Az Exchange Server 2003 és a víruskereső szoftverek kapcsolatának áttekintése

A cikk fordítása A cikk fordítása
Cikk azonosítója: 823166 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A cikk ismerteti az Exchange 2003 programmal jellemzően használt víruskereső szoftverek különböző típusait, felsorolja előnyeiket és hátrányaikat, valamint áttekinti a víruskeresők hibaelhárítása során megfontolandó tényezőket. Jelen cikk nem tartalmazza a rendszerint az Exchange 2003 programot futtató számítógéptől eltérő kiszolgálóra telepített Simple Mail Transfer Protocol (SMTP) szűrési megoldásait.

Fájlszintű víruskeresők

Igen elterjedt a fájlszintű víruskeresők használata, amelyek azonban az Exchange 2003 programban problémákat okozhatnak. A fájlszintű víruskeresők az alábbi két csoportba oszthatók: memóriarezidens és igény szerint betöltődő.
  • Memóriarezidens meghatározással utalnak a fájlszintű víruskereső szoftverek memóriába töltődő részére, amely ellenőrzi a merevlemezen használt és a számítógép memóriájában lévő összes fájlt.
  • Igény szerint betöltődő kifejezéssel jelölik a fájlszintű víruskereső szoftverek azon részét, amely a merevlemezen lévő fájlok manuális vagy ütemezés szerinti ellenőrzésére is konfigurálható. Egyes víruskereső szoftverek a vírusfelismerő adatok frissítése esetén automatikusan elvégzik az igény szerinti víruskeresést, hogy minden fájl a legfrissebb vírusfelismerő adatok alapján legyen ellenőrizve.
A fájlszintű víruskeresők és az Exchange 2003 együttes használata esetén a következő problémák jelentkezhetnek:
  • A fájlszintű víruskeresők a fájlokat használatba vételük esetén, emellett esetleg előre meghatározott időtartamonként ellenőrzik, és ilyenkor zárolhatják vagy karanténba helyezhetik az Exchange valamelyik napló- vagy adatbázisfájlját, miközben az Exchange 2003 megpróbálja használni azt. Ezek az esetek súlyos hibákat okozhatnak az Exchange 2003 rendszer működésében, és akár a -1018-as jelű hibát is előidézhetik.
  • A fájlszintű víruskeresők nem nyújtanak védelmet az e-mailekben terjedő vírusok, például a Melissa vírus ellen.

    Megjegyzés: A Melissa egy önmagát e-mail üzenetekben terjeszteni képes Microsoft Word makróvírus. A vírus nem kívánt e-mail üzeneteket küld a Microsoft Outlook levelezőügyfelek személyes címjegyzékeiben talált címekre. Egyes hasonló vírusok adatrombolást végezhetnek.
Az alábbi mappákban tiltsa le mind a memóriarezidens, mind az igény szerint betöltődő víruskeresők számára a víruskeresést:
  • Az Exchange adatbázis- és naplófájljai minden tárolócsoporton. Ezek a fájlok alapértelmezés szerint az Exchsrvr\Mdbdata mappában találhatók.
  • Az Exchange Exchsrvr\Mtadata mappában található MTA fájljai
  • Egyéb naplófájlok, például az Exchsrvr\kiszolgáló_neve.log könyvtár
  • Az Exchsrvr\Mailroot virtuális kiszolgálói mappa
  • Az üzenetváltásokhoz használt adatfolyamokat tartalmazó .tmp fájloknak helyet adó munkamappa, mely alapértelmezés szerint az Exchsrvr\Mdbdata mappa, de ez a hely konfigurálható. A Microsoft Tudásbázis kapcsolódó cikke:
    822936 A helyi kézbesítési sorba nagyon lassan érkeznek az üzenetek (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  • Az offline módban használt karbantartó segédprogramok, például az Eseutil.exe által használt ideiglenes mappa. Ez a mappa alapértelmezés szerint az a hely, ahol az .exe fájl is fut, de beállítható, hogy a segédprogram futtatásakor hol fusson a fájl.
  • A Site Replication Service (SRS, Helyreplikáló szolgáltatás) Exchsrvr\Srsdata mappában tárolt fájljai
  • A Microsoft Internet Information Services (IIS) rendszerfájljai a %SystemRoot%\System32\Inetsrv mappában

    Megjegyzés: Akár a teljes Exchsrvr mappa is kizárható mind az igény szerint betöltődő, mind a memóriarezidens víruskeresők által ellenőrzött mappák közül.
  • Az Outlook Web Access 2003 programmal használt Internet Information Services (IIS) 6.0 tömörítési mappa. Az IIS 6.0 szolgáltatásban a tömörítési mappa alapértelmezés szerint a %systemroot%\IIS Temporary Compressed Files.

    A Microsoft Tudásbázis kapcsolódó cikke:
    817442 Az IIS tömörítési mappájának vírusellenőrzése miatt a kiszolgáló 0 bájtos fájlokkal térhet vissza (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  • A fürtökhöz tartozó kvórumlemez és a %Winnt%\Cluster mappa
  • Az üzenetküldő rendszereket ellenőrző bármely víruskereső program mappája
  • Az Exchsrvr\Conndata mappa
Zárja ki a memóriarezidens és az igény szerint betöltődő víruskeresők ellenőrzőpont-fájljait (.chk fájlok) tartalmazó mappát.

Megjegyzés: A víruskeresők akkor is ellenőrizhetik a .chk fájlt, ha az Exchange adatbázis- és naplófájljait áthelyezi, és az új helyet kizárja az ellenőrzendő mappák köréből. A .chk fájl ellenőrzésével előidézhető jelenségekről a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
253111 Az Exchange Server adatbázis-szolgáltatás saját .edb fájljaira vagy .chk fájlra vonatkozó írási kérelmeinek megtagadása esetén a rendszer hibaeseményeket naplóz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
176239 Az adatbázis nem indul el, a körkörös naplózás túl hamar törölte a naplófájlt (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Számos fájlszintű víruskereső már támogatja az ellenőrzési folyamatokat. Ez hátrányosan érintheti az Exchange rendszert is, ezért az alábbi folyamatokat érdemes kizárni a fájlszintű víruskeresésből:
  • Cdb.exe
  • Cidaemon.exe
  • Store.exe
  • Emsmta.exe
  • Mad.exe
  • Mssearch.exe
  • Inetinfo.exe
  • W3wp.exe

MAPI víruskeresők

Az Exchange-ügynököt tartalmazó víruskeresők első verzióját a MAPI-alapú víruskeresők alkotják. Ezek a víruskeresők a MAPI segítségével bejelentkeznek minden egyes postaládába, és ott kutatnak az ismert vírusok után.

A MAPI víruskeresők előnyei a fájlszintű keresőkkel szemben:
  • A MAPI víruskeresők az elektronikus levélben terjedő vírusok, például a Melissa vírus keresésére is képesek.
  • A MAPI víruskeresők működése nem érinti az Exchange napló- és adatbázisfájljait.

A MAPI víruskeresők hátrányai:
  • Lehet, hogy egy MAPI víruskereső csak azután tud ellenőrizni egy fertőzött e-mail üzenetet, miután a felhasználó azt már megnyitotta. A MAPI víruskeresők nem tudják megakadályozni a felhasználót egy fertőzött e-mail üzenet megnyitásában, ha a megnyitás előtt nem észlelték a fertőzött e-mailt.
  • A MAPI víruskeresők nem tudnak víruskeresést végezni a kimenő üzenetekben.
  • A MAPI víruskeresők nem ismerik az Exchange Single Instance Storage (Egypéldányos tároló) szűrőjét, ezért ha több postaládában megtalálható, több alkalommal is ellenőrizhetik ugyanazt az üzenetet. Ez a víruskeresési idő növekedésével járhat.
A MAPI víruskeresők azonban képesek felismerni az elektronikus levelekben terjedő vírusokat is, ezért a fájlszintű víruskeresőknél jobb megoldást nyújtanak. Léteznek azonban a MAPI víruskeresőknél is jobb megoldások, melyeket a cikk további szakaszai ismertetnek.

A víruskeresési alkalmazásprogramozási felületet használó víruskeresők

A víruskeresési alkalmazásprogramozási felület (API) Virus Scanning Application Programming Interface, Virus API (VAPI), Antivirus API (AVAPI) és Virus Scanning API (VSAPI) néven is ismert.

A víruskeresési API 1.0-s verziója a Microsoft Exchange Server 5.5 Service Pack 3 (SP3) szervizcsomagban jelent meg, és az Exchange 2000 megjelenéséig szabványos megoldásként működött. Az API 1.0-s verziója azóta fontos fejlesztéseken esett keresztül, melyek az Exchange Server rendszerrel nyújtott közös teljesítmény javítására irányultak. A Microsoft Tudásbázis kapcsolódó cikke:
248838 Javítás az SP3 szervizcsomaggal frissített Exchange Server 5.5 rendszerek információtárához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az Exchange 2000 Server Service Pack 1 (SP1) tartalmazza a Virus Scanning API 2.0-s verzióját, melyet az Exchange Server 5.5 azonban nem támogat. A víruskeresési API 1.0-s és 2.0-s verziója egyaránt támogatja az igény szerinti víruskeresést.

Az Exchange 2003 már az API 2.5-ös verzióját foglalja magában. A víruskeresési API 2.5-ös verziója a 2.0-s verzió nyújtotta szolgáltatások mellett az alábbi fejlesztéseket tartalmazza:
  • A továbbfejlesztett víruskeresési alkalmazásprogramozási felület lehetővé teszi, hogy a víruskereső-gyártók termékei a rezidens Exchange postaládákat nem tartalmazó Exchange 2003 kiszolgálókon – például átjárókiszolgálókon és hídfőkiszolgálókon – is fussanak.
  • Az API 2.5-ös verzióját használva a víruskereső-gyártók termékei üzeneteket törölhetnek, üzeneteket küldhetnek a feladónak, illetve az újabb vírusállapot-üzenetek révén az ügyfelek pontosabban jelezhetik egy-egy adott üzenet fertőzöttségi állapotát.
A frissítésekkel kapcsolatos további információkért forduljon víruskereső szoftverének gyártójához.

Ha a víruskeresési alkalmazásprogramozási felületre épülő víruskeresőt használ, és valamelyik ügyfél egy üzenet megnyitásával próbálkozik, a rendszer összehasonlítás révén győződik meg arról, hogy az üzenettörzs és a mellékletek a rendelkezésre álló legfrissebb vírusadatfájllal lettek-e ellenőrizve. Ha az üzenet a legfrissebb vírusadatfájllal még nincs ellenőrizve, a víruskereső-gyártó terméke megkapja a szóban forgó üzenet megfelelő részeit, hogy ellenőrizze azt, mielőtt az ügyfélhez kerülne. Az ügyfél hagyományos MAPI ügyfél, illetve valamilyen IP-alapú ügyfél, például POP3-, Microsoft OWA- vagy IMAP4-alapú ügyfél egyaránt lehet.

A víruskeresési API 2.0-s és 2.5-ös verziója egymáshoz hasonlóan, egyetlen várólistába gyűjtve dolgozza fel az üzenettörzs- és a mellékletadatokat. Az igény alapján várólistába helyezett elemek magas prioritást kapnak. Az Exchange 2003 rendszerben a várólistát több szál szolgálja ki, és a magas prioritású elemek mindig elsőbbséget élveznek. A szálak alapértelmezett száma a number_of_processors (processzorok száma) érték kétszeresénél 1-gyel több. Ez lehetővé teszi, hogy a víruskereső-gyártó termékéhez egyszerre több elemet is lehessen küldeni. Emellett az ügyféloldali szálak nincsenek az elemek kiadására való várakozást szabályozó időtúllépési értékekhez kötve. Miután egy elem ellenőrzése befejeződött, és az elemet biztonságosként lehetett megjelölni, az ügyféloldali szál értesítést kap az elem rendelkezésre állásáról. Az ügyféloldali szálak alapértelmezés szerint 3 percig várnak a kért adat rendelkezésre állásáról tájékoztató értesítésre, mielőtt időtúllépést jeleznének.

Az API 2.0-s és 2.5-ös verziója egy proaktív üzenetellenőrzési szolgáltatással is rendelkezik. Az API 1.0-s verziójában az üzenetmellékletek csak használatukkal egy időben kerültek ellenőrzés alá. Ezzel szemben a 2.0-s és 2.5-ös verzióban az egyes elemek egy közös információtár-várólistára helyeződnek, amint az információtárba kerülnek. Minden ilyen elem alacsony prioritást kap a várólistán, így ezek ellenőrzése nem zavarja a magas prioritású elemek ellenőrzését. Miután minden magas prioritású elem ellenőrzése befejeződött, a víruskeresési API 2.0-s és 2.5-ös verziója hozzákezd az alacsony prioritással rendelkező elemek ellenőrzéséhez. Az alacsony prioritású elemeket tartalmazó várólistán lévő elemek prioritása dinamikus módon magas prioritásúra nő, amint valamelyik ügyfél használni szeretné azokat. Az alacsony prioritású várólista legfeljebb 30 elemet tartalmazhat, és elsőként mindig a legkorábban várólistára helyezett elem feldolgozása kezdődik el.

A víruskeresési API 2.0-s és 2.5-ös verziója továbbfejlesztett háttérbeli ellenőrzési folyamattal rendelkezik. Az API 1.0-s verziójában a háttérbeli ellenőrzés a melléklettáblázat egyszeri végigolvasására szorítkozik. Ezt a végigolvasást követően az 1.0-s verzió a legfrissebb vírusadatokkal nem ellenőrzött, vagy az aktuális víruskeresővel meg nem vizsgált mellékleteket közvetlenül a víruskereső-gyártó víruskereső termékének dinamikus kötésű kódtárához (DLL) küldi. A személyes és a nyilvános információtárak mindegyike egy-egy szálat kap e háttérbeli ellenőrzés végrehajtásához. Ha a szál végzett a melléklettáblázat ellenőrzésével, a következő ellenőrzési műveletsorral megvárja az információtár-folyamat újraindítását. A víruskeresési API 2.0-s és 2.5-ös verziójában továbbra is egyetlen szálat kap minden egyes MDB üzenet-adatbázis a háttérbeli ellenőrzési folyamat végrehajtásához, azonban az Exchange 2003 rendszerben a háttérbeli ellenőrzési folyamat rendszeresen végighalad az egyes felhasználók postaládáját alkotó mappák során, és amint egy még nem ellenőrzött elemet talál, azt a víruskereső-gyártó termékéhez küldi, majd folytatja a keresési eljárást. A víruskereső-gyártók termékei bizonyos beállításkulcsok (korábbi nevén rendszerleíró kulcs) segítségével maguk is kérhetik egy háttérbeli ellenőrzési folyamat végrehajtását.

A víruskeresési API 1.0-s verziójának továbbfejlesztésével kapcsolatos leggyakoribb igény egy olyan szolgáltatás bevezetése volt, mely részletes üzenetadatok biztosítása révén lehetővé teszi, hogy az Exchange rendszergazdák nyomon követhessék a vírusok jelenlétét, azok szervezeten belüli terjedését, valamint meghatározhassák az érintett felhasználók körét. Ezt a szolgáltatást az API 2.0-s verziója már tartalmazza, mivel abban az ellenőrzés nem közvetlenül a melléklettáblázatra épül.

A víruskeresési API Teljesítményfigyelőbeli számlálóival nyomon követhető a víruskeresési API teljesítménye, emellett a számlálók segítséget nyújtanak az API 2.0-s és 2.5-ös verziójával kapcsolatos hibaelhárításban is. A számlálók segítségével a rendszergazdák megállapíthatják, mennyi információ ellenőrzése van folyamatban, és ez az ellenőrzés milyen sebességgel folyik. Ennek révén a rendszergazdák pontosabban méretezhetik kiszolgálóikat.

A víruskeresési API 2.0-s és 2.5-ös verziója saját eseménynaplózást is végez. A naplózott események közé tartoznak az alábbiak:
  • A szállítói DLL-ek betöltése és memóriából való eltávolítása
  • Az elemek sikeres ellenőrzése
  • Az információtárban talált vírusok
  • A víruskeresési API nem várt viselkedése

ESE-alapú víruskeresők

Az ESE-alapú vírusellenőrzők (például az Antigen egyes verziói) egy felületet használnak az információtár és az Extensible Storage Engine (ESE) között. A Microsoft támogatja ezt a megoldást. Ilyen típusú szoftver használata esetén számolnia kell a szoftver esetleges hibás implementációjából fakadó adatbázis-sérülések és adatvesztések kockázatával.

Az ESE-alapú víruskeresők a telepítés során úgy módosítják az Exchange Server Information Store szolgáltatást, hogy az függő viszonyba kerüljön az adott szolgáltatással. Ezzel biztosítható, hogy a szolgáltatás indítása mindig az Exchange Server Information Store szolgáltatás előtt történjen. Az indítási folyamat során a víruskereső szolgáltatása ellenőrzi a saját szoftvere, az Exchange 2003 és a megfelelő fájlok verzióját. Ha bármilyen inkompatibilitást észlel, az Antigen szoftver letiltja magát, engedélyezi, hogy az információtároló vírusvédelem nélkül induljon, és értesíti a rendszergazdákat.


Sikeres indítás esetén az ESE-alapú víruskereső ideiglenesen Xese.dll névre nevezi át az Ese.dll fájl Microsoft által szállított verzióját, majd az eredeti fájlt az Ese.dll Antigen verziójára cseréli. Az Ese.dll fájl Antigen verziójának betöltését követően a rendszer Ese.dll névre állítja vissza a Microsoft-verziót, és engedélyezi az Exchange Server információtároló számára az indítási folyamat befejezését.


Előfordulhat, hogy a Microsoft a Microsoft terméktámogatási szolgálatához forduló ügyfeleit arra kéri, hogy a felmerült problémák azonosításának megkönnyítése érdekében tiltsák le az Antigen szoftvert. A probléma okának felderítését követően ugyanakkor a felhasználók ismételten engedélyezhetik az Antigen szoftvert.

Egyéb források

Az Exchange programmal használt víruskereső szoftverekről a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
285667 Az Exchange 2000 Service Pack 1 szervizcsomagban található Virus Scanning API 2.0 (víruskeresési alkalmazásprogramozási felület) ismertetése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
298924 Az Exchange 2000 alkalmazást futtató számítógépek M meghajtójának biztonsági mentése és víruskeresése által okozott problémák
245822 Hibaelhárítási javaslatok Exchange rendszert és víruskereső szoftvereket is futtató számítógépekhez
253111 Az Exchange Server adatbázis-szolgáltatás saját .edb fájljaira vagy .chk fájlra vonatkozó írási kérelmeinek megtagadása esetén a rendszer hibaeseményeket naplóz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
176239 Az adatbázis nem indul el, a körkörös naplózás túl hamar törölte a naplófájlt (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A biztonsági és vírusriasztásokkal, valamint a víruskereső szoftverek gyártóival kapcsolatos legfrissebb információkat a Microsoft és más szervezetek alábbi webhelyein találja:

Microsoft
http://www.microsoft.com/hun/
ICSA

Az ICSA Labs a TruSecure Corporation internetbiztonsággal kapcsolatos szolgáltatásokat nyújtó részlege.
http://www.icsalabs.com
CERT Coordination Center

A CERT Coordination Center a Software Engineering Institute, a Carnegie Mellon egyetemen működő, szövetségi forrásokból alapított, az Egyesült Államok Védelmi Minisztériuma által finanszírozott kutató- és fejlesztőközpont Survivable Systems Initiative nevű kezdeményezésének része.
http://www.cert.org
Computer Incident Advisory Capability

A Computer Incident Advisory Capability telefonos technikai tanácsadást és műszaki információkat nyújt az Egyesült Államok Energiaügyi Minisztériuma (DOE) azon telephelyeinek, ahol a számítógép biztonságát érintő problémák merülnek fel.
http://www.ciac.org/ciac/index.html
McAfee
http://www.mcafee.com/us/default.asp
Trend Micro
http://www.trendmicro.com/en/home/us/home.htm
Computer Associates
http://ca.com/virusinfo
Symantec (Mail Security for Exchange, Symantec Antivirus és Norton AntiVirus)
http://www.symantec.com/hu/hu/index.jsp

További információ

A Microsoft a külső gyártók elérhetőségi adatait a műszaki támogatás eléréséhez szánt segítségnyújtásként teszi közzé. Az elérhetőségi adatok értesítés nélkül változhatnak, pontosságukat a Microsoft nem garantálja.

A cikkben említett, külső gyártóktól származó termékek a Microsofttól független gyártók termékei, melyek teljesítményére és megbízhatóságára a Microsoft sem törvényi, sem másféle garanciát nem vállal.

Tulajdonságok

Cikk azonosítója: 823166 - Utolsó ellenőrzés: 2007. november 26. - Verziószám: 9.5
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Kulcsszavak: 
kbinfo KB823166
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com