Antivirenscans auf Dateiebene für Exchange 2007

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2009-07-22

In diesem Thema werden die Auswirkungen von Antivirenprogrammen auf Dateiebene auf Computern beschrieben, die Microsoft Exchange Server 2007 ausführen. Wenn Sie die in diesem Thema beschriebenen Empfehlungen implementieren, können Sie die Sicherheit und den Systemzustand Ihrer Exchange-Organisation optimieren.

Scanner auf Dateiebene werden häufig verwendet. Wenn sie jedoch nicht ordnungsgemäß konfiguriert sind, können sie Probleme in Exchange 2007 verursachen.

Zwei Typen von Scannern auf Dateiebene werden unterschieden:

  • Speicherresidente Scans auf Dateiebene beziehen sich auf Antivirensoftware auf Dateiebene, die immer im Arbeitsspeicher geladen ist. Sie überprüft alle Dateien, die auf der Festplatte und im Arbeitsspeicher verwendet werden.

  • Scans auf Dateiebene bei Bedarf bezieht sich auf Antivirussoftware auf Dateiebene, die Sie so konfigurieren können, dass Dateien auf der Festplatte manuell oder nach einem festgelegten Zeitplan gescannt werden. Einige Versionen von Antivirussoftware starten den Scan bei Bedarf automatisch, nachdem die Virensignaturen aktualisiert wurden, damit sichergestellt ist, dass alle Dateien mit den aktuellsten Signaturen gescannt wurden.

Die folgenden Probleme können auftreten, wenn Sie Scanner auf Dateiebene zusammen mit Exchange 2007 verwenden:

  • Scanner auf Dateiebene können eine Datei scannen, wenn sie verwendet wird, oder sie können in einem geplanten Intervall aufgerufen werden. Dieser Vorgang kann bewirken, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder isolieren, während Microsoft Exchange versucht, die Datei zu verwenden. Dieses Verhalten kann einen schwer wiegenden Fehler in Microsoft Exchange sowie -1018-Fehler verursachen.

  • Scanner auf Dateiebene bieten keinen Schutz vor E-Mail-Viren wie etwa dem Melissa-Virus.

    Hinweis

    Der Melissa-Virus war ein Makrovirus vom Typ "Trojanisches Pferd", der sich im Jahr 1999 über E-Mail-Nachrichten verbreitete. Der Virus sendete E-Mail-Nachrichten mit bösartigen Anlagen an Adressen, die in persönlichen Adressbüchern auf Microsoft Outlook-E-Mail-Clients enthalten waren. Solche Viren können zu Datenbeschädigungen führen.

Empfehlungen für Exchange 2007

Wenn Sie Scanner auf Dateiebene auf Servercomputern mit Exchange 2007 bereitstellen, vergewissern Sie sich, dass die entsprechenden Ausschlüsse, z. B. Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungs-Ausschlüsse für geplante und Echtzeitscans eingerichtet wurden. In diesem Abschnitt werden Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungs-Ausschlüsse für jeden Servercomputer bzw. jede Serverfunktion beschrieben.

Verzeichnisausschlüsse

Sie müssen bestimmte Verzeichnisse für jeden Servercomputer mit Exchange bzw. für jede Serverfunktion ausschließen, für den oder die Sie einen Antivirusscanner auf Dateiebene ausführen. In diesem Abschnitt werden die Verzeichnisse beschrieben, die Sie von den Scans auf Dateiebene für jeden Servercomputer bzw. jede Serverfunktion ausschließen sollten.

  • Serverfunktion Mailbox

    • Exchange-Datenbanken, -Prüfpunktdateien und Protokolldateien für alle Speichergruppen. Diese Dateien werden standardmäßig in Unterordnern unter dem Ordner %Program Files%\Microsoft\Exchange Server\Mailbox gespeichert. Sie können den Pfad des Verzeichnisses mithilfe der folgenden Befehle in der Exchange-Verwaltungsshell abrufen:

      • Um den Speicherort eines Transaktionsprotokolls oder einer Prüfpunktdatei zu bestimmen, führen Sie den folgenden Befehl aus: Get-StorageGroup -server <servername>| fl *path*

      • Führen Sie den folgenden Befehl aus, um den Speicherort einer Postfachdatenbank zu bestimmen: Get-MailboxDatabase -server <servername>| fl *path*

      • Führen Sie den folgenden Befehl aus, um den Speicherort einer Öffentlichen Ordner-Datenbank zu bestimmen: Get-PublicFolderDatabase -server <servername>| fl *path*

    • Datenbankinhaltsindizes. Diese Dateien werden standardmäßig in Unterordnern der Speichergruppe unter dem Ordner %Program Files%\Microsoft\Exchange Server\Mailbox gespeichert.

    • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung. Diese Dateien befinden sich in Unterordnern unter dem Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs und %Program Files%\Microsoft\Exchange Server\Logging. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-MailboxServer <servername>| fl *path*.

    • Die Dateien des Offlineadressbuchs, die sich in Unterordnern unter dem Ordner %Program Files%\Microsoft\Exchange Server\ExchangeOAB befinden.

    • IIS-Systemdateien im Ordner %SystemRoot%\System32\Inetsrv.

    • Der temporäre Ordner, der mit Offlinewartungs-Dienstprogrammen wie z. B. Eseutil.exe verwendet wird. Dieser Ordner ist standardmäßig der Pfad, aus dem die EXE-Datei ausgeführt wird. Sie können jedoch konfigurieren, von wo aus der Vorgang durchgeführt werden soll, wenn Sie das Dienstprogramm ausführen.

    • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:

      • Inkaltskonvertierungen werden im TMP-Ordner des Servers ausgeführt.

      • OLE-Konvertierungen werden im Ordner %Program Files%\Microsoft\Exchange Server\Working\OleConvertor ausgeführt.

      • Der temporäre Ordner der Postfachdatenbank: %Program Files%\Microsoft\Exchange Server\Mailbox\MDBTEMP.

    • Alle Exchange-aktivierten Antivirusprogrammordner.

  • Postfachclusterserver
    Alle Elemente, die in der Liste der Serverfunktion Mailbox aufgelistet werden, sowie die folgenden Elemente:

    • Der Quorumdatenträger und der Ordner %Winnt%\Cluster.

    • Der Dateifreigabenzeuge. Dieser befindet sich auf einem anderen Server in der Umgebung, normalerweise auf einem Hub-Transport-Server.

    • Das Verzeichnis ExchangeOAB auf einem freigegebenen Laufwerk. Der Speicherort wird durch den Registrierungsschlüssel SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<CMS-name>\OabDropFolderLocation angegeben.

      Hinweis

      Standardmäßig befindet sich das Verzeichnis ExchangeOAB am folgenden Speicherort: %Program Files%\Microsoft\Exchange Server\ExchangeOAB

  • Serverfunktion Hub-Transport

    • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung. Diese Dateien befinden sich in Unterordnern unter dem Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername>| fl *logpath*,*tracingpath*

    • Die Nachrichtenordner, die sich unter dem Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles befinden. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Pfade zu bestimmen: Get-TransportServer <servername>| fl *dir*path* 

    • Die Warteschlangendatenbank der Transportserverfunktion, die Prüfpunkt- und Protokolldateien, die im Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue gespeichert sind. Weitere Informationen zum Abrufen des Verzeichnispfads, wenn die Warteschlangendatenbankdateien aus dem Standtandspeicherort verschoben wurden, finden Sie unter Arbeiten mit der Datenbankwarteschlange auf Transportservern.

    • Die Absenderzuverlässigkeitsdatenbank der Transportserverfunktion, die Prüfpunkt- und Protokolldateien, die im Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation gespeichert sind.

    • Die IP-Filterdatenbank der Transportserverfunktion, die Prüfpunkt- und Protokolldateien, die im Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter gespeichert sind.

    • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:

      • Inkaltskonvertierungen werden im TMP-Ordner des Servers ausgeführt.

      • OLE-Konvertierungen werden im Ordner %Program Files%\Microsoft\Exchange Server\Working\OleConvertor ausgeführt.

    • Alle Exchange-aktivierten Antivirusprogrammordner.

  • Serverfunktion Edge-Transport

    • Die Active Directory Application Mode-Datenbank (ADAM) und die Protokolldateien, die im Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Adam gespeichert sind. Weitere Informationen zum Abrufen des Verzeichnispfads, wenn die ADAM-Datenbankdateien aus dem Standtandspeicherort verschoben wurden, finden Sie unter Ändern der ADAM-Konfiguration.

    • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung. Diese Dateien befinden sich in Unterordnern unter dem Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername>| fl *logpath*,*tracingpath* .

    • Die Nachrichtenordner, die sich unter dem Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles befinden. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername>| fl *dir*path* 

    • Die Warteschlangendatenbank der Transportserverfunktion, die Prüfpunkt- und Protokolldateien, die im Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue gespeichert sind. Weitere Informationen zum Abrufen des Verzeichnispfads, wenn die Warteschlangendatenbankdateien aus dem Standtandspeicherort verschoben wurden, finden Sie unter Arbeiten mit der Datenbankwarteschlange auf Transportservern.

    • Die Absenderzuverlässigkeitsdatenbank der Transportserverfunktion, die Prüfpunkt- und Protokolldateien, die im Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation gespeichert sind.

    • Die IP-Filterdatenbank der Transportserverfunktion, die Prüfpunkt- und Protokolldateien, die im Ordner %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter gespeichert sind.

    • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:

      • Inkaltskonvertierungen werden im TMP-Ordner des Servers ausgeführt.

      • OLE-Konvertierungen werden im Ordner %Program Files%\Microsoft\Exchange Server\Working\OleConvertor ausgeführt.

    • Alle Exchange-aktivierten Antivirusprogrammordner.

  • Serverfunktion ClientAccess

    • Der Internetinformationsdienste (IIS) 6.0-Komprimierungsordner, der mit Microsoft Outlook Web Access verwendet wird. Der Komprimierungsordner in IIS 6.0 befindet sich standardmäßig unter %systemroot%\IIS Temporary Compressed Files.

      Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 817442 Eine 0-Byte-Datei möglicherweise zurückgegeben werden, wenn die Komprimierung aktiviert ist auf einem Server mit IIS.

    • IIS-Systemdateien im Ordner %SystemRoot%\System32\Inetsrv.

    • Die Internetbezogenen Dateien, die in Unterordnern des Ordners %Program Files%\Microsoft\Exchange Server\ClientAccess gespeichert sind.

    • Der temporäre Ordner, der zum Durchführen von Inhaltskonvertierungen verwendet wird. Standardmäßig ist dies der TMP-Ordner des Servers.

  • Serverfunktion UnifiedMessaging

    • Die Grammatikdateien, die in den Unterordnern des Ordners %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\grammars gespeichert sind.

    • Die Ansagedateien, die in Unterordnern im Ordner %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\Prompts gespeichert sind.

    • Die Voicemaildateien, die im Ordner %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\voicemail gespeichert sind.

    • Die Badvoicemaildateien, die im Ordner %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail gespeichert sind.

  • Microsoft ForeFront Security für Exchange Server

    • Die archivierten Nachrichten, die im Ordner %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Archive gespeichert sind.

    • Die isolierten Dateien, die im Ordner %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine gespeichert sind.

    • Die Dateien des Antivirusmoduls, die in den Unterordnern des Ordners %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86 gespeichert sind.

    • Die Konfigurationsdateien, die im Ordner %Program Files%\Microsoft ForeFront Security\Exchange Server\Data gespeichert sind.

  • Microsoft ForeFront Security für Exchange Server auf Einzelkopieclustern (Single Copy Clusters, SCC)
    Schließen Sie zusätzlich zu den Verzeichnissen, die Antivirusmodul- und -konfigurationsdateien enthalten, das Verzeichnis auf dem freigegebenen Speicher aus, das für ForeFront-Daten verwendet wird.

    Um den Pfad zu ermitteln, der auf einem SCC von ForeFront verwendet wird, prüfen Sie den Wert des folgenden Registrierungsschlüssels:

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath

    UNRESOLVED_TOKEN_VAL(exRegistry) 

Prozessausschlüsse

Zahlreiche Scanner auf Dateiebene unterstützen nun das Scannen von Prozessen. Dieser Vorgang kann ebenfalls zu negativen Auswirkungen auf Microsoft Exchange führen, wenn die falschen Prozesse gescannt werden. Aus diesem Grund sollten Sie die folgenden Prozesse aus Scanvorgängen auf Dateiebene ausschließen.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

Msexchangeadtopologyservice.exe

Dsamain.exe

Msexchangefds.exe

Edgecredentialsvc.exe

Msexchangemailboxassistants.exe

Edgetransport.exe

Msexchangemailsubmission.exe

Galgrammargenerator.exe

Msexchangetransport.exe

Inetinfo.exe

Msexchangetransportlogsearch.exe

Mad.exe

Msftefd.exe

Microsoft.Exchange.Antispamupdatesvc.exe

Msftesql.exe

Microsoft.Exchange.Contentfilter.Wrapper.exe

Oleconverter.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Powershell.exe

Microsoft.Exchange.Edgesyncsvc.exe

Sesworker.exe

Microsoft.Exchange.Imap4.exe

Speechservice.exe

Microsoft.Exchange.Imap4service.exe

Store.exe

Microsoft.Exchange.Infoworker.Assistants.exe

Transcodingservice.exe

Microsoft.Exchange.Monitoring.exe

Umservice.exe

Microsoft.Exchange.Pop3.exe

Umworkerprocess.exe

Microsoft.Exchange.Pop3service.exe

W3wp.exe

Wenn Sie außerdem ForeFront Security für Exchange Server bereitstellen, schließen Sie die folgenden Prozesse aus.

Adonavsvc.exe

Fscstatsserv.exe

Fsccontroller.exe

Fsctransportscanner.exe

Fscdiag.exe

Fscutility.exe

Fscexec.exe

Fsemailpickup.exe

Fscimc.exe

Fssaclient.exe

Fscmanualscanner.exe

Getenginefiles.exe

Fscmonitor.exe

Perfmonitorsetup.exe

Fscrealtimescanner.exe

Scanenginetest.exe

Fscstarter.exe

Semsetup.exe

Dateinamenerweiterungs-Ausschlüsse

Sie sollten nicht nur bestimmte Verzeichnisse und Prozesse ausschließen, sondern als zweite Maßnahme auch die folgenden Exchange-spezifischen Dateinamenerweiterungen für den Fall ausschließen, dass ein Fehler bei den Verzeichnisausschlüssen auftritt oder Dateien verschoben werden.

  • Anwendungsbezogene Erweiterungen

    • CONFIG

    • DIA

    • WSB

  • Datenbankbezogene Erweiterungen

    • CHK

    • LOG

    • EDB

    • JRS

    • QUE

  • Offlineadressbuchbezogene Erweiterungen

    • LZX
  • Inhaltsindexbezogene Erweiterungen

    CI

    WID

    .001

    DIR

    .000

    .002

  • Unified Messaging-bezogene Erweiterungen

    • CFG

    • GRXML

  • ForeFront Security für Exchange Server-bezogene Erweiterungen

    AVC

    DT

    LST

    CAB

    FDB

    MDB

    CFG

    FDM

    PPL

    CONFIG

    IDE

    SET

    DA1

    KEY

    V3D

    DAT

    KLB

    VDB

    DEF

    KLI

    VDM

Die für ForeFront Security für Exchange Server aufgeführten Dateinamenerweiterungen sind die Signaturdateien aus verschiedenen Antivirusverzeichnismodulen. In den meisten Fällen ändern sich diese Dateinamenerweiterungen nicht, es können jedoch in Zukunft Dateinamenerweiterungen hinzugefügt werden, wenn Drittanbieter-Antiviruslieferanten ihre Antivirussignaturdateien aktualisieren.