Antivirensoftware im Betriebssystem auf Exchange-Servern
Gilt für: Exchange Server 2013
In diesem Thema werden die Auswirkungen von Antivirenprogrammen auf Dateiebene auf Computer beschrieben, auf denen Microsoft Exchange Server 2013 ausgeführt wird. Wenn Sie die in diesem Thema beschriebenen Empfehlungen implementieren, können Sie die Sicherheit und Integrität Ihrer Exchange-Organisation verbessern.
Scanner auf Dateiebene werden häufig verwendet. Wenn sie jedoch falsch konfiguriert sind, können sie probleme in Exchange 2013 verursachen. Es gibt zwei Arten von Scannern auf Dateiebene:
Speicherresidentes Scannen auf Dateiebene bezieht sich auf einen Teil der Antivirensoftware auf Dateiebene, die jederzeit im Arbeitsspeicher geladen wird. Es überprüft alle Dateien, die auf der Festplatte und im Computerspeicher verwendet werden.
Die bedarfsgesteuerte Überprüfung auf Dateiebene bezieht sich auf einen Teil der Antivirensoftware auf Dateiebene, die Sie so konfigurieren können, dass Dateien auf der Festplatte manuell oder nach einem Zeitplan überprüft werden. Einige Versionen von Antivirensoftware starten die On-Demand-Überprüfung automatisch, nachdem Virensignaturen aktualisiert wurden, um sicherzustellen, dass alle Dateien mit den neuesten Signaturen gescannt werden.
Die folgenden Probleme können auftreten, wenn Sie Scanner auf Dateiebene mit Exchange 2013 verwenden:
Überprüfungen auf Dateiebene können eine Datei überprüfen, wenn die Datei verwendet wird oder in einem geplanten Intervall. Dies kann dazu führen, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder unter Quarantäne stellen, während Exchange 2013 versucht, die Datei zu verwenden. Dieses Verhalten kann zu einem schwerwiegenden Fehler in Exchange 2013 und zu -1018-Ereignisprotokollfehlern führen.
Scanner auf Dateiebene bieten keinen Schutz vor E-Mail-Viren wie Storm Worm. Storm Worm war ein Hintertür-Trojaner-Programm, das sich über E-Mail-Nachrichten propagierte. Der Wurm hat den infizierten Computer mit einem Botnet verbunden, in dem der Computer verwendet wurde, um Spam in regelmäßigen Bursts zu senden.
Empfehlungen für die Verwendung der Überprüfung auf Dateiebene mit Exchange 2013
Wenn Sie Überprüfungen auf Dateiebene auf Exchange 2013-Servern bereitstellen, stellen Sie sicher, dass die entsprechenden Ausschlüsse, z. B. Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungsausschlüsse, sowohl für die Überprüfung auf Speicherresident als auch auf Dateiebene vorhanden sind. In diesem Abschnitt werden empfohlene Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungsausschlüsse beschrieben.
Verzeichnisausschlüsse
Sie müssen bestimmte Verzeichnisse für jeden Exchange-Server ausschließen, auf dem Sie einen Antivirenscanner auf Dateiebene ausführen. In diesem Abschnitt werden die Verzeichnisse beschrieben, die Sie von der Überprüfung auf Dateiebene ausschließen sollten.
Postfachserver
Postfachdatenbanken
Exchange-Datenbanken, Prüfpunktdateien und Protokolldateien. Diese befinden sich standardmäßig in Unterordnern unter dem Ordner %ExchangeInstallPath%Mailbox. Führen Sie den folgenden Befehl aus, um den Speicherort einer Postfachdatenbank, eines Transaktionsprotokolls und einer Prüfpunktdatei zu ermitteln:
Get-MailboxDatabase -Server <servername>| Format-List *path*Datenbankinhaltsindizes. Diese befinden sich standardmäßig im selben Ordner wie die Datenbankdatei.
Gruppenmetrikdateien. Standardmäßig befinden sich diese Dateien im Ordner %ExchangeInstallPath%GroupMetrics.
Allgemeine Protokolldateien, z. B. Nachrichtenverfolgungs- und Kalenderreparaturprotokolldateien. Standardmäßig befinden sich diese Dateien in Unterordnern im Ordner %ExchangeInstallPath%TransportRoles\Logs und im Ordner %ExchangeInstallPath%Logging. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln:
Get-MailboxServer <servername> | Format-List *path*Die Offlineadressbuchdateien. Diese befinden sich standardmäßig in Unterordnern unter dem Ordner %ExchangeInstallPath%ClientAccess\OAB.
IIS-Systemdateien im Ordner %SystemRoot%\System32\Inetsrv.
Temporärer Ordner der Postfachdatenbank: %ExchangeInstallPath%Mailbox\MDBTEMP
Mitglieder von Datenbankverfügbarkeitsgruppen
Alle in der Liste Postfachdatenbanken aufgeführten Elemente und die Clusterquorumdatenbank, die unter %Windir%\Cluster vorhanden ist.
Die Zeugenverzeichnisdateien. Diese Dateien befinden sich auf einem anderen Server in der Umgebung, in der Regel auf einem Clientzugriffsserver, der nicht auf demselben Computer wie ein Postfachserver installiert ist. Standardmäßig befinden sich die Zeugenverzeichnisdateien in %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>.
Transportdienst
Protokolldateien, z. B. Nachrichtenverfolgungs- und Konnektivitätsprotokolle. Standardmäßig befinden sich diese Dateien in Unterordnern im Ordner %ExchangeInstallPath%TransportRoles\Logs. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln:
Get-TransportService <servername> | Format-List *logpath*,*tracingpath*Ordner des Nachrichtenverzeichnisses "Pickup" und "Replay". Standardmäßig befinden sich diese Ordner im Ordner %ExchangeInstallPath%TransportRoles. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Pfade zu ermitteln:
Get-TransportService <servername>| Format-List *dir*path*Die Warteschlangendatenbanken, Prüfpunkte und Protokolldateien. Diese befinden sich standardmäßig im Ordner %ExchangeInstallPath%TransportRoles\Data\Queue.
Die Sender Reputation-Datenbank, prüfpunkt und Protokolldateien. Diese befinden sich standardmäßig im Ordner %ExchangeInstallPath%TransportRoles\Data\SenderReputation.
Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:
Standardmäßig werden Inhaltskonvertierungen im Ordner %TMP% des Exchange-Servers ausgeführt.
Standardmäßig werden Konvertierungen des Rich-Text-Formats (RTF) in MIME/HTML im Ordner %ExchangeInstallPath%Working\OleConverter ausgeführt.
Die Inhaltsüberprüfungskomponente wird vom Malware-Agent und der Verhinderung von Datenverlust (Data Loss Prevention, DLP) verwendet. Standardmäßig befinden sich diese Dateien im Ordner %ExchangeInstallPath%FIP-FS.
Postfachtransportdienst
- Protokolldateien, z. B. Konnektivitätsprotokolle. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln:
Get-MailboxTransportService <servername> | Format-List *logpath*
- Protokolldateien, z. B. Konnektivitätsprotokolle. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln:
Unified Messaging
Die Grammatikdateien für verschiedene Gebietsschemas, z. B. en-EN oder es-ES. Diese werden standardmäßig in den Unterordnern im Ordner %ExchangeInstallPath%UnifiedMessaging\grammars gespeichert.
Die Sprachaufforderungen, Begrüßungen und Informationsnachrichtendateien. Diese werden standardmäßig in den Unterordnern im Ordner %ExchangeInstallPath%UnifiedMessaging\Prompts gespeichert.
Die Voicemaildateien, die vorübergehend im Ordner %ExchangeInstallPath%UnifiedMessaging\voicemail gespeichert sind.
Die von Unified Messaging generierten temporären Dateien. Diese werden standardmäßig im Ordner %ExchangeInstallPath%UnifiedMessaging\temp gespeichert.
Setup
- Exchange Server temporäre Dateien einrichten. Diese Dateien befinden sich in der Regel in %SystemRoot%\Temp\ExchangeSetup.
Exchange Suchdienst
- Temporäre Dateien, die vom Exchange-Suchdienst und Microsoft Filter Pack verwendet werden, um die Konvertierung in einer Sandkastenumgebung durchzuführen. Diese Dateien befinden sich in %SystemRoot%\Temp\OICE_\<GUID>\.
Clientzugriffsserver
Webkomponenten
Bei Servern, die Internetinformationsdienste (IIS) 7.0 verwenden, wird der mit Microsoft Outlook Web App verwendete Komprimierungsordner verwendet. Standardmäßig befindet sich der Komprimierungsordner für IIS 7.0 unter %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.
IIS-Systemdateien im Ordner %SystemRoot%\System32\Inetsrv
Inetpub\logs\logfiles\w3svc
Unterordner in %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
POP3- und IMAP4-Protokollprotokollierung
POP3-Ordner: %ExchangeInstallPath%Logging\POP3
IMAP4-Ordner: %ExchangeInstallPath%Logging\IMAP4
Front-End-Transportdienst
- Protokolldateien, z. B. Konnektivitäts- und Protokollprotokolle. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln:
Get-FrontEndTransportService <servername> | Format-List *logpath*
- Protokolldateien, z. B. Konnektivitäts- und Protokollprotokolle. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu ermitteln:
Setup
- Exchange Server temporäre Dateien einrichten. Diese Dateien befinden sich in der Regel in %SystemRoot%\Temp\ExchangeSetup.
Prozessausschlüsse
Viele Scanner auf Dateiebene unterstützen jetzt das Scannen von Prozessen, was sich negativ auf Microsoft Exchange auswirken kann, wenn die falschen Prozesse gescannt werden. Daher sollten Sie die folgenden Prozesse von Überprüfungen auf Dateiebene ausschließen.
| Prozess | Pfad | Kommentare | Server |
|---|---|---|---|
| Dsamain.exe | %SystemRoot%\System32 | Active Directory Lightweight Directory Services (AD LDS) auf abonnierten Edge-Transport-Servern. | Edge-Transport-Server |
| EdgeTransport.exe | %ExchangeInstallPath%Bin | Arbeitsprozess des Microsoft Exchange-Transportdiensts | Postfachserver Edge-Transport-Server |
| fms.exe | %ExchangeInstallPath%FIP-FS\Bin | Komponente zum Scannen von Inhalten, die vom Schadsoftware-Agenten und von DLP verwendet wird. | Postfachserver |
| hostcontrollerservice.exe | %ExchangeInstallPath%Bin\Search\Ceres\HostController | Microsoft Exchange-Suchhost-Controllerdienst (HostControllerService) | Postfachserver Clientzugriffsserver |
| inetinfo.exe | %SystemRoot%\System32\inetsrv | Internetinformationsdienste (IIS) | Postfachserver Clientzugriffsserver |
| Microsoft.Exchange.AntispamUpdateSvc.exe | %ExchangeInstallPath%Bin | Microsoft Exchange Antispam Update-Dienst (MSExchangeAntispamUpdate) | Postfachserver Edge-Transport-Server |
| Microsoft.Exchange.ContentFilter.Wrapper.exe | %ExchangeInstallPath%TransportRoles\agents\Hygiene | Inhaltsfilter-Agent | Postfachserver Edge-Transport-Server |
| Microsoft.Exchange.Diagnostics.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Diagnosedienst (MSExchangeDiagnostics) | Postfachserver Clientzugriffsserver Edge-Transport-Server |
| Microsoft.Exchange.Directory.TopologyService.exe | %ExchangeInstallPath%Bin | Microsoft Exchange Active Directory-Topologiedienst (MSExchangeADTopology) | Postfachserver Clientzugriffsserver |
| Microsoft.Exchange.EdgeCredentialSvc.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Anmeldeinformationsdienst (MSExchangeEdgeCredential) | Edge-Transport-Server |
| Microsoft.Exchange.EdgeSyncSvc.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-EdgeSync-Dienst (MSExchangeEdgeSync) | Postfachserver |
| Microsoft.Exchange.Imap4.exe | ExchangeInstallPath%FrontEnd\PopImap | Microsoft Exchange IMAP4-Dienst (MSExchangeImap4) | Clientzugriffsserver |
| Microsoft.Exchange.Imap4service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Microsoft Exchange IMAP4-Back-End-Dienst (MSExchangeIMAP4BE) | Postfachserver |
| Microsoft.Exchange.Pop3.exe | %ExchangeInstallPath%FrontEnd\PopImap | Microsoft Exchange POP3-Dienst (MSExchangePop3) | Clientzugriffsserver |
| Microsoft.Exchange.Pop3service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Microsoft Exchange POP3-Back-End-Dienst (MSExchangePOP3BE) | Postfachserver |
| Microsoft.Exchange.ProtectedServiceHost.exe | %ExchangeInstallPath%Bin | Dienst für den Microsoft Exchange-Diensthost (MSExchangeServiceHost) | Postfachserver Clientzugriffsserver Edge-Transport-Server |
| Microsoft.Exchange.RPCClientAccess.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-RPC-Clientzugriffsdienst (MSExchangeRPC) | Postfachserver |
| Microsoft.Exchange.Search.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Suchdienst (MSExchangeFastSearch) | Postfachserver |
| Microsoft.Exchange.Servicehost.exe | %ExchangeInstallPath%Bin | Dienst für den Microsoft Exchange-Diensthost (MSExchangeServiceHost) | Postfachserver Clientzugriffsserver Edge-Transport-Server |
| Microsoft.Exchange.Store.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Informationsspeicherdienst (MSExchangeIS) | Postfachserver |
| Microsoft.Exchange.Store.Worker.exe | %ExchangeInstallPath%Bin | Arbeitsprozess für den Microsoft Exchange-Informationsspeicherdienst | Postfachserver |
| Microsoft.Exchange.UM.CallRouter.exe | %ExchangeInstallPath%FrontEnd\CallRouter | Microsoft Exchange Unified Messaging-Anrufrouterdienst (MSExchangeUMCR) | Clientzugriffsserver |
| MSExchangeDagMgmt.exe | %ExchangeInstallPath%Bin | Microsoft Exchange DAG-Verwaltungsdienst (MSExchangeDagMgmt) | Postfachserver |
| MSExchangeDelivery.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Postfachtransport-Zustellungsdienst (MSExchangeDelivery) | Postfachserver |
| MSExchangeFrontendTransport.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Frontend-Transportdienst (MSExchangeFrontEndTransport) | Clientzugriffsserver |
| MSExchangeHMHost.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Integritäts-Manager-Dienst (MSExchangeHM) | Postfachserver Clientzugriffsserver Edge-Transport-Server |
| MSExchangeHMWorker.exe | %ExchangeInstallPath%Bin | Arbeitsprozess für den Microsoft Exchange-Integritäts-Manager-Dienst | Postfachserver Clientzugriffsserver Edge-Transport-Server |
| MSExchangeMailboxAssistants.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Postfach-Assistentendienst (MSExchangeMailboxAssistants) | Postfachserver |
| MSExchangeMailboxReplication.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Postfachreplikationsdienst (MSExchangeMailboxReplication) | Postfachserver |
| MSExchangeMigrationWorkflow.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Migrationsworkflowdienst (MSExchangeMigrationWorkflow) | Postfachserver |
| MSExchangeRepl.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Replikationsdienst (MSExchangeRepl) | Postfachserver |
| MSExchangeSubmission.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Postfachtransport-Übermittlungsdienst (MSExchangeSubmission) | Postfachserver |
| MSExchangeTransport.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Transportdienst (MSExchangeTransport) | Postfachserver Edge-Transport-Server |
| MSExchangeTransportLogSearch.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Transportprotokoll-Suchdienst (MSExchangeTransportLogSearch) | Postfachserver Edge-Transport-Server |
| MSExchangeThrottling.exe | %ExchangeInstallPath%Bin | Microsoft Exchange-Einschränkungsdienst (MSExchangeThrottling) | Postfachserver |
| Noderunner.exe | %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 | Microsoft Exchange-Suchdienst (MSExchangeFastSearch) | Postfachserver |
| OleConverter.exe | %ExchangeInstallPath%Bin | Wandelt Nachrichten im RTF-Format für externe Empfänger in das MIME/HTML-Format um. | Postfachserver |
| ParserServer.exe | %ExchangeInstallPath%Bin\Search\Ceres\ParserServer | Microsoft Exchange-Suchdienst (MSExchangeFastSearch) | Postfachserver |
| Powershell.exe | C:\Windows\System32\WindowsPowerShell\v1.0 | Exchange-Verwaltungsshell | Postfachserver Clientzugriffsserver Edge-Transport-Server |
| ScanEngineTest.exe | %ExchangeInstallPath%FIP-FS\Bin | Komponente zum Scannen von Inhalten, die vom Schadsoftware-Agenten und von DLP verwendet wird. | Postfachserver |
| ScanningProcess.exe | %ExchangeInstallPath%FIP-FS\Bin | Komponente zum Scannen von Inhalten, die vom Schadsoftware-Agenten und von DLP verwendet wird. | Postfachserver |
| TranscodingService.exe | %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing | WebReady-Dokumentanzeige in Outlook Web App. | Postfachserver |
| UmService.exe | %ExchangeInstallPath%Bin | Microsoft Exchange Unified Messaging-Dienst (MSExchangeUM) | Postfachserver |
| UmWorkerProcess.exe | %ExchangeInstallPath%Bin | Arbeitsprozess für den Microsoft Exchange Unified Messaging-Dienst | Postfachserver |
| UpdateService.exe | %ExchangeInstallPath%FIP-FS\Bin | Komponente zum Scannen von Inhalten, die vom Schadsoftware-Agenten und von DLP verwendet wird. | Postfachserver |
| W3wp.exe | %SystemRoot%\System32\inetsrv | Internetinformationsdienste (IIS) | Postfachserver Clientzugriffsserver |
Ausschlüsse für Dateinamenerweiterungen
Zusätzlich zum Ausschließen bestimmter Verzeichnisse und Prozesse sollten Sie die folgenden Exchange-spezifischen Dateinamenerweiterungen ausschließen, falls Verzeichnisausschlüsse fehlschlagen oder Dateien von ihren Standardspeicherorten verschoben werden.
Anwendungsbezogene Erweiterungen:
- .config
- .dia
- .Wsb
Datenbankbezogene Erweiterungen:
- .Chk
- .Edb
- .Jrs
- .Jsl
- .Protokoll
- .Que
Offlineadressbuchbezogene Erweiterungen:
- .lzx
Inhaltsindexbezogene Erweiterungen:
- .Ci
- .dir
- .Wid
- .000
- .001
- .002
Unified Messaging-bezogene Erweiterungen:
- .Cfg
- GRXML
Erweiterungen im Zusammenhang mit Gruppenmetriken:
- .Dsc
- .txt