Výměna a antivirový software

Důležité: Tento článek obsahuje informace o tom, jak oslabit zabezpečení nebo vypnout funkce zabezpečení v počítači. Tyto změny mohou vyřešit konkrétní problém. Před provedením těchto změn však doporučujeme vyhodnotit nebezpečí spojená s nasazením tohoto řešení v konkrétním prostředí. Pokud se rozhodnete řešení implementovat, přijmout veškerá dodatečná opatření k ochraně systému.

Souhrn

Tento článek obsahuje přehled různých typů virů programy, které se obvykle používají se serverem Exchange 2000 Server. V článku jsou uvedeny výhody a nevýhody a námětů k odstraňování potíží pro různé typy skenerů. Tento článek nepopisuje řešení pro filtrování protokolu SMTP, které se obvykle instalují na síťovém serveru nezávisle na počítači se systémem Exchange 2000 Server.

Skenery na úrovni souborů

Skenery na úrovni souborů se používají často a mohou způsobovat nejvíce pro použití se serverem Exchange 2000 Server. Skenery na úrovni souborů mohou být "Paměti rezidentní" nebo "Na vyžádání":
  • "Paměti rezidentní" odkazuje na část antivirového softwaru na úrovni souborů, který je vždy načten do paměti. Zkontroluje všechny soubory používané na pevném disku a paměti počítače.
  • "Na požádání" odkazuje na část antivirového softwaru na úrovni souborů, kterou můžete konfigurovat na skenování souborů na pevném disku ručně nebo podle plánu. Všimněte si, že existují verze antivirového softwaru, které automaticky spustí "na požádání" prohledávání po aktualizaci definic virů a ujistěte se, že všechny soubory byly zkontrolovány pomocí nejnovějších definic.
Při použití úrovni souboru antivirové kontroly s Microsoft Exchange Server 2007, Microsoft Exchange Server 2003 nebo Exchange 2000 Server, bude dojít k následujícím potížím:
  • Skenery na úrovni souborů antivirových skenování souboru při použití nebo v naplánovaných intervalech. Kontrola souboru způsobí, že soubor uzamčen, když Exchange Server pokusí o přístup k souboru, zatímco je skenována. To způsobí selhání serveru Exchange Server Information Store uzamčení souboru. Nakonec to způsobí, že soubor má stát poškozený nebo nepoužitelný. Všechny dynamické soubory, které jsou používány Exchange Server musí být osvobozen od skenování úrovni souboru. Základní seznam souborů, které by měly být osvobozeny jsou souborů edb, .log soubory, soubory CHK a soubory STM. Doporučujeme, aby všechny soubory obsahující hierarchii složek, které jsou používány Microsoft Exchange Information Store osvobozeny od skenování úrovni souboru.
  • Další problémy může dojít, pokud skenujete jednotku M softwarem skener na úrovni souborů.

    Následuje příklad události, které může být zaznamenána, pokud je jednotky M: prohledány programem skener na úrovni souborů:
    Event: ID 6 Source: Norton Antivirus 
    The description for Event ID ( 6 ) in Source ( Norton AntiVirus ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote ccomputer.

    Scan could not open file M:\ ORG_NAME .COM\MBX\ User_Name \Inbox\No Subject-15.EML
  • Skenery na úrovni souborů neposkytují ochranu proti virům v e-mailů, například virus "Melissa".

    Poznámka: virus "Melissa" je virus v makru aplikace Microsoft Word, který se může sám rozšiřovat pomocí e-mailové zprávy. Virus odešle nesprávné e-mailové zprávy na adresy, které najde v osobních adresářích poštovních klientů Microsoft Outlook. Podobné viry mohou zničit data.
Vyloučit následující složky z "na požádání" i "paměti rezidentní" skenery na úrovni souborů:
  • Exchange 2000 Server jednotku M.
  • Databáze Exchange a soubory protokolu. Ve výchozím nastavení tyto jsou umístěny ve složce Exchsrvr\Mdbdata.
  • Soubory MTA serveru Exchange ve složce Exchsrvr\Mtadata.
  • Další soubory protokolu jako Exchsrvr\název_serveru.log souboru.
  • Virtuálního serveru Exchsrvr\Mailroot.
  • Pracovní složka, která se používá k ukládání datových proudů dočasné soubory, které slouží k převádění zpráv. Podle výchozího nastavení je tato složka umístěna v \Exchsrvr\MDBData, ale umístění lze konfigurovat.
  • Dočasné složky, která se používá ve spojení s nástroji pro údržbu v režimu offline například Eseutil.exe. Ve výchozím nastavení tato složka je umístění, kde je spuštěn .exe soubor z, ale můžete nakonfigurovat, kde se spustit nástroj spustit soubor z.
  • Site Replication Service (SRS) soubory ve složce výchozím.
  • Aplikace Microsoft Internet informační služby (IIS) systému souborů ve složce %SystemRoot%\System32\Inetsrv.

    Poznámka: The Exchsrvr\address, Exchsrvr\bin, Exchsrvr\Exchweb, Exchsrvr\Res a Exchsrvr\Schema složky jsou obvykle bezpečné zahrnout do vyhledávání. Můžete však chtít vyřadit celou složku Exchsrvr z "na požádání" i "paměti rezidentní" skenery na úrovni souborů. Důrazně doporučujeme dočasně zakázat soubor souborově orientovaný software během operačního systému a aktualizací Exchange; To zahrnuje upgrade na nové verze serveru Exchange nebo operačního systému a použití jakékoli opravy serveru Exchange nebo operačního systému nebo aktualizace service Pack.
Další informace o pracovní složku klepněte na následující číslo článku databáze Microsoft Knowledge Base:
822936 postup zpráv do místní fronty pro doručení je velmi pomalý
Vyloučit následující typy souborů z "na požádání" i "paměti rezidentní" skenery na úrovni souborů:
  • .edb
  • STM (na serveru Exchange 2000)
  • .log
Vylučte složky, která obsahuje soubory kontrolního bodu (CHK) z "paměti rezidentní" a "na požádání" skenery.

Poznámka: Přestože přesunout databáze Exchange a soubory protokolu do nového umístění a tyto složky vyřadíte je prohledáván soubor CHK může být prohledáván.
Další informace o co může dojít, pokud je prohledáván soubor CHK získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
253111 chybové události jsou zaznamenány při databázové služby Exchange Server odepřen přístup pro zápis do vlastních souborů edb nebo do souboru CHK
176239 databáze nelze spustit; cyklické protokolování odstraněn soubor protokolu příliš brzy

Skenery rozhraní MAPI

První generace skenerů pro vyhledávání virů, které zahrnuty agenta serveru Exchange nebyly na základě rozhraní MAPI. Tyto skenery provést MAPI přihlášení k jednotlivým poštovním schránkám a pak vyhledat známé viry.

Skener rozhraní MAPI má následující výhody oproti skener založený na souboru:
  • Skener rozhraní MAPI může vyhledávat viry e-mailů, například virus "Melissa".
  • Skener rozhraní MAPI se soubory protokolu nebo databáze Exchange neovlivní.
Skener rozhraní MAPI má následující nevýhody:
  • Skener rozhraní MAPI nemusí kontrolovat napadenou e-mailovou zprávu dříve, než uživatel otevře e-mailovou zprávu. Skener rozhraní MAPI, nezabrání uživateli v otevření napadenou e-mailovou zprávu, pokud skener nejprve nezjistí napadenou e-mailovou zprávu.
  • Skener rozhraní MAPI nemůže kontrolovat odchozí zprávy.
  • Skener rozhraní MAPI nerozpozná filtr ukládání jediné Instance serveru Exchange, proto může kontrolovat jednu zprávu mnohokrát Pokud tato zpráva uložena ve více poštovních schránkách. Z tohoto důvodu skener rozhraní MAPI může trvat delší dobu provedení kontroly.
Skener rozhraní MAPI může rozpoznat e-mailové viry, proto je lepší možnost než skener na úrovni souborů. Nicméně lepší možnosti jsou k dispozici a jsou popsány dále v tomto článku.

VAPI, rozhraní AVAPI nebo VSAPI skenery

Rozhraní pro programování aplikací virus nebo Virus API (VAPI) jsou také označovány jako Antivirus API (AVAPI) nebo rozhraní API VSAPI (Virus Scanning).

VAPI 1.0 byla zavedena v aktualizaci Exchange Server 5.5 Service Pack 3 (SP3) a byl použit až do serveru Exchange 2000 Server. Mnoho byla vylepšena VAPI 1.0 zlepšení výkonu pomocí serveru Exchange Server 5.5.
Další informace o tomto tématu klepněte na následující číslo článku databáze Microsoft Knowledge Base:
248838 úložiště informací serveru Exchange Server 5.5 Post-Service Pack 3 řeší k dispozici

Exchange 2000 Server Service Pack 1 (SP1) zavedla VAPI 2.0. VAPI 2.0 není podporována na serveru Exchange 5.5. VAPI 1.0 a VAPI 2.0 podporují prohledávání na vyžádání.

Při použití VAPI skeneru a klient se pokusí otevřít zprávu, bude provedeno porovnání, aby bylo zajištěno, že text zprávy a přílohy byly zkontrolovány pomocí aktuálního antivirového softwaru. Pokud aktuální soubor dodavatele nebo podpis obsah nezkontroloval, bude odpovídající část zprávy odeslána do dodavatele antivirového softwaru pro skenování před zpráva Komponenta je vydána klientovi. Klient může používat konvenční klienta MAPI nebo e klienta sítě Internet založené na protokolu například Post Office Protocol verze 3 (POP3), Microsoft Outlook Web Access (OWA), Internet Message Access Protocol verze 4rev1 (IMAP4).

V VAPI 2.0 jediné fronty zpracuje všechny zprávy text i příloha data. Položky odeslané do této fronty jako "na požádání" položky jsou odeslány jako položky s vysokou prioritou. Tato fronta nyní zpracována pomocí řady podprocesů se vždy přednost před přijetím položky s nejvyšší prioritou. Výchozí počet podprocesů je 2 *
"počtu_procesorů" + 1. To umožňuje více položek současně odeslat dodavateli. Navíc podprocesy klienta jsou svázáni "časový limit" hodnoty, které se čeká na uvolnění položek. Po položky jsou kontrolovány a označeny jako bezpečné, klientský podproces je oznámeno, že zboží je k dispozici. Ve výchozím nastavení čeká klientský podproces tři minuty chcete být upozorňováni na dostupnost požadovaných dat dříve, než dojde k vypršení časového limitu.

Novější funkce v VAPI 2.0 je aktivního prohledávání zpráv. V VAPI 1.0 byla informace v příloze zprávy pouze naskenované jako byl použit. V VAPI 2.0 jsou položky odesílány do fronty běžného úložiště informací při odeslání do úložiště informací. Každá z těchto položek označena nízkou prioritou ve frontě, takže tyto položky nebudou rušit skenování položky s nejvyšší prioritou. Po zkontrolování všech položek s vysokou prioritou začne VAPI 2.0 kontrolovat položky s nízkou prioritou. Priorita položky dynamicky inovována na nejdůležitější Pokud klient se pokusí použít položky v době, kdy je položka ve frontě s nízkou prioritou. Maximálně 30 položek může existovat v fronty nízkou prioritou, který je určen na první, nejprve mimo základ najednou.

Poslední oblast zlepšení procesu skenování je prohledávání na pozadí. V VAPI 1.0 je prohledávání na pozadí vedena tím, že jeden průchod přes tabulky příloh a odeslání přílohy, které nebyly zkontrolovány pomocí aktuálního dodavatele nebo podpis souboru přímo do knihovny DLL antivirového. Každé úložiště soukromých a veřejných informací obdrží jeden podproces, který provede toto prohledávání na pozadí a poté, co vlákno dokončí průchod tabulky příloh, vyčká na restartování procesu úložiště informací prohledávání. V VAPI 2.0 jednotlivé databáze zasílání zpráv (MDB) stále obdrží jeden podproces provádět proces prohledávání na pozadí. Však nyní proces prohledávání na pozadí prochází skupinu složek, které tvoří poštovní schránky jednotlivých uživatelů. Jako jsou zjištěny položky, které nebyly zkontrolovány, se předkládají dodavateli a proces prohledávání pokračuje. Dodavatelů antivirového softwaru mohou také vynutit prohledávání na pozadí spustit pomocí sady klíčů registru.

Funkce, která byla nejvíce požadovaných pro sčítání VAPI 1.0 je schopnost poskytovat podrobností zprávy tak, aby správci Exchange mohli sledovat existenci virů, určit jak viry se do organizace dostaly a zjistit, kteří uživatelé jsou ovlivněny. Tato možnost byla přidána s VAPI 2.0 protože prohledávání již přímo založena na tabulce příloh.

Ke zlepšení odstraňování problémů VAPI, Exchange 2000 Server SP1 implementuje nové čítače sledování výkonu VAPI, které správci serveru Exchange můžete použít ke sledování výkonu rozhraní API pro vyhledávání virů. Tyto čítače poskytují správci možnost určit, kolik informací je prohledáváno a rychlost, jakou je možné tyto informace. To umožní správci přesněji škálovat servery.

Poslední funkce je nové protokolování událostí, který je specifický pro VAPI. Nový protokolované události patří:
  • Načítání a uvolňování knihoven DLL dodavatele.
  • Úspěšné prohledávání položek.
  • Viry, které jsou umístěny v úložišti informací.
  • Neočekávané chování VAPI.
Můžete určit, pokud používáte skener rozhraní VAPI podle hledáte následující klíč registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
Tento klíč registru neexistuje, pokud není nainstalován skener VAPI.

Následuje příklad události, které by mohly zaznamenána VSAPI program prohledá soubory pomocí cesty //./backofficestorage/-li:
Event ID: 2045 Source: McAfee GroupShield 
The description for Event ID ( 2045 ) in Source ( McAfee GroupShield ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer.

The On-Demand 4 Hours Cycle scanner failed to scan the item 'file://./backofficestorage/domain.com/mbx/Soverholt/Calendar/Jan-24 Email_Subject .EML' with error 80040e19.
Další informace o problémech, ke kterým může dojít, pokud skenujete jednotku M získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
299046 položky kalendáře zmizí ze složek uživatele

300608 "C1041737" Chyba a událost ID 470 může zobrazit zpráva při pokusu o připojení databáze

307824 nelze nainstalovat součást Exchange upozornění na jednotku M serveru Exchange 2000

298924 problémy způsobené zálohou nebo kontrolou jednotky M serveru Exchange 2000

Skenery založené na technologii ESE

Skenery založené na technologii ESE například některé verze programu Antigen používají rozhraní mezi úložištěm informací a skladování modul ESE (Extensible) podporovaný společností Microsoft. Použijete-li tento typ softwaru, riskujete poškození databáze a data ztrátu, pokud existují chyby v implementaci tohoto softwaru.



Skener založený na technologii ESE během instalace, se změní službu úložiště informací serveru Exchange Server tak, že je závislá na konkrétní službu. Tím zajistíte, že služba spustí před spuštěním služby úložiště informací serveru Exchange Server. Během procesu spuštění služba skeneru kontroluje příslušné verze svého softwaru a Exchange Server a příslušné verze souborů. Pokud je nalezena nekompatibilita, Antigen software zakáže, umožňuje úložiště informací spuštění bez antivirové ochrany a upozorní správce.


Pokud je skener založený na technologii ESE úspěšně spuštěn, je verze souboru Ese.dll společnosti Microsoft dočasně přejmenována na Xese.dll a Antigen verze souboru Ese.dll nahradí původní soubor. Po načtení Antigen verze souboru Ese.dll je verze společnosti Microsoft přejmenována zpět na Ese.dll a dokončete proces spuštění je povoleno úložiště informací Exchange Server.


Zákazníci, kteří kontaktovat služby technické podpory společnosti Microsoft může dotaz zakázat službu Antigen k identifikaci problémů, ale zákazníci svobodně znovu povolit Antigen software po hlavní příčinu problému je diagnostikována správně.

Další čtení

Další informace o hledání virů software, který se používá s Exchange Server získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
285667 Principy virů API 2.0 v serveru Exchange 2000 Server Service Pack 1

298924 problémy způsobené zálohou nebo kontrolou jednotky M serveru Exchange 2000

245822 doporučení pro odstraňování potíží s počítači se serverem Exchange Server s nainstalovaným antivirovým softwarem

253111 chybové události jsou zaznamenány při databázové služby Exchange Server odepřen přístup pro zápis do vlastních souborů edb nebo do souboru CHK

176239 databáze nelze spustit; cyklické protokolování odstraněn soubor protokolu příliš brzy

Nejnovější informace o virech a výstrahy zabezpečení a dodavatelích softwaru na ochranu proti virům použijte následující zdroje:

Microsoft

ICSA

ICSA pobočkou GartnerGroup poskytuje služby Internet security.

Centra CERT Coordination Center

Centra CERT Coordination Center je součástí Survivable Systems Initiative organizace Software Engineering Institute, federálně financované výzkumné a vývojové centrum, které je sponzorovány ministerstvem obrany USA a provozované Carnegie Mellon University.

Společnost Network Associates

Trend Micro

Společnost Computer Associates

Norton AntiVirus (Symantec)

Společnost Microsoft poskytuje kontaktní informace jiného výrobce, a tím vám usnadňuje získání technické podpory. Tyto kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací jiných výrobců.
Produkty třetích stran, které tento článek popisuje jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou, ohledně výkonu nebo spolehlivosti těchto produktů.
Vlastnosti

ID článku: 328841 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor