Verificação antivírus no nível de arquivo no Exchange 2007
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2009-07-22
Este tópico descreve os efeitos de programas antivírus em nível de arquivo em computadores que executam o Microsoft Exchange Server 2007. Se você implantou as recomendações descritas neste tópico, será possível aprimorar a segurança e a integridade de sua organização do Exchange.
Verificadores de vírus em nível de arquivo são usados com freqüência. No entanto, se forem configurados incorretamente, poderão causar problemas no Exchange 2007.
Há dois tipos de verificadores de vírus em nível de arquivo:
Verificação em nível de arquivo residente em memória refere-se a uma parte de software antivírus em nível de arquivo que sempre é carregada na memória. Ela verifica todos os arquivos utilizados no disco rígido e na memória do computador.
Verificação em nível de arquivo sob demanda refere-se a uma parte do software antivírus em nível de arquivo que você pode configurar para verificar arquivos no disco rígido manualmente ou com base em uma agenda. Algumas versões de software antivírus iniciam a verificação sob demanda automaticamente depois que assinaturas de vírus são atualizadas, para garantir que todos os arquivos sejam verificados com as assinaturas mais recentes.
Os seguintes problemas podem ocorrer na utilização de verificadores de vírus em nível de arquivo com o Exchange 2007:
Verificadores de vírus em nível de arquivo podem verificar um arquivo quando ele estiver sendo usado ou em intervalos agendados. Isso pode fazer com que os verificadores bloqueiem ou coloquem em quarentena um arquivo de log ou banco de dados do Exchange, quando o Microsoft Exchange tentar usar o arquivo. Esse comportamento pode causar uma falha grave no Microsoft Exchange e também pode gerar erros -1018.
Verificadores de vírus em nível de arquivo não oferecem proteção contra vírus de email, como o vírus Melissa.
Dica
O vírus Melissa foi um vírus de macro Cavalo de Tróia que se propagou por mensagens de email em 1999. O vírus enviava mensagens de email com anexos mal-intencionados para endereços que ele encontrava nos catálogos de endereços pessoais de clientes de email do Microsoft Outlook. Vírus desse tipo podem causar destruição de dados.
Recomendações do Exchange 2007
Se estiver implantando verificadores de vírus em nível de arquivo em servidores Exchange 2007, certifique-se de que as exclusões apropriadas, como exclusões de diretório, de processo e de extensão de nome de arquivo, estejam apropriadas para verificações em tempo real e agendadas. Esta seção descreve exclusões de diretório, de processo e de extensão de nome de arquivo para cada servidor ou função de servidor.
Exclusões de diretório
É necessário excluir diretórios específicos de cada servidor Exchange ou função de servidor em que um verificador antivírus em nível de arquivo seja executado. Esta seção descreve os diretórios que devem ser excluídos da verificação de vírus em nível de arquivo para cada servidor ou função de servidor.
Função de servidor Caixa de Correio
Bancos de dados do Exchange, arquivos de ponto de verificação e arquivos de log de todos os grupos de armazenamento. Por padrão, eles estão localizados em subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\Mailbox. É possível obter a localização do diretório executando os seguintes comandos no Shell de Gerenciamento do Exchange:
Para determinar a localização de um log de transações e arquivo de ponto de verificação, execute o seguinte comando:
Get-StorageGroup -server <servername>| fl *path*Para determinar a localização de um banco de dados de caixa de correio, execute o seguinte comando:
Get-MailboxDatabase -server <servername>| fl *path*Para determinar a localização de um banco de dados de pasta pública, execute o seguinte comando:
Get-PublicFolderDatabase -server <servername>| fl *path*
Índices de conteúdo de banco de dados. Por padrão, eles estão localizados em subpastas do grupo de armazenamento, na pasta %Arquivos de Programas%\Microsoft\Exchange Server\Mailbox.
Arquivos de log gerais, como arquivos de log de controle de mensagens. Esses arquivos estão localizados em subpastas das pastas %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Logs e %Arquivos de Programas%\Microsoft\Exchange Server\Logging. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-MailboxServer <servername>| fl *path*Os arquivos do Catálogo de Endereços Offline estão localizados em subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\ExchangeOAB
Arquivos de sistema IIS na pasta %SystemRoot%\System32\Inetsrv
A pasta temporária que é usada por utilitários de manutenção offline, como Eseutil.exe. Por padrão, essa pasta é o local a partir do qual o arquivo .exe é executado. No entanto, é possível configurar a partir de onde realizar a operação ao executar o utilitário.
As pastas temporárias que são utilizadas para realizar conversões:
As conversões de conteúdo são realizadas na pasta TMP do servidor.
As conversões OLE são realizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\Working\OleConvertor.
A pasta temporária de banco de dados de Caixa de Correio: %Arquivos de Programas%\Microsoft\Exchange Server\Mailbox\MDBTEMP
Quaisquer pastas sensíveis de programa antivírus do Exchange
Servidor de caixas de correio clusterizadas
Todos os itens listados na lista de funções de servidor Caixa de Correio e o seguinte:O disco de quorum e a pasta %Winnt%\Cluster
A testemunha de compartilhamento de arquivo. Ela está localizada em outro servidor do ambiente, normalmente em um servidor Transporte de Hub.
O diretório ExchangeOAB está em uma unidade compartilhada. O local é especificado pela chave do Registro SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<CMS-name>\OabDropFolderLocation
Dica
Por padrão, o diretório ExchangeOAB está no seguinte local: %Program Files%\Microsoft\Exchange Server\ExchangeOAB
Função de servidor Transporte de Hub
Arquivos de log gerais, por exemplo, rastreamento de mensagens. Esses arquivos estão localizados em subpastas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Logs. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-TransportServer <servername>| fl *logpath*,*tracingpath*As pastas de mensagens que estão localizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles. Para determinar os caminhos que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-TransportServer <servername>| fl *dir*path*Banco de dados enfileirados da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Para obter mais informações sobre como obter a localização do diretório se os arquivos do banco de dados enfileirados tiverem sido movidos do local padrão, consulte Trabalhando com o banco de dados de filas em servidores de Transporte.
Banco de dados de Reputação do Remetente da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.
Banco de dados do filtro de IP da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.
As pastas temporárias que são utilizadas para realizar conversões:
As conversões de conteúdo são realizadas na pasta TMP do servidor.
As conversões OLE são realizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\Working\OleConvertor.
Quaisquer pastas sensíveis de programa antivírus do Exchange
Função de servidor Transporte de Borda
O banco de dados do Modo de Aplicativo do Active Directory (ADAM) e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\Adam. Para obter mais informações sobre como obter a localização do diretório se os arquivos de banco de dados do ADAM tiverem sido movidos do local padrão, consulte Como modificar a configuração do ADAM.
Arquivos de log gerais, por exemplo, rastreamento de mensagens. Esses arquivos estão localizados em subpastas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Logs. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-TransportServer <servername>| fl *logpath*,*tracingpath*As pastas de mensagens que estão localizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles. Para determinar os caminhos de log que estão sendo utilizados, execute o seguinte comando no Shell de Gerenciamento do Exchange:
Get-TransportServer <servername>| fl *dir*path*Banco de dados enfileirados da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\Queue. Para obter mais informações sobre como obter a localização do diretório se os arquivos do banco de dados enfileirados tiverem sido movidos do local padrão, consulte Trabalhando com o banco de dados de filas em servidores de Transporte.
Banco de dados de Reputação do Remetente da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation.
Banco de dados do filtro de IP da função do servidor de transporte, ponto de verificação e arquivos de log que estão localizados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter.
As pastas temporárias que são utilizadas para realizar conversões:
As conversões de conteúdo são realizadas na pasta TMP do servidor.
As conversões OLE são realizadas na pasta %Arquivos de Programas%\Microsoft\Exchange Server\Working\OleConvertor.
Quaisquer pastas sensíveis de programa antivírus do Exchange
função de servidor Acesso para Cliente
A pasta de compactação do IIS (Serviços de Informações da Internet) 6.0 que é utilizada com o Microsoft Outlook Web Access. Por padrão, a pasta de compactação no IIS 6.0 está localizada em %systemroot%\Arquivos temporários compactados do IIS.
Para obter mais informações, consulte o artigo 817442 da Base de Dados de Conhecimento de Microsoft, Um arquivo de 0 byte pode ser retornado quando a compactação está habilitada em um servidor que está executando o IIS.
Arquivos de sistema IIS na pasta %SystemRoot%\System32\Inetsrv
Os arquivos relacionados à Internet que estiverem armazenados nas subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\ClientAccess
As pastas temporárias que são utilizadas para realizar conversões de conteúdo: Por padrão, essa é a pasta TMP do servidor.
Função de servidor Unificação de Mensagens
Os arquivos de gramática que estão armazenados nas subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\UnifiedMessaging\grammars
Os prompts de voz que estão armazenados nas subpastas da pasta %Arquivos de Programas%\Microsoft\Exchange Server\UnifiedMessaging\Prompts
Os arquivos de correio de voz que estão armazenados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\UnifiedMessaging\voicemail
Os arquivos de correio de voz inválidos que estão armazenados na pasta %Arquivos de Programas%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail
Microsoft ForeFront Security para Exchange Server
As mensagens arquivadas que estão armazenadas na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Archive
Os arquivos em quarentena que estão armazenados na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine
Os arquivos do mecanismo antivírus que estão armazenados nas subpastas da pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86
Os arquivos de configuração que estão armazenados na pasta %Arquivos de Programas%\Microsoft ForeFront Security\Exchange Server\Data
Microsoft ForeFront Security para Exchange Server em clusters de cópia única (SCC)
Além dos diretórios que contêm mecanismo antivírus e arquivos de configuração, exclua o diretório do armazenamento compartilhado usado para dados do ForeFront.Para determinar o caminho que o ForeFront usa em um SCC, verifique o valor da chave do Registro a seguir:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath
UNRESOLVED_TOKEN_VAL(exRegistry)
Exclusões de processo
Muitos verificadores de vírus em nível de arquivo agora oferecem suporte à verificação de processos. Isso também pode prejudicar o Microsoft Exchange se os processos incorretos forem verificados. Portanto, é necessário excluir os seguintes processos dos verificadores de vírus em nível de arquivo.
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Cluster.exe |
Msexchangeadtopologyservice.exe |
Dsamain.exe |
Msexchangefds.exe |
Edgecredentialsvc.exe |
Msexchangemailboxassistants.exe |
Edgetransport.exe |
Msexchangemailsubmission.exe |
Galgrammargenerator.exe |
Msexchangetransport.exe |
Inetinfo.exe |
Msexchangetransportlogsearch.exe |
Mad.exe |
Msftefd.exe |
Microsoft.Exchange.Antispamupdatesvc.exe |
Msftesql.exe |
Microsoft.Exchange.Contentfilter.Wrapper.exe |
Oleconverter.exe |
Microsoft.Exchange.Cluster.Replayservice.exe |
Powershell.exe |
Microsoft.Exchange.Edgesyncsvc.exe |
Sesworker.exe |
Microsoft.Exchange.Imap4.exe |
Speechservice.exe |
Microsoft.Exchange.Imap4service.exe |
Store.exe |
Microsoft.Exchange.Infoworker.Assistants.exe |
Transcodingservice.exe |
Microsoft.Exchange.Monitoring.exe |
Umservice.exe |
Microsoft.Exchange.Pop3.exe |
Umworkerprocess.exe |
Microsoft.Exchange.Pop3service.exe |
W3wp.exe |
Se você também estiver implantando o ForeFront Security para Exchange Server, exclua os seguintes processos.
Adonavsvc.exe |
Fscstatsserv.exe |
Fsccontroller.exe |
Fsctransportscanner.exe |
Fscdiag.exe |
Fscutility.exe |
Fscexec.exe |
Fsemailpickup.exe |
Fscimc.exe |
Fssaclient.exe |
Fscmanualscanner.exe |
Getenginefiles.exe |
Fscmonitor.exe |
Perfmonitorsetup.exe |
Fscrealtimescanner.exe |
Scanenginetest.exe |
Fscstarter.exe |
Semsetup.exe |
Exclusões de extensão de nomes de arquivo
Além de excluir diretórios e processos específicos, como medida secundária, no caso de ocorrerem falhas nas exclusões de diretório ou de os arquivos serem movidos, você deverá excluir as seguintes extensões de nomes de arquivo específicas do Exchange.
Extensões relacionadas a aplicativos
.config
.dia
.wsb
Extensões relacionadas a bancos de dados
.chk
.log
.edb
.jrs
.que
Extensões relacionadas a Catálogos de Endereços Offline:
- .lzx
Extensões relacionadas a Índice de Conteúdo
.ci
.wid
.001
.dir
.000
.002
Extensões relacionadas à Unificação de Mensagens
.cfg
.grxml
Extensões relacionadas ao ForeFront Security para Exchange Server
.avc
.dt
.lst
.cab
.fdb
.mdb
cfg
.fdm
.ppl
.config
.ide
.set
.da1
.key
.v3d
.dat
.klb
.vdb
.def
.kli
.vdm
As extensões de nomes de arquivo listadas no ForeFront Security para Exchange Server são os arquivos de assinatura de vários mecanismos de diretório antivírus. Na maioria dos casos, essas extensões de nomes de arquivo não se alteram, mas podem ser adicionadas futuramente quando fornecedores de antivírus terceirizados atualizarem seus arquivos de assinatura antivírus.