本主題介紹文件級防病毒程序對運行 Microsoft Exchange Server 2013 的計算機的影響。如果按照本主題中所述的建議操作,可以幫助提高 Exchange 組織的安全性並改善運行狀況。
文件級掃描程序經常使用。但是,如果配置不正確,可能會導致 Exchange 2013 出現問題。文件級掃描程序包括下列兩種類型:
“駐留在內存中的文件級掃描”是指文件級防病毒軟件中始終加載在內存中的部分。該部分檢查硬盤上以及計算機內存中使用的所有文件。
“按需運行的文件級掃描”是指文件級防病毒軟件中可以配置爲手動或按計劃掃描硬盤上的文件的部分。某些版本的防病毒軟件會在病毒定義更新後自動開始按需運行的掃描,以確保使用最新的定義掃描所有文件。
在 Exchange 2013 中使用文件級掃描程序時可能會出現下列問題:
文件級掃描程序可能會在文件正在使用時掃描文件,也可能按計劃的間隔掃描文件。這樣可能會造成 Exchange 2013 嘗試使用文件時,掃描程序鎖定或隔離了相應的 Exchange 日誌文件或數據庫文件。此行爲可能會導致 Exchange 2013 的嚴重故障,還可能會導致 -1018 事件日誌錯誤。
文件級掃描程序無法抵禦電子郵件病毒(例如 Storm Worm)的***。Storm Worm 是通過電子郵件傳播的後門特洛伊***程序。這種蠕蟲將受感染的計算機連接到僵屍網絡,在這種網絡中,計算機用於週期性、突發性地發送垃圾郵件。
在 Exchange 2013 中使用文件級掃描的建議
如果要在 Exchange 2013 服務器上部署文件級掃描程序,請確保爲按內存駐留掃描和文件級掃描設置適當的排除規則(例如目錄排除、進程排除和文件擴展名排除)。本節介紹建議的目錄排除、進程排除和文件擴展名排除。
目錄
目錄排除
必須爲運行文件級防病毒掃描程序的每個 Exchange 服務器排除特定的目錄。本節介紹應從文件級掃描中排除的目錄。
郵箱服務器
郵箱數據庫
Exchange 數據庫、檢查點文件和日誌文件。默認情況下,這些文件位於 %ExchangeInstallPath%Mailbox 文件夾的子文件夾中。若要確定郵箱數據庫、事務日誌文件和檢查點文件的位置,請運行以下命令:Get-MailboxDatabase-Server <servername>| Format-List *path*
數據庫內容索引。默認情況下,這些文件與數據庫文件位於同一文件夾中。
組指標文件。默認情況下,這些文件位於 %ExchangeInstallPath%GroupMetrics 文件夾中。
常用的日誌文件,例如郵件跟蹤日誌文件和日曆修復日誌文件。默認情況下,這些文件位於%ExchangeInstallPath%TransportRoles\Logs 文件夾和 %ExchangeInstallPath%Logging 文件夾的子文件夾中。若要確定所使用的日誌路徑,請在 Exchange 命令行管理程序中運行以下命令: Get-MailboxServer<servername> | Format-List *path*
脫機通訊簿文件。默認情況下,這些文件位於 %ExchangeInstallPath%ClientAccess\OAB 文件夾下的子文件夾中。
%SystemRoot%\System32\Inetsrv 文件夾中的 IIS 系統文件。
郵箱數據庫臨時文件夾:%ExchangeInstallPath%Mailbox\MDBTEMP
“郵箱數據庫”列表中列出的所有項目以及 %Windir%\Cluster 中存在的羣集仲裁數據庫。
見證目錄文件。這些文件位於環境中的其他服務器上,通常是未與郵箱服務器安裝在同一臺計算機上的客戶端訪問服務器。默認情況下,見證目錄文件位於%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN> 中。
默認情況下,在 Exchange 服務器的 %TMP% 文件夾中執行內容轉換。
默認情況下,在 %ExchangeInstallPath%Working\OleConverter 文件夾中執行富文本格式 (RTF) 到 MIME/HTML 的轉換。
日誌文件,例如郵件跟蹤和連接日誌。默認情況下,這些文件位於%ExchangeInstallPath%TransportRoles\Logs 文件夾的子文件夾中。若要確定所使用的日誌路徑,請在 Exchange 命令行管理程序中運行以下命令: Get-TransportService<servername> | Format-List *logpath*,*tracingpath*
分揀和重播消息目錄文件夾。默認情況下,這些文件夾位於 %ExchangeInstallPath%TransportRoles 文件夾中。若要確定所使用的日誌路徑,請在 Exchange 命令行管理程序中運行以下命令:Get-TransportService<servername>| Format-List *dir*path*
隊列數據庫、檢查點和日誌文件。默認情況下,這些文件位於 %ExchangeInstallPath%TransportRoles\Data\Queue文件夾中。
發件人信譽數據庫、檢查點和日誌文件。默認情況下,這些文件位於%ExchangeInstallPath%TransportRoles\Data\SenderReputation 文件夾中。
用於執行轉換的臨時文件夾:
內容掃描組件由惡意軟件代理和數據丟失預防 (DLP) 使用。默認情況下,這些文件位於 %ExchangeInstallPath%FIP-FS 文件夾中。
日誌文件,例如連接日誌。默認情況下,這些文件位於%ExchangeInstallPath%TransportRoles\Logs\Mailbox 文件夾的子文件夾中。若要確定所使用的日誌路徑,請在 Exchange 命令行管理程序中運行以下命令: Get-MailboxTransportService<servername> | Format-List *logpath*
不同區域的語法文件,例如 en-EN 或 es-ES。默認情況下,這些文件存儲在%ExchangeInstallPath%UnifiedMessaging\grammars 文件夾的子文件夾中。
語音提示、問候語和信息性消息文件。默認情況下,這些文件存儲在%ExchangeInstallPath%UnifiedMessaging\Prompts 文件夾的子文件夾中
暫時存儲在 %ExchangeInstallPath%UnifiedMessaging\voicemail 文件夾中的語音郵件文件。
統一消息生成的臨時文件。默認情況下,這些文件存儲在%ExchangeInstallPath%UnifiedMessaging\temp 文件夾中。
Exchange Server 安裝程序臨時文件。這些文件通常位於 %SystemRoot%\Temp\ExchangeSetup 中。
客戶端訪問服務器
對於使用 Internet 信息服務 (IIS) 7.0 的服務器,用於 Microsoft Outlook Web App 的壓縮文件夾。默認情況下,IIS 7.0 的壓縮文件夾的路徑是 %SystemDrive%\inetpub\temp\IISTemporary Compressed Files。
%SystemRoot%\System32\Inetsrv 文件夾中的 IIS 系統文件
Inetpub\logs\logfiles\w3svc
POP3 文件夾:%ExchangeInstallPath%Logging\POP3
IMAP4 文件夾:%ExchangeInstallPath%Logging\IMAP4
日誌文件,例如連接日誌和協議日誌。默認情況下,這些文件位於%ExchangeInstallPath%TransportRoles\Logs\FrontEnd 文件夾的子文件夾中。若要確定所使用的日誌路徑,請在 Exchange 命令行管理程序中運行以下命令: Get-FrontEndTransportService<servername> | Format-List *logpath*
Exchange Server 安裝程序臨時文件。這些文件通常位於 %SystemRoot%\Temp\ExchangeSetup 中。