Přehled serveru Exchange Server 2003 a antivirového softwaru

Souhrn

Tento článek obsahuje přehled různých typů virů programy, které se obvykle používají se serverem Microsoft Exchange Server 2003. V tomto článku jsou uvedeny výhody, nevýhody a námětů k odstraňování potíží pro různé typy skenerů. Tento článek nepopisuje přenosu protokolu SMTP (Simple Mail) filtrování řešení, která se obvykle instalují na jiný server než server Exchange 2003 počítač.

zpět na horní

Skenery na úrovni souborů

Skenery na úrovni souborů se používají často a mohou při použití se serverem Exchange 2003 způsobovat nejvíce. Skenery na úrovni souborů mohou být rezidentní v paměti nebo vyžádané:
  • Rezidentní v paměti odkazuje na část antivirového softwaru na úrovni souborů, který je vždy načten do paměti. Zkontroluje všechny soubory používané na pevném disku a v paměti počítače.
  • Vyžádaný odkazuje na část antivirového softwaru na úrovni souborů, kterou můžete konfigurovat na skenování souborů na pevném disku ručně nebo podle plánu. Existují verze antivirového softwaru, které automaticky spustí vyžádané prohledávání po aktualizaci definic virů a ujistěte se, že všechny soubory byly zkontrolovány pomocí nejnovějších definic.
Použijete-li skenery na úrovni souborů se serverem Exchange 2003, může dojít k následujícím potížím:
  • Skenery na úrovni souborů prohledávají soubor při použití nebo v naplánovaných intervalech a mohou uzamknout nebo umístit do karantény protokol serveru Exchange nebo databázový soubor, zatímco se server Exchange 2003 pokouší tento soubor použít. Toto chování může způsobit závažné selhání serveru Exchange 2003 a také vygenerovat chyby -1018.
  • Skenery na úrovni souborů neposkytují ochranu proti virům v e-mailů, například Melissa virus.

    Poznámka: Melissa virus je virus v makru aplikace Microsoft Word, který se může sám rozšiřovat pomocí e-mailové zprávy. Virus odešle nesprávné e-mailové zprávy na adresy, které najde v osobních adresářích poštovních klientů Microsoft Outlook. Podobné viry mohou zničit data.
Skenery na úrovni souborů na vyžádání a paměti rezidentní skenery na úrovni souborů vylučte následující složky:
  • Databáze Exchange a soubory protokolu jsou ve všech skupinách úložišť. Ve výchozím nastavení tyto jsou umístěny ve složce Exchsrvr\Mdbdata.
  • Soubory MTA serveru Exchange ve složce Exchsrvr\Mtadata.
  • Soubory MTA serveru Exchange ve složce Exchsrvr\Mtadata.
  • Virtuálního serveru Exchsrvr\Mailroot.
  • Pracovní složka, která slouží k ukládání souborů TMP datových proudů, které slouží k převádění zpráv. Podle výchozího nastavení je to složka Exchsrvr\Mdbdata, ale umístění lze konfigurovat.
    Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    822936 postup zpráv do místní fronty pro doručení je velmi pomalý

  • Dočasné složky, která se používá ve spojení s nástroji pro údržbu v režimu offline například Eseutil.exe. Ve výchozím nastavení tato složka je umístění, kde je spuštěn .exe soubor z, ale můžete nakonfigurovat, kde se spustit nástroj spustit soubor z.
  • Site Replication Service (SRS) soubory ve složce výchozím.
  • Internetová informační služba (IIS) systému souborů ve složce %SystemRoot%\System32\Inetsrv.

    Poznámka: Chcete vyřadit celou složku Exchsrvr z skenery na úrovni souborů na vyžádání a skenery na úrovni souborů skenery.
  • Internetová informační služba (IIS) 6.0 komprese složky, který se používá v aplikaci Outlook Web Access 2003. Podle výchozího nastavení je komprimační složka ve službě IIS 6.0 je umístěn na %systemroot%\IIS Temporary Compressed Files.


    Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    817442 antivirové kontroly služby IIS kompresního adresáře může způsobit 0 bajtů souboru

  • Pro clustery disku kvora a složku %Winnt%\Cluster.
  • Všechny složky antivirového programu pro zasílání zpráv.
  • Složku Exchsrvr\Conndata.
Vylučte složky obsahující soubor kontrolního bodu (CHK) z paměti rezidentní skenery na úrovni souborů a na vyžádání skenery na úrovni souborů.

Poznámka: I když přesunout databáze Exchange a soubory protokolu do nového umístění a tyto složky vyřadíte je prohledáván soubor CHK může být prohledáván.
Další informace o co může dojít, pokud je prohledáván soubor CHK získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
253111 chybové události jsou zaznamenány při databázové služby Exchange Server odepřen přístup pro zápis do vlastních souborů edb nebo do souboru CHK

176239 databáze nelze spustit; cyklické protokolování odstraněn soubor protokolu příliš brzy

Skenery na úrovni souborů mnoho nyní podporují procesy skenování. To může také nepříznivě ovlivnit Exchange. Proto měli byste vyloučit následující procesy ze skenerů na úrovni souborů:
  • Cdb.exe
  • Cidaemon.exe
  • Store.exe
  • Emsmta.exe
  • Mad.exe
  • Mssearch.exe
  • Inetinfo.exe
  • W3wp.exe
zpět na horní

Skenery rozhraní MAPI

První generace skenerů pro vyhledávání virů, které zahrnují agenta serveru Exchange, je založena na rozhraní MAPI. Tyto skenery provést MAPI přihlášení k jednotlivým poštovním schránkám a pak vyhledat známé viry.

Skener rozhraní MAPI má následující výhody oproti skener založený na souboru:
  • Skener rozhraní MAPI může vyhledávat viry e-mailů, například Melissa virus.
  • Skener rozhraní MAPI se soubory protokolu nebo databáze Exchange neovlivní.

Skener rozhraní MAPI má následující nevýhody:
  • Skener rozhraní MAPI nemusí kontrolovat napadenou e-mailovou zprávu dříve, než uživatel otevře e-mailovou zprávu. Skener rozhraní MAPI, nezabrání uživateli v otevření napadenou e-mailovou zprávu, pokud skener nejprve nezjistí napadenou e-mailovou zprávu.
  • Skener rozhraní MAPI nemůže kontrolovat odchozí zprávy.
  • Skener rozhraní MAPI nerozpozná filtr ukládání jediné Instance serveru Exchange. Proto může kontrolovat jednu zprávu mnohokrát Pokud tato zpráva uložena ve více poštovních schránkách. Skener rozhraní MAPI, proto trvá dlouhou dobu k provedení kontroly.
Skener rozhraní MAPI může rozpoznat e-mailové viry, proto je lepší možnost než skener na úrovni souborů. Však i vhodnější možnosti jsou k dispozici, než je skener rozhraní MAPI a jsou popsány dále v tomto článku.

zpět na horní

Skenery rozhraní API pro vyhledávání virů

Virus Scanning Application Programming Interface (API) jsou označovány také jako Virus API (VAPI), Antivirus API (AVAPI) nebo rozhraní API VSAPI (Virus Scanning).

Rozhraní Virus Scanning API 1.0 bylo zavedeno v Microsoft Exchange Server 5.5 Service Pack 3 (SP3) a představovalo standardní řešení až do vydání serveru Exchange 2000. Mnoho byla vylepšena rozhraní API pro vyhledávání virů 1.0 zlepšení výkonu pomocí Exchange Server.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
248838 Exchange Server 5.5 Post-Service Pack 3 Information Store opravy k dispozici


Exchange 2000 Server Service Pack 1 (SP1) zahrnuje rozhraní API pro vyhledávání virů verze 2.0. Rozhraní Virus Scanning API 2.0 není podporována v Exchange Server 5.5. Rozhraní Virus Scanning API 1.0 a Virus Scanning API 2.0 podporují prohledávání na vyžádání.

Server Exchange 2003 nyní zahrnuje Virus Scanning API 2.5. Rozhraní Virus Scanning API 2.5 zahrnuje funkce předchozího rozhraní API pro vyhledávání virů 2.0 spolu s následujícími zdokonaleními:
  • Zdokonalené rozhraní API pro vyhledávání virů umožňuje produktům dodavatelů antivirového softwaru na serverech Exchange 2003, které nemají v poštovních schránkách systému Exchange (například servery brány nebo servery předmostí).
  • Rozhraní Virus Scanning API 2.5 umožňuje produktům dodavatelů antivirového softwaru odstraňovat zprávy a odesílat zprávy odesílateli a další virus zprávy o stavu klientům lépe označují stav napadení konkrétní zprávy.
Obraťte se na výrobce antivirového softwaru Další informace o aktualizacích.

Pokud používáte skener rozhraní API pro vyhledávání virů a klient se pokusí otevřít zprávu, bude provedeno porovnání, aby bylo zajištěno, že text zprávy a přílohy byly zkontrolovány pomocí aktuálního antivirového softwaru. Pokud aktuální soubor s definicemi virů obsah nezkontroloval, bude odpovídající část zprávy odeslána do produktu dodavatele antivirového softwaru pro skenování před zpráva Komponenta je vydána klientovi. Klient může používat konvenční klienta MAPI nebo založené na protokolu IP klienta, například Post Office Protocol verze 3 (POP3), Microsoft Outlook Web Access (OWA) a Internet Message Access Protocol verze 4rev1 (IMAP4).

Rozhraní API pro vyhledávání virů verze 2.0 a Virus Scanning API 2.5 zpracuje všechny zprávy text i příloha data pomocí jediné fronty. Vyžádané položky odeslané do této fronty jsou označeny jako prioritní. Na serveru Exchange 2003, tato fronta je nyní zpracována pomocí řady podprocesů a položky s nejvyšší prioritou vždy přednost. Výchozí počet podprocesů je 2 krát počtu_procesorů plus 1. To umožňuje více položek ve stejnou dobu odeslání produktu dodavatele antivirového softwaru. Podprocesy klienta také nejsou vázány na hodnoty časového limitu se čeká na uvolnění položek. Po položky jsou kontrolovány a označeny jako bezpečné, klientský podproces je oznámeno, že zboží je k dispozici. Ve výchozím nastavení čeká klientský podproces tři minuty chcete být upozorňováni na dostupnost požadovaných dat dříve, než dojde k vypršení časového limitu.

Rozhraní API pro vyhledávání virů verze 2.0 a Virus Scanning API 2.5 patří aktivní prohledávání zpráv funkce. V rozhraní API pro vyhledávání virů 1.0 je prověřen informace v příloze zprávy pouze v případě, že se používá. V rozhraní API pro vyhledávání virů verze 2.0 a Virus Scanning API 2.5 jsou položky odesílány do fronty běžného úložiště informací při odeslání do úložiště informací. Každá z těchto položek označena nízkou prioritou ve frontě, takže tyto položky nebudou rušit skenování položky s nejvyšší prioritou. Po zkontrolování všech položek s vysokou prioritou kontrolovat položky s nízkou prioritou začne rozhraní API pro vyhledávání virů verze 2.0 nebo Virus Scanning API 2.5. Priorita položky dynamicky inovována na nejdůležitější Pokud klient se pokusí použít položky v době, kdy je položka ve frontě s nízkou prioritou. Maximálně 30 položek mohou existovat ve stejnou dobu ve frontě s nízkou prioritou a obsah této fronty jsou určeny na první, nejprve mimo základ.

Rozhraní API pro vyhledávání virů verze 2.0 a Virus Scanning API 2.5 patří Vylepšený proces prohledávání na pozadí. V rozhraní API pro vyhledávání virů 1.0 je prohledávání na pozadí vedena tak, že jeden průchod tabulce příloh. Rozhraní Virus Scanning API 1.0 pak odešle přílohy, které nebyly zkontrolovány pomocí aktuálního antivirového softwaru produktu nebo podpis souboru přímo do knihovny DLL antivirového (DLL). Ukládá všechny informace o soukromém a úložiště veřejných informací obdrží jeden podproces, který provede toto prohledávání na pozadí. Poté, co vlákno dokončí průchod tabulky příloh, vyčká na restartování procesu úložiště informací prohledávání. V rozhraní API pro vyhledávání virů verze 2.0 a Virus Scanning API 2.5 jednotlivé databáze zasílání zpráv MDB stále obdrží jeden podproces provádět proces prohledávání na pozadí. Však na serveru Exchange 2003, proces prohledávání na pozadí prochází skupinu složek, které tvoří poštovní schránky jednotlivých uživatelů. Jako jsou zjištěny položky, které nebyly zkontrolovány, jsou předány produktu dodavatele antivirového softwaru a proces prohledávání pokračuje. Produkty dodavatelů antivirového softwaru mohou také vynutit spuštění prohledávání na pozadí pomocí sady klíčů registru.

Funkce, která byla většinu vyžadovanou Virus Scanning API 1.0 bylo poskytování podrobnosti zprávy tak, aby správci Exchange mohli sledovat existenci virů, určit, jak viry ovlivněni organizace a určit uživatele, kteří jsou ovlivněny. Tato funkce byla přidána do rozhraní API pro vyhledávání virů verze 2.0, protože prohledávání již přímo založena na tabulce příloh.

Virus Scanning API Performance Monitor counters lze použít ke sledování výkonu rozhraní API pro vyhledávání virů a k lepšímu řešení potíží v rozhraních API pro vyhledávání virů verze 2.0 a Virus Scanning API 2.5. Pomocí těchto čítačů může správce určit, kolik informací je prohledáváno a jak rychle je skenována tyto informace. To umožní správci přesněji škálovat servery.


Rozhraní API pro vyhledávání virů verze 2.0 a Virus Scanning API 2.5 obsahují také protokolování událostí, který je specifický pro rozhraní API pro vyhledávání virů. Protokolované události patří:
  • Dodavatele knihoven DLL načítání a uvolňování.
  • Úspěšné prohledávání položek.
  • Viry, které jsou umístěny v úložišti informací.
  • Neočekávané chování rozhraní API pro vyhledávání virů.
zpět na horní

Skenery založené na technologii ESE

Skenery založené na technologii ESE například některé verze programu Antigen používají rozhraní mezi úložištěm informací a skladování modul ESE (Extensible) podporovaný společností Microsoft. Použijete-li tento typ softwaru, riskujete poškození databáze a data ztrátu, pokud existují chyby v implementaci tohoto softwaru.


Skener založený na technologii ESE během instalace, se změní službu úložiště informací serveru Exchange Server tak, že je závislá na konkrétní službu. Tím zajistíte, že služba spustí před spuštěním služby úložiště informací serveru Exchange Server. Během procesu spuštění služba skeneru kontroluje příslušné verze svého softwaru a Exchange Server a příslušné verze souborů. Pokud je nalezena nekompatibilita, Antigen software zakáže, umožňuje úložiště informací spuštění bez antivirové ochrany a upozorní správce.


Pokud je skener založený na technologii ESE úspěšně spuštěn, je verze souboru Ese.dll společnosti Microsoft dočasně přejmenována na Xese.dll a Antigen verze souboru Ese.dll nahradí původní soubor. Po načtení Antigen verze souboru Ese.dll je verze společnosti Microsoft přejmenována zpět na Ese.dll a dokončete proces spuštění je povoleno úložiště informací Exchange Server.


Zákazníci, kteří kontaktovat služby technické podpory společnosti Microsoft může dotaz zakázat službu Antigen k identifikaci problémů, ale zákazníci svobodně znovu povolit Antigen software po hlavní příčinu problému je diagnostikována správně.

zpět na horní

Další čtení

Další informace o softwaru pro vyhledávání virů, který se používá s Exchange získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
285667 Principy rozhraní Virus Scanning API 2.0 na serveru Exchange 2000 Service Pack 1

298924 problémy způsobené zálohou nebo kontrolou jednotky M serveru Exchange 2000

245822 doporučení pro odstraňování potíží s počítači se serverem Exchange Server s nainstalovaným antivirovým softwarem

253111 chybové události jsou zaznamenány při databázové služby Exchange Server odepřen přístup pro zápis do vlastních souborů edb nebo do souboru CHK

176239 databáze nelze spustit; cyklické protokolování odstraněn soubor protokolu příliš brzy

Nejnovější informace o virech a výstrahách zabezpečení a o dodavatelích softwaru na ochranu proti virům naleznete na následujícím webu společnosti Microsoft a webů jiných výrobců:

MicrosoftICSA

ICSA Labs, divize společnosti TruSecure Corporation, poskytuje služby Internet security.Centra CERT Coordination Center

Centra CERT Coordination Center je součástí Survivable Systems Initiative organizace Software Engineering Institute, federálně financované výzkumné a vývojové centrum, které je sponzorovány ministerstvem obrany USA a provozované Carnegie Mellon University.Http://www.cert.org

Computer Incident Advisory Capability poskytuje na telefonickou technickou pomoc a informace, které weby oddělení energetiky (DOE) dochází k události zabezpečení počítače.Společnost McAfeeTrend MicroSpolečnost Computer AssociatesSymantec (Mail Security for Exchange, Symantec Antivirus a Norton AntiVirus)zpět na horní

Další informace

Společnost Microsoft poskytuje kontaktní informace jiného výrobce, a tím vám usnadňuje získání technické podpory. Tyto kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací jiných výrobců.


Produkty třetích stran, které tento článek popisuje jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou, ohledně výkonu nebo spolehlivosti těchto produktů.


zpět na horní
Vlastnosti

ID článku: 823166 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor