Exchange 2016: Virenscanner Ausschlüsse (Script für Windows Defender)

Windows Defender ist auf Windows Server 2016 per Default aktiviert. Da Exchange Server einige Ausschlüsse vom Virenscanner benötigt, müssen diese entsprechend auch in Windows Defender hinterlegt werden. Gleiches gilt für Virenscanner anderer Hersteller.

Auf dem Exchange Team Blog findet sich dazu folgender Hinweis:

Windows Defender is on by default in Windows Server 2016. Attention to malware settings is particularly important with Exchange to avoid long processing times during installation and upgrade, as well as unexpected performance issues. The Exchange team recommends the Exchange installation and setup log folders be excluded from scanning in Windows Defender and other Anti-Virus software. Exchange noderunner processes should also be excluded from Windows Defender.

Quelle: Exchange Team Blog

Im Technet sind die Ausschlüsse für Exchange 2016 hier dokumentiert:

Die Liste ist allerdings lang, daher hat Exchange MVP Paul Cunningham ein Script veröffentlicht, welches die Ordner, Prozesse und Dateitypen übersichtlich in 3 Dateien einsortiert. Das Script gibt es hier zum Download:

Generate Antivirus Exclusions for Exchange 2013 and 2016 Servers

Virenscanner Ausschlüsse per Script ermitteln

Nachdem Paul’s Script auf dem Exchange Server mittels Exchange Management Shell ausgeführt wurde, finden sich die 3 Dateien im Ordner des Scripts:

image

Das Script selbst, erzeugt nur den Hinweis „Done“ als Ausgabe:

image

In den 3 Dateien sind jetzt alle Ausnahmen für Exchange Server enthalten. Hier als Beispiel die Dateitypen:

image

Alle Ausschlüsse (Dateitypen, Pfade und Prozesse) müssen jetzt im Virenscanner ausgeschlossen werden. Wie das funktioniert ist bei jedem Virenscanner unterschiedlich. Für Windows Defender ist das einfach:

Ausschlüsse zu Windows Defender hinzufügen

Wie eingangs bereits erwähnt ist Windows Defender auf Windows Server 2016 standardmäßig aktiviert. Da sich Windows Defender aber mit der PowerShell konfigurieren lässt, geht es besonders schnell die Ausschlüsse zu konfigurieren. Das folgende kleine Script verwendet die 3 Dateien von „Get-Exchange2016AVExclusions.ps1“ und fügt die Ausschlüsse hinzu:

[array]$ExcludeExtensions = (Import-Csv .\*extensions.txt -Header Extension).Extension
Set-MpPreference -ExclusionExtension $ExcludeExtensions

[array]$ExcludePaths = (Import-Csv .\*paths.txt -Header Paths).Paths
Set-MpPreference -ExclusionPath $ExcludePaths

[array]$ExcludeProcesses = (Import-Csv .\*procs.txt -Header Processes ).Processes
Set-MpPreference -ExclusionProcess $ExcludeProcesses

write-host "Exluded extensions: " -foregroundcolor green
Get-MpPreference | fl ExclusionExtension
write-host "Exluded pathes: " -foregroundcolor green
Get-MpPreference | fl ExclusionPath
write-host "Exluded processes: " -foregroundcolor green
Get-MpPreference | fl ExclusionProcess

Das Script kann einfach als .PS1 Datei im gleichen Verzeichnis wie „Get-Exchange2016AVExclusions.ps1“ gespeichert werden und danach als Administrator ausgeführt werden:

Windows Defender

Fertig. :-)

5 Gedanken zu “Exchange 2016: Virenscanner Ausschlüsse (Script für Windows Defender)

  1. … mh.

    wenn ich also nur hyper-v maschinen mit daten betreibe kann ich auf dem host den virenscanner komplett deaktivieren … oder wie seht ihr das?

  2. Besteht die Möglichkeit diesen Vorgang irgendwie via GPO komplett zu automatisieren? Und müssen die Ausnahmen auch separat für den SCCM Endpoint Security-Client erfolgen oder bezieht dieser auch die Ausnahmeregeln von Windows Defender mit ein? (Die Lösungen verwenden meines Wissens nach ja eine ähnliche oder gar dieselbe Engine?)

  3. Hallo Frank,
    vielen Dank für das Skript oben, die Funktion ist so wie beschrieben.
    Ich denke allerdings, in Zeile 7 sollte .\*procs.txt (statt erneut .\*paths.txt) stehen.
    Hier konnte ich vor dem msxSetup Defender nicht über GUI deaktivieren, ich habe dafür in PS
    ‚Set-MpPreference DisableRealtimeMonitoring $true‘ benutzt.
    MfG, jel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.