Viren: wo dürfen wir nicht scannen ?

Ein Virenschutz ist nur komplett, wenn er möglichst alle Wege und Speicherorte überwacht. Aber das ist nicht immer richtig, denn es gibt Bereiche und Zugänge, die kann ein Virenscanner gar nicht richtig überwachen. Wenn er es aber dennoch tut., dann kostet dies Performance und kann durch Fehlerkennungen sogar zu Problemen und Datenverlusten führen. Drei Beispiele

  • Datenbanken und Logfiles
    Die Exchange Datenbanken sind in "Seiten" unterteilt, so dass eine größere Mail oder Anlage eigentlich nie am Stück darin zu finden ist. Ein Dateiscanner auf die Exchange EDB/STM-Dateien oder Protokolldateien kostet nur unnötig Ressourcen und hat das immense Risiko einer schwerwiegenden Störung, wenn der Virenscanner einen vermeintlichen Virus entdeckt.
  • Ports
    Immer mehr Virenscanner enthalten "Firewall"-Komponenten und "Verhaltensanalysen". Schade nur, dass viele hier irre, wenn Sie ausgehende Verbindungen auf Remoteport 25 für Outlook Express zulassen aber die Exchange Transportdienste blockieren. Gleiches gilt für einen Virenscanner, der auf Workstations gerne den Zugriff auf Port 80/443 blockieren kann aber auf dem Exchange Server damit natürlich schwere Störungen anrichtet

Damit wird klar, dass es bei jeder Installation eines Virenscanners wichtig ist, die Konfiguration im Detail zu prüfen und gegebenenfalls anzupassen. Selbst Virenscanner, die für Server ausgelegt sind, nutzen oft einfach die gleichen Einstellungen wie Scanner für Arbeitsplätze.

Am besten erstellen Sie für ihre Server selbst eine entsprechende Liste und haken die Einstellungen wie bei einer Checkliste ab

Dateisystem

Die meisten AV-Produkte erlauben Ausschlusslisten auf Dateisystembasis, d.h. den Ausschluss kompletter Verzeichnisse oder Dateien

Verzeichnis

%systemroot%\IIS Temporary Compressed File

%SystemRoot%\TEMP

%SystemRoot%\System32\Inetsrv

%ProgramFiles%\Microsoft\Exchange Server\ClientAccess

C:\Program Files\Microsoft\Exchange Server\Logging\Managed Folder Assistant

C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking

%ProgramFiles%\Microsoft\Exchange Server\ExchangeOAB

%ProgramFiles%\Microsoft\Exchange Server\Mailbox\MDBTEMP

%ProgramFiles%\Microsoft\Exchange Server\Working\OleConverter

%ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\grammars

%ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\Prompts

%ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\voicemail

%ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail

%ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Archive

%ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine

%ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86

%ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data

Alle Exchange Datenbankverzeichnisse

Alle Exchange Protokolldateiverzeichnisse

MajorityNodeSet Verzeichnis des Clusters

Dateierweiterungen

Sofern ihr Virenscanner bestimmte Erweiterungen auslassen kann, ist es relativ ungefährlich auf dem Server die folgenden Dateien auszuschließen. Sie enthalten in der Regel eh keinen ausführbaren Code

Dateierweiterung Bedeutung

.chk

 

 .log

Exchange Protokolldateien

.edb

Exchange Datenbank

.stm

Exchange Datenbank

.jrs

Journaldateien

.que

 

.cfg

 

.grxml

 

.config

 

.dia

 

.wsb

 

.lzx

 

.ci

Exchange/Windows Indexserver

.dir

 

.wid

 

.000

 

.001

 

.002

 

Prozesse

Die verschiedenen Exchange Programme können ebenfalls bei einem Dateiscanner auf die Ausschlussliste kommen, es sei denn Sie würden Exchange selbst als Virus bezeichnen. Die Exchange Programme selbst sind mittlerweile ja digital signiert, so dass Veränderungen hier auffallen. Allerdings könnte sich natürlich ein Schädling mit dem gleichen Namen in einem anderen Verzeichnis "tarnen". Die Sicherheit ist daher auch ein Teil ihrer umsicht und administrativen Berechtigungen

Prozessname Funktion

Cdb.exe

 

Cidaemon.exe

Content Index

Cluster.exe

Cluster

Dsamain.exe

Directory Service

Edgecredentialsvc.exe

Edge

Edgetransport.exe

Edge/transport ServiUCE

Galgrammargenerator.exe

 

Inetinfo.exe

Webserver

Mad.exe

 

Microsoft.Exchange.AntispamUpdatesvc.exe

 

Microsoft.Exchange.Contentfilter.Wrapper.exe

 

Microsoft.Exchange.Cluster.Replayservice.exe

 

Microsoft.Exchange.Edgesyncsvc.exe

 

Microsoft.Exchange.Imap4.exe

 

Microsoft.Exchange.Imap4service.exe

 

Microsoft.Exchange.Infoworker.Assistants.exe

 

Microsoft.Exchange.Monitoring.exe

 

Microsoft.Exchange.Pop3.exe

 

Microsoft.Exchange.Pop3service.exe

 

Microsoft.Exchange.Search.Exsearch.exe

 

Microsoft.Exchange.Servicehost.exe

 

Msexchangeadtopologyservice.exe

 

Msexchangefds.exe

 

Msexchangemailboxassistants.exe

 

Msexchangemailsubmission.exe

 

Msexchangetransport.exe

 

Msexchangetransportlogsearch.exe

 

Msftefd.exe

 

Msftesql.exe

 

Oleconverter.exe

 

PowerShell.exe

 

Sesworker.exe

 

Speechservice.exe

 

Store.exe

Informationsspeicher

Transcodingservice.exe

 

Umservice.exe

Unified Messaging

Umworkerprocess.exe

Unified Messaging

W3wp.exe

WWW-Serivce

Ports

Sofern sie mit Firewalls auf dem Server oder als Bestandteil einer "Verhinderungslösung" des Virenscanners zu tun haben, sollten Sie vielleicht die folgenden Ports auf den Servern ausnehmen.

Port Beschreibung

eingehend 25/TCP

Empfang von Mails per SMTP

ausgehend 25/TCP

Versand von Mails

Eingehend 110/143/993/995
eingehend 589

Zugriff von IMP4 und POP3 Clients auf Postfachdaten
Versand von Mails per authenticated SMTP via Exchange

80/443

Outlook Webzugriff, Exchange ActiveSync, RPC over HTTP, ECP, Webservice, WinRM

5985 und 5986

WinRM

Weitere Links