Поделиться через


Поиск вирусов на уровне файлов в Exchange 2010

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2016-11-28

В этой статье описываются действия антивирусных программ на уровне файлов для компьютеров, на которых запущены службы Microsoft Exchange Server 2010. Рекомендации, описанные в этом разделе, позволяют улучшить безопасность и работоспособность организации Exchange.

Средства проверки на файловом уровне широко используются. Однако если они настроены неправильно, могут возникнуть проблемы в Exchange 2010. Существует два типа средств проверки на файловом уровне.

  • Резидентное средство проверки на файловом уровне — это часть антивирусной программы, выполняющей проверку на файловом уровне, которая всегда загружена в память. Она проверяет все файлы, которые используются на жестком диске и в памяти компьютера.

  • Средство проверки на файловом уровне по запросу — это часть антивирусной программы, выполняющей проверку на файловом уровне, которую можно настроить для проверки файлов на жестком диске вручную или по расписанию. Некоторые версии антивирусных программ начинают проверку по запросу автоматически после обновления сигнатур вирусов, чтобы обеспечить проверку всех файлов с использованием последних сигнатур.

При использовании средств проверки на уровне файлов в Exchange 2010 могут возникнуть указанные ниже проблемы.

  • Средства проверки на файловом уровне могут проверять файлы при их использовании или через запланированный интервал. Это может привести к тому, что средства проверки заблокируют либо поместят в карантин файл журнала или базы данных Exchange, в то время как Microsoft Exchange будет пытаться его использовать. Подобное поведение может вызвать серьезный сбой в системе Microsoft Exchange, а также ошибки -1018.

  • Средства проверки на файловом уровне не обеспечивают защиту от вирусов, которые распространяются по электронной почте, таких как вирус Storm Worm. Это была вредоносная программа типа "Троянский конь" с лазейкой, которая распространялась через сообщения электронной почты. Вирус-червь присоединял зараженный компьютер к бот-сети, где компьютер использовался для периодической отправки серий сообщений нежелательной почты. Такие вирусы могут влиять на производительность компьютера и сети, к которой он присоединен.

Рекомендации по использованию проверки на уровне файлов с помощью Exchange 2010

При развертывании средств проверки на файловом уровне на серверах Exchange 2010 убедитесь в наличии соответствующих исключений, таких как исключения для каталогов, процессов и расширений имен файлов, для резидентных проверок в памяти и на уровне файлов. В этом разделе описаны исключения для каталогов, процессов и расширений имен файлов для каждого сервера или роли сервера.

Исключения для каталогов

Необходимо задать исключения для отдельных каталогов для каждого сервера или роли сервера Exchange, на которых запускается средство поиска вирусов на уровне файлов. В этом разделе описаны каталоги, для которых необходимо отключить проверку на файловом уровне, для каждого сервера или роли сервера.

  • Роль сервера почтовых ящиков

    • Базы данных, файлы контрольных точек и файлы журналов Exchange. По умолчанию они находятся во вложенных папках папки %ExchangeInstallPath%\Mailbox. Чтобы определить расположение каталога, выполните следующие команды в командной консоли Exchange:

      • Чтобы определить расположение базы данных почтовых ящиков, журнала транзакций и файла контрольных точек, выполните следующую команду: Get-MailboxDatabase -server <servername>| format-list *path*
    • Индексы содержимого баз данных. По умолчанию они находятся в той же папке, что и файл базы данных.

    • Файлы групповых метрик. По умолчанию они находятся в папке %ExchangeInstallPath%\GroupMetrics.

    • Файлы общих журналов, например файлы журнала отслеживания сообщений и восстановления календаря. По умолчанию они находятся в подпапках в папках %ExchangeInstallPath%\TransportRoles\Logs и %ExchangeInstallPath%\Logging. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-MailboxServer <servername> | format-list *path*

    • Файлы автономной адресной книги. По умолчанию они находятся в подпапках в папке %ExchangeInstallPath%\ExchangeOAB.

    • Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.

    • Временная папка, которая используется автономными программами обслуживания, такими как Eseutil.exe. По умолчанию это папка, из которой запускается EXE-файл программы. Тем не менее можно настроить папку для выполнения этой операции при запуске служебной программы.

    • Временная папка базы данных почтовых ящиков: %ExchangeInstallPath%\Mailbox\MDBTEMP

    • Все папки антивирусных программ, поддерживающих Exchange.

  • Сервер почтовых ящиков, являющийся участником группы доступности базы данных
    Все элементы, перечисленные в списке ролей серверов почтовых ящиков и в папке %Winnt%\Cluster.
  • Следящий сервер

    • Файлы следящего каталога. Они расположены в данной среде на другом сервере, обычно на транспортном сервере-концентраторе. По умолчанию эти файлы расположены в каталоге \\%SystemDrive%:\Файловые_ресурсы-свидетели_группы_DAG\<имя_FQDN_группы_DAG> и общем ресурсе по умолчанию (<имя_FQDN_группы_DAG>) на этом сервере. Дополнительные сведения о группе доступности базы данных (DAG) и следящих серверах см. в разделе Управление группами доступности базы данных.
  • Роль транспортного сервера-концентратора

    • Файлы общих журналов, например файлы журнала отслеживания сообщений и журнала подключений. По умолчанию эти файлы находятся в подпапках в папке %ExchangeInstallPath%\TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| format-list *logpath*,*tracingpath*

    • Папки каталогов сообщений о раскладке и преобразовании. По умолчанию эти папки находятся в папке %ExchangeInstallPath%\TransportRoles. Чтобы определить используемые пути, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| fl *dir*path*

    • Файлы контрольных точек и журнала, а также файлы базы данных очереди для роли транспортного сервера. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\Queue. Дополнительные сведения см. в разделе Управление транспортными очередями.

    • Файлы контрольных точек и журнала, а также файлы базы данных репутации отправителя для роли транспортного сервера. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.

    • Файлы контрольных точек и журнала, а также файлы базы данных IP-фильтра для роли транспортного сервера. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\IpFilter.

    • Временные папки, которые используются для выполнения преобразований:

      • По умолчанию преобразования содержимого выполняются на сервере Exchange в папке TMP.

      • По умолчанию преобразования OLE выполняются в папке %ExchangeInstallPath%\Working\OleConvertor.

    • Все папки антивирусных программ, поддерживающих Exchange.

  • Роль пограничного транспортного сервера

    • Файлы базы данных службы облегченного доступа к каталогам Служба каталогов Active Directory (AD LDS) и файлы журнала. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\Adam. Дополнительные сведения о файлах базы данных AD LDS см. в разделе Изменение конфигурации службы Active Directory облегченного доступа к каталогам.

    • Файлы общих журналов, например файлы журнала отслеживания сообщений. По умолчанию эти файлы находятся в подпапках в папке %ExchangeInstallPath%\TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername> | format-list *logpath*,*tracingpath*

    • Папки сообщений раскладки и преобразования. По умолчанию они находятся в папке %ExchangeInstallPath%\TransportRoles. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| format-list *dir*path*

    • Файлы контрольных точек и журнала, а также файлы базы данных очереди для роли транспортного сервера. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\Queue. Дополнительные сведения об очередях на транспортном сервере см. в разделе Управление транспортными очередями.

    • Файлы контрольных точек и журнала, а также файлы базы данных репутации отправителя для роли транспортного сервера. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.

    • Файлы контрольных точек и журнала, а также файлы базы данных IP-фильтра для роли транспортного сервера. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\IpFilter.

    • Временные папки, которые используются для выполнения преобразований:

      • По умолчанию преобразования содержимого выполняются на сервере в папке TMP.

      • По умолчанию преобразования OLE выполняются в папке %ExchangeInstallPath%\Working\OleConvertor.

    • Все папки антивирусных программ, поддерживающих Exchange.

  • Роль сервера клиентского доступа

    • Для серверов, на которых используются службы IIS 7.0, папка сжатия, используемая вместе с Microsoft Outlook Web App. По умолчанию папка сжатия для служб IIS 7.0 имеет следующий путь: %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.

    • Для серверов, на которых используются службы IIS 6.0, папка сжатия, используемая вместе с Microsoft Outlook Web App. По умолчанию папка сжатия для IIS 6.0 имеет следующий путь: %systemroot%\IIS Temporary Compressed Files. Дополнительные сведения о возможных ошибках, возникающих при сканировании папки сжатия IIS, см. в статье 817442 базы знаний Microsoft При включенном сжатии на сервере с запущенными службами IIS может быть возвращен файл размером 0 байт.

    • Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.

    • Inetpub\logs\logfiles\w3svc

    • Файлы, связанные с Интернетом, которые хранятся в подпапках папки %ExchangeInstallPath%\ClientAccess.

    • Для серверов, на которых включен вход в систему по протоколам POP3 или IMAP4, используются следующие папки:

      • Папка POP3: %ExchangeInstallPath%\Logging\POP3

      • Папка IMAP4: %ExchangeInstallPath%\Logging\IMAP4

    • Временные папки, которые используются для выполнения преобразований:

      • По умолчанию преобразования содержимого выполняются на сервере в папке TMP.

      • По умолчанию преобразования OLE выполняются в папке %ExchangeInstallPath%\Working\OleConvertor.

    • Временные файлы в подпапках папки %windir%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files.

  • Роль сервера единой системы обмена сообщениями

    • Файлы грамматики для разных языковых стандартов, например en-EN или es-ES. По умолчанию они хранятся в подпапках папки %ExchangeInstallPath%\UnifiedMessaging\grammars.

    • Файлы голосовых приглашений, приветствий и информационных сообщений. По умолчанию они хранятся в подпапках папки %ExchangeInstallPath%\UnifiedMessaging\Prompts

    • Файлы голосовой почты, которые временно хранятся в папке %ExchangeInstallPath%\UnifiedMessaging\voicemail.

    • Временные файлы, создаваемые единой системой обмена сообщениями. По умолчанию они хранятся в папке %ExchangeInstallPath%\UnifiedMessaging\temp.

  • Microsoft Forefront Protection для Exchange

    • Папка установки Forefront. По умолчанию это папка %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\.

    • Любые архивные сообщения. По умолчанию они хранятся в папке %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive.

    • Любые помещенные на карантин файлы. По умолчанию они хранятся в папке %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine.

    • Файлы антивирусного ядра. По умолчанию они хранятся в подпапках %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86 или %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64.

    • Файлы конфигурации. По умолчанию они хранятся в папке %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data.

Исключения для процессов

Многие современные средства проверки на файловом уровне поддерживают проверку процессов, что может неблагоприятно повлиять на Microsoft Exchange, если сканируются неправильные процессы. Поэтому необходимо отключить проверку на файловом уровне для указанных ниже процессов.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Clussvc.exe

MSExchangeADTopologyService.exe

Dsamain.exe

MSExchangeFDS.exe

Microsoft.Exchange.EdgeCredentialSvc.exe

MSExchangeMailboxAssistants.exe

EdgeTransport.exe

MSExchangeMailboxReplication.exe

ExFBA.exe

MSExchangeMailSubmission.exe

GalGrammarGenerator.exe

MSExchangeRepl.exe

Inetinfo.exe

MSExchangeTransport.exe

Mad.exe

MSExchangeTransportLogSearch.exe

Microsoft.Exchange.AddressBook.Service.exe

MSExchangeThrottling.exe

Microsoft.Exchange.AntispamUpdateSvc.exe

Msftefd.exe

Microsoft.Exchange.ContentFilter.Wrapper.exe

Msftesql.exe

Microsoft.Exchange.EdgeSyncSvc.exe

OleConverter.exe

Microsoft.Exchange.Imap4.exe

Powershell.exe

Microsoft.Exchange.Imap4service.exe

SESWorker.exe

MSExchangeMailboxAssistants.exe

SpeechService.exe

Microsoft.Exchange.Monitoring.exe

Store.exe

Microsoft.Exchange.Pop3.exe

TranscodingService.exe

Microsoft.Exchange.Pop3service.exe

UmService.exe

Microsoft.Exchange.ProtectedServiceHost.exe

UmWorkerProcess.exe

Microsoft.Exchange.RPCClientAccess.Service.exe

W3wp.exe

Если также развертывается система Forefront Protection для Exchange Server, исключите указанные ниже процессы.

Adonavsvc.exe

FscStatsServ.exe

FscController.exe

FscTransportScanner.exe

FscDiag.exe

FscUtility.exe

FscExec.exe

FsEmailPickup.exe

FscImc.exe

FssaClient.exe

FscManualScanner.exe

GetEngineFiles.exe

FscMonitor.exe

PerfmonitorSetup.exe

FscRealtimeScanner.exe

ScanEngineTest.exe

FscStarter.exe

SemSetup.exe

Исключения для расширений имен файлов

Кроме определенных каталогов и процессов, из проверки необходимо исключить перечисленные ниже расширения имен файлов, свойственные Exchange, в случае сбоя исключений каталогов или перемещения файлов из расположений по умолчанию.

  • Расширения, связанные с приложениями

    • CONFIG

    • DIA

    • WSB

  • Расширения, связанные с базами данных

    CHK

    JRS

    LOG

    EDB

    JSL

    QUE

  • Расширения, связанные с автономной адресной книгой

    • LZX
  • Расширения, связанные с индексами содержимого

    CI

    WID

    .001

    DIR

    .000

    .002

  • Расширения, связанные с единой системой обмена сообщениями

    • CFG

    • GRXML

  • GroupMetrics

    • DSC

    • BIN

    • XML

  • Forefront Protection для расширений, связанных с Exchange Server

    AVC

    DT

    LST

    CAB

    FDB

    MDB

    CFG

    FDM

    PPL

    CONFIG

    IDE

    SET

    DA1

    KEY

    V3D

    DAT

    KLB

    VDB

    DEF

    KLI

    VDM

Расширения имен файлов, перечисленные для Forefront Protection для Exchange Server, являются файлами сигнатур из различных антивирусных ядер с каталогами. В большинстве случаев эти расширения имен файлов не меняются. Однако расширения имени файла можно добавить позже, поскольку сторонние разработчики антивирусных программ обновляют файлы подписи.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.