Exchange Server 2016/2019 Antivirüs

Exclusions İşlemleri

Exchange Server, birçok organizasyon için kritik öneme sahip bir e-posta iletişim platformudur. Bu nedenle, performansını ve güvenliğini korumak amacıyla sunucuda çalıştırılan antivirüs yazılımları büyük önem taşır. Ancak, doğru yapılandırma ve ayarlar olmadan, antivirüs yazılımları Exchange Server’ın performansını olumsuz etkileyebilir ve hatta bazı durumlarda veri kaybına yol açabilir. İşte burada “AV Exclusions” (Antivirüs Hariç Tutma) devreye girer.

Herhangi bir Windows virüsten koruma programının iki temel bileşeni vardır:

  • Bellekte yerleşik tarama veya gerçek zamanlı koruma, bilgisayarın etkin belleğine yüklenen ve çalışan tüm dosyaları ve işlemleri izler.
  • Dosya düzeyinde tarama, sabit diskteki dosyaları el ile veya düzenli bir zamanlamayla virüslere karşı denetlemeyi ifade eder. Bazı virüsten koruma programları, tüm dosyaların en son imzalarla tarandığından emin olmak için virüs imzaları güncelleştirildikten sonra otomatik olarak isteğe bağlı bir tarama başlatır.

En büyük olası sorun, bir Windows virüsten koruma programının Exchange’in değiştirmesi gereken açık bir günlük dosyasını veya veritabanı dosyasını kilitleyebilmesi veya karantinaya alabilmesidir. Bu, Exchange Server’da ciddi hatalara neden olabilir ve ayrıca 1018 olay günlüğü hataları da oluşturabilir. Bu nedenle, bu dosyaların Windows virüsten koruma programı tarafından taranmasını engellemek çok önemlidir.

Başka bir sorun da, Windows sunucularında çalışan Windows virüsten koruma programları yalnızca e-posta yoluyla dağıtılan virüsleri, kötü amaçlı yazılımları ve istenmeyen postaları algılayamadığından, Windows virüsten koruma programlarının e-posta tabanlı istenmeyen postadan koruma ve kötü amaçlı yazılımdan koruma çözümlerinin yerini alamamasıdır.

Exchange Server AV Exclusions Nedir?

Exchange Server’da AV Exclusions, antivirüs yazılımının belirli klasörleri, dosyaları veya süreçleri taranmasından hariç tutmasını sağlayan bir yapılandırmadır. Bu, Exchange’in doğru çalışabilmesi için, özellikle yoğun veri işlemi gerçekleştiren bazı kritik dosya ve hizmetlerin antivirüs yazılımının taramasından etkilenmemesi için gereklidir.

AV Exclusions Avantajları

  1. Performans Artışı: Antivirüs yazılımı tarafından taranan dosyaların sayısının azaltılması, I/O işlemlerinde ve CPU kullanımında önemli bir azalmaya neden olabilir. Bu, özellikle yoğun veritabanı işlemleri ve posta kutusu işlemleri için önemlidir.
  2. Engellenmeyen Hizmetler: Antivirüs yazılımları, bazen kritik Exchange hizmetlerinin veya işlemlerinin çalışmasını engelleyebilir. Exclusions ile bu risk azaltılır.
  3. Veri Bütünlüğü: Antivirüs yazılımlarının tarama işlemleri, Exchange veritabanlarında bozulmalara yol açabilir. Bu tür bozulmaların önüne geçmek için, veritabanları ve ilgili log dosyaları hariç tutulmalıdır.
  4. Daha Hızlı Geri Yükleme: Backup ve restore işlemleri, antivirüs yazılımları tarafından taranmadığında daha hızlı ve daha az problemli gerçekleşir.

Aşağıdaki klasörleri Exchange sunucularında dosya düzeyinde tarama ve bellekte yerleşik taramanın dışında tutun.

KlasörKategoriTarifSunucu
%SystemRoot%\ClusterDAG’lerKüme çekirdeği veritabanı ve veritabanı kullanılabilirlik grupları (DAG) için diğer dosyalar.Posta kutusu sunucuları
%SystemDrive%\DAGFileShareWitnesses\<DAGFQDN>DAG’lerDAG için yapılandırılmış tanık sunucusundaki tanık dizini. Tanık sunucu, yerel Active Directory ormanında bulunan ve DAG üyesi olmayan neredeyse tüm Microsoft Windows sunucuları olabilir.Gerçek konumu görmek için aşağıdaki komutu çalıştırın: Get-DatabaseAvailabilityGroup <DAGName> | Format-List *Witness*Herhangi
%ExchangeInstallPath%ClientAccess\OABÇevrimdışı Adres DefterleriÇevrimdışı Adres Defteri dosyaları.Posta kutusu sunucuları
%ExchangeInstallPath%FIP-FSKötü amaçlı yazılımdan koruma ve DLPKötü amaçlı yazılım aracısı ve veri kaybı önleme (DLP) tarafından kullanılan içerik taraması.Posta kutusu sunucuları
%ExchangeInstallPath%GroupMetricsPosta İpuçlarıBüyük Hedef Kitle ve Dış Alıcılar Posta İpuçları değerlerini hesaplamak için kullanılan Grup Metrikleri dosyaları.Posta kutusu sunucuları
%ExchangeInstallPath%Loggingİşlem günlüklerini değiştirmeBu klasör, alt klasörlerde birçok farklı türde Exchange günlüğü içerir. Mesela:Takvim Onarım Yardımcısı günlükleriYönetilen Klasör Yardımcısı günlükleriIMAP4 protokolü günlükleriPOP3 protokolü günlükleriGerçek konumları görmek için aşağıdaki komutları çalıştırın:Get-MailboxServer -Identity <ServerName> | Format-List *LogPath*Get-PopSettings <ServerName> | Format-List LogFileLocationGet-ImapSettings <ServerName> | Format-List LogFileLocationPosta kutusu sunucuları
%ExchangeInstallPath%MailboxPosta kutusu veritabanlarıExchange veritabanları, denetim noktası dosyaları ve günlük dosyaları. Varsayılan olarak, bu dosyalar veritabanının adına bağlı olarak alt klasörlerde bulunur. Gerçek konumları görmek için aşağıdaki komutu çalıştırın: Get-MailboxDatabase -Server \ServerName> | Format-List EdbFilePath,LogFolderPathVarsayılan olarak, veritabanı bağlam dizini dosyaları, veritabanının GUID’sinden sonra adlandırılan bir alt klasördeki veritabanı dosyalarıyla aynı klasörde bulunur.Posta kutusu sunucuları
%ExchangeInstallPath%TransportRoles\Data\AdamEdgeSyncActive Directory Basit Dizin Hizmetleri (AD LDS) ve günlük dosyaları.Edge Transport sunucuları
%ExchangeInstallPath%TransportRoles\Data\IpFilterBağlantı filtrelemeIP filtresi veritabanı, denetim noktası ve günlük dosyaları.Edge Transport sunucuları
%ExchangeInstallPath%TransportRoles\Data\QueueSıraKuyruk veritabanı, denetim noktası ve günlük dosyaları.Posta kutusu sunucularıEdge Transport sunucuları
%ExchangeInstallPath%TransportRoles\Data\SenderReputationGönderenin itibarıGönderen İtibarı veritabanı, denetim noktası ve günlük dosyaları.Edge Transport sunucularıPosta kutusu sunucuları
%ExchangeInstallPath%TransportRoles\Data\Tempİçerik dönüştürmeAktarım işlem hattında yapılan içerik dönüşümü.Posta kutusu sunucularıEdge Transport sunucuları
%ExchangeInstallPath%TransportRoles\LogsTaşıma günlükleriPosta akışı ve aktarım ardışık düzeni günlükleri alt klasörlerde bulunur, örneğin:Aracı günlüğüBağlantı günlüğüİleti izlemeİşlem hattı izlemeGönderme ve Alma bağlayıcı protokolü günlüğüGerçek konumları görmek için aşağıdaki komutları çalıştırın:Get-TransportService <ServerName> | Format-List *LogPath,*TracingPathGet-FrontEndTransportService <ServerName> | Format-List *LogPathGet-MailboxTransportService <ServerName> | Format-List *LogPath,*TracingPathPosta kutusu sunucularıEdge Transport sunucuları (Yalnızca Aktarım hizmeti)
%ExchangeInstallPath%TransportRoles\PickupPickup directoryThe Pickup directory is used by administrators for mail flow testing or by applications that need to create and submit their own message files.To see the actual location, run the following command: Get-TransportService <ServerName> | Format-List PickupDirectoryPathMailbox serversEdge Transport servers
%ExchangeInstallPath%TransportRoles\ReplayReplay directoryThe Replay directory receives messages from foreign gateway servers and can also be used to resubmit messages that administrators export from the queues of Exchange servers.To see the actual location, run the following command: Get-TransportService <ServerName> | Format-List ReplayDirectoryPathMailbox serversEdge Transport servers
%ExchangeInstallPath%UnifiedMessaging\GrammarsUnified MessagingGrammar files for different locales, for example en-EN or es-ES.Exchange 2016 Mailbox servers
%ExchangeInstallPath%UnifiedMessaging\PromptsBirleşik MesajlaşmaSesli istemler, selamlamalar ve bilgilendirici mesaj dosyaları.Exchange 2016 Posta Kutusu sunucuları
%ExchangeInstallPath%UnifiedMessaging\TempBirleşik MesajlaşmaBirleşik Mesajlaşma tarafından oluşturulan geçici dosyalar.Exchange 2016 Posta Kutusu sunucuları
%ExchangeInstallPath%UnifiedMessaging\VoicemailBirleşik MesajlaşmaGeçici olarak depolanan sesli posta dosyaları.Exchange 2016 Posta Kutusu sunucuları
%ExchangeInstallPath%Working\OleConverterİçerik dönüştürmeZengin Metin Biçimi (RTF) olarak da bilinen Aktarım Nötr Kodlama Biçimi (TNEF), MIME/HTML dönüştürmelerine.Posta kutusu sunucularıEdge Transport sunucuları
%SystemDrive%\inetpub\temp\IIS Temporary Compressed FilesWeb bileşenleriWeb üzerinde Outlook ile kullanılan Internet Information Services (IIS) sıkıştırma klasörü.Posta kutusu sunucuları
%SystemRoot%\Temp\OICE_<GUID>Exchange AramaExchange Arama hizmeti ve Microsoft Filtre Paketi tarafından korumalı bir ortamda dosya dönüştürme gerçekleştirmek için kullanılan geçici dosyalar.Posta kutusu sunucuları

Exchange Server İşlem dışlamaları

Birçok virüsten koruma programı, yanlış işlemler taranırsa Microsoft Exchange’i olumsuz yönde etkileyebilecek işlemlerin taranmasını destekler. Bu nedenle, aşağıdaki Exchange veya ilgili işlemleri işlem taramasının dışında tutmalısınız.

İşlemYolYorumSunucu
ComplianceAuditService.exe%ExchangeInstallPath%BinMicrosoft Exchange Uyumluluk Denetimi hizmeti (MSComplianceAudit)Posta kutusu sunucuları
Dsamain.exe%SystemRoot%\System32Microsoft Exchange ADAM hizmeti (ADAM_MSExchange) (abone olunan Edge Transport sunucularında Active Directory Basit Dizin Hizmetleri (AD LDS))Edge Transport sunucuları
EdgeTransport.exe%ExchangeInstallPath%BinMicrosoft Exchange Aktarım hizmeti çalışan işlemiPosta kutusu sunucularıEdge Transport sunucuları
FMS.exe%ExchangeInstallPath%FIP-FS\BinKötü amaçlı yazılım aracısı ve DLP tarafından kullanılan içerik tarama bileşeni.Posta kutusu sunucuları
HostControllerService.exe%ExchangeInstallPath%Bin\Search\Ceres\HostControllerMicrosoft Exchange Arama Ana Bilgisayar Denetleyicisi hizmeti (HostControllerService)Posta kutusu sunucuları
inetinfo.exe%SystemRoot%\System32\inetsrvInternet Information Services (IIS)Posta kutusu sunucuları
Microsoft.Exchange.AntispamUpdateSvc.exe%ExchangeInstallPath%BinMicrosoft Exchange Antispam Güncelleştirme hizmeti (MSExchangeAntispamUpdate)Posta kutusu sunucularıEdge Transport sunucuları
Microsoft.Exchange.ContentFilter.Wrapper.exe%ExchangeInstallPath%TransportRoles\agents\Hygieneİçerik Filtresi aracısıPosta kutusu sunucularıEdge Transport sunucuları
Microsoft.Exchange.Diagnostics.Service.exe%ExchangeInstallPath%BinMicrosoft Exchange Tanılama hizmeti (MSExchangeDiagnostics)Posta kutusu sunucularıEdge Transport sunucuları
Microsoft.Exchange.Directory.TopologyService.exe%ExchangeInstallPath%BinMicrosoft Exchange Active Directory Topolojisi hizmeti (MSExchangeADTopology)Posta kutusu sunucuları
Microsoft.Exchange.EdgeCredentialSvc.exe%ExchangeInstallPath%BinMicrosoft Exchange Kimlik Bilgileri hizmeti (MSExchangeEdgeCredential)Edge Transport sunucuları
Microsoft.Exchange.EdgeSyncSvc.exe%ExchangeInstallPath%BinMicrosoft Exchange EdgeSync service (MSExchangeEdgeSync)Mailbox servers
Microsoft.Exchange.Imap4.exe%ExchangeInstallPath%FrontEnd\PopImapMicrosoft Exchange IMAP4 service (MSExchangeImap4)Mailbox servers
Microsoft.Exchange.Imap4service.exe%ExchangeInstallPath%ClientAccess\PopImapMicrosoft Exchange IMAP4 Backend service (MSExchangeIMAP4BE)Mailbox servers
Microsoft.Exchange.Notifications.Broker.exe%ExchangeInstallPath%BinMicrosoft Exchange Notifications Broker service (MSExchangeNotificationsBroker)Mailbox servers
Microsoft.Exchange.Pop3.exe%ExchangeInstallPath%FrontEnd\PopImapMicrosoft Exchange POP3 service (MSExchangePop3)Mailbox servers
Microsoft.Exchange.Pop3service.exe%ExchangeInstallPath%ClientAccess\PopImapMicrosoft Exchange POP3 Backend service (MSExchangePOP3BE)Mailbox servers
Microsoft.Exchange.ProtectedServiceHost.exe%ExchangeInstallPath%BinMicrosoft Exchange Service Host service (MSExchangeServiceHost)Mailbox serversEdge Transport servers
Microsoft.Exchange.RPCClientAccess.Service.exe%ExchangeInstallPath%BinMicrosoft Exchange RPC Client Access service (MSExchangeRPC)Mailbox servers
Microsoft.Exchange.Search.Service.exe%ExchangeInstallPath%BinMicrosoft Exchange Search service (MSExchangeFastSearch)Mailbox servers
Microsoft.Exchange.Servicehost.exe%ExchangeInstallPath%BinMicrosoft Exchange Service Host service (MSExchangeServiceHost)Mailbox serversEdge Transport servers
Microsoft.Exchange.Store.Service.exe%ExchangeInstallPath%BinMicrosoft Exchange Information Store service (MSExchangeIS)Mailbox servers
Microsoft.Exchange.Store.Worker.exe%ExchangeInstallPath%BinMicrosoft Exchange Information Store service worker processMailbox servers
Microsoft.Exchange.UM.CallRouter.exe%ExchangeInstallPath%FrontEnd\CallRouterMicrosoft Exchange Unified Messaging Call Router service (MSExchangeUMCR)Exchange 2016 Mailbox servers
MSExchangeCompliance.exe%ExchangeInstallPath%BinMicrosoft Exchange Compliance Service (MSExchangeCompliance)Mailbox servers
MSExchangeDagMgmt.exe%ExchangeInstallPath%BinMicrosoft Exchange DAG Management service (MSExchangeDagMgmt)Mailbox servers
MSExchangeDelivery.exe%ExchangeInstallPath%BinMicrosoft Exchange Mailbox Transport Delivery service (MSExchangeDelivery)Mailbox servers
MSExchangeFrontendTransport.exe%ExchangeInstallPath%BinMicrosoft Exchange Frontend Transport service (MSExchangeFrontEndTransport)Mailbox servers
MSExchangeHMHost.exe%ExchangeInstallPath%BinMicrosoft Exchange Health Manager service (MSExchangeHM)Mailbox serversEdge Transport servers
MSExchangeHMWorker.exe%ExchangeInstallPath%BinMicrosoft Exchange Health Manager service worker processMailbox serversEdge Transport servers
MSExchangeMailboxAssistants.exe%ExchangeInstallPath%BinMicrosoft Exchange Mailbox Assistants service (MSExchangeMailboxAssistants)Mailbox servers
MSExchangeMailboxReplication.exe%ExchangeInstallPath%BinMicrosoft Exchange Mailbox Replication service (MSExchangeMailboxReplication)Mailbox servers
MSExchangeRepl.exe%ExchangeInstallPath%BinMicrosoft Exchange Replication service (MSExchangeRepl)Mailbox servers
MSExchangeSubmission.exe%ExchangeInstallPath%BinMicrosoft Exchange Mailbox Transport Submission service (MSExchangeSubmission)Mailbox servers
MSExchangeTransport.exe%ExchangeInstallPath%BinMicrosoft Exchange Transport service (MSExchangeTransport)Mailbox serversEdge Transport servers
MSExchangeTransportLogSearch.exe%ExchangeInstallPath%BinMicrosoft Exchange Transport Log Search service (MSExchangeTransportLogSearch)Mailbox serversEdge Transport servers
MSExchangeThrottling.exe%ExchangeInstallPath%BinMicrosoft Exchange Throttling service (MSExchangeThrottling)Mailbox servers
Noderunner.exe%ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0Microsoft Exchange Search service (MSExchangeFastSearch)Mailbox servers
OleConverter.exe%ExchangeInstallPath%BinConverts rich text format (RTF) messages to MIME/HTML for external recipients.Mailbox servers
ParserServer.exe%ExchangeInstallPath%Bin\Search\Ceres\ParserServerMicrosoft Exchange Search service (MSExchangeFastSearch)Mailbox servers
ScanEngineTest.exe%ExchangeInstallPath%FIP-FS\BinContent scanning component that’s used by the Malware agent and DLPMailbox servers
ScanningProcess.exe%ExchangeInstallPath%FIP-FS\BinContent scanning component that’s used by the Malware agent and DLPMailbox servers
UmService.exe%ExchangeInstallPath%BinMicrosoft Exchange Unified Messaging service (MSExchangeUM)Exchange 2016 Mailbox servers
UmWorkerProcess.exe%ExchangeInstallPath%BinMicrosoft Exchange Birleşik Mesajlaşma hizmeti çalışan işlemiExchange 2016 Posta Kutusu sunucuları
UpdateService.exe%ExchangeInstallPath%FIP-FS\BinKötü amaçlı yazılım aracısı ve DLP tarafından kullanılan içerik tarama bileşeniPosta kutusu sunucuları
WSBchange.exe%ExchangeInstallPath%BinWindows Server Yedekleme için Microsoft Exchange Server Uzantısı (wsbexchange)Posta kutusu sunucuları

Exchange Server Dosya adı uzantısı dışlamaları

Belirli klasörleri ve işlemleri hariç tutmanın yanı sıra, klasör dışlamalarının başarısız olması veya dosyaların varsayılan konumlarından taşınması durumunda aşağıdaki Exchange’e özgü dosya adı uzantılarını da hariç tutmalısınız.

Uzantı -larıTarifSunucu
.configUygulamayla ilgili uzantılarPosta kutusu sunucularıEdge Transport sunucuları
.chk
.edb
.jfm
.jrs
.log
.que
Veritabanı ile ilgili uzantılarPosta kutusu sunucularıEdge Transport sunucuları
.dsc
.txt
Grup Metrikleri ile ilgili uzantılarPosta kutusu sunucuları

.cfg .grxml
Birleşik Mesajlaşma ile ilgili uzantılarExchange 2016 Posta Kutusu sunucuları
.lzxÇevrimdışı adres defteriyle ilgili uzantılarPosta kutusu sunucuları

Yorum yapın