Exchange’in olduğu bir ortamda e-posta trafiğinin güvenliği öncelikli bir konudur. Bu amaçla ForeFront for Exchange, TrendMicro ScanMail for Exchange gibi güvenlik çözümleri kullanılır. Ancak mesajlaşma sistemleri için görünmeyen bir tehlikede Windows Server’da gezinen virüs ve benzeri zararlılardır. Bu yazımızdada Exchange kurulu bir sunucunun virüslere karşı nasıl korunacağına değineceğiz. Exchange Server’ın olduğu bir sunucuya herhangi bir güvenlik programı kurduktan sonra tanımlanması gereken istisnalar vardır. Yazımızda Symantec Endpoint Protection ürününün kurulumunu anlatacak ve tanımlanacak istisnaları inceleyeceğiz. Başlamadan önce vurgulamak isterim ki bu ürün e-posta trafiğini taramamaktadır. Yalnızca ağdan gelen tehditleri engellemek ve işletim sisteminin güvenliğini sağlamak için kurulmaktadır.
Not: Tanımlanması gereken istisnaların sayısı 100’e yakındır. Bu yüzden kurulacak sunucu sayısı fazla ise ve güvenlik programınız destekliyorsa bir poliçe oluşturup (Aktif Dizin poliçesi ile karıştırılmamalıdır) tüm sunuculara bu istisnaları göndermek doğru bir yaklaşım olacaktır. Yazımızda tek bir sunucuya kurulum yapacağımız için tüm istisnaları elle tanımlayacağız.
Kullandığımız ortam şu ürünleri içermektedir:
| İşletim Sistemi | Windows Server 2008 SP2 64 bit |
| Exchange sürümü | Exchange Server 2007 SP1 |
| Güvenlik programı | Symantec Endpoint Protection 11 |
Symantec’in sunucuya kurulumu
ilk olarak Symantec Endpoint Protection ürününün 64 bit sunucu sürümünü sisteme kuracağız. Kurulum işlemi “Next-Next” mantığındadır. Yapılması gereken ekstra bir ayar bulunmuyor.
Şekil-1: “Next” düğmesine basılarak devam edilir.
Şekil-2: “I accept” tıklanır ve “Next” düğmesine basılarak devam edilir.
Şekil-3: “Typical” seçili iken “Next” düğmesine basılarak devam edilir.
Şekil-4: “Install” düğmesine basılır ve kurulum başlatılır. Kısa süre sonra tamamlanmış olacaktır.
İstisnaların tanımlanması
Kurulumdan sonra 3 farklı türde istisna tanımlanmalıdır. Böylece Symantec’in tarama yapmaması gereken dizinler belirtilmiş olacaktır.
- Dizin istisnaları
- İşlem (process) istisnaları
- Dosya uzantısı istisnaları
Not: Eğer istisnalar tanımlanmaz veya eksik tanımlanırsa Exchange’in davranışında kararsızlıklar yaşanabilir. Örneğin güvenlik programı bir dosyayı tararken Exchange o dosyayı kullanmaya çalışırsa o dosya otomatik olarak kilitlenir. Bu da 1018 nolu Exhcnage veritabanı hatasının görünmesine neden olur.
Şekil-5: Symantec Endpoint Protection ürününde dosya, dizin, uzantı ve işlem istisnalarının tanımlanması (İşlem istisnaları “TruScan Proactive Threat Scan Exception” bölümünden tanımlanır).
Dizin istisnaları
Exchange rollerine göre tanımlanması gereken dizin istisnaları şu şekildedir:
Posta Kutusu (Mailbox) Sunucusu:
- C:\Program Files\Microsoft\Exchange Server\Mailbox
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs
- C:\Program Files\Microsoft\Exchange Server\Logging
- C:\Program Files\Microsoft\Exchange Server\ExchangeOAB
- C:\Windows\System32\Inetsrv
- C:\Program Files\Microsoft\Exchange Server\Working\OleConvertor
- C:\Program Files\Microsoft\Exchange Server\Mailbox\MDBTEMP
Eğer küme (cluster) yapısı kullanılıyorsa ek olarak:
- C:\Windows\Cluster
- “Share Witness” dizini (Genellikle HUB sunucuda bulunur)
HUB Aktarım Sunucusu:
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs
- C:\Program Files\Microsoft\Exchange Server\TransportRoles
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\Queue
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\IpFilter
- C:\Program Files\Microsoft\Exchange Server\Working\OleConvertor
EDGE Aktarım Sunucusu:
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\Adam
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs
- C:\Program Files\Microsoft\Exchange Server\TransportRoles
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\Queue
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation
- C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\IpFilter
- C:\Program Files\Microsoft\Exchange Server\Working\OleConvertor
CAS Sunucusu:
- C:\Windows\IIS Temporary Compressed Files
- C:\Windows\System32\Inetsrv
- C:\Program Files\Microsoft\Exchange Server\ClientAccess
- C:\Windows\Temp
Birleşik Mesajlaşma (Unified Messaging) Sunucusu:
- C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\grammars
- C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\Prompts
- C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\voicemail
- C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail
Eğer sunucuda ForeFront Security for Exchange yüklüyse:
- C:\Program Files\Microsoft ForeFront Security\Exchange Server\Data\Archive
- C:\Program Files\Microsoft ForeFront Security\Exchange Server\Data\Quarantine
- C:\Program Files\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86
- C:\Program Files\Microsoft ForeFront Security\Exchange Server\Data
- Eğer SCC varsa ForeFront’un kullandığı paylaşım alanı da istisna olarak tanımlanmalıdır. Bu alanın yeri aşağıdaki kayıt defteri girdisinden belirlenebilir:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath
İşlem (process) istisnaları
Aşağıdaki işlemler güvenlik programında istisna olarak tanımlanmalıdır:
| Cdb.exe | Microsoft.Exchange.Search.Exsearch.exe |
| Cidaemon.exe | Microsoft.Exchange.Servicehost.exe |
| Cluster.exe | Msexchangeadtopologyservice.exe |
| Dsamain.exe | Msexchangefds.exe |
| Edgecredentialsvc.exe | Msexchangemailboxassistants.exe |
| Edgetransport.exe | Msexchangemailsubmission.exe |
| Galgrammargenerator.exe | Msexchangetransport.exe |
| Inetinfo.exe | Msexchangetransportlogsearch.exe |
| Mad.exe | Msftefd.exe |
| Microsoft.Exchange.Antispamupdatesvc.exe | Msftesql.exe |
| Microsoft.Exchange.Contentfilter.Wrapper.exe | Oleconverter.exe |
| Microsoft.Exchange.Cluster.Replayservice.exe | Powershell.exe |
| Microsoft.Exchange.Edgesyncsvc.exe | Sesworker.exe |
| Microsoft.Exchange.Imap4.exe | Speechservice.exe |
| Microsoft.Exchange.Imap4service.exe | Store.exe |
| Microsoft.Exchange.Infoworker.Assistants.exe | Transcodingservice.exe |
| Microsoft.Exchange.Monitoring.exe | Umservice.exe |
| Microsoft.Exchange.Pop3.exe | Umworkerprocess.exe |
| Microsoft.Exchange.Pop3service.exe | W3wp.exe |
Eğer sunucuda ForeFront Security for Exchange yüklüyse aşağıdaki işlemler de istisna olarak tanımlanmalıdır:
| Adonavsvc.exe | Fscstatsserv.exe |
| Fsccontroller.exe | Fsctransportscanner.exe |
| Fscdiag.exe | Fscutility.exe |
| Fscexec.exe | Fsemailpickup.exe |
| Fscimc.exe | Fssaclient.exe |
| Fscmanualscanner.exe | Getenginefiles.exe |
| Fscmonitor.exe | Perfmonitorsetup.exe |
| Fscrealtimescanner.exe | Scanenginetest.exe |
| Fscstarter.exe | Semsetup.exe |
Dosya uzantısı istisnaları
Aşağıdaki uzantılara sahip dosyalar güvenlik program tarafından taranmamalıdır:
| .config | lzx |
| .dia | .ci |
| .wsb | .wid |
| .chk | 0,001 |
| .log | .dir |
| .edb | 0 |
| .jrs | 0,002 |
| .que |
Eğer sunucuda ForeFront Security for Exchange yüklüyse ek olarak bu uzantılar da tanımlanmalıdır:
| .avc | .dt | .lst |
| .cab | .fdb | .mdb |
| .cfg | .fdm | .ppl |
| .config | .ide | .set |
| .da1 | .key | .v3d |
| .dat | .klb | .vdb |
| .def | .kli | .vdm |
Birleşil mesajlaşma (UM) sunucularında bu uzantılara ek olarak “.cfg” ve “.grxml” sunucuları da tanımlanır.
Not: Tanımlanan tüm istisnalar ara yüzde görüntüleneceği gibi kayıt defterinde aşağıdaki yol izlenerek de görüntülenebilir. Eğer bu istisnalar poliçe ile tanımlanmışsa ara yüzde görünmeyecektir. Bu durumda kayıt defterindeki girdiler önem kazanmaktadır.
HKEY_LOCAL_MACHINESOFTWARE-Wow6432Node-Symantec-Symantec Endpoint Protection-AV-Exclusions-ScanningEngines
Şekil-6: Tanımlanan tüm istisnalar kayıt defterinde görüntülenebilir.
Referanslar:
File-Level Antivirus Scanning on Exchange 2007:
How to Verify if an Endpoint Client has Automatically Excluded an Application or Directory:
Configuring Symantec Endpoint Protection exclusions for Microsoft Forefront:
