Jump to content
Kaspersky Support Forum

Kaspersky for Exchange und MS AMSI-Schnittstelle (Exchange2016 CU21)

FrankB

By FrankB
in Für Unternehmen

 Share
Go to solution Solved by FrankB,

Recommended Posts

FrankB

FrankB

Posted
  • Author
Posted

Hallo,

es gibt für Exchange2016 einen neuen CU21. Diese schaltet eine neue AMSI-Schnittstelle frei und nutzt anschließend den WindowsDefender. Es mehren sich nun Probleme, daß Outlook zeitweise nicht mehr nutzbar ist, wenn Drittsoftware hier mit angebunden ist. Exchange 2016/2019: AMSI Integration sorgt für Probleme mit Outlook

Gibt es schon Erfahrungen mit dem neuen CU12 und dem Kaspersky for Exchange? Muß man diesen künftig abschalten oder muß man in Kaspersky den AMSI-Support abschalten oder etwas anderes tun, damit sowas hier nicht passiert?

Grüße
Frank Borrmann

alexcad

alexcad

Posted
Posted

Hallo Frank,

vielen Dank für den Hinweis und den Link.
Woraus schließt du, dass Windows Defender aktiviert wird? Das sollte eigentlich nicht der Fall sein.
Auch sollte das Problem nicht mit “Kaspersky Security for Exchange” zusammen hängen - hier ist der AMSI-Provider nicht integriert - sondern mit “Kaspersky Endpoint Security” oder “Kaspersky Security for Windows Server”. 

Kannst du da bitte noch posten, welches Produkt und welche Version du auf dem Exchange Server einsetzt?

Bei beiden Schutzprodukten lässt sich die AMSI-Schnittstelle über die Richtlinie abschalten. Man verliert dabei aber einiges an Schutz-Niveau: In nahezu jedem Angriffs-Szenario werden bereits in den Anfangs-Phasen Scripte eingesetzt - primär PowerShell-Scripte. Über die AMSI-Schnittstelle ist es der Endpoint-Security möglich, die Scriptverarbeitung mit zu scannen und ggf. einzuschreiten.

Eine gute Beschreibung/Diskussion mit Bezug auf die aktuelle Exchange-Problematik habe ich hier gefunden:
https://www.msxfaq.de/windows/endpointsecurity/amsi_antimalware_scan_interface.htm

Grüße
Alex

  • Solution
FrankB

FrankB

Posted
  • Author
  • Solution
Posted

Hallo Alex,

du hast Recht, per Default ist der Defender auf dem Exchange-Server erstmal aus.

Habe jetzt nachgelesen, wie AMSI funktioniert, daher wird Kaspersky for Exchange wohl eher nicht stören. Für KES gibts einen Schalter in den Richtlinien, für KSWS habe ich den aber nicht gefunden.

Ausschalten möchte ich das eigentlicht nicht, da es bezahlt ist und einen nicht unerheblichen Nutzen hat.

Nur für den Notfall, wie bei McAfee ist es halt gut, wenn Outlook dann doch nochmal aufgeht.

Also scheint diesbezüglich bei Kaspersky noch kein Problem zu bestehen, daß man es ausmachen müßte. Schließlich ist es seit einiger Zeit schon im Produkt enthalten.

Grüsse
Frank

 

 

alexcad

alexcad

Posted
Posted

Hallo Frank,

bei KS4WS verbirgt sich der AMSI-Provider hinter dem Modul “Script-Untersuchung”.


Bitte prüfe auch, ob dieses Modul überhaupt mit installiert wurde - ist per Default im Installationspaket deaktiviert.
Wenn installiert siehst du das Schutzmodul in den Eigenschaften der Systeme im KSC unter “Aufgaben”:
 



Großflächiges Abschalten wäre für mich auch keine Option. Wenn, dann würde ich das über eine separate Richtlinie nur für den Exchange-Server abschalten.
Leider sind die Richtlinienprofile für KS4WS noch nicht so gut einsetzbar.

Grüße
Alex
​​​​​​​

Guest
This topic is now closed to further replies.
 Share
Go to topic listing


×
×
  • Create New...