{"id":278296,"date":"2023-02-27T07:46:22","date_gmt":"2023-02-27T06:46:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278296"},"modified":"2023-02-27T08:11:08","modified_gmt":"2023-02-27T07:11:08","slug":"exchange-server-microsoft-empfiehlt-aktualisierung-der-antivirus-ausnahmen-feb-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/02\/27\/exchange-server-microsoft-empfiehlt-aktualisierung-der-antivirus-ausnahmen-feb-2023\/","title":{"rendered":"Exchange Server: Microsoft empfiehlt Aktualisierung der Antivirus-Ausnahmen (Feb. 2023)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Exchange Logo\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2022\/06\/Exchange.jpg\" alt=\"Exchange Logo\" width=\"157\" height=\"137\" align=\"left\" border=\"0\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/02\/27\/exchange-server-microsoft-recommends-updating-antivirus-scan-exclusions-feb-2023\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsofts Exchange Server-Team hat seine Empfehlungen in Bezug auf Ausnahmen f\u00fcr Antivirus-Scans \u00fcberarbeitet und bittet Administratoren die Einstellungen der Antivirus-Software zu \u00fcberpr\u00fcfen und gegebenenfalls anzupassen. Das Ganze ist das Ergebnis von Ver\u00e4nderungen in der Landschaft der Cyber-Bedrohungen.<\/p>\n<p><!--more--><\/p>\n<h2>Antivirus-Software auf Exchange Server<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/da93be252f26447a8588eb075eb1cf11\" alt=\"\" width=\"1\" height=\"1\" \/>Antivirenprogramme auf Microsoft Exchange-Servern k\u00f6nnen die Sicherheit und den Zustand einer Exchange-Installation verbessern. Eine fehlerhafte Konfiguration der Windows-Antivirenprogramme kann aber Probleme in Exchange Server verursachen. Antivirus-Programme f\u00fcr Windows f\u00fchren zwei Pr\u00fcfungen durch:<\/p>\n<ul>\n<li>Die speicherresidente \u00dcberpr\u00fcfung oder der Echtzeitschutz \u00fcberwacht alle Dateien und Prozesse, die im aktiven Speicher eines Computers geladen sind und ausgef\u00fchrt werden.<\/li>\n<li>Auf Dateiebene werden bei einem Scan die Dateien auf der Festplatte manuell oder in regelm\u00e4\u00dfigen Abst\u00e4nden auf Viren \u00fcberpr\u00fcft. Das kann bei einigen Antivirenprogrammen auch automatisch als On-Demand-\u00dcberpr\u00fcfung bei aktualisierter Virensignatur erfolgen.<\/li>\n<\/ul>\n<p>Microsoft schreibt in seinem, am 23. Februar 2023 aktualisierten, Beitrag <a href=\"https:\/\/learn.microsoft.com\/en-us\/Exchange\/antispam-and-antimalware\/windows-antivirus-software?view=exchserver-2019\" target=\"_blank\" rel=\"noopener\">Running Windows antivirus software on Exchange servers<\/a>, dass das gr\u00f6\u00dfte potenzielle Problem darin besteht, dass ein Windows-Antivirenprogramm eine offene Protokoll- oder Datenbankdatei, die Exchange \u00e4ndern muss, sperren oder unter Quarant\u00e4ne stellen kann. Dies kann zu schwerwiegenden Fehlern in Exchange Server f\u00fchren und m\u00f6glicherweise auch 1018-Ereignisprotokollfehler erzeugen. Daher ist es sehr wichtig, diese Dateien von der \u00dcberpr\u00fcfung durch das Windows-Antivirenprogramm auszuschlie\u00dfen.<\/p>\n<p>Ein weiteres Problem besteht darin, dass Windows-Virenschutzprogramme keine E-Mail-basierten Antispam- und Antimalware-L\u00f6sungen ersetzen k\u00f6nnen, da Windows-Virenschutzprogramme, die auf Windows-Servern ausgef\u00fchrt werden, keine Viren, Malware und Spam erkennen k\u00f6nnen, die nur per E-Mail verbreitet werden. Im Dokument werden dann Ausnahmen diverser Ordner sowie des Exchange-Installationspfads angegeben, die von der Pr\u00fcfung ausgenommen werden sollen.<\/p>\n<h2>Microsoft passt die Empfehlungen an<\/h2>\n<p>In einem Techcommunity-Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/update-on-the-exchange-server-antivirus-exclusions\/ba-p\/3751464\" target=\"_blank\" rel=\"noopener\">Update on the Exchange Server Antivirus Exclusions<\/a> hat Microsoft dies am 23. Februar 2023 aufgegriffen und schreibt, dass sich die Cybersicherheitslandschaft ge\u00e4ndert habe. Es wurde festgestellt, dass die bisherigen Ausnahmen zum Scan-Ausschluss folgender Ordner entfallen k\u00f6nnen:<\/p>\n<ul>\n<li>Temporary ASP.NET Files<\/li>\n<li>Inetsrv<\/li>\n<\/ul>\n<p>und der Prozesse<\/p>\n<ul>\n<li>PowerShell<\/li>\n<li>w3wp<\/li>\n<\/ul>\n<p>nicht mehr ben\u00f6tigt werden. Microsoft schreibt, dass es mittlerweile\u00a0 viel besser w\u00e4re, diese Dateien und Ordner zu scannen. Die Beibehaltung dieser Ausnahmen kann die Erkennung der h\u00e4ufigsten Sicherheitsprobleme in Form von IIS-Webshells und Backdoor-Modulen verhindern. Microsoft empfiehlt Exchange Administratoren daher, die Ausschl\u00fcsse folgender Ordner aus Ihrem AV-Scanner auf Dateiebene zu entfernen:<\/p>\n<pre><code>%SystemRoot%\\Microsoft.NET\\Framework64\\v4.0.30319\\Temporary ASP.NET Files\r\n%SystemRoot%\\System32\\Inetsrv\r\n%SystemRoot%\\System32\\WindowsPowerShell\\v1.0\\PowerShell.exe\r\n%SystemRoot%\\System32\\inetsrv\\w3wp.exe<\/code><\/pre>\n<p><img decoding=\"async\" title=\"Obsolete Exchange AV Scan exclusions\" src=\"https:\/\/i.imgur.com\/75lh67p.png\" alt=\"Obsolete Exchange AV Scan exclusions\" \/><\/p>\n<p>Die Microsoft-Entwickler schreiben, dass man das \u00fcberpr\u00fcft habe: Das Entfernen dieser Prozesse und Ordner aus dem Scan durch Antivirus-Software habe keine Auswirkungen auf die Leistung oder Stabilit\u00e4t bei der Verwendung von Microsoft Defender auf Exchange Server 2019 mit den neuesten <a href=\"https:\/\/aka.ms\/LatestExchangeServerUpdate\" target=\"_blank\" rel=\"noopener\">Exchange Server-Updates<\/a>.<\/p>\n<p>Microsoft ist auch der der Meinung, dass diese Ausnahmen auch auf Servern mit Exchange Server 2016 und Exchange Server 2013 sicher entfernt werden k\u00f6nnen. Sofern das bei Exchange Server 2013 (Support endet im April 2023, siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/01\/13\/microsoft-weist-auf-supportende-fr-exchange-server-2013-zum-11-april-2023-hin\/\">Microsoft weist auf Supportende f\u00fcr Exchange Server 2013 zum 11. April 2023 hin<\/a>) oder Exchange Server 2016 angewendet wird, sollten Administratoren diese On-Premises-Server im Auge behalten und auf Probleme achten.<\/p>\n<p>Treten widererwarten Probleme bei einer Exchange Server-Version auf, k\u00f6nnen die Ausnahmen einfach wieder gesetzt werden. Microsoft bittet in diesen F\u00e4llen das Problem zu melden. Hat schon jemand das umgesetzt und Probleme festgestellt?<\/p>\n<p>Tipp: Frank Z\u00f6chling hat <a href=\"https:\/\/www.frankysweb.de\/exchange-server-und-ausschluesse-fuer-virenscanner\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> ein Script erw\u00e4hnt, welches die Ausschl\u00fcsse f\u00fcr neue Installationen definiert, und entsprechend angepasst werden k\u00f6nnte. (<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-urges-exchange-admins-to-remove-some-antivirus-exclusions\/\" target=\"_blank\" rel=\"noopener\">via<\/a>)<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/15\/exchange-server-sicherheitsupdates-14-februar-2023\/\">Exchange Server Sicherheitsupdates (14. Februar 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/27\/microsoft-empfiehlt-exchange-server-zu-patchen-jan-2023\/\">Microsoft empfiehlt Exchange Server zu patchen (Jan. 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/16\/februar-2023-patchday-ews-probleme-nach-exchange-server-sicherheitsupdate\/\">Februar 2023 Patchday: EWS-Probleme nach Exchange Server Sicherheitsupdate<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/13\/microsoft-weist-auf-supportende-fr-exchange-server-2013-zum-11-april-2023-hin\/\">Microsoft weist auf Supportende f\u00fcr Exchange Server 2013 zum 11. April 2023 hin<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/02\/16\/microsofts-februar-2023-patchday-falsche-updates-in-wsus-exchange-und-windows\/\">Microsofts Februar 2023-Patchday: Falsche Updates in WSUS, Exchange und Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/26\/exchange-2019-lst-der-januar-2023-cu-wieder-das-index-problem-aus\/\">Exchange 2019: L\u00f6st das Januar 2023 SU mit CU 12 wieder das Index-Problem aus?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/01\/12\/microsoft-exchange-januar-2023-patchday-nachlese-dienste-starten-nicht-etc\/\">Microsoft Exchange Januar 2023 Patchday-Nachlese: Dienste starten nicht etc.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsofts Exchange Server-Team hat seine Empfehlungen in Bezug auf Ausnahmen f\u00fcr Antivirus-Scans \u00fcberarbeitet und bittet Administratoren die Einstellungen der Antivirus-Software zu \u00fcberpr\u00fcfen und gegebenenfalls anzupassen. Das Ganze ist das Ergebnis von Ver\u00e4nderungen in der Landschaft der Cyber-Bedrohungen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328],"class_list":["post-278296","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278296"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278296\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}