企業中所建置的Exchange Server 2013,每天都得爭分奪秒地負責處理所有對內和對外的訊息流通,因此它的安全性防護建構極為重要,這其中就包含了令許多企業IT關心的個資維安問題。
Q9:如何結合檔案型防毒軟體一起使用
就Exchange Server主機的整體病毒防護而言,除了要安裝針對Exchange Server資料庫與郵件流量有關的防毒系統外,作業系統本身的檔案型(File-level)防毒軟體的使用也相當重要,因為它隸屬於最重要的第一道防線,或稱之為Exchange Server對抗惡意程式的根本防線。
如今,市面上已經有許多針對Windows Server 2012和Windows 8所設計的防毒軟體,對於企業資訊安全的防護,嚴格來說,這一類防毒軟體的部署肯定是非常重要的,而此類的檔案型防毒軟體基本上提供了以下兩種保護機制:
.記憶體的即時監測
目前的防毒軟體除了監測所載入的程式是否帶有可疑的惡意程式碼外,即便是用戶自己想要手動修改一些系統檔案(例如hosts)或是複製一些內含可疑病毒碼的檔案,也會受到即時攔截。
.現有檔案資料的掃描
對於現有存放在硬碟中的各類檔案,為了確保安全無虞,往往防毒軟體預設都會要使用者設定排程掃描的離峰時間。此外,在手動掃描檔案的方式中,目前絕大多數的防毒軟體也支援了所謂的「右鍵掃描」,也就是讓使用者可以隨時隨地針對任一資料夾或單一檔案,透過滑鼠右鍵遠單來啟動掃毒檢查功能。
儘管安裝檔案型的防毒軟體對於Exchange Server所屬的作業系統是如此重要,但是它在防護能力與使用上仍有兩點必須注意的事項。
第一,它並無法徹底防範E-mail本身的惡意程式問題,這包含Exchange Server資料庫內的所有E-mail資料以及流通間的E-mail流量,因為檔案型防毒軟體永遠不會知道這些E-mail的內容中究竟是否夾帶惡意程式或惡意連結。
其二,檔案型的防毒軟體在排程定時的掃描作業中,有可能會造成Exchange Server資料庫或紀錄檔遭到鎖住或隔離,因而產生編號為1018的事件,進而造成用戶端使用者存取失敗的問題。
由此可見,當使用者準備將檔案型的防毒軟體安裝在Exchange Server 2013主機時,便需要分別將特定的資料夾、執行程式、副檔名排除在掃描的名單中,如此才能夠讓Exchange Server運行順暢,詳細內容分別說明如下。
請注意,在接下來有關於命令主控台的範例中,凡是出現「Exchange-2013」的字眼,即表示所要連線的Exchange Server主機名稱,因此必須正確輸入實際的名稱。
需要排除掃描的,包括以下所列的這幾個資料夾:
.信箱資料庫資料夾
在Exchange Server 2013中的信箱資料庫、檢查點檔案、紀錄檔,預設皆會存放在「%ExchangeInstallPath%Mailbox」路徑中,可以如圖25所示透過命令「Get-MailboxDatabase -Server Exchange-2013 | FL *path*」來查詢。而資料庫相關的索引檔,預設也將會儲存在相同路徑內。此外,與群組檢測有關的檔案預設儲存在「%ExchangeInstallPath%GroupMetrics」路徑中。
 |
| ▲圖25 信箱資料庫路徑。 |
信箱伺服器的一般性紀錄檔,包含了訊息追蹤紀錄檔及行事曆修復紀錄檔等等,預設皆會儲存在「%ExchangeInstallPath%TransportRoles\Logs」與「%ExchangeInstallPath%Logging」路徑中。可以如圖26所示透過「Get-MailboxServer Exchange-2013 | FL *path*」命令參數進行查詢。
離線通訊錄的紀錄檔預設儲存在「%ExchangeInstallPath%ClientAccess\OAB」路徑中;IIS網站的系統檔案則預設放在「%SystemRoot%\System32\Inetsrv」路徑中:信箱資料庫的暫時存放資料夾,預設則是在「%ExchangeInstallPath%Mailbox\MDBTEMP」路徑當中。
 |
| ▲圖26 信箱伺服器相關紀錄檔路徑。 |
.資料庫可用性(DAG)群組成員資料夾
叢集仲裁資料庫檔案預設會儲存在「%Windir%\Cluster」的路徑當中,而在資料庫可用性(DAG)群組的架構中,典型的做法不會將用戶端存取伺服器與信箱伺服器安裝在同一部主機內,因此預設作為存放監看的共用資料夾會是在「%SystemDrive%:\DAGFileShareWitnesses」路徑。
.傳輸服務資料夾
針對傳輸服務之紀錄檔的儲存部分,例如訊息追蹤與連線紀錄檔案皆會存放在「%ExchangeInstallPath%TransportRoles\Logs」路徑內,可以如圖27所示透過下達「Get-TransportService Exchange-2013 | FL *logpath*,*tracingpath*」命令參數來取得完整紀錄檔路徑資訊。
 |
| ▲圖27 傳輸服務紀錄檔路徑。 |
針對郵件傳遞過程中所使用到的兩個暫時存放郵件的資料夾Pickup與Replay,在預設的狀態下是位於「%ExchangeInstallPath%TransportRoles」路徑之中,可以如圖28所示透過下達「Get-TransportService Exchange-2013 | FL *dir*path*」命令參數來取得完整路徑資訊。
 |
| ▲圖28 訊息傳輸暫時儲存路徑。 |
在暫存郵件的資料庫內還有郵件佇列(Queue),它預設儲存的資料庫、檢查點、紀錄檔,都是儲存在「%ExchangeInstallPath%TransportRoles\Data\Queue」路徑中。
另外比較特別的是,關於寄件者信譽(Sender Reputation)的資料庫、檢查點、紀錄檔,預設儲存在「%ExchangeInstallPath%TransportRoles\Data\SenderReputation」。