Microsoft ändert Empfehlung für Virenscanner-Ausschlüsse auf Exchange Server

    , 24.02.2023
    Tags: , ,

    Microsoft Defender auf Windows ServerWenn Unternehmen Virenscanner auf einem Exchange-Server betreiben, dann empfiehlt Microsoft, einige Verzeichnisse und Prozesse vom Scan auszu­nehmen. Der Hersteller nimmt nun je zwei Ordner und Prozesse von dieser Liste, um Bedro­hungen durch Webshells zu reduzieren. Dies soll zu keinen Einbußen bei der Perfor­mance führen.

    Auch wenn Unternehmen externe Dienste wie Exchange Online Protection und einen ähnlichen Service eines Drittanbieters nutzen, empfiehlt sich der zusätzliche Einsatz eines Virenscanners auf den Exchange-Servern selbst.

    Nicht via Mail generierte Bedrohungen erkennen

    Auf diese Weise lassen sich auch etwa Angriffe abwehren, wenn diese über HTTP-Anfragen erfolgen. Microsoft hat dazu den Messaging-Server vor einiger Zeit den mit der Schnittstelle für Antimalware-Engines (AMSI) integriert.

    Außerdem kam Microsoft Defender in der Vergangenheit bei akuten Bedrohungen die Aufgabe zu, die Konfiguration des Systems zu ändern, um Schwachstellen wie CVE-2021-26855 zu schließen.

    Update für Ausschlüsse

    Zu den Best Practices gehört indes, dass eine Antiviren-Software nicht alle Systemordner und Prozesse von Exchange untersucht (siehe dazu diese Übersicht). Dadurch kann man etwa verhindern, dass der Virenscanner eine wichtige Systemdatei unter Quarantäne stellt, weil er diese fälschlich für infiziert hält.

    Microsoft rät Admins nun, folgende Verzeichnisse von den Ausschlüssen zu entfernen:

    %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
    %SystemRoot%\System32\Inetsrv

    Hinzu kommen zwei Prozesse, die nun ebenfalls geprüft werden sollten:

    %SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
    %SystemRoot%\System32\inetsrv\w3wp.exe

    Nicht generell verifiziert

    Microsoft hat nach eigenen Angaben verifiziert, dass diese Maßnahme keinen negativen Einfluss auf die Stabilität und die Performance von Exchange Server 2019 hat, wenn darauf die letzten Updates installiert wurden und Microsoft Defender als Virenscanner läuft.

    Für alle anderen Konstellationen legt der Hersteller ebenfalls eine Anpassung der Ausschlüsse nahe, da sie auch dort mutmaßlich zu keinen unerwünschten Folgen führt. Überprüft hat Microsoft dies aber nicht.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Karl Wester-Ebb... (Besucher) sagt:
    27. Februar 2023 - 12:47

    Danke für den Hinweis!