В этом разделе объясняются действия антивирусных программ, работающих на файловом уровне, на компьютерах с Microsoft Exchange Server 2007. Рекомендации, описанные в этом разделе, позволяют улучшить безопасность и работоспособность организации Exchange.

Средства проверки на файловом уровне широко используются. Тем не менее их неправильная настройка может привести к проблемам в Exchange 2007.

Существует два типа средств проверки на файловом уровне.

Ниже описаны проблемы, которые могут возникать при использовании средств проверки на файловом уровне в Exchange 2007.

Рекомендации для Exchange Server 2007

При развертывании средств проверки на файловом уровне на серверах Exchange 2007 убедитесь в наличии соответствующих исключений, таких как исключения для каталогов, процессов и расширений имен файлов, для запланированных проверок и проверок в режиме реального времени. В этом разделе описаны исключения для каталогов, процессов и расширений имен файлов для каждого сервера или роли сервера.

Исключения для каталогов

Необходимо задать исключения для отдельных каталогов для каждого сервера или роли сервера Exchange, на которых запущено средство поиска вирусов на файловом уровне. В этом разделе описаны каталоги, для которых необходимо отключить проверку на файловом уровне, для каждого сервера или роли сервера.

Роль сервера почтовых ящиков
  • Базы данных, файлы контрольных точек и файлы журналов Exchange для всех групп хранения. По умолчанию они находятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\Mailbox. Чтобы определить расположение каталога, выполните следующие команды в командной консоли Exchange:

    • Чтобы определить расположение журнала транзакций и файла контрольных точек, выполните следующую команду: Get-StorageGroup -server <servername>| fl *path*

    • Чтобы определить расположение базы данных почтовых ящиков, выполните следующую команду: Get-MailboxDatabase -server <servername>| fl *path*

    • Чтобы определить расположение базы данных общих папок, выполните следующую команду: Get-PublicFolderDatabase -server <servername>| fl *path*

  • Индексы содержимого баз данных. По умолчанию они находятся во вложенных папках группы хранения в папке %Program Files%\Microsoft\Exchange Server\Mailbox.

  • Файлы общих журналов, например файлы журнала отслеживания сообщений. Эти файлы находятся во вложенных папках папок %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs и %Program Files%\Microsoft\Exchange Server\Logging. Чтобы определить используемые пути к журналам, выполните в командной консоли Exchange следующую команду: Get-MailboxServer <servername>| fl *path*

  • Файлы автономной адресной книги, которые находятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\ExchangeOAB.

  • Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.

  • Временная папка, которая используется автономными программами обслуживания, такими как Eseutil.exe. По умолчанию это папка, из которой запускается EXE-файл программы. Тем не менее можно настроить папку для выполнения этой операции при запуске программы.

  • Временные папки, которые используются для выполнения преобразований:

    • преобразования содержимого выполняются в папке TMP сервера;

    • преобразования OLE выполняются в папке %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.

    • Временная папка базы данных почтовых ящиков: %Program Files%\Microsoft\Exchange Server\Mailbox\MDBTEMP

  • Все папки антивирусных программ, поддерживающих Exchange.

Кластерный сервер почтовых ящиков

Все папки, перечисленные для роли сервера почтовых ящиков, а также следующие:

  • диск кворума и папка %Winnt%\Cluster;

  • файловый ресурс-свидетель (расположен на другом сервере в среде, обычно на транспортном сервере-концентраторе).

Роль транспортного сервера-концентратора
  • Файлы общих журналов, например файлы журнала отслеживания сообщений. Эти файлы находятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| fl *logpath*,*tracingpath*

  • Папки сообщений, которые находятся в папке %Program Files%\Microsoft\Exchange Server\TransportRoles. Чтобы определить используемые пути, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| fl *dir*path* 

  • База данных очереди роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Дополнительные сведения о том, как определить расположение каталога, если файлы базы данных очереди были перемещены из папки по умолчанию, см. в разделе Работа с базой данных очереди на транспортных серверах.

  • База данных репутации отправителей роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

  • База данных IP-фильтров роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

  • Временные папки, которые используются для выполнения преобразований:

    • преобразования содержимого выполняются в папке TMP сервера;

    • преобразования OLE выполняются в папке %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.

  • Все папки антивирусных программ, поддерживающих Exchange.

Роль пограничного транспортного сервера
  • База данных ADAM и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Adam. Дополнительные сведения о том, как определить расположение каталога, если файлы базы данных ADAM были перемещены из папки по умолчанию, см. в разделе Инструкции по изменению настройки ADAM.

  • Файлы общих журналов, например файлы журнала отслеживания сообщений. Эти файлы находятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консолиExchange: Get-TransportServer <servername>| fl *logpath*,*tracingpath*

  • Папки сообщений, которые находятся в папке %Program Files%\Microsoft\Exchange Server\TransportRoles. Чтобы определить используемые пути к журналам, выполните следующую команду в командной консоли Exchange: Get-TransportServer <servername>| fl *dir*path* 

  • База данных очереди роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Дополнительные сведения о том, как определить расположение каталога, если файлы базы данных очереди были перемещены из папки по умолчанию, см. в разделе Работа с базой данных очереди на транспортных серверах.

  • База данных репутации отправителей роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

  • База данных IP-фильтров роли транспортного сервера, файлы контрольных точек и файлы журнала, которые расположены в папке %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

  • Временные папки, которые используются для выполнения преобразований:

    • преобразования содержимого выполняются в папке TMP сервера;

    • преобразования OLE выполняются в папке %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.

  • Все папки антивирусных программ, поддерживающих Exchange.

Роль сервера клиентского доступа
  • Папка сжатия IIS 6.0, которая используется с Microsoft Outlook Web Access. По умолчанию папка сжатия в IIS 6.0 имеет следующий путь: %systemroot%\IIS Temporary Compressed Files.

    Дополнительные сведения см. в статье базы знаний Майкрософт IIS 6.0: поиск вирусов в каталоге сжатия IIS может приводить к получению файла размером 0 байт (на английском языке).

  • Системные файлы IIS в папке %SystemRoot%\System32\Inetsrv.

  • Файлы, связанные с Интернетом, которые хранятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\ClientAccess.

  • Временная папка, которая используется для преобразования содержимого. По умолчанию используется папка TMP сервера.

Роль сервера единой системы обмена сообщениями
  • Файлы грамматики, которые хранятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\grammars.

  • Голосовые приглашения, которые хранятся во вложенных папках папки %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\Prompts.

  • Файлы голосовой почты, которые хранятся в папке %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\voicemail.

  • Файлы голосовой почты с ошибками, которые хранятся в папке %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail.

Microsoft ForeFront Security для Exchange Server
  • Архивы сообщений, которые хранятся в папке %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Archive.

  • Файлы, помещенные на карантин, которые хранятся в папке %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine.

  • Файлы антивирусного ядра, которые хранятся во вложенных папках папки %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86.

  • Файлы конфигурации, которые хранятся в папке %Program Files%\Microsoft ForeFront Security\Exchange Server\Data.

Microsoft ForeFront Security для Exchange Server в кластерах с единым хранилищем

Кроме каталогов, содержащих файлы антивирусного ядра и файлы конфигурации, исключите каталог общего хранилища, используемый для хранения данных ForeFront.

Чтобы определить путь, используемый решением ForeFront в кластере с единым хранилищем, узнайте значение следующего параметра реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath

Неправильное изменение реестра может вызвать серьезные неполадки, требующие переустановки операционной системы. Корпорация Майкрософт не гарантирует разрешения неполадок, вызванных неправильным изменением реестра. Перед изменением реестра создайте резервную копию всех важных данных. 

Исключения для процессов

Многие современные средства проверки на файловом уровне поддерживают проверку процессов. Проверка неправильных процессов также может негативно повлиять на Microsoft Exchange. Поэтому необходимо отключить проверку на файловом уровне для указанных ниже процессов.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

Msexchangeadtopologyservice.exe

Dsamain.exe

Msexchangefds.exe

Edgecredentialsvc.exe

Msexchangemailboxassistants.exe

Edgetransport.exe

Msexchangemailsubmission.exe

Galgrammargenerator.exe

Msexchangetransport.exe

Inetinfo.exe

Msexchangetransportlogsearch.exe

Mad.exe

Msftefd.exe

Microsoft.Exchange.Antispamupdatesvc.exe

Msftesql.exe

Microsoft.Exchange.Contentfilter.Wrapper.exe

Oleconverter.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Powershell.exe

Microsoft.Exchange.Edgesyncsvc.exe

Sesworker.exe

Microsoft.Exchange.Imap4.exe

Speechservice.exe

Microsoft.Exchange.Imap4service.exe

Store.exe

Microsoft.Exchange.Infoworker.Assistants.exe

Transcodingservice.exe

Microsoft.Exchange.Monitoring.exe

Umservice.exe

Microsoft.Exchange.Pop3.exe

Umworkerprocess.exe

Microsoft.Exchange.Pop3service.exe

W3wp.exe

При развертывании ForeFront Security для Exchange Server также необходимо исключить из проверки следующие процессы:

Adonavsvc.exe

Fscstatsserv.exe

Fsccontroller.exe

Fsctransportscanner.exe

Fscdiag.exe

Fscutility.exe

Fscexec.exe

Fsemailpickup.exe

Fscimc.exe

Fssaclient.exe

Fscmanualscanner.exe

Getenginefiles.exe

Fscmonitor.exe

Perfmonitorsetup.exe

Fscrealtimescanner.exe

Scanenginetest.exe

Fscstarter.exe

Semsetup.exe

Исключения для расширений имен файлов

Кроме исключения из проверки определенных каталогов и процессов в качестве меры безопасности на случай ошибки исключений для каталогов или перемещения файлов необходимо исключить из проверки перечисленные ниже расширения имен файлов, свойственные Exchange.

Расширения, связанные с приложениями
  • .config

  • .dia

  • .wsb

Расширения, связанные с базами данных
  • .chk

  • .log

  • .edb

  • .jrs

  • .que

Расширения, связанные с автономной адресной книгой
  • .lzx

Расширения, связанные с индексами содержимого

.ci

.wid

.001

.dir

.000

.002

Расширения, связанные с единой системой обмена сообщениями
  • .cfg

  • .grxml

Расширения, связанные с ForeFront Security для Exchange Server 

.avc

.dt

.lst

.cab

.fdb

.mdb

.cfg

.fdm

.ppl

.config

.ide

.set

.da1

.key

.v3d

.dat

.klb

.vdb

.def

.kli

.vdm

Расширения имен файлов, связанные с ForeFront Security для  Exchange Server, — это расширения файлов сигнатур для различных антивирусных ядер. В большинстве случаев эти расширения имен файлов не меняются, но они могут добавляться в будущем при обновлении файлов антивирусных сигнатур сторонними поставщиками антивирусных программ.