System Center Endpoint Protection Richtlinie für Server

In einer großen Umgebung ist es mitunter schwierig, die richtige Endpoint Protection Richtlinie für den jeweiligen Client zu finden. Gerade auf Servern muss sichergestellt werden, dass der Microsoft Security Client bzw. der System Center Endpoint Protection Client keine laufenden Prozesse oder notwendige Dateien blockiert oder stört.

Einerseits darf sich die Performance des zu überwachenden Servers nicht allzu stark verschlechtern, und andererseits dürfen wichtige Systemdateien nicht fälschlicherweise als Virus erkannt und in Quarantäne verschoben werden. Durch ein unbedachtes Update in den Virensignaturen seitens Microsoft könnte so ein ganzer Server lahmgelegt werden.

Doch welche Prozesse, Dateien und Dateitypen können auf den jeweiligen mit Endpoint Protection überwachten Servern ausgeschlossen werden? Anstatt lange recherchieren zu müssen, ist diese Frage schnell beantwortet: Microsoft liefert für die gängigsten Servertypen eine vordefinierte Richtlinie mit. Bei der Installation des Endpoint Protection Punktes in System Center 2012 werden diese Richtlinien als XML-Dateien abgelegt (abhängig vom Installationspfad) unter:

C:\Program Files (x86)\Microsoft Configuration Manager\AdminConsole\XmlStorage\EPTemplates

Diese Richtlinien lassen sich über die Configuration Manager-Konsole importieren.

Ausgeschlossene Prozesse bei der Endpoint Protection Richtlinie für Exchange Server
Ausgeschlossene Prozesse bei der Endpoint Protection Richtlinie für Exchange Server

Folgende Endpoint Protection Richtlinien existieren (nur die wichtigsten):

Endpoint Protection-Domänencontroller (FEP_Default_DC.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für DHCP-Serverarbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für DHCP-Server optimiert sind. Die Richtlinie kann auf DHCP-Server unter Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 angewendet werden.

Endpoint Protection-DHCP-Server (FEP_Default_DHCP.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für DHCP-Serverarbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für DHCP-Server optimiert sind. Die Richtlinie kann auf DHCP-Server unter Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 angewendet werden.

Endpoint Protection-DNS-Server (FEP_Default_DNS.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft Exchange Server-Arbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für Exchange Server 2007 und Exchange Server 2010 optimiert sind.

Endpoint Protection Exchange 2007-2010 (FEP_Default_Exchange.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft Exchange Server-Arbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für Exchange Server 2007 und Exchange Server 2010 optimiert sind.

Endpoint Protection Exchange und FPE 2010 (FEP_Default_Exchange_FPE.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft Exchange Server-Arbeitsauslastungen, die durch Microsoft Forefront Protection 2010 for Exchange Server (FPE) geschützt werden. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für Microsoft Exchange Server 2007 und Microsoft Exchange Server 2010 und FPE optimiert sind.

Endpoint Protection-Dateiserver (FEP_Default_File.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Dateiserverarbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für Dateiserver optimiert sind. Die Richtlinie kann auf Dateiserver unter Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 angewendet werden.

Endpoint Protection-Hyper-V-Host (FEP_Default_HyperV_Host.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft Hyper-V-Hostserver-Arbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für Hyper-V-Hostserver optimiert sind. Die Richtlinie kann auf Hyper-V unter Windows Server 2008 und Windows Server 2008 R2 angewendet werden.

Endpoint Protection IIS 6-7 (FEP_Default_IIS.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für IIS-Arbeitsauslastungen (Internetinformationsserver). In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für IIS 6 und IIS 7 optimiert sind. Die Richtlinie kann auf IIS-Server unter Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 angewendet werden.

Endpoint Protection OCS (FEP_Default_OCS.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für OCS-Arbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für IIS, SQL 2008 und OCS optimiert sind. Die Richtlinie kann auf OCS-Server unter Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 angewendet werden.

Endpoint Protection Operations Manager 2007 (FEP_Default_OpsMgr2007.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft System Center Operations Manager-Arbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für die Serverarbeitsauslastung mit Einstellungen kombiniert, die für Operations Manager 2007 und Operations Manager 2007 R2 optimiert sind.

Endpoint Protection-Standardrichtlinie für Server (FEP_Default_Server.xml)

Microsoft Endpoint Protection-Serverrollenrichtlinie für allgemeine Serverarbeitsauslastungen. Diese Richtlinie ist nicht für spezielle Serverarbeitsauslastungen optimiert. Sie kann auf Server unter Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 angewendet werden.

Endpoint Protection SharePoint 2010 (FEP_Default_SharePoint.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Windows SharePoint Services-Arbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für SharePoint 2010 optimiert sind.

Endpoint Protection SharePoint und FPSP (FEP_Default_SharePoint_FPSP.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft Windows SharePoint Services-Arbeitsauslastungen, die durch Microsoft Forefront Protection 2010 für SharePoint Server (FPSP) geschützt werden. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für SharePoint 2010 und FPSP optimiert sind.

Endpoint Protection SQL 2005 (FEP_Default_SQL2005.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft SQL Server 2005-Arbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für SQL-Server optimiert sind.

Endpoint Protection SQL 2008 (FEP_Default_SQL2008.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft SQL Server 2008-Arbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für SQL-Server optimiert sind.

Endpoint Protection Terminal Server (FEP_Default_TermSrv.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Terminalserverarbeitsauslastungen. In dieser Richtlinie sind Einstellungen der Standardrichtlinie für Serverarbeitsauslastungen mit Einstellungen kombiniert, die für Terminalserver optimiert sind. Die Richtlinie kann auf Terminalserver unter Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 und Windows Server 2008 R2 angewendet werden.

Endpoint Protection TMG (FEP_Default_TMG.xml)

Leistungsoptimierte Microsoft Endpoint Protection-Serverrollenrichtlinie für Microsoft TMG Server-Arbeitsauslastungen. In dieser Richtlinie sind lediglich Einstellungen enthalten, die für TMG-Server optimiert sind.

Eine Endpoint Protection Richtlinie für alle Server

Würde man alle oben gennannten Richtlinien zusammenführen, so erhält man eine Universalrichtlinie für alle Server (zum Download)

Darin werden folgende Dateien/Ordner ausgeschlossen:

  • %allusersprofile%\NTUser.pol
  • %systemroot%\system32\GroupPolicy\registry.pol
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
  • %windir%\SoftwareDistribution\Datastore\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\Logs\edb.chk
  • %windir%\SoftwareDistribution\Datastore\Logs\edb*.log
  • %windir%\SoftwareDistribution\Datastore\Logs\Edbres00001.jrs
  • %windir%\SoftwareDistribution\Datastore\Logs\Edbres00002.jrs
  • %windir%\SoftwareDistribution\Datastore\Logs\Res1.log
  • %windir%\SoftwareDistribution\Datastore\Logs\Res2.log
  • %windir%\SoftwareDistribution\Datastore\Logs\tmp.edb
  • %ExchangeInstallPath%\Mailbox
  • %ExchangeInstallPath%\GroupMetrics
  • %ExchangeInstallPath%\TransportRoles\Logs
  • %ExchangeInstallPath%\Logging
  • %ExchangeInstallPath%\ExchangeOAB
  • %ExchangeInstallPath%\Mailbox\MDBTEMP
  • %SystemDrive%\DAGFileShareWitnesses\*
  • %systemroot%\ntds\ntds.dit
  • %systemroot%\ntds\EDB*.log
  • %systemroot%\ntds\Edbres*.jrs
  • %systemroot%\ntds\EDB.chk
  • %systemroot%\ntds\TEMP.edb
  • %systemroot%\ntds\*.pat
  • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  • %systemroot%\SYSVOL\staging
  • %systemroot%\SYSVOL\staging areas
  • %systemroot%\SYSVOL\sysvol
  • %windir%\System32\DHCP\*.mdb
  • %windir%\System32\DHCP\*.edb
  • %windir%\System32\DHCP\*.pat
  • %windir%\System32\DHCP\*.log
  • %windir%\System32\DHCP\*.jrs
  • %windir%\System32\DHCP\*.chk
  • %windir%\System32\DHCP\backup\*.mdb
  • %windir%\System32\DHCP\backup\*.log
  • %windir%\System32\DHCP\backup\*.chk
  • %windir%\System32\DNS\*.dns
  • %windir%\System32\DNS\*.scc
  • %ProgramData%\Microsoft\Windows\Hyper-V
  • %Public%\Documents\Hyper-V\Virtual Hard Disks
  • %ProgramFiles%\Hyper-V
  • %SystemDrive%\ClusterStorage
  • %systemroot%\System32\LogFiles
  • %systemroot%\SysWow64\LogFiles
  • %programfiles%\System Center Operations Manager 2007\Health Service State\*
  • %systemroot%\Temp\WebTempDir
  • %programfiles%\Common Files\Microsoft Shared\Web Server Extensions\14\Logs
  • %programfiles%\Common Files\Microsoft Shared\Web Server Extensions\12\Logs
  • %programfiles%\Microsoft Office Servers\14.0\Logs
  • %programfilesx86%\Microsoft Office Servers\14.0\Logs
  • %programfiles%\Microsoft Office Servers\12.0\Logs
  • %programfilesx86%\Microsoft Office Servers\12.0\Logs
  • %programfiles%\Microsoft Office Servers\14.0\Data
  • %programfilesx86%\Microsoft Office Servers\14.0\Data
  • %programfiles%\Microsoft Office Servers\12.0\Data
  • %programfilesx86%\Microsoft Office Servers\12.0\Data
  • %systemroot%\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files
  • %systemroot%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files

Folgende Prozesse werden in der Universal-Serverrichtlinie ausgeschlossen:

  • EdgeTransport.exe
  • Microsoft.Exchange.AddressBook.Service.exe
  • Microsoft.Exchange.Cluster.ReplayService.exe
  • Microsoft.Exchange.Monitoring.exe
  • Microsoft.Exchange.RpcClientAccess.Service.exe
  • Microsoft.Exchange.Search.ExSearch.exe
  • MSExchangeMailboxReplication.exe
  • MSExchangeMailSubmission.exe
  • MSExchangeRepl.exe
  • MSExchangeTransportLogSearch.exe
  • MSFTEFD.exe
  • msftesql.exe
  • Store.exe
  • MSExchangeFDS.exe
  • FSCConfigurationServer.exe
  • FSCEventing.exe
  • GetEngineFiles.exe
  • ScanEngineTest.exe
  • FSCManualScanner.exe
  • FSCScheduledScanner.exe
  • FSCRealtimeScanner.exe
  • MultiEngineScanner.exe
  • Kavehost.exe
  • FSEMailPickup.exe
  • FSCVSSWriter.exe
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
  • %systemroot%\System32\dns.exe
  • %systemroot%\System32\vmms.exe
  • %systemroot%\System32\vmwp.exe
  • %systemroot%\system32\inetsrv\w3wp.exe
  • %systemroot%\SysWOW64\inetsrv\w3wp.exe
  • %ProgramFiles%\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\SQLServr.exe
  • %ProgramFiles%\Microsoft SQL Server\MSRS10.MSSQLSERVER\Reporting Services\ReportServer\Bin\ReportingServicesService.exe
  • %ProgramFiles%\Microsoft SQL Server\MSAS10.MSSQLSERVER\OLAP\Bin\MSMDSrv.exe
  • ASMCUSvc.exe
  • DataMCUSvc.exe
  • DataProxy.exe
  • FileTransferAgent.exe
  • IMMCUSvc.exe
  • MasterReplicatorAgent.exe
  • MediaRelaySvc.exe
  • MediationServerSvc.exe
  • MeetingMCUSvc.exe
  • MRASSvc.exe
  • OcsAppServerHost.exe
  • QmsSvc.exe
  • ReplicaReplicatorAgent.exe
  • RTCArch.exe
  • RtcCdr.exe
  • RTCSrv.exe
  • ABServer.exe
  • AVMCUSvc.exe
  • AcpMcuSvc.exe
  • LyncBackupService.exe
  • ReplicationApp.exe
  • %programfiles%\System Center Operations Manager 2007\HealthService.exe
  • %programfiles%\System Center Operations Manager 2007\Microsoft.Mom.ConfigServiceHost.exe
  • %programfiles%\System Center Operations Manager 2007\MonitoringHost.exe
  • wsstracing.exe
  • owstimer.exe
  • mssearch.exe
  • %ProgramFiles%\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLServr.exe
  • %ProgramFiles%\Microsoft SQL Server\MSSQL.3\Reporting Services\ReportServer\Bin\ReportingServicesService.exe
  • %ProgramFiles%\Microsoft SQL Server\MSSQL.2\OLAP\Bin\MSMDSrv.exe
  • DailySum.exe
  • IsaApplianceInit.exe
  • isaDLviewer.exe
  • IsaManagedCtrl.exe
  • IsaMgmt.exe
  • IsaRepGen.exe
  • isastg.exe
  • MsFpcSqmAgent.exe
  • mspadmin.exe
  • NicsRestorer.exe
  • NLBClear.exe
  • UpdateAgent.exe
  • VpnHelpr.exe
  • W3Prefch.exe
  • wspsrv.exe
  • tmgpolicysuite.exe
  • tmgbpacmd.exe
  • tmgbpa.exe
  • bpa2visio.exe
  • tmgbpapack.exe
  • tmgdatapackager.exe