Exchange 2010 上的文件级防病毒扫描
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
本主题介绍文件级防病毒程序对运行 Microsoft Exchange Server 2010 的计算机的影响。如果按照本主题中所述的建议操作,可以帮助提高 Exchange 组织的安全性并改善运行状况。
文件级扫描程序经常使用。但是,如果配置不正确,可能会导致 Exchange 2010 出现问题。文件级扫描程序包括下列两种类型:
“驻留在内存中的文件级扫描”是指文件级防病毒软件中始终加载在内存中的部分。该部分检查硬盘上以及计算机内存中使用的所有文件。
“按需运行的文件级扫描”是指文件级防病毒软件中可以配置为手动或按计划扫描硬盘上的文件的部分。某些版本的防病毒软件会在病毒定义更新后自动开始按需运行的扫描,以确保使用最新的定义扫描所有文件。
在 Exchange 2010 中使用文件级扫描程序时可能会出现下列问题:
文件级扫描程序可能会在文件正在使用时扫描文件,也可能按计划的间隔扫描文件。这样可能会造成 Microsoft Exchange 尝试使用文件时,扫描程序锁定或隔离了相应的 Exchange 日志文件或数据库文件。此行为可能会导致 Microsoft Exchange 的严重故障,还可能会导致 -1018 错误。
文件级扫描程序无法抵御电子邮件病毒(例如 Storm Worm)的攻击。Storm Worm 是通过电子邮件传播的后门特洛伊木马病毒。这种蠕虫将受感染的计算机连接到僵尸网络,在这种网络中,计算机用于周期性、突发性地发送垃圾电子邮件。这种病毒将影响计算机的性能以及计算机连接的网络。
在 Exchange 2010 中使用文件级扫描的建议
如果要在 Exchange 2010 服务器上部署文件级扫描程序,请确保为按内存驻留扫描和文件级扫描设置适当的排除规则(例如目录排除、进程排除和文件扩展名排除)。本节介绍每个服务器或服务器角色的目录排除、进程排除和文件扩展名排除。
目录排除
必须为运行文件级防病毒扫描程序的每个 Exchange 服务器或服务器角色排除特定的目录。本节介绍每个服务器或服务器角色应从文件级扫描中排除的目录。
邮箱服务器角色
Exchange 数据库、检查点文件和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\Mailbox 文件夹的子文件夹中。若要获取目录位置,可以在 Exchange 命令行管理程序中运行下列命令:
- 若要确定邮箱数据库、事务日志文件和检查点文件的位置,请运行以下命令:
Get-MailboxDatabase -server <servername>| format-list *path*
- 若要确定邮箱数据库、事务日志文件和检查点文件的位置,请运行以下命令:
数据库内容索引。默认情况下,这些文件与数据库文件位于同一文件夹中。
组指标文件。默认情况下,这些文件位于 %ExchangeInstallPath%\GroupMetrics 文件夹中。
常用的日志文件,例如邮件跟踪日志文件和日历修复日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Logs 文件夹和 %ExchangeInstallPath%\Logging 文件夹的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-MailboxServer <servername> | format-list *path*脱机通讯簿文件。默认情况下,这些文件位于 %ExchangeInstallPath%\ExchangeOAB 文件夹的子文件夹中
%SystemRoot%\System32\Inetsrv 文件夹中的 IIS 系统文件
用于脱机维护实用程序(例如 Eseutil.exe)的临时文件夹。默认情况下,此文件夹位于运行 .exe 文件的位置。但是,可以在运行实用程序时配置执行操作的位置。
邮箱数据库临时文件夹:%ExchangeInstallPath%\Mailbox\MDBTEMP
任何支持 Exchange 的防病毒程序文件夹
- 包含在数据库可用性组中的邮箱服务器
在邮箱服务器角色列表和 %Winnt%\Cluster 文件夹中列出的所有项目。
见证服务器
- 见证目录文件。这些文件位于环境中的其他服务器上,通常在集线器传输服务器上。默认情况下,这些文件位于该服务器上的 \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN> 和默认共享 (<DAGFQDN>) 中。有关数据库可用性组 (DAG) 和见证服务器的详细信息,请参阅管理数据库可用性组。
集线器传输服务器角色
常用的日志文件,例如邮件跟踪日志文件和连接日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Logs 文件夹的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportServer <servername>| format-list *logpath*,*tracingpath*分拣和重播消息目录文件夹。默认情况下,这些文件夹位于 %ExchangeInstallPath%\TransportRoles 文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportServer <servername>| fl *dir*path*传输服务器角色队列数据库、检查点和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Data\Queue 文件夹中。有关详细信息,请参阅管理传输队列。
传输服务器角色发件人信誉数据库、检查点和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Data\SenderReputation 文件夹中。
传输服务器角色 IP 筛选器数据库、检查点和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Data\IpFilter 文件夹中。
用于执行转换的临时文件夹:
默认情况下,在 Exchange 服务器的 TMP 文件夹中执行内容转换。
默认情况下,在 %ExchangeInstallPath%\Working\OleConvertor 文件夹中执行 OLE 转换。
任何支持 Exchange 的防病毒程序文件夹
边缘传输服务器角色
Active Directory 轻型目录服务数据库 (AD LDS) 和日志文件。默认情况下,这些位于 %ExchangeInstallPath%\TransportRoles\Data\Adam 文件夹中。有关 AD LDS 数据库文件的详细信息,请参阅修改 AD LDS 配置。
常用的日志文件(例如邮件跟踪日志文件)。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Logs 文件夹的子文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportServer <servername> | format-list *logpath*,*tracingpath*分拣和重播邮件文件夹。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles 文件夹中。若要确定所使用的日志路径,请在 Exchange 命令行管理程序中运行以下命令:
Get-TransportServer <servername>| format-list *dir*path*传输服务器角色队列数据库、检查点和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Data\Queue 文件夹中。有关传输服务器队列的详细信息,请参阅管理传输队列。
传输服务器角色发件人信誉数据库、检查点和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Data\SenderReputation 文件夹中
传输服务器角色 IP 筛选器数据库、检查点和日志文件。默认情况下,这些文件位于 %ExchangeInstallPath%\TransportRoles\Data\IpFilter 文件夹中
用于执行转换的临时文件夹:
默认情况下,在服务器的 TMP 文件夹中执行内容转换。
默认情况下,在 %ExchangeInstallPath%\Working\OleConvertor 文件夹中执行 OLE 转换。
任何支持 Exchange 的防病毒程序文件夹
客户端访问服务器角色
对于使用 Internet 信息服务 (IIS) 7.0 的服务器,用于 Microsoft Outlook Web App 的压缩文件夹。默认情况下,IIS 7.0 的压缩文件夹的路径是 %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files。
对于使用 IIS 6.0 的服务器,用于 Microsoft Outlook Web App 的压缩文件夹。默认情况下,IIS 6.0 的压缩文件夹的路径是 %systemroot%\IIS Temporary Compressed Files。有关扫描 IIS 压缩文件夹可能导致的错误的详细信息,请参阅 Microsoft 知识库文章 817442,在运行 IIS 的服务器上启用压缩时,可能会返回 0 字节文件。
%SystemRoot%\System32\Inetsrv 文件夹中的 IIS 系统文件
Inetpub\logs\logfiles\w3svc
与 Internet 相关的文件存储在 %ExchangeInstallPath%\ClientAccess 文件夹的子文件夹中
对于已启用 POP3 或 IMAP4 协议日志记录的服务器,以下文件夹:
POP3 文件夹:%ExchangeInstallPath%\Logging\POP3
IMAP4 文件夹:%ExchangeInstallPath%\Logging\IMAP4
用于执行转换的临时文件夹:
默认情况下,在服务器的 TMP 文件夹中执行内容转换。
默认情况下,在 %ExchangeInstallPath%\Working\OleConvertor 文件夹中执行 OLE 转换。
%windir%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files 文件夹的子文件夹中的临时文件。
统一消息服务器角色
不同区域的语法文件,例如 en-EN 或 es-ES。默认情况下,这些文件存储在 %ExchangeInstallPath%\UnifiedMessaging\grammars 文件夹的子文件夹中。
语音提示、问候语和信息性消息文件。默认情况下,这些文件存储在 %ExchangeInstallPath%\UnifiedMessaging\Prompts 文件夹的子文件夹中
暂时存储在 %ExchangeInstallPath%\UnifiedMessaging\voicemail 文件夹中的语音邮件文件。
统一消息生成的临时文件。默认情况下,这些文件存储在 %ExchangeInstallPath%\UnifiedMessaging\temp 文件夹中。
Microsoft Forefront Protection for Exchange
Forefront 安装文件夹。默认情况下,这是 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\。
任何存档邮件。默认情况下,这些文件存储在 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive 文件夹中。
任何隔离文件。默认情况下,这些文件存储在 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine 文件夹中。
防病毒引擎文件。默认情况下,这些文件存储在 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86 文件夹的子文件夹中,或者存储在%Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64 文件夹的子文件夹中。
配置文件。默认情况下,这些文件存储在 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data 文件夹中。
进程排除
现在,许多文件级扫描程序都支持进程扫描,如果扫描错误进程,可能对 Microsoft Exchange 带来负面影响。因此,应从文件级扫描程序中排除下列进程。
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Clussvc.exe |
MSExchangeADTopologyService.exe |
Dsamain.exe |
MSExchangeFDS.exe |
Microsoft.Exchange.EdgeCredentialSvc.exe |
MSExchangeMailboxAssistants.exe |
EdgeTransport.exe |
MSExchangeMailboxReplication.exe |
ExFBA.exe |
MSExchangeMailSubmission.exe |
GalGrammarGenerator.exe |
MSExchangeRepl.exe |
Inetinfo.exe |
MSExchangeTransport.exe |
Mad.exe |
MSExchangeTransportLogSearch.exe |
Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeThrottling.exe |
Microsoft.Exchange.AntispamUpdateSvc.exe |
Msftefd.exe |
Microsoft.Exchange.ContentFilter.Wrapper.exe |
Msftesql.exe |
Microsoft.Exchange.EdgeSyncSvc.exe |
OleConverter.exe |
Microsoft.Exchange.Imap4.exe |
Powershell.exe |
Microsoft.Exchange.Imap4service.exe |
SESWorker.exe |
MSExchangeMailboxAssistants.exe |
SpeechService.exe |
Microsoft.Exchange.Monitoring.exe |
Store.exe |
Microsoft.Exchange.Pop3.exe |
TranscodingService.exe |
Microsoft.Exchange.Pop3service.exe |
UmService.exe |
Microsoft.Exchange.ProtectedServiceHost.exe |
UmWorkerProcess.exe |
Microsoft.Exchange.RPCClientAccess.Service.exe |
W3wp.exe |
如果还要部署 Forefront Protection for Exchange Server,请排除下列进程。
Adonavsvc.exe |
FscStatsServ.exe |
FscController.exe |
FscTransportScanner.exe |
FscDiag.exe |
FscUtility.exe |
FscExec.exe |
FsEmailPickup.exe |
FscImc.exe |
FssaClient.exe |
FscManualScanner.exe |
GetEngineFiles.exe |
FscMonitor.exe |
PerfmonitorSetup.exe |
FscRealtimeScanner.exe |
ScanEngineTest.exe |
FscStarter.exe |
SemSetup.exe |
文件扩展名排除
除了排除特定的目录和进程之外,如果目录排除失败或已从默认位置移动文件,则应排除下列特定于 Exchange 的文件扩展名。
与应用程序有关的扩展名
.config
.dia
.wsb
与数据库有关的扩展名
.chk
.jrs
.log
.edb
.jsl
.que
与脱机通讯簿有关的扩展名
- .lzx
与内容索引有关的扩展名
.ci
.wid
.001
.dir
.000
.002
与统一消息有关的扩展名
.cfg
.grxml
GroupMetrics
.dsc
.bin
.xml
与 Forefront Protection for Exchange Server 有关的扩展名
.avc
.dt
.lst
.cab
.fdb
.mdb
.cfg
.fdm
.ppl
.config
.ide
.set
.da1
.key
.v3d
.dat
.klb
.vdb
.def
.kli
.vdm
为 Forefront Protection for Exchange Server 列出的文件扩展名是各种防病毒目录引擎中的签名文件。在大多数情况下,这些文件扩展名不会更改。但是,将来在第三方杀毒软件供应商更新其杀毒软件签名文件时可能会添加文件扩展名。
© 2010 Microsoft Corporation。保留所有权利。