Virenschutz & Windows-Server: Ausschluss von Verzeichnissen

Manche Probleme hat man einfach nicht und man ist umso überraschter, wenn man darauf stößt oder gestoßen wird. In diesem Fall war es Martin, der mich mit der einfachen Frage: “Welche Verzeichnisse auf einem Domänencontroller schließt Du vom Virenscanner aus?“ überraschte. Meine Antwort war: „Keine, warum?“ Martin meinte dann: „Ich habe gehört, dass es Probleme verursacht, wenn man bestimmte Dateien scannt.“ Meine Reaktion: ?!?

Grund genug der Sache etwas tiefer nachzugehen und tatsächlich wird man auch sofort im Internet fündig, wie man z.B.: hier (blog.technet.com) und hier (support.microsoft.com) sehen kann (es gibt noch sehr viel mehr Treffer).

Stellen sich mir also ein paar Fragen: Warum weiß ich das nicht? Warum laufen meine Server? Und: wissen es vielleicht meine Server auch nicht?

Dass man Verzeichnisse vom Virenscan ausnehmen sollte, war mir Grundsätzlich schon klar. Das Problem hatte ich vor längerer Zeit auf meinem Exchange-Server. Aber dass man auch vom eigentlichen Windows-System Dateien aus dem Virenscan herausnehmen sollte, war mir erstmal neu. Schnell wurde auch klar, warum das so ist: Der Virenscanner, den wir in der Firma einsetzen, macht das von sich aus.

Wir setzen bei uns den Eset-Virenschutz ein. Ich möchte hier weder Werbung für diesen Virenschutz machen, noch wage ich es diesen Schutz als unfehlbar zu bezeichnen. Ich durfte vor einiger Zeit bei einer Livehacking-Demonstration der Firma 8com.de dabei sein. Hier wurde unter anderem ein Testvirus auf mehrere Virenscannern losgelassen und er wurde von allen erkannt. Nach einer kleinen Modifikation mit dem normal Windows-Texteditor (der „kryptische“ Programmteil wurde nicht angetastet, lediglich ein kleiner Text am Ende des Virus-Files abgeändert) wurde der nach wie vor völlig intakte Virus nur noch von 3 Virenscannern erkannt. Am erschreckendsten war, dass so gut wie keiner der großen Virenschutzhersteller diese modifizierte Datei erkannte – auch „unser“ Eset nicht.
Trotzdem hält sich der Eset bei uns wacker und verteidigt bis heute unser Netzwerk erfolgreich vor Viren und Trojanern (bin gleich wieder da, muss nur noch schnell auf Holz klopfen ….).
Aber der zu verwendende Virenschutzhersteller das soll ja nicht das Thema sein, sondern die Frage, warum unsere Server trotz unmodifiziertem Virenscanner nicht minütlich abstürzen und unser gesamtes Netzwerk crasht.
Wie oben bereits erwähnt, ist die Antwort relativ einfach: Eset bietet einen Virenscanner Namens „File Security“ für Server an und dieser erkennt welche Dienste auf diesem Server laufen. Anhand dieser Erkennung werden dann vordefinierte Ausnahmeregeln erstellt.
Hier einige Screenshots (Domänen-Controller, Server mit SQL-Datenbank, Exchange-Server)
ESET-DC1-01 ESET-SQL-Server-01 ESET-Exchange-01
Im Menü „Computer-Schutz“ unter „Ausschlussfilter“ findet man dann alle vordefinierten Filterregeln und kann diese natürlich anpassen, bzw. mit eigenen Regeln ergänzen.
ESET-DC1-02 ESET-SQL-Server-04 ESET-Exchange-03
Persönlich gehe ich davon aus, dass jeder namhafte Virenschutz eine solche Funktion besitzt, zumindest wenn es sich um einen Virenschutz für Serversysteme handelt.
Auch wenn bei meinen Servern kein weiterer Eingriff notwendig war, so durfte ich doch wieder etwas dazulernen.
Da sieht man mal wieder wie wichtig es ist, auf Probleme zu stoßen, die man gar nicht hat und Lösungen zu finden, die man (aktuell !!) nicht benötigt …