Ricerca di virus a livello di file in Exchange 2010

  • Articolo

 

Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Ultima modifica dell'argomento: 2016-11-28

In questo argomento vengono descritti gli effetti dei programmi antivirus a livello di file sui computer che eseguono Microsoft Exchange Server 2010. Se vengono implementate le indicazioni descritte in questo argomento, sarà possibile migliorare la protezione e l'integrità dell'organizzazione Exchange.

I programmi antivirus a livello di file vengono utilizzati di frequente, tuttavia, se configurati in modo errato, possono causare problemi in Exchange 2010. Esistono due tipi di programmi antivirus a livello di file:

  • Per ricerca a livello di file residente in memoria si intende una parte di software antivirus che viene sempre caricata in memoria. e che consente di controllare tutti i file utilizzati nel disco rigido e nella memoria del computer.

  • Per ricerca a livello di file su richiesta si intende una parte di software antivirus che può essere configurata per eseguire la ricerca nei file presenti sul disco rigido in modo manuale o in base a una pianificazione. In alcune versioni di software antivirus la ricerca su richiesta viene avviata automaticamente dopo l'aggiornamento delle impronte digitali del virus per garantire che la ricerca venga eseguita in tutti i file con le impronte più recenti.

Quando vengono utilizzati programmi antivirus a livello di file in Exchange 2010, possono verificarsi i seguenti problemi:

  • È possibile che la ricerca venga eseguita in un file mentre è in uso oppure in base a un intervallo pianificato. Pertanto, se Microsoft Exchange tenta di utilizzare un file di registro o di database di Exchange, il programma antivirus potrebbe bloccare il file o metterlo in quarantena. Tale comportamento può provocare un errore grave in Microsoft Exchange nonché errori -1018.

  • I programmi antivirus a livello di file non forniscono protezione contro i virus della posta elettronica, ad esempio Storm Worm. Storm Worm era un virus di tipo trojan horse venne propagato tramite messaggi di posta elettronica. Il worm ha attaccato il computer infetto e ha fatto sì che il computer iniziasse a inviare messaggi di posta indesiderata ad intervalli periodici. Questi virus possono influire sulle prestazioni del computer e della rete alla quale è collegato.

Consigli per l'utilizzo della scansione a livello di file con Exchange 2010

Se nei server Exchange 2010 vengono distribuiti programmi antivirus a livello di file, assicurarsi che vengano implementate le esclusioni appropriate relative a directory, processi ed estensioni di nomi file, per la ricerca a livello di file e di memoria. In questa sezione vengono descritte tali esclusioni per ogni server o ruolo del server.

Esclusioni di directory

È necessario escludere directory specifiche per ogni server o ruolo del server Exchange in cui viene eseguito il programma antivirus a livello di file. In questa sezione vengono descritte le directory da escludere dalla ricerca a livello di file per ogni server o ruolo del server.

  • Ruolo del server Cassette postali

    • Database e file dei punti di arresto e di registro di Exchange. Per impostazione predefinita, questi elementi si trovano in sottocartelle della cartella %ExchangeInstallPath%\Mailbox. Per ottenere la posizione della directory, eseguire i comandi riportati di seguito in Exchange Management Shell:

      • Per determinare la posizione di un database di cassette postali, un file di registro delle transazioni e di un file del punto di arresto, eseguire il comando riportato di seguito: Get-MailboxDatabase -server <servername>| format-list *path*

    • Indici del contenuto dei database. Per impostazione predefinita, questi file si trovano nella stessa cartella del file del database.

    • File di metrica del gruppo. Per impostazione predefinita, questi file si trovano nella cartella %ExchangeInstallPath%\GroupMetrics.

    • File di registro generali, ad esempio file di registro di verifica messaggi e ripristino del calendario. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\TransportRoles\Logs e della cartella %ExchangeInstallPath%\Logging. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-MailboxServer <servername> | format-list *path*

    • I File della rubrica non in linea. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\ExchangeOAB

    • File di sistema di IIS nella cartella %SystemRoot%\System32\Inetsrv

    • La cartella temporanea utilizzata con le utilità di manutenzione non in linea, ad esempio Eseutil.exe. Per impostazione predefinita, questa cartella si trova nella posizione da cui viene eseguito il file EXE. Tuttavia, è possibile configurare la posizione da cui viene effettuata l'operazione quando si esegue l'utilità.

    • La cartella temporanea del database delle cassette postali: %ExchangeInstallPath%\Mailbox\MDBTEMP

    • Qualsiasi cartella di programmi antivirus compatibili con Exchange

  • Server Cassette postali è un membro di un Gruppo di disponibilità del database
    Tutti gli elementi elencati nel ruolo del server Cassette postali e nella cartella %Winnt%\Cluster.

  • Server di controllo

    • I file della directory di controllo. Questi file si trovano in un server diverso dell'ambiente, in genere un server Trasporto Hub. Per impostazione predefinita, questi file si trovano in \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN> e la condivisione predefinita (<DAGFQDN>) su tale server. Per ulteriori informazioni su un gruppo di disponibilità del database (DAG) e i server di controllo, vedere Gestione dei gruppi di disponibilità del database.

  • Ruolo del server Trasporto Hub

    • File di registro generali, ad esempio di verifica dei messaggi e di registri di connettività. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\TransportRoles\Logs. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-TransportServer <servername>| format-list *logpath*,*tracingpath*

    • Cartelle delle directory di prelievo e di riproduzione dei messaggi. Per impostazione predefinita, queste cartelle si trovano nella cartella %ExchangeInstallPath%\TransportRoles. Per determinare i percorsi utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-TransportServer <servername>| fl *dir*path*

    • Il database della coda del ruolo del server di trasporto, il punto di arresto e il file di registro. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\Queue. Per ulteriori informazioni, vedere Gestione delle code di trasporto.

    • I file di registro, i punti di arresto e il database della reputazione del mittente relativi al ruolo del server di trasporto. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.

    • I file di registro, i punti di arresto e il database del filtro IP relativi al ruolo del server di trasporto. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\IpFilter.

    • Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:

      • Per impostazione predefinita, le conversioni del contenuto vengono eseguite nella cartella TMP del server Exchange.

      • Per impostazione predefinita, le conversioni OLE vengono eseguite nella cartella %ExchangeInstallPath%\Working\OleConvertor.

    • Qualsiasi cartella di programmi antivirus compatibili con Exchange

  • Ruolo del server Trasporto Edge

    • Il database di Active Directory Lightweight Directory Service (AD LDS) e i file di registro. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\Adam. Per ulteriori informazioni sui file di database AD LDS, vedere Modifica della configurazione dei servizi AD LDS.

    • File di registro generali, ad esempio file di verifica messaggi. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%\TransportRoles\Logs. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-TransportServer <servername> | format-list *logpath*,*tracingpath*

    • Le cartelle Prelievo e Riproduzione dei messaggi. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles. Per determinare i percorsi dei registri utilizzati, eseguire il comando riportato di seguito in Exchange Management Shell: Get-TransportServer <servername>| format-list *dir*path*

    • Il database della coda del ruolo del server di trasporto, il punto di arresto e il file di registro. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\Queue. Per ulteriori informazioni sulle code del server di Trasporto, vedere Gestione delle code di trasporto.

    • I file di registro, i punti di arresto e il database della reputazione del mittente relativi al ruolo del server di trasporto. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\SenderReputation

    • I file di registro, i punti di arresto e il database del filtro IP relativi al ruolo del server di trasporto. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%\TransportRoles\Data\IpFilter

    • Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:

      • Per impostazione predefinita, le conversioni del contenuto vengono eseguite nella cartella TMP del server.

      • Per impostazione predefinita, le conversioni OLE vengono eseguite nella cartella %ExchangeInstallPath%\Working\OleConvertor.

    • Qualsiasi cartella di programmi antivirus compatibili con Exchange

  • Ruolo del server Accesso client

    • Per i server con Internet Information Services (IIS) 7.0, la cartella di compressione viene utilizzata con Microsoft Outlook Web App. Per impostazione predefinita, la cartella di compressione di IIS 7.0 si trova in %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.

    • Per i server con Internet Information Services (IIS) 6.0, la cartella di compressione viene utilizzata con Microsoft Outlook Web App. Per impostazione predefinita, la cartella di compressione di IIS 6.0 si trova in %systemroot%\IIS Temporary Compressed Files. Per ulteriori informazioni su eventuali errori derivanti dalla scansione della cartella di compressione IIS, vedere l'articolo 817442 della Microsoft Knowledge Base, Un file di 0 byte può essere restituito quando è attivata la compressione su un server che esegue IIS.

    • File di sistema di IIS nella cartella %SystemRoot%\System32\Inetsrv

    • Inetpub\logs\logfiles\w3svc

    • I file relativi a Internet che sono archiviati nelle sottocartelle della cartella %ExchangeInstallPath%\ClientAccess

    • Per i server che hanno permesso la registrazione di protocollo per POP3 o IMAP4, per le cartelle indicate di seguito:

      • Cartella POP3: %ExchangeInstallPath%\Logging\POP3

      • Cartella IMAP4: %ExchangeInstallPath%\Logging\IMAP4

    • Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:

      • Per impostazione predefinita, le conversioni del contenuto vengono eseguite nella cartella TMP del server.

      • Per impostazione predefinita, le conversioni OLE vengono eseguite nella cartella %ExchangeInstallPath%\Working\OleConvertor.

    • File temporanei in sottocartelle della cartella %windir%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files.

  • Ruolo del server Messaggistica unificata

    • I file di grammatica per impostazioni internazionali diverse, ad esempio en-EN o es-ES. Per impostazione predefinita, questi vengono memorizzati in sottocartelle nella cartella %ExchangeInstallPath%\UnifiedMessaging\grammars.

    • Istruzioni vocali, messaggi di saluto e i file di messaggio informativo. Per impostazione predefinita, questi vengono memorizzati nelle sottocartelle nella cartella %ExchangeInstallPath%\UnifiedMessaging\Prompts

    • I file della casella vocale vengono memorizzati temporaneamente nella cartella %ExchangeInstallPath%\UnifiedMessaging\voicemail.

    • I file temporanei generati dalla messaggistica unificata. Per impostazione predefinita, questi vengono memorizzati nella cartella %ExchangeInstallPath%\UnifiedMessaging\temp.

  • Microsoft Forefront Protection per Exchange

    • La cartella di installazione di Forefront. Per impostazione predefinita, si trova in %Programmi (x86)%\Microsoft Forefront Protection per Exchange Server\.

    • Tutti i messaggi archiviati. Per impostazione predefinita, vengono archiviati nella cartella %Programmi (x86)%\Microsoft Forefront Protection per Exchange Server\Data\Archive.

    • Tutti i file in quarantena. Per impostazione predefinita, vengono archiviati nella cartella %Programmi (x86)%\Microsoft Forefront Protection per Exchange Server\Data\Quarantine.

    • I file del modulo antivirus. Per impostazione predefinita, vengono archiviati nelle sottocartelle della cartella %Programmi (x86)%\Microsoft Forefront Protection per Exchange Server\Data\Engines\x86 o della cartella %Programmi (x86)%\Microsoft Forefront Protection per Exchange Server\Data\Engines\amd64.

    • I file di configurazione. Per impostazione predefinita, vengono archiviati nella cartella %Programmi (x86)%\Microsoft Forefront Protection per Exchange Server\Data.

Esclusioni di processi

Molti programmi antivirus a livello di file supportano la ricerca all'interno dei processi, che può influire negativamente su Microsoft Exchange se la ricerca viene eseguita nei processi errati. Pertanto, è necessario escludere i seguenti processi dal programma antivirus a livello di file.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Clussvc.exe

MSExchangeADTopologyService.exe

Dsamain.exe

MSExchangeFDS.exe

Microsoft.Exchange.EdgeCredentialSvc.exe

MSExchangeMailboxAssistants.exe

EdgeTransport.exe

MSExchangeMailboxReplication.exe

ExFBA.exe

MSExchangeMailSubmission.exe

GalGrammarGenerator.exe

MSExchangeRepl.exe

Inetinfo.exe

MSExchangeTransport.exe

Mad.exe

MSExchangeTransportLogSearch.exe

Microsoft.Exchange.AddressBook.Service.exe

MSExchangeThrottling.exe

Microsoft.Exchange.AntispamUpdateSvc.exe

Msftefd.exe

Microsoft.Exchange.ContentFilter.Wrapper.exe

Msftesql.exe

Microsoft.Exchange.EdgeSyncSvc.exe

OleConverter.exe

Microsoft.Exchange.Imap4.exe

Powershell.exe

Microsoft.Exchange.Imap4service.exe

SESWorker.exe

MSExchangeMailboxAssistants.exe

SpeechService.exe

Microsoft.Exchange.Monitoring.exe

Store.exe

Microsoft.Exchange.Pop3.exe

TranscodingService.exe

Microsoft.Exchange.Pop3service.exe

UmService.exe

Microsoft.Exchange.ProtectedServiceHost.exe

UmWorkerProcess.exe

Microsoft.Exchange.RPCClientAccess.Service.exe

W3wp.exe

Se viene distribuito anche Forefront Protection for Exchange Server, è necessario escludere i seguenti processi.

Adonavsvc.exe

FscStatsServ.exe

FscController.exe

FscTransportScanner.exe

FscDiag.exe

FscUtility.exe

FscExec.exe

FsEmailPickup.exe

FscImc.exe

FssaClient.exe

FscManualScanner.exe

GetEngineFiles.exe

FscMonitor.exe

PerfmonitorSetup.exe

FscRealtimeScanner.exe

ScanEngineTest.exe

FscStarter.exe

SemSetup.exe

Esclusioni di estensioni di nomi file

Oltre ad escludere le directory e i processi specifici, si devono escludere le seguenti estensioni di nomi file specifiche di Exchange in caso di errore nelle esclusioni di directory o di spostamento di file dalle loro posizioni predefinite.

  • Estensioni relative all'applicazione

    • CONFIG

    • DIA

    • WSB

  • Estensioni relative al database

    CHK

    JRS

    LOG

    EDB

    .jsl

    QUE

  • Estensioni relative alla Rubrica offline

    • LZX

  • Estensioni relative all'indice del contenuto

    CI

    WID

    .001

    DIR

    .000

    .002

  • Estensioni relative alla messaggistica unificata:

    • CFG

    • GRXML

  • GroupMetrics

    • .dsc

    • .bin

    • .xml

  • Estensioni relative a Forefront Protection for Exchange Server

    .avc

    .dt

    .lst

    .cab

    .fdb

    .mdb

    CFG

    .fdm

    .ppl

    CONFIG

    .ide

    .set

    .da1

    .key

    .v3d

    .dat

    .klb

    .vdb

    .def

    .kli

    .vdm

Le estensioni di nomi file elencate per Forefront Protection for Exchange Server sono file delle impronte digitali che si trovano in diversi moduli di directory antivirus. Nella maggior parte dei casi, queste estensioni non cambiano. Tuttavia, è possibile che le estensioni vengano aggiunte in futuro in concomitanza con l'aggiornamento, da parte dei fornitori terzi di programmi antivirus, dei loro file delle firme antivirus.

 ©2010 Microsoft Corporation. Tutti i diritti riservati.