Microsoft рекомендует интересное изменение для безопасности Exchange Server

Хотя развертывание антивирусного решения в среде Exchange Server является хорошей практикой, рекомендуемой Microsoft, компания также имеет некоторые рекомендации по исключениям папок и процессов. Объекты, включенные в список исключений, не сканируются антивирусной системой. Основная причина наличия определенных объектов в списке исключений заключается в том, что любые файлы, подлежащие сканированию антивирусом, могут быть закрыты на карантин, и если Exchange Server попытается использовать их в законных целях, это приведет к ошибкам и сбоям.

Тем не менее, компания теперь поделилась обновленным руководством о том, какие объекты следует помечать как исключения. Интересно, что организациям рекомендуется удалять временные файлы ASP.NET, папки Inetsrv и процессы PowerShell и w3wp из списка исключений. По сути, теперь Microsoft хочет, чтобы эти объекты были частью сканирования в реальном времени и по расписанию, выполняемого антивирусным решением. Обоснование Microsoft заключается в том, что сейчас времена в мире кибербезопасности изменились, и лучше сканировать эти объекты для обнаружения веб-оболочек IIS и модулей бэкдора.

Microsoft рекомендует удалить из списка исключений следующие объекты:

Папки

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files

%SystemRoot%\System32\Inetsrv

Процессы

%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe

%SystemRoot%\System32\inetsrv\w3wp.exe

С помощью собственного процесса проверки Microsoft подтвердила, что если вы используете Microsoft Defender в Exchange Server 2019, удаление вышеупомянутых исключений не окажет негативного влияния на производительность. Также было отмечено, что изменение конфигурации не должно негативно повлиять на Exchange Server 2013 или Exchange Server 2016, но если вы столкнетесь с проблемами, верните исключения и сообщите о своих выводах в Microsoft.

Узнать другие подробности можно здесь.