微软:Microsoft Exchange管理员应当扩大防病毒扫描
在上个月强调保持 Exchange 服务器更新的重要性之后,微软建议管理员扩大对这些服务器的防病毒扫描范围。

Microsoft Exchange 服务器成为攻击者的目标
网络攻击者喜欢将 Microsoft Exchange 服务器作为目标,通常是通过零日漏洞,但也会通过已知漏洞。
Microsoft Exchange 服务器是邮件服务器,因此它们保存着大量敏感的公司信息,包括可能被用来发动鱼叉式网络钓鱼攻击的员工信息。此外,正如Exchange团队指出的那样,“Exchange与 Active Directory有很深的权限联系,在混合环境中可以访问连接的云环境。”
您应该删除哪些排除项?
Microsoft鼓励在Microsoft Exchange服务器上使用防病毒软件(Microsoft Defender) – 如果某些目录、进程和文件扩展名被排除在扫描之外。
“最大的潜在问题是Windows防病毒程序可能会锁定或隔离Exchange需要修改的打开日志文件或数据库文件。这会导致 Exchange Server出现严重故障,并且还可能生成1018事件日志错误。因此,将这些文件排除在Windows防病毒程序扫描之外非常重要,”该公司解释道。
应该为内存驻留扫描和文件级扫描配置排除项。
名单很长,但从现在开始不包括:
- 临时 ASP.NET 文件和 Inetsrv 文件夹(%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files和 %SystemRoot%\System32\Inetsrv)
- Powershell 和 w3wp 进程(%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe和%SystemRoot%\System32\inetsrv\w3wp.exe)
微软指出,网络安全格局已经发生变化,“保留这些排除项可能会阻止检测到IIS webshell和后门模块,它们代表了最常见的安全问题。”
Webshell和后门程序为攻击者提供(持续)远程访问服务器和在服务器上执行代码的能力。
删除排除项不应导致Exchange Server 2019、2016 和2013出现稳定性问题,但如果出现任何问题,可以将它们还原。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4460.html