Microsoft veröffentlichte Updates für Microsoft Exchange Server 2016 (KB5003611) und Microsoft Exchange Server 2019 (KB5003612), die es diesen Serverversionen ermöglichen, das AMSI (Antimalware Scan Interface) zu nutzen. Nun scannt Antivirensoftware, die das AMSI nutzt und auf dem gleichen Rechner mit einem Microsoft Exchange Server installiert ist, alle HTTP-Anforderungen, bevor diese vom Mailserver bearbeitet werden.
Daher kann Dr.Web für Windows-Server und Dr.Web Agents für Windows mit aktivierter AMSI-Unterstützung den Server verlangsamen und dessen Leistung beeinträchtigen. Das Update, das dieses Problem behebt, wurde am 17. Januar 2022 veröffentlicht. Die Spezialisten von Doctor Web empfehlen, die AMSI-Unterstützung für Microsoft Exchange Server zu deaktivieren, bis das Update auf Ihrem Gerät installiert ist.
Um das AMSI in Microsoft Exchange Server Produkten zu deaktivieren, nutzen Sie Exchange Server PowerShell:
- Öffnen Sie Exchange Server PowerShell.
- Führen Sie folgende Befehle nacheinander aus:
[PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Wichtig: Bevor Sie die Befehle ausführen, stellen Sie sicher, dass Sie alle Daten gespeichert haben, da diese Befehle den Neustart von Internet Information Services (IIS) erzwingen und die Verbindung abgebrochen wird.
Wir empfehlen, die AMSI-Unterstützung erst dann wieder zu aktivieren, wenn ein Update, das dieses Problem behebt, veröffentlicht wird. Führen Sie dazu folgende Befehle aus:
[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Wichtig: Bevor Sie die Befehle ausführen, stellen Sie sicher, dass Sie alle Daten gespeichert haben, da diese Befehle den Neustart von Internet Information Services (IIS) erzwingen und die Verbindung abgebrochen wird.
Alternativ können Sie das AMSI mithilfe eines speziellen PowerShell-Skripts deaktivieren:
- Laden Sie das Skript Test-AMSI.ps1 aus dem Microsoft-Repository herunter.
- Speichern Sie das Skript im Ordner C:\scripts auf dem Rechner, auf dem Microsoft Exchange Server installiert ist. Falls der Ordner „scripts“ fehlt, legen Sie einen Ordner mit diesem Namen an. Stellen Sie sicher, dass die Datei nicht gesperrt ist, um Fehler bei der Ausführung des Skripts zu vermeiden.
- Führen Sie folgende Befehle nacheinander aus:
[PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Um das AMSI auf einem Microsoft Exchange Server wieder zu aktivieren, führen Sie folgende Befehle nacheinander aus:
[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS