Lync Virenscanner

Nicht wenige Firmen haben eine Policy, dass alle Server, Clients und Dienste, die Daten übertragen auch mit einem Virenscanner versehen sein müssen. Schließlich ist es ein möglicher Verbreitungsweg von Schadcode, der idealerweise auf dem Server direkt unterbunden werden sollte. Und da gibt es mehrere Wege:

Die Themen im Einzelnen:

Antivirus auf dem Server

Lync Server sind "Windows Server" die mit Ausnahme des Edge Servers intern stehen und in der Domäne sind. Aber die stellen Dienste bereit, die auch aus dem Internet erreichbar sind. Daher ist auf jedem Lync Frontend Server immer auch ein IIS installieren. Auch intern wird auf den meisten Server z.B. SMB aktiv sein. Auch habe ich es immer wieder erlebt, dass Administratoren auf dem Lync Server sogar im Internet Informationen recherchieren, was generell nicht auf Servern ratsam ist. Es gibt also durchaus Möglichkeiten einen Windows Server mit Lync anzusprechen oder zu infizieren.

Ein Lync Server kann also schon mit einem Virenscanner ausgestattet werden, der das Dateisystem gegen Einnistung und Verbreitung von Schadcode schützt. Allerdings sind moderne Scanner schon lange mehr als "nur" Dateiscanner, sondern überprüfen immer mehr auch Prozesse und sogar Netzwerkverbindungen. So wichtig ein Virenscanner ist, so sollten Sie hier mit Ausnahmen arbeiten.

Bereich Werte

Prozesse
Dies sind die Namen der Programm, die als "Lync Prozesse" auf dem Lync Server aktiv sind und die von einem Virenscanner nicht als "Schadcode" betrachtet werden sollten. Dies gilt umso mehr, da einige Kommunikationsbeziehungen durchaus "virulenten" Charakter haben. Es gibt mittlerweile Dienste, die ICE und Kandidaten nutzen, um sich zu verbreiten.

ASMCUSvc.exe
AVMCUSvc.exe
ClsAgent.exe
ChannelService.exe
DataMCUSvc.exe
DataProxy.exe
FileTransferAgent.exe
IMMCUSvc.exe
LyncBackupService.exe
MasterReplicatorAgent.exe
MediaRelaySvc.exe
MediationServerSvc.exe
MeetingMCUSvc.exe
MRASSvc.exe
OcsAppServerHost.exe
QmsSvc.exe
ReplicaReplicatorAgent.exe
RTCArch.exe
RtcCdr.exe
RTCSrv.exe
XmppTGW.exe

IIS
Lync nutzt die Dienste des Windows WebServers, der durch einen Virenscanner ebenfalls nicht behindert werden sollte.

%systemroot%\system32\inetsrv\w3wp.exe
%systemroot%\SysWOW64\inetsrv\w3wp.exe

SQL
Jeder Lync Server nutzt eine SQL-Instanz zur Ablage von Daten. Auch diese Pfade sollten Sie aus der Überwachung ausschließen.

%ProgramFiles%\Microsoft SQL Server\MSSQL11.LYNCLOCAL \MSSQL\Binn\SQLServr.exe
%ProgramFiles%\Microsoft SQL Server\MSSQL11.RTCL \MSSQL\Binn\SQLServr.exe
%ProgramFiles%\Microsoft SQL Server\MSSQL11.RTCLOCAL \MSSQL\Binn\SQLServr.exe
%ProgramFiles%\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
%ProgramFiles%\Microsoft SQL Server\MSRS11.MSSQLSERVER\Reporting Services\ReportServer\Bin\ReportingServicesService.exe
%ProgramFiles%\Microsoft SQL Server\MSAS11.MSSQLSERVER\OLAP\Bin\MSMDSrv.exe

Verzeichnisse
Und dann gibt es natürlich noch eine ganze Menge anderer Verzeichnisse, die ein Virenscanner vielleicht nicht behindern sollte

%systemroot%\System32\LogFiles
%systemroot%\SysWow64\LogFiles
%programfiles%\Microsoft Lync Server 2013
%programfiles%\Common Files\Microsoft Lync Server 2013
%SystemDrive%\RtcReplicaRoot

Weitere Speicherorte
Zusätzlich gibt es natürlich noch die Backend Datenbank, Monitoring Datenbank und den LyncShare.

Diese Daten liegen in der Regel auf Servern, auf denen selbst kein "Lync" installiert wurde.

Beachten Sie auch andre Hinweise

Antivirus auf dem Client

Aber auch auf dem Arbeitsplatz können übereifrige Virenscanner mächtig wirbel verursachen. Solange es sich nur um Präsenz und InstantMessaging handelt, nutzt der Client nur den Port 5061 zum Server und die Webservices. Hier ist es unwahrscheinlich, dass Firewalls zuschlagen. Es wäre aber vorstellbar, dass eine von früher noch eine "Block SIP" Policy hat, um andere Clients wie Jabber, MSN, ICQ etc. zu blocken. So etwas fällt aber in der Regel schon bei der Installation auf.

Sobald aber Audio/Video dazu kommt, bedient sich der Client der Technik ICE und Kandidaten, um dynamisch auch UDP/TCP-Ports für eingehende Verbindungen zu öffnen. Hier könnten übervorsichtige Virenscanner schon die öffnung einer Hintertür erwarten und den Zugriff verbieten.

Nicht immer meldet ein Virenscanner sichtbar, dass er eine Verbindung blockiert hat. Oft muss der Administrator in das LOG-File schauen. Das war schon bei SMTP-Ports mit McAfee so.

Hier könnten Sie also ebenfalls mit "Allowlists" arbeiten und die Lync Clients entsprechend zulassen

Client EXE

OCS2007R2 Communicator

Communicator.exe

Lync 2010 Communicator

Communicator.exe

Lync 2013 Communicator

Lync.exe

Lync 2010 Attendee

AttendeeCommunicator.exe

Lync 2010 Attendant Client

Attendantconsole.exe

Lync2013 WebApp Add-on

LWAPlug-in.exe

Schutz für Dateitransfer

Lync Client können bei einer P2P-Verbindung problemlos auch Dateien übertragen. Früher war dies noch ein TFTP-Transfer, der in der Regel sowieso nur in einem Netzwerk ohne Firewalls und NAT funktioniert hat. Seit Lync 2010 nutzt der Dateitransfer aber auch ICE und Kandidaten, so dass der Transfer auch über Edge-Server und Federation funktioniert. In beiden Fällen ist der Lync Server selbst aber nicht in die Kommunikation selbst einbezogen und kann daher auch nicht scannen. Er sieht nur den "INVITE" mit den Vermittlungsdaten.

Der Lync Server kann aber diese Steuerinformationen natürlich kontrollieren und verändern. Entsprechend kann ein Administrator hier steuernd und regulierend eingreifen.

Siehe auch Dateitransfer.

Wenn ein Dateitransfer erlaubt ist, dann kann nur noch der Virenscanner auf dem Client selbst die Inhalte prüfen und gegebenenfalls reinigen oder blocken. Ein Virenscanner auf dem Client ist aber immer ratsam, da nicht nur über Lync Daten übertragen werden können. E-Mails und andere Dienste können natürlich auch Schadcode auf den Client bringen

Schutz für Meetinginhalte

Ein weiterer Bereich zum "Austausch von Daten" ist der Meetingroom, über den Dateien bereitgestellt werden können:

Aber auch hier lädt in der Regel ein "authentifizierter Benutzer" die Dateien hoch und die Teilnehmer müssen die Datei aktiv herunter landen. Auch dann hat ein lokaler Virenscanner wieder alle Optionen die Dateien zu prüfen.

Die Inhalte selbst landen auf Lync Share und werden dort von Lync aber verschlüsselt abgelegt. So wird verhindert, dass ein Administrator nicht allzu leicht an die Inhalte kommt. Ein Virenscanner auf dem Dateiserver wird daher nicht viel entdecken können. Allerdings werden die Dateien nach einer Verweilzeit nach dem Ende des Meetings gelöscht (ca. 30 Tage).

Schutz für IM (SPIM)

Dicht hinter den Viren kommt direkt das Thema SPAM. Bei E-Mails ist dies schon lange ein unvermeidliches Übel, dem mit verschiedenen Filtern immer wieder gegengesteuert wird.

Werbemeldungen per IM sind aktuell noch nicht so bekannt. Es gibt aber schon einen Begriff und ich habe mir auf der Seite SPIM - Spam via IM schon meine Gedanken dazu gemacht.

Weitere Links