Hero Image

Microsoft fordert Exchange-Administratoren auf, einige Antiviren-Ausschlüsse zu entfernen

Quelle: techcommunity.microsoft.com (Englisch)

Microsoft sagt, dass Administratoren einige zuvor empfohlene Antiviren-Ausschlüsse für Exchange-Server entfernen sollten, um die Sicherheit der Server zu erhöhen.

Wie das Unternehmen erklärte, sind Ausschlüsse, die auf die Ordner "Temporary ASP.NET Files" und "Inetsrv" sowie auf die Prozesse "PowerShell" und "w3wp" abzielen, nicht erforderlich, da sie die Stabilität und Leistung nicht mehr beeinträchtigen.

Administratoren sollten jedoch darauf achten, diese Speicherorte und Prozesse zu scannen, da sie häufig bei Angriffen zur Verbreitung von Malware missbraucht werden.

"Die Beibehaltung dieser Ausnahmen kann die Erkennung von IIS-Webshells und Backdoor-Modulen verhindern, die die häufigsten Sicherheitsprobleme darstellen", so das Exchange-Team.

"Wir haben validiert, dass das Entfernen dieser Prozesse und Ordner keine Auswirkungen auf die Leistung oder Stabilität hat, wenn Microsoft Defender auf Exchange Server 2019 mit den neuesten Exchange Server-Updates verwendet wird."

Sie können diese Ausnahmen auch sicher von Servern mit Exchange Server 2016 und Exchange Server 2013 entfernen, aber Sie sollten sie überwachen und darauf vorbereitet sein, etwaige Probleme zu entschärfen, die auftreten könnten.

Die Liste der Ordner- und Prozessausschlüsse, die von Antivirenscannern auf Dateiebene entfernt werden sollten, umfasst:

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporäre ASP.NET-Dateien
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe

Dies geschieht, nachdem Bedrohungsakteure bösartige Internet Information Services (IIS)-Webserver-Erweiterungen und Module verwendet haben, um weltweit ungepatchte Microsoft Exchange-Server durch Hintertüren zu infiltrieren.