Ricerca di virus a livello di file in Exchange 2007

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2009-07-22

In questo argomento vengono descritti gli effetti dei programmi antivirus a livello di file sui computer che eseguono Microsoft Exchange Server 2007. Se vengono implementate le indicazioni descritte in questo argomento, sarà possibile migliorare la protezione e l'integrità dell'organizzazione di Exchange.

I programmi antivirus a livello di file vengono utilizzati di frequente, tuttavia, se configurati in modo errato, possono causare problemi in Exchange 2007.

Esistono due tipi di programmi antivirus a livello di file:

  • Per ricerca a livello di file residente in memoria si intende una parte di software antivirus che viene sempre caricata in memoria e che consente di controllare tutti i file utilizzati nel disco rigido e nella memoria del computer.

  • Per ricerca a livello di file su richiesta si intende una parte di software antivirus che può essere configurata per eseguire la ricerca nei file presenti sul disco rigido in modo manuale o in base a una pianificazione. In alcune versioni di software antivirus la ricerca su richiesta viene avviata automaticamente dopo l'aggiornamento delle impronte digitali del virus per garantire che la ricerca venga eseguita in tutti i file con le impronte più recenti.

Quando vengono utilizzati programmi antivirus a livello di file in Exchange 2007, possono verificarsi i seguenti problemi:

  • È possibile che la ricerca venga eseguita in un file mentre è in uso oppure in base a un intervallo pianificato. Pertanto, se Microsoft Exchange tenta di utilizzare un file di registro o di database di Exchange, il programma antivirus potrebbe bloccare il file o metterlo in quarantena. Tale comportamento può provocare un errore grave in Microsoft Exchange nonché errori -1018.

  • I programmi antivirus a livello di file non forniscono protezione contro i virus della posta elettronica, ad esempio il virus Melissa.

    Nota

    Questo virus macro di tipo trojan horse venne propagato tramite messaggi di posta elettronica nel 1999. Il virus inviava messaggi contenenti allegati dannosi agli indirizzi delle rubriche personali di client di posta Microsoft Outlook. Questo tipo di virus è in grado di provocare la distruzione dei dati.

Indicazioni relative a Exchange 2007

Se nei server Exchange 2007 vengono distribuiti programmi antivirus a livello di file, assicurarsi che vengano implementate le esclusioni appropriate relative a directory, processi ed estensioni di nomi file, sia per la ricerca pianificata che per quella in tempo reale. In questa sezione vengono descritte tali esclusioni per ogni server o ruolo del server.

Esclusioni di directory

È necessario escludere directory specifiche per ogni server o ruolo del server Exchange in cui viene eseguito il programma antivirus a livello di file. In questa sezione vengono descritte le directory da escludere dalla ricerca a livello di file per ogni server o ruolo del server.

  • Ruolo del server Cassette postali

    • Database di Exchange, file del punto di arresto e file di registro in tutti i gruppi di archiviazione. Per impostazione predefinita, questi elementi si trovano in sottocartelle della cartella %Programmi%\Microsoft\Exchange Server\Mailbox. Per ottenere la posizione della directory, eseguire i comandi riportati di seguito in Exchange Management Shell:

      • Per determinare la posizione di un file di registro delle transazioni e di un file del punto di arresto, eseguire il comando riportato di seguito: Get-StorageGroup -server <servername>| fl *path*

      • Per determinare la posizione di un database delle cassette postali, eseguire il comando riportato di seguito: Get-MailboxDatabase -server <servername>| fl *path*

      • Per determinare la posizione di un database delle cartelle pubbliche, eseguire il comando riportato di seguito: Get-PublicFolderDatabase -server <servername>| fl *path*

    • Indici del contenuto dei database. Per impostazione predefinita, questi elementi si trovano in sottocartelle del gruppo di archiviazione nella cartella %Programmi%\Microsoft\Exchange Server\Mailbox.

    • File di registro generali, ad esempio file di registro di verifica messaggi. Questi file si trovano in sottocartelle delle cartelle %Programmi%\Microsoft\Exchange Server\TransportRoles\Logs e %Programmi%\Microsoft\Exchange Server\Logging. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-MailboxServer <servername>| fl *path* 

    • I file della Rubrica fuori rete che si trovano in sottocartelle della cartella %Programmi%\Microsoft\Exchange Server\ExchangeOAB.

    • File di sistema di IIS nella cartella %SystemRoot%\System32\Inetsrv.

    • La cartella temporanea utilizzata con le utilità di manutenzione non in linea, ad esempio Eseutil.exe. Per impostazione predefinita, questa cartella si trova nella posizione da cui viene eseguito il file EXE. Tuttavia, è possibile configurare la posizione da cui viene effettuata l'operazione quando si esegue l'utilità.

    • Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:

      • Le conversioni di contenuto vengono eseguite nella cartella TMP del server.

      • Le conversioni OLE vengono eseguite nella cartella %Programmi%\Microsoft\Exchange Server\Working\OleConvertor.

      • La cartella temporanea del database delle cassette postali: %Programmi%\Microsoft\Exchange Server\Mailbox\MDBTEMP.

    • Qualsiasi cartella di programmi antivirus compatibili con Exchange.

  • Server di cassette postali in cluster
    Tutti gli elementi elencati nel ruolo del server Cassette postali e i seguenti elementi:

    • Il disco quorum e la cartella %Winnt%\Cluster

    • Il witness di condivisione file, che si trova in un server diverso dell'ambiente, in genere un server Trasporto Hub.

    • La directory ExchangeOAB su un'unità condivisa. Il percorso è specificato dalla chiave del Registro di sistema SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<nome-CMS>\OabDropFolderLocation

      Nota

      Per impostazione predefinita, la directory ExchangeOAB si trova nel seguente percorso: %Program Files%\Microsoft\Exchange Server\ExchangeOAB

  • Ruolo del server Trasporto Hub

    • File di registro generali, ad esempio file di verifica messaggi. Questi file si trovano in sottocartelle della cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Logs. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-TransportServer <servername>| fl *logpath*,*tracingpath*

    • Le cartelle dei messaggi che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles. Per determinare i percorsi utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-TransportServer <servername>| fl *dir*path* 

    • I file di registro, dei punti di arresto e del database delle code relativi al ruolo del server di trasporto che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Per ulteriori informazioni su come ottenere la posizione delle directory se i file del database delle code sono stati spostati dalla posizione predefinita, vedere Utilizzo del database della coda sui server di trasporto.

    • I file di registro, dei punti di arresto e del database della reputazione del mittente relativi al ruolo del server di trasporto che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

    • I file di registro, dei punti di arresto e del database del filtro IP relativi al ruolo del server di trasporto che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

    • Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:

      • Le conversioni di contenuto vengono eseguite nella cartella TMP del server.

      • Le conversioni OLE vengono eseguite nella cartella %Programmi%\Microsoft\Exchange Server\Working\OleConvertor.

    • Qualsiasi cartella di programmi antivirus compatibili con Exchange.

  • Ruolo del server Trasporto Edge

    • I file di registro e quelli del database Active Directory Application Mode (ADAM) che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Data\Adam. Per ulteriori informazioni su come ottenere la posizione delle directory se i file del database ADAM sono stati spostati dalla posizione predefinita, vedere Come modificare la configurazione ADAM.

    • File di registro generali, ad esempio file di verifica messaggi. Questi file si trovano in sottocartelle della cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Logs. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-TransportServer <servername>| fl *logpath*,*tracingpath* 

    • Le cartelle dei messaggi che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-TransportServer <servername>| fl *dir*path* 

    • I file di registro, dei punti di arresto e del database delle code relativi al ruolo del server di trasporto che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Per ulteriori informazioni su come ottenere la posizione delle directory se i file del database delle code sono stati spostati dalla posizione predefinita, vedere Utilizzo del database della coda sui server di trasporto.

    • I file di registro, dei punti di arresto e del database della reputazione del mittente relativi al ruolo del server di trasporto che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

    • I file di registro, dei punti di arresto e del database del filtro IP relativi al ruolo del server di trasporto che si trovano nella cartella %Programmi%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

    • Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:

      • Le conversioni di contenuto vengono eseguite nella cartella TMP del server.

      • Le conversioni OLE vengono eseguite nella cartella %Programmi%\Microsoft\Exchange Server\Working\OleConvertor.

    • Qualsiasi cartella di programmi antivirus compatibili con Exchange.

  • Ruolo del server Accesso client

    • La cartella di compressione di Internet Information Services (IIS) 6.0 utilizzata con Microsoft Outlook Web Access. Per impostazione predefinita, la cartella di compressione di IIS 6.0 si trova in %systemroot%\IIS Temporary Compressed Files.

      Per ulteriori informazioni, vedere l'articolo 817442 della Microsoft Knowledge Base, Un file di 0 byte può essere restituito quando è attivata la compressione su un server che esegue IIS.

    • File di sistema di IIS nella cartella %SystemRoot%\System32\Inetsrv.

    • I file relativi a Internet che sono archiviati nelle sottocartelle della cartella %Programmi%\Microsoft\Exchange Server\ClientAccess.

    • La cartella temporanea utilizzata per eseguire conversioni di contenuto. Per impostazione predefinita, viene utilizzata la cartella TMP del server.

  • Ruolo del server Messaggistica unificata

    • I file di grammatica che sono archiviati nelle sottocartelle della cartella %Programmi%\Microsoft\Exchange Server\UnifiedMessaging\grammars.

    • Le istruzioni vocali che sono archiviate nelle sottocartelle della cartella %Programmi%\Microsoft\Exchange Server\UnifiedMessaging\Prompts.

    • I file della casella vocale che sono archiviati nella cartella %Programmi%\Microsoft\Exchange Server\UnifiedMessaging\voicemail.

    • I file della casella vocale non validi che sono archiviati nella cartella %Programmi%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail.

  • Microsoft ForeFront Security for Exchange Server

    • I messaggi archiviati nella cartella %Programmi%\Microsoft ForeFront Security\Exchange Server\Data\Archive.

    • I file messi in quarantena che sono archiviati nella cartella %Programmi%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine.

    • I file del modulo antivirus che sono archiviati nella cartella %Programmi%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86.

    • I file di configurazione che sono archiviati nella cartella %Programmi%\Microsoft ForeFront Security\Exchange Server\Data.

  • Microsoft ForeFront Security per Exchange Server in cluster a copia singola (SCC, Single Copy Cluster)
    Oltre alle directory che contengono il modulo antivirus e i file di configurazione, escludere la directory nell'archiviazione condivisa utilizzata per i dati di ForeFront.

    Per determinare il percorso utilizzato da ForeFront in un cluster a copia singola, controllare il valore della seguente chiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath

    UNRESOLVED_TOKEN_VAL(exRegistry) 

Esclusioni di processi

Molti programmi antivirus a livello di file supportano la ricerca all'interno dei processi. Tuttavia, se la ricerca viene eseguita nei processi errati, anche questa operazione può incidere negativamente su Microsoft Exchange. Pertanto, è necessario escludere i seguenti processi dal programma antivirus a livello di file.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

Msexchangeadtopologyservice.exe

Dsamain.exe

Msexchangefds.exe

Edgecredentialsvc.exe

Msexchangemailboxassistants.exe

Edgetransport.exe

Msexchangemailsubmission.exe

Galgrammargenerator.exe

Msexchangetransport.exe

Inetinfo.exe

Msexchangetransportlogsearch.exe

Mad.exe

Msftefd.exe

Microsoft.Exchange.Antispamupdatesvc.exe

Msftesql.exe

Microsoft.Exchange.Contentfilter.Wrapper.exe

Oleconverter.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Powershell.exe

Microsoft.Exchange.Edgesyncsvc.exe

Sesworker.exe

Microsoft.Exchange.Imap4.exe

Speechservice.exe

Microsoft.Exchange.Imap4service.exe

Store.exe

Microsoft.Exchange.Infoworker.Assistants.exe

Transcodingservice.exe

Microsoft.Exchange.Monitoring.exe

Umservice.exe

Microsoft.Exchange.Pop3.exe

Umworkerprocess.exe

Microsoft.Exchange.Pop3service.exe

W3wp.exe

Se viene distribuito anche ForeFront Security for Exchange Server, è necessario escludere anche i seguenti processi:

Adonavsvc.exe

Fscstatsserv.exe

Fsccontroller.exe

Fsctransportscanner.exe

Fscdiag.exe

Fscutility.exe

Fscexec.exe

Fsemailpickup.exe

Fscimc.exe

Fssaclient.exe

Fscmanualscanner.exe

Getenginefiles.exe

Fscmonitor.exe

Perfmonitorsetup.exe

Fscrealtimescanner.exe

Scanenginetest.exe

Fscstarter.exe

Semsetup.exe

Esclusioni di estensioni di nomi file

Oltre alle esclusioni di directory e processi specifici, come misura secondaria in caso di errori nelle esclusioni di directory o di spostamenti di file, è necessario escludere le seguenti estensioni di nomi file specifiche di Exchange.

  • Estensioni relative all'applicazione

    • CONFIG

    • DIA

    • WSB

  • Estensioni relative al database

    • CHK

    • LOG

    • EDB

    • JRS

    • QUE

  • Estensioni relative alla Rubrica fuori rete:

    • LZX

  • Estensioni relative all'indice del contenuto:

    CI

    WID

    .001

    DIR

    .000

    .002

  • Estensioni relative alla messaggistica unificata:

    • CFG

    • GRXML

  • Esclusioni relative a ForeFront Security for Exchange Server:

    AVC

    DT

    LST

    CAB

    FDB

    MDB

    CFG

    FDM

    PPL

    CONFIG

    IDE

    SET

    DA1

    KEY

    V3D

    DAT

    KLB

    VDB

    DEF

    KLI

    VDM

Le estensioni di nomi file elencate per ForeFront Security for Exchange Server sono file delle impronte digitali che si trovano in diversi moduli di directory antivirus. Nella maggior parte dei casi, queste estensioni di nomi file non vengono modificate, tuttavia è possibile che vengano aggiunte nuove estensioni in seguito all'aggiornamento dei file delle impronte digitali dei virus da parte dei fornitori di programmi antivirus di terze parti.