Exchange Server und Ausschlüsse für Virenscanner

Microsoft hat die Empfehlungen der Ausschlüsse für Virenscanner auf Exchange Server aktualisiert:

Konkret sollen diese Verzeichnisse und Prozesse entgegen der ursprünglichen Empfehlung nicht mehr vom Virenscanner ausgeschlossen werden:

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe

Bestehende Ausschlüsse für Virenscanner sollten also angepasst werden. Für neue Exchange Installationen eignet sich das Script von Paul Cunningham, welches eine Liste aller Ausschlüsse erstellt:

Virenscanner Auschlüsse

Leider ist das Script mittlerweile archiviert, sodass kein Pull Request mehr eingereicht werden kann. Ich habe daher einen Fork erstellt und die Scripte von Paul aktualisiert. Die aktualisiert Scripte von Paul finden sich hier:

Das Script „Get-Exchange2016AVExclusions.ps1“ eignet sich übrigens auch für Exchange 2019. Mit dem Script lassen sich die Ausschlüsse auch direkt in den Windows Defender übernehmen. Hier noch der Link zum Exchange Team Blog:

12 Gedanken zu „Exchange Server und Ausschlüsse für Virenscanner“

  1. Klasse Beitrag!
    Hat auf unserem Exchange 2019 Server mit Import in den Defender einwandfrei funktioniert.

    WICHTIG: Die Power Shell als Administrator ausführen, sonst klappt der Import in den Defender nicht.

    LG Peter

    Antworten
  2. Seit dem Entfernen der Ausnahmen haben wir auf allen Exchange Servern eine messbar höhere CPU Last und hier und da mal „Hänger“ im Outlook. Ich vermute (nicht genauer analysiert), dass das auf Grund des Scanns des IIS ist.

    Hat jemand ähnliche Erfahrungen? Trotz CPU Erweiterung neige ich dazu, die Ausnahmen wieder hinzuzufügen.

    Antworten
    • Hi Jochen, ich habe genau das gleiche Problem, die CPU last geht ständig auf 100% und der IIS Worker Prozess stützt immer wieder ab.
      Dadurch ist das Arbeiten auf dem Terminal Server mit dem Outlook nicht möglich. (Hängt nur noch)
      Man kann auch sehen, dass der Virenschutz dienst gut mitarbeitet auf dem Exchange.
      Habe eine Exchange 2019 Standalone Umgebung mit dem Windows Defender.
      Aufgefallen ist das ganze heute morgen!
      Hast du schon eine Lösung?

      Antworten
      • Hallo, habe das Problem gefunden, lag nicht am Virenschutz, ein Client hat sich an Mail Daten verschluckt gehabt. Profil neu erstellt, wieder alles gut!

        Antworten
    • ja das ist richtig, aber:
      1) das Script beinhaltet noch die auszuschließenden Einträge
      2) Zeile 843 ist ein Copy&Paste Fehler; hier werden die „Prozesse“ in die „Pfad“ Ausnahmen geschrieben

      auch findet keine Bereinigung statt, man muss vorher also alles händisch löschen

      Antworten
      • Hi Volker,

        inzwischen scheint es aktualisiert worden zu sein.
        In Zeile 864 werden die Prozesse zusätzlich noch in die Pfadausnahmen geschrieben. Keine Ahnung ob das jetzt „best practice“ oder ein Fehler ist (der Defender macht daraus korrekt eine Datei-Ausnahme).
        Write-SimpleLogFile -String („Adding $process“) -name $LogFile -OutHost
        Add-MpPreference -ExclusionPath $process
        Add-MpPreference -ExclusionProcess $process

        Antworten

Schreibe einen Kommentar