Exchange 服务器上操作系统中的防病毒软件
适用于:Exchange Server 2013
本主题介绍文件级防病毒程序对运行 Microsoft Exchange Server 2013 的计算机的影响。 如果实施本主题中所述的建议,则可以帮助增强 Exchange 组织的安全性和运行状况。
文件级扫描程序经常使用。 但是,如果配置不正确,可能会导致 Exchange 2013 出现问题。 有两种类型的文件级扫描程序:
内存驻留文件级扫描 是指随时在内存中加载的文件级防病毒软件的一部分。 它会检查硬盘和计算机内存上使用的所有文件。
按需文件级扫描 是指文件级防病毒软件的一部分,你可以配置为手动或按计划扫描硬盘上的文件。 某些版本的防病毒软件会在更新病毒签名后自动启动按需扫描,以确保使用最新签名扫描所有文件。
将文件级扫描程序与 Exchange 2013 配合使用时,可能会出现以下问题:
文件级扫描程序可能会在使用文件时或按计划的时间间隔扫描文件。 这可能导致扫描程序在 Exchange 2013 尝试使用文件时锁定或隔离 Exchange 日志或数据库文件。 此行为可能会导致 Exchange 2013 严重故障,还可能导致 -1018 事件日志错误。
文件级扫描程序不提供针对电子邮件病毒(如 Storm Worm)的保护。 Storm Worm 是一个后门特洛伊木马程序, 通过电子邮件传播自身。 蠕虫将受感染的计算机加入到僵尸网络,计算机用于定期突发发送垃圾邮件。
有关在 Exchange 2013 中使用文件级扫描的建议
如果要在 Exchange 2013 服务器上部署文件级扫描程序,请确保为内存驻留扫描和文件级扫描提供了适当的排除项,例如目录排除、进程排除和文件扩展名排除。 本部分介绍建议的目录排除项、进程排除项和文件扩展名排除项。
目录排除项
对于运行文件级防病毒扫描程序的每个 Exchange 服务器,必须排除特定目录。 本部分介绍应从文件级扫描中排除的目录。
邮箱服务器
邮箱数据库
Exchange 数据库、检查点文件和日志文件。 默认情况下,它们位于 %ExchangeInstallPath%Mailbox 文件夹下的子文件夹中。 若要确定邮箱数据库、事务日志和检查点文件的位置,请运行以下命令:
Get-MailboxDatabase -Server <servername>| Format-List *path*数据库内容索引。 默认情况下,它们与数据库文件位于同一文件夹中。
分组指标文件。 默认情况下,这些文件位于 %ExchangeInstallPath%GroupMetrics 文件夹中。
常规日志文件,例如邮件跟踪和日历修复日志文件。 默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs 文件夹和 %ExchangeInstallPath%Logging 文件夹下的子文件夹中。 若要确定使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-MailboxServer <servername> | Format-List *path*脱机通讯簿文件。 默认情况下,它们位于 %ExchangeInstallPath%ClientAccess\OAB 文件夹下的子文件夹中。
%SystemRoot%\System32\Inetsrv 文件夹中的 IIS 系统文件。
邮箱数据库临时文件夹: %ExchangeInstallPath%Mailbox\MDBTEMP
数据库可用性组的成员
邮箱数据库列表中列出的所有项目,以及 %Windir%\Cluster 中存在的群集仲裁数据库。
见证目录文件。 这些文件位于环境中的另一台服务器上,通常是未与邮箱服务器安装在同一台计算机上的客户端访问服务器。 默认情况下,见证目录文件位于 %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN 中>。
传输服务
日志文件,例如消息跟踪和连接日志。 默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs 文件夹下的子文件夹中。 若要确定使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportService <servername> | Format-List *logpath*,*tracingpath*拾取和重播邮件目录文件夹。 默认情况下,这些文件夹位于 %ExchangeInstallPath%TransportRoles 文件夹下。 若要确定使用的路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportService <servername>| Format-List *dir*path*队列数据库、检查点和日志文件。 默认情况下,它们位于 %ExchangeInstallPath%TransportRoles\Data\Queue 文件夹中。
发件人信誉数据库、检查点和日志文件。 默认情况下,它们位于 %ExchangeInstallPath%TransportRoles\Data\SenderReputation 文件夹中。
用于执行转换的临时文件夹:
默认情况下,内容转换在 Exchange 服务器的 %TMP% 文件夹中执行。
默认情况下,RTF (RTF) 到 MIME/HTML 的转换在 %ExchangeInstallPath%Working\OleConverter 文件夹中执行。
内容扫描组件由恶意软件代理和数据丢失防护 (DLP) 使用。 默认情况下,这些文件位于 %ExchangeInstallPath%FIP-FS 文件夹中。
邮箱传输服务
- 日志文件,例如连接日志。 默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs\Mailbox 文件夹下的子文件夹中。 若要确定使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-MailboxTransportService <servername> | Format-List *logpath*
- 日志文件,例如连接日志。 默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs\Mailbox 文件夹下的子文件夹中。 若要确定使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
统一消息
不同区域设置的语法文件,例如 en-EN 或 es-ES。 默认情况下,它们存储在 %ExchangeInstallPath%UnifiedMessaging\grammars 文件夹中的子文件夹中。
语音提示、问候语和信息性消息文件。 默认情况下,它们存储在 %ExchangeInstallPath%UnifiedMessaging\Prompts 文件夹中的子文件夹中
临时存储在 %ExchangeInstallPath%UnifiedMessaging\voicemail 文件夹中的语音邮件文件。
统一消息生成的临时文件。 默认情况下,它们存储在 %ExchangeInstallPath%UnifiedMessaging\temp 文件夹中。
设置
- Exchange Server设置临时文件。 这些文件通常位于 %SystemRoot%\Temp\ExchangeSetup 中。
Exchange 搜索服务
- 由 Exchange Search 服务和 Microsoft Filter Pack 在沙盒环境中执行文件转换时使用的临时文件。 这些文件位于 %SystemRoot%\Temp\OICE_\<GUID>\中。
客户端访问服务器
Web 组件
对于使用 Internet Information Services (IIS) 7.0 的服务器,与 Microsoft Outlook Web App 一起使用的压缩文件夹。 默认情况下,IIS 7.0 的压缩文件夹位于 %SystemDrive%\inetpub\temp\IIS 临时压缩文件。
%SystemRoot%\System32\Inetsrv 文件夹中的 IIS 系统文件
Inetpub\logs\logfiles\w3svc
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files 中的子文件夹
POP3 和 IMAP4 协议日志记录
POP3 文件夹: %ExchangeInstallPath%Logging\POP3
IMAP4 文件夹: %ExchangeInstallPath%Logging\IMAP4
前端传输服务
- 日志文件,例如连接日志和协议日志。 默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs\FrontEnd 文件夹下的子文件夹中。 若要确定使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-FrontEndTransportService <servername> | Format-List *logpath*
- 日志文件,例如连接日志和协议日志。 默认情况下,这些文件位于 %ExchangeInstallPath%TransportRoles\Logs\FrontEnd 文件夹下的子文件夹中。 若要确定使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
设置
- Exchange Server设置临时文件。 这些文件通常位于 %SystemRoot%\Temp\ExchangeSetup 中。
进程排除
许多文件级扫描程序现在支持扫描进程,如果扫描了不正确的进程,可能会对 Microsoft Exchange 产生不利影响。 因此,应从文件级扫描程序中排除以下进程。
| 流程 | Path | Comments | 服务器 |
|---|---|---|---|
| Dsamain.exe | %SystemRoot%\System32 | 订阅的边缘传输服务器上的 Active Directory 轻型目录服务 (AD LDS) 。 | 边缘传输服务器 |
| EdgeTransport.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 传输服务工作进程 | 邮箱服务器 边缘传输服务器 |
| fms.exe | %ExchangeInstallPath%FIP-FS\Bin | 恶意软件代理和 DLP 使用的内容扫描组件。 | 邮箱服务器 |
| hostcontrollerservice.exe | %ExchangeInstallPath%Bin\Search\Ceres\HostController | Microsoft Exchange 搜索主机控制器服务 (HostControllerService) | 邮箱服务器 客户端访问服务器 |
| inetinfo.exe | %SystemRoot%\System32\inetsrv | Internet 信息服务 (IIS) | 邮箱服务器 客户端访问服务器 |
| Microsoft.Exchange.AntispamUpdateSvc.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 反垃圾邮件更新服务 (MSExchangeAntispamUpdate) | 邮箱服务器 边缘传输服务器 |
| Microsoft.Exchange.ContentFilter.Wrapper.exe | %ExchangeInstallPath%TransportRoles\agents\Hygiene | 内容筛选器代理 | 邮箱服务器 边缘传输服务器 |
| Microsoft.Exchange.Diagnostics.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 诊断服务 (MSExchangeDiagnostics) | 邮箱服务器 客户端访问服务器 边缘传输服务器 |
| Microsoft.Exchange.Directory.TopologyService.exe | %ExchangeInstallPath%Bin | Microsoft Exchange Active Directory 拓扑服务 (MSExchangeADTopology) | 邮箱服务器 客户端访问服务器 |
| Microsoft.Exchange.EdgeCredentialSvc.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 凭据服务 (MSExchangeEdgeCredential) | 边缘传输服务器 |
| Microsoft.Exchange.EdgeSyncSvc.exe | %ExchangeInstallPath%Bin | Microsoft Exchange EdgeSync 服务 (MSExchangeEdgeSync) | 邮箱服务器 |
| Microsoft.Exchange.Imap4.exe | ExchangeInstallPath%FrontEnd\PopImap | Microsoft Exchange IMAP4 服务 (MSExchangeImap4) | 客户端访问服务器 |
| Microsoft.Exchange.Imap4service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Microsoft Exchange IMAP4 后端服务 (MSExchangeIMAP4BE) | 邮箱服务器 |
| Microsoft.Exchange.Pop3.exe | %ExchangeInstallPath%FrontEnd\PopImap | Microsoft Exchange POP3 服务 (MSExchangePop3) | 客户端访问服务器 |
| Microsoft.Exchange.Pop3service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Microsoft Exchange POP3 后端服务 (MSExchangePOP3BE) | 邮箱服务器 |
| Microsoft.Exchange.ProtectedServiceHost.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 服务主机服务 (MSExchangeServiceHost) | 邮箱服务器 客户端访问服务器 边缘传输服务器 |
| Microsoft.Exchange.RPCClientAccess.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange RPC 客户端访问服务 (MSExchangeRPC) | 邮箱服务器 |
| Microsoft.Exchange.Search.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 搜索服务 (MSExchangeFastSearch) | 邮箱服务器 |
| Microsoft.Exchange.Servicehost.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 服务主机服务 (MSExchangeServiceHost) | 邮箱服务器 客户端访问服务器 边缘传输服务器 |
| Microsoft.Exchange.Store.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 信息存储服务 (MSExchangeIS) | 邮箱服务器 |
| Microsoft.Exchange.Store.Worker.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 信息存储服务工作进程 | 邮箱服务器 |
| Microsoft.Exchange.UM.CallRouter.exe | %ExchangeInstallPath%FrontEnd\CallRouter | Microsoft Exchange 统一消息呼叫路由器服务 (MSExchangeUMCR) | 客户端访问服务器 |
| MSExchangeDagMgmt.exe | %ExchangeInstallPath%Bin | Microsoft Exchange DAG 管理服务 (MSExchangeDagMgmt) | 邮箱服务器 |
| MSExchangeDelivery.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 邮箱传输交付服务 (MSExchangeDelivery) | 邮箱服务器 |
| MSExchangeFrontendTransport.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 前端传输服务 (MSExchangeFrontEndTransport) | 客户端访问服务器 |
| MSExchangeHMHost.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 运行状况管理器服务 (MSExchangeHM) | 邮箱服务器 客户端访问服务器 边缘传输服务器 |
| MSExchangeHMWorker.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 运行状况管理器服务工作进程 | 邮箱服务器 客户端访问服务器 边缘传输服务器 |
| MSExchangeMailboxAssistants.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 邮箱助理服务 (MSExchangeMailboxAssistants) | 邮箱服务器 |
| MSExchangeMailboxReplication.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 邮箱复制服务 (MSExchangeMailboxReplication) | 邮箱服务器 |
| MSExchangeMigrationWorkflow.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 迁移工作流服务 (MSExchangeMigrationWorkflow) | 邮箱服务器 |
| MSExchangeRepl.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 复制服务 (MSExchangeRepl) | 邮箱服务器 |
| MSExchangeSubmission.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 邮箱传输提交服务 (MSExchangeSubmission) | 邮箱服务器 |
| MSExchangeTransport.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 传输服务 (MSExchangeTransport) | 邮箱服务器 边缘传输服务器 |
| MSExchangeTransportLogSearch.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 传输日志搜索服务 (MSExchangeTransportLogSearch) | 邮箱服务器 边缘传输服务器 |
| MSExchangeThrottling.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 限制服务 (MSExchangeThrottling) | 邮箱服务器 |
| Noderunner.exe | %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 | Microsoft Exchange 搜索服务 (MSExchangeFastSearch) | 邮箱服务器 |
| OleConverter.exe | %ExchangeInstallPath%Bin | 将富文本格式 (RTF) 邮件转换为 MIME/HTML 以供外部收件人查看。 | 邮箱服务器 |
| ParserServer.exe | %ExchangeInstallPath%Bin\Search\Ceres\ParserServer | Microsoft Exchange 搜索服务 (MSExchangeFastSearch) | 邮箱服务器 |
| Powershell.exe | C:\Windows\System32\WindowsPowerShell\v1.0 | Exchange 命令行管理程序 | 邮箱服务器 客户端访问服务器 边缘传输服务器 |
| ScanEngineTest.exe | %ExchangeInstallPath%FIP-FS\Bin | 恶意软件代理和 DLP 使用的内容扫描组件。 | 邮箱服务器 |
| ScanningProcess.exe | %ExchangeInstallPath%FIP-FS\Bin | 恶意软件代理和 DLP 使用的内容扫描组件。 | 邮箱服务器 |
| TranscodingService.exe | %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing | 在 Outlook Web App 中查看 WebReady 文档。 | 邮箱服务器 |
| UmService.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 统一消息服务 (MSExchangeUM) | 邮箱服务器 |
| UmWorkerProcess.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 统一消息服务工作进程 | 邮箱服务器 |
| UpdateService.exe | %ExchangeInstallPath%FIP-FS\Bin | 恶意软件代理和 DLP 使用的内容扫描组件。 | 邮箱服务器 |
| W3wp.exe | %SystemRoot%\System32\inetsrv | Internet 信息服务 (IIS) | 邮箱服务器 客户端访问服务器 |
文件扩展名排除
除了排除特定目录和进程外,还应排除以下特定于 Exchange 的文件扩展名,以防目录排除失败或文件从其默认位置移动。
与应用程序相关的扩展:
- .config
- 。直径
- .wsb
与数据库相关的扩展:
- .chk
- .edb
- .jrs
- .jsl
- 。日志
- 。雀
与脱机通讯簿相关的扩展:
- 。Lzx
内容索引相关的扩展:
- 。词
- 。迪尔
- 。Wid
- .000
- .001
- .002
与统一消息相关的扩展:
- 。Cfg
- .grxml
与指标相关的组扩展:
- 。Dsc
- .txt