1. Ana Sayfa
  2. Exchange Server 2007
  3. Exchange Server 2007 Kurulu Sunucuda İşletim Sistemi Güvenliğinin Sağlanması (Symantec Endpoint Protection)

Exchange Server 2007 Kurulu Sunucuda İşletim Sistemi Güvenliğinin Sağlanması (Symantec Endpoint Protection)

Exchange’in olduğu bir ortamda e-posta trafiğinin güvenliği öncelikli bir konudur. Bu amaçla ForeFront for Exchange, TrendMicro ScanMail for Exchange gibi güvenlik çözümleri kullanılır. Ancak mesajlaşma sistemleri için görünmeyen bir tehlikede Windows Server’da gezinen virüs ve benzeri zararlılardır. Bu yazımızdada Exchange kurulu bir sunucunun virüslere karşı nasıl korunacağına değineceğiz. Exchange Server’ın olduğu bir sunucuya herhangi bir güvenlik programı kurduktan sonra tanımlanması gereken istisnalar vardır. Yazımızda Symantec Endpoint Protection ürününün kurulumunu anlatacak ve tanımlanacak istisnaları inceleyeceğiz. Başlamadan önce vurgulamak isterim ki bu ürün e-posta trafiğini taramamaktadır. Yalnızca ağdan gelen tehditleri engellemek ve işletim sisteminin güvenliğini sağlamak için kurulmaktadır.

Not: Tanımlanması gereken istisnaların sayısı 100’e yakındır. Bu yüzden kurulacak sunucu sayısı fazla ise ve güvenlik programınız destekliyorsa bir poliçe oluşturup (Aktif Dizin poliçesi ile karıştırılmamalıdır) tüm sunuculara bu istisnaları göndermek doğru bir yaklaşım olacaktır. Yazımızda tek bir sunucuya kurulum yapacağımız için tüm istisnaları elle tanımlayacağız.

Kullandığımız ortam şu ürünleri içermektedir:

İşletim Sistemi Windows Server 2008 SP2 64 bit
Exchange sürümü Exchange Server 2007 SP1
Güvenlik programı Symantec Endpoint Protection 11

Symantec’in sunucuya kurulumu

ilk olarak Symantec Endpoint Protection ürününün 64 bit sunucu sürümünü sisteme kuracağız. Kurulum işlemi “Next-Next” mantığındadır. Yapılması gereken ekstra bir ayar bulunmuyor.


Şekil-1: “Next” düğmesine basılarak devam edilir.


Şekil-2: “I accept” tıklanır ve “Next” düğmesine basılarak devam edilir.


Şekil-3: “Typical” seçili iken “Next” düğmesine basılarak devam edilir.


Şekil-4: “Install” düğmesine basılır ve kurulum başlatılır. Kısa süre sonra tamamlanmış olacaktır.

İstisnaların tanımlanması

Kurulumdan sonra 3 farklı türde istisna tanımlanmalıdır. Böylece Symantec’in tarama yapmaması gereken dizinler belirtilmiş olacaktır.

  • Dizin istisnaları
  • İşlem (process) istisnaları
  • Dosya uzantısı istisnaları

Not: Eğer istisnalar tanımlanmaz veya eksik tanımlanırsa Exchange’in davranışında kararsızlıklar yaşanabilir. Örneğin güvenlik programı bir dosyayı tararken Exchange o dosyayı kullanmaya çalışırsa o dosya otomatik olarak kilitlenir. Bu da 1018 nolu Exhcnage veritabanı hatasının görünmesine neden olur.


Şekil-5: Symantec Endpoint Protection ürününde dosya, dizin, uzantı ve işlem istisnalarının tanımlanması (İşlem istisnaları “TruScan Proactive Threat Scan Exception” bölümünden tanımlanır).

Dizin istisnaları

Exchange rollerine göre tanımlanması gereken dizin istisnaları şu şekildedir:

Posta Kutusu (Mailbox) Sunucusu:

  • C:\Program Files\Microsoft\Exchange Server\Mailbox
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs
  • C:\Program Files\Microsoft\Exchange Server\Logging
  • C:\Program Files\Microsoft\Exchange Server\ExchangeOAB
  • C:\Windows\System32\Inetsrv
  • C:\Program Files\Microsoft\Exchange Server\Working\OleConvertor
  • C:\Program Files\Microsoft\Exchange Server\Mailbox\MDBTEMP

Eğer küme (cluster) yapısı kullanılıyorsa ek olarak:

  • C:\Windows\Cluster
  • “Share Witness” dizini (Genellikle HUB sunucuda bulunur)

HUB Aktarım Sunucusu:

  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\Queue
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\IpFilter
  • C:\Program Files\Microsoft\Exchange Server\Working\OleConvertor

EDGE Aktarım Sunucusu:

  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\Adam
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\Queue
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\SenderReputation
  • C:\Program Files\Microsoft\Exchange Server\TransportRoles\Data\IpFilter
  • C:\Program Files\Microsoft\Exchange Server\Working\OleConvertor

CAS Sunucusu:

  • C:\Windows\IIS Temporary Compressed Files
  • C:\Windows\System32\Inetsrv
  • C:\Program Files\Microsoft\Exchange Server\ClientAccess
  • C:\Windows\Temp

Birleşik Mesajlaşma (Unified Messaging) Sunucusu:

  • C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\grammars
  • C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\Prompts
  • C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\voicemail
  • C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail

Eğer sunucuda ForeFront Security for Exchange yüklüyse:

  • C:\Program Files\Microsoft ForeFront Security\Exchange Server\Data\Archive
  • C:\Program Files\Microsoft ForeFront Security\Exchange Server\Data\Quarantine
  • C:\Program Files\Microsoft ForeFront Security\Exchange Server\Data\Engines\x86
  • C:\Program Files\Microsoft ForeFront Security\Exchange Server\Data
  • Eğer SCC varsa ForeFront’un kullandığı paylaşım alanı da istisna olarak tanımlanmalıdır. Bu alanın yeri aşağıdaki kayıt defteri girdisinden belirlenebilir:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\DatabasePath

İşlem (process) istisnaları

Aşağıdaki işlemler güvenlik programında istisna olarak tanımlanmalıdır:

Cdb.exe Microsoft.Exchange.Search.Exsearch.exe
Cidaemon.exe Microsoft.Exchange.Servicehost.exe
Cluster.exe Msexchangeadtopologyservice.exe
Dsamain.exe Msexchangefds.exe
Edgecredentialsvc.exe Msexchangemailboxassistants.exe
Edgetransport.exe Msexchangemailsubmission.exe
Galgrammargenerator.exe Msexchangetransport.exe
Inetinfo.exe Msexchangetransportlogsearch.exe
Mad.exe Msftefd.exe
Microsoft.Exchange.Antispamupdatesvc.exe Msftesql.exe
Microsoft.Exchange.Contentfilter.Wrapper.exe Oleconverter.exe
Microsoft.Exchange.Cluster.Replayservice.exe Powershell.exe
Microsoft.Exchange.Edgesyncsvc.exe Sesworker.exe
Microsoft.Exchange.Imap4.exe Speechservice.exe
Microsoft.Exchange.Imap4service.exe Store.exe
Microsoft.Exchange.Infoworker.Assistants.exe Transcodingservice.exe
Microsoft.Exchange.Monitoring.exe Umservice.exe
Microsoft.Exchange.Pop3.exe Umworkerprocess.exe
Microsoft.Exchange.Pop3service.exe W3wp.exe

Eğer sunucuda ForeFront Security for Exchange yüklüyse aşağıdaki işlemler de istisna olarak tanımlanmalıdır:

Adonavsvc.exe Fscstatsserv.exe
Fsccontroller.exe Fsctransportscanner.exe
Fscdiag.exe Fscutility.exe
Fscexec.exe Fsemailpickup.exe
Fscimc.exe Fssaclient.exe
Fscmanualscanner.exe Getenginefiles.exe
Fscmonitor.exe Perfmonitorsetup.exe
Fscrealtimescanner.exe Scanenginetest.exe
Fscstarter.exe Semsetup.exe

Dosya uzantısı istisnaları

Aşağıdaki uzantılara sahip dosyalar güvenlik program tarafından taranmamalıdır:

.config lzx
.dia .ci
.wsb .wid
.chk 0,001
.log .dir
.edb 0
.jrs 0,002
.que

Eğer sunucuda ForeFront Security for Exchange yüklüyse ek olarak bu uzantılar da tanımlanmalıdır:

.avc .dt .lst
.cab .fdb .mdb
.cfg .fdm .ppl
.config .ide .set
.da1 .key .v3d
.dat .klb .vdb
.def .kli .vdm

Birleşil mesajlaşma (UM) sunucularında bu uzantılara ek olarak “.cfg” ve “.grxml” sunucuları da tanımlanır.

Not: Tanımlanan tüm istisnalar ara yüzde görüntüleneceği gibi kayıt defterinde aşağıdaki yol izlenerek de görüntülenebilir. Eğer bu istisnalar poliçe ile tanımlanmışsa ara yüzde görünmeyecektir. Bu durumda kayıt defterindeki girdiler önem kazanmaktadır.

HKEY_LOCAL_MACHINESOFTWARE-Wow6432Node-Symantec-Symantec Endpoint Protection-AV-Exclusions-ScanningEngines


Şekil-6: Tanımlanan tüm istisnalar kayıt defterinde görüntülenebilir.

Referanslar:

File-Level Antivirus Scanning on Exchange 2007:

About the automatic exclusion of files and folders for Microsoft Exchange server and Symantec products:

Preventing Symantec Endpoint Protection 11.0 from scanning the Microsoft Exchange 2007 directory structure:

How to Verify if an Endpoint Client has Automatically Excluded an Application or Directory:

Configuring Symantec Endpoint Protection exclusions for Microsoft Forefront:

Yorum Yap

Yazar Hakkında

2008 yılında Erciyes Üniversitesi Bilgisayar Mühendisliğinden birincilikle mezun oldu. Türkiye'nin en büyük kurumlarından birisinde Mesajlaşma Sistemleri üzerine çalıştı ve halen aynı kurumda Veri Merkezi Planlama ve Mimari Yönetimi konusunda görevini sürdürmektedir. Exchange Server 2010 ve Windows Server 2008 R2 SP1 kitaplarının yazarıdır. Bu ürünler hakkında MCITP sertifikasına sahiptir. Sistem ile ilgili çalışmalarının yanı sıra 60'dan fazla web sitesinin tasarımını yapmıştır.

Yorum Yap