Freigeben über


Antivirensoftware im Betriebssystem auf Exchange-Servern

Gilt für: Exchange Server 2013

In diesem Thema werden die Auswirkungen von Antivirenprogrammen auf Dateiebene auf Computer beschrieben, auf denen Microsoft Exchange Server 2013 ausgeführt wird. Wenn Sie die in diesem Thema beschriebenen Empfehlungen implementieren, können Sie die Sicherheit und Integrität Ihrer Exchange-Organisation verbessern.

Scanner auf Dateiebene werden häufig verwendet. Wenn sie jedoch falsch konfiguriert sind, können sie probleme in Exchange 2013 verursachen. Es gibt zwei Arten von Scannern auf Dateiebene:

  • Speicherresidentes Scannen auf Dateiebene bezieht sich auf einen Teil der Antivirensoftware auf Dateiebene, die jederzeit im Arbeitsspeicher geladen wird. Es überprüft alle Dateien, die auf der Festplatte und im Computerspeicher verwendet werden.

  • Die bedarfsgesteuerte Überprüfung auf Dateiebene bezieht sich auf einen Teil der Antivirensoftware auf Dateiebene, die Sie so konfigurieren können, dass Dateien auf der Festplatte manuell oder nach einem Zeitplan überprüft werden. Einige Versionen von Antivirensoftware starten die On-Demand-Überprüfung automatisch, nachdem Virensignaturen aktualisiert wurden, um sicherzustellen, dass alle Dateien mit den neuesten Signaturen gescannt werden.

Die folgenden Probleme können auftreten, wenn Sie Scanner auf Dateiebene mit Exchange 2013 verwenden:

  • Überprüfungen auf Dateiebene können eine Datei überprüfen, wenn die Datei verwendet wird oder in einem geplanten Intervall. Dies kann dazu führen, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder unter Quarantäne stellen, während Exchange 2013 versucht, die Datei zu verwenden. Dieses Verhalten kann zu einem schwerwiegenden Fehler in Exchange 2013 und zu -1018-Ereignisprotokollfehlern führen.

  • Scanner auf Dateiebene bieten keinen Schutz vor E-Mail-Viren wie Storm Worm. Storm Worm war ein Hintertür-Trojaner-Programm, das sich über E-Mail-Nachrichten propagierte. Der Wurm hat den infizierten Computer mit einem Botnet verbunden, in dem der Computer verwendet wurde, um Spam in regelmäßigen Bursts zu senden.

Empfehlungen für die Verwendung der Überprüfung auf Dateiebene mit Exchange 2013

Wenn Sie Überprüfungen auf Dateiebene auf Exchange 2013-Servern bereitstellen, stellen Sie sicher, dass die entsprechenden Ausschlüsse, z. B. Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungsausschlüsse, sowohl für die Überprüfung auf Speicherresident als auch auf Dateiebene vorhanden sind. In diesem Abschnitt werden empfohlene Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungsausschlüsse beschrieben.

Verzeichnisausschlüsse

Sie müssen bestimmte Verzeichnisse für jeden Exchange-Server ausschließen, auf dem Sie einen Antivirenscanner auf Dateiebene ausführen. In diesem Abschnitt werden die Verzeichnisse beschrieben, die Sie von der Überprüfung auf Dateiebene ausschließen sollten.

  • Postfachserver

    • Postfachdatenbanken

      • Exchange-Datenbanken, Prüfpunktdateien und Protokolldateien. Diese befinden sich standardmäßig in Unterordnern unter dem Ordner %ExchangeInstallPath%Mailbox. Führen Sie den folgenden Befehl aus, um den Speicherort einer Postfachdatenbank, eines Transaktionsprotokolls und einer Prüfpunktdatei zu ermitteln: Get-MailboxDatabase -Server <servername>| Format-List *path*

      • Datenbankinhaltsindizes. Diese befinden sich standardmäßig im selben Ordner wie die Datenbankdatei.

      • Gruppenmetrikdateien. Standardmäßig befinden sich diese Dateien im Ordner %ExchangeInstallPath%GroupMetrics.

      • Allgemeine Protokolldateien, z. B. Nachrichtenverfolgungs- und Kalenderreparaturprotokolldateien. Standardmäßig befinden sich diese Dateien in Unterordnern im Ordner %ExchangeInstallPath%TransportRoles\Logs und im Ordner %ExchangeInstallPath%Logging. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln: Get-MailboxServer <servername> | Format-List *path*

      • Die Offlineadressbuchdateien. Diese befinden sich standardmäßig in Unterordnern unter dem Ordner %ExchangeInstallPath%ClientAccess\OAB.

      • IIS-Systemdateien im Ordner %SystemRoot%\System32\Inetsrv.

      • Temporärer Ordner der Postfachdatenbank: %ExchangeInstallPath%Mailbox\MDBTEMP

    • Mitglieder von Datenbankverfügbarkeitsgruppen

      • Alle in der Liste Postfachdatenbanken aufgeführten Elemente und die Clusterquorumdatenbank, die unter %Windir%\Cluster vorhanden ist.

      • Die Zeugenverzeichnisdateien. Diese Dateien befinden sich auf einem anderen Server in der Umgebung, in der Regel auf einem Clientzugriffsserver, der nicht auf demselben Computer wie ein Postfachserver installiert ist. Standardmäßig befinden sich die Zeugenverzeichnisdateien in %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>.

    • Transportdienst

      • Protokolldateien, z. B. Nachrichtenverfolgungs- und Konnektivitätsprotokolle. Standardmäßig befinden sich diese Dateien in Unterordnern im Ordner %ExchangeInstallPath%TransportRoles\Logs. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln: Get-TransportService <servername> | Format-List *logpath*,*tracingpath*

      • Ordner des Nachrichtenverzeichnisses "Pickup" und "Replay". Standardmäßig befinden sich diese Ordner im Ordner %ExchangeInstallPath%TransportRoles. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Pfade zu ermitteln: Get-TransportService <servername>| Format-List *dir*path*

      • Die Warteschlangendatenbanken, Prüfpunkte und Protokolldateien. Diese befinden sich standardmäßig im Ordner %ExchangeInstallPath%TransportRoles\Data\Queue.

      • Die Sender Reputation-Datenbank, prüfpunkt und Protokolldateien. Diese befinden sich standardmäßig im Ordner %ExchangeInstallPath%TransportRoles\Data\SenderReputation.

      • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:

        • Standardmäßig werden Inhaltskonvertierungen im Ordner %TMP% des Exchange-Servers ausgeführt.

        • Standardmäßig werden Konvertierungen des Rich-Text-Formats (RTF) in MIME/HTML im Ordner %ExchangeInstallPath%Working\OleConverter ausgeführt.

      • Die Inhaltsüberprüfungskomponente wird vom Malware-Agent und der Verhinderung von Datenverlust (Data Loss Prevention, DLP) verwendet. Standardmäßig befinden sich diese Dateien im Ordner %ExchangeInstallPath%FIP-FS.

    • Postfachtransportdienst

      • Protokolldateien, z. B. Konnektivitätsprotokolle. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln: Get-MailboxTransportService <servername> | Format-List *logpath*
    • Unified Messaging

      • Die Grammatikdateien für verschiedene Gebietsschemas, z. B. en-EN oder es-ES. Diese werden standardmäßig in den Unterordnern im Ordner %ExchangeInstallPath%UnifiedMessaging\grammars gespeichert.

      • Die Sprachaufforderungen, Begrüßungen und Informationsnachrichtendateien. Diese werden standardmäßig in den Unterordnern im Ordner %ExchangeInstallPath%UnifiedMessaging\Prompts gespeichert.

      • Die Voicemaildateien, die vorübergehend im Ordner %ExchangeInstallPath%UnifiedMessaging\voicemail gespeichert sind.

      • Die von Unified Messaging generierten temporären Dateien. Diese werden standardmäßig im Ordner %ExchangeInstallPath%UnifiedMessaging\temp gespeichert.

    • Setup

      • Exchange Server temporäre Dateien einrichten. Diese Dateien befinden sich in der Regel in %SystemRoot%\Temp\ExchangeSetup.
    • Exchange Suchdienst

      • Temporäre Dateien, die vom Exchange-Suchdienst und Microsoft Filter Pack verwendet werden, um die Konvertierung in einer Sandkastenumgebung durchzuführen. Diese Dateien befinden sich in %SystemRoot%\Temp\OICE_\<GUID>\.
  • Clientzugriffsserver

    • Webkomponenten

      • Bei Servern, die Internetinformationsdienste (IIS) 7.0 verwenden, wird der mit Microsoft Outlook Web App verwendete Komprimierungsordner verwendet. Standardmäßig befindet sich der Komprimierungsordner für IIS 7.0 unter %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.

      • IIS-Systemdateien im Ordner %SystemRoot%\System32\Inetsrv

      • Inetpub\logs\logfiles\w3svc

      • Unterordner in %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files

    • POP3- und IMAP4-Protokollprotokollierung

      • POP3-Ordner: %ExchangeInstallPath%Logging\POP3

      • IMAP4-Ordner: %ExchangeInstallPath%Logging\IMAP4

    • Front-End-Transportdienst

      • Protokolldateien, z. B. Konnektivitäts- und Protokollprotokolle. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln: Get-FrontEndTransportService <servername> | Format-List *logpath*
    • Setup

      • Exchange Server temporäre Dateien einrichten. Diese Dateien befinden sich in der Regel in %SystemRoot%\Temp\ExchangeSetup.

Prozessausschlüsse

Viele Scanner auf Dateiebene unterstützen jetzt das Scannen von Prozessen, was sich negativ auf Microsoft Exchange auswirken kann, wenn die falschen Prozesse gescannt werden. Daher sollten Sie die folgenden Prozesse von Überprüfungen auf Dateiebene ausschließen.

Prozess Pfad Kommentare Server
Dsamain.exe %SystemRoot%\System32 Active Directory Lightweight Directory Services (AD LDS) auf abonnierten Edge-Transport-Servern. Edge-Transport-Server
EdgeTransport.exe %ExchangeInstallPath%Bin Arbeitsprozess des Microsoft Exchange-Transportdiensts Postfachserver

Edge-Transport-Server
fms.exe %ExchangeInstallPath%FIP-FS\Bin Komponente zum Scannen von Inhalten, die vom Schadsoftware-Agenten und von DLP verwendet wird. Postfachserver
hostcontrollerservice.exe %ExchangeInstallPath%Bin\Search\Ceres\HostController Microsoft Exchange-Suchhost-Controllerdienst (HostControllerService) Postfachserver

Clientzugriffsserver
inetinfo.exe %SystemRoot%\System32\inetsrv Internetinformationsdienste (IIS) Postfachserver

Clientzugriffsserver
Microsoft.Exchange.AntispamUpdateSvc.exe %ExchangeInstallPath%Bin Microsoft Exchange Antispam Update-Dienst (MSExchangeAntispamUpdate) Postfachserver

Edge-Transport-Server
Microsoft.Exchange.ContentFilter.Wrapper.exe %ExchangeInstallPath%TransportRoles\agents\Hygiene Inhaltsfilter-Agent Postfachserver

Edge-Transport-Server
Microsoft.Exchange.Diagnostics.Service.exe %ExchangeInstallPath%Bin Microsoft Exchange-Diagnosedienst (MSExchangeDiagnostics) Postfachserver

Clientzugriffsserver

Edge-Transport-Server
Microsoft.Exchange.Directory.TopologyService.exe %ExchangeInstallPath%Bin Microsoft Exchange Active Directory-Topologiedienst (MSExchangeADTopology) Postfachserver

Clientzugriffsserver
Microsoft.Exchange.EdgeCredentialSvc.exe %ExchangeInstallPath%Bin Microsoft Exchange-Anmeldeinformationsdienst (MSExchangeEdgeCredential) Edge-Transport-Server
Microsoft.Exchange.EdgeSyncSvc.exe %ExchangeInstallPath%Bin Microsoft Exchange-EdgeSync-Dienst (MSExchangeEdgeSync) Postfachserver
Microsoft.Exchange.Imap4.exe ExchangeInstallPath%FrontEnd\PopImap Microsoft Exchange IMAP4-Dienst (MSExchangeImap4) Clientzugriffsserver
Microsoft.Exchange.Imap4service.exe %ExchangeInstallPath%ClientAccess\PopImap Microsoft Exchange IMAP4-Back-End-Dienst (MSExchangeIMAP4BE) Postfachserver
Microsoft.Exchange.Pop3.exe %ExchangeInstallPath%FrontEnd\PopImap Microsoft Exchange POP3-Dienst (MSExchangePop3) Clientzugriffsserver
Microsoft.Exchange.Pop3service.exe %ExchangeInstallPath%ClientAccess\PopImap Microsoft Exchange POP3-Back-End-Dienst (MSExchangePOP3BE) Postfachserver
Microsoft.Exchange.ProtectedServiceHost.exe %ExchangeInstallPath%Bin Dienst für den Microsoft Exchange-Diensthost (MSExchangeServiceHost) Postfachserver

Clientzugriffsserver

Edge-Transport-Server
Microsoft.Exchange.RPCClientAccess.Service.exe %ExchangeInstallPath%Bin Microsoft Exchange-RPC-Clientzugriffsdienst (MSExchangeRPC) Postfachserver
Microsoft.Exchange.Search.Service.exe %ExchangeInstallPath%Bin Microsoft Exchange-Suchdienst (MSExchangeFastSearch) Postfachserver
Microsoft.Exchange.Servicehost.exe %ExchangeInstallPath%Bin Dienst für den Microsoft Exchange-Diensthost (MSExchangeServiceHost) Postfachserver

Clientzugriffsserver

Edge-Transport-Server
Microsoft.Exchange.Store.Service.exe %ExchangeInstallPath%Bin Microsoft Exchange-Informationsspeicherdienst (MSExchangeIS) Postfachserver
Microsoft.Exchange.Store.Worker.exe %ExchangeInstallPath%Bin Arbeitsprozess für den Microsoft Exchange-Informationsspeicherdienst Postfachserver
Microsoft.Exchange.UM.CallRouter.exe %ExchangeInstallPath%FrontEnd\CallRouter Microsoft Exchange Unified Messaging-Anrufrouterdienst (MSExchangeUMCR) Clientzugriffsserver
MSExchangeDagMgmt.exe %ExchangeInstallPath%Bin Microsoft Exchange DAG-Verwaltungsdienst (MSExchangeDagMgmt) Postfachserver
MSExchangeDelivery.exe %ExchangeInstallPath%Bin Microsoft Exchange-Postfachtransport-Zustellungsdienst (MSExchangeDelivery) Postfachserver
MSExchangeFrontendTransport.exe %ExchangeInstallPath%Bin Microsoft Exchange-Frontend-Transportdienst (MSExchangeFrontEndTransport) Clientzugriffsserver
MSExchangeHMHost.exe %ExchangeInstallPath%Bin Microsoft Exchange-Integritäts-Manager-Dienst (MSExchangeHM) Postfachserver

Clientzugriffsserver

Edge-Transport-Server
MSExchangeHMWorker.exe %ExchangeInstallPath%Bin Arbeitsprozess für den Microsoft Exchange-Integritäts-Manager-Dienst Postfachserver

Clientzugriffsserver

Edge-Transport-Server
MSExchangeMailboxAssistants.exe %ExchangeInstallPath%Bin Microsoft Exchange-Postfach-Assistentendienst (MSExchangeMailboxAssistants) Postfachserver
MSExchangeMailboxReplication.exe %ExchangeInstallPath%Bin Microsoft Exchange-Postfachreplikationsdienst (MSExchangeMailboxReplication) Postfachserver
MSExchangeMigrationWorkflow.exe %ExchangeInstallPath%Bin Microsoft Exchange-Migrationsworkflowdienst (MSExchangeMigrationWorkflow) Postfachserver
MSExchangeRepl.exe %ExchangeInstallPath%Bin Microsoft Exchange-Replikationsdienst (MSExchangeRepl) Postfachserver
MSExchangeSubmission.exe %ExchangeInstallPath%Bin Microsoft Exchange-Postfachtransport-Übermittlungsdienst (MSExchangeSubmission) Postfachserver
MSExchangeTransport.exe %ExchangeInstallPath%Bin Microsoft Exchange-Transportdienst (MSExchangeTransport) Postfachserver

Edge-Transport-Server
MSExchangeTransportLogSearch.exe %ExchangeInstallPath%Bin Microsoft Exchange-Transportprotokoll-Suchdienst (MSExchangeTransportLogSearch) Postfachserver

Edge-Transport-Server
MSExchangeThrottling.exe %ExchangeInstallPath%Bin Microsoft Exchange-Einschränkungsdienst (MSExchangeThrottling) Postfachserver
Noderunner.exe %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 Microsoft Exchange-Suchdienst (MSExchangeFastSearch) Postfachserver
OleConverter.exe %ExchangeInstallPath%Bin Wandelt Nachrichten im RTF-Format für externe Empfänger in das MIME/HTML-Format um. Postfachserver
ParserServer.exe %ExchangeInstallPath%Bin\Search\Ceres\ParserServer Microsoft Exchange-Suchdienst (MSExchangeFastSearch) Postfachserver
Powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0 Exchange-Verwaltungsshell Postfachserver

Clientzugriffsserver

Edge-Transport-Server
ScanEngineTest.exe %ExchangeInstallPath%FIP-FS\Bin Komponente zum Scannen von Inhalten, die vom Schadsoftware-Agenten und von DLP verwendet wird. Postfachserver
ScanningProcess.exe %ExchangeInstallPath%FIP-FS\Bin Komponente zum Scannen von Inhalten, die vom Schadsoftware-Agenten und von DLP verwendet wird. Postfachserver
TranscodingService.exe %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing WebReady-Dokumentanzeige in Outlook Web App. Postfachserver
UmService.exe %ExchangeInstallPath%Bin Microsoft Exchange Unified Messaging-Dienst (MSExchangeUM) Postfachserver
UmWorkerProcess.exe %ExchangeInstallPath%Bin Arbeitsprozess für den Microsoft Exchange Unified Messaging-Dienst Postfachserver
UpdateService.exe %ExchangeInstallPath%FIP-FS\Bin Komponente zum Scannen von Inhalten, die vom Schadsoftware-Agenten und von DLP verwendet wird. Postfachserver
W3wp.exe %SystemRoot%\System32\inetsrv Internetinformationsdienste (IIS) Postfachserver

Clientzugriffsserver

Ausschlüsse für Dateinamenerweiterungen

Zusätzlich zum Ausschließen bestimmter Verzeichnisse und Prozesse sollten Sie die folgenden Exchange-spezifischen Dateinamenerweiterungen ausschließen, falls Verzeichnisausschlüsse fehlschlagen oder Dateien von ihren Standardspeicherorten verschoben werden.

  • Anwendungsbezogene Erweiterungen:

    • .config
    • .dia
    • .Wsb
  • Datenbankbezogene Erweiterungen:

    • .Chk
    • .Edb
    • .Jrs
    • .Jsl
    • .Protokoll
    • .Que
  • Offlineadressbuchbezogene Erweiterungen:

    • .lzx
  • Inhaltsindexbezogene Erweiterungen:

    • .Ci
    • .dir
    • .Wid
    • .000
    • .001
    • .002
  • Unified Messaging-bezogene Erweiterungen:

    • .Cfg
    • GRXML
  • Erweiterungen im Zusammenhang mit Gruppenmetriken:

    • .Dsc
    • .txt