Pour minimiser les interférences avec les opérations d'Exchange tout en maintenant un niveau de sécurité adéquat, certaines exclusions de dossiers, de processus et d'extensions de fichiers sont recommandées. Voici les plus critiques à considérer :
Dossiers à exclure : Le chemin d'installation d'Exchange (%ExchangeInstallPath%), typiquement situé à C:\Program Files\Microsoft\Exchange Server\V15\, doit être exclu pour éviter toute interférence avec les opérations essentielles du serveur.
Processus à exclure :hostcontrollerservice.exe, inetinfo.exe, Microsoft.Exchange.*.exe (une gamme de services Exchange critiques situés dans %ExchangeInstallPath%\Bin et d'autres répertoires spécifiques), ainsi que wsbexchange.exe, sont des exemples de processus qui doivent être exclus pour garantir que les fonctions vitales d'Exchange ne sont pas perturbées.
Extensions de fichiers à exclure : Les extensions spécifiques liées aux opérations d'Exchange et à sa maintenance, doivent également être prises en compte selon la documentation de Microsoft et les besoins spécifiques de votre environnement.
2. Ce qu'il ne faut pas exclure : Pour maintenir l'intégrité de la sécurité, certains dossiers et processus ne doivent pas être exclus, notamment ceux associés à ASP.NET et PowerShell, essentiels pour la détection de webshells IIS et de modules backdoor potentiellement nuisibles.
3. Gestion des Exclusions via PowerShell : L'utilisation de PowerShell est recommandée pour une gestion efficace des exclusions. Par exemple, le script Set-ExchAVExclusions.ps1 qu'on peut trouver sur le blog Exchange CSS permet de lister et de configurer les exclusions recommandées, offrant une méthode programmable et répétable pour ajuster les exclusions selon les mises à jour et les besoins changeants.
Exclusion Item | Description |
%ExchangeInstallPath% | Exclude the entire Exchange installation directory, typically located at C:\Program Files\Microsoft\Exchange Server\V15. |
Exchange Database Files Directory | Exclude directories containing Exchange database files (.edb) and transaction logs. |
Exchange Working and Log Files | Exclude folders for temporary storage of working files, such as the message queue database. |
Processes
Exclusion Item | Description |
Microsoft.Exchange.Directory.TopologyService.exe | Ensures directory service operations are not disrupted. |
Microsoft.Exchange.EdgeSyncSvc.exe | Required for secure mail flow between Edge Transport servers and the Exchange organization. |
Microsoft.Exchange.EdgeCredentialSvc.exe | Manages Edge Transport server credentials. |
Microsoft.Exchange.AntispamUpdateSvc.exe | Updates anti-spam filters. |
Microsoft.Exchange.ContentFilter.Wrapper.exe | Supports content filtering. |
Microsoft.Exchange.Diagnostics.Service.exe | Facilitates Exchange diagnostics and troubleshooting. |
hostcontrollerservice.exe | Critical for Search Foundation for Exchange. Located in %ExchangeInstallPath%\Bin\Search\Ceres\HostController. |
inetinfo.exe | Associated with IIS, needed for Exchange web services. Located in %SystemRoot%\System32\inetsrv. |
wsbexchange.exe | Part of Exchange Hygiene functions. Located in %ExchangeInstallPath%\Bin\TransportRoles\agents\Hygiene. |
ScanEngineTest.exe, ScanningProcess.exe, UpdateService.exe | Part of Forefront Protection for Exchange. Located in %ExchangeInstallPath%\FIP-FS\Bin. |
File Extensions
Exclusion Item | Description |
.log | Log files used by Exchange for various logging purposes. |
.edb, .chk, .jrs | Database files including Exchange database files, checkpoint files, and log reserve files. |
.\Set-ExchAVExclusions.ps1 -ListRecommendedExclusions -FileName "C:\temp\Exclusions.txt"
Ce script génère une liste des exclusions recommandées, facilitant la révision et l'application des politiques d'exclusion pertinentes.
4. Configuration des Exclusions dans Microsoft Defender : Pour les utilisateurs de Microsoft Defender Antivirus, la configuration des exclusions peut être réalisée via le Centre de sécurité Microsoft Defender ou Intune, permettant une gestion centralisée et précise des exclusions à travers votre environnement Exchange.
5. Précision et Audit des Exclusions : L'importance de la précision dans la définition des exclusions ne peut être sous-estimée. Des exclusions trop larges peuvent introduire des vulnérabilités, tandis que des exclusions trop restrictives peuvent affecter les performances d'Exchange. Un audit régulier des exclusions est essentiel pour maintenir un équilibre entre sécurité et performance.
6. Consultation pour d'Autres Produits Antivirus : Chaque produit antivirus ayant ses spécificités, il est crucial de consulter la documentation de votre solution antivirus pour déterminer les exclusions appropriées, assurant ainsi que la protection est optimisée sans compromettre les fonctionnalités d'Exchange.
7. Gestion des Exclusions via Microsoft Intune : Pour une gestion des exclusions via Microsoft Intune, des procédures spécifiques sont disponibles pour définir et ajuster les exclusions dans le cadre de politiques antivirus existantes ou nouvelles, renforçant la sécurité de manière flexible et centralisée.