По определению антивирусные программы изучают файлы, когда операционная система производит над ними операции, такие как открытие, создание или закрытие файла. Для обеспечения безопасности среды администратор Exchange должен серьезно заниматься надежностью среды. В терминах антивирусного ПО у нас есть два типа антивирусов для Exchange Server:
Антивирусное ПО на уровне Exchange Server
Это ПО запускается вместе с Exchange Server:. Exchange Server 2007 поддерживает Virus Scanning API (VSAPI) (API поиска вирусов) и также поддерживает поиск вирусов на транспортном уровне.
Антивирус транспортного уровня устанавливается среди ролей Exchange Server (Hub Transport и Edge Transport) и создает транспортных агентов для просмотра входящих сообщений до того, как они попадают на почтовый сервер. Мы можем увидеть пример транспортного агента антивирусного ПО с помощью команды Get-TransportAgent (Рисунок 01).
Рисунок 01: Антивирусное ПО, использующее транспортных агентов для защиты среды Exchange Server на транспортном уровнеАнтивирусное ПО, осуществляющее поиск вирусов на уровне файлов
Это ПО предназначено для защиты не только Exchange Server, но для защиты серверов от вирусов, находящихся в файловой системе операционной системы. Антивирусы файлового уровня не защищают от вирусов электронной почты, они не очистят ваш почтовый ящик, если вы получите вирус через входящее сообщение. Наилучшим вариантом было бы использовать антивирусное ПО файлового уровня для всех серверов и клиентов, а также создать процедуру для своевременного обновления антивирусных сигнатур во всей организации.
Перед началом работы с антивирусами файлового уровня запомните, что Exchange Server 2007 использует новую архитектуру. Эта новая архитектура заставляет использовать 64-битные серверы. Проверьте, не поставляет ли производитель антивирусного ПО специальные версии для поддержки нужной архитектуры операционной системы.
Замечание: Некоторые производители антивирусного ПО выпускают только 32-битные версии. Можно установить и 32-битную версию на 64-битную машину, но программы, ориентированные на 64-битную поддержку будут пользоваться преимуществами 64-битной архитектуры для обеспечения наилучшей функциональности.
Существуют два режима в антивирусном сканере файлового уровня: резидентный в памяти и режим по требованию; первый позволяет антивирусу загружаться в память, и он проверяет все файлы вне зависимости от того, где они находятся – в памяти или на файловом уровне; а второй режим предполагает запуск процесса сканирования только в определенный момент.
Наилучшим подходом было бы использование обоих подходов: антивирусное ПО для Exchange Server и антивирусное ПО файлового уровня для операционной системы. Также крайне рекомендуется использовать антивирусное ПО файлового уровня на клиентских рабочих станциях.
Настройка антивирусного ПО файлового уровня
Итак, давайте настроим наши серверы Exchange для использования антивирусов файлового уровня. Перед началом, пожалуйста, обратите внимание на то, что каждая серверная роль Exchange (Mailbox, CAS, Hub Transport, Edge Transport и Unified Messaging) имеет разные требования, определяемые антивирусным ПО файлового уровня.
Для правильной настройки антивирусного ПО файлового уровня для каждой конкретной роли мы должны настроить следующее:
-
Directory exclusions(Исключения каталогов)
-
Process exclusions(Исключения процессов)
-
File extension exclusions(Исключения файловых расширений)
Замечание: Вы должны проверить, какие именно опции предлагаются вашим производителем антивирусного ПО.
Настройка списка исключения каталогов
Мы собираемся познакомиться с настройкой списка исключений каталогов антивируса файлового уровня для серверной роли Exchange:
Client Access Server (CAS)
Мы должны убедиться, что следующие каталоги будут исключены антивирусом:
-
The Internet Information Services (IIS) 6.0 compression folder (папка сжатия) Значение по умолчанию: %systemroot%\IIS Temporary Compressed Files
-
IIS system files (системные файлы) Значение по умолчанию: %SystemRoot%\System32\Inetsrv folder
-
Internet related files used by CAS (связанные с Internet файлы, используемые CAS) Значение по умолчанию: %Program Files%\Microsoft\Exchange Server\ClientAccess
-
Server’s Temporary folder that performs content conversion (папка, осуществляющая преобразование содержимого) Значение по умолчанию: C:\Windows\Temp Чтобы собрать всю эту информацию, щелкните правой кнопкой мыши на My Computer, Properties, щелкните на вкладку Advanced, а затем на кнопку Environment Variables, как на Рисунке 2.
Рисунок 02: Серверная папка TEMPПочтовый сервер
В почтовых серверах мы должны быть уверены, что база данных, файлы журнала и файлы контрольных точек исключены из антивируса файлового уровня. Следующая команда покажет папки каталогов этих компонентов:
-
Каталог базы данных почты (Рисунок 03) Get-MailboxDatabase –server
| fl *path* -
Каталог базы данных общей папки (Рисунок 04) Get-PublicFolderDatabase –server
| fl *path* -
Отслеживание сообщений и путь к журналу для управляемых папок (Рисунок 05) Get-MailboxServer
| select *path* -
Каталог группы хранения (Рисунок 06) Get-StrorageGroup –Server
| fl *path*
Рисунок 03: Каталоги, используемые базами данных почты и LCR файлы (если применяются)
Рисунок 04: Каталог, используемый базой данных общей папки
Рисунок 05: Настройки почтового сервера, которые должны присутствовать в списке исключений каталогов антивируса
Рисунок 06: Получение каталогов, используемых группами хранения-
Файлы автономной адресной книги %Program Files%\Microsoft\Exchange Server\ExchangeOAB folder
-
Временный каталог базы данных почты %Program Files%\Microsoft\Exchange Server\Mailbox\MDBTEMP
-
Каталог сжатия The Internet Information Services (IIS) 6.0 Default Value: %systemroot%\IIS Temporary Compressed Files
-
IIS системные файлы Default value: %SystemRoot%\System32\Inetsrv folder
-
Индексы содержимого базы данных. Мы можем получить каталог индексов, используя следующий скрипт: getSearchIndexForDatabase.ps1 –all (Рисунок 07).
Рисунок 07: Использование скрипта GetSearchIndexForDatabase.ps1 для проверки каталога индексов-
Папки TEMP сервера которые по умолчанию используются для осуществления преобразования содержимого (Рисунок 02)
-
Каталог, используемый для преобразований OLE %Program Files%\Microsoft\Exchange Server\Working\OleConvertor folder
-
Если вы используете любое средство поддержки Exchange (eseutil, isinteg и т.д.), убедитесь, что временная папка содержится в списке исключений антивируса файлового уровня.
Edge Transport Server и Hub Transport
В Edge Transport Server мы должны исключить все каталоги, используемые при отслеживании сообщений, папки сообщений и т.д. Используйте команду Get-TransportServer
Рисунок 08: Получение информации о каталогах, используемой транспортными компонентамиМы также должны исключить папки каталогов, связанных с Queue и IP Filter, которые перечислены в файле EdgeTransport.exe.config (Рисунок 09).
Рисунок 09: Настройки баз данных IP Filter и Queue-
Папка TEMP сервера (Рисунок 02)
-
Каталоги преобразований OLE %Program Files%\Microsoft\Exchange Server\Working\OleConvertor folder.
-
Файлы базы данных репутации отправителей, которые можно найти в следующем каталоге %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation
-
База данных ADAM и файлы журнала (специально для Edge Transport): путь по умолчанию - %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Adam но мы можем изменить его через ConfigureAdam.ps1
Unified Messaging
Роль Unified Messaging требует, чтобы некоторые каталоги были исключены из антивирусного ПО файлового уровня:
-
Grammar Files %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\grammars
-
Voice Prompts %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\Prompts
-
Voicemail %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\voicemail
-
Bad Voicemail %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail
Исключение общих каталогов для всех серверных ролей Exchange
Обычно на серверах Exchange установлено антивирусное ПО, и мы должны исключить каталог карантина и любые другие приложения, которые указаны в руководстве, предоставляемом производителем антивирусного ПО.
Дополнительные шаги при использовании кластеров серверов почты
Exchange Server 2007 два типа кластерных решений: CCR (Cluster Continuous Replication – Кластерная непрерывная репликация), которая использует свидетельство разделения файлов в качестве кворума, и SCC (Single Copy Cluster – Кластер единственной копии), который использует в качестве кворума физический диск. В обоих случаях содержимое кворума должно исключаться из антивирусного ПО файлового уровня. Чтобы узнать, какой вид кластера вы используете, откройте Cluster Administrator и посмотрите в Cluster Group. У вас может быть запись Majority Node Set, что означает, что вы используете CCR (Рисунок 10), или Physical Disk, что обозначает кластер SCC.
Рисунок 10: Запись The Majority Node Set, используемая применениями кластера CCRКаталог %Winnt%\Cluster должен присутствовать в списке исключенных каталогов в антивирусном ПО файлового уровня в обоих сценариях (CCR или SCC). Теперь, когда мы знаем, какой тип кластера у нас, мы можем продолжить настройку антивирусного ПО.
Cluster Continuous Replication
В среде CCR наш кворум располагается удаленно; мы можем использовать кластерные средства для выяснения его местонахождения, а затем настроить исключение для этого каталога.
На Рисунке 11 показана командная строка, которую надо использовать, а синтаксис таков:
Cluster
Рисунок 11: Кворум, используемый в CCRТеперь мы знаем серверную и разделяемую папку. Мы должны авторизоваться на этом сервере и настроить список исключаемых каталогов для этой конкретной папки. В нашем случае это сервер под названием tofrontex1, а физический путь к разделяемой папке MNS_FSW_ClientCluster.
Single Copy Cluster
Используя SCC, мы должны посмотреть, какой диск используется кворумом с помощью Cluster Administrator и настроить этот диск в списке исключений. Мы должны выполнить этот шаг для каждого кластерного узла.
Настройка списка исключаемых расширений
Некоторые производители антивирусного ПО позволяют нам исключать расширения файлов, и следующие расширения нужно определить для Exchange Server 2007:
Серверы почты используют следующие расширения:
-
.chk
-
.log
-
.edb
-
.jrs
-
.que
Расширения унифицированной отправки сообщений:
-
.cfg
-
.grxml
Расширения, связанные с приложением:
-
.config
-
.dia
-
.wsb
Расширения, связанные с автономной адресной книгой, которые можно найти на серверах почты:
-
.lzx
Расширения, связанные с индексированием содержимого
-
.ci
-
.dir
-
.wid
-
.000
-
.001
-
.002
Настройка списка исключаемых процессов
Некоторые производители антивирусного ПО позволяют исключать процессы в антивирусах файлового уровня. Мы можем использовать следующую таблицу для исключения каждого перечисленного процесса для каждой роли Exchange Server.
| Процесс | Роль Exchange Server |
|---|---|
| Cdb.exe | общая |
| Cidaemon.exe | общая |
| Cluster.exe | Mailbox |
| Dsamain.exe | Edge |
| Edgecredentialsvc.exe | Edge |
| Edgetransport.exe | Edge |
| Galgrammargenerator.exe | Unified Messaging |
| Inetinfo.exe | Mailbox и CAS |
| Mad.exe | Mailbox |
| Microsoft.Exchange.Antispamupdatesvc.exe | Hub, Edge |
| Microsoft.Exchange.Contentfilter.Wrapper.exe | |
| Microsoft.Exchange.Cluster.Replayservice.exe | Mailbox |
| Microsoft.Exchange.Edgesyncsvc.exe | Hub |
| Microsoft.Exchange.Imap4.exe | CAS |
| Microsoft.Exchange.Imap4service.exe | CAS |
| Microsoft.Exchange.Infoworker.Assistants.exe | Mailbox |
| Microsoft.Exchange.Monitoring.exe | все роли |
| Microsoft.Exchange.Pop3.exe | CAS |
| Microsoft.Exchange.Pop3service.exe | CAS |
| Microsoft.Exchange.Search.Exsearch.exe | Mailbox |
| Microsoft.Exchange.Servicehost.exe | CAS и Mailbox |
| Msexchangeadtopologyservice.exe | Mailbox, Hub, CAS, Unified Messaging |
| Msexchangefds.exe | CAS и Unified Messaging |
| Msexchangemailboxassistants.exe | Mailbox |
| Msexchangemailsubmission.exe | Mailbox |
| Msexchangetransport.exe | Hub Transport и Edge |
| Msexchangetransportlogsearch.exe | Mailbox, Hub Transport и Edge |
| Msftefd.exe | Mailbox Cluster |
| Msftesql.exe | Mailbox |
| Oleconverter.exe | Mailbox, Hub Transport |
| Powershell.exe | General |
| Sesworker.exe | |
| Speechservice.exe | Unified Messaging |
| Store.exe | Mailbox |
| Transcodingservice.exe | |
| Umservice.exe | Unified Messaging |
| Umworkerprocess.exe | Unified Messaging |
| W3wp.exe | Служба IIS, используемая CAS и Mailbox |
Заключение
В этом обучающем материале мы рассмотрели, как развертывать антивирусное ПО файлового уровня на серверах Exchange Server 2007 вне зависимости от установленного антивирусного ПО. Мы также увидели, какие каталоги необходимо исключать для этого антивирусного ПО, а также расширения и процессы в памяти.
Более детальная информация Exchange Server antivirus software
