Antivirus-Ausschlüsse bei Server-Systemen

Server-Systeme und Anwendungen auf diesen müssen selbstverständlich genau so abgesichert werden wie alle anderen Systeme. Allerdings habe ich oft genug mitbekommen, dass ein lokal installierter Antivirus durchaus problematisch sein kann. Ich will das jetzt nicht so weit treiben wie hier. Aber man muss das ansprechen. Denn eine ganze Reihe von Problemen resultieren im Einsatz von Antivirus-Lösungen, die das jeweilige System quasi zunageln. Es ist daher wichtig, mal Ausschlusslisten zu benennen. Und das will ich mal kurz machen.

Antivirus-Ausschlüsse für Hyper-V

Wie Sie vielleicht mitbekommen haben, finde ich das Thema Hyper-V nach wie vor relativ spannend. Es passt ja auch zur Cloud-Thematik, mit der ich mich beschäftige. Und hier gilt eben auch, die Sicherheit der Rechenzentren im Blick zu haben. Aber bevor man die Server komplett verrammelt und dadurch Fehlfunktionen verursacht, ist es vielleicht nicht die schlechteste Idee, sich mit den Ausschlüssen für Hyper-V-Hosts zu beschäftigen. Microsoft empfiehlt, folgendes auszuschließen:

  • Alle Verzeichnisse mit *.vhd-, *.vhdx-, *.avhdx-, *.vsv- und *.iso-Dateien
  • Das Standard-Konfigurationsverzeichnis C:\ProgramData\Microsoft\Windows\Hyper-V sowie die Unterverzeichnisse
  • Das Standard-Verzeichnis für virtuelle Festplatten C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks sowie die Unterverzeichnisse
  • Das Standard-Snapshot-Verzeichnis C:\ProgramData\Microsoft\Windows\Hyper-V\Snapshots sowie seine Unterverzeichnisse
  • Falls ein Cluster im Einsatz ist: C:\ClusterStorage
  • Falls von den oben genannten Verzeichnisse benutzerdefinierte Verzeichnisse vorhanden sind, diese auch
  • SMB 3.0-Dateifreigaben
  • Die Prozesse vms.exe, vmwp.exe und vmsp.exe

Wie diese Ausschlüsse im Antivirus definiert werden, kann von Produkt zu Produkt unterschiedlich sein. Falls man sich unsicher ist, kann man sicherlich auch den Hersteller befragen. Aber im Allgemeinen gibt es da eher weniger Probleme. Für den Windows Defender steht es hier.

Antivirus-Ausschlüsse für Exchange Server

Exchange Server beschäftigen mich schon einige Jahre. Das wird wohl auch noch eine ganze Zeit so weitergehen. Und auch bei Exchange Servern ist es immer wieder so, dass die Funktionen gestört sind, wenn der installierte Antivirus – hier: Dateibasiert – zu restriktiv eingestellt ist. Deshalb gibt es auch hierfür Ausschluss-Listen von Microsoft. Laut Microsoft-Empfehlung sollte folgendes ausgeschlossen werden:

  • Falls eine DAG im Einsatz ist: %SystemRoot%\Cluster und %SystemDrive%\DAGFileShareWitnesses\<DAGFQDN>
  • Für das Offline-Adressbuch: %ExchangeInstallPath%ClientAccess\OAB
  • Für die Inhaltsüberprüfung und Data Loss Prevention: %ExchangeInstallPath%\ FIP-FS
  • Für die Gruppenmetrik: %ExchangeInstallPath%\GroupMetrics
  • Für jegliche Protokollierung: %ExchangeInstallPath%\Logging
  • Alle Datenbank-Verzeichnisse, gewöhnlich %ExchangeInstallPath%\Mailbox – feststellbar mit „Get-MailboxDatabase -Server <ServerName> | Format-List EdbFilePath,LogFolderPath“
  • Protokolldateien für ADLDS: %ExchangeInstallPath%\TransportRoles\Data\Adam
  • Protokolldateien für die IP-Filterung: %ExchangeInstallPath%\TransportRoles\Data\IpFilter
  • Die Warteschlange und deren Protokolle: %ExchangeInstallPath%\TransportRoles\Data\Queue
  • Prüfprotokolle zur Absenderzuverlässigkeit: %ExchangeInstallPath%\TransportRoles\Data\ SenderReputation
  • Inhaltskonvertierung in der Transport-Pipeline: %ExchangeInstallPath%\TransportRoles\Data\Temp
  • Jegliche Transportprotokolle: %ExchangeInstallPath%\TransportRoles\Logs
  • Das Pickup-Verzeichnis zum Testen des Nachrichtenflusses: %ExchangeInstallPath%\TransportRoles\Pickup
  • Die Replay-Warteschlange: %ExchangeInstallPath%TransportRoles\Replay
  • Falls Unified Messaging im Einsatz ist: %ExchangeInstallPath%\UnifiedMessaging\Grammars, %ExchangeInstallPath%\ UnifiedMessaging\Prompts, %ExchangeInstallPath%\UnifiedMessaging\Temp, 
    %ExchangeInstallPath%\UnifiedMessaging\Voicemail
  • Inhaltskonvertierung: %ExchangeInstallPath%\Working\OleConverter
  • IIS-Komprimierung: %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • Temporäre .Net-Komponenten: %SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files (Die Version kann sich unterscheiden)
  • IIS-Dateien: %SystemRoot%\System32\Inetsrv
  • Temporäre Dateien der Exchange-Suche: %SystemRoot%\Temp\OICE_<GUID>\

Zudem sind eine ganze Reihe von Prozessen genannt. Auch sollte niemand die Liste von Datei-Erweiterungen unterschätzen. Gerade im Exchange-Umfeld mit all seinen dynamisch veränderlichen Daten kann ein Antivirus enorm kontraproduktiv sein. So aus dem Bauchgefühl heraus würde ich behaupten, dass vielleicht 2/3 aller ominösen Störungen in irgendeiner Form mit dem zu restriktiv eingestellten Antivirus zusammenhängen.

Fazit

Ein Schutz vor Virenbefall ist unerlässlich. Gerade bei Systemen, die mehr oder weniger eng am Internet wohnen. Aber ein komplettes Verriegeln kann hier zu einer Unbenutzbarkeit dieser Server-Systeme führen. Damit niemand seine Server zu offen dastehen hat und eben auch nicht zu sehr verrammelt hat, gibt es von Microsoft Empfehlungen. Die kann man nutzen, um sein jeweiliges System funktional und sicher zu halten. Aber das ist eben nur mein Eindruck.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert