Análisis antivirus de archivos en Exchange 2007

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2009-07-22

En este tema se describen los efectos de los programas antivirus para archivos en equipos que ejecutan Microsoft Exchange Server 2007. Si implementa las recomendaciones descritas en este tema, puede mejorar la seguridad y la salud de su organización de Exchange.

Los analizadores de archivos se usan con frecuencia. Sin embargo, si no se configuran correctamente, pueden causar problemas en Exchange 2007.

Existen dos tipos de analizadores de archivos:

  • Análisis de archivos residente en memoria hace referencia a una parte del software antivirus para archivos que está cargada en la memoria en todo momento. Comprueba todos los archivos que se usan en el disco duro y en la memoria del equipo.

  • Análisis de archivos a petición hace referencia a una parte del software antivirus para archivos que se puede configurar para analizar los archivos del disco duro manualmente o según una programación. Algunas versiones del software antivirus comienzan el análisis a petición automáticamente cuando se actualizan las firmas de los virus para asegurarse de que todos los archivos se analizan con las últimas firmas.

Cuando se usan analizadores de archivos con Exchange 2007 pueden producirse los siguientes problemas:

  • Los analizadores de archivos podrían analizar un archivo mientras se está usando o con un intervalo programado, lo que podría provocar que los analizadores bloquearan o pusieran en cuarentena un registro de Exchange o un archivo de base de datos mientras Microsoft Exchange intenta usarlo. Este comportamiento podría causar un error grave en Microsoft Exchange, además de errores -1018.

  • Los analizadores para archivos no proporcionan protección contra virus de correo electrónico, como el virus Melissa.

    Nota

    El virus Melissa era una macro troyana que se propagó automáticamente a través de mensajes de correo electrónico en 1999. El virus enviaba mensajes de correo electrónico que contenían datos adjuntos malintencionados a las direcciones que encontraba en las libretas de direcciones personales de los clientes de correo de Microsoft Outlook. Estos virus pueden causar la destrucción de los datos.

Recomendaciones de Exchange 2007

Si va a implementar analizadores antivirus para archivos en servidores de Exchange 2007, asegúrese de realizar las exclusiones apropiadas para los directorios, procesos y extensiones de nombres de archivo tanto en los análisis programados como en tiempo real. En esta sección se describen las exclusiones de directorios, de procesos y de extensiones de nombres de archivo para cada servidor o función de servidor.

Exclusiones de directorios

Debe excluir directorios específicos para cada servidor o función de servidor de Exchange donde ejecute un analizador antivirus para archivos. En esta sección se describen los directorios que debe excluir del análisis de archivos en cada servidor o función de servidor.

  • Función del servidor Buzón de correo

    • Bases de datos, archivos de punto de control y archivos de registro de Exchange en todos los grupos de almacenamiento. De forma predeterminada, están ubicados en subcarpetas de la carpeta %Archivos de programa%\Microsoft\Exchange Server\Mailbox. Para obtener la ubicación del directorio, ejecute los siguientes comandos en el Shell de administración de Exchange:

      • Para determinar la ubicación de un registro de transacciones y de un archivo de punto de control, ejecute el siguiente comando: Get-StorageGroup -server <servername>| fl *path*

      • Para determinar la ubicación de una base de datos de buzones, ejecute este comando: Get-MailboxDatabase -server <servername>| fl *path*

      • Para determinar la ubicación de una base de datos de carpetas públicas, ejecute este comando: Get-PublicFolderDatabase -server <servername>| fl *path*

    • Índices de contenido de bases de datos. De forma predeterminada, están ubicados en subcarpetas de la carpeta %Archivos de programa%\Microsoft\Exchange Server\Mailbox.

    • Archivos de registro generales, como los archivos de registro de seguimiento de mensajes. Estos archivos están ubicados en subcarpetas de las carpetas %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Logs y %Archivos de programa%\Microsoft\Exchange Server\Logging. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-MailboxServer <servername>| fl *path* 

    • Los archivos de la libreta de direcciones sin conexión ubicados en subcarpetas de la carpeta %Archivos de programa%\Microsoft\Exchange Server\ExchangeOAB

    • Archivos del sistema IIS en la carpeta %SystemRoot%\System32\Inetsrv

    • La carpeta temporal que se usa con los programas de mantenimiento sin conexión, como Eseutil.exe. De forma predeterminada, el archivo .exe se ejecuta desde esta carpeta. Sin embargo, puede configurar desde dónde desea realizar la operación cuando ejecute la utilidad.

    • Las carpetas temporales usadas para realizar las conversiones:

      • Las conversiones de contenido se realizan en la carpeta TMP del servidor.

      • Las conversiones OLE se realizan en la carpeta %Archivos de programa%\Microsoft\Exchange Server\Working\OleConvertor.

      • La carpeta temporal de la base de datos de buzones: %Archivos de programa%\Microsoft\Exchange Server\Mailbox\MDBTEMP

    • Todas las carpetas de los programas antivirus preparados para Exchange

  • Servidor de buzones de correo en clúster
    Todos los elementos enumerados en la lista de la función del servidor Buzón de correo, y los siguientes:

    • El disco de quórum y la carpeta %Winnt%\Cluster

    • El testigo de recurso compartido. Está ubicado en otro servidor del entorno, normalmente en un servidor de transporte perimetral.

    • El directorio ExchangeOAB se encuentra en una unidad compartida. La ubicación se especifica en la clave del Registro SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<CMS-name>\OabDropFolderLocation

      Nota

      De forma predeterminada, el directorio ExchangeOAB se encuentra en la siguiente ubicación: %Archivos de programa%\Microsoft\Exchange Server\ExchangeOAB

  • Función del servidor Transporte de concentradores

    • Archivos de registro generales, por ejemplo, seguimiento de mensajes. Estos archivos están ubicados en subcarpetas de la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Logs. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange:  Get-TransportServer <servername>| fl *logpath*,*tracingpath*

    • Las carpetas de mensajes ubicadas en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles. Para determinar las rutas que se van a usar, ejecute este comando en el Shell de administración de Exchange:  Get-TransportServer <servername>| fl *dir*path* 

    • La base de datos de colas, los archivos de punto de control y los archivos de registro de la función del servidor de transporte que están ubicados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Para obtener más información acerca de cómo obtener la ubicación del directorio en caso de que los archivos de base de datos de colas se hayan movido de la ubicación predeterminada, consulte Uso de la base de datos de colas en servidores de transporte.

    • La base de datos de reputación del remitente, los archivos de punto de control y los archivos de registro de la función del servidor de transporte que están ubicados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

    • La base de datos de filtros IP, los archivos de punto de control y los archivos de registro de la función del servidor de transporte que están ubicados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

    • Las carpetas temporales usadas para realizar las conversiones:

      • Las conversiones de contenido se realizan en la carpeta TMP del servidor.

      • Las conversiones OLE se realizan en la carpeta %Archivos de programa%\Microsoft\Exchange Server\Working\OleConvertor.

    • Todas las carpetas de los programas antivirus preparados para Exchange

  • Función del servidor Transporte perimetral

    • Los archivos de base de datos y de registro de Active Directory Application Mode (ADAM) que están ubicados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Data\Adam. Para obtener más información acerca de cómo obtener la ubicación del directorio en caso de que los archivos de base de datos de ADAM se hayan movido de la ubicación predeterminada, consulte Cómo modificar la configuración de ADAM.

    • Archivos de registro generales, por ejemplo, seguimiento de mensajes. Estos archivos están ubicados en subcarpetas de la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Logs. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-TransportServer <servername>| fl *logpath*,*tracingpath* 

    • Las carpetas de mensajes ubicadas en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange:  Get-TransportServer <servername>| fl *dir*path* 

    • La base de datos de colas, los archivos de punto de control y los archivos de registro de la función del servidor de transporte que están ubicados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Para obtener más información acerca de cómo obtener la ubicación del directorio en caso de que los archivos de base de datos de colas se hayan movido de la ubicación predeterminada, consulte Uso de la base de datos de colas en servidores de transporte.

    • La base de datos de reputación del remitente, los archivos de punto de control y los archivos de registro de la función del servidor de transporte que están ubicados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

    • La base de datos de filtros IP, los archivos de punto de control y los archivos de registro de la función del servidor de transporte que están ubicados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

    • Las carpetas temporales usadas para realizar las conversiones:

      • Las conversiones de contenido se realizan en la carpeta TMP del servidor.

      • Las conversiones OLE se realizan en la carpeta %Archivos de programa%\Microsoft\Exchange Server\Working\OleConvertor.

    • Todas las carpetas de los programas antivirus preparados para Exchange

  • Función del servidor Acceso de cliente de cliente

    • La carpeta de compresión de Internet Information Services (IIS) 6.0 que se usa con Microsoft Outlook Web Access. De forma predeterminada, la carpeta de compresión de IIS 6.0 está ubicada en %systemroot%\IIS Temporary Compressed Files.

      Para obtener más información, consulte el artículo 817442 de Microsoft Knowledge Base, Puede devolverse un archivo de 0 bytes cuando está habilitada la compresión en un servidor que ejecuta IIS.

    • Archivos del sistema IIS en la carpeta %SystemRoot%\System32\Inetsrv

    • Los archivos de Internet se almacenan en subcarpetas de la carpeta %Archivos de programa%\Microsoft\Exchange Server\ClientAccess

    • La carpeta temporal usada para realizar la conversión de contenido. De forma predeterminada, es la carpeta TMP del servidor.

  • Función del servidor Mensajería unificada

    • Los archivos de gramática almacenados en las subcarpetas de la carpeta %Archivos de programa%\Microsoft\Exchange Server\UnifiedMessaging\grammars

    • Los mensajes de voz almacenados en las subcarpetas de la carpeta %Archivos de programa%\Microsoft\Exchange Server\UnifiedMessaging\Prompts

    • Los archivos de correo de voz almacenados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\UnifiedMessaging\voicemail

    • Los archivos de correo de voz incorrectos almacenados en la carpeta %Archivos de programa%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail

  • Microsoft ForeFront Security para Exchange Server:

    • Los mensajes archivados almacenados en la carpeta %Archivos de programa%\Microsoft ForeFront Security\Exchange Server\Data\Archive

    • Los mensajes en cuarentena almacenados en la carpeta %Archivos de programa%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine

    • Los archivos del motor antivirus almacenados en subcarpetas de la carpeta %Archivos de programa%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86

    • Los archivos de configuración almacenados en la carpeta %Archivos de programa%\Microsoft ForeFront Security\Exchange Server\Data

  • Microsoft ForeFront Security para Exchange Server en clústeres de copia única (SCC)
    Además de los directorios que contienen archivos de configuración y motor antivirus, excluya el directorio del recurso compartido de almacenamiento usado para datos de ForeFront.

    Para determinar que ForeFront usa en un SCC, compruebe el valor de la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath

    UNRESOLVED_TOKEN_VAL(exRegistry) 

Exclusiones de procesos

Ahora, muchos analizadores de archivos permiten analizar los procesos. Esto también puede afectar negativamente a Microsoft Exchange si se analizan los procesos incorrectos. Por lo tanto, debe excluir los siguientes procesos de los analizadores de archivos.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

Msexchangeadtopologyservice.exe

Dsamain.exe

Msexchangefds.exe

Edgecredentialsvc.exe

Msexchangemailboxassistants.exe

Edgetransport.exe

Msexchangemailsubmission.exe

Galgrammargenerator.exe

Msexchangetransport.exe

Inetinfo.exe

Msexchangetransportlogsearch.exe

Mad.exe

Msftefd.exe

Microsoft.Exchange.Antispamupdatesvc.exe

Msftesql.exe

Microsoft.Exchange.Contentfilter.Wrapper.exe

Oleconverter.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Powershell.exe

Microsoft.Exchange.Edgesyncsvc.exe

Sesworker.exe

Microsoft.Exchange.Imap4.exe

Speechservice.exe

Microsoft.Exchange.Imap4service.exe

Store.exe

Microsoft.Exchange.Infoworker.Assistants.exe

Transcodingservice.exe

Microsoft.Exchange.Monitoring.exe

Umservice.exe

Microsoft.Exchange.Pop3.exe

Umworkerprocess.exe

Microsoft.Exchange.Pop3service.exe

W3wp.exe

Si también va a implementar ForeFront Security en Exchange Server, excluya los siguientes procesos.

Adonavsvc.exe

Fscstatsserv.exe

Fsccontroller.exe

Fsctransportscanner.exe

Fscdiag.exe

Fscutility.exe

Fscexec.exe

Fsemailpickup.exe

Fscimc.exe

Fssaclient.exe

Fscmanualscanner.exe

Getenginefiles.exe

Fscmonitor.exe

Perfmonitorsetup.exe

Fscrealtimescanner.exe

Scanenginetest.exe

Fscstarter.exe

Semsetup.exe

Exclusiones de extensiones de nombres de archivo

Además de excluir directorios y procesos específicos, como medida secundaria, en caso de que la exclusión de directorios no funcione o se muevan los archivos, debe excluir las siguientes extensiones de nombres de archivo específicas de Exchange.

  • Extensiones relacionadas con la aplicación

    • .config

    • .dia

    • .wsb

  • Extensiones relacionadas con bases de datos

    • .chk

    • .log

    • .edb

    • .jrs

    • .que

  • Extensiones relacionadas con la libreta de direcciones sin conexión:

    • .lzx

  • Extensiones relacionadas con el índice de contenido

    .ci

    .wid

    .001

    .dir

    .000

    .002

  • Extensiones relacionadas con la Mensajería unificada

    • .cfg

    • .grxml

  • Extensiones relacionadas con ForeFront Security para Exchange Server

    .avc

    .dt

    .lst

    .cab

    .fdb

    .mdb

    .cfg

    .fdm

    .ppl

    .config

    .ide

    .set

    .da1

    .key

    .v3d

    .dat

    .klb

    .vdb

    .def

    .kli

    .vdm

Las extensiones de nombre de archivo enumeradas para ForeFront Security para Exchange Server son los archivos de firma de varios motores antivirus. En la mayoría de los casos, estas extensiones de nombre de archivo no cambian aunque en el futuro se podrían agregar más extensiones de nombre de archivo a medida que los fabricantes antivirus actualicen sus archivos de firma.