По определению антивирусные программы изучают файлы, когда операционная система производит над ними операции, такие как открытие, создание или закрытие файла. Для обеспечения безопасности среды администратор Exchange должен серьезно заниматься надежностью среды. В терминах антивирусного ПО у нас есть два типа антивирусов для Exchange Server:
Это ПО запускается вместе с Exchange Server:. Exchange Server 2007 поддерживает Virus Scanning API (VSAPI) (API поиска вирусов) и также поддерживает поиск вирусов на транспортном уровне.
Антивирус транспортного уровня устанавливается среди ролей Exchange Server (Hub Transport и Edge Transport) и создает транспортных агентов для просмотра входящих сообщений до того, как они попадают на почтовый сервер. Мы можем увидеть пример транспортного агента антивирусного ПО с помощью команды Get-TransportAgent (Рисунок 01).
Рисунок 01: Антивирусное ПО, использующее транспортных агентов для защиты среды Exchange Server на транспортном уровне
Это ПО предназначено для защиты не только Exchange Server, но для защиты серверов от вирусов, находящихся в файловой системе операционной системы. Антивирусы файлового уровня не защищают от вирусов электронной почты, они не очистят ваш почтовый ящик, если вы получите вирус через входящее сообщение. Наилучшим вариантом было бы использовать антивирусное ПО файлового уровня для всех серверов и клиентов, а также создать процедуру для своевременного обновления антивирусных сигнатур во всей организации.
Перед началом работы с антивирусами файлового уровня запомните, что Exchange Server 2007 использует новую архитектуру. Эта новая архитектура заставляет использовать 64-битные серверы. Проверьте, не поставляет ли производитель антивирусного ПО специальные версии для поддержки нужной архитектуры операционной системы.
Замечание: Некоторые производители антивирусного ПО выпускают только 32-битные версии. Можно установить и 32-битную версию на 64-битную машину, но программы, ориентированные на 64-битную поддержку будут пользоваться преимуществами 64-битной архитектуры для обеспечения наилучшей функциональности.
Существуют два режима в антивирусном сканере файлового уровня: резидентный в памяти и режим по требованию; первый позволяет антивирусу загружаться в память, и он проверяет все файлы вне зависимости от того, где они находятся – в памяти или на файловом уровне; а второй режим предполагает запуск процесса сканирования только в определенный момент.
Наилучшим подходом было бы использование обоих подходов: антивирусное ПО для Exchange Server и антивирусное ПО файлового уровня для операционной системы. Также крайне рекомендуется использовать антивирусное ПО файлового уровня на клиентских рабочих станциях.
Итак, давайте настроим наши серверы Exchange для использования антивирусов файлового уровня. Перед началом, пожалуйста, обратите внимание на то, что каждая серверная роль Exchange (Mailbox, CAS, Hub Transport, Edge Transport и Unified Messaging) имеет разные требования, определяемые антивирусным ПО файлового уровня.
Для правильной настройки антивирусного ПО файлового уровня для каждой конкретной роли мы должны настроить следующее:
Замечание: Вы должны проверить, какие именно опции предлагаются вашим производителем антивирусного ПО.
Мы собираемся познакомиться с настройкой списка исключений каталогов антивируса файлового уровня для серверной роли Exchange:
Client Access Server (CAS)
Мы должны убедиться, что следующие каталоги будут исключены антивирусом:
Рисунок 02: Серверная папка TEMP
Почтовый сервер
В почтовых серверах мы должны быть уверены, что база данных, файлы журнала и файлы контрольных точек исключены из антивируса файлового уровня. Следующая команда покажет папки каталогов этих компонентов:
Рисунок 04: Каталог, используемый базой данных общей папки
Рисунок 05: Настройки почтового сервера, которые должны присутствовать в списке исключений каталогов антивируса
Рисунок 06: Получение каталогов, используемых группами хранения
Рисунок 07: Использование скрипта GetSearchIndexForDatabase.ps1 для проверки каталога индексов
Edge Transport Server и Hub Transport
В Edge Transport Server мы должны исключить все каталоги, используемые при отслеживании сообщений, папки сообщений и т.д. Используйте команду Get-TransportServer <ServerName> | select *path*, чтобы проверить каталоги (Рисунок 08).
Рисунок 08: Получение информации о каталогах, используемой транспортными компонентами
Мы также должны исключить папки каталогов, связанных с Queue и IP Filter, которые перечислены в файле EdgeTransport.exe.config (Рисунок 09).
Рисунок 09: Настройки баз данных IP Filter и Queue
Роль Unified Messaging требует, чтобы некоторые каталоги были исключены из антивирусного ПО файлового уровня:
Исключение общих каталогов для всех серверных ролей Exchange
Обычно на серверах Exchange установлено антивирусное ПО, и мы должны исключить каталог карантина и любые другие приложения, которые указаны в руководстве, предоставляемом производителем антивирусного ПО.
Exchange Server 2007 два типа кластерных решений: CCR (Cluster Continuous Replication – Кластерная непрерывная репликация), которая использует свидетельство разделения файлов в качестве кворума, и SCC (Single Copy Cluster – Кластер единственной копии), который использует в качестве кворума физический диск. В обоих случаях содержимое кворума должно исключаться из антивирусного ПО файлового уровня. Чтобы узнать, какой вид кластера вы используете, откройте Cluster Administrator и посмотрите в Cluster Group. У вас может быть запись Majority Node Set, что означает, что вы используете CCR (Рисунок 10), или Physical Disk, что обозначает кластер SCC.
Рисунок 10: Запись The Majority Node Set, используемая применениями кластера CCR
Каталог %Winnt%\Cluster должен присутствовать в списке исключенных каталогов в антивирусном ПО файлового уровня в обоих сценариях (CCR или SCC). Теперь, когда мы знаем, какой тип кластера у нас, мы можем продолжить настройку антивирусного ПО.
Cluster Continuous Replication
В среде CCR наш кворум располагается удаленно; мы можем использовать кластерные средства для выяснения его местонахождения, а затем настроить исключение для этого каталога.
На Рисунке 11 показана командная строка, которую надо использовать, а синтаксис таков:
Cluster <ClusterName> res “Majority Node Set” /priv, где ClusterName – это не имя кластера Exchange, а имя, которое вы использовали при развертывании кластера.
Рисунок 11: Кворум, используемый в CCR
Теперь мы знаем серверную и разделяемую папку. Мы должны авторизоваться на этом сервере и настроить список исключаемых каталогов для этой конкретной папки. В нашем случае это сервер под названием tofrontex1, а физический путь к разделяемой папке MNS_FSW_ClientCluster.
Single Copy Cluster
Используя SCC, мы должны посмотреть, какой диск используется кворумом с помощью Cluster Administrator и настроить этот диск в списке исключений. Мы должны выполнить этот шаг для каждого кластерного узла.
Некоторые производители антивирусного ПО позволяют нам исключать расширения файлов, и следующие расширения нужно определить для Exchange Server 2007:
Серверы почты используют следующие расширения:
Расширения унифицированной отправки сообщений:
Расширения, связанные с приложением:
Расширения, связанные с автономной адресной книгой, которые можно найти на серверах почты:
Расширения, связанные с индексированием содержимого
Некоторые производители антивирусного ПО позволяют исключать процессы в антивирусах файлового уровня. Мы можем использовать следующую таблицу для исключения каждого перечисленного процесса для каждой роли Exchange Server.
| Процесс | Роль Exchange Server |
|---|---|
| Cdb.exe | общая |
| Cidaemon.exe | общая |
| Cluster.exe | Mailbox |
| Dsamain.exe | Edge |
| Edgecredentialsvc.exe | Edge |
| Edgetransport.exe | Edge |
| Galgrammargenerator.exe | Unified Messaging |
| Inetinfo.exe | Mailbox и CAS |
| Mad.exe | Mailbox |
| Microsoft.Exchange.Antispamupdatesvc.exe | Hub, Edge |
| Microsoft.Exchange.Contentfilter.Wrapper.exe | |
| Microsoft.Exchange.Cluster.Replayservice.exe | Mailbox |
| Microsoft.Exchange.Edgesyncsvc.exe | Hub |
| Microsoft.Exchange.Imap4.exe | CAS |
| Microsoft.Exchange.Imap4service.exe | CAS |
| Microsoft.Exchange.Infoworker.Assistants.exe | Mailbox |
| Microsoft.Exchange.Monitoring.exe | все роли |
| Microsoft.Exchange.Pop3.exe | CAS |
| Microsoft.Exchange.Pop3service.exe | CAS |
| Microsoft.Exchange.Search.Exsearch.exe | Mailbox |
| Microsoft.Exchange.Servicehost.exe | CAS и Mailbox |
| Msexchangeadtopologyservice.exe | Mailbox, Hub, CAS, Unified Messaging |
| Msexchangefds.exe | CAS и Unified Messaging |
| Msexchangemailboxassistants.exe | Mailbox |
| Msexchangemailsubmission.exe | Mailbox |
| Msexchangetransport.exe | Hub Transport и Edge |
| Msexchangetransportlogsearch.exe | Mailbox, Hub Transport и Edge |
| Msftefd.exe | Mailbox Cluster |
| Msftesql.exe | Mailbox |
| Oleconverter.exe | Mailbox, Hub Transport |
| Powershell.exe | General |
| Sesworker.exe | |
| Speechservice.exe | Unified Messaging |
| Store.exe | Mailbox |
| Transcodingservice.exe | |
| Umservice.exe | Unified Messaging |
| Umworkerprocess.exe | Unified Messaging |
| W3wp.exe | Служба IIS, используемая CAS и Mailbox |
В этом обучающем материале мы рассмотрели, как развертывать антивирусное ПО файлового уровня на серверах Exchange Server 2007 вне зависимости от установленного антивирусного ПО. Мы также увидели, какие каталоги необходимо исключать для этого антивирусного ПО, а также расширения и процессы в памяти.
Источник http://www.msexchange.org
Tags: Exchange, imap, monitoring, replication, search, spam, SQL, virus