规划防病毒部署

  • 项目

 

适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上一次修改主题: 2007-08-06

通过电子邮件系统传播的病毒、蠕虫和其他恶意内容是大多数 Microsoft Exchange 管理员都要面对的破坏性实体。因此,必须对所有邮件系统进行防御性防病毒部署。本主题提供了为 Microsoft Exchange Server 2007 和 Microsoft Office Outlook 2007 部署防病毒软件的最佳实践建议。

在选择防病毒软件供应商时,应当特别注意 Exchange 2007 中的两项重要变更:

  • Exchange 2007 基于 64 位体系结构。

  • Exchange 2007 包括新的传输代理功能,这在本主题后面的内容中详细介绍。

这两项变更意味着防病毒软件供应商必须提供特定于 Exchange 2007 的软件。针对 Exchange Server 的早期版本编写的防病毒软件可能无法在 Exchange 2007 中正常运行。

若要采用深度防御方法,建议您除了在用户桌面上部署防病毒软件外,还要在简单邮件传输协议 (SMTP) 网关或用于托管邮箱的 Exchange 服务器上部署专门为邮件系统设计的防病毒软件。

综合考虑一下您愿意支付的费用和愿望承受的风险级别,确定使用哪种类型的防病毒软件,以及将该软件部署到哪个位置。例如,某些组织在 SMTP 网关上运行邮件防病毒软件,在 Exchange 服务器上运行文件级防病毒扫描,在用户桌面上运行客户端防病毒软件。此方法在网关处提供特定于邮件的保护,在邮件服务器上提供常规的文件级保护,并在客户端提供保护。其他组织可能愿意承担更高的费用,因此可通过以下方式来提高安全性:在 SMTP 网关上运行邮件防病毒软件,在 Exchange 服务器上运行文件级防病毒扫描,在用户桌面上运行客户端防病毒软件,同时在 Exchange 邮箱服务器上运行与 Exchange 病毒扫描应用程序编程接口 (VSAPI) 2.5 兼容的防病毒软件。

在边缘传输服务器和集线器传输服务器上运行防病毒软件

运行邮件防病毒软件的最重要位置可能就是组织中的第一道防线。在 Exchange 2007 中,第一道防线位于边缘传输服务器上的外围网络。

为了进一步防御病毒在组织内部发作,也为了构筑第二道防线,建议您在组织内部的集线器传输服务器上运行基于传输的防病毒软件。

在 Exchange 2007 中,代理处理传输事件,与 Microsoft Exchange 早期版本中的事件接收器相似。第三方开发人员可以编写自定义的代理,以便利用基本的 Exchange MIME 分析引擎来进行强大的传输级别防病毒扫描。

许多第三方软件供应商都提供利用 Exchange 传输 MIME 分析引擎的特定于 Exchange 2007 的代理。有关详细信息,请与您的防病毒软件供应商联系。

此外,Microsoft Forefront Security for Exchange Server 还包括适用于 Exchange 2007 的传输防病毒代理。有关如何安装和配置 Forefront Security for Exchange Server 防病毒代理的详细信息,请参阅 Microsoft Forefront Security for Exchange Server User Guide

note注意:
不通过传输路由的对象(例如,只能在邮箱服务器中扫描的公用文件夹中的项目、已发送邮件和日历项目)将不受仅限于传输的病毒扫描保护。

在组织中的其他计算机上运行防病毒软件

可以在以下两类计算机上运行文件级病毒扫描:

  • 用户桌面

  • 服务器

除运行文件级病毒扫描之外,可考虑在 Exchange 邮箱服务器上运行 Microsoft VSAPI 解决方案。

桌面病毒扫描

我们强烈建议用户运行最新版本的 Outlook。如果您在桌面上运行过时的电子邮件客户端,则会因早期电子邮件客户端中的对象模型和附件处理方式而面临巨大的风险。因此,默认情况下 Outlook 2003 和 Outlook 2007 是 Exchange 2007 从其接受连接的仅有的 MAPI 客户端。有关运行较早版本的电子邮件客户端所带来的风险的详细信息,请参阅 Taking Steps to Secure Outlook

升级到 Outlook 2003 或 Outlook 2007 后,请验证是否已在所有桌面计算机上安装了文件级别的防病毒软件产品。此外,还需要采取下列措施:

  • 制订规划以确保在所有桌面上自动更新防病毒签名文件。

  • 为防御病毒,确保在组织中制订并维护端到端更新管理解决方案。

服务器病毒扫描

请考虑采用在组织内的所有桌面计算机和服务器计算机上运行文件级扫描的总方针。因此,所有 Exchange Server 计算机上都应运行某种形式的文件级防病毒扫描。对于每个服务器角色,必须对文件级扫描进行额外配置,以便不扫描特定的目录、文件类型和进程。例如,建议您不要针对 Exchange 存储数据库运行文件级别的防病毒软件。要查看特定配置信息,请参阅 Exchange 2007 上的文件级防病毒扫描

使用 VSAPI 扫描邮箱数据库

Microsoft VSAPI 扫描解决方案可能是许多组织的重要防护层。如果出现下列任一情况,应考虑运行 VSAPI 防病毒解决方案:

  • 您的组织没有部署完善而可靠的桌面防病毒扫描产品。

  • 您的组织需要存储扫描可以提供的额外防护。

  • 您的组织已部署对 Exchange 数据库具有编程访问权限的自定义应用程序。

  • 用户群经常将邮件投递到公用文件夹中。

使用 Exchange VSAPI 的防病毒解决方案直接在 Exchange 信息存储进程中运行。VSAPI 解决方案可能是唯一能防止攻击向量的解决方案,攻击向量可以绕过标准客户端和传输扫描,将受感染的内容放在 Exchange 信息存储内部。例如,VSAPI 是可以扫描通过 CDO(协作数据对象)、WebDAV 和 Exchange Web 服务提交到数据库的数据的唯一解决方案。

此外,当病毒发作时,VSAPI 防病毒解决方案在很多情况下都可提供从受感染的邮件存储中删除和消除病毒的最快速的方法。

有关如何运行包含 VSAPI 扫描引擎的 Forefront security for Exchange Server 的更多特定信息,请参阅 Protecting Your Microsoft Exchange Organization with Microsoft Forefront Security for Exchange Server

使用 Exchange 托管服务

Microsoft Exchange 托管服务可以增强垃圾邮件和病毒筛选功能,也可以将垃圾邮件和病毒筛选作为其中的一项服务提供。Exchange 托管服务是包含四个不同托管服务的服务组:

  • 托管筛选,帮助组织防御以电子邮件为载体的恶意软件

  • 托管存档,有助于组织满足要遵守的保留要求

  • 托管加密,帮助组织对数据进行加密以实现机密性

  • 托管连续性,帮助组织在发生紧急情况期间和之后仍然能够访问电子邮件

这些服务与在内部管理的所有内部部署 Exchange 服务器或通过服务提供商提供的托管 Exchange 电子邮件服务相集成。有关 Exchange 托管服务的详细信息,请参阅 Microsoft Exchange Hosted Services

详细信息

要查看详细说明有关 MSIT 如何部署 Exchange 2007 服务器防病毒解决方案的白皮书,请参阅 Microsoft Exchange Server 2007 Edge Transport and Messaging Protection

Microsoft Forefront Security for Exchange Server 为 Exchange 传输服务角色提供了多扫描引擎防病毒解决方案,为 Exchange 邮箱服务器提供了 VSAPI 解决方案。要了解端对端防病毒解决方案的最佳实践,请参阅 Forefront Security for Exchange Server Best Practices