Analyse antivirus au niveau fichier sur Exchange 2007

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2009-07-22

Cette rubrique décrit les effets des antivirus au niveau fichier sur les ordinateurs exécutant Microsoft Exchange Server 2007. Les recommandations présentées dans cette rubrique permettent d'améliorer la sécurité et l'intégrité de votre organisation Exchange.

Les antivirus au niveau fichier sont fréquemment utilisés. Toutefois, s'ils sont mal configurés, ils peuvent causer des problèmes dans Exchange 2007.

Il existe deux types d'antivirus au niveau fichier :

  • L'analyse antivirus au niveau fichier résidant en mémoire est une composante de l'antivirus au niveau fichier chargée en permanence dans la mémoire. Elle vérifie tous les fichiers utilisés sur le disque dur et dans la mémoire de l'ordinateur.

  • L'analyse antivirus au niveau fichier à la demande est une composante de l'antivirus au niveau fichier que vous pouvez configurer pour analyser les fichiers sur le disque dur manuellement ou selon une planification. Certaines versions de l'antivirus démarrent automatiquement l'analyse antivirus à la demande après la mise à jour des signatures de virus afin que tous les fichiers soient analysés avec les dernières signatures.

Les problèmes suivants peuvent survenir lorsque vous utilisez des antivirus au niveau fichier avec Exchange 2007 :

  • Les antivirus au niveau fichier peuvent analyser un fichier en cours d'utilisation ou à un intervalle planifié. Cela peut entraîner le verrouillage ou la mise en quarantaine par les antivirus d'un journal Exchange ou d'un fichier de base de données alors qu'Microsoft Exchange tente d'utiliser le fichier. Ce comportement peut générer une erreur grave dans Microsoft Exchange et des erreurs -1018.

  • Les antivirus au niveau fichier n'offrent pas de protection contre les virus de messagerie tels que le virus Melissa.

    Notes

    Le virus Melissa était un macrovirus de type cheval de Troie qui se propageait via les messages électroniques en 1999. Le virus envoyait des messages électroniques contenant des pièces jointes nuisibles à des adresses trouvées dans les carnets d'adresses personnels des clients de messagerie Microsoft Outlook. De tels virus entraînent la destruction de données.

Recommandations Exchange 2007

Si vous déployez des antivirus au niveau fichier sur les serveurs Exchange 2007, assurez-vous que les exclusions adéquates, telles que les exclusions de répertoires, de processus et d'extensions de nom de fichier, sont mises en place pour l'analyse antivirus planifiée et en temps réel. Cette section décrit les exclusions de répertoires, de processus et d'extensions de nom de fichier pour chaque serveur ou rôle serveur.

Exclusions de répertoires

Vous devez exclure des répertoires spécifiques pour chaque serveur ou rôle serveur Exchange sur lequel vous exécutez une analyse antivirus au niveau fichier. Cette section décrit les répertoires que vous devez exclure de l'analyse antivirus au niveau fichier pour chaque serveur ou rôle serveur.

  • Rôle serveur de boîtes aux lettres

    • Fichiers journaux, fichiers de point de contrôle et bases de données Exchange dans les groupes de stockage. Par défaut, ils sont accessibles dans les sous-dossiers du dossier %Program Files%\Microsoft\Exchange Server\Mailbox. Vous pouvez identifier l'emplacement du répertoire en exécutant les commandes suivantes dans l'environnement de ligne de commande Exchange Management Shell :

      • Pour déterminer l'emplacement d'un journal des transactions et d'un fichier de point de contrôle, exécutez la commande suivante : Get-StorageGroup -server <servername>| fl *path*

      • Pour déterminer l'emplacement d'une base de données de boîtes aux lettres, exécutez la commande suivante : Get-MailboxDatabase -server <servername>| fl *path*

      • Pour déterminer l'emplacement d'une base de données de dossiers publics, exécutez la commande suivante : Get-PublicFolderDatabase -server <servername>| fl *path*

    • Index du contenu des bases de données. Par défaut, ils sont accessibles dans les sous-dossiers du groupe de stockage dans le dossier %Program Files%\Microsoft\Exchange Server\Mailbox.

    • Fichiers journaux généraux, tels que les fichiers journaux de suivi des messages. Ces fichiers sont accessibles dans les sous-dossiers des dossiers %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs et %Program Files%\Microsoft\Exchange Server\Logging. Pour déterminer les chemins d'accès aux journaux utilisés, exécutez la commande suivante dans l'environnement de ligne de commande Exchange Management Shell : Get-MailboxServer <servername>| fl *path*.

    • Fichiers de carnet d'adresses en mode hors connexion accessibles dans les sous-dossiers du dossier %Program Files%\Microsoft\Exchange Server\ExchangeOAB.

    • Fichiers système IIS dans le dossier %SystemRoot%\System32\Inetsrv.

    • Fichier temporaire utilisé avec les utilitaires de maintenance hors ligne, tels que Eseutil.exe. Par défaut, ce dossier correspond à l'emplacement d'exécution du fichier .exe. Toutefois, vous pouvez configurer l'emplacement à partir duquel effectuer l'opération lors de l'exécution de l'utilitaire.

    • Dossiers temporaires utilisés pour effectuer des conversions :

      • Les conversions de contenu sont effectuées dans le dossier TMP du serveur.

      • Les conversions OLE sont effectuées dans le dossier %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.

      • Dossier temporaire de la base de données de boîtes aux lettres : %Program Files%\Microsoft\Exchange Server\Mailbox\MDBTEMP

    • Dossiers de l'antivirus compatibles avec Exchange

  • Serveur de boîtes aux lettres en cluster
    Tous les éléments répertoriés dans la liste du rôle serveur de boîtes aux lettres, ainsi que ce qui suit :

    • disque quorum et dossier %Winnt%\Cluster ;

    • témoin de partage de fichiers. Il se trouve sur un autre serveur dans l'environnement, généralement un serveur de transport Hub ;

    • répertoire ExchangeOAB sur un disque partagé. L'emplacement est spécifié par la clé de Registre SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<nom_serveur_boîtes_aux_lettres_en_cluster>\OabDropFolderLocation.

      noteRemarque :
      Par défaut, le répertoire ExchangeOAB est situé à l'emplacement suivant : %Program Files%\Microsoft\Exchange Server\ExchangeOAB.

  • Rôle serveur de transport Hub

    • Fichiers journaux généraux, tels que le journal de suivi des messages. Ces fichiers sont accessibles dans les sous-dossiers du dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs. Pour déterminer les chemins d'accès aux journaux utilisés, exécutez la commande suivante dans l'environnement de ligne de commande Exchange Management Shell : Get-TransportServer <servername>| fl *logpath*,*tracingpath*

    • Dossiers de message dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles. Pour déterminer les chemins d'accès aux journaux utilisés, exécutez la commande suivante dans l'environnement de ligne de commande Exchange Management Shell : Get-TransportServer <servername>| fl *dir*path* 

    • Fichiers de base de données des files d'attente, fichiers journaux et fichiers de point de contrôle du rôle serveur de transport dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Pour plus d'informations sur l'identification de l'emplacement du répertoire si les fichiers de base de données des files d'attente ont été déplacés de l'emplacement par défaut, consultez la rubrique Utilisation de la base de données de files d’attentes sur les serveurs de transport.

    • Fichiers de base de données de réputation de l'expéditeur, fichiers journaux et fichiers de point de contrôle du rôle serveur de transport dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

    • Fichiers de base de données de filtre IP, fichiers journaux et fichiers de point de contrôle du rôle serveur de transport dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

    • Dossiers temporaires utilisés pour effectuer des conversions :

      • Les conversions de contenu sont effectuées dans le dossier TMP du serveur.

      • Les conversions OLE sont effectuées dans le dossier %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.

    • Dossiers de l'antivirus compatibles avec Exchange

  • Rôle serveur de transport Edge

    • Fichiers de base de données et fichiers journaux Active Directory Application Mode (ADAM) dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Pour plus d'informations sur l'identification de l'emplacement du répertoire si les fichiers de base de données ADAM ont été déplacés de l'emplacement par défaut, consultez la rubrique Procédure de modification de la configuration d'ADAM.

    • Fichiers journaux généraux, tels que le journal de suivi des messages. Ces fichiers sont accessibles dans les sous-dossiers du dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs. Pour déterminer les chemins d'accès aux journaux utilisés, exécutez la commande suivante dans l'environnement de ligne de commande Exchange Management Shell : Get-TransportServer <servername>| fl *logpath*,*tracingpath*.

    • Dossiers de message dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles. Pour déterminer les chemins d'accès aux journaux utilisés, exécutez la commande suivante dans l'environnement de ligne de commande Exchange Management Shell : Get-TransportServer <servername>| fl *dir*path* 

    • Fichiers de base de données des files d'attente, fichiers journaux et fichiers de point de contrôle du rôle serveur de transport dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Pour plus d'informations sur l'identification de l'emplacement du répertoire si les fichiers de base de données des files d'attente ont été déplacés de l'emplacement par défaut, consultez la rubrique Utilisation de la base de données de files d’attentes sur les serveurs de transport.

    • Fichiers de base de données de réputation de l'expéditeur, fichiers journaux et fichiers de point de contrôle du rôle serveur de transport dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.

    • Fichiers de base de données de filtre IP, fichiers journaux et fichiers de point de contrôle du rôle serveur de transport dans le dossier %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.

    • Dossiers temporaires utilisés pour effectuer des conversions :

      • Les conversions de contenu sont effectuées dans le dossier TMP du serveur.

      • Les conversions OLE sont effectuées dans le dossier %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.

    • Dossiers de l'antivirus compatibles avec Exchange

  • Rôle serveur d'accès au client

    • Dossier de compression des services Internet (IIS) 6.0 utilisé avec Microsoft Outlook Web Access. Par défaut, le dossier de compression des services Internet IIS 6.0 se trouve dans %systemroot%\IIS Temporary Compressed Files.

      Pour plus d'informations, consultez l'article 817442 de la Base de connaissances Microsoft, A 0-byte file may be returned when compression is enabled on a server that is running IIS (en anglais).

    • Fichiers système IIS dans le dossier %SystemRoot%\System32\Inetsrv.

    • Fichiers Internet stockés dans les sous-dossiers du dossier %Program Files%\Microsoft\Exchange Server\ClientAccess.

    • Dossier temporaire utilisé pour effectuer la conversion du contenu. Par défaut, il s'agit du dossier TMP du serveur.

  • Rôle serveur de messagerie unifiée

    • Fichiers de grammaire stockés dans les sous-dossiers du dossier %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\grammars.

    • Messages d'assistance vocale stockés dans les sous-dossiers du dossier %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\Prompts.

    • Fichiers de messagerie vocale stockés dans le dossier %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\voicemail.

    • Fichiers de messagerie vocale incorrects stockés dans le dossier %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail.

  • Microsoft Forefront Security pour Exchange Server :

    • Messages archivés stockés dans le dossier %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Archive.

    • Fichiers mis en quarantaine stockés dans le dossier %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine.

    • Fichiers du moteur antivirus stockés dans les sous-dossiers du dossier %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86.

    • Fichiers de configuration stockés dans le dossier %Program Files%\Microsoft ForeFront Security\Exchange Server\Data.

  • Microsoft Forefront Security pour Exchange Server sur les clusters à copie unique
    Outre les répertoires contenant les fichiers de configuration et du moteur antivirus, excluez le répertoire dans le stockage partagé utilisé pour les données ForeFront.

    Pour déterminer le chemin utilisé par ForeFront sur un cluster à copie unique, vérifiez la valeur de la clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath

    UNRESOLVED_TOKEN_VAL(exRegistry) 

Exclusions de processus

De nombreux antivirus au niveau fichier prennent désormais en charge l'analyse antivirus des processus. Cet outil peut affecter Microsoft Exchange de façon négative si les mauvais processus sont analysés. Par conséquent, vous devez exclure les processus suivants des antivirus au niveau fichier.

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

Msexchangeadtopologyservice.exe

Dsamain.exe

Msexchangefds.exe

Edgecredentialsvc.exe

Msexchangemailboxassistants.exe

Edgetransport.exe

Msexchangemailsubmission.exe

Galgrammargenerator.exe

Msexchangetransport.exe

Inetinfo.exe

Msexchangetransportlogsearch.exe

Mad.exe

Msftefd.exe

Microsoft.Exchange.Antispamupdatesvc.exe

Msftesql.exe

Microsoft.Exchange.Contentfilter.Wrapper.exe

Oleconverter.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Powershell.exe

Microsoft.Exchange.Edgesyncsvc.exe

Sesworker.exe

Microsoft.Exchange.Imap4.exe

Speechservice.exe

Microsoft.Exchange.Imap4service.exe

Store.exe

Microsoft.Exchange.Infoworker.Assistants.exe

Transcodingservice.exe

Microsoft.Exchange.Monitoring.exe

Umservice.exe

Microsoft.Exchange.Pop3.exe

Umworkerprocess.exe

Microsoft.Exchange.Pop3service.exe

W3wp.exe.

Si vous déployez également ForeFront Security pour Exchange Server, excluez les processus suivants :

Adonavsvc.exe

Fscstatsserv.exe

Fsccontroller.exe

Fsctransportscanner.exe

Fscdiag.exe

Fscutility.exe

Fscexec.exe

Fsemailpickup.exe

Fscimc.exe

Fssaclient.exe

Fscmanualscanner.exe

Getenginefiles.exe

Fscmonitor.exe

Perfmonitorsetup.exe

Fscrealtimescanner.exe

Scanenginetest.exe

Fscstarter.exe

Semsetup.exe

Exclusions d'extensions de nom de fichier

Outre l'exclusion de répertoires et de processus spécifiques, en tant que mesure secondaire, en cas d'échec des exclusions de répertoires ou de déplacements de fichiers, vous devez exclure les extensions de nom de fichier spécifiques à Exchange suivantes :

  • Extensions relatives aux applications

    • .config

    • .dia

    • .wsb

  • Extensions relatives aux bases de données

    • .chk

    • .log

    • .edb

    • .jrs

    • .que

  • Extensions relatives au carnet d'adresses en mode hors connexion

    • .lzx

  • Extensions relatives à l'indexation du contenu

    .ci

    .wid

    .001

    .dir

    .000

    .002

  • Extensions relatives à la messagerie unifiée

    • .cfg

    • .grxml

  • Extensions relatives à ForeFront Security pour Exchange Server

    .avc

    .dt

    .lst

    .cab

    .fdb

    .mdb

    .cfg

    .fdm

    .ppl

    .config

    .ide

    .set

    .da1

    .key

    .v3d

    .dat

    .klb

    .vdb

    .def

    .kli

    .vdm

Les extensions de nom de fichier pour ForeFront Security pour Exchange Server correspondent aux fichiers de signature de différents moteurs de répertoire antivirus. Le plus souvent, ces extensions de nom de fichier ne sont pas modifiées, mais des extensions de nom de fichier peuvent être ajoutées ultérieurement lorsque les fournisseurs de solutions antivirus tiers mettent à jour leurs fichiers de signature antivirus.