Microsoft Exchange : vous pouvez retirer ces exclusions de votre antivirus
Avis aux administrateurs de serveurs de messagerie Exchange : Microsoft affirme qu'il est recommandé de supprimer les exclusions dans votre solution de sécurité type antivirus de manière à améliorer la sécurité du serveur.
Pendant longtemps, Microsoft a recommandé de configurer son antivirus de façon à créer des règles pour exclure certains dossiers et processus sur les serveurs de messagerie Exchange, afin d'améliorer la stabilité et les performances de la solution. Sont concernés les processus PowerShell et w3wp, ainsi que les dossiers Inetsrv et ASP.NET.
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files %SystemRoot%\System32\Inetsrv %SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe %SystemRoot%\System32\inetsrv\w3wp.exe
Toutefois, la mise en place de ces règles a un impact négatif pour la sécurité du serveur de messagerie : ces emplacements et composants sont souvent utilisés dans des attaques visant à déployer des malwares. Sur son site, Microsoft précise : "Le maintien de ces exclusions peut empêcher la détection des webshells IIS et des modules de type backdoor, qui représentent les problèmes de sécurité les plus courants."
La question que l'on peut se poser, c'est : sur quelle(s) version(s) d'Exchange Server s'applique cette recommandation ? La firme de Redmond apporte la réponse : Exchange Server 2019. Pour être plus précis, voici les propos officiels : "Nous avons validé que la suppression de ces processus et dossiers n'affecte pas les performances ou la stabilité lors de l'utilisation de Microsoft Defender sur Exchange Server 2019 exécutant les dernières mises à jour d'Exchange Server." - autrement dit, on ne sait pas ce que cela peut donner avec une autre solution de sécurité.
Toutefois, Microsoft pense que vous pouvez retirer ces règles sur vos serveurs de messagerie Exchange Server 2013 ou Exchange Server 2016, sans craindre d'effets de bords... Mais bon, il convient d'être prudent et de surveiller l'état du serveur après avoir fait cette modification qui semble tout de même intéressante pour renforcer la sécurité de son serveur.
Cela est d'autant plus important que les serveurs de messagerie Exchange sont très régulièrement pris pour cible ! Ils sont généralement exposés sur Internet et sont vulnérables à plusieurs vulnérabilités s'ils ne sont pas mis à jour : une aubaine pour les pirates informatiques.