Viren: wo dürfen wir nicht scannen ?
Ein Virenschutz ist nur komplett, wenn er möglichst alle Wege und Speicherorte überwacht. Aber das ist nicht immer richtig, denn es gibt Bereiche und Zugänge, die kann ein Virenscanner gar nicht richtig überwachen. Wenn er es aber dennoch tut., dann kostet dies Performance und kann durch Fehlerkennungen sogar zu Problemen und Datenverlusten führen. Drei Beispiele
- Datenbanken und Logfiles
Die Exchange Datenbanken sind in "Seiten" unterteilt, so dass eine größere Mail oder Anlage eigentlich nie am Stück darin zu finden ist. Ein Dateiscanner auf die Exchange EDB/STM-Dateien oder Protokolldateien kostet nur unnötig Ressourcen und hat das immense Risiko einer schwerwiegenden Störung, wenn der Virenscanner einen vermeintlichen Virus entdeckt. - Ports
Immer mehr Virenscanner enthalten "Firewall"-Komponenten und "Verhaltensanalysen". Schade nur, dass viele hier irre, wenn Sie ausgehende Verbindungen auf Remoteport 25 für Outlook Express zulassen aber die Exchange Transportdienste blockieren. Gleiches gilt für einen Virenscanner, der auf Workstations gerne den Zugriff auf Port 80/443 blockieren kann aber auf dem Exchange Server damit natürlich schwere Störungen anrichtet
Damit wird klar, dass es bei jeder Installation eines Virenscanners wichtig ist, die Konfiguration im Detail zu prüfen und gegebenenfalls anzupassen. Selbst Virenscanner, die für Server ausgelegt sind, nutzen oft einfach die gleichen Einstellungen wie Scanner für Arbeitsplätze.
Am besten erstellen Sie für ihre Server selbst eine entsprechende Liste und haken die Einstellungen wie bei einer Checkliste ab
Dateisystem
Die meisten AV-Produkte erlauben Ausschlusslisten auf Dateisystembasis, d.h. den Ausschluss kompletter Verzeichnisse oder Dateien
| Verzeichnis |
|---|
| %systemroot%\IIS Temporary Compressed File |
| %SystemRoot%\TEMP |
| %SystemRoot%\System32\Inetsrv |
| %ProgramFiles%\Microsoft\Exchange Server\ClientAccess |
| C:\Program Files\Microsoft\Exchange Server\Logging\Managed Folder Assistant |
| C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking |
| %ProgramFiles%\Microsoft\Exchange Server\ExchangeOAB |
| %ProgramFiles%\Microsoft\Exchange Server\Mailbox\MDBTEMP |
| %ProgramFiles%\Microsoft\Exchange Server\Working\OleConverter |
| %ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\grammars |
| %ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\Prompts |
| %ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\voicemail |
| %ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail |
| %ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Archive |
| %ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine |
| %ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86 |
| %ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data |
| Alle Exchange Datenbankverzeichnisse |
| Alle Exchange Protokolldateiverzeichnisse |
| MajorityNodeSet Verzeichnis des Clusters |
Dateierweiterungen
Sofern ihr Virenscanner bestimmte Erweiterungen auslassen kann, ist es relativ ungefährlich auf dem Server die folgenden Dateien auszuschließen. Sie enthalten in der Regel eh keinen ausführbaren Code
| Dateierweiterung | Bedeutung |
|---|---|
| .chk | |
| .log | Exchange Protokolldateien |
| .edb | Exchange Datenbank |
| .stm | Exchange Datenbank |
| .jrs | Journaldateien |
| .que | |
| .cfg | |
| .grxml | |
| .config | |
| .dia | |
| .wsb | |
| .lzx | |
| .ci | Exchange/Windows Indexserver |
| .dir | |
| .wid | |
| .000 | |
| .001 | |
| .002 |
Prozesse
Die verschiedenen Exchange Programme können ebenfalls bei einem Dateiscanner auf die Ausschlussliste kommen, es sei denn Sie würden Exchange selbst als Virus bezeichnen. Die Exchange Programme selbst sind mittlerweile ja digital signiert, so dass Veränderungen hier auffallen. Allerdings könnte sich natürlich ein Schädling mit dem gleichen Namen in einem anderen Verzeichnis "tarnen". Die Sicherheit ist daher auch ein Teil ihrer Umsicht und administrativen Berechtigungen
| Prozessname | Funktion |
|---|---|
| Cdb.exe | |
| Cidaemon.exe | Content Index |
| Cluster.exe | Cluster |
| Dsamain.exe | Directory Service |
| Edgecredentialsvc.exe | Edge |
| Edgetransport.exe | Edge/transport Serviuce |
| Galgrammargenerator.exe | |
| Inetinfo.exe | Webserver |
| Mad.exe | |
| Microsoft.Exchange.Antispamupdatesvc.exe | |
| Microsoft.Exchange.Contentfilter.Wrapper.exe | |
| Microsoft.Exchange.Cluster.Replayservice.exe | |
| Microsoft.Exchange.Edgesyncsvc.exe | |
| Microsoft.Exchange.Imap4.exe | |
| Microsoft.Exchange.Imap4service.exe | |
| Microsoft.Exchange.Infoworker.Assistants.exe | |
| Microsoft.Exchange.Monitoring.exe | |
| Microsoft.Exchange.Pop3.exe | |
| Microsoft.Exchange.Pop3service.exe | |
| Microsoft.Exchange.Search.Exsearch.exe | |
| Microsoft.Exchange.Servicehost.exe | |
| Msexchangeadtopologyservice.exe | |
| Msexchangefds.exe | |
| Msexchangemailboxassistants.exe | |
| Msexchangemailsubmission.exe | |
| Msexchangetransport.exe | |
| Msexchangetransportlogsearch.exe | |
| Msftefd.exe | |
| Msftesql.exe | |
| Oleconverter.exe | |
| Powershell.exe | |
| Sesworker.exe | |
| Speechservice.exe | |
| Store.exe | Informationsspeicher |
| Transcodingservice.exe | |
| Umservice.exe | Unified Messaging |
| Umworkerprocess.exe | Unified Messaging |
| W3wp.exe | WWW-Serivce |
Ports
Sofern sie mit Firewalls auf dem Server oder als Bestandteil einer "Verhinderungslösung" des Virenscanners zu tun haben, sollten Sie vielleicht die folgenden Ports auf den Servern ausnehmen.
| Port | Beschreibung |
|---|---|
| eingehend 25/TCP | Empfang von Mails per SMTP |
| ausgehend 25/TCP | Versand von Mails |
| Eingehend 110/143/993/995 eingehend 589 |
Zugriff von IMP4 und POP3 Clients
auf Postfachdaten Versand von Mails per authenticated SMTP via Exchange |
| 80/443 | Outlook Webzugriff, Exchange ActiveSync, RPC over HTTP, ECP, Webservice, WinRM |
| 5985 und 5986 | WinRM |
Weitere Links
- File-Level Antivirus Scanning on Exchange 2007
http://technet.microsoft.com/en-us/library/bb332342.aspx - Was Virenscanner nicht scannen sollten
http://blogs.technet.com/dmelanchthon/archive/2009/11/13/was-virenscanner-nicht-scannen-sollten.aspx - 943556 Recommended Forefront Client Security file and folder exclusions for Microsoft products
- http://www.msexchange.org/articles_tutorials/exchange-server-2007/security-message-hygiene/configuring-file-level-antivirus-software.html
