Windows Defender ist auf Windows Server 2016 per Default aktiviert. Da Exchange Server einige Ausschlüsse vom Virenscanner benötigt, müssen diese entsprechend auch in Windows Defender hinterlegt werden. Gleiches gilt für Virenscanner anderer Hersteller.
Auf dem Exchange Team Blog findet sich dazu folgender Hinweis:
Windows Defender is on by default in Windows Server 2016. Attention to malware settings is particularly important with Exchange to avoid long processing times during installation and upgrade, as well as unexpected performance issues. The Exchange team recommends the Exchange installation and setup log folders be excluded from scanning in Windows Defender and other Anti-Virus software. Exchange noderunner processes should also be excluded from Windows Defender.
Quelle: Exchange Team Blog
Im Technet sind die Ausschlüsse für Exchange 2016 hier dokumentiert:
Die Liste ist allerdings lang, daher hat Exchange MVP Paul Cunningham ein Script veröffentlicht, welches die Ordner, Prozesse und Dateitypen übersichtlich in 3 Dateien einsortiert. Das Script gibt es hier zum Download:
Generate Antivirus Exclusions for Exchange 2013 and 2016 Servers
Virenscanner Ausschlüsse per Script ermitteln
Nachdem Paul’s Script auf dem Exchange Server mittels Exchange Management Shell ausgeführt wurde, finden sich die 3 Dateien im Ordner des Scripts:
Das Script selbst, erzeugt nur den Hinweis „Done“ als Ausgabe:
In den 3 Dateien sind jetzt alle Ausnahmen für Exchange Server enthalten. Hier als Beispiel die Dateitypen:
Alle Ausschlüsse (Dateitypen, Pfade und Prozesse) müssen jetzt im Virenscanner ausgeschlossen werden. Wie das funktioniert ist bei jedem Virenscanner unterschiedlich. Für Windows Defender ist das einfach:
Ausschlüsse zu Windows Defender hinzufügen
Wie eingangs bereits erwähnt ist Windows Defender auf Windows Server 2016 standardmäßig aktiviert. Da sich Windows Defender aber mit der PowerShell konfigurieren lässt, geht es besonders schnell die Ausschlüsse zu konfigurieren. Das folgende kleine Script verwendet die 3 Dateien von „Get-Exchange2016AVExclusions.ps1“ und fügt die Ausschlüsse hinzu:
[array]$ExcludeExtensions = (Import-Csv .\*extensions.txt -Header Extension).Extension Set-MpPreference -ExclusionExtension $ExcludeExtensions [array]$ExcludePaths = (Import-Csv .\*paths.txt -Header Paths).Paths Set-MpPreference -ExclusionPath $ExcludePaths [array]$ExcludeProcesses = (Import-Csv .\*procs.txt -Header Processes ).Processes Set-MpPreference -ExclusionProcess $ExcludeProcesses write-host "Exluded extensions: " -foregroundcolor green Get-MpPreference | fl ExclusionExtension write-host "Exluded pathes: " -foregroundcolor green Get-MpPreference | fl ExclusionPath write-host "Exluded processes: " -foregroundcolor green Get-MpPreference | fl ExclusionProcess
Das Script kann einfach als .PS1 Datei im gleichen Verzeichnis wie „Get-Exchange2016AVExclusions.ps1“ gespeichert werden und danach als Administrator ausgeführt werden:
Fertig. :-)