[English]Microsofts Exchange Server-Team hat seine Empfehlungen in Bezug auf Ausnahmen für Antivirus-Scans überarbeitet und bittet Administratoren die Einstellungen der Antivirus-Software zu überprüfen und gegebenenfalls anzupassen. Das Ganze ist das Ergebnis von Veränderungen in der Landschaft der Cyber-Bedrohungen.
Anzeige
Antivirus-Software auf Exchange Server
Antivirenprogramme auf Microsoft Exchange-Servern können die Sicherheit und den Zustand einer Exchange-Installation verbessern. Eine fehlerhafte Konfiguration der Windows-Antivirenprogramme kann aber Probleme in Exchange Server verursachen. Antivirus-Programme für Windows führen zwei Prüfungen durch:
- Die speicherresidente Überprüfung oder der Echtzeitschutz überwacht alle Dateien und Prozesse, die im aktiven Speicher eines Computers geladen sind und ausgeführt werden.
- Auf Dateiebene werden bei einem Scan die Dateien auf der Festplatte manuell oder in regelmäßigen Abständen auf Viren überprüft. Das kann bei einigen Antivirenprogrammen auch automatisch als On-Demand-Überprüfung bei aktualisierter Virensignatur erfolgen.
Microsoft schreibt in seinem, am 23. Februar 2023 aktualisierten, Beitrag Running Windows antivirus software on Exchange servers, dass das größte potenzielle Problem darin besteht, dass ein Windows-Antivirenprogramm eine offene Protokoll- oder Datenbankdatei, die Exchange ändern muss, sperren oder unter Quarantäne stellen kann. Dies kann zu schwerwiegenden Fehlern in Exchange Server führen und möglicherweise auch 1018-Ereignisprotokollfehler erzeugen. Daher ist es sehr wichtig, diese Dateien von der Überprüfung durch das Windows-Antivirenprogramm auszuschließen.
Ein weiteres Problem besteht darin, dass Windows-Virenschutzprogramme keine E-Mail-basierten Antispam- und Antimalware-Lösungen ersetzen können, da Windows-Virenschutzprogramme, die auf Windows-Servern ausgeführt werden, keine Viren, Malware und Spam erkennen können, die nur per E-Mail verbreitet werden. Im Dokument werden dann Ausnahmen diverser Ordner sowie des Exchange-Installationspfads angegeben, die von der Prüfung ausgenommen werden sollen.
Microsoft passt die Empfehlungen an
In einem Techcommunity-Beitrag Update on the Exchange Server Antivirus Exclusions hat Microsoft dies am 23. Februar 2023 aufgegriffen und schreibt, dass sich die Cybersicherheitslandschaft geändert habe. Es wurde festgestellt, dass die bisherigen Ausnahmen zum Scan-Ausschluss folgender Ordner entfallen können:
Anzeige
- Temporary ASP.NET Files
- Inetsrv
und der Prozesse
- PowerShell
- w3wp
nicht mehr benötigt werden. Microsoft schreibt, dass es mittlerweile viel besser wäre, diese Dateien und Ordner zu scannen. Die Beibehaltung dieser Ausnahmen kann die Erkennung der häufigsten Sicherheitsprobleme in Form von IIS-Webshells und Backdoor-Modulen verhindern. Microsoft empfiehlt Exchange Administratoren daher, die Ausschlüsse folgender Ordner aus Ihrem AV-Scanner auf Dateiebene zu entfernen:
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe
Die Microsoft-Entwickler schreiben, dass man das überprüft habe: Das Entfernen dieser Prozesse und Ordner aus dem Scan durch Antivirus-Software habe keine Auswirkungen auf die Leistung oder Stabilität bei der Verwendung von Microsoft Defender auf Exchange Server 2019 mit den neuesten Exchange Server-Updates.
Microsoft ist auch der der Meinung, dass diese Ausnahmen auch auf Servern mit Exchange Server 2016 und Exchange Server 2013 sicher entfernt werden können. Sofern das bei Exchange Server 2013 (Support endet im April 2023, siehe Microsoft weist auf Supportende für Exchange Server 2013 zum 11. April 2023 hin) oder Exchange Server 2016 angewendet wird, sollten Administratoren diese On-Premises-Server im Auge behalten und auf Probleme achten.
Treten widererwarten Probleme bei einer Exchange Server-Version auf, können die Ausnahmen einfach wieder gesetzt werden. Microsoft bittet in diesen Fällen das Problem zu melden. Hat schon jemand das umgesetzt und Probleme festgestellt?
Tipp: Frank Zöchling hat hier ein Script erwähnt, welches die Ausschlüsse für neue Installationen definiert, und entsprechend angepasst werden könnte. (via)
Ähnliche Artikel:
Exchange Server Sicherheitsupdates (14. Februar 2023)
Microsoft empfiehlt Exchange Server zu patchen (Jan. 2023)
Februar 2023 Patchday: EWS-Probleme nach Exchange Server Sicherheitsupdate
Microsoft weist auf Supportende für Exchange Server 2013 zum 11. April 2023 hin
Microsofts Februar 2023-Patchday: Falsche Updates in WSUS, Exchange und Windows
Exchange 2019: Löst das Januar 2023 SU mit CU 12 wieder das Index-Problem aus?
Microsoft Exchange Januar 2023 Patchday-Nachlese: Dienste starten nicht etc.
Anzeige
Naja so ganz korrekt ist die Aussage nicht, es gibt schon AV Software die auf Windows läuft und sich auf Exchange Servern in den Transport Mailverkehr einklinkt um Virensoftware und Spam herauszufischen.
Hallo,
was dann ja aber diese Nebenaussage erfüllt:
"[…] dass Windows-Virenschutzprogramme keine E-Mail-basierten Antispam- und Antimalware-Lösungen ersetzen können, […]"
Eine AV-Lösung die nicht als Transportagent eingebunden ist, ersetzt keine Lösung die das macht. Hier wird – wenn auch etwas umständlich formuliert – eine AV-Lösung ohne die Einbindung als Windows-only AV-Lösung bezeichnet.
Grüße
Es geht in diesem Fall aber nicht um Emailvirenscanner sondern um Virenscanner für das Betriebssystem. Das sind in der Regel zwei verschiedene Produkte.