Microsoft recomenda mudança interessante para segurança do Exchange Server

Embora implantar uma solução antivírus em seu ambiente do Exchange Server seja uma boa prática recomendada pela Microsoft, a empresa também tem algumas orientações sobre exclusões de pastas e processos . Os objetos listados como exclusões não são verificados pelo sistema antivírus. A principal razão para ter certos objetos na lista de exclusões é que quaisquer arquivos a serem verificados pelo antivírus podem ser bloqueados para quarentena e, se o Exchange Server tentar utilizá-los para fins legítimos, isso resultará em erros e falhas.

No entanto, a empresa de tecnologia de Redmond agora compartilhou orientações atualizadas sobre quais objetos marcar como exclusões. Curiosamente, ele recomendou que as organizações removessem arquivos ASP.NET temporários, pastas Inetsrv e processos PowerShell e w3wp da lista de exclusões. Basicamente, agora ele deseja que esses objetos façam parte da verificação agendada e em tempo real realizada por uma solução antivírus. O raciocínio da Microsoft é que os tempos mudaram no mundo da segurança cibernética e é melhor verificar esses objetos para a detecção de webshells IIS e módulos backdoor.

A Microsoft recomendou a remoção dos seguintes objetos da lista de exclusões:

Pastas

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files

%SystemRoot%\System32\Inetsrv

Processos

%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe

%SystemRoot%\System32\inetsrv\w3wp.exe

Por meio de seu próprio processo de validação, a Microsoft confirmou que, se você usar o Microsoft Defender no Exchange Server 2019, remover as exclusões mencionadas não terá um impacto negativo no desempenho. Ele também observou que a alteração de configuração não deve afetar adversamente o Exchange Server 2013 ou 2016, mas se você tiver problemas, adicione as exclusões de volta e relate suas descobertas à Microsoft.