Ricerca di virus a livello di file in Exchange 2010
Si applica a: Exchange Server 2010
Ultima modifica dell'argomento: 2010-01-20
In questo argomento vengono descritti gli effetti dei programmi antivirus a livello di file sui computer che eseguono Microsoft Exchange Server 2010. Se vengono implementate le indicazioni descritte in questo argomento, sarà possibile migliorare la protezione e l'integrità dell'organizzazione Exchange.
I programmi antivirus a livello di file vengono utilizzati di frequente, Tuttavia, se sono configurati in modo non corretto, possono causare problemi in Exchange 2010. Esistono due tipi di programmi antivirus a livello di file:
- Per ricerca a livello di file residente in memoria si intende una parte di software antivirus che viene sempre caricata in memoria e che consente di controllare tutti i file utilizzati nel disco rigido e nella memoria del computer.
- Per ricerca a livello di file su richiesta si intende una parte di software antivirus che può essere configurata per eseguire la ricerca nei file presenti sul disco rigido in modo manuale o in base a una pianificazione. In alcune versioni di software antivirus la ricerca su richiesta viene avviata automaticamente dopo l'aggiornamento delle impronte digitali del virus per garantire che la ricerca venga eseguita in tutti i file con le impronte più recenti.
Quando vengono utilizzati programmi antivirus a livello di file in Exchange 2010, possono verificarsi i seguenti problemi:
- È possibile che la ricerca venga eseguita in un file mentre è in uso oppure in base a un intervallo pianificato. Pertanto, se Microsoft Exchange tenta di utilizzare un file di registro o di database di Exchange, il programma antivirus potrebbe bloccare il file o metterlo in quarantena. Tale comportamento può provocare un errore grave in Microsoft Exchange nonché errori -1018.
- I programmi antivirus a livello di file non forniscono protezione contro i virus della posta elettronica, ad esempio Storm Worm. Storm Worm era un virus di tipo trojan horse venne propagato tramite messaggi di posta elettronica. Il worm ha attaccato il computer infetto e ha fatto sì che il computer iniziasse a inviare messaggi di posta indesiderata ad intervalli periodici. Questi virus possono influire sulle prestazioni del computer e della rete alla quale è collegato.
Consigli per l'utilizzo della scansione a livello di file con Exchange 2010
Se nei server Exchange 2010 vengono distribuiti programmi antivirus a livello di file, assicurarsi che vengano implementate le esclusioni appropriate relative a directory, processi ed estensioni di nomi file, per la ricerca a livello di file e di memoria. In questa sezione vengono descritte tali esclusioni per ogni server o ruolo del server.
Esclusioni di directory
È necessario escludere directory specifiche per ogni server o ruolo del server Exchange in cui viene eseguito il programma antivirus a livello di file. In questa sezione vengono descritte le directory da escludere dalla ricerca a livello di file per ogni server o ruolo del server.
Ruolo del server Cassette postali
- Database e file dei punti di arresto e di registro di Exchange. Per impostazione predefinita, questi elementi si trovano in sottocartelle della cartella %ExchangeInstallPath%\Mailbox. Per ottenere la posizione della directory, eseguire i comandi riportati di seguito in Exchange Management Shell:
- Per determinare la posizione di un database di cassette postali, un file di registro delle transazioni e di un file del punto di arresto, eseguire il comando riportato di seguito:
Get-MailboxDatabase -server <servername>| format-list *path*
- Per determinare la posizione di un database di cassette postali, un file di registro delle transazioni e di un file del punto di arresto, eseguire il comando riportato di seguito:
- Indici del contenuto dei database. Per impostazione predefinita, questi file si trovano nella stessa cartella del file del database.
- File di metrica del gruppo. Per impostazione predefinita, questi file si trovano nella cartella %ExchangeInstallPath%\GroupMetrics.
- File di registro generali, ad esempio file di registro di verifica messaggi e ripristino del calendario. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\TransportRoles\Logs e della cartella %ExchangeInstallPath%\Logging. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell:
Get-MailboxServer <servername> | format-list *path* - I File della rubrica non in linea Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\ExchangeOAB
- File di sistema di IIS nella cartella %SystemRoot%\System32\Inetsrv.
- La cartella temporanea utilizzata con le utilità di manutenzione non in linea, ad esempio Eseutil.exe. Per impostazione predefinita, questa cartella si trova nella posizione da cui viene eseguito il file EXE. Tuttavia, è possibile configurare la posizione da cui viene effettuata l'operazione quando si esegue l'utilità.
- La cartella temporanea del database delle cassette postali: %ExchangeInstallPath%\Mailbox\MDBTEMP
- Qualsiasi cartella di programmi antivirus compatibili con Exchange.
- Database e file dei punti di arresto e di registro di Exchange. Per impostazione predefinita, questi elementi si trovano in sottocartelle della cartella %ExchangeInstallPath%\Mailbox. Per ottenere la posizione della directory, eseguire i comandi riportati di seguito in Exchange Management Shell:
Server Cassette postali è un membro di un Gruppo di disponibilità del database
Tutti gli elementi elencati nel ruolo del server Cassette postali e i seguenti elementi:- Il disco quorum e la cartella %Winnt%\Cluster
Server di controllo
- I file della directory di controllo. Questi file si trovano in un server diverso dell'ambiente, in genere un server Trasporto Hub. Per impostazione predefinita, questi file si trovano in \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>) e la condivisione predefinita (<DAGFQDN>) su quel server. Per ulteriori informazioni su un gruppo di disponibilità del database (DAG) e i server di controllo, vedere Gestione dei gruppi di disponibilità del database.
Ruolo del server Trasporto Hub
- File di registro generali, ad esempio di verifica dei messaggi e di registri di connettività. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\TransportRoles\Logs. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell:
Get-TransportServer <servername>| format-list *logpath*,*tracingpath* - Cartelle delle directory di prelievo e di riproduzione dei messaggi. Per impostazione predefinita, queste cartelle si trovano nella cartella %ExchangeInstallPath%\TransportRoles. Per determinare i percorsi utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell:
Get-TransportServer <servername>| fl *dir*path* - Il database della coda del ruolo del server di trasporto, il punto di arresto e il file di registro. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\Queue. Per ulteriori informazioni, vedere Gestione delle code di trasporto.
- I file di registro, i punti di arresto e il database della reputazione del mittente relativi al ruolo del server di trasporto. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.
- I file di registro, i punti di arresto e il database del filtro IP relativi al ruolo del server di trasporto. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\IpFilter.
- Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:
- Per impostazione predefinita, le conversioni del contenuto vengono eseguite nella cartella TMP del server Exchange.
- Per impostazione predefinita, le conversioni OLE vengono eseguite nella cartella %ExchangeInstallPath%\Working\OleConvertor.
- Qualsiasi cartella di programmi antivirus compatibili con Exchange
- File di registro generali, ad esempio di verifica dei messaggi e di registri di connettività. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\TransportRoles\Logs. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell:
Ruolo del server Trasporto Edge
- Il database di Active Directory Lightweight Directory Service (AD LDS) e i file di registro. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\Adam. Per ulteriori informazioni sui file di database AD LDS, vedere Modifica della configurazione dei servizi AD LDS.
- File di registro generali, ad esempio file di verifica messaggi. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\TransportRoles\Logs. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell:
Get-TransportServer <servername> | format-list *logpath*,*tracingpath* - Le cartelle Prelievo e Riproduzione dei messaggi. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell:
Get-TransportServer <servername>| format-list *dir*path* - Il database della coda del ruolo del server di trasporto, il punto di arresto e il file di registro. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\Queue. Per ulteriori informazioni sulle code del server di Trasporto, vedere Gestione delle code di trasporto.
- I file di registro, i punti di arresto e il database della reputazione del mittente relativi al ruolo del server di trasporto. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\SenderReputation
- I file di registro, i punti di arresto e il database del filtro IP relativi al ruolo del server di trasporto. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\IpFilter
- Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:
- Per impostazione predefinita, le conversioni del contenuto vengono eseguite nella cartella TMP del server.
- Per impostazione predefinita, le conversioni OLE vengono eseguite nella cartella %ExchangeInstallPath%\Working\OleConvertor.
- Qualsiasi cartella di programmi antivirus compatibili con Exchange
Ruolo del server Accesso client
- Per i server con Internet Information Services (IIS) 7.0, la cartella di compressione viene utilizzata con Microsoft Applicazione Web Outlook. Per impostazione predefinita, la cartella di compressione di IIS 7.0 si trova in %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.
- Per i server con Internet Information Services (IIS) 6.0, la cartella di compressione viene utilizzata con Microsoft Applicazione Web Outlook. Per impostazione predefinita, la cartella di compressione di IIS 6.0 si trova in %systemroot%\IIS Temporary Compressed Files.
- Nota Per ulteriori informazioni su eventuali errori derivanti dalla scansione della cartella di compressione IIS, vedere l'articolo 817442 della Microsoft Knowledge Base Un file di 0 byte può essere restituito quando è attivata la compressione su un server che esegue IIS.
- File di sistema di IIS nella cartella %SystemRoot%\System32\Inetsrv.
- Inetpub\logs\logfiles\w3svc
- I file relativi a Internet che sono archiviati nelle sottocartelle della cartella %ExchangeInstallPath%\ClientAccess
- Per i server che hanno permesso la registrazione di protocollo per POP3 o IMAP4, per le cartelle indicate di seguito:
- Cartella POP3: %ExchangeInstallPath%\Logging\POP3
- Cartella IMAP4: %ExchangeInstallPath%\Logging\IMAP4
- Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:
- Per impostazione predefinita, le conversioni del contenuto vengono eseguite nella cartella TMP del server.
- Per impostazione predefinita, le conversioni OLE vengono eseguite nella cartella %ExchangeInstallPath%\Working\OleConvertor.
Ruolo del server Messaggistica unificata
- I file di grammatica per impostazioni internazionali diverse, ad esempio en-EN o es-ES. Per impostazione predefinita, questi vengono memorizzati in sottocartelle nella cartella %ExchangeInstallPath%\UnifiedMessaging\grammars.
- Istruzioni vocali, messaggi di saluto e i file di messaggio informativo. Per impostazione predefinita, questi vengono memorizzati nelle sottocartelle nella cartella %ExchangeInstallPath%\UnifiedMessaging\Prompts
- I file della casella vocale vengono memorizzati temporaneamente nella cartella %ExchangeInstallPath%\UnifiedMessaging\voicemail.
- I file temporanei generati dalla messaggistica unificata. Per impostazione predefinita, questi vengono memorizzati nella cartella %ExchangeInstallPath%\UnifiedMessaging\temp.
Microsoft Forefront Protection per Exchange
- La cartella di installazione di Forefront. Per impostazione predefinita, questo è %Programmi%\Microsoft ForeFront Security\Exchange.
- Tutti i messaggi archiviati. Per impostazione predefinita, questi vengono memorizzati nella cartella %Programmi%\Microsoft ForeFront Security\Exchange Server\Data\Archive.
- Tutti i file in quarantena. Per impostazione predefinita, questi vengono memorizzati nella cartella %Programmi%\Microsoft Forefront Security\Exchange Server\Data\Quarantine.
- I file del modulo antivirus. Per impostazione predefinita, questi vengono memorizzati nelle sottocartelle nella cartella %Programmi%\Microsoft Forefront Security\Exchange Server\Data\Engines\x86.
- I file di configurazione. Per impostazione predefinita, questi vengono memorizzati nella cartella %Programmi%\Microsoft Forefront Security\Exchange Server\Data.
Esclusioni di processi
Molti programmi antivirus a livello di file supportano la ricerca all'interno dei processi, che può influire negativamente su Microsoft Exchange se la ricerca viene eseguita nei processi errati. Pertanto, è necessario escludere i seguenti processi dal programma antivirus a livello di file.
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Cluster.exe |
MSExchangeASTopologyService.exe |
Dsamain.exe |
MSExchangeFDS.exe |
EdgeCredentialSvc.exe |
MSExchangeMailboxAssistants.exe |
EdgeTransport.exe |
MSExchangeMailboxReplication.exe |
ExFBA.exe |
MSExchangeMailSubmission.exe |
GalGrammarGenerator.exe |
MSExchangeRepl.exe |
Inetinfo.exe |
MSExchangeTransport.exe |
Mad.exe |
MSExchangeTransportLogSearch.exe |
Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeThrottling.exe |
Microsoft.Exchange.AntispamUpdateSvc.exe |
Msftefd.exe |
Microsoft.Exchange.ContentFilter.Wrapper.exe |
Msftesql.exe |
Microsoft.Exchange.EdgeSyncSvc.exe |
OleConverter.exe |
Microsoft.Exchange.Imap4.exe |
Powershell.exe |
Microsoft.Exchange.Imap4service.exe |
SESWorker.exe |
Microsoft.Exchange.Infoworker.Assistants.exe |
SpeechService.exe |
Microsoft.Exchange.Monitoring.exe |
Store.exe |
Microsoft.Exchange.Pop3.exe |
TranscodingService.exe |
Microsoft.Exchange.Pop3service.exe |
UmService.exe |
Microsoft.Exchange.ProtectedServiceHost.exe |
UmWorkerProcess.exe |
Microsoft.Exchange.RPCClientAccess.Service.exe |
W3wp.exe |
Se viene distribuito anche Forefront Protection for Exchange Server, è necessario escludere i seguenti processi.
Adonavsvc.exe |
FscStatsServ.exe |
FscController.exe |
FscTransportScanner.exe |
FscDiag.exe |
FscUtility.exe |
FscExec.exe |
FsEmailPickup.exe |
FscImc.exe |
FssaClient.exe |
FscManualScanner.exe |
GetEngineFiles.exe |
FscMonitor.exe |
PerfmonitorSetup.exe |
FscRealtimeScanner.exe |
ScanEngineTest.exe |
FscStarter.exe |
SemSetup.exe |
Esclusioni di estensioni di nomi file
Oltre ad escludere le directory e i processi specifici, si devono escludere le seguenti estensioni di nomi file specifiche di Exchange in caso di errore nelle esclusioni di directory o di spostamento di file dalle loro posizioni predefinite.
Estensioni relative all'applicazione
- CONFIG
- DIA
- WSB
Estensioni relative al database
- CHK
- LOG
- EDB
- JRS
- QUE
Estensioni relative alla Rubrica fuori rete:
- LZX
Estensioni relative all'indice del contenuto:
CI
WID
.001
DIR
.000
.002
Estensioni relative alla messaggistica unificata:
- CFG
- GRXML
GroupMetrics
- .dsc
- .bin
- .xml
Estensioni relative a Forefront Protection for Exchange Server
AVC
DT
LST
CAB
FDB
MDB
CFG
FDM
PPL
CONFIG
IDE
SET
DA1
KEY
V3D
DAT
KLB
VDB
DEF
KLI
VDM
Le estensioni di nomi file elencate per Forefront Protection for Exchange Server sono file delle impronte digitali che si trovano in diversi moduli di directory antivirus. Nella maggior parte dei casi, queste estensioni di nomi file non vengono modificate, tuttavia è possibile che vengano aggiunte nuove estensioni in seguito all'aggiornamento dei file delle impronte digitali dei virus da parte dei fornitori di programmi antivirus di terze parti.