Exchange Server und Ausschlüsse für Virenscanner

Microsoft hat die Empfehlungen der Ausschlüsse für Virenscanner auf Exchange Server aktualisiert:

Konkret sollen diese Verzeichnisse und Prozesse entgegen der ursprünglichen Empfehlung nicht mehr vom Virenscanner ausgeschlossen werden:

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe

Bestehende Ausschlüsse für Virenscanner sollten also angepasst werden. Für neue Exchange Installationen eignet sich das Script von Paul Cunningham, welches eine Liste aller Ausschlüsse erstellt:

Virenscanner Auschlüsse

Leider ist das Script mittlerweile archiviert, sodass kein Pull Request mehr eingereicht werden kann. Ich habe daher einen Fork erstellt und die Scripte von Paul aktualisiert. Die aktualisiert Scripte von Paul finden sich hier:

Das Script „Get-Exchange2016AVExclusions.ps1“ eignet sich übrigens auch für Exchange 2019. Mit dem Script lassen sich die Ausschlüsse auch direkt in den Windows Defender übernehmen. Hier noch der Link zum Exchange Team Blog:

12 thoughts on “Exchange Server und Ausschlüsse für Virenscanner”

  1. Klasse Beitrag!
    Hat auf unserem Exchange 2019 Server mit Import in den Defender einwandfrei funktioniert.

    WICHTIG: Die Power Shell als Administrator ausführen, sonst klappt der Import in den Defender nicht.

    LG Peter

    Reply
    • Hier der korrekte Befehl zum Import in den Defender

      .\Get-Exchange2016AVExclusions.ps1 -ConfigureWindowsDefender

      Reply
  2. Seit dem Entfernen der Ausnahmen haben wir auf allen Exchange Servern eine messbar höhere CPU Last und hier und da mal „Hänger“ im Outlook. Ich vermute (nicht genauer analysiert), dass das auf Grund des Scanns des IIS ist.

    Hat jemand ähnliche Erfahrungen? Trotz CPU Erweiterung neige ich dazu, die Ausnahmen wieder hinzuzufügen.

    Reply
    • Hi Jochen, ich habe genau das gleiche Problem, die CPU last geht ständig auf 100% und der IIS Worker Prozess stützt immer wieder ab.
      Dadurch ist das Arbeiten auf dem Terminal Server mit dem Outlook nicht möglich. (Hängt nur noch)
      Man kann auch sehen, dass der Virenschutz dienst gut mitarbeitet auf dem Exchange.
      Habe eine Exchange 2019 Standalone Umgebung mit dem Windows Defender.
      Aufgefallen ist das ganze heute morgen!
      Hast du schon eine Lösung?

      Reply
      • Hallo, habe das Problem gefunden, lag nicht am Virenschutz, ein Client hat sich an Mail Daten verschluckt gehabt. Profil neu erstellt, wieder alles gut!

        Reply
  3. hat jemand ein Skript welches die Ergebnisse aus den erzeugten Dateien in einem Rutsch importiert ?

    Danke und Grüße,
    MG

    Reply
    • Dafür gibts doch den entsprechenden Parameter im Skript. ;) ConfigureWindowsDefender einfach mal Doku lesen.

      Reply
  4. 1. Hatte ich ja geschrieben, dass ich es nicht getestet habe und 2. geh ich mal davon aus, dass MS das auch bald aktualisieren wird. ;)

    Reply
    • ja das ist richtig, aber:
      1) das Script beinhaltet noch die auszuschließenden Einträge
      2) Zeile 843 ist ein Copy&Paste Fehler; hier werden die „Prozesse“ in die „Pfad“ Ausnahmen geschrieben

      auch findet keine Bereinigung statt, man muss vorher also alles händisch löschen

      Reply
      • Hi Volker,

        inzwischen scheint es aktualisiert worden zu sein.
        In Zeile 864 werden die Prozesse zusätzlich noch in die Pfadausnahmen geschrieben. Keine Ahnung ob das jetzt „best practice“ oder ein Fehler ist (der Defender macht daraus korrekt eine Datei-Ausnahme).
        Write-SimpleLogFile -String („Adding $process“) -name $LogFile -OutHost
        Add-MpPreference -ExclusionPath $process
        Add-MpPreference -ExclusionProcess $process

        Reply

Leave a Comment