Microsoft hat seine Empfehlungen für Ausnahmen von Virenscans auf Exchange-Mailservern aktualisiert. Die umfangreiche Liste der bisherigen Empfehlungen schrumpft um vier Einträge. Der Sicherheit soll das zuträglich und der Performance nicht abträglich sein. Ein Virenschutz auf dem Mailserver soll einerseits den Server selbst, andererseits die Nutzerinnen und Nutzer vor schädlicher Software etwa in E-Mail-Anhängen schützen. Da ein Virenscanner sich üblicherweise unter anderem von Windows etwa über Dateiänderungen informieren lässt, um die modifizierten Dateien im Anschluss zu untersuchen, wird das auf einem Server schnell zur Performance-Bremse. Wenn etwa neue Mails zu Veränderungen an der E-Mail-Datenbank des Servers führen, startet der Virenscanner quasi für jede neue E-Mail einen Scan dieser Datenbank. Für Dateien, Verzeichnisse und Prozesse, die etwa dadurch permanent Scans provozieren würden, hat Microsoft daher eine Liste zusammengestellt. Das Unternehmen stellt diese Empfehlungen etwa im Rahmen von Best-Practice-Anleitungen für Administratoren von Exchange-Servern bereit. Microsofts Entwickler schreiben jetzt, dass sie bei einer Überprüfung der bisherigen Ausnahmen aufgrund Änderungen in den Cyber-Bedrohungen auf nicht mehr benötigte Scan-Ausnahmeregeln gestoßen sind. Bei den über die Zeit geänderten Cyber-Angriffen seien einige Dateien. Verzeichnisse und Prozesse aufgefallen, die der Virenschutz doch besser untersuchen sollte. Namentlich nennt Microsoft die temporären ASP.NET-Dateien, Inetsrv-Ordner sowie die PowerShell- und w3wp-Prozesse. Blieben die Ausnahmen darauf erhalten, könnte das die Erkennung von IIS-Webshells und Backdoor-Modulen verhindern, die die häufigsten Sicherheitsprobleme darstellten. IT-Verantwortliche sollten daher folgende Ausnahmen in ihrem Virenschutz auf Exchange-Servern entfernen:

Ordner
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
Prozesse
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe

In den Tests der Microsoft-Entwickler traten durch das Entfernen der Ausnahmen im Microsoft Defender auf Exchange Server 2019 mit den jüngsten Aktualisierungen keine Performance- oder Stabilitätseinbußen auf. Sie gehen zudem davon aus, dass diese Ausnahmen sicher auch von Exchange 2016- und Exchange 2013-Servern entfernt werden können. Auf solchen Maschinen raten Microsofts Mitarbeiter jedoch dazu, die Server nach dem Entfernen der Ausnahmen auf das Auftreten möglicher Probleme hin zu beobachten. Sollten etwaige Probleme auftreten, sollten IT-Verantwortliche die Ausnahmen einfach wieder einsetzen. Bei der Gelegenheit weisen die Microsoft-ITler nochmals darauf hin, dass der Exchange Server 2013 am 11. April 2023 die letzten Aktualisierungen erhält, damit das Support-Ende erreicht und aufs Altenteil geschickt wird. Ohne Sicherheitsaktualisierungen sollten Exchange-Server nicht weiter betrieben werden, da Cyberkriminelle die Lücken darin standardmäßig angreifen und sich so in Netzwerke einnisten und Schaden anrichten.

Quelle: Heise