Антивирусная программа в операционной системе на серверах Exchange Server

Область действия: Exchange Server 2013

В этом разделе описывается влияние антивирусных программ на уровне файлов на компьютеры, работающие Microsoft Exchange Server 2013. Если вы реализуете рекомендации, описанные в этом разделе, вы можете повысить безопасность и работоспособность организации Exchange.

Часто используются сканеры на уровне файлов. Однако если они настроены неправильно, они могут вызвать проблемы в Exchange 2013. Существует два типа сканеров на уровне файлов:

  • Сканирование на уровне файлов на уровне памяти относится к части антивирусной программы на уровне файла, которая всегда загружается в память. Он проверяет все файлы, используемые на жестком диске и в памяти компьютера.

  • Проверка на уровне файлов по запросу относится к части антивирусной программы на уровне файла, которую можно настроить для проверки файлов на жестком диске вручную или по расписанию. Некоторые версии антивирусной программы автоматически запускают проверку по запросу после обновления сигнатур вирусов, чтобы убедиться, что все файлы сканируются с использованием последних подписей.

При использовании сканеров на уровне файлов в Exchange 2013 могут возникнуть следующие проблемы:

  • Сканеры на уровне файлов могут проверять файл при его использовании или с интервалом по расписанию. Это может привести к блокировке или помещения в карантин журнала Exchange или файла базы данных, когда Exchange 2013 пытается использовать этот файл. Такое поведение может привести к серьезному сбою в Exchange 2013, а также к ошибкам журнала событий -1018.

  • Сканеры на уровне файлов не обеспечивают защиту от вирусов электронной почты, таких как Storm Worm. Storm Worm — это программа с троянским трояном backdoor, которая распространяла себя через сообщения электронной почты. Вирус-червь присоединил зараженный компьютер к ботнету, где компьютер использовался для отправки спама периодическими пиками.

Рекомендации по использованию сканирования на уровне файлов в Exchange 2013

При развертывании сканеров на уровне файлов на серверах Exchange 2013 убедитесь, что соответствующие исключения, такие как исключения каталогов, исключения процессов и исключения расширений имен файлов, применяются как для проверки на уровне памяти, так и на уровне файлов. В этом разделе описываются рекомендуемые исключения каталогов, исключения процессов и исключения расширений имен файлов.

Исключения каталогов

Необходимо исключить определенные каталоги для каждого сервера Exchange Server, на котором выполняется антивирусная программа на уровне файла. В этом разделе описываются каталоги, которые следует исключить из сканирования на уровне файла.

  • Серверы почтовых ящиков

    • Базы данных почтовых ящиков

      • Базы данных Exchange, файлы контрольных точек и файлы журналов. По умолчанию они находятся во вложенных папках в папке %ExchangeInstallPath%Mailbox. Чтобы определить расположение базы данных почтового ящика, журнала транзакций и файла контрольных точек, выполните следующую команду: Get-MailboxDatabase -Server <servername>| Format-List *path*

      • Индексы содержимого базы данных. По умолчанию они находятся в той же папке, что и файл базы данных.

      • Файлы метрик группы. По умолчанию эти файлы находятся в папке %ExchangeInstallPath%GroupMetrics.

      • Общие файлы журналов, такие как отслеживание сообщений и файлы журнала восстановления календаря. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs и папке %ExchangeInstallPath%Logging. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-MailboxServer <servername> | Format-List *path*

      • Файлы автономной адресной книги. По умолчанию они находятся во вложенных папках в папке %ExchangeInstallPath%ClientAccess\OAB.

      • Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.

      • Временная папка базы данных почтовых ящиков: %ExchangeInstallPath%Mailbox\MDBTEMP

    • Члены групп доступности базы данных

      • Все элементы, перечисленные в списке баз данных почтовых ящиков, и база данных кворума кластера, которая существует в %Windir%\Cluster.

      • Файлы каталога следящего сервера. Эти файлы находятся на другом сервере в среде, обычно на сервере клиентского доступа, который не установлен на том же компьютере, что и сервер почтовых ящиков. По умолчанию файлы каталога следящего сервера находятся в папке %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>.

    • Служба транспорта

      • Файлы журналов, например журналы отслеживания сообщений и подключения. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-TransportService <servername> | Format-List *logpath*,*tracingpath*

      • Папки каталога сообщений о запросе и воспроизведении. По умолчанию эти папки находятся в папке %ExchangeInstallPath%TransportRoles. Чтобы определить используемые пути, выполните следующую команду в командной консоли Exchange: Get-TransportService <servername>| Format-List *dir*path*

      • Базы данных очередей, контрольные точки и файлы журналов. По умолчанию они находятся в папке очереди данных %ExchangeInstallPath%TransportRoles\\.

      • База данных, контрольные точки и файлы журналов репутации отправителя. По умолчанию они находятся в папке %ExchangeInstallPath%TransportRoles\Data\SenderReputation.

      • Временные папки, используемые для выполнения преобразований:

        • По умолчанию преобразования содержимого выполняются в папке %TMP% сервера Exchange Server.

        • По умолчанию преобразования формата RTF в MIME/HTML выполняются в папке %ExchangeInstallPath%Working\OleConverter.

      • Компонент сканирования содержимого используется агентом вредоносных программ и защитой от потери данных (DLP). По умолчанию эти файлы находятся в папке %ExchangeInstallPath%FIP-FS.

    • Транспортная служба почтовых ящиков.

      • Файлы журналов, например журналы подключения. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-MailboxTransportService <servername> | Format-List *logpath*
    • Единая система обмена сообщениями

      • Файлы грамматики для разных языковых стандартов, например en-EN или es-ES. По умолчанию они хранятся во вложенных папках в папке грамматики %ExchangeInstallPath%UnifiedMessaging\.

      • Голосовые запросы, приветствия и файлы информационных сообщений. По умолчанию они хранятся во вложенных папках в папке %ExchangeInstallPath%UnifiedMessaging\Prompts

      • Файлы голосовой почты, временно хранящиеся в папке голосовой почты %ExchangeInstallPath%UnifiedMessaging\.

      • Временные файлы, созданные единой системой обмена сообщениями. По умолчанию они хранятся в временной папке %ExchangeInstallPath%UnifiedMessaging\.

    • Установка

      • Exchange Server настроить временные файлы. Эти файлы обычно находятся в %SystemRoot%\Temp\ExchangeSetup.
    • Exchange служба

      • Временные файлы, используемые службой поиска Exchange и пакетом фильтров Microsoft Filter Pack для преобразования файлов в изолированной среде. Эти файлы находятся в %SystemRoot%Temp\OICE\_<GUID>\.\
  • серверы клиентского доступа

    • Веб-компоненты

      • Для серверов, использующих службы IIS 7.0, папка сжатия, используемая с Microsoft Outlook Web App. По умолчанию папка сжатия для IIS 7.0 находится в папке %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.

      • Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv

      • Журналы Inetpub\logfiles\\w3svc

      • Вложенные папки в %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files

    • Ведение журнала протокола POP3 и IMAP4

      • Папка POP3: %ExchangeInstallPath%Logging\POP3

      • Папка IMAP4: %ExchangeInstallPath%Logging\IMAP4

    • Внешняя служба транспорта

      • Файлы журналов, например журналы подключения и журналы протоколов. По умолчанию эти файлы находятся во вложенных папках в папке %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-FrontEndTransportService <servername> | Format-List *logpath*
    • Установка

      • Exchange Server настроить временные файлы. Эти файлы обычно находятся в %SystemRoot%\Temp\ExchangeSetup.

Исключения для процессов

Многие сканеры на уровне файлов теперь поддерживают сканирование процессов, что может отрицательно сказаться на Microsoft Exchange, если сканированы неправильные процессы. Поэтому следует исключить следующие процессы из сканеров на уровне файлов.

Процесс Path Comments Серверы
Dsamain.exe %SystemRoot%\System32 Службы active Directory Lightweight Directory (AD LDS) на подписанных пограничных транспортных серверах. Пограничные транспортные серверы
EdgeTransport.exe %ExchangeInstallPath%Bin Рабочий процесс службы транспорта Microsoft Exchange Серверы почтовых ящиков

Пограничные транспортные серверы
fms.exe %ExchangeInstallPath%FIP-FS\Bin Компонент сканирования контента, используемый агентом вредоносных программ и DLP. Серверы почтовых ящиков
hostcontrollerservice.exe %ExchangeInstallPath%bin\Search\Ceres\HostController Служба контроллера узла поиска Microsoft Exchange (HostControllerService) Серверы почтовых ящиков

серверы клиентского доступа
inetinfo.exe %SystemRoot%\System32\inetsrv Службы IIS (IIS) Серверы почтовых ящиков

серверы клиентского доступа
Microsoft.Exchange.AntispamUpdateSvc.exe %ExchangeInstallPath%Bin Служба обновления защиты от нежелательной почты Microsoft Exchange (MSExchangeAntispamUpdate) Серверы почтовых ящиков

Пограничные транспортные серверы
Microsoft.Exchange.ContentFilter.Wrapper.exe %ExchangeInstallPath%TransportRoles\agents\Hygiene Агент фильтра содержимого Серверы почтовых ящиков

Пограничные транспортные серверы
Microsoft.Exchange.Diagnostics.Service.exe %ExchangeInstallPath%Bin Служба диагностики Microsoft Exchange (MSExchangeDiagnostics) Серверы почтовых ящиков

серверы клиентского доступа

Пограничные транспортные серверы
Microsoft.Exchange.Directory.TopologyService.exe %ExchangeInstallPath%Bin Служба топологии Active Directory Microsoft Exchange (MSExchangeADTopology) Серверы почтовых ящиков

серверы клиентского доступа
Microsoft.Exchange.EdgeCredentialSvc.exe %ExchangeInstallPath%Bin Служба учетных данных Microsoft Exchange (MSExchangeEdgeCredential) Пограничные транспортные серверы
Microsoft.Exchange.EdgeSyncSvc.exe %ExchangeInstallPath%Bin Служба Microsoft Exchange EdgeSync (MSExchangeEdgeSync) Серверы почтовых ящиков
Microsoft.Exchange.Imap4.exe ExchangeInstallPath%FrontEnd\PopImap Служба IMAP4 Microsoft Exchange (MSExchangeImap4) серверы клиентского доступа
Microsoft.Exchange.Imap4service.exe %ExchangeInstallPath%ClientAccess\PopImap Внутренняя служба IMAP4 Microsoft Exchange (MSExchangeIMAP4BE) Серверы почтовых ящиков
Microsoft.Exchange.Pop3.exe %ExchangeInstallPath%FrontEnd\PopImap Служба POP3 Microsoft Exchange (MSExchangePop3) серверы клиентского доступа
Microsoft.Exchange.Pop3service.exe %ExchangeInstallPath%ClientAccess\PopImap Внутренняя служба POP3 Microsoft Exchange (MSExchangePOP3BE) Серверы почтовых ящиков
Microsoft.Exchange.ProtectedServiceHost.exe %ExchangeInstallPath%Bin Служба узла Microsoft Exchange (MSExchangeServiceHost) Серверы почтовых ящиков

серверы клиентского доступа

Пограничные транспортные серверы
Microsoft.Exchange.RPCClientAccess.Service.exe %ExchangeInstallPath%Bin Служба клиентского доступа RPC Microsoft Exchange (MSExchangeRPC) Серверы почтовых ящиков
Microsoft.Exchange.Search.Service.exe %ExchangeInstallPath%Bin Служба поиска Microsoft Exchange (MSExchangeFastSearch) Серверы почтовых ящиков
Microsoft.Exchange.Servicehost.exe %ExchangeInstallPath%Bin Служба узла Microsoft Exchange (MSExchangeServiceHost) Серверы почтовых ящиков

серверы клиентского доступа

Пограничные транспортные серверы
Microsoft.Exchange.Store.Service.exe %ExchangeInstallPath%Bin Служба банка данных Microsoft Exchange (MSExchangeIS) Серверы почтовых ящиков
Microsoft.Exchange.Store.Worker.exe %ExchangeInstallPath%Bin Рабочий процесс службы банка данных Microsoft Exchange Серверы почтовых ящиков
Microsoft.Exchange.UM.CallRouter.exe %ExchangeInstallPath%FrontEnd\CallRouter Служба маршрутизатора вызовов единой системы обмена сообщениями Microsoft Exchange (MSExchangeUMCR) серверы клиентского доступа
MSExchangeDagMgmt.exe %ExchangeInstallPath%Bin Служба управления группами обеспечения доступности баз данных Microsoft Exchange (MSExchangeDagMgmt) Серверы почтовых ящиков
MSExchangeDelivery.exe %ExchangeInstallPath%Bin Служба транспортной доставки почтовых ящиков Microsoft Exchange (MSExchangeDelivery) Серверы почтовых ящиков
MSExchangeFrontendTransport.exe %ExchangeInstallPath%Bin Интерфейсная служба транспорта Microsoft Exchange (MSExchangeFrontEndTransport) серверы клиентского доступа
MSExchangeHMHost.exe %ExchangeInstallPath%Bin Служба диспетчера работоспособности Microsoft Exchange (MSExchangeHM) Серверы почтовых ящиков

серверы клиентского доступа

Пограничные транспортные серверы
MSExchangeHMWorker.exe %ExchangeInstallPath%Bin Рабочий процесс службы диспетчера работоспособности Microsoft Exchange Серверы почтовых ящиков

серверы клиентского доступа

Пограничные транспортные серверы
MSExchangeMailboxAssistants.exe %ExchangeInstallPath%Bin Служба помощников по обслуживанию почтовых ящиков Microsoft Exchange (MSExchangeMailboxAssistants) Серверы почтовых ящиков
MSExchangeMailboxReplication.exe %ExchangeInstallPath%Bin Служба репликации почтовых ящиков Microsoft Exchange (MSExchangeMailboxReplication) Серверы почтовых ящиков
MSExchangeMigrationWorkflow.exe %ExchangeInstallPath%Bin Служба рабочего процесса миграции Microsoft Exchange (MSExchangeMigrationWorkflow) Серверы почтовых ящиков
MSExchangeRepl.exe %ExchangeInstallPath%Bin Служба репликации Microsoft Exchange (MSExchangeRepl) Серверы почтовых ящиков
MSExchangeSubmission.exe %ExchangeInstallPath%Bin Служба отправки транспорта почтовых ящиков Microsoft Exchange (MSExchangeSubmission) Серверы почтовых ящиков
MSExchangeTransport.exe %ExchangeInstallPath%Bin Служба транспорта Microsoft Exchange (MSExchangeTransport) Серверы почтовых ящиков

Пограничные транспортные серверы
MSExchangeTransportLogSearch.exe %ExchangeInstallPath%Bin Служба поиска журналов транспорта Microsoft Exchange (MSExchangeTransportLogSearch) Серверы почтовых ящиков

Пограничные транспортные серверы
MSExchangeThrottling.exe %ExchangeInstallPath%Bin Служба регулирования Microsoft Exchange (MSExchangeThrottling) Серверы почтовых ящиков
Noderunner.exe %ExchangeInstallPath%bin\Search\Ceres\Runtime\1.0 Служба поиска Microsoft Exchange (MSExchangeFastSearch) Серверы почтовых ящиков
OleConverter.exe %ExchangeInstallPath%Bin Преобразует сообщения в формате RTF в MIME/HTML для внешних получателей. Серверы почтовых ящиков
ParserServer.exe %ExchangeInstallPath%Bin\Search\Ceres\ParserServer Служба поиска Microsoft Exchange (MSExchangeFastSearch) Серверы почтовых ящиков
Powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0 Командная консоль Exchange Серверы почтовых ящиков

серверы клиентского доступа

Пограничные транспортные серверы
ScanEngineTest.exe %ExchangeInstallPath%FIP-FS\Bin Компонент сканирования контента, используемый агентом вредоносных программ и DLP. Серверы почтовых ящиков
ScanningProcess.exe %ExchangeInstallPath%FIP-FS\Bin Компонент сканирования контента, используемый агентом вредоносных программ и DLP. Серверы почтовых ящиков
TranscodingService.exe %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing Просмотр документов WebReady в Outlook Web App. Серверы почтовых ящиков
UmService.exe %ExchangeInstallPath%Bin Служба единой системы обмена сообщениями Microsoft Exchange (MSExchangeUM) Серверы почтовых ящиков
UmWorkerProcess.exe %ExchangeInstallPath%Bin Рабочий процесс службы единой системы обмена сообщениями Microsoft Exchange Серверы почтовых ящиков
UpdateService.exe %ExchangeInstallPath%FIP-FS\Bin Компонент сканирования контента, используемый агентом вредоносных программ и DLP. Серверы почтовых ящиков
W3wp.exe %SystemRoot%\System32\inetsrv Службы IIS (IIS) Серверы почтовых ящиков

серверы клиентского доступа

Исключения для расширений имен файлов

Помимо исключения определенных каталогов и процессов, следует исключить следующие расширения имен файлов Exchange в случае сбоя исключений каталогов или перемещения файлов из расположений по умолчанию.

  • Расширения, связанные с приложениями:

    • .config
    • .dia
    • WSB
  • Расширения, связанные с базой данных:

    • .chk
    • EDB
    • JRS
    • JSL
    • LOG
    • QUE
  • Расширения, связанные с автономной адресной книгой:

    • LZX
  • Расширения, связанные с индексом контента:

    • .ci
    • DIR
    • WID
    • .000
    • .001
    • .002
  • Расширения, связанные с единой системой обмена сообщениями:

    • .cfg
    • GRXML
  • Расширения, связанные с метриками группы:

    • DSC
    • .txt