Integrace AMSI v MS Exchange Server může způsobit problémy s výkonem

Nová integrace AMSI v Microsoft Exchange Server 2016/2019 způsobuje problémy s výkonem, když je povolena funkce AMSI Sophos Central Server Protection. S vydáním kumulativní aktualizace 21 pro Exchange Server 2016 (KB5003611) a kumulativní aktualizace CU10 pro Exchange Server 2019 (KB5003612) byla zavedena integrace rozhraní Antimalware Scan Interface (AMSI).

To poskytuje možnost antivirovému/antimalwarovému řešení s podporou AMSI skenovat obsah v požadavcích HTTP odesílaných na Exchange Server a blokovat škodlivý požadavek před tím, než jej zpracuje Exchange.

Spuštění ochrany Sophos Central Server Protection s povolenou ochranou AMSI společně s novými verzemi Exchange Serveru může způsobit snížení výkonu na serveru a může vést k nereagování klientů aplikace Outlook.

 

Platí pro následující produkty a verze Sophos

  • Sophos Central Server Protection 2.18.2, 2.15.4
  • Sophos Antimalware Scan Interface Protection 1.6.50.0

 

Dopad

Po instalaci příslušné kumulativní aktualizace pro Exchange Server lze na systémech se spuštěnou ochranou Sophos Central Server Protection se zapnutou ochranou AMSI pozorovat vysoké využití zdrojů.

Jako vedlejší efekt mohou klienti aplikace Outlook připojeni k serveru Exchange Server vykazovat delší časy spuštění a mohou hlásit zpět jako „Neodpovídající“.

 

Aktuální stav

Problém je v současné době předmětem šetření vývojových týmů Sophos. Základní problém byl identifikován a technické oddělení společnosti Sophos pracuje na opravě dopadu na výkon.

 

Co dělat

Dokud Sophos nevydá aktualizaci komponentů Sophos AMSI Protection, která bude plně podporovat integraci AMSI pro Microsoft Windows Exchange, doporučujeme vám zakázat integraci rozhraní Antimalware Scan Interface (AMSI) v systému Microsoft Windows Exchange 2016/2019 podle následujících kroků:

  • Zakázat integraci AMSI s Exchange Server 2016 a 2019 (doporučeno)

To lze provést otevřením prostředí Exchange Management Shell a vytvořením nového přepsání serveru:

Welcome to the Exchange Management Shell!
[PS] C:\PowerShell> New-SettingOverride -Name „DisablingAMSIScan“ -Component Cafe -Section HttpRequestFiltering -Parameters („Enabled=False“) -Reason „Testing“
[PS] C:\PowerShell> Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\PowerShell> Restart-Service -Name W3SVC, WAS -Force

Důležité upozornění: Na počítači budete muset restartovat Internetovou informační službu (IIS), což přeruší konektivitu, proto to proveďte, pokud to nebude mít žádný dopad na server nebo během období údržby.

Alternativně lze funkci AMSI Protection Sophos Central Server Protection deaktivovat pomocí zásad Sophos Threat Protection (tato varinata však není doporučena).

V Sophos Central v části „Server -> Zásady -> Ochrana před hrozbami“ deaktivujte „AMSI Protection (Windows)“.

U zákazníků, kteří již zakázali ochranu Sophos AMSI prostřednictvím zásad, důrazně doporučujeme provést výše uvedené kroky, abyste zakázali pouze integraci AMSI na serveru Exchange Server a poté v zásadách znovu aktivovali ochranu Sophos AMSI. Tím zajistíte, že ochrana AMSI pro další procesy může pokračovat.

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.

Přihlaste se k odběru newsletteru, ať vám neuniknou žádné tipy v oblasti zabezpečení dat. Jako dárek dostanete e-book.