Tags: Exchange, Malware, Defender
Wenn Unternehmen Virenscanner auf einem Exchange-Server betreiben, dann empfiehlt Microsoft, einige Verzeichnisse und Prozesse vom Scan auszunehmen. Der Hersteller nimmt nun je zwei Ordner und Prozesse von dieser Liste, um Bedrohungen durch Webshells zu reduzieren. Dies soll zu keinen Einbußen bei der Performance führen.
Auch wenn Unternehmen externe Dienste wie Exchange Online Protection und einen ähnlichen Service eines Drittanbieters nutzen, empfiehlt sich der zusätzliche Einsatz eines Virenscanners auf den Exchange-Servern selbst.
Nicht via Mail generierte Bedrohungen erkennen
Auf diese Weise lassen sich auch etwa Angriffe abwehren, wenn diese über HTTP-Anfragen erfolgen. Microsoft hat dazu den Messaging-Server vor einiger Zeit den mit der Schnittstelle für Antimalware-Engines (AMSI) integriert.
Außerdem kam Microsoft Defender in der Vergangenheit bei akuten Bedrohungen die Aufgabe zu, die Konfiguration des Systems zu ändern, um Schwachstellen wie CVE-2021-26855 zu schließen.
Update für Ausschlüsse
Zu den Best Practices gehört indes, dass eine Antiviren-Software nicht alle Systemordner und Prozesse von Exchange untersucht (siehe dazu diese Übersicht). Dadurch kann man etwa verhindern, dass der Virenscanner eine wichtige Systemdatei unter Quarantäne stellt, weil er diese fälschlich für infiziert hält.
Microsoft rät Admins nun, folgende Verzeichnisse von den Ausschlüssen zu entfernen:
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
Hinzu kommen zwei Prozesse, die nun ebenfalls geprüft werden sollten:
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe
Nicht generell verifiziert
Microsoft hat nach eigenen Angaben verifiziert, dass diese Maßnahme keinen negativen Einfluss auf die Stabilität und die Performance von Exchange Server 2019 hat, wenn darauf die letzten Updates installiert wurden und Microsoft Defender als Virenscanner läuft.
Für alle anderen Konstellationen legt der Hersteller ebenfalls eine Anpassung der Ausschlüsse nahe, da sie auch dort mutmaßlich zu keinen unerwünschten Folgen führt. Überprüft hat Microsoft dies aber nicht.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Neue Funktionen in Defender und Microsoft 365 für Schwachstellen-Management, Security-Analyse und gegen Ransomware
- Smart App Control: Windows 11 gegen Ransomware schützen
- Übersicht: Die wichtigsten Features von Windows Defender
- Defender SmartScreen konfigurieren und erweiterten Phishing-Schutz aktivieren
- Defender Antivirus konfigurieren: Ausschlüsse, Echtzeitschutz, Scan-Verhalten und Reaktion auf Bedrohungen
Weitere Links
1 Kommentar
Danke für den Hinweis!