本文概述通常与 Exchange 2000 Server 配合使用的不同类型的病毒扫描程序。本文列出不同类型扫描程序的优点和缺点,以及故障排除注意事项。本文未介绍通常安装在网络服务器(独立于基于 Exchange 2000 Server 的计算机)上的 SMTP 筛选解决方案。
返回页首
文件级扫描程序
文件级扫描程序常用于 Exchange 2000 Server,并且最有可能出现问题。文件级扫描程序可能是“内存驻留”或“按需”文件级扫描程序: • “内存驻留”文件级扫描程序是指一直加载在内存中的一部分文件级防病毒软件。它会检查硬盘和计算机内存中正在使用的所有文件。
• “按需”文件级扫描程序是指您可以进行配置以手动或按照日程安排扫描硬盘上文件的一部分文件级防病毒软件。请注意,有些版本的防病毒软件在更新病毒签名之后,会自动启动“按需”扫描,以确保使用最新的病毒签名扫描所有文件。
在 Exchange 2000 Server 中使用文件级扫描程序时,可能会出现下列问题: • 文件级扫描程序扫描正在使用的文件或按计划间隔扫描文件,并可能在 Exchange 尝试使用 Exchange 日志或数据库文件时锁定或隔离该文件。这可能会导致 Exchange 2000 Server 中出现服务器故障,还可能生成 -1018 错误。
• 如果使用文件级扫描软件扫描驱动器 M,则可能会出现更多的问题。有关扫描驱动器 M 时可能出现的问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
299046 XADM:Calendar Items Disappear from User's Folders(用户文件夹中的日历项目消失)
298551 XADM:Large Number of Transaction Logs Created
300608 XADM:C1041737 Err Msg Displayed When You Mount Databases
307824 You Cannot Install the Exchange Notifications Component on Drive M of an Exchange 2000 Server
298924 XADM:Do Not Back Up or Scan Exchange 2000 Drive M
• 文件级扫描程序并不防护“Mellissa”病毒之类的电子邮件病毒。
注意:“Mellissa”病毒是一种 Microsoft Word 宏病毒,可以通过电子邮件进行传播。该病毒会将不适当的电子邮件发送至它在 Microsoft Outlook 邮件客户端“个人通讯簿”中找到的地址。类似的病毒可导致数据破坏。
从“按需”和“内存驻留”文件级扫描程序中排除下列文件夹: • Exchange 2000 Server 驱动器 M。
• Exchange 数据库和日志文件。默认情况下,这些文件位于 Exchsrvr\Mdbdata 文件夹中。
• Exchsrvr\Mtadata 文件夹中的 Exchange MTA 文件。
• 其他日志文件,例如 Exchsrvr\服务器名.log 文件。
• Exchsrvr\Mailroot 虚拟服务器文件夹。
• 用于存储临时流文件(用于邮件转换)的工作文件夹。在默认情况下,此文件夹位于 \Exchsrvr\MDBData,不过您可以指定位置。
• 与脱机维护实用工具(如 Eseutil.exe)联合使用的临时文件夹。默认情况下,从此文件夹运行 .exe 文件,但是您可以在运行此实用工具时配置从其中运行文件的位置。
• Exchsrvr\Srsdata 文件夹中的“站点复制服务”(SRS) 文件。
• %SystemRoot%\System32\Inetsrv 文件夹中的 Microsoft Internet 信息服务 (IIS) 系统文件。
注意:您可能需要从“按需”和“内存驻留”文件级扫描程序中排除整个 Exchsrvr 文件夹。
有关工作文件夹的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
822936 Message Flow to the Local Delivery Queue Is Very Slow
从“按需”和“内存驻留”文件级扫描程序中排除下列文件类型: • .edb
• .stm(位于 Exchange 2000 Server 上)
• .log
从“内存驻留”和“按需”扫描程序中排除包含检查点 (.chk) 文件的文件夹。
注意:即使您将 Exchange 数据库和日志文件移至新位置,并且排除这些文件夹,仍可能扫描 .chk 文件。 有关扫描 .chk 文件时可能出现的情况的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
253111 XADM:Event: Unable to Write a Shadowed Header for File(无法为文件写入带阴影的标题)
176239 XADM:DB Won't Start; Circular Logging Deleted Log File Too Soon(数据库无法启动;循环记录删除日志文件的速度太快)
返回页首
MAPI 扫描程序
包含 Exchange 代理的第一代病毒扫描程序是基于 MAPI 的扫描程序。这些扫描程序对每个邮箱执行 MAPI 登录,然后扫描邮箱中是否存在已知病毒。
与基于文件的扫描程序相比,MAPI 扫描程序具有下列优点: • MAPI 扫描程序可以扫描电子邮件病毒,例如“Mellissa”病毒。
• MAPI 扫描程序不会干扰 Exchange 日志或数据库文件。
MAPI 扫描程序存在下列缺点: • MAPI 扫描程序不能在用户打开电子邮件之前扫描感染病毒的电子邮件。如果 MAPI 扫描程序未首先检测感染病毒的电子邮件,则它不会阻止用户打开感染病毒的电子邮件。
• MAPI 扫描程序无法扫描出站邮件。
• MAPI 扫描程序无法识别 Exchange 零备份存储筛选器,因此如果在多个邮箱中存在相同的邮件,该扫描程序可能会对单个邮件进行多次扫描。因此,MAPI 扫描程序在执行扫描时可能要花费更长的时间。
由于 MAPI 扫描程序可以检测电子邮件病毒,因此它优于文件级扫描程序。但是,还有更好的扫描程序可供选择,这些将在本文稍后部分进行介绍。
返回页首
VAPI、AVAPI 或 VSAPI 扫描程序
病毒应用程序编程接口,即病毒 API (VAPI),还称为防病毒 API (AVAPI) 或病毒扫描 API (VSAPI)。
Exchange Server 5.5 Service Pack 3 (SP3) 中引入了 VAPI 1.0,并且一直使用至 Exchange 2000 Server。VAPI 1.0 已进行了许多改进,以提高 Exchange Server 5.5 的性能。 有关本主题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
248838 XADM:Exchange Server 5.5 Post-SP3 Information Store Fixes Available
Exchange 2000 Server Service Pack 1 (SP1) 中引入了 VAPI 2.0。Exchange 5.5 不支持 VAPI 2.0。VAPI 1.0 和 VAPI 2.0 均支持按需扫描。
当您使用 VAPI 扫描程序并且某个客户尝试打开邮件时,系统将进行比较以确保当前病毒签名文件已扫描邮件正文和附件。如果当前供应商或病毒签名尚未扫描该内容,则会将相应的邮件组件提交给防病毒软件供应商,以便在向客户发布该邮件组件之前进行扫描。该客户可能正在使用常规 MAPI 客户端或基于 Internet 协议的客户端,例如邮局协议版本 3 (POP3)、Microsoft Outlook Web Access (OWA)、Internet 邮件访问协议版本 4rev1 (IMAP4)。
在 VAPI 2.0 中,单个队列处理所有邮件正文和附件数据。作为“按需”项目提交给此队列的项目被作为高优先级项目提交。现在,一系列的线程为此队列提供服务,高优先级的项目始终优先处理。线程的默认编号为 2 * '处理器个数' + 1。这可以同时向供应商提交多个项目。此外,客户端线程不再受等待发布项目的“超时”值所约束。扫描项目并标记其安全之后,系统将通知客户端线程该项目可用。默认情况下,客户端线程最多等待三分钟以获得所请求数据可用性的通知,超过该时间即出现超时。
VAPI 2.0 中新增的一项功能是主动扫描邮件。在 VAPI 1.0 中,邮件附件信息只有在使用时才进行扫描。在 VAPI 2.0 中,项目被提交给信息存储时,将同时提交给公用信息存储队列。其中每个项目在该队列中的优先级都较低,因此这些项目不会干扰对高优先级项目的扫描。扫描完所有高优先级项目之后,VAPI 2.0 开始扫描低优先级项目。如果客户在项目位于低优先级队列中时尝试使用该项目,该项目的优先级将动态升级到高优先级。低优先级队列中最多同时存在 30 个项目,并且基于先进先出原则进行处理。
扫描进程改进的最后一个方面是后台扫描。在 VAPI 1.0 中,通过对附件表进行一遍扫描,以及将当前供应商或签名文件尚未扫描的附件直接提交给病毒 DLL,来执行后台扫描。每个专用和公用信息存储都会收到一个线程来执行此后台扫描,在该线程完成对附件表的一遍扫描之后,该线程将等待信息存储进程重新启动,然后再执行一遍扫描。在 VAPI 2.0 中,每个邮件数据库 (MDB) 仍将收到一个线程来执行后台扫描进程。但是,现在后台扫描进程会浏览构成每个用户邮箱的文件夹系列。遇到尚未扫描的项目时,就将其提交给供应商,并继续执行扫描进程。防病毒软件供应商还可能通过一组注册表项来强制执行后台扫描。
用户最强烈要求添加至 VAPI 1.0 的功能是能够提供邮件详细资料,以便 Exchange 管理员可以跟踪病毒的存在情况,确定病毒如何渗入组织以及确定感染病毒的用户。此功能已添加至 VAPI 2.0,因为扫描不再直接基于附件表。
为增强 VAPI 的故障排除功能,Exchange 2000 Server SP1 实现了新的 VAPI 性能监视器计数器,Exchange 管理员可以使用它们来跟踪病毒扫描 API 的性能。管理员可以通过这些计数器确定有多少信息被扫描以及扫描这些信息的速率。这有助于管理员更准确地调整服务器。
最后一个功能是特定于 VAPI 的新的事件日志功能。所记录的新事件包括: • 加载和卸载供应商 DLL。
• 成功扫描项目。
• 在信息存储中找到的病毒。
• VAPI 中的意外行为。
您可以通过查找下列注册表项,确定是否正在使用 VAPI 扫描程序:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\VirusScan
如果未安装 VAPI 扫描程序,则不存在此注册表项。
返回页首
基于 ESE 的扫描程序
基于 ESE 的扫描程序(如某些版本的 Antigen)使用信息存储以及 Microsoft 不支持的可扩展存储引擎 (ESE) 之间的接口。当您使用这种类型的软件时,如果在实现该软件的过程中出现错误,您会遭受损坏数据库和丢失数据的危险。
安装期间,基于 ESE 的扫描程序将更改 Exchange Server 信息存储服务,以使其依赖于特定于供应商的服务。这可以确保在启动 Exchange Server 信息存储服务之前,启动该供应商的服务。在启动过程中,扫描程序的服务将检查其软件和 Exchange Server 的相应版本以及相应的文件版本。如果发现不兼容现象,该供应商的软件将禁用自身,使信息存储能够在不进行病毒防护的情况下启动,然后通知管理员。
基于 ESE 的扫描程序成功启动后,Microsoft 版本的 Ese.dll 文件被临时重命名为 Xese.dll,该供应商的 Ese.dll 文件版本将替换原始文件。加载该供应商的 Ese.dll 文件版本之后,Microsoft 版本将再次重命名为 Ese.dll,并启用 Exchange Server 信息存储以完成其启动过程。
与 Microsoft 产品支持服务联系的客户可能被要求禁用 Sybari Antigen 服务,以帮助识别问题,但在正确诊断出问题的根源之后,客户可以再次自由启用该软件。Microsoft 和 Sybari 一致认为这是确定问题根源的有效故障排除步骤。要与 Sybari Software 联系,请访问以下 Sybari Web 站点:
http://www.sybari.com/返回页首
附加阅读材料
有关与 Exchange Server 配合使用的病毒扫描软件的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
285667 XADM:Understanding Virus Scanning API 2.0 in Exchange 2000 SP1(了解 Exchange 2000 SP1 中的病毒扫描 API 2.0)
298924 XADM:Do Not Back Up or Scan Exchange 2000 Drive M
245822 XGEN:Troubleshooting Exchange w Antivirus Installed(排除安装了防病毒软件的 Exchange 的故障)
263949 XADM:Understanding How the Antivirus API Scans Attachments
253111 XADM:Event: Unable to Write a Shadowed Header for File. . .
176239 XADM:DB Won't Start; Circular Logging Deleted Log File Too Soon(数据库无法启动;循环记录删除日志文件的速度太快)
有关病毒和安全警报以及病毒防护软件供应商的最新信息,请使用下列资源:
Microsoft
http://support.microsoft.com/?scid=http%3a%2f%2fwww.microsoft.comftp://ftp.microsoft.com/transfer/outgoing/bussys/mail/worm-virusICSA
ICSA 是 GartnerGroup 的子公司,提供 Internet 安全保证服务。
http://www.icsa.net/CERT Coordination Center
CERT Coordination Center 是 Software Engineering Institute 中 Survivable Systems Initiative 的一部分,Software Engineering Institute 是一家由美国联邦政府资助的研发中心,并受美国国防部的赞助,由 Carnegie Mellon University 负责管理。
http://www.cert.org/Computer Incident Advisory Capability
Computer Incident Advisory Capability 向遇到计算机安全事故的美国能源部 (DOE) 站点提供全天候的技术支持和信息。
http://www.ciac.org/Network Associates
http://www.nai.com/Trend Micro
http://www.antivirus.com/Computer Associates
http://ca.com/virusinfoNorton AntiVirus (Symantec)
http://www.norton.com/Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性,Microsoft 不作任何暗示保证或其他形式的保证。