Антивирусное программное обеспечение для Exchange

Переводы статьи Переводы статьи
Код статьи: 328841 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Данная статья содержит инструкции по отключению параметров безопасности либо снижению уровня безопасности. Выполнение этих инструкций позволяет обойти определенные проблемы, однако предварительно рекомендуется взвесить последствия такого обхода для безопасности системы в существующей среде. При реализации этого метода обхода примите все необходимые дополнительные меры для защиты своей системы.
Развернуть все | Свернуть все

В этой статье

Аннотация

Настоящая статья содержит обзор различных типов антивирусных программ, обычно применяемых с сервером Exchange 2000 Server. В статье перечислены достоинства, недостатки и особенности отладки различных типов антивирусных программ. В статье не описаны решения для фильтрации SMTP, которые обычно устанавливаются не на компьютере с Exchange 2000 Server, а на отдельном сервере сети.

Антивирусные средства проверки файлов

Часто применяемые антивирусные программы, проверяющие файлы на наличие вирусов, при использовании с Exchange 2000 Server могут вызывать наибольшее количество проблем. Антивирусные средства проверки файлов могут быть как резидентными, так и запускаемыми по запросу.
  • Резидентные приложения постоянно находятся в памяти компьютера и проверяют все используемые файлы, расположенные на жестком диске и в памяти.
  • Термин "проверка по запросу" означает, что антивирусная программа запускается вручную или по расписанию и проверяет файлы на жестком диске. Существуют антивирусные программы, автоматически запускаемые после обновления базы данных со сведениями о вирусах. Это гарантирует, что все файлы будут проверены с использованием последних существующих сигнатур вирусов.
При использовании на сервере Exchange 2000 антивирусных программ, выполняющих проверку файлов, могут возникать следующие проблемы.
  • Подобные программы выполняют проверку при обращении к файлу или в соответствии с заданным расписанием. В результате антивирусная программа может заблокировать доступ к файлу журнала или базы данных сервера Exchange или переместить эти файлы в собственную временную папку в тот момент, когда сервер Exchange будет обращаться к этим файлам. Это может вызвать сбои в работе сервера Exchange 2000 Server и привести к появлению сообщений об ошибке с кодом 1018.
  • Еще одна проблема может возникнуть при проверке диска M на вирусы.

    Ниже приведен пример события, которое может быть занесено в журнал при проверке диска M антивирусной программой проверки файлов.

    Событие: Источник ID 6: Norton Antivirus Не найдено описание для события с кодом ( 6 ) в источнике ( Norton AntiVirus ). Возможно, на локальном компьютере нет нужных данных в реестре или DLL-файлов для отображения сообщений удаленного компьютера.  
    
    При сканировании не удалось открыть файл M:\ИМЯ_ОРГАНИЗАЦИИ.COM\MBX\Имя_пользователя\Inbox\No Subject-15.EML

  • Антивирусные программы, выполняющие проверку файлов, не защищают от вирусов, распространяющихся по электронной почте (например, от вируса Melissa).

    ПРИМЕЧАНИЕ. Вирус Melissa представляет собой макровирус, заражающий документы Microsoft Word и распространяющийся с помощью сообщений электронной почты. Данный вирус самопроизвольно отправляет сообщения электронной почты по адресам, содержащимся в личной адресной книге приложения Microsoft Outlook. Подобные вирусы могут вызывать потерю данных.
Исключите следующие папки из списков проверки антивирусных программ, выполняющих проверку файлов (как резидентных, так и запускаемых по запросу).
  • Диск M на сервере Exchange 2000 Server.
  • Файлы баз данных и журналов сервера Exchange Server. По умолчанию эти файлы находятся в папке Exchsrvr\Mdbdata.
  • Файлы почтового агента (MTA) сервера Exchange, находящиеся в папке Exchsrvr\Mtadata.
  • Дополнительные файлы журнала, такие, как файл Exchsrvr\имя_сервера.log.
  • Папка виртуального сервера Exchsrvr\Mailroot.
  • Рабочая папка, предназначенная для хранения временных файлов с расширением TMP, используемых при преобразовании сообщений. По умолчанию эта папка находится в папке \Exchsrvr\MDBData, но ее расположение можно изменить.
  • Временная папка, используемая автономными средствами обслуживания (например, программой Eeseutil.exe). По умолчанию используется папка, из которой был запущен исполняемый файл приложения (EXE), однако при запуске приложений можно явно указывать местоположение, из которого будет запущен данный файл.
  • Файлы службы SRS (Site Replication Service), находящиеся в папке Exchsrvr\Srsdata.
  • Системные файлы служб IIS, находящиеся в папке %SystemRoot%\System32\Inetsrv.

    ПРИМЕЧАНИЕ. Папки Exchsrvr\address, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res и Exchsrvr\Schema можно проверять без проблем. Однако может оказаться целесообразным исключить из проверки всю папку Exchsrvr — как для резидентных, так и для запускаемых по запросу антивирусных программ проверки файлов. Настоятельно рекомендуется временно отключать антивирусные программы проверки файлов во время обновления операционной системы и сервера Exchange Server, в том числе во время перехода к новой версии Exchange Server или операционной системы, а также установки любых исправлений или пакетов обновлений Exchange Server и операционной системы.
Для получения дополнительных сведений о рабочей папке см. следующую статью в базе знаний Майкрософт:
822936 Сообщения доставляются в локальную очередь доставки очень медленно (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Исключите следующие типы файлов из списка проверки антивирусных программ, выполняющих проверку файлов (как резидентных, так и запускаемых по запросу).
  • EDB
  • STM (на сервере Exchange 2000 Server)
  • .LOG
Также следует отключить проверку папки, содержащей файлы CHK, как для резидентных программ, так и для программ, запускаемых по запросу.

ПРИМЕЧАНИЕ. Файлы CHK могут проверяться даже после перемещения файлов базы данных и журналов сервера Exchange в новую папку и отключения проверки данной папки. Дополнительные сведения о последствиях проверки файла CHK на наличие вирусов см. в следующих статьях базы знаний Майкрософт.
253111 Служба базы данных сервера Exchange регистрирует ошибки в случаях, когда не удается выполнить запись в собственные файлы EDB или CHK (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
176239 База данных не запускается; функция циклического ведения журналов слишком быстро удалила журнал (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Антивирусные средства, использующие интерфейс MAPI

Первые антивирусные программы, включенные в агент Exchange, использовали интерфейс MAPI. Эти программы выполняют вход в каждый почтовый ящик и проверяют сообщения в данном ящике на наличие вирусов.

Подобные программы обладают следующими преимуществами перед антивирусными средствами проверки файлов.
  • Антивирусные средства, использующие интерфейс MAPI, могут обнаруживать вирусы, распространяющиеся по электронной почте (например, вирус Melissa).
  • Антивирусные средства, использующие интерфейс MAPI, не влияют на работу сервера Exchange Server с файлами журнала и базы данных.
Подобные программы имеют следующие недостатки.
  • Антивирусные средства, использующие интерфейс MAPI, могут не успеть проверить зараженное сообщение до того, как пользователь его откроет. Пока антивирусная программа не обнаружила, что сообщение заражено, пользователь может беспрепятственно открывать данное сообщение.
  • Антивирусные средства, использующие интерфейс MAPI, не могут проверять исходящие сообщения.
  • Антивирусные средства, использующие интерфейс MAPI, не распознают фильтр Exchange Single Instance Storage, поэтому антивирус может несколько раз проверить одно и то же сообщение, если оно существует в нескольких почтовых ящиках. Это увеличивает время проверки.
Поскольку антивирусные средства, использующие интерфейс MAPI, могут обнаруживать вирусы, распространяющиеся по электронной почте, рекомендуется использовать данные средства, а не программы, выполняющие проверку файлов. Однако есть и более оптимальные варианты, которые описаны ниже в этой статье.

Антивирусные средства, использующие интерфейс VAPI, AVAPI или VSAPI

Интерфейс VAPI (Virus Application Programming Interface, или Virus API) также известен как AVAPI (Antivirus API) или VSAPI (Virus Scanning API).

Интерфейс VAPI 1.0 впервые появился в составе сервера Exchange Server 5.5 с пакетом обновления 3 (SP3) и использовался до появления сервера Exchange 2000 Server. Для повышения производительности Exchange Server 5.5 в интерфейс VAPI 1.0 было внесено множество изменений. Дополнительные сведения об этом разделе см. в следующей статье базы знаний Майкрософт:
248838 Обновления службы информационного хранилища почтовой системы Microsoft Exchange Server 5.5 с установленным пакетом обновления SP3 доступны для загрузки
В состав сервера Exchange 2000 Server с пакетом обновления 1 (SP1) включен интерфейс VAPI 2.0. Этот интерфейс не поддерживается в сервере Exchange Server 5.5. Интерфейсы VAPI 1.0 и VAPI 2.0 поддерживают антивирусную проверку по запросу.

Если на сервере установлена антивирусная программа, использующая интерфейс VAPI, то при открытии сообщения почтовым клиентом эта программа определяет, выполнена ли проверка текста и вложений сообщения с использованием последнего файла сигнатур вирусов. Если такая проверка не выполнялась, то перед передачей данного сообщения почтовому клиенту выполняется проверка сообщения с помощью антивирусной программы. В качестве почтового клиента может использоваться обычный клиент MAPI или IP-клиент, такой как клиенты POP3, веб-клиент Outlook или IMAP4.

В интерфейсе VAPI 2.0 все данные из тела сообщений и вложений обрабатываются в одной очереди. Элементы, отправленные в эту очередь по запросу, получают более высокий приоритет. В настоящее время эта очередь обрабатывается несколькими потоками, при этом элементы с высоким приоритетом всегда обрабатываются первыми. По умолчанию число потоков определяется следующим образом: 2 х количество_процессоров + 1. Это позволяет одновременно направить на проверку несколько элементов. Кроме того, клиентские потоки, ожидающие окончания проверки, более не привязаны к значениям времени ожидания — после того как объект будет проверен и помечен как безопасный, клиентскому потоку сообщается, что проверка выполнена. По умолчанию клиентский поток ожидает уведомления об окончании проверки в течение трех минут, после чего время ожидания истекает.

Новой функциональной возможностью VAPI 2.0 является упреждающая проверка сообщений. В VAPI 1.0 вложения в сообщениях проверялись только в момент доступа к этим вложениям. В VAPI 2.0 сообщения, попадающие в хранилище информации, помещаются в общую очередь этого хранилища. Низкий приоритет данных сообщений гарантирует, что проверка этих сообщений не будет мешать проверке сообщений с высоким приоритетом. После проверки всех сообщений с высоким приоритетом VAPI 2.0 начинает проверку сообщений с низким приоритетом. Если клиент обратится к какому-либо низкоприоритетному сообщению, находящемуся в очереди, то приоритет данного сообщения будет автоматически повышен. Одновременно в очереди с низким приоритетом может находиться до 30 элементов; очередь построена по принципу FIFO.

Помимо всего прочего, усовершенствования коснулись фоновой проверки. В интерфейсе VAPI 1.0 фоновая проверка выполнялась за один проход по таблице вложений с передачей вложений, которые не были проверены с использованием текущей версии антивируса или текущего файла сигнатур, непосредственно в антивирусную библиотеку DLL. Каждому из открытых и закрытых хранилищ информации сопоставлялся один поток для фоновой антивирусной проверки, и после того как этот поток завершал проход по таблице вложений, он ожидал перезапуска процесса хранилища информации перед следующим проходом. В VAPI 2.0 каждой базе данных сообщений (MDB) по-прежнему назначается один поток для фоновой антивирусной проверки. Однако теперь процедура фоновой проверки просматривает папки, составляющие почтовые ящики пользователей. Обнаружив элементы, которые не были проверены на наличие вирусов, данная процедура сообщает об этих объектах антивирусной программе и продолжает работу. Поставщиками антивирусных пакетов также может быть реализован принудительный запуск фоновой проверки с помощью набора разделов реестра.

Наиболее востребованной возможностью, отсутствовавшей в интерфейсе VAPI 1.0, является возможность получения отчетов, позволяющих администратору сервера Exchange отслеживать факты обнаружения вирусов, определять пути попадания вирусов в организацию и находить зараженные компьютеры. Эта возможность была добавлена в VAPI 2.0 в связи с тем, что теперь антивирусная проверка не привязана напрямую к таблице вложений.

Для более эффективного устранения неполадок VAPI в пакете обновления Exchange 2000 Server SP1 реализованы новые счетчики монитора производительности VAPI, с помощью которых администраторы Exchange могут отслеживать производительность VAPI. С помощью этих счетчиков администратор может определить, сколько данных проверено и с какой скоростью идет проверка. Это позволяет администратору точнее масштабировать серверы.

Последним нововведением является новая функция регистрации событий, специально созданная для интерфейса VAPI. В число этих событий входят следующие.
  • Загрузка и выгрузка библиотек DLL поставщика.
  • Успешное сканирование элементов.
  • Обнаружение вирусов в банке сообщений.
  • Непредвиденное поведение VAPI.
Чтобы определить, используется ли на компьютере антивирус на основе VAPI, проверьте следующий раздел реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Этот раздел не существует, если антивирус на основе VAPI не установлен.

Ниже приведен пример события, которое может быть занесено в журнал при проверке файлов программой VSAPI в каталоге //./backofficestorage/.

Код события: 2045 Источник: McAfee GroupShield Не найдено описание для события с кодом ( 2045 ) в источнике ( McAfee GroupShield ). Возможно, на локальном компьютере нет нужных данных в реестре или библиотек DLL сообщений для отображения сообщений удаленного компьютера. 

Сбой 4-часового цикла сканирования по требованию при сканировании элемента "file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 тема_письма.EML"; код ошибки 80040e19.

Дополнительные сведения о проблемах, которые могут возникнуть при проверке диска M, см. следующие статьи в базе знаний Майкрософт:
299046 XADM: Из папок пользователя пропадают объекты календаря
300608 При попытке подключения баз данных может произойти ошибка "C1041737" и появиться сообщение о событии с кодом 470 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
307824 Компонент уведомлений Exchange нельзя установить на диск M сервера Exchange 2000 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
298924 Проблемы резервного копирования и сканирования диска M (Exchange 2000).

Антивирусные средства на базе ESE

Антивирусные программы на базе подсистемы ESE (например, некоторые версии программы Antigen) используют для обмена данными между хранилищем данных и подсистемой ESE (Extensible Storage Engine) интерфейс, не поддерживаемый корпорацией Майкрософт. Использование подобных программ может вызвать повреждение базы данных и потерю данных, если в используемой программе присутствуют ошибки.


При установке подобные программы изменяют службу банка данных сервера Exchange Server, делая ее зависимой от определенной службы. Это обеспечивает запуск данной службы до запуска службы банка данных сервера Exchange. В процессе запуска антивирусная служба проверяет наличие нужных версий собственного ПО и сервера Exchange Server, а также нужных версий файлов. При выявлении несоответствий программа Antigen прекращает работу, включает для банка данных возможность запуска без антивирусной защиты и уведомляет администраторов.


При успешном запуске антивирусной программы на базе ESE исходная версия файла Ese.dll от корпорации Майкрософт временно переименовывается в Xese.dll, а вместо нее используется версия файла Ese.dll программы Antigen. После загрузки версии файла Ese.dll программы Antigen версия этого файла корпорации Майкрософт переименовывается обратно в Ese.dll и выполняется загрузка службы банка данных сервера Exchange.


Пользователям, обращающимся в службу технической поддержки Майкрософт, могут предложить отключить программное обеспечение Antigen, чтобы установить причину сбоя. Однако после обнаружения причины неполадок пользователи могут снова включить данное программное обеспечение.

Ссылки

Дополнительные сведения об антивирусных средствах для сервера Exchange см. в следующих статьях базы данных Майкрософт:
285667 Интерфейс сканирования на наличие вирусов API2.0 в составе пакета обновления 1 (SP1) для сервера Exchange 2000 Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
298924 Проблемы резервного копирования и сканирования диска M (Exchange 2000).
245822 Рекомендации по устранению неполадок на компьютере с сервером Exchange Server, использующем антивирусные программы
253111 Служба базы данных сервера Exchange регистрирует ошибки в случаях, когда не удается выполнить запись в собственные файлы EDB или CHK (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
176239 База данных не запускается; функция циклического ведения журналов слишком быстро удалила журнал (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Самые последние сведения о вирусах, угрозах безопасности и поставщиках антивирусного ПО можно найти на следующих ресурсах:

Корпорация Майкрософт

http://www.microsoft.com/rus/

ICSA

Компания ICSA, филиал GartnerGroup, оказывает услуги обеспечения Интернет-безопасности.
http://www.icsa.net

Координационный центр CERT

Координационный центр CERT работает в рамках инициативы по разработке жизнеспособных систем (Survivable Systems Initiative) в федеральном научно-исследовательском центре Software Engineering Institute, финансируемом Министерством обороны США и работающем при университете Карнеги Меллон.
http://www.cert.org

Computer Incident Advisory Capability

Организация Computer Incident Advisory Capability предоставляет техническое содействие и информацию для сайтов Министерства энергетики США, пострадавших от нарушений компьютерной безопасности.
http://www.ciac.org

Network Associates

http://www.nai.com

Trend Micro

http://ru.trendmicro-europe.com/

Computer Associates

http://ca.com/virusinfo

Norton AntiVirus (Symantec)

http://www.symantec.com/ru/ru/index.jsp
Контактные данные сторонних производителей предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти сведения могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных сведений сторонних производителей.
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий и обязательств относительно корректной работы или надежности этих продуктов.

Свойства

Код статьи: 328841 - Последний отзыв: 20 марта 2007 г. - Revision: 12.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange 2000 Server Standard Edition
Ключевые слова: 
kb3rdparty kbenv kbinfo KB328841

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com