Exchange 2007 上的檔案層級防毒掃描

 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2009-07-22

本主題說明檔案等級防毒程式對執行 Microsoft Exchange Server 2007 之電腦的影響。如果您執行本主題中所述的建議,可以增強 Exchange 組織的安全性及健康情況。

檔案等級掃描程式是經常使用的掃描程式。然而,如果它們的設定不正確,可能會造成 Exchange 2007 問題。

檔案等級掃描程式有兩種類型:

  • 「記憶體駐留檔案等級掃描」指的是隨時都載入在記憶體中的檔案等級防毒軟體部分。它會檢查硬碟及電腦記憶體中使用的所有檔案。
  • 「點播檔案等級掃描」指的是可以手動或設定排程來掃描磁碟上檔案的檔案等級防毒軟體部分。部分防毒軟體版本會在更新病毒碼之後自動啟動點播掃描,以確定使用最新的病毒碼來掃描所有檔案。

搭配使用檔案等級掃描程式與 Exchange 2007 時,可能會發生下列問題:

  • 檔案等級掃描程式會定期掃描檔案,或在要使用檔案時掃描檔案。這樣可能會導致當 Microsoft Exchange 嘗試使用檔案時,掃描程式卻鎖定或隔離 Exchange 記錄或資料庫檔案。此行為可能會造成 Microsoft Exchange 嚴重失敗,也可能會造成 -1018 錯誤。
  • 檔案等級掃描程式未提供電子郵件病毒的保護 (如梅莉莎 (Melissa) 病毒)。
    note附註:
    梅莉莎病毒是 1999 年發現的特洛伊木馬程式巨集病毒,會透過電子郵件自行傳播。此病毒會將內含惡意附件的電子郵件,送給它在 Microsoft Outlook 郵件用戶端的個人通訊錄中所找到的地址。這類病毒會破壞資料。

Exchange 2007 建議

如果在 Exchange 2007 伺服器上部署檔案等級掃描程式,請確定排程掃描及即時掃描都設定了適當的排除項目 (如目錄排除、處理程序排除及副檔名排除)。本節說明每部伺服器或每個伺服器角色的目錄排除、處理程序排除及副檔名排除。

目錄排除

您必須排除每部執行檔案等級防毒掃描程式之 Exchange 伺服器或伺服器角色的特定目錄。本節說明每部伺服器或每個伺服器角色應該排除不進行檔案等級掃描的目錄。

  • Mailbox server role

    • 所有儲存群組的 Exchange 資料庫、檢查點檔案及記錄檔。這些檔案預設是位在 %Program Files%\Microsoft\Exchange Server\Mailbox 資料夾的子資料夾中。您可以在 Exchange 管理命令介面中執行下列命令,以取得目錄位置:
      • 若要判斷交易記錄及檢查點檔案的位置,請執行下列命令: Get-StorageGroup -server <servername>| fl *path*
      • 若要判斷信箱資料庫的位置,請執行下列命令: Get-MailboxDatabase -server <servername>| fl *path*
      • 若要判斷公用資料夾資料庫的位置,請執行下列命令: Get-PublicFolderDatabase -server <servername>| fl *path*
    • 資料庫內容索引。這些檔案預設是位在 %Program Files%\Microsoft\Exchange Server\Mailbox 資料夾的儲存群組子資料夾中。
    • 一般記錄檔 (如郵件追蹤記錄檔)。這些檔案是位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs 資料夾及 %Program Files%\Microsoft\Exchange Server\Logging 資料夾的子資料夾中。若要判斷正在使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:Get-MailboxServer <servername>| fl *path* 
    • 位在 %Program Files%\Microsoft\Exchange Server\ExchangeOAB 資料夾之子資料夾中的離線通訊錄檔案
    • %SystemRoot%\System32\Inetsrv 資料夾中的 IIS 系統檔案
    • 與離線維護公用程式 (如 Eseutil.exe) 搭配使用的暫存資料夾。此資料夾預設是 .exe 檔案的執行位置。然而,您可以設定在執行公用程式時的作業執行位置。
    • 用來執行轉換的暫存資料夾:
      • 內容轉換是在伺服器的 TMP 資料夾中執行。
      • OLE 轉換是在 %Program Files%\Microsoft\Exchange Server\Working\OleConvertor 資料夾中執行。
      • 信箱資料庫暫存資料夾:%Program Files%\Microsoft\Exchange Server\Mailbox\MDBTEMP
    • 任何 Exchange 感知的防毒程式資料夾
  • 叢集信箱伺服器
    列在 Mailbox Server role 清單中的所有項目,以及下列項目:

    • 仲裁磁碟及 %Winnt%\Cluster 資料夾
    • 檔案共用見證。這是位在環境中的另一部伺服器上,一般是 Hub Transport Server。
    • 共用磁碟機上的 ExchangeOAB 目錄。該位置是由登錄機碼 SYSTEM\CurrentControlSet\Services\MSExchangeSA\Parameters\<CMS-name>\OabDropFolderLocation 所指定
      note附註:
      ExchangeOAB 目錄預設位於下列位置:%Program Files%\Microsoft\Exchange Server\ExchangeOAB
  • Hub Transport server role

    • 一般記錄檔 (例如,郵件追蹤)。這些檔案是位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs 資料夾的子資料夾中。若要判斷正在使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令: Get-TransportServer <servername>| fl *logpath*,*tracingpath*
    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles 資料夾下的郵件資料夾。若要判斷正在使用的路徑,請在 Exchange 管理命令介面中執行下列命令: Get-TransportServer <servername>| fl *dir*path* 
    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue 資料夾中的傳輸伺服器角色佇列資料庫、檢查點及記錄檔。如需佇列資料庫檔案已不在預設位置時要如何取得目錄位置的相關資訊,請參閱使用傳輸伺服器上的佇列資料庫
    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation 資料夾中的傳輸伺服器角色寄件者信譽資料庫、檢查點及記錄檔
    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter 資料夾中的傳輸伺服器角色 IP 篩選資料庫、檢查點及記錄檔
    • 用來執行轉換的暫存資料夾:
      • 內容轉換是在伺服器的 TMP 資料夾中執行。
      • OLE 轉換是在 %Program Files%\Microsoft\Exchange Server\Working\OleConvertor 資料夾中執行。
    • 任何 Exchange 感知的防毒程式資料夾
  • Edge Transport server role

    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Adam 資料夾中的 Active Directory 應用程式模式 (ADAM) 資料庫及記錄檔。如需 ADAM 資料庫檔案已不在預設位置時要如何取得目錄位置的相關資訊,請參閱如何修改 ADAM 組態
    • 一般記錄檔 (例如,郵件追蹤)。這些檔案是位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Logs 資料夾的子資料夾中。若要判斷正在使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令:Get-TransportServer <servername>| fl *logpath*,*tracingpath* 
    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles 資料夾下的郵件資料夾。若要判斷正在使用的記錄路徑,請在 Exchange 管理命令介面中執行下列命令: Get-TransportServer <servername>| fl *dir*path* 
    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Queue 資料夾中的傳輸伺服器角色佇列資料庫、檢查點及記錄檔。如需佇列資料庫檔案已不在預設位置時要如何取得目錄位置的相關資訊,請參閱使用傳輸伺服器上的佇列資料庫
    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation 資料夾中的傳輸伺服器角色寄件者信譽資料庫、檢查點及記錄檔
    • 位在 %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\IpFilter 資料夾中的傳輸伺服器角色 IP 篩選資料庫、檢查點及記錄檔
    • 用來執行轉換的暫存資料夾:
      • 內容轉換是在伺服器的 TMP 資料夾中執行。
      • OLE 轉換是在 %Program Files%\Microsoft\Exchange Server\Working\OleConvertor 資料夾中執行。
    • 任何 Exchange 感知的防毒程式資料夾
  • Client Access server role

    • 與 Microsoft Outlook Web Access 搭配使用的網際網路資訊服務 (IIS) 6.0 壓縮資料夾。IIS 6.0 中的壓縮資料夾,預設是位在 %systemroot%\IIS Temporary Compressed Files 中。
      如需相關資訊,請參閱 Microsoft 知識庫文章 817442,當您在執行 IIS 的伺服器上啟用壓縮功能,可能會傳回 0 位元組的檔案
    • %SystemRoot%\System32\Inetsrv 資料夾中的 IIS 系統檔案
    • 儲存在 %Program Files%\Microsoft\Exchange Server\ClientAccess 資料夾之子資料夾中的網際網路相關檔案
    • 用來執行內容轉換的暫存資料夾。依預設,這是伺服器的 TMP 資料夾。
  • Unified Messaging server role

    • 儲存在 %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\grammars 資料夾之子資料夾中的文法檔
    • 儲存在 %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\Prompts 資料夾之子資料夾中的語音提示
    • 儲存在 %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\voicemail 資料夾中的語音信箱檔案
    • 儲存在 %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail 資料夾中的錯誤語音信箱檔案
  • Microsoft ForeFront Security for Exchange Server

    • 儲存在 %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Archive 資料夾中的封存郵件
    • 儲存在 %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine 資料夾中的隔離檔案
    • 儲存在 %Program Files%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86 資料夾之子資料夾中的防毒引擎檔案
    • 儲存在 %Program Files%\Microsoft ForeFront Security\Exchange Server\Data 資料夾中的組態檔
  • 單一複本叢集 (SCC) 上的 Microsoft ForeFront Security for Exchange Server
    除了包含防毒引擎和組態檔的目錄外,也會排除用於 ForeFront 資料之共用儲存上的目錄。

    若要判定 ForeFront 在 SCC 上使用的路徑,請檢查下列的登錄機碼值:

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath

    不正確地編輯登錄可能會造成嚴重問題,而需要重新安裝作業系統。 因不正確地編輯登錄而造成的問題可能無法解決。 在編輯登錄之前,請先備份重要資料。 

處理程序排除

許多檔案等級掃描程式現在支援處理程序的掃描。如果掃描到不該掃描的處理程序,這也會嚴重影響 Microsoft Exchange。因此,您應該從檔案等級掃描程式中排除下列處理程序。

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Cluster.exe

Msexchangeadtopologyservice.exe

Dsamain.exe

Msexchangefds.exe

Edgecredentialsvc.exe

Msexchangemailboxassistants.exe

Edgetransport.exe

Msexchangemailsubmission.exe

Galgrammargenerator.exe

Msexchangetransport.exe

Inetinfo.exe

Msexchangetransportlogsearch.exe

Mad.exe

Msftefd.exe

Microsoft.Exchange.Antispamupdatesvc.exe

Msftesql.exe

Microsoft.Exchange.Contentfilter.Wrapper.exe

Oleconverter.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Powershell.exe

Microsoft.Exchange.Edgesyncsvc.exe

Sesworker.exe

Microsoft.Exchange.Imap4.exe

Speechservice.exe

Microsoft.Exchange.Imap4service.exe

Store.exe

Microsoft.Exchange.Infoworker.Assistants.exe

Transcodingservice.exe

Microsoft.Exchange.Monitoring.exe

Umservice.exe

Microsoft.Exchange.Pop3.exe

Umworkerprocess.exe

Microsoft.Exchange.Pop3service.exe

W3wp.exe

如果您也部署 ForeFront Security for Exchange Server,請排除下列處理程序。

Adonavsvc.exe

Fscstatsserv.exe

Fsccontroller.exe

Fsctransportscanner.exe

Fscdiag.exe

Fscutility.exe

Fscexec.exe

Fsemailpickup.exe

Fscimc.exe

Fssaclient.exe

Fscmanualscanner.exe

Getenginefiles.exe

Fscmonitor.exe

Perfmonitorsetup.exe

Fscrealtimescanner.exe

Scanenginetest.exe

Fscstarter.exe

Semsetup.exe

副檔名排除

除了排除特定目錄及處理程序外,如果目錄排除失敗或已移動檔案,則第二個方法是應該排除下列 Exchange 特定副檔名。

  • 應用程式相關的副檔名

    • .config
    • .dia
    • .wsb
  • 資料庫相關的副檔名

    • .chk
    • .log
    • .edb
    • .jrs
    • .que
  • 離線通訊錄相關的副檔名:

    • .lzx
  • 內容索引相關的副檔名

    .ci

    .wid

    .001

    .dir

    .000

    .002

  • 整合通訊相關的副檔名

    • .cfg
    • .grxml
  • ForeFront Security for Exchange Server 相關的副檔名

    .avc

    .dt

    .lst

    .cab

    .fdb

    .mdb

    .cfg

    .fdm

    .ppl

    .config

    .ide

    .set

    .da1

    .key

    .v3d

    .dat

    .klb

    .vdb

    .def

    .kli

    .vdm

我們為 ForeFront Security for Exchange Server 所列出的副檔名,就是來自各種防毒目錄引擎的簽名檔。在大部分情況中,這些副檔名不會變更,但是當協力廠商防毒廠商更新他們的防毒簽名檔時,未來可能會新增副檔名。

若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.