Exchange Server 2010 için Antivirüs tanımlamaları(İstisnalar)

Exchange server 2010 üzerinde Antivirüs tanımlamaları

 

Antivirüs yazılımı çoğu zaman ram’in tümünü kullanır.Sabit diski ve bilgisayar belleğini kullanan tüm dosyaları kontrol eder.Üzerinde antivirüs yazılımı bulunan exchange sunucularının performans kaybı yaşamaması  ve sıkıntısız bir şekilde işlemlerine devam edebilmesi için 3 tip tanımlama(istisna) yapılması gereklidir.

Exchange 2010 için tavsiye edilen antivirüs tanımlamaları

Eğer exchange 2010 sunucularınızda dosya bazlı korumayı uygulayacaksınız dizin bazında,işlem bazında ve dosya uzantıları bazında tanımlama yapılması gerekir.Her sunucu ve ya üzerinde exchange rolü barındıran sunucularda bu tanımlamaları yapılması gerekir.

 

DİZİN SEVİYESİNDEKİ İSTİSNALAR

Mailbox Server görevi sunucularda dizin istisnaları

 *Exchange databaseleri,checkpoint dosyaları ve log dosyaları.Genel olarak bu dosyalar       %ExchangeInstallPath%\Mailbox klasörünün altında alt klasörleri olarak barınır.Exchange management Shell üzerinde bir komut çalıştırarak bu dizinin bulunduğu lokasyonu görebiliriz.

Get-MailboxDatabase -server <servername>| format-list *path*

*Grup metrikleri dosyası  , grup metrikleri exchange üzerinde oluşturulan dağıtım guruplarındaki guruplara üye olan üye sayısı,organizasyon dışı oluşturulan gurup tanımlamalarının bilgilerini toplayan dosyadır.

Bu dosya genel olarak %ExchangeInstallPath%\GroupMetrics bu dizin altında bulunur.

*Genel log dosyaları , mesaj takibi ve ajanda onarım log dosyaları gibi dosyalarıdır.Bu dosyalar %ExchangeInstallPath%\TransportRoles\Logs ve  %ExchangeInstallPath%\Logging  klasörlerinin altında bulunur.Aşağıdaki komutu kullanarak exchange üzerinde log dosyalarının kullandığı tam yolu görebiliriz.

Get-MailboxServer <servername> | format-list *path*

*Offline Address Book genel adres listesi bilgilerini ve diğer adres listelerinin bilgilerini tutar. OAB dizini %ExchangeInstallPath%\ExchangeOAB folder altında bulunur.

*IIS sistem dosyları %SystemRoot%\System32\Inetsrv klasöründe bulunur.

*Mailbox database geçici klasör %ExchangeInstallPath%\Mailbox\MDBTEMP bu dizin içerisinde bulunur.Mailbox database temporary folder  ; database bakım sırasında oluşturulan esetuil.exe gibi işlemlerde oluşturulan geçici klasördür.

*Exchange ile tümleşik çalışan tüm yazılımlarının program klasörleri

 

Mailbox sunucusu eğer DAG gurubuna üye bir sunucu ise  ;

*Quorum disk ve %winnt%\cluster klasörü

Witness Server

*Witness server dizin dosyaları üzerinde diğer sunucuya ait genel bilgileri içerir.Örn Hub transport  server kim olduğu ve görevi .Bu dosyalar \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>

(<DAGFQDN> ) Dag paylaşım adı.

 

Hub Transport Server Role

*Mesaj takibi ve bağlantı gibi genel logları tutar

Bu loglar %ExchangeInstallPath%\TransportRoles\Logs klasörünün altında bulunur.Exchange üzerinde bu logların kullandığı dizinin tam yolunu

 Get-TransportServer <servername>| format-list *logpath*,*tracingpath* komutuyla görebiliriz.

*Pickup ve Replay message dizin klasörleri ,

Pickup her beş saniyede bir yeni gelen mesajı kontrol eder ve doğru mesaj formatının uygunluğunu test eder.

To: [email protected]

From: [email protected]

Subject: Message subject

MIME-Version: 1.0

Content-Type: text/html; charset="iso-8859-1"

Content-Transfer-Encoding: 7bit

<HTML><BODY>

<TABLE>

<TR><TD>cell 1</TD><TD>cell 2</TD></TR>

<TR><TD>cell 3</TD><TD>cell 4</TD></TR>

</TABLE>

</BODY></HTML>

Replay ve Pickup dizinleri hakkında detaylı bilgi http://technet.microsoft.com/en-us/library/bb124230.aspx .

Replay ve Pickup dizinleri %ExchangeInstallPath%\TransportRoles klasörü altında bulunur.Exchange üzerinde bu dizinlerin tam yolunu  Get-TransportServer <servername>| fl *dir*path* komutuyla öğrenebiliriz.

*Transport sunucu kuyruk veritabanı,denetim noktası ve log dosyalarını içerir.Bu klasör %ExchangeInstallPath%\TransportRoles\Data\Queue dizinindedir.

Aynı şekilde transport sunucu üzerinde

%ExchangeInstallPath%\TransportRoles\Data\SenderReputation ve %ExchangeInstallPath%\TransportRoles\Data\IpFilter dizinleride istisnalara eklenmelidir.

*Exchange ile tümleşik çalışan programların klasörleri.

 

Edge Transport Server Role

*Active directory Lightweight dizin serivisi ( AD LDS) ve log dosyalarını barındırır.AD LDS , AD DS gibi esnek bir veritabanı sağlar.Yanlız AD LDS güvenlik ilkelerini saklamaz.

%ExchangeInstallPath%\TransportRoles\Data\Adam dizininde bulunur.

*Mesaj takibi gibi genel  log dosyalarıdır.Genelde %ExchangeInstallPath%\TransportRoles  klasörü içerisinde bulunur.Exchange üzerinde kullanılan tam yolunu  Get-TransportServer <servername>| format-list *dir*path* komutu ile görebiliriz.

*Transport sunucu kuyruk veritabanı,denetim noktası ve log dosyalarını içerir.Bu klasör %ExchangeInstallPath%\TransportRoles\Data\Queue dizinindedir.

Aynı şekilde transport sunucu üzerinde

%ExchangeInstallPath%\TransportRoles\Data\SenderReputation ve %ExchangeInstallPath%\TransportRoles\Data\IpFilter dizinleride istisnalara eklenmelidir.

*Exchange ile tümleşik çalışan programların klasörleri.

 

Client Access Server Role

*IIS 7.0 kullanan sunucular için , %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files

*IIS 6.0 kullanan sunucular  için , %systemroot%\IIS Temporary Compressed Files

*IIS sistem dosyaları %SystemRoot%\System32\Inetsrv

*Internet – related dosyaları için %ExchangeInstallPath%\ClientAccess folder

* POP3 VE IMAP4 için logging etkin olan sunucularda ;

%ExchangeInstallPath%\Logging\POP3

%ExchangeInstallPath%\Logging\IMAP4

 

Unified Messaging Server Role

*Farklı lokasyonlar için gramer,dilbilgisi dosyaları örn.en-EN ve ya tr-TR dosyaları %ExchangeInstallPath%\UnifiedMessaging\grammars klasörü altında  alt klasörler olarak bulunur.

*Ses,karşılama ve bilgilendirme mesajları dosyaları %ExchangeInstallPath%\UnifiedMessaging\Prompts altında alt klasör olarak bulunur.

*Geçici olarak depolanan sesdosyaları  %ExchangeInstallPath%\UnifiedMessaging\voicemail klasörü içinde bulunur.

*Geçici dosyalar unified Messaging tarafından oluşturulur. Ve %ExchangeInstallPath%\UnifiedMessaging\temp dizininde bulunur.

 

Microsoft Forefront Protection for Exchange

*Forefront’un yüklü  olduğu klasör. %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\.

*Arşivelenen tüm mesajlar. %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive

*Karantinaya alınan dosyalar. %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine

*Antivirüs işlem dosyaları . %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86 folder ve ya the %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64 folder.

*Konfigurasyon dosyaları. %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data dizininde bulunur.

 

İŞLEM SEVİYESİNDE İSTİSNALAR

 

Çoğu antivirüs yazılımı dosya seviyesinde yapılan taramalarda microsoft’un sistem dosyaları ve işlemlerini tanıyıp ayırtedebiliyor.Her uygulama için bu geçerli değil.Exchange tarafında microsoft’un istisnalara eklenmesini tavsiye ettiği işlemlerin listesi aşağıdadır.

db.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Clussvc.exe

MSExchangeADTopologyService.exe

Dsamain.exe

MSExchangeFDS.exe

EdgeCredentialSvc.exe

MSExchangeMailboxAssistants.exe

EdgeTransport.exe

MSExchangeMailboxReplication.exe

ExFBA.exe

MSExchangeMailSubmission.exe

GalGrammarGenerator.exe

MSExchangeRepl.exe

Inetinfo.exe

MSExchangeTransport.exe

Mad.exe

MSExchangeTransportLogSearch.exe

Microsoft.Exchange.AddressBook.Service.exe

MSExchangeThrottling.exe

Microsoft.Exchange.AntispamUpdateSvc.exe

Msftefd.exe

Microsoft.Exchange.ContentFilter.Wrapper.exe

Msftesql.exe

Microsoft.Exchange.EdgeSyncSvc.exe

OleConverter.exe

Microsoft.Exchange.Imap4.exe

Powershell.exe

Microsoft.Exchange.Imap4service.exe

SESWorker.exe

Microsoft.Exchange.Infoworker.Assistants.exe

SpeechService.exe

Microsoft.Exchange.Monitoring.exe

Store.exe

Microsoft.Exchange.Pop3.exe

TranscodingService.exe

Microsoft.Exchange.Pop3service.exe

UmService.exe

Microsoft.Exchange.ProtectedServiceHost.exe

UmWorkerProcess.exe

Microsoft.Exchange.RPCClientAccess.Service.exe

W3wp.exe

 

Eğer yapınızda Forefront Protection uygulamasını kullanıyorsanız , aşağıdaki listeyide istisnalara eklemeniz yeterli.

Adonavsvc.exe

FscStatsServ.exe

FscController.exe

FscTransportScanner.exe

FscDiag.exe

FscUtility.exe

FscExec.exe

FsEmailPickup.exe

FscImc.exe

FssaClient.exe

FscManualScanner.exe

GetEngineFiles.exe

FscMonitor.exe

PerfmonitorSetup.exe

FscRealtimeScanner.exe

ScanEngineTest.exe

FscStarter.exe

SemSetup.exe

 

DOSYA ADI UZANTISI İSTİSNALARI

Exchange uygulamarı ile ilgili uzantılar ;

.config  .dia .wsb

 

Database ile ilgili uzantılar ;

 

.chk  .jrs .log .edb  .jsl .que

 

Offline Address book ile ilgili uzantılar ;

.lzx

İçerik indeksi ile ilgili uzantılar ;

.ci .wid .001 .dir .000 .002

Unified Messaging ile ilgili uzantılar ;

.cfg  .grxml

 

GroupMetrics ile ilgili uzantılar ;

 

.dsc .bin .xml

 

 

Eğer Foreforent Protection var ise ;

 

avc	.dt	.lst	.cab	.fdb	.mdb
.cfg	.fdm	.ppl	.config	.ide
.da1	.key	.v3d	.dat	.klb
.vdb	.def	.kli	.vdm	.set

 

 

Kaynak : http://technet.microsoft.com/en-us/library/bb332342.aspx

 

Faydalı olması dileğiyle.