將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2016/6/6

開源付費防毒雙管齊下 防範勒索軟體及APT攻擊

配置Exchange第三方防毒 整合管理抵禦惡意程式

顧武雄
Exchange Server是全球最多企業IT的共同選擇,但同時它也成為了駭客攻擊的最愛,因此在享有全新Exchange Server 2016所帶來的IT效益之時,需要為它裝配最牢固的安全配備,以因應各種突如其來的侵擾。本文將以實戰講解的方式,示範如何善用商用付費的ScanMail以及開放原始碼的ClamWin套件,一次解決從檔案系統安全到訊息流的防毒需求。
信箱資料庫資料夾

Exchange Server 2016中的信箱資料庫、檢查點檔案以及紀錄檔,預設都會存放在「%ExchangeInstallPath% Mailbox」路徑之中,如圖26所示。


▲圖26 檢查信箱資料庫路徑。


在此透過「Get-MailboxDatabase -Server EX2016 | FL *path*」命令來做查詢,而資料庫相關的索引檔,預設也會儲存在相同路徑之中。至於與群組檢測有關的檔案,則預設儲存在「%ExchangeInstallPath%GroupMetrics」。

關於信箱伺服器的一般性紀錄檔,包含了訊息追蹤紀錄檔以及行事曆修復紀錄檔等等,預設皆會儲存在「%ExchangeInstallPath%TransportRoles\Logs」與「%ExchangeInstallPath%Logging」路徑中,可以如圖27所示透過下達「Get-MailboxServer EX2016 | FL *path*」命令進行查詢。


▲圖27 查看信箱伺服器相關紀錄檔路徑。


而離線通訊錄的紀錄檔,則預設儲存在「%ExchangeInstallPath%ClientAccess\OAB」路徑中,IIS網站的系統檔案則存放在「%SystemRoot%\System32\Inetsrv」內。至於信箱資料庫的暫時存放資料夾,預設路徑為「%ExchangeInstallPath%Mailbox\MDBTEMP」。

資料庫可用性(DAG)群組成員資料夾

叢集仲裁資料庫檔案預設儲存在「%Windir%\Cluster」路徑下,而在資料庫可用性(DAG)群組的架構中,典型的作法不會將用戶端存取伺服器與信箱伺服器安裝在同一部主機,因此預設作為存放監看的共用資料夾會在「%SystemDrive%:\DAGFileShareWitnesses\」路徑之中。

傳輸服務資料夾

針對傳輸服務的紀錄檔的儲存部分,例如訊息追蹤與連線紀錄檔案皆會存放在「%ExchangeInstallPath%TransportRoles\Logs」路徑下。如圖28所示,可以透過執行「Get-TransportService EX2016 | FL *logpath*,*tracingpath*」命令來取得完整的紀錄檔路徑資訊。


▲圖28 檢視傳輸服務紀錄檔路徑。


針對郵件傳遞過程中會使用到的兩個暫時存放郵件的資料夾「Pickup」與「Replay」,在預設的狀態下,是位於「%ExchangeInstallPath%TransportRoles」路徑之下,可以執行「Get-TransportService EX2016 | FL *dir*path*」命令來取得完整路徑資訊,如圖29所示。


▲圖29 查詢訊息傳輸暫時儲存路徑。


在暫存郵件的資料庫當中還有郵件佇列(Queue),其預設儲存的資料庫、檢查點、紀錄檔皆儲存在「%ExchangeInstallPath%TransportRoles\Data\Queue」路徑之中。

另外,比較特別的是關於寄件者信譽(Sender Reputation)的資料庫、檢查點、紀錄檔預設則存放於「%ExchangeInstallPath%TransportRoles\Data\SenderReputation」路徑。

有關於內容轉換的暫存檔,將儲存在Exchange Server本機系統所設定的「%TMP%」路徑下,但是與OLE轉換有關的暫存檔,預設則放在「%ExchangeInstal lPath%Working\OleConvertor」路徑下。

最後,與內容安全掃描有關的兩大元件,分別是惡意程式代理程式(Malware Agent)以及資料遺失保護(DLP)程式,預設儲存在「%ExchangeInstallPath%FIP-FS」路徑內。

信箱傳輸服務資料夾

與信箱傳輸服務有關的紀錄檔,預設將儲存在「%ExchangeInstallPath%TransportRoles\Logs\Mailbox」,如圖30所示,可以利用「Get-MailboxTransportService EX2016 | FL *logpath*」命令來取得完整的路徑資訊。


▲圖30 檢查信箱傳輸服務紀錄檔路徑。


整合通訊(UM)資料夾

如果目前Exchange Server 2016有使用到整合通訊服務(UM)功能,那麼與其相關的語言套件檔案將會存放在「%ExchangeInstallPath%UnifiedMessaging\grammars」路徑下,而與語音訊息有關的檔案(問候語、語音提示)則預設會儲存於「%ExchangeInstallPath%UnifiedMessaging\Prompts」路徑之中。

至於語音郵件檔案的暫存資料夾,預設路徑為「%ExchangeInstallPath%UnifiedMessaging\voicE-mail」,最後則是由整合通訊服務所產生的訊息之暫存檔,預設都會在「%ExchangeInstallPath%UnifiedMessaging\temp」路徑之中。

網站元件資料夾

在與Web網站有關的元件部分,首先是IIS的壓縮資料夾,其預設路徑是「%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files」。

接著則是IIS的系統檔案,其預設存放路徑位於「%SystemRoot%\System32\Inetsrv」。最後則是與IIS網站有關的紀錄檔,將全部存放在「%SystemDrive%\Inetpub\logs\logfiles\w3svc」路徑下。

POP3與IMAP協定相關資料夾

如果Exchange Server目前已經啟用POP3服務功能,那麼當需要檢視與POP3有關的紀錄檔清單時,到預設的「%ExchangeInstallPath%Logging\POP3」路徑下就可以看到。至於IMAP的紀錄檔,則預設存放在「%ExchangeInstallPath%Logging\IMAP4」路徑下。

這篇文章讓你覺得滿意不滿意
送出
相關文章
Wi-Fi控制器多功化 落實軟體定義分支機構
資安邁入認知安全時代 依情資持續推理學習
共享威脅情資 建立安全洞察力
園區網路AI化 預警調優一條龍
安裝輕量級EGroupware 建置企業協作網站(下)
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章