Exchange Server 的作業系統中的防毒軟體
適用於:Exchange Server 2013
本主題描述在 2013 Microsoft Exchange Server執行之電腦上檔案層級防毒程式的效果。 如果您實作本主題中所述的建議,您可以協助增強 Exchange 組織的安全性和健康情況。
經常使用檔案層級掃描器。 不過,如果設定不正確,可能會在 Exchange 2013 中造成問題。 檔案層級掃描器有兩種類型:
記憶體常駐檔案層級掃描 是指檔案層級防毒軟體的一部分,該軟體會隨時載入記憶體中。 它會檢查硬碟和電腦記憶體中使用的所有檔案。
隨選檔案層級掃描 是指檔案層級防毒軟體的一部分,您可以設定為手動或依排程掃描硬碟上的檔案。 某些版本的防毒軟體會在病毒簽章更新之後自動啟動隨選掃描,以確保所有檔案都會使用最新的簽章進行掃描。
當您搭配 Exchange 2013 使用檔案層級掃描器時,可能會發生下列問題:
檔案層級掃描器可能會在使用檔案或排定間隔時掃描檔案。 這可能導致掃描器在 Exchange 2013 嘗試使用檔案時鎖定或隔離 Exchange 記錄檔或資料庫檔案。 此行為可能會在 Exchange 2013 中造成嚴重失敗,也可能導致 -1018 事件記錄檔錯誤。
檔案層級掃描器不會提供電子郵件病毒的保護,例如 Storm Worm。 Storm Worm 是透過電子郵件訊息傳播本身的後門特洛伊木馬程式。 Worm 已將受感染的電腦聯結至 Botnet,而該網路是用來定期傳送垃圾郵件的電腦。
搭配 Exchange 2013 使用檔案層級掃描的建議
如果您要在 Exchange 2013 伺服器上部署檔案層級掃描器,請確定已備妥適當的排除專案,例如目錄排除、進程排除專案和副檔名排除專案,以進行記憶體常駐和檔案層級掃描。 本節描述建議的目錄排除專案、進程排除專案和副檔名排除專案。
目錄排除專案
您必須針對執行檔案層級防毒軟體掃描器的每部 Exchange 伺服器排除特定目錄。 本節說明您應該從檔案層級掃描中排除的目錄。
信箱伺服器
信箱資料庫
Exchange 資料庫、檢查點檔案及記錄檔。 根據預設,這些專案位於 %ExchangeInstallPath%Mailbox 資料夾下的子資料夾中。 若要判斷信箱資料庫、交易記錄和檢查點檔案的位置,請執行下列命令:
Get-MailboxDatabase -Server <servername>| Format-List *path*資料庫內容索引。 根據預設,這些會位於與資料庫檔案相同的資料夾中。
群組計量檔案。 根據預設,這些檔案位於 %ExchangeInstallPath%GroupMetrics 資料夾中。
一般記錄檔,例如訊息追蹤和行事曆修復記錄檔。 根據預設,這些檔案位於 %ExchangeInstallPath%TransportRoles\Logs 資料夾和 %ExchangeInstallPath%Logging 資料夾下的子資料夾中。 若要判斷所使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-MailboxServer <servername> | Format-List *path*離線通訊錄檔案。 根據預設,這些專案位於 %ExchangeInstallPath%ClientAccess\OAB 資料夾下的子資料夾中。
%SystemRoot%\System32\Inetsrv 資料夾中的 IIS 系統檔案。
信箱資料庫暫存資料夾:%ExchangeInstallPath%Mailbox\MDBTEMP
資料庫可用性群組的成員
[ 信箱資料庫 ] 清單中列出的所有專案,以及存在於 %Windir%\Cluster 的叢集仲裁資料庫。
見證目錄檔案。 這些檔案位於環境中的另一部伺服器上,通常是與信箱伺服器未安裝在同一部電腦上的用戶端存取伺服器。 根據預設,見證目錄檔案位於 %SystemDrive:\DAGFileShareWitnesses\ < DAGFQDN > 。
傳輸服務
例如,記錄檔、訊息追蹤和連線記錄。 根據預設,這些檔案位於 %ExchangeInstallPath%TransportRoles\Logs 資料夾下的子資料夾中。 若要判斷所使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-TransportService <servername> | Format-List *logpath*,*tracingpath*取貨和重新執行訊息目錄資料夾。 根據預設,這些資料夾位於 %ExchangeInstallPath%TransportRoles 資料夾底下。 若要判斷所使用的路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-TransportService <servername>| Format-List *dir*path*佇列資料庫、檢查點和記錄檔。 根據預設,這些專案位於 %ExchangeInstallPath%TransportRoles\Data\Queue 資料夾中。
寄件者信譽資料庫、檢查點和記錄檔。 根據預設,這些專案位於 %ExchangeInstallPath%TransportRoles\Data\SenderReputation 資料夾中。
用來執行轉換的暫存資料夾:
根據預設,內容轉換會在 Exchange Server 的 %TMP% 資料夾中執行。
根據預設,RTF) MIME/HTML 轉換 (RTF 格式會在 %ExchangeInstallPath%Working\OleConverter 資料夾中執行。
內容掃描元件是由惡意程式碼代理程式和資料外泄防護 (DLP) 使用。 根據預設,這些檔案位於 %ExchangeInstallPath%FIP-FS 資料夾中。
信箱傳輸服務
- 記錄檔,例如連線記錄。 根據預設,這些檔案位於 %ExchangeInstallPath%TransportRoles\Logs\Mailbox 資料夾下的子資料夾中。 若要判斷所使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-MailboxTransportService <servername> | Format-List *logpath*
- 記錄檔,例如連線記錄。 根據預設,這些檔案位於 %ExchangeInstallPath%TransportRoles\Logs\Mailbox 資料夾下的子資料夾中。 若要判斷所使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
整合通訊
不同地區設定的文法檔案,例如 en-EN 或 es-ES。 根據預設,這些會儲存在 %ExchangeInstallPath%UnifiedMessaging\grammars 資料夾的子資料夾中。
語音提示、問候語和資訊訊息檔案。 根據預設,這些會儲存在 %ExchangeInstallPath%UnifiedMessaging\Prompts 資料夾的子資料夾中
暫時儲存在 %ExchangeInstallPath%UnifiedMessaging\voicemail 資料夾中的語音信箱檔案。
整合通訊所產生的暫存檔案。 根據預設,這些會儲存在 %ExchangeInstallPath%UnifiedMessaging\temp 資料夾中。
安裝程式
- Exchange Server安裝暫存檔。 這些檔案通常位於 %SystemRoot%\Temp\ExchangeSetup 中。
Exchange 搜尋服務
- 由 Exchange 搜尋服務和 Microsoft Filter Pack 所使用的暫存檔案,以在沙箱化環境中執行檔案轉換。 這些檔案位於 %SystemRoot%\Temp\OICE_\ < GUID > \。
用戶端存取伺服器
Web 元件
對於使用 Internet Information Services (IIS) 7.0 的伺服器,則為與 Microsoft Outlook Web App 搭配使用的壓縮資料夾。 根據預設,IIS 7.0 的壓縮資料夾位於 %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files。
%SystemRoot%\System32\Inetsrv 資料夾中的 IIS 系統檔案
Inetpub\logs\logfiles\w3svc
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files 中的子資料夾
POP3 和 IMAP4 通訊協定記錄
POP3 資料夾:%ExchangeInstallPath%Logging\POP3
IMAP4 資料夾: %ExchangeInstallPath%Logging\IMAP4
前端傳輸服務
- 例如,記錄檔、連線記錄和通訊協定記錄。 根據預設,這些檔案位於 %ExchangeInstallPath%TransportRoles\Logs\FrontEnd 資料夾下的子資料夾中。 若要判斷所使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-FrontEndTransportService <servername> | Format-List *logpath*
- 例如,記錄檔、連線記錄和通訊協定記錄。 根據預設,這些檔案位於 %ExchangeInstallPath%TransportRoles\Logs\FrontEnd 資料夾下的子資料夾中。 若要判斷所使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
安裝程式
- Exchange Server安裝暫存檔。 這些檔案通常位於 %SystemRoot%\Temp\ExchangeSetup 中。
處理程序排除
許多檔案層級掃描器現在都支援程式掃描,如果掃描的進程不正確,可能會對 Microsoft Exchange 造成負面影響。 因此,您應該從檔案層級掃描器排除下列進程。
| 程序 | 路徑 | 註解 | 伺服器 |
|---|---|---|---|
| Dsamain.exe | %SystemRoot%\System32 | 已訂閱 Edge Transport Server 上的 Active Directory 輕量型目錄服務 (AD LDS) 。 | Edge Transport Server |
| EdgeTransport.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 傳輸服務工作者處理序 | 信箱伺服器 Edge Transport Server |
| fms.exe | %ExchangeInstallPath%FIP-FS\Bin | 惡意程式碼代理程式與 DLP 功能所使用的內容掃描元件。 | 信箱伺服器 |
| hostcontrollerservice.exe | %ExchangeInstallPath%Bin\Search\Ceres\HostController | Microsoft Exchange 搜尋主機控制器服務 (HostControllerService) | 信箱伺服器 用戶端存取伺服器 |
| inetinfo.exe | %SystemRoot%\System32\inetsrv | Internet Information Services (IIS) | 信箱伺服器 用戶端存取伺服器 |
| Microsoft.Exchange.AntispamUpdateSvc.exe | %ExchangeInstallPath%Bin | MICROSOFT Exchange 反垃圾郵件更新服務 (MSExchangeAntispamUpdate) | 信箱伺服器 Edge Transport Server |
| Microsoft.Exchange.ContentFilter.Wrapper.exe | %ExchangeInstallPath%TransportRoles\agents\Hygiene | 內容篩選器代理程式 | 信箱伺服器 Edge Transport Server |
| Microsoft.Exchange.Diagnostics.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 診斷服務 (MSExchangeDiagnostics) | 信箱伺服器 用戶端存取伺服器 Edge Transport Server |
| Microsoft.Exchange.Directory.TopologyService.exe | %ExchangeInstallPath%Bin | Microsoft Exchange Active Directory 拓撲服務 (MSExchangeADTopology) | 信箱伺服器 用戶端存取伺服器 |
| Microsoft.Exchange.EdgeCredentialSvc.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 憑證服務 (MSExchangeEdgeCredential) | Edge Transport Server |
| Microsoft.Exchange.EdgeSyncSvc.exe | %ExchangeInstallPath%Bin | Microsoft Exchange EdgeSync 服務 (MSExchangeEdgeSync) | 信箱伺服器 |
| Microsoft.Exchange.Imap4.exe | ExchangeInstallPath%FrontEnd\PopImap | Microsoft Exchange IMAP4 服務 (MSExchangeImap4) | 用戶端存取伺服器 |
| Microsoft.Exchange.Imap4service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Microsoft Exchange IMAP4 後端服務 (MSExchangeIMAP4BE) | 信箱伺服器 |
| Microsoft.Exchange.Pop3.exe | %ExchangeInstallPath%FrontEnd\PopImap | Microsoft Exchange POP3 服務 (MSExchangePop3) | 用戶端存取伺服器 |
| Microsoft.Exchange.Pop3service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Microsoft Exchange POP3 後端服務 (MSExchangePOP3BE) | 信箱伺服器 |
| Microsoft.Exchange.ProtectedServiceHost.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 服務主機服務 (MSExchangeServiceHost) | 信箱伺服器 用戶端存取伺服器 Edge Transport Server |
| Microsoft.Exchange.RPCClientAccess.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange RPC 用戶端存取服務 (MSExchangeRPC) | 信箱伺服器 |
| Microsoft.Exchange.Search.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 搜尋服務 (MSExchangeFastSearch) | 信箱伺服器 |
| Microsoft.Exchange.Servicehost.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 服務主機服務 (MSExchangeServiceHost) | 信箱伺服器 用戶端存取伺服器 Edge Transport Server |
| Microsoft.Exchange.Store.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 資訊儲存庫服務 (MSExchangeIS) | 信箱伺服器 |
| Microsoft.Exchange.Store.Worker.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 資訊儲存庫服務工作者處理序 | 信箱伺服器 |
| Microsoft.Exchange.UM.CallRouter.exe | %ExchangeInstallPath%FrontEnd\CallRouter | Microsoft Exchange 整合通訊呼叫路由器服務 (MSExchangeUMCR) | 用戶端存取伺服器 |
| MSExchangeDagMgmt.exe | %ExchangeInstallPath%Bin | Microsoft Exchange DAG 管理服務 (MSExchangeDagMgmt) | 信箱伺服器 |
| MSExchangeDelivery.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 信箱傳輸傳遞服務 (MSExchangeDelivery) | 信箱伺服器 |
| MSExchangeFrontendTransport.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 前端傳輸服務 (MSExchangeFrontEndTransport) | 用戶端存取伺服器 |
| MSExchangeHMHost.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 健康情況管理員服務 (MSExchangeHM) | 信箱伺服器 用戶端存取伺服器 Edge Transport Server |
| MSExchangeHMWorker.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 健康情況管理員服務工作者處理序 | 信箱伺服器 用戶端存取伺服器 Edge Transport Server |
| MSExchangeMailboxAssistants.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 信箱助理員服務 (MSExchangeMailboxAssistants) | 信箱伺服器 |
| MSExchangeMailboxReplication.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 信箱複寫服務 (MSExchangeMailboxReplication) | 信箱伺服器 |
| MSExchangeMigrationWorkflow.exe | %ExchangeInstallPath%Bin | MSExchangeMigrationWorkflow (Microsoft Exchange 移轉工作流程服務) | 信箱伺服器 |
| MSExchangeRepl.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 複寫服務 (MSExchangeRepl) | 信箱伺服器 |
| MSExchangeSubmission.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 信箱傳輸提交服務 (MSExchangeSubmission) | 信箱伺服器 |
| MSExchangeTransport.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 傳輸服務 (MSExchangeTransport) | 信箱伺服器 Edge Transport Server |
| MSExchangeTransportLogSearch.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 傳輸記錄搜尋服務 (MSExchangeTransportLogSearch) | 信箱伺服器 Edge Transport Server |
| MSExchangeThrottling.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 節流服務 (MSExchangeThrottling) | 信箱伺服器 |
| Noderunner.exe | %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 | Microsoft Exchange 搜尋服務 (MSExchangeFastSearch) | 信箱伺服器 |
| OleConverter.exe | %ExchangeInstallPath%Bin | 針對外部收件者將 RTF 格式 (RTF) 郵件轉換為 MIME/HTML。 | 信箱伺服器 |
| ParserServer.exe | %ExchangeInstallPath%Bin\Search\Ceres\ParserServer | Microsoft Exchange 搜尋服務 (MSExchangeFastSearch) | 信箱伺服器 |
| Powershell.exe | C:\Windows\System32\WindowsPowerShell\v1.0 | Exchange 管理命令介面 | 信箱伺服器 用戶端存取伺服器 Edge Transport Server |
| ScanEngineTest.exe | %ExchangeInstallPath%FIP-FS\Bin | 惡意程式碼代理程式與 DLP 功能所使用的內容掃描元件。 | 信箱伺服器 |
| ScanningProcess.exe | %ExchangeInstallPath%FIP-FS\Bin | 惡意程式碼代理程式與 DLP 功能所使用的內容掃描元件。 | 信箱伺服器 |
| TranscodingService.exe | %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing | Outlook Web App中的 WebReady 檔檢視。 | 信箱伺服器 |
| UmService.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 整合通訊服務 (MSExchangeUM) | 信箱伺服器 |
| UmWorkerProcess.exe | %ExchangeInstallPath%Bin | Microsoft Exchange 整合通訊服務工作者處理序 | 信箱伺服器 |
| UpdateService.exe | %ExchangeInstallPath%FIP-FS\Bin | 惡意程式碼代理程式與 DLP 功能所使用的內容掃描元件。 | 信箱伺服器 |
| W3wp.exe | %SystemRoot%\System32\inetsrv | Internet Information Services (IIS) | 信箱伺服器 用戶端存取伺服器 |
副檔名排除
除了排除特定目錄和程式之外,您也應該排除下列 Exchange 特定的副檔名,以防目錄排除失敗或檔案從其預設位置移動。
應用程式相關的延伸模組:
- .config
- 。直徑
- .wsb
資料庫相關的延伸模組:
- .chk
- .edb
- .jrs
- .jsl
- 。日誌
- 。雀
離線通訊錄相關的擴充功能:
- 。Lzx
內容索引相關的延伸模組:
- 。詞
- 。迪爾
- 。Wid
- .000
- .001
- .002
整合傳訊相關的擴充功能:
- 。Cfg
- .grxml
群組計量相關延伸模組:
- 。Dsc
- .txt