Cấu hình phần mềm chống virus mức file trong Exchange Server 2007

Bằng việc định nghĩa, phần mềm chống virus kiểm tra các file khi hệ điều hành thực hiện hoạt động trên chúng, các hoạt động đó cụ thể như việc mở, tạo, và đóng một file. Để tạo một môi trường an toàn, mỗi quản trị viên Exchange phải an hiểu vấn đề bảo mật môi trường. Về mặt phần mềm chống virus, chúng tôi có hai loại chống virus cho Exchange Server:

Phần mềm chống virus mức Exchange Server

Phần mềm này chạy trong Exchange Server. Exchange Server 2007 hỗ trợ Virus Scanning API (VSAPI), bên cạnh đó cũng hỗ trợ cho việc quét virus tại mức truyền tải. Chống virus ở mức truyền tải được cài đặt trong các role của Exchange Server (Hub Transport và Edge Transport) và nó tạo cho các tác nhân truyền tải khả năng xử lý lưu lượng thông báo đi vào trước khi các thông báo này tới được máy chủ mailbox. Chúng ta có thể thấy được ví dụ về phần mềm chống virus tác nhân truyền tải thông qua Get-TransportAgent cmdlet, xem trong hình 1.


Hình 1: Phần mềm chống virus sử dụng Transport Agents để bảo vệ
môi trường Exchange Server tại lớp truyền tải

Phần mềm quét virus mức file

Nó thực sự không rõ ràng đối với Exchange Server nhưng có thể bảo vệ máy chủ chống lại các virus nằm trong file hệ thống của hệ điều hành. Chống virus mức file không bảo vệ để chống lại virus email, chúng sẽ không làm sạch mailbox của bạn nếu nhận được thông báo có virus từ một phần mềm nào đó. Các thực hiện tốt nhất là sử dụng phần mềm chống virus mức file trên tất cả máy chủ và hệ điều hành máy khách, tạo một thủ tục để làm cho tất cả chữ ký phần mềm chống virus được cập nhật trong toàn tổ chức.

Trước khi bắt đầu với chủ đề của bài này, chúng ta cần phải ghi nhớ rằng Exchange Server 2007 là một kiến trúc mới. Kiến trúc mới này bắt buộc phải sử dụng các máy chủ x64 bit. Thẩm định với hãng phần mềm chống virus xem có phiên bản nào cho x64 bit để bạn có thể lợi dụng cho kiến trúc hệ điều hành này.

Lưu ý:
Một số hãng phần mềm chống virus mức file chỉ có các phiên bản 32 bit. Chúng ta có thể cài đặt chúng trên máy tính x64, nhưng phần mềm chạy x64 bit sẽ lợi dụng được những thuận lợi của kiến trúc x64 này để cho hiệu suất cao hơn.

Trong các bộ quét virus mức file, có hai tùy chọn: Memory-resident và On-demand; điều đầu tiên cho phép phần mềm chống virus cư trú trong bộ nhớ và nó kiểm tra tất cả các file dù là file gì đi nữa, bộ nhớ hoặc mức file, tùy chọn thứ hai cho phép quét quá trình chạy trong suốt một chu trình cụ thể.

Phương pháp tốt nhất là sử dụng cả hai: phần mềm chống virus cho Exchange Server và phần mềm chống virus mức file trên hệ điều hành. Chúng tôi cũng khuyến khích các bạn sử dụng chống virus mức file trên các máy trạm client.

Cấu hình phần mềm chống virus mức file

Bây giờ chúng ta hãy cấu hình Exchange Servers để dùng cho việc chống virus mức file. Trước khi bắt đầu, chúng ta cần phải chú ý đến mỗi vai trò (role) của Exchange Server (Mailbox, CAS, Hub Transport, Edge Transport và Unified Messaging) đều có các yêu cầu khác nhau được định nghĩa bởi phần mềm chống virus mức file.

Để cấu hình đúng phần mềm chống virus mức file cho mỗi role cụ thể chúng ta cần cấu hình như sau:

  • Ngăn chặn thư mục
  • Ngăn chặn quá trình
  • Ngăn chặn file mở rộng

Lưu ý:
Bạn phải thẩm định xem những tùy chọn nào có sẵn của hãng phần mềm chống virus của bạn.

Cấu hình danh sách ngăn chặn thư mục

Chúng ta sẽ xem cách cấu hình danh sách ngăn chặn thư mục của phần mềm chống virus trên Exchange Server Role:

Client Access Server (CAS)

Chúng ta phải bảo đảm rằng các thư mục dưới đây sẽ được ngăn chặn bởi phần mềm chống virus:

  • Thư mục nén Internet Information Services (IIS) 6.0
    Giá trị mặc định: %systemroot%\IIS Temporary Compressed Files
  • Các file hệ thống IIS
    Giá trị mặc định: %SystemRoot%\System32\Inetsrv folder
  • Các file liên quan đến Interner được sử dụng bởi CAS
    Giá trị mặc định: %Program Files%\Microsoft\Exchange Server\ClientAccess
  • Thư mục tạm thời của máy chủ thực hiện tình huống chính
    Giá trị mặc định: C:\Windows\Temp

    Để thu thập thông tin: Kích chuột phải vào biểu tượng My Computer, Properties, kích Advanced, sau đó là nút Environment Variables, bạn có thể xem trên hình 2.


Hình 2: Thư mục TEMP của máy chủ

Máy chủ Mailbox

Trong các máy chủ Mailbox, chúng ta phải bảo đảm rằng cơ sở dữ liệu, các file bản ghi và file lấy chuẩn kiểm tra phải được ngăn chặn bằng phần mềm chống virus mức file. Cmdlets dưới đây sẽ thể hiện các thư mục của thành phần này:

  • Thư mục cơ sở dữ liệu Mailbox (hình 3)
    Get-MailboxDatabase –server <ServerName> | fl *path*
  • Thư mục cơ sở dữ liệu Public Folder (hình 4)
    Get-PublicFolderDatabase –server <ServerName> | fl *path*
  • Message Tracking và Log Path cho các thư mục quản lý Folder (hình 5)
    Get-MailboxServer <ServerName> | select *path*
  • Thư mục Storage Group (hình 6)
    Get-StrorageGroup –Server <ServerName> | fl *path*


Hình 3: Các thư mục được sử dụng bởi file LCR và cơ sở dữ liệu Mailbox (nếu có thể áp dụng)


Hình 4: Thư mục được sử dụng bởi cơ sở dữ liệu Public Folder


Hình 5: Các thiết lập máy chủ Mailbox phải nằm trong danh sách ngăn chặn thư mục chống virus.


Hình 6: Các thư mục được sử dụng bởi Storage Groups

  • Các file Offline Address Book
    %Program Files%\Microsoft\Exchange Server\ExchangeOAB folder
  • Thư mục tạm thời của cơ sở dữ liệu mailbox
    %Program Files%\Microsoft\Exchange Server\Mailbox\MDBTEMP
  • Thư mục nén của Internet Information Services (IIS) 6.0
    Giá trị mặc định: %systemroot%\IIS Temporary Compressed Files
  • Các file hệ thống IIS
    Giá trị mặc định: %SystemRoot%\System32\Inetsrv folder
  • Các chỉ số nội dung dữ liệu. Chúng ta có thể có được thư mục Index bằng kịch bản dưới đây:
    getSearchIndexForDatabase.ps1 –all, xem hình 7.


Hình 7: Sử dụng kịch bản GetSearchIndexForDatabase.ps1 để hợp lệ hóa thư mục Index

  • Thư mục TEMP của hệ thống mặc định được sử dụng để thực hiện các tình huống chính (hình 2)
  • Directory được sử dụng cho các tình huống OLE
    %Program Files%\Microsoft\Exchange Server\Working\OleConvertor folder
  • Nếu sử dụng bất kỳ một tiện ích bảo trì Exchange nào (eseutil, isinteg, …), hãy bảo đảm rằng thư mục tạm thời phải nằm trong danh sách ngăn chặn phần mềm chống virus mức file.

Edge Transport Server và Hub Transport

Trong Hub Transport Server chúng ta phải ngăn chặn tất cả các thư mục đã được sử dụng bởi Message Tracking, các thư mục message,… Sử dụng cmdlet Get-TransportServer <ServerName> | select *path* để hợp lệ hóa các thư mục, xem trong hình 8.


Hình 8: Thông tin của thư mục được sử dụng bởi các thành phần Transport

Chúng ta cũng phải ngăn chặn các thư mục liên quan đến hàng đợi và lọc IP, đây là các thư mục được liệt kê trong file EdgeTransport.exe.config, xem hình 9.



Hình 9: Các thiết lập cơ sở dữ liệu hàng đợi và lọc địa chỉ IP

  • Thư mục TEMP của máy chủ (hình 2)
  • Các thư mục OLE %Program Files%\Microsoft\Exchange Server\Working\OleConvertor.
  • Các file cơ sở dữ liệu Sender Reputation có thể tìm thấy dưới thư mục sau
    %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation
  • Các file bản ghi là cơ sở dữ liệu ADAM (cụ thể cho Edge Transport): Đường dẫn mặc định là %Program Files%\Microsoft\Exchange Server\TransportRoles\Data\Adam nhưng bạn có thể thay đổi hoặc ảo hóa nó thông qua kịch bản ConfigureAdam.ps1
    Unified Messaging

Unified Messaging

Role Unified Messaging yêu cầu một số thư mục cần phải được ngăn chặn bởi phần mềm chống virus mức file:

  • Grammar Files
    %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\grammars
  • Voice Prompts
    %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\Prompts
  • Voicemail
    %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\voicemail
  • Bad Voicemail
    %Program Files%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail

Ngăn chặn thư mục chung cho tất cả các role của Exchange

Thông thường có phần mềm chống virus của Exchange Server đã cài đặt trong Exchange Servers, và chúng ta phải loại ra thư mục Quarantine và bất kỳ ứng dụng nào mà hãng phần mềm chống virus chỉ rõ trong hướng dẫn cài đặt của sản phẩm.

Các bước mở rộng khi sử dụng nhóm Mailbox Server

Exchange Server 2007 cho phép hai dạng giải pháp nhóm: CCR (Cluster Continuous Replication), sử dụng một file nhân chứng được chia sẻ với tư cách đại biểu và SCC (Single Copy Cluster) sử dụng một đĩa vật lý với tư cách đại biểu. Trong cả hai thành phần bên trong của đại biểu phải được loại từ bởi phần mềm chống virus mức file. Để tìm ra loại nhóm nào bạn đang sử dụng, hãy mở Cluster Administrator và xem Cluster Group. Nếu thấy mục Majority Node Set, nghĩa là bạn đang sử dụng CCR (hình10), còn nếu là Physical Disk, nghĩa là đang sử dụng SCC cluster.


Hình 10: Mục Majority Node Set được sử dụng bởi các thực thi CCR cluster

Thư mục %Winnt%\Cluster phải được thể hiện trong danh sách ngăn chặn thư mục của phần mềm chống virus mức file trong cả hai kịch bản (CCR hay SCC). Lúc này, chúng ta đã biết được kiểu nhóm nào đang có, còn giờ hãy tiếp tục cấu hình phần mềm chống virus.

Cluster Continuous Replication (CCR)

Trong môi trường CCR, Quorum của chúng ta được đóng góp một phần điều khiển xa; chúng ta có thể sử dụng tiện ích cluster để tìm ra nơi nhân chứng chia sẻ file nằm ở đâu, sau đó cấu hình trong một máy được liệt kê, ngoại trừ trên thư mục đó.

Dòng lệnh được sử dụng để hiển thị như trong hình 1 có cú pháp là:

Cluster <ClusterName> res “Majority Node Set” /priv, nơi ClusterName không phải là tên của Exchange Cluster mà là tên bạn thiết lập trong suốt quá trình triển khai Cluster.


Hình 11: Nhân chứng chia sẻ file được sử dụng bởi CCR

Lúc này, chúng ta biết được máy chủ và thư mục chia sẻ. Hãy đăng nhập vào máy chủ đó và cấu hình danh sách loại trừ thư mục cho thư mục đó. Trong hình của chúng ta là một máy chủ có tên gọi tofrontex1 và một đường dẫn vật lý của thư mục chia sẻ MNS_FSW_ClientCluster.

Single Copy Cluster (SCC)

Sử dụng SCC chúng ta phải xem xem đĩa nào đang được sử dụng bởi đại biểu qua Cluster Administrator và cấu hình đĩa đó trong danh sách ngoại trừ. Chúng ta phải thực hiện các bước này trong tất cả các nút Cluster.

Cấu hình danh sách ngăn chặn file mở rộng

Một số hãng phần mềm chống virus cho phép chúng ta có thể ngăn chặn các file mở rộng với khả năng chống thời gian thực, các ngăn chặn dưới đây phải được định nghĩa cho Exchange Server 2007:

Mailbox Servers sử dụng các ngăn chặn dưới đây:

  • .chk
  • .log
  • .edb
  • .jrs
  • .que

Các ngăn chặn của Unified Messaging

  • .cfg
  • .grxml

Các ngăn chặn liên quan đến ứng dụng

  • .config
  • .dia
  • .wsb

Các ngăn chặn liên quan đến Offline Address Book có thể tìm thấy trong các máy chủ Mailbox:

  • .lzx

Ngăn chặn liên quan đến Content Index

  • .ci
  • .dir
  • .wid
  • .000
  • .001
  • .002

Tiến trình cấu hình danh sách ngăn chặn

Một số hãng phần mềm chống virus cho phép ngăn chặn các quá trình từ phần mềm chống virus mức file. Chúng ta có thể sử dụng bảng dưới đây để ngăn chặn tiến trình đã liệt kê cho mỗi role máy chủ.

Tiến trình

Role máy chủ

Cdb.exe

common

Cidaemon.exe

Common

Cluster.exe

Mailbox

Dsamain.exe

Edge

Edgecredentialsvc.exe

Edge

Edgetransport.exe

Edge

Galgrammargenerator.exe

Unified Messaging

Inetinfo.exe

Mailbox and CAS

Mad.exe

Mailbox

Microsoft.Exchange.Antispamupdatesvc.exe

Hub, Edge

Microsoft.Exchange.Contentfilter.Wrapper.exe

Microsoft.Exchange.Cluster.Replayservice.exe

Mailbox

Microsoft.Exchange.Edgesyncsvc.exe

Hub

Microsoft.Exchange.Imap4.exe

CAS

Microsoft.Exchange.Imap4service.exe

CAS

Microsoft.Exchange.Infoworker.Assistants.exe

Mailbox

Microsoft.Exchange.Monitoring.exe

All Roles

Microsoft.Exchange.Pop3.exe

CAS

Microsoft.Exchange.Pop3service.exe

CAS

Microsoft.Exchange.Search.Exsearch.exe

Mailbox

Microsoft.Exchange.Servicehost.exe

CAS and Mailbox

Msexchangeadtopologyservice.exe

Mailbox, Hub, CAS, Unified Messaging

Msexchangefds.exe

CAS and Unified Messaging

Msexchangemailboxassistants.exe

Mailbox

Msexchangemailsubmission.exe

Mailbox

Msexchangetransport.exe

Hub Transport and Edge

Msexchangetransportlogsearch.exe

Mailbox, Hub Transport and Edge

Msftefd.exe

Mailbox Cluster

Msftesql.exe

Mailbox

Oleconverter.exe

Mailbox, Hub Transport

Powershell.exe

General

Sesworker.exe

Speechservice.exe

Unified Messaging

Store.exe

Mailbox

Transcodingservice.exe

Umservice.exe

Unified Messaging

Umworkerprocess.exe

Unified Messaging

W3wp.exe

IIS Service used by CAS and Mailbox

Kết luận

Trong hướng dẫn này, chúng tôi đã giới thiệu cách triển khai phần mềm chống virus mức file trên Exchange Server 2007 một cách độc lập của phần mềm chống virus mức file đã cài đặt. Chúng ta cũng thấy được các thư mục nào phải được ngăn chặn từ phần mềm chống virus mức file, chỉ rõ các mở rộng cũng như các dịch vụ đang chạy trong bộ nhớ.

Thứ Hai, 12/11/2007 11:04
31 👨 566
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp