Exchange 2010 上的檔案等級防毒掃描
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
本主題說明檔案等級防毒程式對執行 Microsoft Exchange Server 2010 之電腦的影響。如果您執行本主題中所述的建議,即可協助增強 Exchange 組織的安全性及健康情況。
檔案等級掃描程式是經常使用的掃描程式。然而,如果它們的設定不正確,可能會造成 Exchange 2010 問題。檔案等級掃描程式有兩種類型:
「記憶體駐留檔案等級掃描」指的是隨時都載入在記憶體中的檔案等級防毒軟體部分。它會檢查硬碟及電腦記憶體中使用的所有檔案。
「點播檔案等級掃描」指的是可以手動或設定排程來掃描磁碟上檔案的檔案等級防毒軟體部分。部分防毒軟體版本會在更新病毒碼之後自動啟動點播掃描,以確定使用最新的病毒碼來掃描所有檔案。
搭配使用檔案等級掃描程式與 Exchange 2010 時,可能會發生下列問題:
檔案等級掃描程式會定期掃描檔案,或在要使用檔案時掃描檔案。這樣可能會導致當 Microsoft Exchange 嘗試使用檔案時,掃描程式卻鎖定或隔離 Exchange 記錄或資料庫檔案。此行為可能會造成 Microsoft Exchange 嚴重失敗,也可能會造成 -1018 錯誤。
檔案等級掃描程式不提供電子郵件病毒的保護,例如風暴蠕蟲 (Storm Worm)。風暴蠕蟲 (Storm Worm) 是透過電子郵件自行傳播的特洛伊木馬後門程式病毒。該蠕蟲會將受感染的電腦加入殭屍網路 (Botnet),然後利用該電腦以週期性突發方式傳送垃圾電子郵件。這類病毒可能會影響電腦及其所連接網路的效能。
搭配 Exchange 2010 使用檔案等級掃描的建議
如果在 Exchange 2010 伺服器上部署檔案等級掃描程式,請確定記憶體駐留及檔案層級掃描都設定了適當的排除項目,例如目錄排除、處理程序排除及副檔名排除。本節說明每部伺服器或每個伺服器角色的目錄排除、處理程序排除及副檔名排除。
目錄排除
您必須排除每部執行檔案等級防毒掃描程式之 Exchange 伺服器或伺服器角色的特定目錄。本節說明每部伺服器或每個伺服器角色應該排除不進行檔案等級掃描的目錄。
Mailbox server role
Exchange 資料庫、檢查點檔案及記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\Mailbox 資料夾的子資料夾中。您可以在 Exchange 管理命令介面中執行下列命令,以取得目錄位置:
- 若要判斷信箱資料庫、交易記錄及檢查點檔案的位置,請執行下列命令:
Get-MailboxDatabase -server <servername>| format-list *path*
- 若要判斷信箱資料庫、交易記錄及檢查點檔案的位置,請執行下列命令:
資料庫內容索引。這些檔案預設是位在與資料庫檔案相同的資料夾中。
群組計量檔案。這些檔案預設是位在 %ExchangeInstallPath%\GroupMetrics 資料夾中。
一般記錄檔,例如郵件追蹤和行事曆修復記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Logs 資料夾及 %ExchangeInstallPath%\Logging 資料夾的子資料夾中。若要判斷正在使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-MailboxServer <servername> | format-list *path*離線通訊錄檔案。這些檔案預設是位在 %ExchangeInstallPath%\ExchangeOAB 資料夾的子資料夾中。
%SystemRoot%\System32\Inetsrv 資料夾中的 IIS 系統檔案
與離線維護公用程式 (如 Eseutil.exe) 搭配使用的暫存資料夾。此資料夾預設是 .exe 檔案的執行位置。然而,您可以設定在執行公用程式時的作業執行位置。
信箱資料庫暫存資料夾:%ExchangeInstallPath%\Mailbox\MDBTEMP
任何 Exchange 感知的防毒程式資料夾
- 屬於資料庫可用性群組成員的信箱伺服器
所有項目均列在 Mailbox server role 清單和 %Winnt%\Cluster 資料夾中。
見證伺服器
- 見證目錄檔案。這些檔案位於環境中的另一部伺服器上,一般是 Hub Transport Server。這些檔案預設是位於該伺服器上的 \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN> 和預設共用 (<DAGFQDN>) 中。如需資料庫可用性群組 (DAG) 和見證伺服器的詳細資訊,請參閱管理資料庫可用性群組。
Hub Transport server role
一般記錄檔,例如,郵件追蹤和連線記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Logs 資料夾的子資料夾中。若要判斷正在使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-TransportServer <servername>| format-list *logpath*,*tracingpath*收取和重新顯示郵件目錄資料夾。這些資料夾預設是位在 %ExchangeInstallPath%\TransportRoles 資料夾下。若要判斷正在使用的路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-TransportServer <servername>| fl *dir*path*傳輸伺服器角色佇列資料庫、檢查點和記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Data\Queue 資料夾中。如需詳細資訊,請參閱 管理傳輸佇列。
傳輸伺服器角色寄件者信譽資料庫、檢查點和記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Data\SenderReputation 資料夾中。
傳輸伺服器角色 IP 篩選器資料庫、檢查點和記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Data\IpFilter 資料夾中。
用來執行轉換的暫存資料夾:
內容轉換預設是在 Exchange 伺服器的 TMP 資料夾中執行。
OLE 轉換預設是在 %ExchangeInstallPath%\Working\OleConvertor 資料夾中執行。
任何 Exchange 感知的防毒程式資料夾
Edge Transport server role
Active Directory 輕量型目錄服務資料庫 (AD LDS) 和記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Data\Adam 資料夾中。如需 AD LDS 資料庫檔案的詳細資訊,請參閱修改 AD LDS 組態。
一般記錄檔 (例如,郵件追蹤)。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Logs 資料夾的子資料夾中。若要判斷正在使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-TransportServer <servername> | format-list *logpath*,*tracingpath*收取和重新顯示郵件資料夾。這些資料夾預設是位在 %ExchangeInstallPath%\TransportRoles 資料夾下。若要判斷正在使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:
Get-TransportServer <servername>| format-list *dir*path*傳輸伺服器角色佇列資料庫、檢查點和記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Data\Queue 資料夾中。如需傳輸伺服器佇列的詳細資訊,請參閱管理傳輸佇列。
傳輸伺服器角色寄件者信譽資料庫、檢查點和記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Data\SenderReputation 資料夾中。
傳輸伺服器角色 IP 篩選器資料庫、檢查點和記錄檔。這些檔案預設是位在 %ExchangeInstallPath%\TransportRoles\Data\IpFilter 資料夾中。
用來執行轉換的暫存資料夾:
內容轉換預設是在伺服器的 TMP 資料夾中執行。
OLE 轉換預設是在 %ExchangeInstallPath%\Working\OleConvertor 資料夾中執行。
任何 Exchange 感知的防毒程式資料夾
Client Access server role
針對使用網際網路資訊服務 (IIS) 7.0 的伺服器,與 Microsoft Outlook Web App 搭配使用的壓縮資料夾。IIS 7.0 的壓縮資料夾預設是位在 %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files。
針對使用 IIS 6.0 的伺服器,與 Microsoft Outlook Web App 搭配使用的壓縮資料夾。IIS 6.0 的壓縮資料夾預設是位在 %systemroot%\IIS Temporary Compressed Files。如需掃描 IIS 壓縮資料夾可能會產生之錯誤的詳細資訊,請參閱 Microsoft 知識庫文章 817442 當您在執行 IIS 的伺服器上啟用壓縮功能,可能會傳回 0 位元組的檔案。
%SystemRoot%\System32\Inetsrv 資料夾中的 IIS 系統檔案
Inetpub\logs\logfiles\w3svc
儲存在 %ExchangeInstallPath%\ClientAccess 資料夾之子資料夾中的網際網路相關檔案
針對已啟用 POP3 或 IMAP4 之通訊協定記錄的伺服器,下列資料夾:
POP3 資料夾:%ExchangeInstallPath%\Logging\POP3
IMAP4 資料夾:%ExchangeInstallPath%\Logging\IMAP4
用來執行轉換的暫存資料夾:
內容轉換預設是在伺服器的 TMP 資料夾中執行。
OLE 轉換預設是在 %ExchangeInstallPath%\Working\OleConvertor 資料夾中執行。
暫存檔位於 %windir%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET 檔案資料夾的子資料夾中。
Unified Messaging server role
不同地區設定的文法檔案,例如 en-EN 或 es-ES。這些檔案預設會儲存在 %ExchangeInstallPath%\UnifiedMessaging\grammars 資料夾的子資料夾中。
語音提示、問候語和參考訊息檔案。這些檔案預設會儲存在 %ExchangeInstallPath%\UnifiedMessaging\Prompts 資料夾的子資料夾中。
暫時儲存在 %ExchangeInstallPath%\UnifiedMessaging\voicemail 資料夾中的語音信箱檔案。
由整合通訊產生的暫存檔案。這些檔案預設會儲存在 %ExchangeInstallPath%\UnifiedMessaging\temp 資料夾中。
Microsoft Forefront Protection for Exchange
Forefront 安裝資料夾。此資料夾預設為 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\。
任何封存的郵件。這些郵件預設會儲存在 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive 資料夾中。
任何隔離的檔案。這些檔案預設會儲存在 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine 資料夾中。
防毒引擎檔案。這些檔案預設會儲存在 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86 資料夾或 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64 資料夾的子資料夾中。
組態檔。這些檔案預設會儲存在 %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data 資料夾中。
處理程序排除
許多檔案等級掃描程式現在支援處理程序的掃描,如果掃描不正確的處理程序,可能會對 Microsoft Exchange 造成負面影響。因此,您應該從檔案等級掃描程式中排除下列處理程序。
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Clussvc.exe |
MSExchangeADTopologyService.exe |
Dsamain.exe |
MSExchangeFDS.exe |
Microsoft.Exchange.EdgeCredentialSvc.exe |
MSExchangeMailboxAssistants.exe |
EdgeTransport.exe |
MSExchangeMailboxReplication.exe |
ExFBA.exe |
MSExchangeMailSubmission.exe |
GalGrammarGenerator.exe |
MSExchangeRepl.exe |
Inetinfo.exe |
MSExchangeTransport.exe |
Mad.exe |
MSExchangeTransportLogSearch.exe |
Microsoft.Exchange.AddressBook.service.exe |
MSExchangeThrottling.exe |
Microsoft.Exchange.AntispamUpdateSvc.exe |
Msftefd.exe |
Microsoft.Exchange.ContentFilter.wrapper.exe |
Msftesql.exe |
Microsoft.Exchange.EdgeSyncSvc.exe |
OleConverter.exe |
Microsoft.Exchange.Imap4.exe |
Powershell.exe |
Microsoft.Exchange.Imap4service.exe |
SESWorker.exe |
MSExchangeMailboxAssistants.exe |
SpeechService.exe |
Microsoft.Exchange.Monitoring.exe |
Store.exe |
Microsoft.Exchange.Pop3.exe |
TranscodingService.exe |
Microsoft.Exchange.Pop3service.exe |
UmService.exe |
Microsoft.Exchange.ProtectedServiceHost.exe |
UmWorkerProcess.exe |
Microsoft.Exchange.RPCClientAccess.service.exe |
W3wp.exe |
如果您也要部署 Forefront Protection for Exchange Server,請排除下列處理程序。
Adonavsvc.exe |
FscStatsServ.exe |
FscController.exe |
FscTransportScanner.exe |
FscDiag.exe |
FscUtility.exe |
FscExec.exe |
FsEmailPickup.exe |
FscImc.exe |
FssaClient.exe |
FscManualScanner.exe |
GetEngineFiles.exe |
FscMonitor.exe |
PerfmonitorSetup.exe |
FscRealtimeScanner.exe |
ScanEngineTest.exe |
FscStarter.exe |
SemSetup.exe |
副檔名排除
除了排除特定的目錄和處理程序外,還應該排除下列 Exchange 特定副檔名,以防目錄排除失敗或從檔案的預設位置移動檔案。
應用程式相關的副檔名
.config
.dia
.wsb
資料庫相關的副檔名
.chk
.jrs
.log
.edb
.jsl
.que
離線通訊錄相關的副檔名
- .lzx
內容索引相關的副檔名
.ci
.wid
.001
.dir
.000
.002
整合通訊相關的副檔名
.cfg
.grxml
GroupMetrics
.dsc
.bin
.xml
Forefront Protection for Exchange Server 相關的副檔名
.avc
.dt
.lst
.cab
.fdb
.mdb
.cfg
.fdm
.ppl
.config
.ide
.set
.da1
.key
.v3d
.dat
.klb
.vdb
.def
.kli
.vdm
為 Forefront Protection for Exchange Server 所列出的副檔名,就是來自各種防毒目錄引擎的簽名檔。在大部分情況下,這些副檔名不會變更。不過,日後防毒協力廠商更新其防毒定義檔時,副檔名可能會增加。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。