для IIS 7.0 находится в папке %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.
Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv
Inetpub\logs\logfiles\w3svc
Вложенные папки в %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
Ведение журнала протоколов POP3 и IMAP4
Папка POP3: %ExchangeInstallPath%Logging\POP3
Папка IMAP4: %ExchangeInstallPath%Logging\IMAP4
Внешняя служба транспорта
- Файлы журнала, например журналы подключения и журналы протоколов. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange:
Get-FrontEndTransportService <servername> | Format-List *logpath*
- Файлы журнала, например журналы подключения и журналы протоколов. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange:
Установка
- Exchange Server настройки временных файлов. Эти файлы обычно находятся в папке %SystemRoot%\Temp\ExchangeSetup.
Исключения для процессов
Многие сканеры на уровне файлов теперь поддерживают сканирование процессов, что может негативно повлиять на Microsoft Exchange, если сканируются неправильные процессы. Поэтому следует исключить следующие процессы из сканеров на уровне файлов.
| Процесс | Path | Comments | Серверы |
|---|---|---|---|
| Dsamain.exe | %SystemRoot%\System32 | Службы Active Directory облегченного доступа к каталогу (AD LDS) на подписанных пограничных транспортных серверах. | Пограничные транспортные серверы |
| EdgeTransport.exe | %ExchangeInstallPath%Bin | Рабочий процесс службы транспорта Microsoft Exchange | Серверы почтовых ящиков Пограничные транспортные серверы |
| fms.exe | %ExchangeInstallPath%FIP-FS\Bin | Компонент сканирования контента, используемый агентом вредоносных программ и DLP. | Серверы почтовых ящиков |
| hostcontrollerservice.exe | %ExchangeInstallPath%Bin\Search\Ceres\HostController | Служба контроллера узла поиска Microsoft Exchange (HostControllerService) | Серверы почтовых ящиков серверы клиентского доступа |
| inetinfo.exe | %SystemRoot%\System32\inetsrv | Службы IIS | Серверы почтовых ящиков серверы клиентского доступа |
| Microsoft.Exchange.AntispamUpdateSvc.exe | %ExchangeInstallPath%Bin | Служба обновления защиты от нежелательной почты Microsoft Exchange (MSExchangeAntispamUpdate) | Серверы почтовых ящиков Пограничные транспортные серверы |
| Microsoft.Exchange.ContentFilter.Wrapper.exe | %ExchangeInstallPath%TransportRoles\agents\Hygiene | Агент фильтрации содержимого | Серверы почтовых ящиков Пограничные транспортные серверы |
| Microsoft.Exchange.Diagnostics.Service.exe | %ExchangeInstallPath%Bin | Служба диагностики Microsoft Exchange (MSExchangeDiagnostics) | Серверы почтовых ящиков серверы клиентского доступа Пограничные транспортные серверы |
| Microsoft.Exchange.Directory.TopologyService.exe | %ExchangeInstallPath%Bin | Служба топологии Active Directory Microsoft Exchange (MSExchangeADTopology) | Серверы почтовых ящиков серверы клиентского доступа |
| Microsoft.Exchange.EdgeCredentialSvc.exe | %ExchangeInstallPath%Bin | Служба учетных данных Microsoft Exchange (MSExchangeEdgeCredential) | Пограничные транспортные серверы |
| Microsoft.Exchange.EdgeSyncSvc.exe | %ExchangeInstallPath%Bin | Служба Microsoft Exchange EdgeSync (MSExchangeEdgeSync) | Серверы почтовых ящиков |
| Microsoft.Exchange.Imap4.exe | ExchangeInstallPath%FrontEnd\PopImap | Служба IMAP4 Microsoft Exchange (MSExchangeImap4) | серверы клиентского доступа |
| Microsoft.Exchange.Imap4service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Внутренняя служба IMAP4 Microsoft Exchange (MSExchangeIMAP4BE) | Серверы почтовых ящиков |
| Microsoft.Exchange.Pop3.exe | %ExchangeInstallPath%FrontEnd\PopImap | Служба POP3 Microsoft Exchange (MSExchangePop3) | серверы клиентского доступа |
| Microsoft.Exchange.Pop3service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Внутренняя служба POP3 Microsoft Exchange (MSExchangePOP3BE) | Серверы почтовых ящиков |
| Microsoft.Exchange.ProtectedServiceHost.exe | %ExchangeInstallPath%Bin | Служба узла Microsoft Exchange (MSExchangeServiceHost) | Серверы почтовых ящиков серверы клиентского доступа Пограничные транспортные серверы |
| Microsoft.Exchange.RPCClientAccess.Service.exe | %ExchangeInstallPath%Bin | Служба клиентского доступа RPC Microsoft Exchange (MSExchangeRPC) | Серверы почтовых ящиков |
| Microsoft.Exchange.Search.Service.exe | %ExchangeInstallPath%Bin | Служба поиска Microsoft Exchange (MSExchangeFastSearch) | Серверы почтовых ящиков |
| Microsoft.Exchange.Servicehost.exe | %ExchangeInstallPath%Bin | Служба узла Microsoft Exchange (MSExchangeServiceHost) | Серверы почтовых ящиков серверы клиентского доступа Пограничные транспортные серверы |
| Microsoft.Exchange.Store.Service.exe | %ExchangeInstallPath%Bin | Служба банка данных Microsoft Exchange (MSExchangeIS) | Серверы почтовых ящиков |
| Microsoft.Exchange.Store.Worker.exe | %ExchangeInstallPath%Bin | Рабочий процесс службы банка данных Microsoft Exchange | Серверы почтовых ящиков |
| Microsoft.Exchange.UM.CallRouter.exe | %ExchangeInstallPath%FrontEnd\CallRouter | Служба маршрутизатора вызовов единой системы обмена сообщениями Microsoft Exchange (MSExchangeUMCR) | серверы клиентского доступа |
| MSExchangeDagMgmt.exe | %ExchangeInstallPath%Bin | Служба управления группами обеспечения доступности баз данных Microsoft Exchange (MSExchangeDagMgmt) | Серверы почтовых ящиков |
| MSExchangeDelivery.exe | %ExchangeInstallPath%Bin | Служба транспортной доставки почтовых ящиков Microsoft Exchange (MSExchangeDelivery) | Серверы почтовых ящиков |
| MSExchangeFrontendTransport.exe | %ExchangeInstallPath%Bin | Интерфейсная служба транспорта Microsoft Exchange (MSExchangeFrontEndTransport) | серверы клиентского доступа |
| MSExchangeHMHost.exe | %ExchangeInstallPath%Bin | Служба диспетчера работоспособности Microsoft Exchange (MSExchangeHM) | Серверы почтовых ящиков серверы клиентского доступа Пограничные транспортные серверы |
| MSExchangeHMWorker.exe | %ExchangeInstallPath%Bin | Рабочий процесс службы диспетчера работоспособности Microsoft Exchange | Серверы почтовых ящиков серверы клиентского доступа Пограничные транспортные серверы |
| MSExchangeMailboxAssistants.exe | %ExchangeInstallPath%Bin | Служба помощников по обслуживанию почтовых ящиков Microsoft Exchange (MSExchangeMailboxAssistants) | Серверы почтовых ящиков |
| MSExchangeMailboxReplication.exe | %ExchangeInstallPath%Bin | Служба репликации почтовых ящиков Microsoft Exchange (MSExchangeMailboxReplication) | Серверы почтовых ящиков |
| MSExchangeMigrationWorkflow.exe | %ExchangeInstallPath%Bin | Служба рабочего процесса миграции Microsoft Exchange (MSExchangeMigrationWorkflow) | Серверы почтовых ящиков |
| MSExchangeRepl.exe | %ExchangeInstallPath%Bin | Служба репликации Microsoft Exchange (MSExchangeRepl) | Серверы почтовых ящиков |
| MSExchangeSubmission.exe | %ExchangeInstallPath%Bin | Служба отправки транспорта почтовых ящиков Microsoft Exchange (MSExchangeSubmission) | Серверы почтовых ящиков |
| MSExchangeTransport.exe | %ExchangeInstallPath%Bin | Служба транспорта Microsoft Exchange (MSExchangeTransport) | Серверы почтовых ящиков Пограничные транспортные серверы |
| MSExchangeTransportLogSearch.exe | %ExchangeInstallPath%Bin | Служба поиска журналов транспорта Microsoft Exchange (MSExchangeTransportLogSearch) | Серверы почтовых ящиков Пограничные транспортные серверы |
| MSExchangeThrottling.exe | %ExchangeInstallPath%Bin | Служба регулирования Microsoft Exchange (MSExchangeThrottling) | Серверы почтовых ящиков |
| Noderunner.exe | %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 | Служба поиска Microsoft Exchange (MSExchangeFastSearch) | Серверы почтовых ящиков |
| OleConverter.exe | %ExchangeInstallPath%Bin | Преобразует сообщения в формате RTF в MIME/HTML для внешних получателей. | Серверы почтовых ящиков |
| ParserServer.exe | %ExchangeInstallPath%Bin\Search\Ceres\ParserServer | Служба поиска Microsoft Exchange (MSExchangeFastSearch) | Серверы почтовых ящиков |
| Powershell.exe | C:\Windows\System32\WindowsPowerShell\v1.0 | Командная консоль Exchange | Серверы почтовых ящиков серверы клиентского доступа Пограничные транспортные серверы |
| ScanEngineTest.exe | %ExchangeInstallPath%FIP-FS\Bin | Компонент сканирования контента, используемый агентом вредоносных программ и DLP. | Серверы почтовых ящиков |
| ScanningProcess.exe | %ExchangeInstallPath%FIP-FS\Bin | Компонент сканирования контента, используемый агентом вредоносных программ и DLP. | Серверы почтовых ящиков |
| TranscodingService.exe | %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing | Просмотр документов WebReady в Outlook Web App. | Серверы почтовых ящиков |
| UmService.exe | %ExchangeInstallPath%Bin | Служба единой системы обмена сообщениями Microsoft Exchange (MSExchangeUM) | Серверы почтовых ящиков |
| UmWorkerProcess.exe | %ExchangeInstallPath%Bin | Рабочий процесс службы единой системы обмена сообщениями Microsoft Exchange | Серверы почтовых ящиков |
| UpdateService.exe | %ExchangeInstallPath%FIP-FS\Bin | Компонент сканирования контента, используемый агентом вредоносных программ и DLP. | Серверы почтовых ящиков |
| W3wp.exe | %SystemRoot%\System32\inetsrv | Службы IIS | Серверы почтовых ящиков серверы клиентского доступа |
Исключения для расширений имен файлов
Помимо исключения определенных каталогов и процессов, следует исключить следующие расширения имен файлов, относящиеся к Exchange, в случае сбоя исключений каталогов или перемещения файлов из расположений по умолчанию.
Расширения, связанные с приложениями:
- .config
- .Диаметр
- .Wsb
Расширения, связанные с базой данных:
- .Chk
- .Edb
- .Jrs
- .Jsl
- .Журнала
- .Que
Расширения, связанные с автономной адресной книгой:
- .Lzx
Расширения, связанные с индексом содержимого:
- .Ке
- .Dir
- .Wid
- .000
- .001
- .002
Расширения, связанные с единой системой обмена сообщениями:
- .Cfg
- .Grxml
Расширения, связанные с метриками группы:
- .Dsc
- .txt