Microsoft 表示管理员应该删除一些以前推荐的 Exchange 服务器防病毒排除项,以提高服务器的安全性。
正如该公司所解释的那样,不需要针对 Temporary ASP.NET Files 和 Inetsrv 文件夹以及 PowerShell 和 w3wp 进程的排除,因为它们不再影响稳定性或性能。
但是,管理员应该注意扫描这些位置和进程,因为它们经常被滥用于部署恶意软件的攻击中。
“保留这些排除项可能会阻止检测到 IIS webshell 和后门模块,这是最常见的安全问题,”Exchange 团队表示。
“我们已经验证,在运行最新 Exchange Server 更新的 Exchange Server 2019 上使用 Microsoft Defender 时,删除这些进程和文件夹不会影响性能或稳定性。”
您还可以安全地从运行 Exchange Server 2016 和 Exchange Server 2013 的服务器中删除这些排除项,但您应该监控它们并准备好缓解可能出现的任何问题。
应从文件级防病毒扫描程序中删除的文件夹和进程排除列表包括:
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET 文件
%SystemRoot%\System32\Inetsrv
%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe
%SystemRoot%\System32\inetsrv\w3wp.exe这是在威胁行为者使用恶意互联网信息服务 (IIS) 网络服务器扩展和模块对全球未打补丁的 Microsoft Exchange 服务器进行后门攻击之后发生的。
为了抵御使用类似策略的攻击,您应该始终使您的 Exchange 服务器保持最新状态,使用反恶意软件和安全解决方案,限制对 IIS 虚拟目录的访问,确定警报的优先级,并定期检查配置文件和 bin 文件夹中的可疑内容 文件。
Redmond 最近还敦促客户通过应用最新的累积更新 (CU) 使本地 Exchange 服务器保持最新,以便他们准备好部署紧急安全更新。
还建议在部署更新后始终运行 Exchange Server 运行状况检查器脚本,以检测常见配置问题或可以通过简单的环境配置更改解决的其他问题。
正如 Shadowserver Foundation 的安全研究人员在 1 月份发现的那样,数万台暴露于 Internet 的 Microsoft Exchange 服务器(当时超过 60,000 台)仍然容易受到利用 ProxyNotShell 漏洞的攻击。
Shodan 还显示许多在线暴露的 Exchange 服务器,其中数千台无法防御针对 ProxyShell 和 ProxyLogon 漏洞的攻击,这两个漏洞是 2021 年最常被利用的漏洞。
如若转载,请注明出处:https://www.ozabc.com/it/534977.html