Neues AMSI-Update führt zu schwerwiegenden Problemen bei Exchange 2016 CU21 und Exchange 2019 CU10

Outlook hängt, Mails werden nicht versendet und es kommt zu Verbindungsproblemen dank einem Update der AMSI Antivirenschnittstelle

Die Integration von AMSI (Antimalware Scan Interface), die mit den Exchange 2016 CU21 und Exchange 2019 CU10 eigentlich einen besseren Schutz bieten sollten, führen nun jedoch leider zu drastischen Problemen, wenn Exchange in Kombination mit verschiedenen AntiViren-Programmen verwendet wird.

So kommt es beispielsweise zu ewigen Ladezeiten beim Öffnen und auch in Outlook, Sendeverzögerungen von Mails bis hin zu komplettem Verbindungsverlust zum Exchange Server.

Klar ist - so kann man nicht arbeiten.

Glücklicherweise waren einige Virenschutz-Anbieter vorbereitet und so gibt es die Möglichkeit AMSI zu deaktivieren. Hier erfahren Sie anhand von einigen Beispielen, wie Sophos, McAfee, Bitdefender und Kaspersky wie man diesen Problemen einen Schlussstrich ziehen kann.
Weiters werden wir noch darauf eingehen, wie diese Funktion durch eine Anpassung in der web.config des Exchange Servers deaktiviert werden kann.

Sophos

Bei Sophos gibt es zwei Möglichkeiten um AMSI zu deaktivieren. Entweder direkt über die Applikation auf dem Client, was sich aber als sehr unpraktisch herausstellt, sobald man es mit mehreren Installationen zu tun bekommt. Oder aber man macht es Zentral über die Sophos Central Verwaltungsoberfläche.

1. Auf dem Endpoint: Auch bei der Deaktivierung auf dem Endpoint bleibt man nicht davor verschont sich mit Sophos Central auseinander zu setzen. Denn zu aller erst muss man in Sophos Central die Tamper Protection für das jeweilige Gerät deaktivieren. Hierfür scrollt man einfach auf der Übersicht nach unten bis zur Tamper Protection und klickt auf "View password details". Dieses kann man sich vorerst mal kopieren.
Dann muss man auf dem PC auf dem sich die Installation befindet, rechts unten in der Taskleiste, das Sophos Icon anklicken. Dort können Sie dann unter Administratoranmeldung das Password eintippen, das Sie aus Sophos Central kopiert haben.

Nun haben Sie die Möglichkeit unter "Einstellungen", in der rechten unteren Ecke den AMSI-Schutz zu deaktivieren.

Odoo • Bild und Text

2. In Sophos Central: Wenn Sie die Einstellung für die gesamte Infrastruktur ausrollen wollen und nicht nur für bestimmte Zeit deaktivieren wollen dann erfahren Sie nun welche Richtlinien Sie aktualisieren müssen um dies zu ermöglichen.

Zuerst klicken Sie in der Navigation auf "Server Protection", denn deren Richtlinien möchten wir ja bearbeiten. Danach klicken wir auf Policies um zu den Richtlinien zu gelangen.

(In Sophos Central, under "Server -> Policies -> Threat Protection", disable "AMSI Protection (Windows)".)

Die Policy die wir bearbeiten möchten ist die, die unter Threat Protection als "Enforced" gekennzeichnet ist.

Nachdem man auf die entsprechende Richtlinie geklickt hat muss man nun auf die Settings dieser gehen. Wenn man die Default Richtlinie verwendet, dann befindet sich dort ein blauer Haken bei dem Punkt "Use recommended settinge". Dieser muss erst abgewählt werden, um die Möglichkeit zur Bearbeitung zu erlangen.
Ist das erledigt scrollt man einfach nach unten zu dem Punkt "AMSI Protection" und deaktiviert diesen.

Nun muss man lediglich in der rechten oberen Ecke auf "Save" klicken und wieder ein gewohntes Arbeiten mit Outlook genießen.

McAfee

Bei der McAfee Endpoint Security wurde auch nachgerüstet und zwar unter Einstellungen ein Punkt unter dem man den AMSI-Schutz deaktiveren kann.

Bitdefender

Bei Bitdefender muss man dies über die Gravityzone diese Änderungen vornehmen, ein extra Punkt für AMSI fehlt hier komplett. Man kann nur den kompletten Malware-Schutz bei ,,Zugriff, Ausführen (Advanced Thread Control) und Erweiterter Exploit-Schutz deaktivieren. Es empfiehlt sich ein gesondertes Exchange Profile für den Server anzulegen und dort den Schutz bis zum Fix abzuschalten.

Kaspersky

"AMSI-Schutz" aktivieren und deaktivieren

"AMSI-Schutz" ist standardmäßig aktiviert.

Um "AMSI-Schutz" zu aktivieren oder zu deaktivieren, gehen Sie wie folgt vor:

Klicken Sie unten im Programmhauptfenster auf die Schaltfläche .
Wählen Sie im Fenster mit den Programmeinstellungen den Abschnitt Schutz → Basisschutz → AMSI-Schutz aus.
Verwenden Sie den Schalter AMSI-Schutz, um die Komponente zu aktivieren oder zu deaktivieren.
Speichern Sie die vorgenommenen Änderungen.

Quelle: https://support.kaspersky.com/KESWin/11.5.0/de-DE/174820.htm

Direkt auf Exchange

Zu guter Letzt gibt es aber auch noch die Möglichkeit direkt an der web.config für MAPIoverHTTP und RPCoverHTTP auf dem Server mit der Exchange installation rumschrauben um AMSI zu deaktivieren. Diese Lösung wird inzwischen nicht mehr empfohlen. Somit verwenden Sie ausschließlich die oben genannten varianten oder die Version über Powershell.

Im Falle von Powershell startet man die Exchange Management Shell (Powershell mit Exchange Erweiterungen)

[PS] C:\PowerShell> New-SettingOverride -Name "DisablingAMSIScan" -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
[PS] C:\PowerShell> Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\PowerShell> Restart-Service -Name W3SVC, WAS -Force

Dabei werden die Einträge gesetzt und der IIS neu gestartet. Somit ist das Problem bis zum endgültigen fix gelöst.

Quelle: https://support.sophos.com/support/s/article/KB-000042460
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/more-about-amsi-integration-with-exchange-server/ba-p/2572371

in Neues AMSI-Update führt zu schwerwiegenden Problemen bei Exchange 2016 CU21 und Exchange 2019 CU10