Επισκόπηση του Exchange Server 2003 και το λογισμικό προστασίας από ιούς

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 823166 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο περιέχει μια επισκόπηση για τους διάφορους τύπους ιών προγράμματα που χρησιμοποιούνται συνήθως με τον Microsoft Exchange Server 2003. Αυτό το άρθρο παραθέτει τα πλεονεκτήματα, μειονεκτήματα και θέματα αντιμετώπισης προβλημάτων για τους διάφορους τύπους σαρωτές. Αυτό το άρθρο δεν περιγράφει Mail Transfer Protocol SMTP (Simple) φιλτράρισμα λύσεις οι οποίες συνήθως εγκαθίστανται σε ένα διακομιστή διαφορετικό από τον υπολογιστή με Exchange 2003.

Επίπεδο αρχείου σαρωτών

Επίπεδο αρχείου σαρωτές που χρησιμοποιούνται συχνά και μπορεί να είναι πιο προβληματικά για χρήση με το Exchange 2003. Σαρωτές επίπεδο αρχείου μπορεί να είναι είτεμνήμηήκατ:
  • Μνήμηαναφέρεται σε ένα τμήμα του λογισμικού προστασίας από ιούς σε επίπεδο αρχείου που φορτώνεται στη μνήμη ανά πάσα στιγμή. Ελέγχει όλα τα αρχεία που χρησιμοποιούνται στον σκληρό δίσκο και στη μνήμη του υπολογιστή.
  • Καταναφέρεται σε ένα τμήμα του λογισμικού προστασίας από ιούς σε επίπεδο αρχείων που μπορείτε να ρυθμίσετε τις παραμέτρους για τη σάρωση αρχείων του σκληρού δίσκου με μη αυτόματο τρόπο ή με βάση ένα χρονοδιάγραμμα. Οι εκδόσεις του λογισμικού εντοπισμού ιών που ξεκινούν αυτόματα την Εξέταση αιτήσεως όταν ενημερώνονται οι υπογραφές ιών για να βεβαιωθείτε ότι όλα τα αρχεία που έχουν σαρωθεί με τις τελευταίες υπογραφές.
Ενδέχεται να προκύψουν τα ακόλουθα ζητήματα, όταν χρησιμοποιείτε επίπεδο αρχείου σαρωτές με Exchange 2003:
  • Επίπεδο αρχείου σαρωτές σάρωση ενός αρχείου όταν το αρχείο χρησιμοποιείται ή σε ένα προγραμματισμένο διάστημα, και αυτές οι σαρωτές μπορεί να κλειδώσει ή ένα αρχείο καταγραφής του Exchange ή μια βάση δεδομένων του αρχείου κατά το Exchange 2003 καραντίνας προσπαθεί να χρησιμοποιήσει το αρχείο. Αυτή η συμπεριφορά μπορεί να προκαλέσει σοβαρή αποτυχία στο Exchange 2003 και ενδέχεται επίσης να δημιουργήσει σφάλματα-1018.
  • Επίπεδο αρχείου σαρωτές δεν παρέχουν προστασία από ιούς ηλεκτρονικού ταχυδρομείου, όπως ο ιός Melissa.

    ΣΗΜΕΙΩΣΗΟ ιός Melissa είναι ένας ιός μακροεντολών του Microsoft Word που μπορεί να μεταδώσει τον εαυτό μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου. Ο ιός στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου ακατάλληλες διευθύνσεις που εντοπίζει στα βιβλία προσωπικών διευθύνσεων σε προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου του Microsoft Outlook. Παρόμοια ιοί μπορούν να προκαλέσουν καταστροφή δεδομένων.
Εξαίρεση τους ακόλουθους φακέλους από σαρωτές επίπεδο αρχείου κατ και μόνιμες σαρωτές επίπεδο αρχείου μνήμης:
  • Ανταλλάξτε βάσεις δεδομένων και αρχεία καταγραφής σε όλες τις ομάδες αποθήκευσης. Από προεπιλογή, αυτές βρίσκονται στο φάκελο Exchsrvr\Mdbdata.
  • Exchange MTA αρχεία στο φάκελο Exchsrvr\Mtadata.
  • Αρχεία καταγραφής επιπλέον όπως το Exchsrvr\server_name.log καταλόγου.
  • Στο φάκελο του εικονικού διακομιστή Exchsrvr\Mailroot.
  • Ο φάκελος εργασίας που χρησιμοποιείται για την αποθήκευση της ροής αρχείων .tmp που χρησιμοποιούνται για τη μετατροπή του μηνύματος. Από προεπιλογή, αυτός ο φάκελος είναι Exchsrvr\Mdbdata, αλλά η θέση είναι δυνατό να ρυθμιστούν.Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    822936Ροή μηνύματος στην ουρά τοπικής παράδοσης είναι πολύ αργή
  • Του προσωρινού φακέλου που χρησιμοποιείται σε συνδυασμό με τα βοηθητικά προγράμματα συντήρησης για εργασία χωρίς σύνδεση, όπως το Eseutil.exe. Από προεπιλογή, αυτός ο φάκελος είναι η θέση όπου εκτελείται το αρχείο .exe από, αλλά μπορείτε να ρυθμίσετε τις παραμέτρους όπου εκτελείτε το αρχείο κατά την εκτέλεση του βοηθητικού προγράμματος.
  • Τοποθεσία Replication Service (SRS) αρχεία στο φάκελο Exchsrvr\Srsdata.
  • Αρχεία συστήματος Microsoft Internet Information Services (IIS) στο φάκελο %SystemRoot%\System32\Inetsrv.

    ΣΗΜΕΙΩΣΗYou may want to exclude the whole Exchsrvr folder from both on-demand file-level scanners and memory-resident file-level scanners.
  • The Internet Information Services (IIS) 6.0 compression folder that is used with Outlook Web Access 2003. By default, the compression folder in IIS 6.0 is located at %systemroot%\IIS Temporary Compressed Files.

    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
    817442Antivirus scanning of IIS Compression directory may result in 0-byte file
  • For clusters, the Quorum disk and the %Winnt%\Cluster folder.
  • Any messaging antivirus program folders.
  • The Exchsrvr\Conndata folder.
Exclude the folder that contains the checkpoint (.chk) file from memory resident file-level scanners and on-demand file-level scanners.

ΣΗΜΕΙΩΣΗEven if you move the Exchange databases and log files to new locations and exclude those folders, the .chk file may still be scanned.For more information about what may occur if the .chk file is scanned, click the following article numbers to view the articles in the Microsoft Knowledge Base:
253111Error events are logged when the Exchange Server database service is denied write access to its own .edb files or to the .chk file
176239Database won't start; circular logging deleted log file too soon
Many file-level scanners now support scanning processes. This can also adversely affect Exchange. Therefore, you should exclude the following processes from file-level scanners:
  • Cdb.exe
  • Cidaemon.exe
  • Store.exe
  • Emsmta.exe
  • Mad.exe
  • Mssearch.exe
  • Inetinfo.exe
  • W3wp.exe

MAPI scanners

The first generation of virus scanners that include an Exchange agent are MAPI-based. These scanners perform a MAPI logon to each mailbox and then scan it for known viruses.

The MAPI scanner has the following advantages over the file-based scanner:
  • The MAPI scanner can scan for e-mail viruses such as the Melissa virus.
  • The MAPI scanner does not interfere with the Exchange log or database files.

The MAPI scanner has the following disadvantages:
  • The MAPI scanner may not scan an infected e-mail message before a user opens the e-mail message. The MAPI scanner does not prevent a user from opening an infected e-mail message if the scanner does not first detect the infected e-mail message.
  • The MAPI scanner cannot scan outbound messages.
  • The MAPI scanner does not recognize the Exchange Single Instance Storage filter. Therefore, the scanner may scan a single message many times if the same message exists in multiple mailboxes. Therefore, the MAPI scanner may take longer to perform the scan.
Because the MAPI scanner can detect e-mail viruses, it is a better option than a file-level scanner. However, there are even better options available than the MAPI scanner, and these are described later in this article.

Virus Scanning API scanners

Virus Scanning Application Programming Interface (API) is also referred to as Virus API (VAPI), Antivirus API (AVAPI), or Virus Scanning API (VSAPI).

Virus Scanning API 1.0 was introduced in Microsoft Exchange Server 5.5 Service Pack 3 (SP3) and was standard until the release of Exchange 2000. Many improvements have been made to Virus Scanning API 1.0 to improve performance with Exchange Server.For more information, click the following article number to view the article in the Microsoft Knowledge Base:
248838Exchange Server 5.5 post-Service Pack 3 Information Store fixes available

Exchange 2000 Server Service Pack 1 (SP1) includes Virus Scanning API 2.0. Virus Scanning API 2.0 is not supported in Exchange Server 5.5. Virus Scanning API 1.0 and Virus Scanning API 2.0 both support on-demand scanning.

Exchange 2003 now includes Virus Scanning API 2.5. Virus Scanning API 2.5 includes the previous features of Virus Scanning API 2.0 in addition to the following improvements:
  • Improved virus scanning API allows antivirus vendor products to run on Exchange 2003 servers that do not have resident Exchange mailboxes (for example, gateway servers or bridgehead servers).
  • Ιός Scanning API 2.5 επιτρέπει προϊόντα προμηθευτή προϊόντων αντιμετώπισης ιών για να διαγράψετε τα μηνύματα και να στείλετε μηνύματα στον αποστολέα και μηνύματα κατάστασης πρόσθετες ιός επιτρέπει στους υπολογιστές πελάτες καλύτερα δηλώνει την κατάσταση προσβολής από ένα συγκεκριμένο μήνυμα.
Για περισσότερες πληροφορίες σχετικά με ενημερωμένες εκδόσεις, επικοινωνήστε με τον κατασκευαστή του λογισμικού αντιμετώπισης ιών.

Όταν χρησιμοποιείτε το API ανίχνευσης ιών και ένας υπολογιστής-πελάτης επιχειρεί να ανοίξει ένα μήνυμα, μια σύγκριση γίνεται για να βεβαιωθείτε ότι το σώμα του μηνύματος και το συνημμένο έχει γίνει η σάρωση από το τρέχον αρχείο υπογραφής ιών. Εάν το τρέχον αρχείο υπογραφής ιών δεν έχει σαρώνεται το περιεχόμενο, το αντίστοιχο στοιχείο του μηνύματος που υποβάλλονται στο προϊόν προμηθευτή προϊόντων αντιμετώπισης ιών για την ανίχνευση πριν από την κυκλοφορία του στοιχείου μηνύματος στο πρόγραμμα-πελάτη. Ο υπολογιστής-πελάτης μπορεί να χρησιμοποιεί συμβατική πρόγραμμα-πελάτης MAPI ή ένα πρωτόκολλο Internet IP-πελάτη όπως Post Office Protocol έκδοση 3 (POP3), Microsoft Outlook Web Access (OWA) και Internet Message Access Protocol, Version 4rev1 (IMAP4).

Ιός Scanning API 2.0 και Virus Scanning API 2.5 επεξεργάζεται όλα τα μήνυμα κυρίως κειμένου και συνημμένα δεδομένα, χρησιμοποιώντας μία μόνο ουρά. Στοιχεία αιτήσεως που υποβάλλονται σε αυτήν την ουρά επισημαίνονται ως υψηλής προτεραιότητας. Στον Exchange 2003, η ουρά αυτή είναι τώρα εξυπηρετούνται από μια σειρά από νήματα και στοιχεία υψηλής προτεραιότητας έχουν πάντα προτεραιότητα. The default number of threads is 2 timesnumber_of_processorsplus 1. This makes it possible for multiple items to be submitted to the antivirus vendor product at the same time. Also, client threads are not tied to time-out values that are waiting for items to be released. After items are scanned and marked safe, the client thread is notified that the item is available. By default, the client thread waits up to three minutes to be notified of the availability of the requested data before a time-out occurs.

Virus Scanning API 2.0 and Virus Scanning API 2.5 include a proactive-based message scanning feature. In Virus Scanning API 1.0, message attachment information is scanned only as it is used. In Virus Scanning API 2.0 and Virus Scanning API 2.5, items are submitted to a common information store queue as they are submitted to the information store. Each of these items receives a low priority in the queue, so that these items do not interfere with the scanning of the high-priority items. When all the high-priority items have been scanned, Virus Scanning API 2.0 or Virus Scanning API 2.5 begins to scan low-priority items. The priority of the items is dynamically upgraded to high priority if a client tries to use the item while the item is in the low-priority queue. A maximum of 30 items can exist at the same time in the low-priority queue, and the contents of this queue are determined on a first in, first out basis.

Virus Scanning API 2.0 and Virus Scanning API 2.5 include an improved background scanning process. In Virus Scanning API 1.0, background scanning is conducted by making a single pass over the attachment table. Virus Scanning API 1.0 then submits attachments that have not been scanned by the current antivirus vendor product or signature file directly to the antivirus dynamic link library (DLL). Each of the private information stores and public information stores receive one thread to perform this background scan. After the thread finishes a pass of the attachment table, the thread waits for a restart of the information store process before it conducts another pass. In Virus Scanning API 2.0 and Virus Scanning API 2.5, each MDB Messaging Database still receives one thread to conduct the background scanning process. However, in Exchange 2003, the background scanning process navigates the series of folders that make up each user's mailbox. As items that have not been scanned are encountered, they are submitted to the antivirus vendor product, and the scanning process continues. Antivirus software vendor products may also force the start of a background scan by means of a set of registry keys.

The feature that was most requested for addition to Virus Scanning API 1.0 is one that provides message details so that Exchange administrators can track the existence of viruses, determine how viruses penetrated the organization, and determine the users who are affected. This feature was added in Virus Scanning API 2.0 because scanning is no longer directly based off the attachment table.

Virus Scanning API Performance Monitor counters can be used to track the performance of the virus scanning API and to enhance troubleshooting in Virus Scanning API 2.0 and Virus Scanning API 2.5. By using these counters, the administrator can determine how much information is being scanned and how quickly that information is being scanned. This helps the administrator to more accurately scale servers.

Virus Scanning API 2.0 and Virus Scanning API 2.5 also include event logging that is specific to the virus scanning API. Events that are logged include:
  • Vendor DLLs being loaded and unloaded.
  • Successful item scans.
  • Viruses that are located in the information store.
  • Unexpected behavior in the virus scanning API.

ESE-based scanners

ESE-based scanners such as some versions of Antigen use an interface between the information store and the Extensible Storage Engine (ESE) that is supported by Microsoft. When you use this type of software, you run the risk of database damage and data loss if there are errors in the implementation of the software.

During installation, the ESE-based scanner changes the Exchange Server Information Store service so that it is dependent on the specific service. This makes sure that the service starts before the Exchange Server Information Store service starts. During the startup process, the scanner's service checks for appropriate versions of its software and Exchange Server, and appropriate file versions. If any incompatibility is found, the Antigen software disables itself, enables the information store to start without antivirus protection, and then notifies administrators.


When the ESE-based scanner starts successfully, the Microsoft version of the Ese.dll file is temporarily renamed to Xese.dll, and the Antigen version of the Ese.dll file replaces the original file. After the Antigen version of the Ese.dll file is loaded, the Microsoft version is renamed back to Ese.dll and the Exchange Server information store is enabled to complete its startup process.


Customers who contact Microsoft Product Support Services may be asked to disable the Antigen service to help identify issues, but customers are free to enable the Antigen software again after the root cause of the issue is properly diagnosed.

Additional reading

For more information about virus scanning software that is used with Exchange, click the following article numbers to view the articles in the Microsoft Knowledge Base:
285667Understanding Virus Scanning API 2.0 in Exchange 2000 Service Pack 1
298924Issues caused by a back-up or by a scan of the Exchange 2000 M drive
245822Recommendations for troubleshooting an Exchange Server computer with antivirus software installed
253111Error events are logged when the Exchange Server database service is denied write access to its own .edb files or to the .chk file
176239Database won't start; circular logging deleted log file too soon
For the latest information about virus and security alerts and about virus protection software vendors, visit the following Microsoft and third-party Web sites:

Microsoft
http://www.microsoft.com
ICSA

ICSA Labs, ένα τμήμα της TruSecure Corporation, παρέχει υπηρεσίες διασφάλισης ασφάλειας του Internet.
http://www.icsalabs.com
CERT Coordination Center

Το Κέντρο συντονισμού CERT αποτελεί μέρος του Survivable πρωτοβουλία Systems στο Ινστιτούτο μηχανολογίας λογισμικού, μια federally funded έρευνας και ανάπτυξης του Κέντρου που είναι επιχορηγούμενος από τις η.π.α. τμήμα Defense και διαχειρίζονται από Carnegie Mellon στο πανεπιστήμιο.
http://www.CERT.org
Η δυνατότητα Advisory περιστατικών υπολογιστή

Η δυνατότητα Advisory περιστατικών υπολογιστή παρέχει τεχνική βοήθεια στην κλήση και πληροφορίες σε τοποθεσίες του τμήματος του Energy (DOE) που αντιμετωπίζουν περιστατικά ασφαλείας του υπολογιστή.
https://www-Eng.llnl.gov/info_eng/ciac.HTML
McAfee
http://www.McAfee.com/us/Default.asp
Trend Micro
http://www.trendmicro.com/
Computer Associates
http://CA.com/virusinfo
Η Symantec (Mail Security για τον Exchange Symantec AntiVirus και Norton AntiVirus)
http://www.symantec.com

Περισσότερες πληροφορίες

Η Microsoft παρέχει πληροφορίες επικοινωνίας με άλλους κατασκευαστές, για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτές οι πληροφορίες επικοινωνίας ενδέχεται να αλλάξουν χωρίς προειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια αυτών των πληροφοριών επικοινωνίας με άλλους κατασκευαστές.

Τα προϊόντα άλλων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες ανεξάρτητες από τη Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή άλλη, όσον αφορά τις επιδόσεις ή την αξιοπιστία αυτών των προϊόντων.

Ιδιότητες

Αναγν. άρθρου: 823166 - Τελευταία αναθεώρηση: Τετάρτη, 22 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Λέξεις-κλειδιά: 
kbinfo kbmt KB823166 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:823166

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com