La empresa Microsoft lanzó actualizaciones para Microsoft Exchange Server 2016 (KB5003611) y Microsoft Exchange Server 2019 (KB5003612) que permiten a los servidores de correo Exchange de versiones indicadas funcionar con la interfaz AMSI (Antimalware Scan Interface). Ahora el software antivirus que funciona con la interfaz AMSI y está instalado en el mismo equipo con el servidor Microsoft Exchange, escanea todas las solicitudes HTTP antes de que el servidor de correo procese las mismas.
Por lo tanto, el funcionamiento del antivirus Dr.Web para servidores Windows y Agentes Dr.Web para Windows con soporte AMSI activada puede reducir bastante la velocidad de funcionamiento del servidor y provocar problemas de rendimiento del software antivirus. La versión con la actualización que resuelve este problema es de 17 de enero de 2022. Antes de instalar la actualización indicada los desarrolladores de Doctor Web recomiendan desactivar el soporte de la interfaz AMSI en los servidores de correo Exchange.
Para desactivar AMSI en los productos Microsoft Exchange Server use la interfaz Exchange Server PowerShell:
- Abra Exchange Server PowerShell.
- Ejecute los siguientes comandos de forma consecutiva:
[PS] C:\>New-SettingOverride -Name DisablingAMSIScan -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Importante: antes de ejecutar los comandos asegúrese de que todos los datos han sido guardados, porque las acciones indicadas provocarán un reinicio de los servicios Internet Information Services (IIS) e interrumpirán la conexión.
Recomendamos volver a activar el soporte de la interfaz AMSI en el servidor de correo cuando el problema indicado esté resuelto al lanzar la actualización correspondiente. Para realizarlo, debe ejecutar los siguientes comandos con Exchange Server PowerShell:
[PS] C:\>Remove-SettingOverride -Identity DisablingAMSIScan -Confirm:$false
[PS] C:\>Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
[PS] C:\>Restart-Service -Name W3SVC, WAS -Force
Importante: antes de ejecutar los comandos asegúrese de que todos los datos han sido guardados, porque las acciones indicadas provocarán un reinicio de los servicios Internet Information Services (IIS) e interrumpirán la conexión.
Así mismo, Vd. puede desactivar AMSI con un script listo PowerShell:
- Cargue el script Test-AMSI.ps1 del repositorio Microsoft siguiendo el enlace.
- Coloque el script en la carpeta C:\scripts donde está instalado Microsoft Exchange Server. Si no hay carpeta scripts, créela. Sin falta compruebe si el archivo ha sido desbloqueado, para evitar errores al iniciar el script.
- Ejecute los siguientes comandos de forma consecutiva:
[PS] C:\scripts>.\Test-AMSI.ps1 -DisableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS
Para volver a activar AMSI en el servidor Microsoft Exchange ejecute los siguientes comandos de forma consecutiva:
[PS] C:\scripts>.\Test-AMSI.ps1 -EnableAMSI
[PS] C:\scripts>.\Test-AMSI.ps1 -RestartIIS