Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-11-17

В этом разделе описываются действия антивирусных программ, работающих на файловом уровне, на компьютерах под управлением Microsoft Exchange Server 2010. Рекомендации, описанные в этом разделе, позволяют улучшить безопасность и работоспособность организации Exchange.

Средства проверки на файловом уровне широко используются. Тем не менее, их неправильная настройка может привести к проблемам в Exchange 2010. Существует два типа средств проверки на файловом уровне:

Резидентное средство проверки на файловом уровне — это часть антивирусной программы, выполняющей проверку на файловом уровне, которая всегда загружена в память. Она проверяет все файлы, которые используются на жестком диске и в памяти компьютера.
Средство проверки на файловом уровне по запросу — это часть антивирусной программы, выполняющей проверку на файловом уровне, которую можно настроить для проверки файлов на жестком диске вручную или по расписанию. Некоторые версии антивирусных программ начинают проверку по запросу автоматически после обновления сигнатур вирусов, чтобы обеспечить проверку всех файлов с использованием последних сигнатур.

Ниже описаны проблемы, которые могут возникать при использовании средств проверки на файловом уровне в Exchange 2010.

Средства проверки на файловом уровне могут проверять файлы при их использовании или через запланированный интервал. Это может привести к том, что средства проверки заблокируют либо поместят на карантин файл журнала или базы данных Exchange, в то время как Microsoft Exchange будет пытаться использовать его. Это поведение может вызвать серьезный сбой в системе Microsoft Exchange, а также ошибки -1018.
Средства проверки на файловом уровне не обеспечивают защиту от вирусов, которые распространяются по электронной почте, таких как вирус Storm Worm. Это была вредоносная программа типа «Троянский конь» с лазейкой, которая распространялась через сообщения электронной почты. Вирус-червь присоединял зараженный компьютер к бот-сети, где компьютер использовался для периодической отправки серий сообщений нежелательной почты. Такие вирусы могут влиять на производительность компьютера и сети, к которой он присоединен.

Рекомендации по использованию проверки на файловом уровне с помощью Exchange 2010

При развертывании средств проверки на файловом уровне на серверах Exchange 2010 убедитесь в наличии соответствующих исключений, таких как исключения для каталогов, процессов и расширений имен файлов, для резидентных проверок в памяти и на файловом уровне. В этом разделе описаны исключения для каталогов, процессов и расширений имен файлов для каждого сервера или роли сервера.

Исключения для каталогов

Необходимо задать исключения для отдельных каталогов для каждого сервера или роли сервера Exchange, на которых запускается средство поиска вирусов на файловом уровне. В этом разделе описаны каталоги, для которых необходимо отключить проверку на файловом уровне, для каждого сервера или роли сервера.

Роль сервера почтовых ящиков

Базы данных, файлы контрольных точек и файлы журналов Exchange. По умолчанию они находятся во вложенных папках папки %ExchangeInstallPath%\Mailbox. Чтобы определить расположение каталога, выполните следующие команды в командной консоли Exchange:
- Чтобы определить расположение базы данных почтовых ящиков, журнала транзакций и файла контрольных точек, выполните следующую команду: Get-MailboxDatabase -server <servername>| format-list *path*
Индексы содержимого баз данных. По умолчанию они находятся в той же папке, что и файл базы данных.
Файлы групповых метрик. По умолчанию они находятся в папке %ExchangeInstallPath%\GroupMetrics.
Файлы общих журналов, например файлы журнала отслеживания сообщений и восстановления календаря. По умолчанию они находятся в подпапках в папках %ExchangeInstallPath%\TransportRoles\Logs и %ExchangeInstallPath%\Logging. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-MailboxServer <servername> | format-list *path*
Файлы автономной адресной книги. По умолчанию они находятся в подпапках в папке %ExchangeInstallPath%\ExchangeOAB.
Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.
Временная папка, которая используется автономными программами обслуживания, такими как Eseutil.exe. По умолчанию это папка, из которой запускается EXE-файл программы. Тем не менее, можно настроить папку для выполнения этой операции при запуске служебной программы.
Временная папка базы данных почтовых ящиков: %ExchangeInstallPath%\Mailbox\MDBTEMP
Все папки антивирусных программ, поддерживающих Exchange.

Сервер почтовых ящиков, являющийся участником группы доступности базы данных

Все папки, перечисленные для роли сервера почтовых ящиков, а также следующие:

диск кворума и папка %Winnt%\Cluster;

Следящий сервер

Файлы следящего каталога. Они расположены в данной среде на другом сервере, обычно на транспортном сервере-концентраторе. По умолчанию эти файлы расположены в каталоге \\%SystemDrive%:\Файловые_ресурсы-свидетели_группы_DAG\<имя_FQDN_группы_DAG> и общем ресурсе по умолчанию (<имя_FQDN_группы_DAG>) на этом сервере. Дополнительные сведения о группе доступности базы данных (DAG) и следящих серверах см. в разделе Управление группами доступности базы данных.

Роль транспортного сервера-концентратора

Файлы общих журналов, например файлы журнала отслеживания сообщений и журнала подключений. По умолчанию эти файлы находятся в подпапках в папке %ExchangeInstallPath%\TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| format-list *logpath*,*tracingpath*
Папки каталогов сообщений о раскладке и преобразовании. По умолчанию эти папки расположены в папке %ExchangeInstallPath%\TransportRoles. Чтобы определить используемые пути, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| fl *dir*path*
Файлы базы данных очереди роли транспортного сервера, контрольных точек и журнала. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\Queue. Дополнительные сведения см. в разделе Управление транспортными очередями.
Файлы базы данных репутации отправителя роли транспортного сервера, контрольных точек и журнала. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.
Файлы базы данных IP-фильтра роли транспортного сервера, контрольных точек и журнала. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\IpFilter.
Временные папки, которые используются для выполнения преобразований:
- По умолчанию преобразования содержимого выполняются на сервере Exchange в папке TMP.
- По умолчанию преобразования OLE выполняются в папке %ExchangeInstallPath%\Working\OleConvertor.
Все папки антивирусных программ, поддерживающих Exchange.

Роль пограничного транспортного сервера

Файлы базы данных службы облегченного доступа к каталогам Служба каталогов Active Directory (AD LDS) и журнала. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\Adam. Дополнительные сведения о файлах базы данных AD LDS см. в разделе Изменение конфигурации службы Active Directory облегченного доступа к каталогам.
Файлы общих журналов, например файлы журнала отслеживания сообщений. По умолчанию эти файлы находятся в подпапках в папке %ExchangeInstallPath%\TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните в командной консоли Exchange следующую команду: Get-TransportServer <servername> | format-list *logpath*,*tracingpath*
Папки сообщений раскладки и преобразования. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| format-list *dir*path*
Файлы базы данных очереди роли транспортного сервера, контрольных точек и журнала. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\Queue. Дополнительные сведения об очередях на транспортном сервере см. в разделе Управление транспортными очередями.
Файлы базы данных репутации отправителя роли транспортного сервера, контрольных точек и журнала. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.
Файлы базы данных IP-фильтра роли транспортного сервера, контрольных точек и журнала. По умолчанию они расположены в папке %ExchangeInstallPath%\TransportRoles\Data\IpFilter.
Временные папки, которые используются для выполнения преобразований:
- По умолчанию преобразования содержимого выполняются на сервере в папке TMP.
- По умолчанию преобразования OLE выполняются в папке %ExchangeInstallPath%\Working\OleConvertor.
Все папки антивирусных программ, поддерживающих Exchange.

Роль сервера клиентского доступа

Для серверов, на которых используются службы IIS 7.0, папка сжатия, используемая вместе с Microsoft Outlook Web App. По умолчанию папка сжатия для служб IIS 7.0 имеет следующий путь: %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.
Для серверов, на которых используются службы IIS 6.0, папка сжатия, используемая вместе с Microsoft Outlook Web App. По умолчанию папка сжатия для IIS 6.0 имеет следующий путь: %systemroot%\IIS Temporary Compressed Files. Дополнительные сведения о возможных ошибках, возникающих при сканировании папки сжатия IIS, см. в статье 817442 базы знаний Microsoft При включенном сжатии на сервере с запущенными службами IIS может быть возвращен файл размером 0 байт.
Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.
Inetpub\logs\logfiles\w3svc
Файлы, связанные с Интернетом, которые хранятся в подпапках папки %ExchangeInstallPath%\ClientAccess.
Для серверов, на которых включен вход в систему по протоколам POP3 или IMAP4, следующие папки:
- Папка POP3: %ExchangeInstallPath%\Logging\POP3
- Папка IMAP4: %ExchangeInstallPath%\Logging\IMAP4
Временные папки, которые используются для выполнения преобразований:
- По умолчанию преобразования содержимого выполняются на сервере в папке TMP.
- По умолчанию преобразования OLE выполняются в папке %ExchangeInstallPath%\Working\OleConvertor.

Роль сервера единой системы обмена сообщениями

Файлы грамматики для разных языковых стандартов, например en-EN или es-ES. По умолчанию они хранятся в подпапках папки %ExchangeInstallPath%\UnifiedMessaging\grammars.
Файлы голосовых приглашений, приветствий и информационных сообщений. По умолчанию они хранятся в подпапках папки %ExchangeInstallPath%\UnifiedMessaging\Prompts
Файлы голосовой почты, которые временно хранятся в папке %ExchangeInstallPath%\UnifiedMessaging\voicemail.
Временные файлы, создаваемые единой системой обмена сообщениями. По умолчанию они хранятся в папке %ExchangeInstallPath%\UnifiedMessaging\temp.

Microsoft Forefront Protection для Exchange

Папка установки Forefront. По умолчанию это папка %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\.
Любые архивные сообщения. По умолчанию они хранятся в папке %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive.
Любые помещенные на карантин файлы. По умолчанию они хранятся в папке %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine.
Файлы антивирусного ядра. По умолчанию они хранятся во вложенных папках %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86 или %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64.
Файлы конфигурации. По умолчанию они хранятся в папке %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data.

Исключения для процессов

Многие современные средства проверки на файловом уровне поддерживают проверку процессов, что может неблагоприятно повлиять на Microsoft Exchange, если сканируются неправильные процессы. Поэтому необходимо отключить проверку на файловом уровне для указанных ниже процессов.

Cdb.exe	Microsoft.Exchange.Search.Exsearch.exe
Cidaemon.exe	Microsoft.Exchange.Servicehost.exe
Clussvc.exe	MSExchangeADTopologyService.exe
Dsamain.exe	MSExchangeFDS.exe
EdgeCredentialSvc.exe	MSExchangeMailboxAssistants.exe
EdgeTransport.exe	MSExchangeMailboxReplication.exe
ExFBA.exe	MSExchangeMailSubmission.exe
GalGrammarGenerator.exe	MSExchangeRepl.exe
Inetinfo.exe	MSExchangeTransport.exe
Mad.exe	MSExchangeTransportLogSearch.exe
Microsoft.Exchange.AddressBook.Service.exe	MSExchangeThrottling.exe
Microsoft.Exchange.AntispamUpdateSvc.exe	Msftefd.exe
Microsoft.Exchange.ContentFilter.Wrapper.exe	Msftesql.exe
Microsoft.Exchange.EdgeSyncSvc.exe	OleConverter.exe
Microsoft.Exchange.Imap4.exe	Powershell.exe
Microsoft.Exchange.Imap4service.exe	SESWorker.exe
Microsoft.Exchange.Infoworker.Assistants.exe	SpeechService.exe
Microsoft.Exchange.Monitoring.exe	Store.exe
Microsoft.Exchange.Pop3.exe	TranscodingService.exe
Microsoft.Exchange.Pop3service.exe	UmService.exe
Microsoft.Exchange.ProtectedServiceHost.exe	UmWorkerProcess.exe
Microsoft.Exchange.RPCClientAccess.Service.exe	W3wp.exe

Если также развертывается система Forefront для Exchange Server, исключите следующие процессы.

Adonavsvc.exe	FscStatsServ.exe
FscController.exe	FscTransportScanner.exe
FscDiag.exe	FscUtility.exe
FscExec.exe	FsEmailPickup.exe
FscImc.exe	FssaClient.exe
FscManualScanner.exe	GetEngineFiles.exe
FscMonitor.exe	PerfmonitorSetup.exe
FscRealtimeScanner.exe	ScanEngineTest.exe
FscStarter.exe	SemSetup.exe

Исключения для расширений имен файлов

Кроме определенных каталогов и процессов, из проверки необходимо исключить перечисленные ниже расширения имен файлов, свойственные Exchange, в случае сбоя исключений каталогов или перемещения файлов из расположений по умолчанию.

Расширения, связанные с приложениями

.config
.dia
.wsb

Расширения, связанные с базами данных

.chk
.log
.edb
.jrs
.que

Расширения, связанные с автономной адресной книгой

.lzx

Расширения, связанные с индексами содержимого

.ci	.wid	.001
.dir	.000	.002

Расширения, связанные с единой системой обмена сообщениями

.cfg
.grxml

GroupMetrics

Forefront Protection для расширений, связанных с Exchange Server

.avc	.dt	.lst
.cab	.fdb	.mdb
.cfg	.fdm	.ppl
.config	.ide	.set
.da1	.key	.v3d
.dat	.klb	.vdb
.def	.kli	.vdm

Расширения имен файлов, перечисленные для Forefront Protection для Exchange Server, являются файлами сигнатур из различных антивирусных ядер с каталогами. В большинстве случаев эти расширения имен файлов не меняются, но они могут добавляться в будущем при обновлении файлов антивирусных сигнатур сторонними поставщиками антивирусных программ.