Software antivirus nel sistema operativo dei server Exchange
Si applica a: Exchange Server 2013
In questo argomento, vengono descritti gli effetti dei programmi antivirus a livello di file sui computer su cui è installato Microsoft Exchange Server 2013. Se vengono implementate le indicazioni descritte in questo argomento, sarà possibile migliorare la protezione e l'integrità dell'organizzazione Exchange.
Gli scanner a livello di file vengono usati di frequente. Tuttavia, se sono configurati in modo non corretto, possono causare problemi in Exchange 2013. Esistono due tipi di scanner a livello di file:
L'analisi a livello di file residente in memoria si riferisce a una parte del software antivirus a livello di file che viene caricata in memoria in ogni momento. e che consente di controllare tutti i file utilizzati nel disco rigido e nella memoria del computer.
L'analisi a livello di file su richiesta si riferisce a una parte del software antivirus a livello di file che è possibile configurare per analizzare i file sul disco rigido manualmente o in base a una pianificazione. In alcune versioni di software antivirus la ricerca su richiesta viene avviata automaticamente dopo l'aggiornamento delle impronte digitali del virus per garantire che la ricerca venga eseguita in tutti i file con le impronte più recenti.
Quando vengono utilizzati programmi antivirus a livello di file in Exchange 2013, possono verificarsi i seguenti problemi:
È possibile che la ricerca venga eseguita in un file mentre è in uso oppure in base a un intervallo pianificato. Pertanto, se Exchange 2013 tenta di utilizzare un file di registro o di database di Exchange, il programma antivirus potrebbe bloccare il file o metterlo in quarantena. Tale comportamento può provocare un errore grave in Exchange 2013, nonché errori nel registro eventi -1018.
I programmi antivirus a livello di file non forniscono protezione contro virus della posta elettronica, quali Storm Worm. Storm Worm era un programma di tipo backdoor trojan horse che si autopropagava tramite messaggi di posta elettronica. Il worm attaccava il computer infetto facendo sì che il computer iniziasse a inviare messaggi di posta indesiderata ad intervalli periodici.
Consigli per l'utilizzo delle scansioni a livello di file con Exchange 2013
Se nei server Exchange 2013 vengono distribuiti programmi antivirus a livello di file, assicurarsi che vengano implementate le esclusioni appropriate relative a directory, processi ed estensioni di nomi file, per la ricerca a livello di file e di memoria. In questa sezione, vengono descritte le esclusioni consigliate relativamente a directory, processi ed estensioni di nomi file.
Esclusioni di directory
È necessario escludere directory specifiche per ogni server Exchange su cui viene eseguito il programma antivirus a livello di file. In questa sezione, vengono descritte le directory da escludere dalla scansione a livello di file.
Server Cassette postali
Database delle cassette postali
Database e file dei punti di arresto e di registro di Exchange. Per impostazione predefinita, questi elementi si trovano in sottocartelle della cartella %ExchangeInstallPath%Mailbox. Per determinare il percorso di un database delle cassette postali, un log delle transazioni e un file di checkpoint, eseguire il comando seguente:
Get-MailboxDatabase -Server <servername>| Format-List *path*Indici del contenuto dei database. Per impostazione predefinita, questi file si trovano nella stessa cartella del file del database.
File di metrica del gruppo. Per impostazione predefinita, questi file si trovano nella cartella %ExchangeInstallPath%GroupMetrics.
File di registro generali, ad esempio file di registro di verifica messaggi e ripristino del calendario. Per impostazione predefinita, questi file si trovano in sottocartelle delle cartelle %ExchangeInstallPath%TransportRoles\Logs ed %ExchangeInstallPath%Logging. Per determinare i percorsi di log usati, eseguire il comando seguente in Exchange Management Shell:
Get-MailboxServer <servername> | Format-List *path*I File della rubrica non in linea. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%ClientAccess\OAB.
File di sistema IIS nella cartella %SystemRoot%\System32\Inetsrv.
La cartella temporanea del database delle cassette postali: %ExchangeInstallPath%Mailbox\MDBTEMP
Membri di gruppi di disponibilità del database
Tutti gli elementi riportati nell'elenco Database di cassette postali e il database di quorum cluster presente in %Windir%\Cluster.
I file della directory di controllo. Questi file si trovano in un altro server all'interno dell'ambiente, generalmente un server Accesso client non installato sullo stesso computer del server Cassette postali. Per impostazione predefinita, i file della directory di controllo si trovano in %SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>.
Servizio di trasporto
File di registro quali, ad esempio, registri di connettività e verifica dei messaggi. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%TransportRoles\Logs. Per determinare i percorsi di log usati, eseguire il comando seguente in Exchange Management Shell:
Get-TransportService <servername> | Format-List *logpath*,*tracingpath*Cartelle delle directory di prelievo e di riproduzione dei messaggi. Per impostazione predefinita, queste cartelle si trovano nella cartella %ExchangeInstallPath%TransportRoles. Per determinare i percorsi usati, eseguire il comando seguente in Exchange Management Shell:
Get-TransportService <servername>| Format-List *dir*path*Il database delle code, i punti di controllo e i file di registro. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%TransportRoles\Data\Queue.
Il database di reputazione del mittente, i punti di controllo e i file di registro. Per impostazione predefinita, si trovano nella cartella %ExchangeInstallPath%TransportRoles\Data\SenderReputation.
Le cartelle temporanee utilizzate per eseguire le seguenti conversioni:
Per impostazione predefinita, le conversioni del contenuto vengono eseguite nella cartella %TMP% del server Exchange.
Per impostazione predefinita, le conversioni da RTF (Rich Text Format) a MIME/HTML vengono eseguite nella cartella %ExchangeInstallPath%Working\OleConverter.
Il componente di scansione del contenuto viene utilizzato dall'agente Malware e dal DLP. Per impostazione predefinita, questi file si trovano nella cartella %ExchangeInstallPath%FIP-FS.
Servizio Trasporto cassette postali
- File di registro quali, ad esempio, i registri di connettività. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Per determinare i percorsi di log usati, eseguire il comando seguente in Exchange Management Shell:
Get-MailboxTransportService <servername> | Format-List *logpath*
- File di registro quali, ad esempio, i registri di connettività. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%TransportRoles\Logs\Mailbox. Per determinare i percorsi di log usati, eseguire il comando seguente in Exchange Management Shell:
Messaggistica unificata
I file di grammatica per impostazioni internazionali diverse, ad esempio en-EN o es-ES. Per impostazione predefinita, questi vengono archiviati in sottocartelle della cartella %ExchangeInstallPath%UnifiedMessaging\grammars.
Istruzioni vocali, messaggi di saluto e i file di messaggio informativo. Per impostazione predefinita, questi vengono archiviati nelle sottocartelle della cartella %ExchangeInstallPath%UnifiedMessaging\Prompts
I file del sistema di caselle vocali vengono temporaneamente archiviati nella cartella %ExchangeInstallPath%UnifiedMessaging\voicemail.
I file temporanei generati dalla messaggistica unificata. Per impostazione predefinita, questi vengono archiviati nella cartella %ExchangeInstallPath%UnifiedMessaging\temp.
Configurazione
- Exchange Server i file temporanei di installazione. Questi file si trovano in genere in %SystemRoot%\Temp\ExchangeSetup.
Exchange servizio di ricerca
- File temporanei usati da Exchange servizio di ricerca e Microsoft Filter Pack per eseguire la conversione di file in un ambiente sandbox. Questi file si trovano in %SystemRoot%\Temp\OICE_\<GUID>\.
Server Accesso client
Componenti Web
Per i server che usano Internet Information Services (IIS) 7.0, la cartella di compressione usata con Microsoft Outlook Web App. Per impostazione predefinita, la cartella di compressione di IIS 7.0 si trova in %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files.
File di sistema di IIS nella cartella %SystemRoot%\System32\Inetsrv
Inetpub\logs\logfiles\w3svc
Sottocartelle in %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
Registrazione protocolli POP3 e IMAP4
Cartella POP3: %ExchangeInstallPath%Logging\POP3
Cartella IMAP4: %ExchangeInstallPath%Logging\IMAP4
Servizio Trasporto front-end
- File di registro quali, ad esempio, registri di connettività e protocollo. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Per determinare i percorsi di log usati, eseguire il comando seguente in Exchange Management Shell:
Get-FrontEndTransportService <servername> | Format-List *logpath*
- File di registro quali, ad esempio, registri di connettività e protocollo. Per impostazione predefinita, questi file si trovano in sottocartelle della cartella %ExchangeInstallPath%TransportRoles\Logs\FrontEnd. Per determinare i percorsi di log usati, eseguire il comando seguente in Exchange Management Shell:
Configurazione
- Exchange Server i file temporanei di installazione. Questi file si trovano in genere in %SystemRoot%\Temp\ExchangeSetup.
Esclusioni di processi
Molti programmi antivirus a livello di file supportano la ricerca all'interno dei processi, che può influire negativamente su Microsoft Exchange se la ricerca viene eseguita nei processi errati. Pertanto, è necessario escludere i seguenti processi dal programma antivirus a livello di file.
| Procedura | Percorso | Commenti | Server |
|---|---|---|---|
| Dsamain.exe | %SystemRoot%\System32 | Active Directory Lightweight Directory Services (AD LDS) nei server Trasporto Edge sottoscritti. | Server Trasporto Edge |
| EdgeTransport.exe | %ExchangeInstallPath%Bin | Processo di lavoro del servizio Trasporto di Microsoft Exchange | Server Cassette postali Server Trasporto Edge |
| fms.exe | %ExchangeInstallPath%FIP-FS\Bin | Componente di analisi del contenuto usato dall'agente malware e dalla prevenzione della perdita dei dati. | Server Cassette postali |
| hostcontrollerservice.exe | %ExchangeInstallPath%Bin\Search\Ceres\HostController | Servizio Controller host di Ricerca di Microsoft Exchange (HostControllerService) | Server Cassette postali Server Accesso client |
| inetinfo.exe | %SystemRoot%\System32\inetsrv | Internet Information Services (IIS) | Server Cassette postali Server Accesso client |
| Microsoft.Exchange.AntispamUpdateSvc.exe | %ExchangeInstallPath%Bin | Servizio di aggiornamento della posta indesiderata di Microsoft Exchange (MSExchangeAntispamUpdate) | Server Cassette postali Server Trasporto Edge |
| Microsoft.Exchange.ContentFilter.Wrapper.exe | %ExchangeInstallPath%TransportRoles\agents\Hygiene | Agente filtro contenuto | Server Cassette postali Server Trasporto Edge |
| Microsoft.Exchange.Diagnostics.Service.exe | %ExchangeInstallPath%Bin | Servizio Diagnostica di Microsoft Exchange (MSExchangeDiagnostics) | Server Cassette postali Server Accesso client Server Trasporto Edge |
| Microsoft.Exchange.Directory.TopologyService.exe | %ExchangeInstallPath%Bin | Servizio topologia di Microsoft Exchange Active Directory (MSExchangeADTopology) | Server Cassette postali Server Accesso client |
| Microsoft.Exchange.EdgeCredentialSvc.exe | %ExchangeInstallPath%Bin | Servizio Credenziali di Microsoft Exchange (MSExchangeEdgeCredential) | Server Trasporto Edge |
| Microsoft.Exchange.EdgeSyncSvc.exe | %ExchangeInstallPath%Bin | Servizio Microsoft Exchange EdgeSync (MSExchangeEdgeSync) | Server Cassette postali |
| Microsoft.Exchange.Imap4.exe | ExchangeInstallPath%FrontEnd\PopImap | Servizio IMAP4 di Microsoft Exchange (MSExchangeImap4) | Server Accesso client |
| Microsoft.Exchange.Imap4service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Servizio back-end IMAP4 di Microsoft Exchange (MSExchangeIMAP4BE) | Server Cassette postali |
| Microsoft.Exchange.Pop3.exe | %ExchangeInstallPath%FrontEnd\PopImap | Servizio POP3 di Microsoft Exchange (MSExchangePop3) | Server Accesso client |
| Microsoft.Exchange.Pop3service.exe | %ExchangeInstallPath%ClientAccess\PopImap | Servizio back-end POP3 di Microsoft Exchange (MSExchangePOP3BE) | Server Cassette postali |
| Microsoft.Exchange.ProtectedServiceHost.exe | %ExchangeInstallPath%Bin | Servizio Host del servizio Microsoft Exchange (MSExchangeServiceHost) | Server Cassette postali Server Accesso client Server Trasporto Edge |
| Microsoft.Exchange.RPCClientAccess.Service.exe | %ExchangeInstallPath%Bin | Servizio Accesso client RPC di Microsoft Exchange (MSExchangeRPC) | Server Cassette postali |
| Microsoft.Exchange.Search.Service.exe | %ExchangeInstallPath%Bin | Microsoft Exchange servizio di ricerca (MSExchangeFastSearch) | Server Cassette postali |
| Microsoft.Exchange.Servicehost.exe | %ExchangeInstallPath%Bin | Servizio Host del servizio Microsoft Exchange (MSExchangeServiceHost) | Server Cassette postali Server Accesso client Server Trasporto Edge |
| Microsoft.Exchange.Store.Service.exe | %ExchangeInstallPath%Bin | Servizio Archivio informazioni di Microsoft Exchange (MSExchangeIS) | Server Cassette postali |
| Microsoft.Exchange.Store.Worker.exe | %ExchangeInstallPath%Bin | Processo di lavoro del servizio Archivio informazioni di Microsoft Exchange | Server Cassette postali |
| Microsoft.Exchange.UM.CallRouter.exe | %ExchangeInstallPath%FrontEnd\CallRouter | Servizio router di chiamata di messaggistica unificata di Microsoft Exchange (MSExchangeUMCR) | Server Accesso client |
| MSExchangeDagMgmt.exe | %ExchangeInstallPath%Bin | Servizio gestione dag di Microsoft Exchange (MSExchangeDagMgmt) | Server Cassette postali |
| MSExchangeDelivery.exe | %ExchangeInstallPath%Bin | Servizio recapito trasporto cassette postali di Microsoft Exchange (MSExchangeDelivery) | Server Cassette postali |
| MSExchangeFrontendTransport.exe | %ExchangeInstallPath%Bin | Servizio Trasporto front-end di Microsoft Exchange (MSExchangeFrontEndTransport) | Server Accesso client |
| MSExchangeHMHost.exe | %ExchangeInstallPath%Bin | Servizio Microsoft Exchange Health Manager (MSExchangeHM) | Server Cassette postali Server Accesso client Server Trasporto Edge |
| MSExchangeHMWorker.exe | %ExchangeInstallPath%Bin | Processo di lavoro del servizio Microsoft Exchange Health Manager | Server Cassette postali Server Accesso client Server Trasporto Edge |
| MSExchangeMailboxAssistants.exe | %ExchangeInstallPath%Bin | Servizio Assistenti cassette postali di Microsoft Exchange (MSExchangeMailboxAssistants) | Server Cassette postali |
| MSExchangeMailboxReplication.exe | %ExchangeInstallPath%Bin | Servizio replica cassette postali di Microsoft Exchange (MSExchangeMailboxReplication) | Server Cassette postali |
| MSExchangeMigrationWorkflow.exe | %ExchangeInstallPath%Bin | Servizio Flusso di lavoro migrazione di Microsoft Exchange (MSExchangeMigrationWorkflow) | Server Cassette postali |
| MSExchangeRepl.exe | %ExchangeInstallPath%Bin | Servizio replica di Microsoft Exchange (MSExchangeRepl) | Server Cassette postali |
| MSExchangeSubmission.exe | %ExchangeInstallPath%Bin | Servizio invio trasporto cassette postali di Microsoft Exchange (MSExchangeSubmission) | Server Cassette postali |
| MSExchangeTransport.exe | %ExchangeInstallPath%Bin | Servizio trasporto Microsoft Exchange (MSExchangeTransport) | Server Cassette postali Server Trasporto Edge |
| MSExchangeTransportLogSearch.exe | %ExchangeInstallPath%Bin | Servizio di ricerca log di trasporto di Microsoft Exchange (MSExchangeTransportLogSearch) | Server Cassette postali Server Trasporto Edge |
| MSExchangeThrottling.exe | %ExchangeInstallPath%Bin | Servizio di limitazione delle richieste di Microsoft Exchange (MSExchangeThrottling) | Server Cassette postali |
| Noderunner.exe | %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 | Microsoft Exchange servizio di ricerca (MSExchangeFastSearch) | Server Cassette postali |
| OleConverter.exe | %ExchangeInstallPath%Bin | Converte i messaggi RTF (Rich Text Format) in MIME/HTML per destinatari esterni. | Server Cassette postali |
| ParserServer.exe | %ExchangeInstallPath%Bin\Search\Ceres\ParserServer | Microsoft Exchange servizio di ricerca (MSExchangeFastSearch) | Server Cassette postali |
| Powershell.exe | C:\Windows\System32\WindowsPowerShell\v1.0 | Exchange Management Shell | Server Cassette postali Server Accesso client Server Trasporto Edge |
| ScanEngineTest.exe | %ExchangeInstallPath%FIP-FS\Bin | Componente di analisi del contenuto usato dall'agente malware e dalla prevenzione della perdita dei dati. | Server Cassette postali |
| ScanningProcess.exe | %ExchangeInstallPath%FIP-FS\Bin | Componente di analisi del contenuto usato dall'agente malware e dalla prevenzione della perdita dei dati. | Server Cassette postali |
| TranscodingService.exe | %ExchangeInstallPath%ClientAccess\Owa\Bin\DocumentViewing | Visualizzazione di documenti WebReady in Outlook Web App. | Server Cassette postali |
| UmService.exe | %ExchangeInstallPath%Bin | Servizio Messaggistica unificata di Microsoft Exchange (MSExchangeUM) | Server Cassette postali |
| UmWorkerProcess.exe | %ExchangeInstallPath%Bin | Processo di lavoro del servizio Messaggistica unificata di Microsoft Exchange | Server Cassette postali |
| UpdateService.exe | %ExchangeInstallPath%FIP-FS\Bin | Componente di analisi del contenuto usato dall'agente malware e dalla prevenzione della perdita dei dati. | Server Cassette postali |
| W3wp.exe | %SystemRoot%\System32\inetsrv | Internet Information Services (IIS) | Server Cassette postali Server Accesso client |
Esclusioni di estensioni di nomi file
Oltre ad escludere le directory e i processi specifici, si devono escludere le seguenti estensioni di nomi file specifiche di Exchange in caso di errore nelle esclusioni di directory o di spostamento di file dalle loro posizioni predefinite.
Estensioni relative all'applicazione:
- .config
- .Diametro
- .Wsb
Estensioni relative al database:
- .Chk
- .edb
- .Jrs
- .Jsl
- .Registro
- .Que
Estensioni relative alla Rubrica fuori rete:
- .lzx
Estensioni relative all'indice del contenuto:
- .ci
- .Dir
- .Wid
- .000
- .001
- .002
Estensioni relative alla messaggistica unificata:
- .Cfg
- .grxml
Estensioni relative alle metriche di gruppo:
- .Dsc
- .txt