问Windows反恶意软件扫描界面- ASP.NET/IIS

EN

在头疼了好久之后，我找到了问题所在。开箱即用的Windows Defender将自动从恶意软件检查中排除IIS进程。这样做的结果是扫描方法不会拒绝恶意软件。

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-antivirus/configure-server-exclusions-windows-defender-antivirus#opt-out-of-automatic-exclusions

可以关闭自动排除。

我确认关闭自动排除是可行的。在Windows server 2016上，使用本地组策略编辑器，这会导致AMSI从IIS开始工作。在Windows10上，在病毒和威胁防护下，添加进程w3wp.exe的排除会导致AMSI停止工作。因此，排除是罪魁祸首。

对我来说，我不清楚为什么会有这种行为。Windows Defender不应冒着导致损坏的风险干扰操作系统的关键部分。不扫描零件的排除列表是可以理解的。因此，给定标准排除列表，Defender将不会扫描IIS进程。然而，我们的路线是相反的方向。在IIS中，我们要检查用户上传的恶意软件。IIS将有效负载发送到AMSI。AMSI将有效负载发送到Windows Defender。Defender应扫描有效负载中的恶意软件。为什么它会决定:这是IIS的请求，不需要扫描有效负载，只需返回有效负载是干净的？如果有人能解释这个逻辑，我将不胜感激。

我们不想关闭自动排除。这将使生产系统处于危险之中。排除是有原因的。

我们仍然希望使用AMSI；我们喜欢与本地安装的病毒产品的供应商无关的接口的想法。我们现在考虑以下解决方法:从IIS启动一个命令行exe，该命令行exe依次与AMSI对话。可能使用匿名管道将负载从IIS发送到命令行进程。命令行将有效负载转发到AMSI，AMSI将其转发到Windows Defender。Defender将扫描有效负载，因为请求进程的名称是命令行的名称，而不是w3wp.exe或排除列表中的其他名称。

对这种方法不太满意，但它应该可以工作。我们欢迎改进的建议。