企業中所建置的Exchange Server 2013,每天都得爭分奪秒地負責處理所有對內和對外的訊息流通,因此它的安全性防護建構極為重要,這其中就包含了令許多企業IT關心的個資維安問題。
而有關於內容轉換的暫存檔將會儲存在Exchange Server本機系統所設定的「%TMP%」路徑中,但是,與OLE轉換有關的暫存檔預設則會儲存在「%ExchangeInstallPath%Working\OleConvertor」路徑下。
最後,與內容安全掃描有關的兩大元件,分別是惡意程式代理程式(Malware Agent)以及資料遺失保護(DLP)程式,預設將會放在「%ExchangeInstallPath%FIP-FS」路徑下。
.信箱傳輸服務資料夾
與信箱傳輸服務有關的紀錄檔預設儲存在「%ExchangeInstallPath%TransportRoles\Logs\Mailbox」路徑中,可透過下達「Get-MailboxTransportService Exchange-2013 | FL *logpath*」命令參數,來取得完整的路徑資訊(圖29)。
|
▲圖29 信箱傳輸服務紀錄檔路徑。 |
.整合通訊(UM)資料夾
如果Exchange Server 2013有使用到整合通訊服務(UM)的功能,那麼與它相關的語言套件檔案將會存放在「%ExchangeInstallPath%UnifiedMessaging\grammars」路徑下,而與語音訊息有關的檔案(問候語、語音提示)預設則在「%ExchangeInstallPath%UnifiedMessaging\Prompts」路徑之中。
至於語音郵件檔案的暫存資料夾預設則是在「%ExchangeInstallPath%UnifiedMessaging\voicemail」路徑下,最後則是由整合通訊服務所產生的訊息之暫存檔,都將會預設儲存在「%ExchangeInstallPath%UnifiedMessaging\temp」。
.用戶端存取(CAS)網站元件資料夾
在與Web網站有關的元件部分,首先是IIS的壓縮資料夾(以IIS 7.0為例),其預設位在「%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files」路徑中。
接著是IIS的系統檔案,預設位於「%System
Root%\System32\Inetsrv」路徑下。最後則是與IIS網站有關的紀錄檔,預設全部存放在「%SystemDrive%\Inetpub\logs\logfiles\w3svc」路徑下。
.POP3與IMAP協定相關資料夾
如果Exchange Server有啟用POP3服務功能,那麼當需要檢視與POP3相關之紀錄檔清單的時候,可以到預設的「%ExchangeInstallPath%
Logging\POP3」路徑下查看。至於IMAP的紀錄檔,將預設存放在「%ExchangeInstallPath%
Logging\IMAP4」。
.前端傳輸服務資料夾
關於與Exchange Server前端伺服器相關的紀錄檔,例如連線紀錄檔和通訊協定紀錄檔,預設將存放在「%ExchangeInstallPath%TransportRoles\Logs\FrontEnd」路徑下,可以透過以下如圖30所示的命令參數範例來查詢詳細路徑。
|
▲圖30 前端傳輸服務紀錄檔路徑。 |
接著,說明需要排除掃描的執行程式。檔案需要列為排除掃描的部分,包含Cdb.exe、Cidaemon.exe、Clussvc.exe、Dsamain.exe、EdgeCredentialSvc.exe、EdgeTransport.exe、ExFBA.exe、Msftefd.exe、Msftesql.exe、OleConverter.exe、Powershell.exe、ScanEngineTest.exe、ScanningProcess.exe、TranscodingService.exe、UmService.exe、UmWorkerProcess.exe、UpdateService.exe、W3wp.exe以及Microsoft.Exchange.*.exe與MSExchange*.exe。
最後,列出需要排除掃描的副檔名。這些包含了與應用程式相關的副檔名有.config、.dia、.wsb,而與資料相關的副檔名,則包括.chk、.edb、.jrs、.jsl、.log、.que。
離線通訊錄相關的副檔名只有.lzx,而內容索引相關的副檔名,計有.ci、.dir、.wid、.000、.001、.002。
整合通訊相關的副檔名包括.cfg、.grxml。最後,與群組測量有關的副檔名為.dsc、.txt。
Q10:如何使用內建的反惡意程式功能
在Exchange Server 2013內建安全防護中,除了有提供反垃圾郵件的代理程式外,還有反惡意程式的代理程式,以確保人員的信箱不會收到夾帶惡意程式碼的郵件。
關於此代理程式,可以先如圖31所示透過命令「Get-TransportAgent "Malware Agent"」來查看目前是否已在啟用中。
|
▲圖31 檢查反惡意程式狀態。 |
如果只要使用所整合的協力廠商安全防護產品,則可以將內建反惡意程式的代理程式進行停用,只要如圖32所示下達命令「& $env:ExchangeInstallPath\Scripts\Disable-Antimalwarescanning.ps1」來執行停用的手稿程式即可。
|
▲圖32 關閉反惡意代理程式。 |
相反地,如果要啟用此代理程式,則如圖33所示下達命令「& $env:ExchangeInstallPath\Scripts\Disable-Antimalwarescanning.ps1」來執行啟用的手稿程式。
|
▲圖33 啟用反惡意代理程式。 |