Seit einigen Tagen versuchen wir, unseren TrendMicro OfficeScan Server so einzustellen, dass bestimmte Client´s bzw. Server bestimmte Verzeichnisse (Ordner) incl. Unterverzeichnissen nicht auf Viren scannen.

Dies wird nötig da wir auf einem geclustertem System mit 2 x Windows Server 2012 R2 Datacenter Edition, Dual-Prozessoren und jeweils 256GB Ram einen Bereich auf dem Storage liegen haben, wo der Virenscanner nicht aktiv werden sollen, denn es macht keinen Sinn, die VM-´s, die dort gespeichert sind, permanent auf Viren zu scannen. Microsoft Hyper-V reagiert teilweise in Verbindung mit OfficeScan sehr unschön, wenn der VM-Speicherort nicht als Ordnerausnahme im Trend Micro OfficeScan hinterlegt ist.

OfficeScan Einrichtung

Leider hat sich dies nicht so einfach einrichten lassen, wie wir uns das vorgestellt haben. Diverse eigene Versuche sind fehlgeschlagen, im Internet waren keinerlei Informationen über die genaue Einrichtung der OfficeScan Ordnerausnahmen zu finden. Dann haben wir uns entschlossen den TrendMicro Support zu kontaktieren. Telefonisch ist das unmöglich, es muss ein Formular im Internet ausgefüllt werden und dann warten, bis sich jemand vom Trend Micro Support meldet. Bei uns hat dies leider mehrere Tage gedauert, bis wir überhaupt mal eine Reaktion vom Support von TrendMicro erhalten habe.

Insgesamt sind wir vom Service von TrendMicro nicht sonderlich überzeigt. Wir zahlen jedes Jahr tausende Euro´s für die OfficeScan Lizenzen (Client Server Messaging Enterprise Suite für Endpoints (OfficeScan, ServerProtect, ScanMail …) und dann erwarten wir auch eine gewisse Qualität beim Produktsupport. Aber letztendlich haben wir es ja auch so hinbekommen.

Um die Ausschlüsse von Ordnern der OfficeScan Echtzeitsuche einzurichten haben wir uns in der Client-Verwaltung eine eigene TrendMicro Domäne erzeugt, die Server und Testmaschinen dort hinein verschoben und dann die Ausnahmen eingestellt.

Am einfasten Ihr stellt die Werte für die erzeugte Domäne ein, dann braucht Ihr die Einstellungen für jeden einzelnen Server bzw. Client nicht zu wiederholen.

Einstellungen der OfficeScan Echtzeitsuche

Dann auf „Einstellungen„, „Sucheinstellungen„, „Einstellungen für Echtzeitsuche“ klicken. In der englischen OfficeScan Version findet Ihr die passenden Punkte unter „Settings„, „Scan Settings„, „Real-time Scan Settings„.

Dort ist dann der Reiter „Scan Exclusion“ zu wählen und hier findet Ihr eine Vielzahl an Einstellungsmöglichkeiten, um bestimmte Dateien oder Ordner von der OfficeScan Echtzeitsuche auszunehmen.

Wichtig ist, dass der Haken bei „Einstellungen für den Suchausschluss auf alle Suchtypen anwenden“ angehakt wird. In der englischen OfficeScan Version heißt dies dann natürlich „Apply scan exclusion settings to all scan types. Desweiteren solltet Ihr natürlich den Haken bei „Enable scan exclusion“ setzen, damit die Auswahlliste dann überhaupt eine Gültigkeit hat.

Bei den Pfaden müsst Ihr es so hinterlegen, als wenn Ihr lokal auf dem System den Explorer aufruft, also nicht den UNC-Pfad. Bei den geclusterten Verzeichnissen gab es Probleme, da dort der Namen des Clusterverzeichnisses angegeben werden muss, siehe oben als Beispiel mit

[notification type=“notification_mark“ ]“\Device\HarddiskVolume7„.[/notification]

Abschließend natürlich nicht vergessen auf „Speichern“ bzw. „Save“ zu klicken.

Wo werden die OfficeScan Ausnahmen gespeichert

Nun stellt sich allerdings die Frage: Wie können wir prüfen, dass der OfficeScan Client diese Verzeichnisse nun wirklich vom Echtzeitscan ausnimmt. Die Antwort ist – KEINE! Selbst der OfficeScan Support kennt keine Möglichkeit. Danach haben wir uns dann zur Sicherheit mal die OFCSCAN.INI vom OfficeScan Client angeschaut. Dort gibt es mehrere Bereiche mit Namen „ExcludedFolder„, der allerdings immer leer ist, egal was wir in der OfficeScan Serverkonsole einstellen.

Aber warum ist das so? Scheinbar hat TrendMicro diese Steuerung beim Update der OfficeScan Version total überarbeitet und geändert. Diese Section wird in der OFCSCAN.INI gar nicht mehr benutzt. Warum diese Sektion dann auch aus der INI-Datei nicht verschwindet können wir nicht nachvollziehen.

Die Daten, die in der OfficeScan Console eingestellt werden, werden sofort in die Registry des OfficeScan Clients geschossen, dort sind sie zu finden unter

[notification type=“notification_info“ ]

\\HKEY_LOCAL_MASCHINE\SOFTWARE\TrendMicro\PC-cillingNTCorp\CurrentVersion\Real Time Scan Configuration

[/notification] im Wert

[notification type=“notification_info“ ]

ExcludedFolder„.

[/notification]

Überprüfung der OfficeScan Ausnahmen

Schaut bitte dort nach, ob Eure Ordnerausnahmen (Directory Exclusion List) dort gelandet sind. Wenn ja, dann könnt Ihr relativ sicher sein, dass es mit den gesetzten Verzeichnisausnahmen funktionieren sollte. Als abschließenden Test würden wir Euch aber entfehlen, den Eicar Testvirus herunterzuladen und in den „ExcludedFolder“ anzuspeichern. Wenn dies funktioniert habt Ihr die OfficeScan Echtzeitscan Ausnahmen richtig gesetzt.

– Trend Micro OfficeScan 11.0 Service Pack 1 Critical Patch Build 6285 und ActiveUpdate Module Build 1180
– TrendMicro OfficeScan Update 6125 für Windows 10 Anniversary
– OfficeScan Patch 6242 Build 11.0.6242 SP1 mit Anniversary Support
– OfficeScan Client 11.0.6178 Service Pack 1 – Anniversary Patch
– Fehler 0x7FFA528670E3 ANOMALY use of REX.w is meaningless – TrendMicro OfficeScan
– OfficeScan XG Serverinstallation und OfficeScan Client 12.0.1222

– OfficeScan XG
– OfficeScan Patch 6134 erschienen
– OfficeScan Patch 6125 hat Probleme mit Windows 10 Clean Installation
– KB3189866 beseitigt OfficeScan Problem mit Windows 10
– OfficeScan Critical Patch Installation 5010, 6054 und 6125