Microsoft a publié des mises à jour pour Microsoft Exchange Server 2016 (KB5003611) et Microsoft Exchange Server 2019 (KB5003612) qui permettent à ces versions des serveurs de messagerie Exchange de fonctionner avec l'interface AMSI (Antimalware Scan Interface). Désormais, un logiciel antivirus fonctionnant avec l'interface AMSI et installé sur le même ordinateur que le serveur Microsoft Exchange analyse toutes les requêtes HTTP avant qu'elles ne soient traitées par le serveur de messagerie lui-même.
C'est pourquoi, le fonctionnement de l'Antivirus Dr.Web pour les serveurs Windows et les Agents Dr.Web pour Windows avec la prise en charge AMSI activée peut ralentir considérablement les performances du serveur et entraîner des problèmes de performances du logiciel antivirus. Une mise à jour qui résout le problème indiqué a été publiée le 17 janvier 2022. En attendant l'insallation de cette mise à jour, les développeurs de Doctor Web recommandent de désactiver la prise en charge de l'interface AMSI dans les serveurs de messagerie Exchange.
Pour désactiver AMSI dans les produits Microsoft Exchange Server, utilisez l'interface Exchange Server PowerShell :
- Ouvrez Exchange Server PowerShell.
- Exécutez successivement les commandes suivantes :
[PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Important : Avant d'exécuter les commandes, assurez-vous que toutes les données sont sauvegardées, car ces actions redémarreront les services Internet Information Services (IIS) et mettront fin à la connexion.
Nous vous recommandons de réactiver la prise en charge AMSI sur le serveur de messagerie lorsque ce problème sera résolu avec la publication de la mise à jour correspondante. Pour ce faire, veuillez exécuter les commandes suivantes à l'aide d'Exchange Server PowerShell :
[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Important : Avant d'exécuter les commandes, assurez-vous que toutes les données sont sauvegardées, car ces actions redémarreront les services Internet Information Services (IIS) et mettront fin à la connexion.
Vous pouvez également désactiver AMSI avec un script PowerShell prédéfini :
- Téléchargez le script Test-AMSI.ps1 depuis le référentiel Microsoft sur ce lien.
- Placez le script dans le dossier C:\scripts où Microsoft Exchange Server est installé. Si le dossier scripts n'existe pas, créez-le. Vérifiez si le fichier est déverrouillé pour éviter les erreurs lors de l'exécution du script.
- Exécutez successivement les commandes suivantes :
[PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Pour réactiver AMSI sur le serveur Microsoft Exchange, exécutez successivement les commandes suivantes :
[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
