Exportar (0) Imprimir
Expandir todo

Software antivirus en el sistema operativo de servidores Exchange

 

Última modificación del tema: 2014-08-13

Este tema describe los efectos de los programas antivirus de nivel de archivo en los equipos que ejecutan Microsoft Exchange Server 2013. Si implementa las recomendaciones descritas en este tema, puede ayudar a mejorar la seguridad y la salud de su organización de Exchange.

Los analizadores de archivos se usan con frecuencia. Sin embargo, si no se configuran correctamente, pueden causar problemas en Exchange 2013. Existen dos tipos de analizadores de archivos:

  • Análisis de archivos residente en memoria hace referencia a una parte del software antivirus para archivos que está cargada en la memoria en todo momento. Comprueba todos los archivos que se usan en el disco duro y en la memoria del equipo.

  • Análisis de archivos a petición hace referencia a una parte del software antivirus para archivos que se puede configurar para analizar los archivos del disco duro manualmente o según una programación. Algunas versiones del software antivirus comienzan el análisis a petición automáticamente cuando se actualizan las firmas de los virus para asegurarse de que todos los archivos se analizan con las últimas firmas.

Cuando se usan analizadores de archivos con Exchange 2013 pueden producirse los siguientes problemas:

  • Los analizadores de archivos podrían analizar un archivo mientras se está usando o con un intervalo programado, lo que podría provocar que los analizadores bloquearan o pusieran en cuarentena un registro de Exchange o un archivo de base de datos mientras Exchange 2013 intenta usarlo. Este comportamiento podría causar un error grave en Exchange 2013, además de errores -1018 de registro de eventos.

  • Los analizadores de archivos no proporcionan protección contra virus de correo electrónico, como el virus Storm Worm. Storm Worm era un programa caballo de Troya de puerta trasera que se propagó automáticamente a través de mensajes de correo electrónico. El gusano unió el equipo infectado a una botnet por el que el equipo se utilizó para enviar mensajes de correo electrónico no deseado en ráfagas periódicas.

Si va a implementar analizadores de archivos en servidores de Exchange 2013, asegúrese de realizar las exclusiones apropiadas para los directorios, procesos y extensiones de nombres de archivo tanto en los análisis residentes en memoria como en el nivel de archivo. Esta sección describe las exclusiones recomendadas de directorio, de procesos y de extensión de nombre de archivo.

Contenido

Exclusiones de directorios

Exclusiones de procesos

Exclusiones de extensiones de nombres de archivo

Debe excluir directorios específicos para cada servidor de Exchange en el cual ejecute un analizador antivirus de nivel de archivos. Esta sección describe los directorios que debe excluir del análisis de nivel de archivo.

servidores de buzones
  • Bases de datos de buzones de correo

    • Archivos de bases de datos, de punto de control y de registro de Exchange. De manera predeterminada, están ubicados en subcarpetas, dentro de la carpeta %ExchangeInstallPath%Mailbox. Para determinar la ubicación de una base de datos de buzones de correo, de un registro de transacción y de un archivo de punto de control, ejecute el siguiente comando: Get-MailboxDatabase -Server <servername>| Format-List *path*

    • Índices de contenido de bases de datos. De forma predeterminada, éstos se encuentran en la misma carpeta que el archivo de la base de datos.

    • Archivos de Métricas de grupo. De manera predeterminada, estos archivos están ubicados en la carpeta %ExchangeInstallPath%GroupMetrics.

    • Archivos de registro generales, como los archivos de registro de seguimiento de mensajes y de reparación de calendario. De manera predeterminada, estos archivos están ubicados en subcarpetas dentro de la carpeta %ExchangeInstallPath%TransportRoles\Logs y %ExchangeInstallPath%Logging. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-MailboxServer <servername> | Format-List *path*

    • Archivos de la libreta de direcciones sin conexión. De forma predeterminada, están ubicados en subcarpetas dentro de la carpeta %ExchangeInstallPath%ClientAccess\OAB.

    • Archivos del sistema IIS en la carpeta %SystemRoot%\System32\Inetsrv.

    • La carpeta temporal de la base de datos de buzones de correo: %ExchangeInstallPath%Mailbox\MDBTEMP

  • Miembros de grupos de disponibilidad de base de datos

    • Todos los elementos que aparecen en la lista Bases de datos de buzón y la base de datos de quórum de clúster que existe en %Windir%\Cluster.

    • Los archivos del directorio testigo. Estos archivos están ubicados en otro servidor del entorno, normalmente un servidor de acceso de cliente que no está instalado en el mismo equipo que el servidor de buzones de correo. De forma predeterminada, el directorio testigo está ubicado en la ruta de acceso %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>.

  • Servicio de transporte

    • Archivos de registro, por ejemplo, registros de conectividad y seguimiento de mensajes. De manera predeterminada, estos archivos están ubicados en subcarpetas dentro de la carpeta %ExchangeInstallPath%TransportRoles\Logs. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-TransportService <servername> | Format-List *logpath*,*tracingpath*

    • Carpetas de directorio de mensajes Recogida y Reproducción. De manera predeterminada, estas carpetas están ubicadas dentro de la carpeta %ExchangeInstallPath%TransportRoles. Para determinar las rutas que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-TransportService <servername>| fl *dir*path*

    • Las bases de datos de cola, los puntos de control y los archivos de registro. De manera predeterminada, están ubicados en la carpeta %ExchangeInstallPath%TransportRoles\Data\Queue.

    • La base de datos de reputación de remitente, el punto de control y los archivos de registro. De manera predeterminada, están ubicados en la carpeta %ExchangeInstallPath%TransportRoles\Data\SenderReputation.

    • Las carpetas temporales usadas para realizar las conversiones:

      • de forma predeterminada, las conversiones de contenido se realizan en la carpeta %TMP% del servidor de Exchange.

      • De manera predeterminada, las conversiones OLE se llevan a cabo en la carpeta %ExchangeInstallPath%Working\OleConverter.

    • El agente Malware y la prevención de pérdida de datos (DLP) utilizan el componente de análisis de contenido. De forma predeterminada, estos archivos se encuentran en la carpeta %ExchangeInstallPath%FIP-FS.

  • Servicio de transporte de buzón de correo

    • Archivos de registro, por ejemplo, registros de conectividad. De manera predeterminada, estos archivos están ubicados en subcarpetas en la carpeta %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-MailboxTransportService <servername> | Format-List *logpath*

  • Mensajería unificada

    • Los archivos de gramática de las distintas configuraciones regionales, por ejemplo, en-EN o es-ES. De manera predeterminada, están almacenados en subcarpetas de la carpeta %ExchangeInstallPath%UnifiedMessaging\grammars.

    • Los archivos de mensajes de asistencia por voz, de saludos y de mensajes informativos. De manera predeterminada, están almacenados en subcarpetas de la carpeta %ExchangeInstallPath%UnifiedMessaging\Prompts

    • Los archivos de correo de voz se almacenan temporalmente en la carpeta %ExchangeInstallPath%UnifiedMessaging\voicemail.

    • Los archivos temporales que genera Mensajería unificada. De manera predeterminada, se almacenan en la carpeta %ExchangeInstallPath%UnifiedMessaging\temp.

servidores Acceso de cliente
  • Componentes web

    • Para los servidores que usan Internet Information Services (IIS) 7.0, la carpeta de compresión que se usa con Microsoft Outlook Web App. De forma predeterminada, la carpeta de compresión de IIS 7.0 está ubicada en %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.

    • Archivos del sistema IIS en la carpeta %SystemRoot%\System32\Inetsrv

    • Inetpub\logs\logfiles\w3svc

  • Registro de protocolos POP3 y IMAP4

    • Carpeta POP3: %ExchangeInstallPath%Logging\POP3

    • Carpeta IMAP4: %ExchangeInstallPath%Logging\IMAP4

  • Servicio de transporte de front-end

    • Archivos de registro, por ejemplo, registros de conectividad y registros de protocolo. De manera predeterminada, estos archivos se ubican en subcarpetas de la carpeta %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Para determinar las rutas de registro que se van a usar, ejecute este comando en el Shell de administración de Exchange: Get-FrontEndTransportService <servername> | Format-List *logpath*

Recomendaciones para el uso de análisis de nivel de archivo con Exchange 2013

Muchos analizadores de archivo ahora admiten el análisis de procesos, que puede producir un efecto negativo en Microsoft Exchange si se analizan los procesos incorrectos. Por lo tanto, debe excluir los siguientes procesos de los analizadores de archivos.

 

Cdb.exe

Microsoft.Exchange.Pop3service.exe

MSExchangeRepl.exe

Cidaemon.exe

Microsoft.Exchange.ProtectedServiceHost.exe

MSExchangeSubmission.exe

Clussvc.exe

Microsoft.Exchange.RPCClientAccess.Service.exe

MSExchangeTransport.exe

Dsamain.exe

Microsoft.Exchange.Search.Service.exe

MSExchangeTransportLogSearch.exe

EdgeCredentialSvc.exe

Microsoft.Exchange.Servicehost.exe

MSExchangeThrottling.exe

EdgeTransport.exe

Microsoft.Exchange.Store.Service.exe

Msftefd.exe

ExFBA.exe

Microsoft.Exchange.Store.Worker.exe

Msftesql.exe

hostcontrollerservice.exe

Microsoft.Exchange.TransportSyncManagerSvc.exe

OleConverter.exe

Inetinfo.exe

Microsoft.Exchange.UM.CallRouter.exe

Powershell.exe

Microsoft.Exchange.AntispamUpdateSvc.exe

MSExchangeDagMgmt.exe

ScanEngineTest.exe

Microsoft.Exchange.ContentFilter.Wrapper.exe

MSExchangeDelivery.exe

ScanningProcess.exe

Microsoft.Exchange.Diagnostics.Service.exe

MSExchangeFrontendTransport.exe

TranscodingService.exe

Microsoft.Exchange.Directory.TopologyService.exe

MSExchangeHMHost.exe

UmService.exe

Microsoft.Exchange.EdgeSyncSvc.exe

MSExchangeHMWorker.exe

UmWorkerProcess.exe

Microsoft.Exchange.Imap4.exe

MSExchangeLESearchWorker.exe

UpdateService.exe

Microsoft.Exchange.Imap4service.exe

MSExchangeMailboxAssistants.exe

W3wp.exe

Microsoft.Exchange.Monitoring.exe

MSExchangeMailboxReplication.exe

 

Microsoft.Exchange.Pop3.exe

MSExchangeMigrationWorkflow.exe

 

Recomendaciones para el uso de análisis de nivel de archivo con Exchange 2013

Además de excluir directorios y procesos específicos, debe excluir las siguientes extensiones de nombres de archivo específicos de Exchange en caso de que se produzcan errores en las exclusiones de directorios o que se muevan archivos de sus ubicaciones predeterminadas.

Extensiones relacionadas con la aplicación:
  • .config

  • .dia

  • .wsb

Extensiones relacionadas con bases de datos:
  • .chk

  • .edb

  • .jrs

  • .jsl

  • .log

  • .que

Extensiones relacionadas con la libreta de direcciones sin conexión:
  • .lzx

Extensiones relacionadas con el índice de contenido:
  • .ci

  • .dir

  • .wid

  • .000

  • .001

  • .002

Extensiones relacionadas con Mensajería unificada:
  • .cfg

  • .grxml

Extensiones relacionadas con las métricas de grupo:
  • .dsc

  • .txt

Recomendaciones para el uso de análisis de nivel de archivo con Exchange 2013

 
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft