Az Exchange Server 2003 és a víruskeresõ szoftverek kapcsolatának áttekintése

A cikk ismerteti az Exchange 2003 programmal jellemzõen használt víruskeresõ szoftverek különbözõ típusait, felsorolja elõnyeiket és hátrányaikat, valamint áttekinti a víruskeresõk hibaelhárítása során megfontolandó tényezõket. Jelen cikk nem tartalmazza a rendszerint az Exchange 2003 programot futtató számítógéptõl eltérõ kiszolgálóra telepített Simple Mail Transfer Protocol (SMTP) szûrési megoldásait.

Fájlszintû víruskeresõk

Igen elterjedt a fájlszintû víruskeresõk használata, amelyek azonban az Exchange 2003 programban problémákat okozhatnak. A fájlszintû víruskeresõk az alábbi két csoportba oszthatók: memóriarezidens és igény szerint betöltõdõ.

• Memóriarezidens meghatározással utalnak a fájlszintû víruskeresõ szoftverek memóriába töltõdõ részére, amely ellenõrzi a merevlemezen használt és a számítógép memóriájában lévõ összes fájlt.
• Igény szerint betöltõdõ kifejezéssel jelölik a fájlszintû víruskeresõ szoftverek azon részét, amely a merevlemezen lévõ fájlok manuális vagy ütemezés szerinti ellenõrzésére is konfigurálható. Egyes víruskeresõ szoftverek a vírusfelismerõ adatok frissítése esetén automatikusan elvégzik az igény szerinti víruskeresést, hogy minden fájl a legfrissebb vírusfelismerõ adatok alapján legyen ellenõrizve.

A fájlszintû víruskeresõk és az Exchange 2003 együttes használata esetén a következõ problémák jelentkezhetnek:

• A fájlszintû víruskeresõk a fájlokat használatba vételük esetén, emellett esetleg elõre meghatározott idõtartamonként ellenõrzik, és ilyenkor zárolhatják vagy karanténba helyezhetik az Exchange valamelyik napló- vagy adatbázisfájlját, miközben az Exchange 2003 megpróbálja használni azt. Ezek az esetek súlyos hibákat okozhatnak az Exchange 2003 rendszer mûködésében, és akár a -1018-as jelû hibát is elõidézhetik.
• A fájlszintû víruskeresõk nem nyújtanak védelmet az e-mailekben terjedõ vírusok, például a Melissa vírus ellen.
  
  Megjegyzés: A Melissa egy önmagát e-mail üzenetekben terjeszteni képes Microsoft Word makróvírus. A vírus nem kívánt e-mail üzeneteket küld a Microsoft Outlook levelezõügyfelek személyes címjegyzékeiben talált címekre. Egyes hasonló vírusok adatrombolást végezhetnek.

Az alábbi mappákban tiltsa le mind a memóriarezidens, mind az igény szerint betöltõdõ víruskeresõk számára a víruskeresést:

• Az Exchange adatbázis- és naplófájljai minden tárolócsoporton. Ezek a fájlok alapértelmezés szerint az Exchsrvr\Mdbdata mappában találhatók.
• Az Exchange Exchsrvr\Mtadata mappában található MTA fájljai
• Egyéb naplófájlok, például az Exchsrvr\kiszolgáló_neve.log könyvtár
• Az Exchsrvr\Mailroot virtuális kiszolgálói mappa
• Az üzenetváltásokhoz használt adatfolyamokat tartalmazó .tmp fájloknak helyet adó munkamappa, mely alapértelmezés szerint az Exchsrvr\Mdbdata mappa, de ez a hely konfigurálható. A Microsoft Tudásbázis kapcsolódó cikke:
  822936  (http://support.microsoft.com/kb/822936/ ) A helyi kézbesítési sorba nagyon lassan érkeznek az üzenetek (Elõfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvû tartalomra mutat.)
• Az offline módban használt karbantartó segédprogramok, például az Eseutil.exe által használt ideiglenes mappa. Ez a mappa alapértelmezés szerint az a hely, ahol az .exe fájl is fut, de beállítható, hogy a segédprogram futtatásakor hol fusson a fájl.
• A Site Replication Service (SRS, Helyreplikáló szolgáltatás) Exchsrvr\Srsdata mappában tárolt fájljai
• A Microsoft Internet Information Services (IIS) rendszerfájljai a %SystemRoot%\System32\Inetsrv mappában
  
  Megjegyzés: Akár a teljes Exchsrvr mappa is kizárható mind az igény szerint betöltõdõ, mind a memóriarezidens víruskeresõk által ellenõrzött mappák közül.
• Az Outlook Web Access 2003 programmal használt Internet Information Services (IIS) 6.0 tömörítési mappa. Az IIS 6.0 szolgáltatásban a tömörítési mappa alapértelmezés szerint a %systemroot%\IIS Temporary Compressed Files.
  
  A Microsoft Tudásbázis kapcsolódó cikke:
  817442  (http://support.microsoft.com/kb/817442/ ) Az IIS tömörítési mappájának vírusellenõrzése miatt a kiszolgáló 0 bájtos fájlokkal térhet vissza (Elõfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvû tartalomra mutat.)
• A fürtökhöz tartozó kvórumlemez és a %Winnt%\Cluster mappa
• Az üzenetküldõ rendszereket ellenõrzõ bármely víruskeresõ program mappája
• Az Exchsrvr\Conndata mappa

Zárja ki a memóriarezidens és az igény szerint betöltõdõ víruskeresõk ellenõrzõpont-fájljait (.chk fájlok) tartalmazó mappát.

Megjegyzés: A víruskeresõk akkor is ellenõrizhetik a .chk fájlt, ha az Exchange adatbázis- és naplófájljait áthelyezi, és az új helyet kizárja az ellenõrzendõ mappák körébõl. A .chk fájl ellenõrzésével elõidézhetõ jelenségekrõl a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat: Számos fájlszintû víruskeresõ már támogatja az ellenõrzési folyamatokat. Ez hátrányosan érintheti az Exchange rendszert is, ezért az alábbi folyamatokat érdemes kizárni a fájlszintû víruskeresésbõl:

• Cdb.exe
• Cidaemon.exe
• Store.exe
• Emsmta.exe
• Mad.exe
• Mssearch.exe
• Inetinfo.exe
• W3wp.exe

MAPI víruskeresõk

Az Exchange-ügynököt tartalmazó víruskeresõk elsõ verzióját a MAPI-alapú víruskeresõk alkotják. Ezek a víruskeresõk a MAPI segítségével bejelentkeznek minden egyes postaládába, és ott kutatnak az ismert vírusok után.

A MAPI víruskeresõk elõnyei a fájlszintû keresõkkel szemben:

• A MAPI víruskeresõk az elektronikus levélben terjedõ vírusok, például a Melissa vírus keresésére is képesek.
• A MAPI víruskeresõk mûködése nem érinti az Exchange napló- és adatbázisfájljait.

A MAPI víruskeresõk hátrányai:

• Lehet, hogy egy MAPI víruskeresõ csak azután tud ellenõrizni egy fertõzött e-mail üzenetet, miután a felhasználó azt már megnyitotta. A MAPI víruskeresõk nem tudják megakadályozni a felhasználót egy fertõzött e-mail üzenet megnyitásában, ha a megnyitás elõtt nem észlelték a fertõzött e-mailt.
• A MAPI víruskeresõk nem tudnak víruskeresést végezni a kimenõ üzenetekben.
• A MAPI víruskeresõk nem ismerik az Exchange Single Instance Storage (Egypéldányos tároló) szûrõjét, ezért ha több postaládában megtalálható, több alkalommal is ellenõrizhetik ugyanazt az üzenetet. Ez a víruskeresési idõ növekedésével járhat.

A MAPI víruskeresõk azonban képesek felismerni az elektronikus levelekben terjedõ vírusokat is, ezért a fájlszintû víruskeresõknél jobb megoldást nyújtanak. Léteznek azonban a MAPI víruskeresõknél is jobb megoldások, melyeket a cikk további szakaszai ismertetnek.

A víruskeresési alkalmazásprogramozási felületet használó víruskeresõk

A víruskeresési alkalmazásprogramozási felület (API) Virus Scanning Application Programming Interface, Virus API (VAPI), Antivirus API (AVAPI) és Virus Scanning API (VSAPI) néven is ismert.

A víruskeresési API 1.0-s verziója a Microsoft Exchange Server 5.5 Service Pack 3 (SP3) szervizcsomagban jelent meg, és az Exchange 2000 megjelenéséig szabványos megoldásként mûködött. Az API 1.0-s verziója azóta fontos fejlesztéseken esett keresztül, melyek az Exchange Server rendszerrel nyújtott közös teljesítmény javítására irányultak. A Microsoft Tudásbázis kapcsolódó cikke:
Az Exchange 2000 Server Service Pack 1 (SP1) tartalmazza a Virus Scanning API 2.0-s verzióját, melyet az Exchange Server 5.5 azonban nem támogat. A víruskeresési API 1.0-s és 2.0-s verziója egyaránt támogatja az igény szerinti víruskeresést.

Az Exchange 2003 már az API 2.5-ös verzióját foglalja magában. A víruskeresési API 2.5-ös verziója a 2.0-s verzió nyújtotta szolgáltatások mellett az alábbi fejlesztéseket tartalmazza:

• A továbbfejlesztett víruskeresési alkalmazásprogramozási felület lehetõvé teszi, hogy a víruskeresõ-gyártók termékei a rezidens Exchange postaládákat nem tartalmazó Exchange 2003 kiszolgálókon – például átjárókiszolgálókon és hídfõkiszolgálókon – is fussanak.
• Az API 2.5-ös verzióját használva a víruskeresõ-gyártók termékei üzeneteket törölhetnek, üzeneteket küldhetnek a feladónak, illetve az újabb vírusállapot-üzenetek révén az ügyfelek pontosabban jelezhetik egy-egy adott üzenet fertõzöttségi állapotát.

A frissítésekkel kapcsolatos további információkért forduljon víruskeresõ szoftverének gyártójához.

Ha a víruskeresési alkalmazásprogramozási felületre épülõ víruskeresõt használ, és valamelyik ügyfél egy üzenet megnyitásával próbálkozik, a rendszer összehasonlítás révén gyõzõdik meg arról, hogy az üzenettörzs és a mellékletek a rendelkezésre álló legfrissebb vírusadatfájllal lettek-e ellenõrizve. Ha az üzenet a legfrissebb vírusadatfájllal még nincs ellenõrizve, a víruskeresõ-gyártó terméke megkapja a szóban forgó üzenet megfelelõ részeit, hogy ellenõrizze azt, mielõtt az ügyfélhez kerülne. Az ügyfél hagyományos MAPI ügyfél, illetve valamilyen IP-alapú ügyfél, például POP3-, Microsoft OWA- vagy IMAP4-alapú ügyfél egyaránt lehet.

A víruskeresési API 2.0-s és 2.5-ös verziója egymáshoz hasonlóan, egyetlen várólistába gyûjtve dolgozza fel az üzenettörzs- és a mellékletadatokat. Az igény alapján várólistába helyezett elemek magas prioritást kapnak. Az Exchange 2003 rendszerben a várólistát több szál szolgálja ki, és a magas prioritású elemek mindig elsõbbséget élveznek. A szálak alapértelmezett száma a number_of_processors (processzorok száma) érték kétszeresénél 1-gyel több. Ez lehetõvé teszi, hogy a víruskeresõ-gyártó termékéhez egyszerre több elemet is lehessen küldeni. Emellett az ügyféloldali szálak nincsenek az elemek kiadására való várakozást szabályozó idõtúllépési értékekhez kötve. Miután egy elem ellenõrzése befejezõdött, és az elemet biztonságosként lehetett megjelölni, az ügyféloldali szál értesítést kap az elem rendelkezésre állásáról. Az ügyféloldali szálak alapértelmezés szerint 3 percig várnak a kért adat rendelkezésre állásáról tájékoztató értesítésre, mielõtt idõtúllépést jeleznének.

Az API 2.0-s és 2.5-ös verziója egy proaktív üzenetellenõrzési szolgáltatással is rendelkezik. Az API 1.0-s verziójában az üzenetmellékletek csak használatukkal egy idõben kerültek ellenõrzés alá. Ezzel szemben a 2.0-s és 2.5-ös verzióban az egyes elemek egy közös információtár-várólistára helyezõdnek, amint az információtárba kerülnek. Minden ilyen elem alacsony prioritást kap a várólistán, így ezek ellenõrzése nem zavarja a magas prioritású elemek ellenõrzését. Miután minden magas prioritású elem ellenõrzése befejezõdött, a víruskeresési API 2.0-s és 2.5-ös verziója hozzákezd az alacsony prioritással rendelkezõ elemek ellenõrzéséhez. Az alacsony prioritású elemeket tartalmazó várólistán lévõ elemek prioritása dinamikus módon magas prioritásúra nõ, amint valamelyik ügyfél használni szeretné azokat. Az alacsony prioritású várólista legfeljebb 30 elemet tartalmazhat, és elsõként mindig a legkorábban várólistára helyezett elem feldolgozása kezdõdik el.

A víruskeresési API 2.0-s és 2.5-ös verziója továbbfejlesztett háttérbeli ellenõrzési folyamattal rendelkezik. Az API 1.0-s verziójában a háttérbeli ellenõrzés a melléklettáblázat egyszeri végigolvasására szorítkozik. Ezt a végigolvasást követõen az 1.0-s verzió a legfrissebb vírusadatokkal nem ellenõrzött, vagy az aktuális víruskeresõvel meg nem vizsgált mellékleteket közvetlenül a víruskeresõ-gyártó víruskeresõ termékének dinamikus kötésû kódtárához (DLL) küldi. A személyes és a nyilvános információtárak mindegyike egy-egy szálat kap e háttérbeli ellenõrzés végrehajtásához. Ha a szál végzett a melléklettáblázat ellenõrzésével, a következõ ellenõrzési mûveletsorral megvárja az információtár-folyamat újraindítását. A víruskeresési API 2.0-s és 2.5-ös verziójában továbbra is egyetlen szálat kap minden egyes MDB üzenet-adatbázis a háttérbeli ellenõrzési folyamat végrehajtásához, azonban az Exchange 2003 rendszerben a háttérbeli ellenõrzési folyamat rendszeresen végighalad az egyes felhasználók postaládáját alkotó mappák során, és amint egy még nem ellenõrzött elemet talál, azt a víruskeresõ-gyártó termékéhez küldi, majd folytatja a keresési eljárást. A víruskeresõ-gyártók termékei bizonyos beállításkulcsok (korábbi nevén rendszerleíró kulcs) segítségével maguk is kérhetik egy háttérbeli ellenõrzési folyamat végrehajtását.

A víruskeresési API 1.0-s verziójának továbbfejlesztésével kapcsolatos leggyakoribb igény egy olyan szolgáltatás bevezetése volt, mely részletes üzenetadatok biztosítása révén lehetõvé teszi, hogy az Exchange rendszergazdák nyomon követhessék a vírusok jelenlétét, azok szervezeten belüli terjedését, valamint meghatározhassák az érintett felhasználók körét. Ezt a szolgáltatást az API 2.0-s verziója már tartalmazza, mivel abban az ellenõrzés nem közvetlenül a melléklettáblázatra épül.

A víruskeresési API Teljesítményfigyelõbeli számlálóival nyomon követhetõ a víruskeresési API teljesítménye, emellett a számlálók segítséget nyújtanak az API 2.0-s és 2.5-ös verziójával kapcsolatos hibaelhárításban is. A számlálók segítségével a rendszergazdák megállapíthatják, mennyi információ ellenõrzése van folyamatban, és ez az ellenõrzés milyen sebességgel folyik. Ennek révén a rendszergazdák pontosabban méretezhetik kiszolgálóikat.

A víruskeresési API 2.0-s és 2.5-ös verziója saját eseménynaplózást is végez. A naplózott események közé tartoznak az alábbiak:

• A szállítói DLL-ek betöltése és memóriából való eltávolítása
• Az elemek sikeres ellenõrzése
• Az információtárban talált vírusok
• A víruskeresési API nem várt viselkedése

ESE-alapú víruskeresõk

Az ESE-alapú vírusellenõrzõk (például az Antigen egyes verziói) egy felületet használnak az információtár és az Extensible Storage Engine (ESE) között. A Microsoft támogatja ezt a megoldást. Ilyen típusú szoftver használata esetén számolnia kell a szoftver esetleges hibás implementációjából fakadó adatbázis-sérülések és adatvesztések kockázatával.

Az ESE-alapú víruskeresõk a telepítés során úgy módosítják az Exchange Server Information Store szolgáltatást, hogy az függõ viszonyba kerüljön az adott szolgáltatással. Ezzel biztosítható, hogy a szolgáltatás indítása mindig az Exchange Server Information Store szolgáltatás elõtt történjen. Az indítási folyamat során a víruskeresõ szolgáltatása ellenõrzi a saját szoftvere, az Exchange 2003 és a megfelelõ fájlok verzióját. Ha bármilyen inkompatibilitást észlel, az Antigen szoftver letiltja magát, engedélyezi, hogy az információtároló vírusvédelem nélkül induljon, és értesíti a rendszergazdákat.


Sikeres indítás esetén az ESE-alapú víruskeresõ ideiglenesen Xese.dll névre nevezi át az Ese.dll fájl Microsoft által szállított verzióját, majd az eredeti fájlt az Ese.dll Antigen verziójára cseréli. Az Ese.dll fájl Antigen verziójának betöltését követõen a rendszer Ese.dll névre állítja vissza a Microsoft-verziót, és engedélyezi az Exchange Server információtároló számára az indítási folyamat befejezését.


Elõfordulhat, hogy a Microsoft a Microsoft terméktámogatási szolgálatához forduló ügyfeleit arra kéri, hogy a felmerült problémák azonosításának megkönnyítése érdekében tiltsák le az Antigen szoftvert. A probléma okának felderítését követõen ugyanakkor a felhasználók ismételten engedélyezhetik az Antigen szoftvert.

Egyéb források

Az Exchange programmal használt víruskeresõ szoftverekrõl a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat: A biztonsági és vírusriasztásokkal, valamint a víruskeresõ szoftverek gyártóival kapcsolatos legfrissebb információkat a Microsoft és más szervezetek alábbi webhelyein találja:

MicrosoftICSA

Az ICSA Labs a TruSecure Corporation internetbiztonsággal kapcsolatos szolgáltatásokat nyújtó részlege.CERT Coordination Center

A CERT Coordination Center a Software Engineering Institute, a Carnegie Mellon egyetemen mûködõ, szövetségi forrásokból alapított, az Egyesült Államok Védelmi Minisztériuma által finanszírozott kutató- és fejlesztõközpont Survivable Systems Initiative nevû kezdeményezésének része.Computer Incident Advisory Capability

A Computer Incident Advisory Capability telefonos technikai tanácsadást és mûszaki információkat nyújt az Egyesült Államok Energiaügyi Minisztériuma (DOE) azon telephelyeinek, ahol a számítógép biztonságát érintõ problémák merülnek fel.McAfeeTrend MicroComputer AssociatesSymantec (Mail Security for Exchange, Symantec Antivirus és Norton AntiVirus)

A Microsoft a külsõ gyártók elérhetõségi adatait a mûszaki támogatás eléréséhez szánt segítségnyújtásként teszi közzé. Az elérhetõségi adatok értesítés nélkül változhatnak, pontosságukat a Microsoft nem garantálja.

A cikkben említett, külsõ gyártóktól származó termékek a Microsofttól független gyártók termékei, melyek teljesítményére és megbízhatóságára a Microsoft sem törvényi, sem másféle garanciát nem vállal.