Viele Unternehmungsrichtlinien besagen, dass jedes Windows System einen Anti-Viren Scanner installiert zu haben braucht. Doch wenn diese Regel ganz ohne Anpassungen bei jedem Server einfach so angewendet wird, kann dies in einem grossen Problem enden. Wie zum Beispiel bei einem Exchange Server, oder eben auch bei einem Hyper-V Host.

In einem älteren Artikel wurde zwar bereits einmal darüber berichtet, doch scheint dies noch immer eine “heisse Diskussion” zu sein, weswegen ich eine überarbeitete Version zum Thema Anti-Virus Scanner mit Hyper-V veröffentliche. Denn noch immer gilt, werden bei Hyper-V die Konfiguration der Ausschlüsse nicht entsprechend angepasst, kann es zur Situation kommen wo sich Virtual Machines nicht mehr starten lassen (Fehlercode “0x800704C8″, “0×80070037″ oder “0x800703E3″). Im schlimmsten Fall verschwindet eine Virtual Machine sogar ganz aus der Hyper-V Management Console.

(weiterlesen…)

Ein Schutz vor Viren auf ist heutzutage ein “Muss” für jeden Server. Bei solchen welchen eine direkte Verbindung zum Internet haben, ist dies sogar überlebenswichtig! Gerne wird allerdings übersehen, dass eine Anti-Virus Software je nach Server spezifische Anpassungen erfordert. Ohne solche Anpassung können Virenscanner Applikationen, oder sogar ganze Server zum Absturz bringen.

Bei Hyper-V zeichnet sich dies so ab dass Virtual Machines (VMs) sich nicht mehr starten lassen, nachdem eine Anti-Virus Software im Management Operating System aka. Parent Partition installiert wurde. VMs verschwinden anschliessend auch aus der Hyper-V Management Console. Im Event-Log wird dies mit folgender Meldung festgehalten:

Log Name: Microsoft-Windows-Hyper-V-Config-Admin
Source: Hyper-V-Config
Event ID: 4096
Level: Error
Description: The Virtual Machines configuration <GUID> at <path to VM> is no longer accessible: The requested operation cannot be performed on a file with a user-mapped section open. (0x800704C8)

Log Name: Microsoft-Windows-Hyper-V-VMMS-Admin
Source: Microsoft-Windows-Hyper-V-VMMS
Event ID: 19060
Level: Warning
Description: Failed to get saved state information for virtual machine ‘<VM>’: The specified network resource or device is no longer available. (0×80070037). (Virtual machine ID <GUID>) It is assumed that the virtual machine is in a saved state.

Anti-Virus Ausschlüsse

Damit Hyper-V einwandfrei mit einer installierten Anti Virus Software betrieben werden kann, sind folgende Verzeichnisse vom Virenscan (Realtime und Scheduled) auszuschliessen:

• Virtual Machine Configuration Files
  • Default “C:\ProgramData\Microsoft\Windows\Hyper-V”
• Virtual Machine VHD Files
  • Default “C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks”
  • Default bei Cluster ”C:\ClusterStorage
• Snapshot Files
  • Default “C:\ProgramData\ProgramData\Microsoft\Windows\Hyper-V\Snapshots”
• Virtual Machine Prozesse
  • Vmms.exe
  • Vmwp.exe

Da Hyper-V sowohl als Core oder auch Full Server betrieben werden, sollte die Option ohne Graphical User Interface (GUI) ebenfalls in Erwägung gezogen werden. Eine Server Core Installation bietet die kleinste Angriffsfläche und wird für den Einsatz der Server Virtualisierung empfohlen. Ohne GUI sind weniger Windows Patches und Updates erforderlich, dadurch verringert sich auch die Anzahl der Neustarts. Ob ein Hypervisor im Core Installation Mode mit aktivierter Firewall auch einen AntiVirus braucht, darüber kann philosophiert werden.

Weitere Informationen

• Microsoft TechNet: Planning for Hyper-V Security
• Server Talk: How-To: Hyper-V mit Windows Server Core 2008

Ein Schutz vor Viren auf ist heutzutage ein “Muss” für jeden Server. Bei solchen welchen eine direkte Verbindung zum Internet haben, ist dies sogar überlebenswichtig!

Oftmals wir allerdings übersehen, dass eine Anti-Virus Software bei Datenbank-Server spezifische Anpassungen erfordert. So ist es auch bei Microsoft Exchange Server. Solche Virenscanner können ohne entsprechende Konfiguration den Server zum Absturz bringen. Microsoft hat dazu eigens entsprechende Artikel veröffentlicht:

• Microsoft TechNet: File-Level Antivirus Scanning on Exchange 2007
• Microsoft KB 823166: Overview of Exchange Server 2003 and antivirus software
• Microsoft KB 245822: Recommendations for troubleshooting an Exchange Server computer with antivirus software installed

Zusätzlich sollte auch die Support Seite des entsprechenden Anti-Virus Software Hersteller aufgesucht werden. Sophos und Symantec haben zum Beispiel zu diesem Thema einen eigenen Support Artikel geschrieben.

Wichtig! Bei Exchange Server wird zudem eine dedizierter Scanner für die Mailbox Database, wie zum Beispiel Microsoft Forefront for Exchange aka. Sybari Antigen, empfohlen.