Antivirenscans auf Dateiebene für Exchange 2010

  • Artikel

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2010-01-20

In diesem Thema werden die Auswirkungen von Antivirenprogrammen auf Dateiebene auf Computern beschrieben, die Microsoft Exchange Server 2010 ausführen. Wenn Sie die in diesem Thema beschriebenen Empfehlungen implementieren, können Sie die Sicherheit und den Systemzustand Ihrer Exchange-Organisation optimieren.

Scanner auf Dateiebene werden häufig verwendet. Wenn sie jedoch nicht ordnungsgemäß konfiguriert sind, können sie Probleme in Exchange 2010 verursachen. Es gibt zwei Arten von Antivirenprogrammen auf Dateiebene:

  • Speicherresidente Scans auf Dateiebene beziehen sich auf Antivirensoftware auf Dateiebene, die immer im Arbeitsspeicher geladen ist. Sie überprüft alle Dateien, die auf der Festplatte und im Arbeitsspeicher verwendet werden.
  • Scans auf Dateiebene bei Bedarf bezieht sich auf Antivirussoftware auf Dateiebene, die Sie so konfigurieren können, dass Dateien auf der Festplatte manuell oder nach einem festgelegten Zeitplan gescannt werden. Einige Versionen von Antivirussoftware starten den Scan bei Bedarf automatisch, nachdem die Virensignaturen aktualisiert wurden, damit sichergestellt ist, dass alle Dateien mit den aktuellsten Signaturen gescannt wurden.

Die folgenden Probleme können auftreten, wenn Sie Antivirenprogramme auf Dateiebene zusammen mit Exchange 2010 verwenden:

  • Scanner auf Dateiebene können eine Datei scannen, wenn sie verwendet wird, oder sie können in einem geplanten Intervall aufgerufen werden. Dieser Vorgang kann bewirken, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder isolieren, während Microsoft Exchange versucht, die Datei zu verwenden. Dieses Verhalten kann einen schwerwiegenden Fehler in Microsoft Exchange sowie -1018-Fehler verursachen.
  • Antivirenprogramme auf Dateiebene bieten keinen Schutz vor E-Mail-Viren wie etwa dem Storm-Wurm. Der Storm-Wurm ist ein Beispiel für ein Trojanisches Pferd (Backdoor-Virus), das sich selbst über E-Mail-Nachrichten verbreitet hat. Der Wurm hat den infizierten Computer an ein Botnet angeschlossen, wobei der Computer in regelmäßigen Abständen zum massenhaften Senden von Spam-E-Mails verwendet wurde. Derartige Viren können sich auf die Leistung des Computers und des Netzwerks auswirken, dem der Computer angeschlossen ist.

Empfehlungen für die Verwendung von Antivirenscans auf Dateiebene mit Exchange 2010

Wenn Sie Antivirenprogramme auf Dateiebene auf Exchange 2010-Servern bereitstellen, vergewissern Sie sich, dass die entsprechenden Ausschlüsse, z. B. Ausschlüsse für Verzeichnisse, Prozesse und Dateinamenerweiterungen, sowohl für die speicherresidente als auch für die Prüfung auf Dateiebene eingerichtet wurden. In diesem Abschnitt werden Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungs-Ausschlüsse für jeden Servercomputer bzw. jede Serverrolle beschrieben.

Verzeichnisausschlüsse

Sie müssen bestimmte Verzeichnisse für jeden Exchange-Server bzw. für jede Serverrolle ausschließen, für den oder die Sie einen Antivirenscanner auf Dateiebene ausführen. In diesem Abschnitt werden die Verzeichnisse beschrieben, die Sie von den Scans auf Dateiebene für jeden Servercomputer bzw. jede Serverrolle ausschließen sollten.

  • Postfachserverrolle

    • Exchange-Datenbanken, Prüfpunktdateien und Protokolldateien. Diese Dateien werden standardmäßig in Unterordnern unter dem Ordner %ExchangeInstallPath%\Mailbox gespeichert. Sie können den Pfad des Verzeichnisses mithilfe der folgenden Befehle in der Exchange-Verwaltungsshell abrufen:
      • Möchten Sie den Speicherort einer Postfachdatenbank, eines Transaktionsprotokolls und einer Prüfpunktdatei bestimmen, führen Sie den folgenden Befehl aus: Get-MailboxDatabase -server <servername>| format-list *path*
    • Datenbankinhaltsindizes. In der Standardeinstellung befinden sich diese im gleichen Ordner wie die Datenbankdatei.
    • Gruppenmetrikdateien. Standardmäßig befinden sich diese Dateien im Ordner %ExchangeInstallPath%\GroupMetrics.
    • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung und Kalenderreparatur. Standardmäßig befinden sich diese Dateien in Unterordnern in den Ordnern %ExchangeInstallPath%\TransportRoles\Logs und %ExchangeInstallPath%\Logging. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-MailboxServer <servername> | format-list *path*
    • Offlineadressbuch-Dateien. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\ExchangeOAB.
    • IIS-Systemdateien im Ordner %SystemRoot%\System32\Inetsrv.
    • Der temporäre Ordner, der mit Offlinewartungs-Hilfsprogrammen wie z. B. Eseutil.exe verwendet wird. Dieser Ordner ist standardmäßig der Pfad, aus dem die EXE-Datei ausgeführt wird. Sie können jedoch konfigurieren, wo Sie den Vorgang durchführen möchten, wenn Sie das Dienstprogramm ausführen.
    • Der temporäre Ordner der Postfachdatenbank: %ExchangeInstallPath%\Mailbox\MDBTEMP
    • Alle Exchange-aktivierten Antivirusprogrammordner.

  • Postfachserver, der Mitglied einer Datenbankverfügbarkeitsgruppe ist
    Alle Elemente, die in der Liste der Postfachserverrolle aufgelistet werden, sowie die folgenden Elemente:

    • Der Quorumdatenträger und der Ordner %Winnt%\Cluster.

  • Zeugenserver

    • Die Zeugenverzeichnisdateien. Diese befinden sich auf einem anderen Server in der Umgebung, normalerweise auf einem Hub-Transport-Server. Standardmäßig befinden sich diese Dateien in \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN> und der Standardfreigabe (<DAGFQDN>) auf diesem Server. Weitere Informationen zu Datenbankverfügbarkeitsgruppen (Database Availability Groups, DAGs) und Zeugenservern finden Sie unter Verwalten von Datenbankverfügbarkeitsgruppen.

  • Hub-Transport-Serverrolle

    • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung und Konnektivität. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\TransportRoles\Logs. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername>| format-list *logpath*,*tracingpath*
    • Nachrichtenverzeichnisordner PICKUP und REPLAY. Standardmäßig befinden sich diese Ordner unter dem Ordner %ExchangeInstallPath%\TransportRoles. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Pfade zu bestimmen: Get-TransportServer <servername>| fl *dir*path*
    • Die Warteschlangendatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Queue. Weitere Informationen finden Sie unter Verwalten von Transportwarteschlangen.
    • Die Absenderzuverlässigkeitsdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.
    • Die IP-Filterdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\IpFilter.
    • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:
      • Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Exchange-Servers ausgeführt.
      • OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.
    • Alle Exchange-aktivierten Antivirenprogrammordner.

  • Edge-Transport-Serverrolle

    • Die Active Directory Lightweight-Verzeichnisdienst-Datenbank- (Active Directory Lightweight Directory Service, AD LDS) und Protokolldateien. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Adam. Weitere Informationen zu AD LDS-Datenbankdateien finden Sie unter Ändern der AD LDS-Konfiguration.
    • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\TransportRoles\Logs. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername> | format-list *logpath*,*tracingpath* .
    • Nachrichtenordner PICKUP und REPLAY. Standardmäßig befinden sich diese unter dem Ordner %ExchangeInstallPath%\TransportRoles. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername>| format-list *dir*path*
    • Die Warteschlangendatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Queue. Weitere Informationen zu Transportserverwarteschlangen finden Sie unter Verwalten von Transportwarteschlangen.
    • Die Absenderzuverlässigkeitsdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.
    • Die IP-Filterdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\IpFilter.
    • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:
      • Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Servers ausgeführt.
      • OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.
    • Alle Exchange-aktivierten Antivirenprogrammordner.

  • Clientzugriffs-Serverrolle

    • Für IIS 7.0 (Internet Information Services, Internetinformationsdienste) verwendende Server der Komprimierungsordner, der mit Microsoft Outlook-Webanwendung verwendet wird. Der Komprimierungsordner für IIS 7.0 befindet sich standardmäßig unter %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.
    • Für IIS 6.0 verwendende Server der Komprimierungsordner, der mit Microsoft Outlook-Webanwendung verwendet wird. Der Komprimierungsordner für IIS 6.0 befindet sich standardmäßig unter %systemroot%\IIS Temporary Compressed Files.
    • Hinweis   Weitere Informationen zu möglichen Fehlern, die sich durch die Prüfung des IIS-Komprimierungsordners ergeben, finden Sie im Microsoft Knowledge Base-Artikel 817442, Es kann eine 0-Byte-Datei zurückgegeben werden, wenn die Komprimierung auf einem Server aktiviert ist, der IIS ausführt (möglicherweise in englischer Sprache).
    • IIS-Systemdateien im Ordner %SystemRoot%\System32\Inetsrv.
    • Inetpub\logs\logfiles\w3svc
    • Die internetbezogenen Dateien, die in Unterordnern des Ordners %ExchangeInstallPath%\ClientAccess gespeichert werden.
    • Folgende Ordner für Server mit aktivierter Protokollprotokollierung für POP3 oder IMAP4:
      • POP3-Ordner: %ExchangeInstallPath%\Logging\POP3
      • IMAP4-Ordner: %ExchangeInstallPath%\Logging\IMAP4
    • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:
      • Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Servers ausgeführt.
      • OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.

  • Unified Messaging-Serverrolle

    • Die Grammatikdateien für unterschiedliche Gebietsschemas, z. B. "de-DE" oder "es-ES". Standardmäßig werden diese in den Unterordnern im Ordner %ExchangeInstallPath%\UnifiedMessaging\grammars gespeichert.
    • Die Dateien für Ansagen, Begrüßungen und Informationsmeldungen. Standardmäßig werden diese in den Unterordnern im Ordner %ExchangeInstallPath%\UnifiedMessaging\Prompts gespeichert.
    • Die Voicemail-Dateien, die vorübergehend im Ordner %ExchangeInstallPath%\UnifiedMessaging\voicemail gespeichert sind.
    • Die durch Unified Messaging generierten temporären Dateien. Standardmäßig werden diese im Ordner %ExchangeInstallPath%\UnifiedMessaging\temp gespeichert.

  • Microsoft Forefront Protection für Exchange

    • Der Forefront-Installationsordner. Standardmäßig ist dies der Ordner %Program Files%\Microsoft Forefront Security\Exchange Server.
    • Alle archivierten Nachrichten. Diese werden standardmäßig im Ordner %Program Files%\Microsoft Forefront Security\Exchange Server\Data\Archive gespeichert.
    • Alle isolierten Dateien. Diese werden standardmäßig im Ordner %Program Files%\Microsoft Forefront Security\Exchange Server\Data\Quarantine gespeichert.
    • Die Dateien des Antivirenmoduls. Diese werden standardmäßig im Ordner %Program Files%\Microsoft Forefront Security\Exchange Server\Data\Engines\x86 gespeichert.
    • Die Konfigurationsdateien. Diese werden standardmäßig im Ordner %Program Files%\Microsoft Forefront Security\Exchange Server\Data gespeichert.

Prozessausschlüsse

Zahlreiche Antivirenprogramme auf Dateiebene unterstützen die Prüfung von Prozessen, die sich negativ auf Microsoft Exchange auswirken können, wenn die falschen Prozesse überprüft werden. Aus diesem Grund sollten Sie die folgenden Prozesse aus Scanvorgängen auf Dateiebene ausschließen.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

MSExchangeASTopologyService.exe

Dsamain.exe

MSExchangeFDS.exe

EdgeCredentialSvc.exe

MSExchangeMailboxAssistants.exe

EdgeTransport.exe

MSExchangeMailboxReplication.exe

ExFBA.exe

MSExchangeMailSubmission.exe

GalGrammarGenerator.exe

MSExchangeRepl.exe

Inetinfo.exe

MSExchangeTransport.exe

Mad.exe

MSExchangeTransportLogSearch.exe

Microsoft.Exchange.AddressBook.Service.exe

MSExchangeThrottling.exe

Microsoft.Exchange.AntispamUpdateSvc.exe

Msftefd.exe

Microsoft.Exchange.ContentFilter.Wrapper.exe

Msftesql.exe

Microsoft.Exchange.EdgeSyncSvc.exe

OleConverter.exe

Microsoft.Exchange.Imap4.exe

Powershell.exe

Microsoft.Exchange.Imap4service.exe

SESWorker.exe

Microsoft.Exchange.Infoworker.Assistants.exe

SpeechService.exe

Microsoft.Exchange.Monitoring.exe

Store.exe

Microsoft.Exchange.Pop3.exe

TranscodingService.exe

Microsoft.Exchange.Pop3service.exe

UmService.exe

Microsoft.Exchange.ProtectedServiceHost.exe

UmWorkerProcess.exe

Microsoft.Exchange.RPCClientAccess.Service.exe

W3wp.exe

Wenn Sie außerdem Forefront Protection für Exchange Server bereitstellen, schließen Sie die folgenden Prozesse aus.

Adonavsvc.exe

FscStatsServ.exe

FscController.exe

FscTransportScanner.exe

FscDiag.exe

FscUtility.exe

FscExec.exe

FsEmailPickup.exe

FscImc.exe

FssaClient.exe

FscManualScanner.exe

GetEngineFiles.exe

FscMonitor.exe

PerfmonitorSetup.exe

FscRealtimeScanner.exe

ScanEngineTest.exe

FscStarter.exe

SemSetup.exe

Dateinamenerweiterungs-Ausschlüsse

Sie sollten neben bestimmten Verzeichnissen und Prozessen auch die folgenden Exchange-spezifischen Dateinamenerweiterungen für den Fall ausschließen, dass ein Fehler bei den Verzeichnisausschlüssen auftritt oder Dateien aus ihren Standardspeicherorten verschoben werden.

  • Anwendungsbezogene Erweiterungen

    • CONFIG
    • DIA
    • WSB

  • Datenbankbezogene Erweiterungen

    • CHK
    • LOG
    • EDB
    • JRS
    • QUE

  • Erweiterungen, die sich auf das Offlineadressbuch beziehen:

    • LZX

  • Inhaltsindexbezogene Erweiterungen

    CI

    WID

    .001

    DIR

    .000

    .002

  • Unified Messaging-bezogene Erweiterungen

    • CFG
    • GRXML

  • GroupMetrics

    • DSC
    • BIN
    • XML

  • Forefront Protection für Exchange Server–bezogene Erweiterungen

    AVC

    DT

    LST

    CAB

    FDB

    MDB

    CFG

    FDM

    PPL

    CONFIG

    IDE

    SET

    DA1

    KEY

    V3D

    DAT

    KLB

    VDB

    DEF

    KLI

    VDM

Die für Forefront Protection für Exchange Server aufgeführten Dateinamenerweiterungen sind die Signaturdateien aus verschiedenen Antivirenverzeichnismodulen. In den meisten Fällen ändern sich diese Dateinamenerweiterungen nicht, es können jedoch in Zukunft Dateinamenerweiterungen hinzugefügt werden, wenn Drittanbieter von Antivirenprogrammen ihre Antivirensignaturdateien aktualisieren.