Exchange 2007 上的文件级防病毒扫描
适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
上一次修改主题: 2009-07-22
本主题介绍文件级防病毒程序对运行 Microsoft Exchange Server 2007 的计算机的影响。如果按照本主题中所述的建议操作,可以提高 Exchange 组织的安全性并改善运行状况。
文件级扫描程序经常使用。但是,如果配置不正确,可能会导致 Exchange 2007 出现问题。
文件级扫描程序包括下列两种类型:
“驻留在内存中的文件级扫描”是指文件级防病毒软件中始终加载在内存中的部分。该部分检查硬盘上以及计算机内存中使用的所有文件。
“按需运行的文件级扫描”是指文件级防病毒软件中可以配置为手动或按计划扫描硬盘上的文件的部分。某些版本的防病毒软件会在病毒定义更新后自动开始按需运行的扫描,以确保使用最新的定义扫描所有文件。
在 Exchange 2007 中使用文件级扫描程序时可能会出现下列问题:
文件级扫描程序可能会在文件正在使用时扫描文件,也可能按计划的间隔扫描文件。这样可能会造成 Microsoft Exchange 尝试使用文件时,扫描程序锁定或隔离了相应的 Exchange 日志文件或数据库文件。此行为可能会导致 Microsoft Exchange 的严重故障,还可能会导致 -1018 错误。
文件级扫描程序无法抵御电子邮件病毒(例如 Melissa 病毒)的攻击。
.gif "note")
注意:Melissa 病毒是一种特洛伊木马程序宏病毒,是 1999 年通过电子邮件传播的一种病毒。该病毒将包含恶意附件的电子邮件发送到其在 Microsoft Outlook 邮件客户端的个人通讯簿中找到的地址。此类病毒会破坏数据。
Exchange 2007 建议
如果要在 Exchange 2007 服务器上部署文件级扫描程序,请确保为按计划扫描和实时扫描设置适当的排除规则(例如目录排除、进程排除和文件扩展名排除)。本节介绍每个服务器或服务器角色的目录排除、进程排除和文件扩展名排除。
目录排除
必须为运行文件级防病毒扫描程序的每个 Exchange 服务器或服务器角色排除特定的目录。本节介绍每个服务器或服务器角色应从文件级扫描中排除的目录。
邮箱服务器角色
所有存储组中的 Exchange 数据库文件、检查点文件和日志文件。默认情况下,这些文件位于 %Program Files%\Microsoft\Exchange Server\Mailbox 文件夹的子文件夹中。若要获取目录位置,可以在 Exchange 命令行管理程序中运行下列命令:
若要确定事务日志文件和检查点文件的位置,请运行以下命令:
Get-StorageGroup -server <servername>| fl *path* ``Get-StorageGroup -server <servername>| fl *path*若要确定邮箱数据库的位置,请运行以下命令:
Get-MailboxDatabase -server <servername>| fl *path* ``Get-MailboxDatabase -server <servername>| fl *path*若要确定公用文件夹数据库的位置,请运行以下命令:
Get-PublicFolderDatabase -server <servername>| fl *path* ``Get-PublicFolderDatabase -server <servername>| fl *path*
数据库内容索引。默认情况下,这些索引位于 %Program Files%\Microsoft\Exchange Server\Mailbox 文件夹下的存储组子文件夹中。
常用的日志文件(例如邮件跟踪日志文件)。这些文件位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs 文件夹和 %Program Files%\Microsoft\Exchange Server\Logging 文件夹下的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-MailboxServer <servername>| fl *path*位于 %Program Files%\Microsoft\Exchange Server\ExchangeOAB 文件夹下的子文件夹中的脱机通讯簿文件
%SystemRoot%\System32\Inetsrv 文件夹中的 IIS 系统文件
用于脱机维护实用程序(例如 Eseutil.exe)的临时文件夹。默认情况下,此文件夹位于运行 .exe 文件的位置。但是,可以在运行实用程序时配置执行操作的位置。
用于执行转换的临时文件夹:
在服务器的 TMP 文件夹中执行内容转换。
在 %Program Files%\Microsoft\Exchange Server\Working\OleConvertor 文件夹中执行 OLE 转换。
邮箱数据库临时文件夹:%Program Files%\Microsoft\Exchange Server\Mailbox\MDBTEMP
任何支持 Exchange 的防病毒程序文件夹
群集邮箱服务器
邮箱服务器角色列表中列出的所有项目以及下列项目:仲裁磁盘和 %Winnt%\Cluster 文件夹
文件共享见证。此项目位于环境中的其他服务器上(通常在集线器传输服务器上)。
共享驱动器上的 ExchangeOAB 目录。该位置由注册表项 SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<CMS-name>\OabDropFolderLocation 指定
注意:默认情况下,ExchangeOAB 目录位于以下位置:%Program Files%\Microsoft\Exchange Server\ExchangeOAB
集线器传输服务器角色
常用的日志文件(例如邮件跟踪日志文件)。这些文件位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs 文件夹下的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportServer <servername>| fl *logpath*,*tracingpath*位于 %Program Files%\Microsoft\Exchange Server\TransportRoles 文件夹下的邮件文件夹。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportServer <servername>| fl *dir*path*Get-TransportServer <servername>| fl *dir*path*位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue 文件夹中的传输服务器角色队列数据库文件、检查点文件和日志文件。有关在队列数据库文件已移出默认位置后如何获取目录位置的详细信息,请参阅使用传输服务器上的队列数据库。
位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation 文件夹中的传输服务器角色发件人信誉数据库文件、检查点文件和日志文件
位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter 文件夹中的传输服务器角色 IP 筛选器数据库文件、检查点文件和日志文件
用于执行转换的临时文件夹:
在服务器的 TMP 文件夹中执行内容转换。
在 %Program Files%\Microsoft\Exchange Server\Working\OleConvertor 文件夹中执行 OLE 转换。
任何支持 Exchange 的防病毒程序文件夹
边缘传输服务器角色
位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Adam 文件夹中的 Active Directory 应用程序模式 (ADAM) 数据库文件和日志文件。有关在 ADAM 数据库文件已移出默认位置后如何获取目录位置的详细信息,请参阅如何修改 ADAM 配置。
常用的日志文件(例如邮件跟踪日志文件)。这些文件位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs 文件夹下的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportServer <servername>| fl *logpath*,*tracingpath*位于 %Program Files%\Microsoft\Exchange Server\TransportRoles 文件夹下的邮件文件夹。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportServer <servername>| fl *dir*path*位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue 文件夹中的传输服务器角色队列数据库文件、检查点文件和日志文件。有关在队列数据库文件已移出默认位置后如何获取目录位置的详细信息,请参阅使用传输服务器上的队列数据库。
位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation 文件夹中的传输服务器角色发件人信誉数据库文件、检查点文件和日志文件
位于 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter 文件夹中的传输服务器角色 IP 筛选器数据库文件、检查点文件和日志文件
用于执行转换的临时文件夹:
在服务器的 TMP 文件夹中执行内容转换。
在 %Program Files%\Microsoft\Exchange Server\Working\OleConvertor 文件夹中执行 OLE 转换。
任何支持 Exchange 的防病毒程序文件夹
客户端访问服务器角色
用于 Microsoft Outlook Web Access 的 Internet 信息服务 (IIS) 6.0 压缩文件夹。默认情况下,IIS 6.0 中的压缩文件夹的路径是 %systemroot%\IIS Temporary Compressed Files。
有关详细信息,请参阅 Microsoft 知识库文章 817442,当在运行 IIS 的服务器上启用压缩时,可能返回 0 字节文件(英文网页)。
%SystemRoot%\System32\Inetsrv 文件夹中的 IIS 系统文件
存储在 %Program Files%\Microsoft\Exchange Server\ClientAccess 文件夹的子文件夹中的 Internet 相关文件
用于执行内容转换的临时文件夹。默认情况下,此文件夹是服务器的 TMP 文件夹。
统一消息服务器角色
存储在 %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\grammars 文件夹的子文件夹中的语法文件
存储在 %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\Prompts 文件夹的子文件夹中的语音提示文件
存储在 %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\voicemail 文件夹中的语音邮件文件
存储在 %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail 文件夹中的语音死信文件
Microsoft Forefront Security for Exchange Server:
存储在 %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Archive 文件夹中的存档邮件
存储在 %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine 文件夹中的隔离文件
存储在 %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86 文件夹的子文件夹中的防病毒引擎文件
存储在 %Program Files%\Microsoft ForeFront Security\Exchange Server\Data 文件夹中的配置文件
单一副本群集 (SCC) 上的 Microsoft ForeFront Security For Exchange Server
除了包含反病毒引擎和配置文件的目录以外,在共享存储上排除用于 ForeFront 数据的目录。若要确定 ForeFront 在 SCC 上使用的路径,请检查以下注册表项的值:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath
UNRESOLVED_TOKEN_VAL(exRegistry)
进程排除
现在,许多文件级扫描程序都支持进程扫描。如果扫描的进程不当,也会对 Microsoft Exchange 造成负面影响。因此,应从文件级扫描程序中排除下列进程。
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Cluster.exe |
Msexchangeadtopologyservice.exe |
Dsamain.exe |
Msexchangefds.exe |
Edgecredentialsvc.exe |
Msexchangemailboxassistants.exe |
Edgetransport.exe |
Msexchangemailsubmission.exe |
Galgrammargenerator.exe |
Msexchangetransport.exe |
Inetinfo.exe |
Msexchangetransportlogsearch.exe |
Mad.exe |
Msftefd.exe |
Microsoft.Exchange.Antispamupdatesvc.exe |
Msftesql.exe |
Microsoft.Exchange.Contentfilter.Wrapper.exe |
Oleconverter.exe |
Microsoft.Exchange.Cluster.Replayservice.exe |
Powershell.exe |
Microsoft.Exchange.Edgesyncsvc.exe |
Sesworker.exe |
Microsoft.Exchange.Imap4.exe |
Speechservice.exe |
Microsoft.Exchange.Imap4service.exe |
Store.exe |
Microsoft.Exchange.Infoworker.Assistants.exe |
Transcodingservice.exe |
Microsoft.Exchange.Monitoring.exe |
Umservice.exe |
Microsoft.Exchange.Pop3.exe |
Umworkerprocess.exe |
Microsoft.Exchange.Pop3service.exe |
W3wp.exe |
如果还要部署 ForeFront Security for Exchange Server,请排除下列进程。
Adonavsvc.exe |
Fscstatsserv.exe |
Fsccontroller.exe |
Fsctransportscanner.exe |
Fscdiag.exe |
Fscutility.exe |
Fscexec.exe |
Fsemailpickup.exe |
Fscimc.exe |
Fssaclient.exe |
Fscmanualscanner.exe |
Getenginefiles.exe |
Fscmonitor.exe |
Perfmonitorsetup.exe |
Fscrealtimescanner.exe |
Scanenginetest.exe |
Fscstarter.exe |
Semsetup.exe |
文件扩展名排除
除了排除特定的目录和进程之外,作为备选方法,如果目录排除失败或文件已移动,则应排除下列 Exchange 特定的文件扩展名。
与应用程序有关的扩展名
.config
.dia
.wsb
与数据库有关的扩展名
.chk
.log
.edb
.jrs
.que
与脱机通讯簿有关的扩展名
- .lzx
与内容索引有关的扩展名
.ci
.wid
.001
.dir
.000
.002
与统一消息有关的扩展名
.cfg
.grxml
与 ForeFront Security for Exchange Server 有关的扩展名
.avc
.dt
.lst
.cab
.fdb
.mdb
.cfg
.fdm
.ppl
.config
.ide
.set
.da1
.key
.v3d
.dat
.klb
.vdb
.def
.kli
.vdm
为 ForeFront Security for Exchange Server 列出的文件扩展名是各种防病毒目录引擎中的定义文件。大多数情况下,这些文件扩展名不会更改,但是随着第三方防病毒供应商更新其防病毒定义文件,可能会增加文件扩展名。