微软：Microsoft Exchange管理员应当扩大防病毒扫描

在上个月强调保持 Exchange 服务器更新的重要性之后，微软建议管理员扩大对这些服务器的防病毒扫描范围。

Microsoft Exchange 服务器成为攻击者的目标

网络攻击者喜欢将 Microsoft Exchange 服务器作为目标，通常是通过零日漏洞，但也会通过已知漏洞。

Microsoft Exchange 服务器是邮件服务器，因此它们保存着大量敏感的公司信息，包括可能被用来发动鱼叉式网络钓鱼攻击的员工信息。此外，正如Exchange团队指出的那样，“Exchange与 Active Directory有很深的权限联系，在混合环境中可以访问连接的云环境。”

您应该删除哪些排除项？

Microsoft鼓励在Microsoft Exchange服务器上使用防病毒软件(Microsoft Defender) – 如果某些目录、进程和文件扩展名被排除在扫描之外。

“最大的潜在问题是Windows防病毒程序可能会锁定或隔离Exchange需要修改的打开日志文件或数据库文件。这会导致 Exchange Server出现严重故障，并且还可能生成1018事件日志错误。因此，将这些文件排除在Windows防病毒程序扫描之外非常重要，”该公司解释道。

应该为内存驻留扫描和文件级扫描配置排除项。

名单很长，但从现在开始不包括：

• 临时 ASP.NET 文件和 Inetsrv 文件夹（%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files和 %SystemRoot%\System32\Inetsrv）
• Powershell 和 w3wp 进程（%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe和%SystemRoot%\System32\inetsrv\w3wp.exe）

微软指出，网络安全格局已经发生变化，“保留这些排除项可能会阻止检测到IIS webshel​​l和后门模块，它们代表了最常见的安全问题。”

Webshel​​l和后门程序为攻击者提供（持续）远程访问服务器和在服务器上执行代码的能力。

删除排除项不应导致Exchange Server 2019、2016 和2013出现稳定性问题，但如果出现任何问题，可以将它们还原。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4460.html