Noworoczny problem z aktualizacją silnika Antimalware w serwerach Exchange wywołał sporo dyskusji, które pokazały mi, że nie wszyscy dobrze rozumieją tematy związane z powyższym zagadnieniem. Dodatkowe zamieszanie spowodowała wprowadzona w czerwcu 2021 integracja z AMSI systemu operacyjnego. Należy pamiętać o jednej podstawowej różnicy - starszy mechanizm poprzez agenta transportowego, skanuje pod kątem malware treść i załączniki przesyłanych maili w warstwie transportowej serwera. Integracja z AMSI pozwala poprzez moduł http proxy skanować zapisywane w skrzynce pocztowej wiadomości w trakcie zapisywania/odczytu z użyciem mechanizmów ochrony animalware działających w systemie operacyjnym i również korzystających z AMSI. Uzupełnienie szczególnie istotne dla firm, które nie mają zbyt dobrej ochrony na stacjach roboczych - dostęp do skrzynki zarówno z Outlooka jak i OWA jest dodatkowo weryfikowany.
Problemy z aktualizacjami Antimalware pojawiały się już wielokrotnie - pisałem o tym kilkukrotnie w kontekście Exchange 2013 jak i Exchange 2016. Ale powtórzę raz jeszcze kilka podstawowych kwestii.
Sam komponent od momentu dodania do systemu Exchange specjalnie się nie zmienił, jednak pomimo faktu, że jest dostępny już ponad 8 lat, to nadal część administratorów powtarza ten sam błąd. Po zainstalowaniu serwerów Exchange nie zwraca uwagi na komunikaty generowane przez usługę antimalware (systemowy log aplikacyjny serwera Windows, źródło zdarzeń - usługa FIPFS). Najczęstszym problemem, jaki spotykam, to brak aktualizacji - przeważnie spowodowany brakiem komunikacji z internetem. Warto pamiętać, że usługa Antimalware ma oddzielny moduł powershell do zarządzania i niezależną od systemu operacyjnego i Exchange definicję serwera proxy, który musimy włączyć oddzielnie:
Add-PsSnapin Microsoft.Forefront.Filtering.Management.Powershell
Set-ProxySettings -Enabled <$true | $false> -Server <Name or IP address of proxy server> -Port <TCP port of proxy server>
Więcej informacji można znaleźć w dokumentacji - Download antimalware engine and definition updates.
Jeżeli nie chcemy korzystać z aktualizacji poprzez proxy, możemy pobierać aktualizacje silnika i sygnatur antimalware skryptem update-engines.ps1, udostępnionym na stronach pomocy technicznej, a następnie wskazać usłudze inną niż domyślna ścieżkę aktualizacji. Mając pobrany skrypt oraz utworzony folder (przykładowa nazwa ScanEngineUpdates) na serwerze plikowym FileServer01, który ma służyć jako udział sieciowy do aktualizacji serwerów Exchange uruchamiamy skrypt:
Update-Engines.ps1 -EngineDirPath C:\ScanEngineUpdates\
A następnie na wszystkich serwerach Exchange korzystającym z ochrony antimalware, wywołujemy standardowy skrypt, dostarczony z systemem Exchange
& $env:ExchangeInstallPath\Scripts\Update-MalwareFilteringServer.ps1 -Identity mailbox01.pepug.org -EngineUpdatePath \\FileServer01\ScanEngineUpdates
W ten sposób również osiągniemy aktualizację silnika i sygnatur na naszych serwerach, nawet przy całkowitej blokadzie dostępu tych maszyn do internetu. Oczywiście, jeżeli chcemy, żeby przy kolejnej próbie aktualizacji serwer sięgnął do naszego udziału sieciowego, dobrze jest zmienić podstawową lokalizację aktualizacji komendą:
Set-MalwareFilteringServer mailbox01.pepug.org -PrimaryUpdatePath \\FileServer01\ScanEngineUpdates
Brak komentarzy:
Prześlij komentarz