Exchange 服务器上的杀毒软件

本主题介绍文件级防病毒程序对运行 Microsoft Exchange Server 2013 的计算机的影响。如果按照本主题中所述的建议操作,可以帮助提高 Exchange 组织的安全性并改善运行状况。本文并不是讨论在 Exchange 服务器上使用什么杀毒软件合适,而是讨论在 Exchange 服务器中使用杀毒软件时有哪些注意事项,在 Exchange 服务器中使用杀毒软件如若遇到一些奇怪的问题,那么些文将对你非常有帮助。
文件级扫描程序经常使用。但是,如果配置不正确,可能会导致 Exchange 2013 出现问题。文件级扫描程序包括下列两种类型:
1)“驻留在内存中的文件级扫描”是指文件级防病毒软件中始终加载在内存中的部分。该部分检查硬盘上以及计算机内存中使用的所有文件。
2)“按需运行的文件级扫描”是指文件级防病毒软件中可以配置为手动或按计划扫描硬盘上的文件的部分。某些版本的防病毒软件会在病毒定义更新后自动开始按需运行的扫描,以确保使用最新的定义扫描所有文件。
在 Exchange 2013 中使用文件级扫描程序时可能会出现下列问题:
1)文件级扫描程序可能会在文件正在使用时扫描文件,也可能按计划的间隔扫描文件。这样可能会造成 Exchange 2013 尝试使用文件时,扫描程序锁定或隔离了相应的 Exchange 日志文件或数据库文件。此行为可能会导致 Exchange 2013 的严重故障,还可能会导致 -1018 事件日志错误。
2)文件级扫描程序无法抵御电子邮件病毒(例如 Storm Worm)的攻击。Storm Worm 是通过电子邮件传播的后门特洛伊木马程序。这种蠕虫将受感染的计算机连接到僵尸网络,在这种网络中,计算机用于周期性、突发性地发送垃圾邮件。

在 Exchange 2013 中使用文件级扫描的建议

如果要在 Exchange 2013 服务器上部署文件级扫描程序,请确保为按内存驻留扫描和文件级扫描设置适当的排除规则(例如目录排除、进程排除和文件扩展名排除)。本节介绍建议的目录排除、进程排除和文件扩展名排除。

目录排除

必须为运行文件级防病毒扫描程序的每个 Exchange 服务器排除特定的目录。本节介绍应从文件级扫描中排除的目录。

1)邮箱服务器

a、邮箱数据库
–Exchange 数据库、检查点文件和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%Mailbox 文件夹的子文件夹中。若要确定邮箱数据库、事务日志文件和检查点文件的位置,请运行以下命令:Get-MailboxDatabase -Server <servername>| Format-List *path*
–数据库内容索引。默认情况下,这些文件与数据库文件位于同一文件夹中。
–组指标文件。默认情况下,这些文件位于 %ExchangeInstallPath%GroupMetrics 文件夹中。
–常用的日志文件,例如邮件跟踪日志文件和日历修复日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs 文件夹和 %ExchangeInstallPath%Logging 文件夹的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令: Get-MailboxServer <servername> | Format-List *path*
–脱机通讯簿文件。默认情况下,这些文件位于 %ExchangeInstallPath%ClientAccess\OAB 文件夹下的子文件夹中。
%SystemRoot%\System32\Inetsrv 文件夹中的 IIS 系统文件。
–邮箱数据库临时文件夹:%ExchangeInstallPath%Mailbox\MDBTEMP
b、数据库可用性组的成员
–“邮箱数据库”列表中列出的所有项目以及 %Windir%\Cluster 中存在的群集仲裁数据库。
–见证目录文件。这些文件位于环境中的其他服务器上,通常是未与邮箱服务器安装在同一台计算机上的客户端访问服务器。默认情况下,见证目录文件位于 %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN> 中。
c、传输服务
–日志文件,例如邮件跟踪和连接日志。默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs 文件夹的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令: Get-TransportService <servername> | Format-List *logpath*,*tracingpath*
–分拣和重播消息目录文件夹。默认情况下,这些文件夹位于 %ExchangeInstallPath%TransportRoles 文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:Get-TransportService <servername>| fl *dir*path*
–队列数据库、检查点和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Data\Queue 文件夹中。
–发件人信誉数据库、检查点和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Data\SenderReputation 文件夹中。
–用于执行转换的临时文件夹:
—-默认情况下,在 Exchange 服务器的 %TMP% 文件夹中执行内容转换。
—-默认情况下,在 %ExchangeInstallPath%Working\OleConvertor 文件夹中执行 OLE 转换。
–内容扫描组件由恶意软件代理和数据丢失预防 (DLP) 使用。默认情况下,这些文件位于 %ExchangeInstallPath%FIP-FS 文件夹中。
d、邮箱传输服务
–日志文件,例如连接日志。默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs\Mailbox 文件夹的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令: Get-MailboxTransportService <servername> | Format-List *logpath*
e、统一消息
–不同区域的语法文件,例如 en-EN 或 es-ES。默认情况下,这些文件存储在 %ExchangeInstallPath%UnifiedMessaging\grammars 文件夹的子文件夹中。
–语音提示、问候语和信息性消息文件。默认情况下,这些文件存储在 %ExchangeInstallPath%UnifiedMessaging\Prompts 文件夹的子文件夹中
–暂时存储在 %ExchangeInstallPath%UnifiedMessaging\voicemail 文件夹中的语音邮件文件。
–统一消息生成的临时文件。默认情况下,这些文件存储在 %ExchangeInstallPath%UnifiedMessaging\temp 文件夹中。

2、客户端访问服务器

a、Web 组件
–对于使用 Internet 信息服务 (IIS) 7.0 的服务器,用于 Microsoft Outlook Web App 的压缩文件夹。默认情况下,IIS 7.0 的压缩文件夹的路径是 %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files。
–%SystemRoot%\System32\Inetsrv 文件夹中的 IIS 系统文件
Inetpub\logs\logfiles\w3svc
b、POP3 和 IMAP4 协议日志记录
–POP3 文件夹:%ExchangeInstallPath%Logging\POP3
–IMAP4 文件夹:%ExchangeInstallPath%Logging\IMAP4
c、前端传输服务
–日志文件,例如连接日志和协议日志。默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs\FrontEnd 文件夹的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令: Get-FrontEndTransportService <servername> | Format-List *logpath*
在 Exchange 2013 中使用文件级扫描的建议

进程排除

现在,许多文件级扫描程序都支持进程扫描,如果扫描错误进程,可能对 Microsoft Exchange 带来负面影响。因此,应从文件级扫描程序中排除下列进程。
Exchange 服务器上的杀毒软件 进程排除

文件扩展名排除

除了排除特定的目录和进程之外,如果目录排除失败或已从默认位置移动文件,则应排除下列特定于 Exchange 的文件扩展名。
与应用程序有关的扩展名:
.config
.dia
.wsb
与数据库有关的扩展名:
.chk
.edb
.jrs
.jsl
.log
.que
与脱机通讯簿有关的扩展名:
.lzx
与内容索引有关的扩展名:
.ci
.dir
.wid
.000
.001
.002
与统一消息有关的扩展名:
.cfg
.grxml
与组指标有关的扩展名:
.dsc
.txt
Latest posts by Exchange中文站 (see all)
发布于: 浏览:6761 次

还没有评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据