Software antivirus en el sistema operativo de servidores Exchange
Se aplica a: Exchange Server 2013
En este tema se describen los efectos de los programas antivirus de nivel de archivo en equipos que ejecutan Microsoft Exchange Server 2013. Si implementa las recomendaciones descritas en este tema, puede ayudar a mejorar la seguridad y el estado de la organización de Exchange.
Los escáneres de nivel de archivo se usan con frecuencia. Sin embargo, si están configurados incorrectamente, pueden causar problemas en Exchange 2013. Hay dos tipos de escáneres de nivel de archivo:
El examen de nivel de archivo residente en memoria hace referencia a una parte del software antivirus de nivel de archivo que se carga en la memoria en todo momento. Comprueba todos los archivos que se usan en el disco duro y en la memoria del equipo.
El examen a nivel de archivo a petición hace referencia a una parte del software antivirus de nivel de archivo que puede configurar para examinar archivos en el disco duro manualmente o según una programación. Algunas versiones del software antivirus inician el examen a petición automáticamente después de actualizar las firmas de virus para asegurarse de que todos los archivos se examinan con las firmas más recientes.
Los siguientes problemas pueden producirse cuando se usan escáneres de nivel de archivo con Exchange 2013:
Los escáneres de nivel de archivo pueden examinar un archivo cuando se usa el archivo o en un intervalo programado. Esto puede hacer que los escáneres bloqueen o pongan en cuarentena un registro de Exchange o un archivo de base de datos mientras Exchange 2013 intenta usar el archivo. Este comportamiento puede provocar un error grave en Exchange 2013 y también puede provocar errores de registro de eventos -1018.
Los escáneres de nivel de archivo no proporcionan protección contra virus de correo electrónico, como Storm Worm. Storm Worm era un programa de caballo de Troya de puerta trasera que se propagaba a través de mensajes de correo electrónico. El gusano unió el equipo infectado a una botnet, donde el equipo se usó para enviar correo no deseado en ráfagas periódicas.
Recomendaciones para usar el examen de nivel de archivo con Exchange 2013
Si va a implementar analizadores de nivel de archivo en servidores de Exchange 2013, asegúrese de que las exclusiones adecuadas, como exclusiones de directorios, exclusiones de procesos y exclusiones de extensiones de nombre de archivo, estén en su lugar para el examen de nivel de archivo y residente en memoria. En esta sección se describen las exclusiones de directorios recomendadas, las exclusiones de procesos y las exclusiones de extensiones de nombre de archivo.
Exclusiones de directorios
Debe excluir directorios específicos para cada servidor de Exchange en el que ejecute un analizador antivirus de nivel de archivo. En esta sección se describen los directorios que debe excluir del examen de nivel de archivo.
Servidores de buzones de correo
Bases de datos de buzones de correo
Archivos de bases de datos, de punto de control y de registro de Exchange. De forma predeterminada, se encuentran en subcarpetas en la carpeta %ExchangeInstallPath%Mailbox. Para determinar la ubicación de una base de datos de buzón de correo, un registro de transacciones y un archivo de punto de control, ejecute el siguiente comando:
Get-MailboxDatabase -Server <servername>| Format-List *path*Índices de contenido de base de datos. De forma predeterminada, se encuentran en la misma carpeta que el archivo de base de datos.
Archivos de métricas de grupo. De forma predeterminada, estos archivos se encuentran en la carpeta %ExchangeInstallPath%GroupMetrics.
Archivos de registro generales, como el seguimiento de mensajes y los archivos de registro de reparación de calendario. De forma predeterminada, estos archivos se encuentran en subcarpetas en la carpeta %ExchangeInstallPath%TransportRoles\Logs y en la carpeta %ExchangeInstallPath%Logging. Para determinar las rutas de acceso de registro que se usan, ejecute el siguiente comando en el Shell de administración de Exchange:
Get-MailboxServer <servername> | Format-List *path*Los archivos de libreta de direcciones sin conexión. De forma predeterminada, se encuentran en subcarpetas en la carpeta %ExchangeInstallPath%ClientAccess\OAB.
Archivos del sistema IIS en la carpeta %SystemRoot%\System32\Inetsrv.
Carpeta temporal de la base de datos de buzones: %ExchangeInstallPath%Mailbox\MDBTEMP
Miembros de grupos de disponibilidad de base de datos
Todos los elementos enumerados en la lista bases de datos de buzón y la base de datos de cuórum de clúster que existe en %Windir%\Cluster.
Los archivos de directorio de testigos. Estos archivos se encuentran en otro servidor del entorno, normalmente un servidor de acceso de cliente que no está instalado en el mismo equipo que un servidor de buzones. De forma predeterminada, los archivos de directorio testigo se encuentran en %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>.
Servicio de transporte
Archivos de registro, por ejemplo, registros de conectividad y seguimiento de mensajes. De forma predeterminada, estos archivos se encuentran en subcarpetas en la carpeta %ExchangeInstallPath%TransportRoles\Logs. Para determinar las rutas de acceso de registro que se usan, ejecute el siguiente comando en el Shell de administración de Exchange:
Get-TransportService <servername> | Format-List *logpath*,*tracingpath*Carpetas de directorio de mensajes de recogida y reproducción. De forma predeterminada, estas carpetas se encuentran en la carpeta %ExchangeInstallPath%TransportRoles. Para determinar las rutas de acceso que se usan, ejecute el siguiente comando en el Shell de administración de Exchange:
Get-TransportService <servername>| Format-List *dir*path*Bases de datos de cola, puntos de control y archivos de registro. De forma predeterminada, se encuentran en la carpeta %ExchangeInstallPath%TransportRoles\Data\Queue.
La base de datos de reputación del remitente, el punto de control y los archivos de registro. De forma predeterminada, se encuentran en la carpeta %ExchangeInstallPath%TransportRoles\Data\SenderReputation.
Las carpetas temporales que se usan para realizar conversiones:
De forma predeterminada, las conversiones de contenido se realizan en la carpeta %TMP% del servidor Exchange.
De forma predeterminada, el formato de texto enriquecido (RTF) a las conversiones MIME/HTML se realiza en la carpeta %ExchangeInstallPath%Working\OleConverter.
El agente de malware y la prevención de pérdida de datos (DLP) usan el componente de examen de contenido. De forma predeterminada, estos archivos se encuentran en la carpeta %ExchangeInstallPath%FIP-FS.
Servicio de transporte de buzones
- Archivos de registro, por ejemplo, registros de conectividad. De forma predeterminada, estos archivos se encuentran en subcarpetas en la carpeta %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Para determinar las rutas de acceso de registro que se usan, ejecute el siguiente comando en el Shell de administración de Exchange:
Get-MailboxTransportService <servername> | Format-List *logpath*
- Archivos de registro, por ejemplo, registros de conectividad. De forma predeterminada, estos archivos se encuentran en subcarpetas en la carpeta %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Para determinar las rutas de acceso de registro que se usan, ejecute el siguiente comando en el Shell de administración de Exchange:
Mensajería unificada
Los archivos gramaticales de diferentes configuraciones regionales, por ejemplo, en-EN o es-ES. De forma predeterminada, se almacenan en las subcarpetas de la carpeta %ExchangeInstallPath%UnifiedMessaging\grammars.
Mensajes de voz, saludos y archivos de mensajes informativos. De forma predeterminada, se almacenan en las subcarpetas de la carpeta %ExchangeInstallPath%UnifiedMessaging\Prompts.
Los archivos de correo de voz que se almacenan temporalmente en la carpeta %ExchangeInstallPath%UnifiedMessaging\voicemail.
Archivos temporales generados por mensajería unificada. De forma predeterminada, se almacenan en la carpeta %ExchangeInstallPath%UnifiedMessaging\temp.
Instalación
- Exchange Server configurar archivos temporales. Estos archivos se encuentran normalmente en %SystemRoot%\Temp\ExchangeSetup.
Exchange servicio Search
- Archivos temporales usados por el servicio de búsqueda de Exchange y Microsoft Filter Pack para realizar la conversión de archivos en un entorno de espacio aislado. Estos archivos se encuentran en %SystemRoot%\Temp\OICE_\<GUID>\.
Servidores de acceso de cliente
Componentes web
Para los servidores que usan Internet Information Services (IIS) 7.0, la carpeta de compresión que se usa con Microsoft Outlook Web App. De forma predeterminada, la carpeta de compresión de IIS 7.0 se encuentra en %SystemDrive%\inetpub\temp\ARCHIVOS comprimidos temporales de IIS.
Archivos del sistema IIS en la carpeta %SystemRoot%\System32\Inetsrv
Inetpub\logs\logfiles\w3svc
Subcarpetas en %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
Registro de protocolos POP3 e IMAP4
Carpeta POP3: %ExchangeInstallPath%Logging\POP3
Carpeta IMAP4: %ExchangeInstallPath%Logging\IMAP4
Servicio de transporte de front-end
- Archivos de registro, por ejemplo, registros de conectividad y registros de protocolo. De forma predeterminada, estos archivos se encuentran en subcarpetas en la carpeta %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Para determinar las rutas de acceso de registro que se usan, ejecute el siguiente comando en el Shell de administración de Exchange:
Get-FrontEndTransportService <servername> | Format-List *logpath*
- Archivos de registro, por ejemplo, registros de conectividad y registros de protocolo. De forma predeterminada, estos archivos se encuentran en subcarpetas en la carpeta %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Para determinar las rutas de acceso de registro que se usan, ejecute el siguiente comando en el Shell de administración de Exchange:
Instalación
- Exchange Server configurar archivos temporales. Estos archivos se encuentran normalmente en %SystemRoot%\Temp\ExchangeSetup.
Exclusiones de procesos
Muchos escáneres de nivel de archivo ahora admiten el examen de procesos, lo que puede afectar negativamente a Microsoft Exchange si se examinan los procesos incorrectos. Por lo tanto, debe excluir los siguientes procesos de los escáneres de nivel de archivo.
| Proceso | Path | Comentarios | Servidores |
|---|---|---|---|
| Dsamain.exe | %SystemRoot%\System32 | Servicios de directorio ligero de Active Directory (AD LDS) en servidores de transporte perimetral suscritos. | Servidores de transporte perimetral |
| EdgeTransport.exe | %ExchangeInstallPath%Bin | Proceso de trabajo del servicio de transporte de Microsoft Exchange | Servidores de buzones de correo Servidores de transporte perimetral |
| fms.exe | %ExchangeInstallPath%FIP-FS\Bin | Componente de exploración de contenido que usan el agente de malware y DLP. | Servidores de buzones de correo |
| hostcontrollerservice.exe | %ExchangeInstallPath%Bin\Search\Ceres\HostController | Servicio de controlador de host de búsqueda de Microsoft Exchange (HostControllerService) | Servidores de buzones de correo servidores de acceso de cliente |
| inetinfo.exe | %SystemRoot%\System32\inetsrv | Internet Information Services (IIS) | Servidores de buzones de correo servidores de acceso de cliente |
| Microsoft.Exchange.AntispamUpdateSvc.exe | %ExchangeInstallPath%Bin | Servicio de actualización contra correo no deseado de Microsoft Exchange (MSExchangeAntispamUpdate) | Servidores de buzones de correo Servidores de transporte perimetral |
| Microsoft.Exchange.ContentFilter.Wrapper.exe | %ExchangeInstallPath%TransportRoles\agents\Hygiene | Agente de filtro de contenido | Servidores de buzones de correo Servidores de transporte perimetral |
| Microsoft.Exchange.Diagnostics.Service.exe | %ExchangeInstallPath%Bin | Servicio de diagnóstico de Microsoft Exchange (MSExchangeDiagnostics) | Servidores de buzones de correo servidores de acceso de cliente Servidores de transporte perimetral |
| Microsoft.Exchange.Directory.TopologyService.exe | %ExchangeInstallPath%Bin | Servicio de topología de Active Directory de Microsoft Exchange (MSExchangeADTopology) | Servidores de buzones de correo servidores de acceso de cliente |
| Microsoft.Exchange.EdgeCredentialSvc.exe | %ExchangeInstallPath%Bin | Servicio de credenciales de Microsoft Exchange (MSExchangeEdgeCredential) | Servidores de transporte perimetral |
| Microsoft.Exchange.EdgeSyncSvc.exe | %ExchangeInstallPath%Bin | Servicio EdgeSync de Microsoft Exchange (MSExchangeEdgeSync) | Servidores de buzones de correo |
| Microsoft.Exchange.Imap4.exe | ExchangeInstallPath%FrontEnd\PopImap | Servicio IMAP4 de Microsoft Exchange (MSExchangeImap4) | servidores de acceso de cliente |
| Microsoft.Exchange.Imap4service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Servicio de back-end de IMAP4 de Microsoft Exchange (MSExchangeIMAP4BE) | Servidores de buzones de correo |
| Microsoft.Exchange.Pop3.exe | %ExchangeInstallPath%FrontEnd\PopImap | Servicio POP3 de Microsoft Exchange (MSExchangePop3) | servidores de acceso de cliente |
| Microsoft.Exchange.Pop3service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Servicio back-end de POP3 de Microsoft Exchange (MSExchangePOP3BE) | Servidores de buzones de correo |
| Microsoft.Exchange.ProtectedServiceHost.exe | %ExchangeInstallPath%Bin | Servicio de host de servicios de Microsoft Exchange (MSExchangeServiceHost) | Servidores de buzones de correo servidores de acceso de cliente Servidores de transporte perimetral |
| Microsoft.Exchange.RPCClientAccess.Service.exe | %ExchangeInstallPath%Bin | Servicio de acceso de cliente de RPC de Microsoft Exchange (MSExchangeRPC) | Servidores de buzones de correo |
| Microsoft.Exchange.Search.Service.exe | %ExchangeInstallPath%Bin | Servicio de búsqueda de Microsoft Exchange (MSExchangeFastSearch) | Servidores de buzones de correo |
| Microsoft.Exchange.Servicehost.exe | %ExchangeInstallPath%Bin | Servicio de host de servicios de Microsoft Exchange (MSExchangeServiceHost) | Servidores de buzones de correo servidores de acceso de cliente Servidores de transporte perimetral |
| Microsoft.Exchange.Store.Service.exe | %ExchangeInstallPath%Bin | Servicio Almacén de información de Microsoft Exchange (MSExchangeIS) | Servidores de buzones de correo |
| Microsoft.Exchange.Store.Worker.exe | %ExchangeInstallPath%Bin | Proceso de trabajo del servicio Almacén de información de Microsoft Exchange | Servidores de buzones de correo |
| Microsoft.Exchange.UM.CallRouter.exe | %ExchangeInstallPath%FrontEnd\CallRouter | Servicio de enrutador de llamadas de mensajería unificada de Microsoft Exchange (MSExchangeUMCR) | servidores de acceso de cliente |
| MSExchangeDagMgmt.exe | %ExchangeInstallPath%Bin | Servicio de administración de DAG de Microsoft Exchange (MSExchangeDagMgmt) | Servidores de buzones de correo |
| MSExchangeDelivery.exe | %ExchangeInstallPath%Bin | Servicio de entrega de transporte de buzones de Microsoft Exchange (MSExchangeDelivery) | Servidores de buzones de correo |
| MSExchangeFrontendTransport.exe | %ExchangeInstallPath%Bin | Servicio de transporte front-end de Microsoft Exchange (MSExchangeFrontEndTransport) | servidores de acceso de cliente |
| MSExchangeHMHost.exe | %ExchangeInstallPath%Bin | Servicio de administrador de mantenimiento de Microsoft Exchange (MSExchangeHM) | Servidores de buzones de correo servidores de acceso de cliente Servidores de transporte perimetral |
| MSExchangeHMWorker.exe | %ExchangeInstallPath%Bin | Proceso de trabajo del servicio de administrador de mantenimiento de Microsoft Exchange | Servidores de buzones de correo servidores de acceso de cliente Servidores de transporte perimetral |
| MSExchangeMailboxAssistants.exe | %ExchangeInstallPath%Bin | Servicio Asistentes de buzón de Microsoft Exchange (MSExchangeMailboxAssistants) | Servidores de buzones de correo |
| MSExchangeMailboxReplication.exe | %ExchangeInstallPath%Bin | Servicio de replicación de buzones de Microsoft Exchange (MSExchangeMailboxReplication) | Servidores de buzones de correo |
| MSExchangeMigrationWorkflow.exe | %ExchangeInstallPath%Bin | Servicio de flujo de trabajo de migración de Microsoft Exchange (MSExchangeMigrationWorkflow) | Servidores de buzones de correo |
| MSExchangeRepl.exe | %ExchangeInstallPath%Bin | Servicio de replicación de Microsoft Exchange (MSExchangeRepl) | Servidores de buzones de correo |
| MSExchangeSubmission.exe | %ExchangeInstallPath%Bin | Servicio de envío de transporte de buzones de Microsoft Exchange (MSExchangeSubmission) | Servidores de buzones de correo |
| MSExchangeTransport.exe | %ExchangeInstallPath%Bin | Servicio de transporte de Microsoft Exchange (MSExchangeTransport) | Servidores de buzones de correo Servidores de transporte perimetral |
| MSExchangeTransportLogSearch.exe | %ExchangeInstallPath%Bin | Servicio de búsqueda de registros de transporte de Microsoft Exchange (MSExchangeTransportLogSearch) | Servidores de buzones de correo Servidores de transporte perimetral |
| MSExchangeThrottling.exe | %ExchangeInstallPath%Bin | Servicio de limitación de peticiones de Microsoft Exchange (MSExchangeThrottling) | Servidores de buzones de correo |
| Noderunner.exe | %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 | Servicio de búsqueda de Microsoft Exchange (MSExchangeFastSearch) | Servidores de buzones de correo |
| OleConverter.exe | %ExchangeInstallPath%Bin | Convierte los mensajes de formato de texto enriquecido (RTF) a MIME/HTML para los destinatarios externos. | Servidores de buzones de correo |
| ParserServer.exe | %ExchangeInstallPath%Bin\Search\Ceres\ParserServer | Servicio de búsqueda de Microsoft Exchange (MSExchangeFastSearch) | Servidores de buzones de correo |
| Powershell.exe | C:\Windows\System32\WindowsPowerShell\v1.0 | Shell de administración de Exchange | Servidores de buzones de correo servidores de acceso de cliente Servidores de transporte perimetral |
| ScanEngineTest.exe | %ExchangeInstallPath%FIP-FS\Bin | Componente de exploración de contenido que usan el agente de malware y DLP. | Servidores de buzones de correo |
| ScanningProcess.exe | %ExchangeInstallPath%FIP-FS\Bin | Componente de exploración de contenido que usan el agente de malware y DLP. | Servidores de buzones de correo |
| TranscodingService.exe | %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing | Visualización de documentos webReady en Outlook Web App. | Servidores de buzones de correo |
| UmService.exe | %ExchangeInstallPath%Bin | Servicio Mensajería unificada de Microsoft Exchange (MSExchangeUM) | Servidores de buzones de correo |
| UmWorkerProcess.exe | %ExchangeInstallPath%Bin | Proceso de trabajo del servicio de mensajería unificada de Microsoft Exchange | Servidores de buzones de correo |
| UpdateService.exe | %ExchangeInstallPath%FIP-FS\Bin | Componente de exploración de contenido que usan el agente de malware y DLP. | Servidores de buzones de correo |
| W3wp.exe | %SystemRoot%\System32\inetsrv | Internet Information Services (IIS) | Servidores de buzones de correo servidores de acceso de cliente |
Exclusiones de extensiones de nombres de archivo
Además de excluir directorios y procesos específicos, debe excluir las siguientes extensiones de nombre de archivo específicas de Exchange en caso de que se produzcan errores en las exclusiones de directorios o se muevan archivos de sus ubicaciones predeterminadas.
Extensiones relacionadas con la aplicación:
- .config
- .Diámetro
- .Wsb
Extensiones relacionadas con la base de datos:
- .Chk
- .Edb
- .Jrs
- .Jsl
- .Registro
- .que
Extensiones relacionadas con la libreta de direcciones sin conexión:
- .Lzx
Extensiones relacionadas con el índice de contenido:
- .Ci
- .Dir
- .Wid
- .000
- .001
- .002
Extensiones relacionadas con la mensajería unificada:
- .Cfg
- .grxml
Extensiones relacionadas con métricas de grupo:
- .Dsc
- .txt