54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > Exchange >

Exchange 2007 文件级防病毒扫描

时间:2010-10-28 21:26来源:编辑部 编辑:Jenny
     本文介绍文件级防病毒程序对运行 Microsoft Exchange Server 2007 的计算机的影响。如果按照本文中所述的建议操作,可以提高 Exchange 组织的安全性并改善运行状况。

  文件级扫描程序经常使用。但是,如果配置不正确,可能会导致 Exchange 2007 出现问题。

  文件级扫描程序包括下列两种类型:

  ●“驻留在内存中的文件级扫描”是指文件级防病毒软件中始终加载在内存中的部分。该部分检查硬盘上以及计算机内存中使用的所有文件。

  ●“按需运行的文件级扫描”是指文件级防病毒软件中可以配置为手动或按计划扫描硬盘上的文件的部分。某些版本的防病毒软件会在病毒定义更新后自动开始按需运行的扫描,以确保使用最新的定义扫描所有文件。

  在 Exchange 2007 中使用文件级扫描程序时可能会出现下列问题:

  ●文件级扫描程序可能会在文件正在使用时扫描文件,也可能按计划的间隔扫描文件。这样可能会造成 Microsoft Exchange 尝试使用文件时,扫描程序锁定或隔离了相应的 Exchange 日志文件或数据库文件。此行为可能会导致 Microsoft Exchange 的严重故障,还可能会导致 -1018 错误。

  ●文件级扫描程序无法抵御电子邮件病毒(例如 Melissa 病毒)的攻击。

  注意:

  Melissa 病毒是一种特洛伊木马程序宏病毒,是 1999 年通过电子邮件传播的一种病毒。该病毒将包含恶意附件的电子邮件发送到其在 Microsoft Outlook 邮件客户端的个人通讯簿中找到的地址。此类病毒会破坏数据。

  Exchange 2007 建议

  如果要在 Exchange 2007 服务器上部署文件级扫描程序,请确保为按计划扫描和实时扫描设置适当的排除规则(例如目录排除、进程排除和文件扩展名排除)。本节介绍每个服务器或服务器角色的目录排除、进程排除和文件扩展名排除。

  目录排除

  必须为运行文件级防病毒扫描程序的每个 Exchange 服务器或服务器角色排除特定的目录。本节介绍每个服务器或服务器角色应从文件级扫描中排除的目录。

       邮箱服务器角色

  ●所有存储组中的 Exchange 数据库文件、检查点文件和日志文件。默认情况下,这些文件位于 %Program Files%MicrosoftExchange ServerMailbox 文件夹的子文件夹中。若要获取目录位置,可以在 Exchange 命令行管理程序中运行下列命令:

  若要确定事务日志文件和检查点文件的位置,请运行以下命令:Get-StorageGroup –server | fl *path* Get-StorageGroup –server | fl *path*

  若要确定邮箱数据库的位置,请运行以下命令:Get-MailboxDatabase –server | fl *path* Get-MailboxDatabase –server | fl *path*

  若要确定公用文件夹数据库的位置,请运行以下命令:Get-PublicFolderDatabase –server | fl *path* Get-PublicFolderDatabase –server | fl *path*

  ●数据库内容索引。默认情况下,这些索引位于 %Program Files%MicrosoftExchange ServerMailbox 文件夹下的存储组子文件夹中。

  ●常用的日志文件(例如邮件跟踪日志文件)。这些文件位于 %Program Files%MicrosoftExchange ServerTransportRolesLogs 文件夹和 %Program Files%MicrosoftExchange ServerLogging 文件夹下的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:Get-MailboxServer | fl *path*

  ●位于 %Program Files%MicrosoftExchange ServerExchangeOAB 文件夹下的子文件夹中的脱机通讯簿文件

  ●%SystemRoot%System32Inetsrv 文件夹中的 IIS 系统文件

  ●用于脱机维护实用程序(例如 Eseutil.exe)的临时文件夹。默认情况下,此文件夹位于运行 .exe 文件的位置。但是,可以在运行实用程序时配置执行操作的位置。

  ●用于执行转换的临时文件夹:

  在服务器的 TMP 文件夹中执行内容转换。

  在 %Program Files%MicrosoftExchange ServerWorkingOleConvertor 文件夹中执行 OLE 转换。

  ●邮箱数据库临时文件夹:%Program Files%MicrosoftExchange ServerMailboxMDBTEMP

  ●任何支持 Exchange 的防病毒程序文件夹

  群集邮箱服务器

  邮箱服务器角色列表中列出的所有项目以及下列项目:

  ●仲裁磁盘和 %Winnt%Cluster 文件夹

  ●文件共享见证。此项目位于环境中的其他服务器上(通常在集线器传输服务器上)。

        集线器传输服务器角色

  ●常用的日志文件(例如邮件跟踪日志文件)。这些文件位于 %Program Files%MicrosoftExchange ServerTransportRolesLogs 文件夹下的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:Get-TransportServer | fl *logpath*,*tracingpath* Get-TransportServer | fl *logpath*,*tracingpath*

  ●位于 %Program Files%MicrosoftExchange ServerTransportRoles 文件夹下的邮件文件夹。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:Get-TransportServer | fl *dir*path* Get-TransportServer | fl *dir*path*

  ●位于 %Program Files%MicrosoftExchange ServerTransportRolesDataQueue 文件夹中的传输服务器角色队列数据库文件、检查点文件和日志文件。有关在队列数据库文件已移出默认位置后如何获取目录位置的详细信息,请参阅使用传输服务器上的队列数据库。

  ●位于 %Program Files%MicrosoftExchange ServerTransportRolesDataSenderReputation 文件夹中的传输服务器角色发件人信誉数据库文件、检查点文件和日志文件

  ●位于 %Program Files%MicrosoftExchange ServerTransportRolesDataIpFilter 文件夹中的传输服务器角色 IP 筛选器数据库文件、检查点文件和日志文件

  ●用于执行转换的临时文件夹:

  在服务器的 TMP 文件夹中执行内容转换。

  在 %Program Files%MicrosoftExchange ServerWorkingOleConvertor 文件夹中执行 OLE 转换。

  ●任何支持 Exchange 的防病毒程序文件夹

  边缘传输服务器角色

  ●位于 %Program Files%MicrosoftExchange ServerTransportRolesDataAdam 文件夹中的 Active Directory 应用程序模式 (ADAM) 数据库文件和日志文件。有关在 ADAM 数据库文件已移出默认位置后如何获取目录位置的详细信息,请参阅如何修改 ADAM 配置。

  ●常用的日志文件(例如邮件跟踪日志文件)。这些文件位于 %Program Files%MicrosoftExchange ServerTransportRolesLogs 文件夹下的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:Get-TransportServer | fl *logpath*,*tracingpath*

  ●位于 %Program Files%MicrosoftExchange ServerTransportRoles 文件夹下的邮件文件夹。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:Get-TransportServer | fl *dir*path* Get-TransportServer | fl *dir*path*

  ●位于 %Program Files%MicrosoftExchange ServerTransportRolesDataQueue 文件夹中的传输服务器角色队列数据库文件、检查点文件和日志文件。有关在队列数据库文件已移出默认位置后如何获取目录位置的详细信息,请参阅使用传输服务器上的队列数据库。

  ●位于 %Program Files%MicrosoftExchange ServerTransportRolesDataSenderReputation 文件夹中的传输服务器角色发件人信誉数据库文件、检查点文件和日志文件

  ●位于 %Program Files%MicrosoftExchange ServerTransportRolesDataIpFilter 文件夹中的传输服务器角色 IP 筛选器数据库文件、检查点文件和日志文件

  ●用于执行转换的临时文件夹:

  在服务器的 TMP 文件夹中执行内容转换。

  在 %Program Files%MicrosoftExchange ServerWorkingOleConvertor 文件夹中执行 OLE 转换。

  ●任何支持 Exchange 的防病毒程序文件夹

       客户端访问服务器角色

  ●用于 Microsoft Outlook Web Access 的 Internet 信息服务 (IIS) 6.0 压缩文件夹。默认情况下,IIS 6.0 中的压缩文件夹的路径是 %systemroot%IIS Temporary Compressed Files。

  ●%SystemRoot%System32Inetsrv 文件夹中的 IIS 系统文件

  ●存储在 %Program Files%MicrosoftExchange ServerClientAccess 文件夹的子文件夹中的 Internet 相关文件

  ●用于执行内容转换的临时文件夹。默认情况下,此文件夹是服务器的 TMP 文件夹。

  统一消息服务器角色

  ●存储在 %Program Files%MicrosoftExchange ServerUnifiedMessaginggrammars 文件夹的子文件夹中的语法文件

  ●存储在 %Program Files%MicrosoftExchange ServerUnifiedMessagingPrompts 文件夹的子文件夹中的语音提示文件

  ●存储在 %Program Files%MicrosoftExchange ServerUnifiedMessagingvoicemail 文件夹中的语音邮件文件

  ●存储在 %Program Files%MicrosoftExchange ServerUnifiedMessagingadvoicemail 文件夹中的语音死信文件

  Microsoft Forefront Security for Exchange Server:

  ●存储在 %Program Files%Microsoft ForeFront SecurityExchange ServerDataArchive 文件夹中的存档邮件

  ●存储在 %Program Files%Microsoft ForeFront SecurityExchange ServerDataQuarantine 文件夹中的隔离文件

  ●存储在 %Program Files%Microsoft ForeFront SecurityExchange ServerDataEnginesx86 文件夹的子文件夹中的防病毒引擎文件

  ●存储在 %Program Files%Microsoft ForeFront SecurityExchange ServerData 文件夹中的配置文件

  单一副本群集 (SCC) 上的 Microsoft ForeFront Security For Exchange Server

  除了包含反病毒引擎和配置文件的目录以外,在共享存储上排除用于 ForeFront 数据的目录。

  若要确定 ForeFront 在 SCC 上使用的路径,请检查以下注册表项的值:

  HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftForefront Server SecurityExchange ServerDatabasePath

  错误编辑注册表会导致严重问题,这些问题可能需要您重新安装操作系统。由于错误编辑注册表导致的问题可能无法解决。在编辑注册表之前,请备份所有数据值。

      进程排除

  现在,许多文件级扫描程序都支持进程扫描。如果扫描的进程不当,也会对 Microsoft Exchange 造成负面影响。因此,应从文件级扫描程序中排除下列进程。

  

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

Msexchangeadtopologyservice.exe

Dsamain.exe

Msexchangefds.exe

Edgecredentialsvc.exe

Msexchangemailboxassistants.exe

Edgetransport.exe

Msexchangemailsubmission.exe

Galgrammargenerator.exe

Msexchangetransport.exe

Inetinfo.exe

Msexchangetransportlogsearch.exe

Mad.exe

Msftefd.exe

Microsoft.Exchange.Antispamupdatesvc.exe

Msftesql.exe

Microsoft.Exchange.Contentfilter.Wrapper.exe

Oleconverter.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Powershell.exe

Microsoft.Exchange.Edgesyncsvc.exe

Sesworker.exe

Microsoft.Exchange.Imap4.exe

Speechservice.exe

Microsoft.Exchange.Imap4service.exe

Store.exe

Microsoft.Exchange.Infoworker.Assistants.exe

Transcodingservice.exe

Microsoft.Exchange.Monitoring.exe

Umservice.exe

Microsoft.Exchange.Pop3.exe

Umworkerprocess.exe

Microsoft.Exchange.Pop3service.exe

W3wp.exe

  如果还要部署 ForeFront Security for Exchange Server,请排除下列进程。

  

Adonavsvc.exe

Fscstatsserv.exe

Fsccontroller.exe

Fsctransportscanner.exe

Fscdiag.exe

Fscutility.exe

Fscexec.exe

Fsemailpickup.exe

Fscimc.exe

Fssaclient.exe

Fscmanualscanner.exe

Getenginefiles.exe

Fscmonitor.exe

Perfmonitorsetup.exe

Fscrealtimescanner.exe

Scanenginetest.exe

Fscstarter.exe

Semsetup.exe

 

        文件扩展名排除

  除了排除特定的目录和进程之外,作为备选方法,如果目录排除失败或文件已移动,则应排除下列 Exchange 特定的文件扩展名。

  与应用程序有关的扩展名

  ●.config

  ●.dia

  ●.wsb

  与数据库有关的扩展名

  ●.chk

  ●.log

  ●.edb

  ●.jrs

  ●.que

  与脱机通讯簿有关的扩展名

  ●.lzx

  与内容索引有关的扩展名

  ●.ci.wid.001

  ●.dir.000.002

  与统一消息有关的扩展名

  ●.cfg

  ●.grxml

  与 ForeFront Security for Exchange Server 有关的扩展名

  ●.avc.dt.lst

  ●.cab.fdb.mdb

  ●.cfg.fdm.ppl

  ●.config.ide.set

  ●.da1.key.v3d

  ●.dat.klb.vdb

  ●.def.kli.vdm

  为 ForeFront Security for Exchange Server 列出的文件扩展名是各种防病毒目录引擎中的定义文件。大多数情况下,这些文件扩展名不会更改,但是随着第三方防病毒供应商更新其防病毒定义文件,可能会增加文件扩展名。

[责任编辑:Lavy]

------分隔线----------------------------