Análisis de antivirus de archivos en Exchange 2010

  • Artículo

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2016-11-28

En este tema se describen los efectos de los programas antivirus para archivos en equipos que ejecutan Microsoft Exchange Server 2010. Si implementa las recomendaciones descritas en este tema, puede ayudar a mejorar la seguridad y la salud de su organización de Exchange.

Los analizadores de archivos se usan con frecuencia. Sin embargo, si no se configuran correctamente, pueden causar problemas en Exchange 2010. Existen dos tipos de analizadores de archivos:

  • Análisis de archivos residente en memoria hace referencia a una parte del software antivirus para archivos que está cargada en la memoria en todo momento. Comprueba todos los archivos que se usan en el disco duro y en la memoria del equipo.

  • Análisis de archivos a petición hace referencia a una parte del software antivirus para archivos que se puede configurar para analizar los archivos del disco duro manualmente o según una programación. Algunas versiones del software antivirus comienzan el análisis a petición automáticamente cuando se actualizan las firmas de los virus para asegurarse de que todos los archivos se analizan con las últimas firmas.

Cuando se usan analizadores de archivos con Exchange 2010, pueden producirse los siguientes problemas:

  • Los analizadores de archivos podrían analizar un archivo mientras se está usando o con un intervalo programado, Esto podría provocar que los analizadores bloquearan o pusieran en cuarentena un registro de Exchange o un archivo de base de datos mientras Microsoft Exchange intenta usarlo. Este comportamiento podría causar un error grave en Microsoft Exchange, además de errores -1018.

  • Los analizadores de archivos no proporcionan protección contra virus de correo electrónico, como el virus Storm Worm. Storm Worm era un virus caballo de Troya de puerta trasera que se propagó automáticamente a través de mensajes de correo electrónico. El gusano unió el equipo infectado a una botnet desde donde se lo usó para enviar mensajes de correo electrónico no deseado en ráfagas periódicas. Estos virus pueden afectar el rendimiento del equipo y de la red a la cual está conectado.

Recomendaciones para el uso de análisis de archivos con Exchange 2010

Si va a implementar analizadores de archivos en servidores de Exchange 2010, asegúrese de realizar las exclusiones apropiadas para los directorios, procesos y extensiones de nombres de archivo tanto en los análisis residentes en memoria como en los de archivos. En esta sección se describen las exclusiones de directorios, de procesos y de extensiones de nombres de archivo para cada servidor o rol del servidor.

Exclusiones de directorios

Debe excluir directorios específicos para cada servidor o rol del servidor de Exchange en el que ejecute un analizador antivirus de archivos. En esta sección se describen los directorios que debe excluir del análisis de archivos en cada servidor o rol de servidor.

  • Rol de servidor Buzón de correo

    • Archivos de bases de datos, de punto de control y de registro de Exchange. De forma predeterminada, están ubicados en subcarpetas de la carpeta %ExchangeInstallPath%\Mailbox. Para obtener la ubicación del directorio, ejecute los siguientes comandos en el Shell de administración de Exchange:

      • Para determinar la ubicación de una base de datos de buzones de correo, de un registro de transacción y de un archivo de punto de control, ejecute el siguiente comando: Get-MailboxDatabase -server <servername>| format-list *path*

    • Índices de contenido de bases de datos. De forma predeterminada, éstos se encuentran en la misma carpeta que el archivo de la base de datos.

    • Archivos de Métricas de grupo. De forma predeterminada, estos se encuentran en la carpeta %ExchangeInstallPath%\GroupMetrics.

    • Archivos de registro generales, como los archivos de registro de seguimiento de mensajes y de reparación de calendario. De forma predeterminada, estos se encuentran en subcarpetas de la carpeta %ExchangeInstallPath%\TransportRoles\Logs y de la carpeta %ExchangeInstallPath%\Logging. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-MailboxServer <servername> | format-list *path*

    • Archivos de la libreta de direcciones sin conexión. De forma predeterminada, estos se encuentran en subcarpetas de la carpeta %ExchangeInstallPath%\ExchangeOAB

    • Archivos del sistema IIS en la carpeta %SystemRoot%\System32\Inetsrv

    • La carpeta temporal que se usa con las utilidades de mantenimiento sin conexión, como Eseutil.exe. De forma predeterminada, el archivo .exe se ejecuta desde esta carpeta. Sin embargo, puede configurar dónde desea realizar la operación cuando ejecute la utilidad.

    • La carpeta temporal de la base de datos de buzones de correo: %ExchangeInstallPath%\Mailbox\MDBTEMP

    • Todas las carpetas de los programas antivirus compatibles con Exchange

  • El servidor Buzón de correo que es miembro de un grupo de disponibilidad de la base de datos
    Todos los elementos enumerados en la lista del rol del servidor Buzón de correo y en la carpeta %Winnt%\Cluster.

  • Servidor testigo

    • Los archivos del directorio testigo. Estos se encuentran en otro servidor del entorno, por lo general, en un servidor de transporte de concentradores. De forma predeterminada, estos archivos se encuentran en \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN> y en el recurso compartido predeterminado (<DAGFQDN>) de ese servidor. Para obtener más información acerca del grupo de disponibilidad de la base de datos (DAG) y de los servidores testigo, consulte Administración de grupos de disponibilidad de base de datos.

  • Rol del servidor Transporte de concentradores

    • Archivos de registro generales, por ejemplo, registros de seguimiento de mensajes y de conectividad. De forma predeterminada, estos archivos se encuentran en subcarpetas de la carpeta %ExchangeInstallPath%\TransportRoles\Logs. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-TransportServer <servername>| format-list *logpath*,*tracingpath*

    • Carpetas de directorio de mensajes Recogida y Reproducción. De forma predeterminada, estas carpetas se encuentran en la carpeta %ExchangeInstallPath%\TransportRoles. Para determinar las rutas que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-TransportServer <servername>| fl *dir*path*

    • La base de datos de cola, el punto de control y los archivos de registro del rol de servidor de transporte. De forma predeterminada, estos se encuentran en la carpeta %ExchangeInstallPath%\TransportRoles\Data\Queue. Para obtener más información, consulte Administración de colas de transporte.

    • La base de datos de reputación de remitentes, el punto de control y los archivos de registro del rol del servidor de transporte. De forma predeterminada, estos se encuentran en la carpeta %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.

    • La base de datos de filtros IP, el punto de control y los archivos de registro del rol del servidor de transporte. De forma predeterminada, estos se encuentran en la carpeta %ExchangeInstallPath%\TransportRoles\Data\IpFilter.

    • Las carpetas temporales usadas para realizar las conversiones:

      • De forma predeterminada, las conversiones de contenido se realizan en la carpeta TMP del servidor de Exchange.

      • De forma predeterminada, las conversiones OLE se realizan en la carpeta %ExchangeInstallPath%\Working\OleConvertor.

    • Todas las carpetas de los programas antivirus compatibles con Exchange

  • Rol de servidor Transporte perimetral

    • La base de datos y los archivos de registro de Active Directory Lightweight Directory Service (AD LDS). De forma predeterminada, estos se encuentran en la carpeta %Ruta de instalación de Exchange%\TransportRoles\Data\Arturo. Para obtener más información acerca de los archivos de base de datos de AD LDS, consulte Modificar la configuración de AD LDS.

    • Archivos de registro generales, por ejemplo, seguimiento de mensajes. De forma predeterminada, estos archivos se encuentran en subcarpetas de la carpeta %ExchangeInstallPath%\TransportRoles\Logs. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-TransportServer <servername> | format-list *logpath*,*tracingpath*

    • Las carpetas de mensajes Recogida y Reproducción. De forma predeterminada, estas se encuentran en la carpeta %ExchangeInstallPath%\TransportRoles. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-TransportServer <servername>| format-list *dir*path*

    • La base de datos de cola, el punto de control y los archivos de registro del rol de servidor de transporte. De forma predeterminada, estos se encuentran en la carpeta %ExchangeInstallPath%\TransportRoles\Data\Queue. Para obtener más información acerca de las colas del servidor de transporte, consulte Administración de colas de transporte.

    • La base de datos de reputación de remitentes, el punto de control y los archivos de registro del rol del servidor de transporte. De forma predeterminada, estos se encuentran en la carpeta %ExchangeInstallPath%\TransportRoles\Data\SenderReputation

    • La base de datos de filtros IP, el punto de control y los archivos de registro del rol del servidor de transporte. De forma predeterminada, estos se encuentran en la carpeta %ExchangeInstallPath%\TransportRoles\Data\IpFilter

    • Las carpetas temporales usadas para realizar las conversiones:

      • De forma predeterminada, las conversiones de contenido se realizan en la carpeta TMP del servidor.

      • De forma predeterminada, las conversiones OLE se realizan en la carpeta %ExchangeInstallPath%\Working\OleConvertor.

    • Todas las carpetas de los programas antivirus compatibles con Exchange

  • Rol de servidor Acceso de clientes

    • Para los servidores que usan Internet Information Services (IIS) 7.0, la carpeta de compresión que se usa con Microsoft Outlook Web App. De forma predeterminada, la carpeta de compresión de IIS 7.0 está ubicada en %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.

    • Para los servidores que usan IIS 6.0, la carpeta de compresión que se usa con Microsoft Outlook Web App. De forma predeterminada, la carpeta de compresión de IIS 6.0 está ubicada en %systemroot%\IIS Temporary Compressed Files. Para obtener más información acerca de posibles errores que surgen del análisis de la carpeta de compresión de IIS, consulte el Microsoft artículo 817442 de Knowledge Base, Puede devolverse un archivo de 0 bytes cuando está habilitada la compresión en un servidor que ejecuta IIS.

    • Archivos del sistema IIS en la carpeta %SystemRoot%\System32\Inetsrv

    • Inetpub\logs\logfiles\w3svc

    • Los archivos relacionados con Internet que se almacenan en subcarpetas de la carpeta %ExchangeInstallPath%\ClientAccess

    • Para los servidores que cuentan con registro de protocolo habilitado para POP3 o IMAP4, las carpetas siguientes:

      • Carpeta POP3: %ExchangeInstallPath%\Logging\POP3

      • Carpeta IMAP4: %ExchangeInstallPath%\Logging\IMAP4

    • Las carpetas temporales usadas para realizar las conversiones:

      • De forma predeterminada, las conversiones de contenido se realizan en la carpeta TMP del servidor.

      • De forma predeterminada, las conversiones OLE se realizan en la carpeta %ExchangeInstallPath%\Working\OleConvertor.

    • Archivos temporales en las subcarpetas de la carpeta de archivos de ASP.NET %windir%\Microsoft.NET\Framework64\v2.0.50727\Temporary.

  • Rol del servidor Mensajería unificada

    • Los archivos de gramática de las distintas configuraciones regionales, por ejemplo, en-EN o es-ES. De forma predeterminada, estos se almacenan en subcarpetas de la carpeta %ExchangeInstallPath%\UnifiedMessaging\grammars.

    • Los archivos de mensajes de asistencia por voz, de saludos y de mensajes informativos. De forma predeterminada, estos se almacenan en subcarpetas de la carpeta %ExchangeInstallPath%\UnifiedMessaging\Prompts

    • Los archivos de correo de voz que se almacenan temporalmente en la carpeta %ExchangeInstallPath%\UnifiedMessaging\voicemail.

    • Los archivos temporales que genera Mensajería unificada. De forma predeterminada, estos se almacenan en la carpeta %ExchangeInstallPath%\UnifiedMessaging\temp.

  • Microsoft Forefront Protection para Exchange

    • La carpeta de instalación de Forefront. De forma predeterminada, es %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\.

    • Todos los mensajes archivados. De forma predeterminada, se almacenan en la carpeta %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive.

    • Todos los archivos en cuarentena. De forma predeterminada, se almacenan en la carpeta %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine.

    • Los archivos del motor antivirus. De forma predeterminada, se almacenan en las subcarpetas de la carpeta %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86 o de la carpeta %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64.

    • Los archivos de configuración. De forma predeterminada, se almacenan en la carpeta %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data.

Exclusiones de procesos

Muchos analizadores de archivo ahora admiten el análisis de procesos, que puede producir un efecto negativo en Microsoft Exchange si se analizan los procesos incorrectos. Por lo tanto, debe excluir los siguientes procesos de los analizadores de archivos.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Clussvc.exe

MSExchangeADTopologyService.exe

Dsamain.exe

MSExchangeFDS.exe

Microsoft.Exchange.EdgeCredentialSvc.exe

MSExchangeMailboxAssistants.exe

EdgeTransport.exe

MSExchangeMailboxReplication.exe

ExFBA.exe

MSExchangeMailSubmission.exe

GalGrammarGenerator.exe

MSExchangeRepl.exe

Inetinfo.exe

MSExchangeTransport.exe

Mad.exe

MSExchangeTransportLogSearch.exe

Microsoft.Exchange.AddressBook.Service.exe

MSExchangeThrottling.exe

Microsoft.Exchange.AntispamUpdateSvc.exe

Msftefd.exe

Microsoft.Exchange.ContentFilter.Wrapper.exe

Msftesql.exe

Microsoft.Exchange.EdgeSyncSvc.exe

OleConverter.exe

Microsoft.Exchange.Imap4.exe

Powershell.exe

Microsoft.Exchange.Imap4service.exe

SESWorker.exe

MSExchangeMailboxAssistants.exe

SpeechService.exe

Microsoft.Exchange.Monitoring.exe

Store.exe

Microsoft.Exchange.Pop3.exe

TranscodingService.exe

Microsoft.Exchange.Pop3service.exe

UmService.exe

Microsoft.Exchange.ProtectedServiceHost.exe

UmWorkerProcess.exe

Microsoft.Exchange.RPCClientAccess.Service.exe

W3wp.exe

Si también va a implementar Forefront Protection para Exchange Server, excluya los siguientes procesos.

Adonavsvc.exe

FscStatsServ.exe

FscController.exe

FscTransportScanner.exe

FscDiag.exe

FscUtility.exe

FscExec.exe

FsEmailPickup.exe

FscImc.exe

FssaClient.exe

FscManualScanner.exe

GetEngineFiles.exe

FscMonitor.exe

PerfmonitorSetup.exe

FscRealtimeScanner.exe

ScanEngineTest.exe

FscStarter.exe

SemSetup.exe

Exclusiones de extensiones de nombres de archivo

Además de excluir directorios y procesos específicos, debe excluir las siguientes extensiones de nombres de archivo específicos de Exchange en caso de que se produzcan errores en las exclusiones de directorios o que se muevan archivos de sus ubicaciones predeterminadas.

  • Extensiones relacionadas con la aplicación

    • .config

    • .dia

    • .wsb

  • Extensiones relacionadas con bases de datos

    .chk

    .jrs

    .log

    .edb

    .jsl

    .que

  • Extensiones relacionadas con la libreta de direcciones sin conexión

    • .lzx

  • Extensiones relacionadas con el índice de contenido

    .ci

    .wid

    .001

    .dir

    .000

    .002

  • Extensiones relacionadas con Mensajería unificada

    • .cfg

    • .grxml

  • GroupMetrics

    • .dsc

    • .bin

    • .xml

  • Forefront Protection para extensiones relacionadas con Exchange Server

    .avc

    .dt

    .lst

    .cab

    .fdb

    .mdb

    .cfg

    .fdm

    .ppl

    .config

    .ide

    .set

    .da1

    .key

    .v3d

    .dat

    .klb

    .vdb

    .def

    .kli

    .vdm

Las extensiones de nombre de archivo enumeradas para Forefront Protection para Exchange Server son los archivos de firma de diversos motores de directorios de antivirus. En la mayoría de los casos, estas extensiones de nombre de archivo no cambian. Sin embargo, las extensiones de nombre de archivo pueden agregarse en el futuro a medida que los proveedores de antivirus de terceros actualizan sus archivos de firma de antivirus.

 © 2010 Microsoft Corporation. Reservados todos los derechos.