Skenirati više Exchange server objekata

AUTOR ·

Kompanija Microsoft preporučuje skeniranje više Exchange server objekata u potrazi za virusima i drugim zlonamjernim prijetnjama.

Skenirati vise Exchange server objekata

Skenirati više Exchange server objekata; Dizajn: Saša Đurić

U objavi ove sedmice, kompanija Microsoft preporučuje administratorima da sada u skeniranje uključe privremene ASP.NET i Inetsrv mape, kao i PowerShell i w3wp procese. Skeniranje ovih objekata će pomoći u zaštiti od prijetnji kao što su IIS webshells i backdoor. “Otkrili smo da neka postojeća izuzeća… više nisu potrebna” – stoji u objavi.

 

Uklanjanje izuzeća

Uklanjanje ovih objekata sa liste izuzeća (eng. exclusion list), prema objavi kompanije Microsoft, će povećati Exchange server bezbjednost:

 

Mape:

%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files

%SystemRoot%\System32\Inetsrv

 

Procesi:

%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe

%SystemRoot%\System32\inetsrv\w3wp.exe

 

U kompaniji Microsoft kažu da nisu primijetili da uklanjanje ovih objekata sa liste izuzeća utiče na performanse i stabilnost na Exchange Server 2019 na kojem su primijenjena  zadnja dostupna ažuriranja uz korištenje Windows Defender antivirusnog softvera.

Takođe, smatraju da je uklanjanje ovih objekata sa liste izuzeća bezbjedno i za Exchange Server 2016 i Exchange Server 2013 (podrška prestaje u aprilu), uz preporuku da se nakon intervencije serveri prate i da se u slučaju problema ovi objekti vrate na listu izuzeća.

 

Povećanje bezbjednosti

Ova preporuka će sigurno dobro doći korisnicima Exchange servera, posebno sada kada ovi sistemi postaju veoma popularna meta za zlonamjerne aktere, zbog količine osjetljivih podataka smještenih u ovim sistemima. Tu se prvenstveno misli na informacije kao što su titule zaposlenih, kontakt informacije i informacije o organizacionoj strukturi koje mogu biti iskorištene u phishing napadima. Napadači u Exchange serverima takođe mogu pronaći informacije kao što su dozvole u AD (Active Directory) i informacije o pristupu okruženima smještenim u oblaku.

Email Communication

Email Communication; Source: Piqsels

Lista izuzeća

I pored uklanjanja navedenih objekata sa liste izuzeća, listi ostaje još mnogo objekata. Glavni razlog ta to je što antivirusni softveri mogu prilikom skeniranja ovih objekata izazvati pad performansi, greške u radu, pa čak i pad sistema.

Postoji realan scenario u kojem Windows antivirusni softver može zaključati ili staviti u karantin otvoreni dnevnik evidencija (eng. log file) ili bazu podataka koju Exchange server treba da izmjeni. To može izazvati ozbiljne probleme u radu Exchange servera i zato je važno da se određeni objekti nalaze na listi izuzeća od skeniranja za antivirusni softver.

 

Pored toga, Windows antivirusni softveri ne mogu zamijeniti namjenske alata za zaštitu od neželjene elektronske pošte i zlonamjernog softvera, jer oni nisu u mogućnosti da otkriju prijetnje čija se distribucija vrši samo preko elektronske pošte.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.