Analyse antivirus au niveau fichier sur Exchange 2010
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Cette rubrique décrit les effets des antivirus au niveau fichier sur les ordinateurs exécutant Microsoft Exchange Server 2010. Les recommandations présentées dans cette rubrique permettent d’améliorer la sécurité et l’intégrité de votre organisation Exchange.
Les antivirus au niveau fichier sont fréquemment utilisés. Toutefois, s’ils sont mal configurés, ils peuvent causer des problèmes dans Exchange 2010. Il existe deux types d’antivirus au niveau fichier :
L’analyse antivirus au niveau fichier résidant en mémoire est une composante de l’antivirus au niveau fichier chargée en permanence dans la mémoire. Elle vérifie tous les fichiers utilisés sur le disque dur et dans la mémoire de l’ordinateur.
L’analyse antivirus au niveau fichier à la demande est une composante de l’antivirus au niveau fichier que vous pouvez configurer pour analyser les fichiers sur le disque dur manuellement ou selon une planification. Certaines versions de l’antivirus démarrent automatiquement l’analyse antivirus à la demande après la mise à jour des signatures de virus afin que tous les fichiers soient analysés avec les dernières signatures.
Les problèmes suivants peuvent survenir lorsque vous utilisez des antivirus au niveau fichier avec Exchange 2010 :
Les antivirus au niveau fichier peuvent analyser un fichier en cours d’utilisation ou à un intervalle planifié. Cela peut entraîner le verrouillage ou la mise en quarantaine par les antivirus d’un journal Exchange ou d’un fichier de base de données alors qu’Microsoft Exchange tente d’utiliser le fichier. Ce comportement peut générer une erreur grave dans Microsoft Exchange et des erreurs -1018.
Les antivirus au niveau fichier n’offrent pas de protection contre les virus de messagerie tels que le ver Storm Worm. Storm Worm était un virus de type cheval de Troie s’introduisant par une porte dérobée pour se propager via les messages électroniques. Le ver relie l’ordinateur infecté à un réseau zombie où l’ordinateur sert à envoyer des courriers indésirables par salves périodiques. Ces virus peuvent altérer les performances de l’ordinateur et du réseau auquel il est connecté.
Conseils d’utilisation de la fonction d’analyse antivirus au niveau fichier avec Exchange 2010
Si vous déployez des antivirus au niveau fichier sur les serveurs Exchange 2010, assurez-vous que les exclusions adéquates, telles que les exclusions de répertoires, de processus et d’extensions de nom de fichier, sont mises en place pour l’analyse au niveau fichier résidant en mémoire. Cette section décrit les exclusions de répertoires, de processus et d’extensions de nom de fichier pour chaque serveur ou rôle serveur.
Exclusions de répertoires
Vous devez exclure des répertoires spécifiques pour chaque serveur ou rôle serveur Exchange sur lequel vous exécutez une analyse antivirus au niveau fichier. Cette section décrit les répertoires que vous devez exclure de l’analyse antivirus au niveau fichier pour chaque serveur ou rôle serveur.
rôle serveur de boîtes aux lettres
Bases de données , fichiers de point de contrôle et fichiers journaux Exchange. Par défaut, ils sont accessibles dans les sous-dossiers du dossier %ExchangeInstallPath%\Mailbox. Vous pouvez identifier l’emplacement du répertoire en exécutant les commandes suivantes dans l’environnement de ligne de commande Exchange Management Shell :
- Pour déterminer l’emplacement d’une base de données de boîtes aux lettres, d’un journal des transactions et d’un fichier de point de contrôle, exécutez la commande suivante :
Get-MailboxDatabase -server <servername>| format-list *path*
- Pour déterminer l’emplacement d’une base de données de boîtes aux lettres, d’un journal des transactions et d’un fichier de point de contrôle, exécutez la commande suivante :
Index du contenu des bases de données. Par défaut, ceux-ci se trouvent dans le même dossier que celui du fichier de la base de données.
Fichiers GroupMetrics. Par défaut, ceux-ci se trouvent dans le dossier %ExchangeInstallPath%\GroupMetrics.
Fichiers journaux généraux, tels que les fichiers journaux de suivi des messages et de réparation du calendrier. Par défaut, ceux-ci se trouvent dans les sous-dossiers du dossier %ExchangeInstallPath%\TransportRoles\Logs et du dossier %ExchangeInstallPath%\Logging. Pour déterminer les chemins d’accès aux journaux utilisés, exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell :
Get-MailboxServer <servername> | format-list *path*
Fichiers de carnet d’adresses en mode hors connexion. Par défaut, ceux-ci se trouvent dans les sous-dossiers du dossier %ExchangeInstallPath%\ExchangeOAB
Fichiers système IIS dans le dossier %SystemRoot%\System32\Inetsrv
Dossier temporaire utilisé avec les utilitaires de maintenance hors ligne, tels que Eseutil.exe. Par défaut, ce dossier correspond à l’emplacement d’exécution du fichier .exe. Toutefois, vous pouvez configurer l’emplacement à partir duquel effectuer l’opération lors de l’exécution de l’utilitaire.
Dossier temporaire de la base de données de boîtes aux lettres : %ExchangeInstallPath%\Mailbox\MDBTEMP
Dossiers de l’antivirus compatibles avec Exchange
- Serveur de boîtes aux lettres appartenant à un groupe de disponibilité de base de données
Tous les éléments répertoriés dans la liste du rôle serveur de boîtes aux lettres et dans le dossier %Winnt%\Cluster.
Serveur témoin
- Fichiers du répertoire témoin. Ceux-ci se trouvent sur un autre serveur dans l’environnement, généralement un serveur de transport Hub. Par défaut, ces fichiers se trouvent dans \\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN> et le partage par défaut (<DAGFQDN>) sur ce serveur. Pour plus d’informations sur un groupe de disponibilité de base de données et les serveurs témoins, consultez la rubrique Gestion de groupes de disponibilité de base de données.
Rôle serveur de transport Hub
Fichiers journaux généraux, tels que les journaux de suivi des messages et de connectivité. Par défaut, ces fichiers se trouvent dans les sous-dossiers du dossier %ExchangeInstallPath%\TransportRoles\Logs. Pour déterminer les chemins d’accès aux journaux utilisés, exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell :
Get-TransportServer <servername>| format-list *logpath*,*tracingpath*
Dossiers des répertoires de collecte et de relecture de message. Par défaut, ces dossiers se trouvent sous le dossier %ExchangeInstallPath%\TransportRoles. Pour déterminer les chemins d’accès aux journaux utilisés, exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell :
Get-TransportServer <servername>| fl *dir*path*
Fichiers de la base de données de file d’attente du rôle serveur de transport, fichiers de point de contrôle et fichiers journaux. Par défaut, ceux-ci se trouvent dans le dossier %ExchangeInstallPath%\TransportRoles\Data\Queue. Pour plus d’informations, consultez la rubrique Gestion des files de transport.
Fichiers de la base de données de réputation de l’expéditeur du rôle serveur de transport, fichiers de point de contrôle et fichiers journaux. Par défaut, ceux-ci se trouvent dans le dossier %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.
Fichiers de la base de données du filtre IP du rôle serveur transport, fichiers de point de contrôle et fichiers journaux. Par défaut, ceux-ci se trouvent dans le dossier %ExchangeInstallPath%\TransportRoles\Data\IpFilter.
Dossiers temporaires utilisés pour effectuer des conversions :
Par défaut, les conversions de contenu sont effectuées dans le dossier TMP du serveur Exchange.
Par défaut, les conversions OLE sont effectuées dans le dossier %ExchangeInstallPath%\Working\OleConvertor.
Dossiers de l’antivirus compatibles avec Exchange
Rôle serveur de transport Edge
Fichiers de la base de données des services AD LDS (Active Directory Lightweight Directory Service) et fichiers journaux. Par défaut, ceux-ci se trouvent dans le dossier %ExchangeInstallPath%\TransportRoles\Data\Adam. Pour plus d’informations sur les fichiers de base de données AD LDS, voir Modifier la configuration d'AD LDS (Active Directory Lightweight Directory Services).
Fichiers journaux généraux, tels que le journal de suivi des messages. Par défaut, ces fichiers se trouvent dans les sous-dossiers du dossier %ExchangeInstallPath%\TransportRoles\Logs. Pour déterminer les chemins d’accès aux journaux utilisés, exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell :
Get-TransportServer <servername> | format-list *logpath*,*tracingpath*
Dossiers de messages de collecte et de relecture. Par défaut, ceux-ci se trouvent sous le dossier %ExchangeInstallPath%\TransportRoles. Pour déterminer les chemins d’accès aux journaux utilisés, exécutez la commande suivante dans l’environnement de ligne de commande Exchange Management Shell :
Get-TransportServer <servername>| format-list *dir*path*
Fichiers de la base de données de file d’attente du rôle serveur de transport, fichiers de point de contrôle et fichiers journaux. Par défaut, ceux-ci se trouvent dans le dossier %ExchangeInstallPath%\TransportRoles\Data\Queue. Pour plus d’informations sur les files d’attente du serveur de transport, consultez la rubrique Gestion des files de transport.
Fichiers de la base de données de réputation de l’expéditeur du rôle serveur de transport, fichiers de point de contrôle et fichiers journaux. Par défaut, ceux-ci se trouvent dans le dossier %ExchangeInstallPath%\TransportRoles\Data\SenderReputation
Fichiers de la base de données du filtre IP du rôle serveur transport, fichiers de point de contrôle et fichiers journaux. Par défaut, ceux-ci se trouvent dans le dossier %ExchangeInstallPath%\TransportRoles\Data\IpFilter
Dossiers temporaires utilisés pour effectuer des conversions :
Par défaut, les conversions de contenu sont effectuées dans le dossier TMP du serveur.
Par défaut, les conversions OLE sont effectuées dans le dossier %ExchangeInstallPath%\Working\OleConvertor.
Dossiers de l’antivirus compatibles avec Exchange
Rôle serveur d'accès au client
Pour les serveurs utilisant les services IIS 7.0 (Internet Information Services), dossier de compression utilisé avec Microsoft Outlook Web App. Par défaut, le dossier de compression des services IIS 7.0 se trouve dans %systemroot%\IIS Temporary Compressed Files.
Pour les serveurs utilisant les services IIS 6.0, dossier de compression utilisé avec Microsoft Outlook Web App. Par défaut, le dossier de compression des services IIS 6.0 se trouve dans %systemroot%\IIS Temporary Compressed Files. Pour plus d’informations sur les erreurs possibles découlant de l’analyse du dossier de compression IIS, consultez Microsoftl’article 817442 de la Base de connaissances Un fichier de 0 octet peut être renvoyé lorsque la compression est activée sur un serveur qui exécute les services Internet (IIS).
Fichiers système IIS dans le dossier %SystemRoot%\System32\Inetsrv
Inetpub\logs\logfiles\w3svc
Fichiers Internet stockés dans les sous-dossiers du dossier %ExchangeInstallPath%\ClientAccess
Dossiers suivants pour les serveurs sur lesquels la journalisation de protocole POP3 ou IMAP4 est activée :
Dossier POP3 : %ExchangeInstallPath%\Logging\POP3
Dossier IMAP4 : %ExchangeInstallPath%\Logging\IMAP4
Dossiers temporaires utilisés pour effectuer des conversions :
Par défaut, les conversions de contenu sont effectuées dans le dossier TMP du serveur.
Par défaut, les conversions OLE sont effectuées dans le dossier %ExchangeInstallPath%\Working\OleConvertor.
Fichiers temporaires dans les sous-dossiers du dossier %windir%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files.
Rôle serveur de messagerie unifiée
Fichiers de grammaire pour des langues différentes, par exemple fr-FR ou es-ES. Par défaut, ceux-ci sont stockés dans les sous-dossiers du dossier %ExchangeInstallPath%\UnifiedMessaging\grammars.
Fichiers d’invites vocales, de messages d’accueil et d’information. Par défaut, ceux-ci sont stockés dans les sous-dossiers du dossier %ExchangeInstallPath%\UnifiedMessaging\Prompts
Fichiers de messagerie vocale temporairement stockés dans le dossier %ExchangeInstallPath%\UnifiedMessaging\voicemail.
Fichiers temporaires générés par la messagerie unifiée. Par défaut, ceux-ci sont stockés dans le dossier %ExchangeInstallPath%\UnifiedMessaging\temp.
Microsoft Forefront Protection pour Exchange
Dossier d’installation de Forefront. Par défaut, il s’agit de %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\.
Messages archivés. Par défaut, ceux-ci sont stockés dans le dossier %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive.
Fichiers mis en quarantaine. Par défaut, ceux-ci sont stockés dans le dossier %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine.
Fichiers du moteur antivirus. Par défaut, ceux-ci sont stockés dans les sous-dossiers du dossier %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86 ou du dossier %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64.
Fichiers de configuration. Par défaut, ceux-ci sont stockés dans le dossier %Program Files (x86)%\Microsoft Forefront Protection for Exchange Server\Data.
Exclusions de processus
De nombreux antivirus au niveau fichier prennent désormais en charge l’analyse de processus pouvant nuire à Microsoft Exchange en cas d’analyse des processus erronés. Par conséquent, vous devez exclure les processus suivants des antivirus au niveau fichier.
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Clussvc.exe |
MSExchangeADTopologyService.exe |
Dsamain.exe |
MsExchangeFDS.exe |
Microsoft.Exchange.EdgeCredentialSvc.exe |
MSExchangeMailboxAssistants.exe |
EdgeTransport.exe |
MSExchangeMailboxReplication.exe |
ExFBA.exe |
MSExchangeMailSubmission.exe |
GalGrammarGenerator.exe |
MSExchangeRepl.exe |
Inetinfo.exe |
MSExchangeTransport.exe |
Mad.exe |
MSExchangeTransportLogSearch.exe |
Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeThrottling.exe |
Microsoft.Exchange.AntispamUpdateSvc.exe |
Msftefd.exe |
Microsoft.Exchange.ContentFilter.Wrapper.exe |
Msftesql.exe |
Microsoft.Exchange.EdgeSyncSvc.exe |
OleConverter.exe |
Microsoft.Exchange.Imap4.exe |
Powershell.exe |
Microsoft.Exchange.Imap4service.exe |
SESWorker.exe |
MSExchangeMailboxAssistants.exe |
SpeechService.exe |
Microsoft.Exchange.Monitoring.exe |
Store.exe |
Microsoft.Exchange.Pop3.exe |
TranscodingService.exe |
Microsoft.Exchange.Pop3service.exe |
UmService.exe |
Microsoft.Exchange.ProtectedServiceHost.exe |
UmWorkerProcess.exe |
Microsoft.Exchange.RPCClientAccess.Service.exe |
W3wp.exe |
Si vous déployez également Forefront Protection pour Exchange Server, excluez les processus suivants.
Adonavsvc.exe |
FscStatsServ.exe |
FscController.exe |
FscTransportScanner.exe |
FscDiag.exe |
FscUtility.exe |
FscExec.exe |
FsEmailPickup.exe |
FscImc.exe |
FssaClient.exe |
FscManualScanner.exe |
GetEngineFiles.exe |
FscMonitor.exe |
PerfmonitorSetup.exe |
FscRealtimeScanner.exe |
ScanEngineTest.exe |
FscStarter.exe |
SemSetup.exe |
Exclusions d’extensions de nom de fichier
Outre l’exclusion de répertoires et de processus spécifiques, en cas d’échec des exclusions de répertoires ou de déplacement de fichiers hors de leurs emplacements par défaut, vous devez exclure les extensions de nom de fichier spécifiques à Exchange.
Extensions relatives aux applications
.config
.dia
.wsb
Extensions relatives aux bases de données
.chk
.jrs
.log
.edb
.jsl
.que
Extensions relatives au carnet d’adresses en mode hors connexion
- .lzx
Extensions relatives à l’index de contenu
.ci
.wid
.001
.dir
.000
.002
Extensions relatives à la messagerie unifiée
.cfg
.grxml
GroupMetrics
.dsc
.bin
.xml
Forefront Protection pour les extensions relatives à Exchange Server
.avc
.dt
.lst
.cab
.fdb
.mdb
.cfg
.fdm
.ppl
.config
.ide
.set
.da1
.key
.v3d
.dat
.klb
.vdb
.def
.kli
.vdm
Les extensions de nom de fichier pour Forefront Protection pour Exchange Server correspondent aux fichiers de signature de différents moteurs de répertoire antivirus. Dans la plupart des cas, ces extensions de nom de fichier ne changent pas. Cependant, d'autres extensions de nom de fichier pourront être ajoutées plus tard à mesure que les fabricants tiers de logiciels antivirus adapteront leurs fichiers de signatures.
© 2010 Microsoft Corporation. Tous droits réservés.