Virustarkistussuosituksia yritystietokoneille, joissa on käytössä tällä hetkellä tuettu Windowsin versio

Tässä artikkelissa on suosituksia, jotka voivat auttaa järjestelmänvalvojaa selvittämään mahdollisen epävakauden syyn tietokoneessa, jossa on käytössä tuettu Microsoft Windowsin versio sekä virustentorjuntaohjelma Active Directory -toimialueympäristössä tai hallitussa yritysympäristössä.

Huomautus Microsoft suosittelee, että arvioit järjestelmän käyttämällä näitä toimia tilapäisesti. Jos järjestelmän suorituskyky tai vakaus tehostuu tämän artikkelin suosituksia noudattamalla, ota yhteyttä tietokoneen virustentorjuntaohjelmiston valmistajaan ja kysy ohjeita tai pyydä päivitetty versio virustentorjuntaohjelmistosta.

Tärkeää Tässä artikkelissa on tietoja, joiden avulla voit pienentää suojausasetuksia tai poistaa tilapäisesti tietokoneen suojausominaisuudet käytöstä. Tekemällä nämä muutokset voit saada tietoja tietyn ongelman luonteesta. Ennen kuin teet nämä muutokset, sinun kannattaa arvioida riskit, joita tämän kiertotavan käyttäminen ympäristössäsi aiheuttaa. Jos käytät tätä kiertotapaa, suojaa tietokonetta suorittamalla sen mukaiset lisätoimet.

Windows Server 2008 R2-, Windows Server 2008-, Windows Server 2003-, Windows 2000-, Windows XP-, Windows Vista- ja Windows 7 -tietokoneet

Varoitus Tämän ongelman kiertotavan käyttäminen saattaa tehdä tietokoneesta tai verkosta entistä haavoittuvamman pahantahtoisten käyttäjien tai haitallisiksi suunniteltujen ohjelmien, kuten virusten, hyökkäyksille. Microsoft ei suosittele tätä kiertotapaa, mutta näiden tietojen avulla voit kiertää ongelman harkintasi mukaan. Käytä tätä kiertotapaa omalla vastuulla.

Huomautuksia

• Microsoft ei ole tietoinen mistään riskistä, joka voisi aiheutua jättämällä pois tässä artikkelissa mainittujen tiedostojen tai kansioiden jättämisestä pois virustentarkistusohjelman tekemistä tarkistuksista. Järjestelmä voi kuitenkin olla turvallisempi, jos et jätä pois mitään tiedostoja tai kansioita tarkistuksista.
• Kun tarkistat nämä tiedostot, suorituskyvyn ja käyttöjärjestelmän luotettavuuden ongelmia saattaa ilmetä tiedostojen lukituksen vuoksi.
• Älä jätä pois mitään näistä tiedostoista tiedostotunnisteen perusteella. Älä esimerkiksi jätä pois kaikkia tiedostoja, joiden tunniste on .dit. Microsoft ei hallitse tai ohjaa muita tiedostoja, joilla saattaa olla samat tiedostotunnisteet kuin tässä artikkelissa kuvatuilla tiedostoilla.
• Tässä artikkelissa on sekä tiedostojen nimet että kansiot, jotka voidaan jättää pois. Kaikkia tässä artikkelissa kuvattuja tiedostoja ja kansioita suojataan oletuskäyttöoikeuksin, jotka sallivat käytön ainoastaan SYSTEM- ja järjestelmänvalvojaoikeuksilla, ja ne sisältävät ainoastaan käyttöjärjestelmäosia. Koko kansion jättäminen pois saattaa olla yksinkertaisempaa, mutta se ei välttämättä tarjoa yhtä tehokasta suojausta kuin tiettyjen tiedostojen jättäminen pois tiedostonimien perusteella.

Microsoft Forefrontin "tmp.edb"-tiedoston tarkistuksen poistaminen käytöstä

• Jos käytät Forefrontia, poista Forefront-tietokantatiedoston (tmp.edb) tarkistus käytöstä. Tämä tiedosto sijaitsee seuraavassa kansiossa:
  %windir%\SoftwareDistribution\Datastore
• Poista käytöstä seuraavassa kansiossa sijaitsevien lokitiedostojen tarkistus:
  %ProgramData%\Microsoft\Search\Data\Applications\Windows

Windows Updateen tai Automaattiset päivitykset -toimintoon liittyvien tiedostojen tarkistuksen poistaminen käytöstä

• Poista käytöstä Windows Updaten tai Automaattiset päivitykset -toiminnon tietokantatiedoston (Datastore.edb) tarkistus. Tämä tiedosto sijaitsee seuraavassa kansiossa:
  %windir%\SoftwareDistribution\Datastore
• Poista käytöstä seuraavassa kansiossa sijaitsevien lokitiedostojen tarkistus:
  %windir%\SoftwareDistribution\Datastore\Logs
  Jätä tarkemmin sanottuna seuraavat tiedostot pois:
  • Res*.log
  • Edb*.jrs
  • Edb.chk
  • Tmp.edb
  Yleismerkki (*) ilmaisee, että tiedostoja saattaa olla useita.

Windowsin suojauksen tiedostojen tarkistuksen poistaminen käytöstä

• Lisää seuraavat tiedostot pois jätettävien kohteiden %windir%\Security\Database-polkuun:
  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
  Huomautus Jos näitä tiedostoja ei jätetä pois, virustentorjuntaohjelmisto saattaa estää niiden oikean käytön, ja suojaustietokannat saattavat vioittua. Näiden tiedostojen tarkistaminen saattaa estää tiedostojen käytön tai suojauskäytännön käyttämisen tiedostoille. Näitä tiedostoja ei pidä tarkistaa, koska virustentorjuntaohjelmisto ei välttämättä käsittele niitä järjestelmän omina tietokantatiedostoina oikein.

Ryhmäkäytäntöön liittyvien tiedostojen tarkistuksen poistaminen käytöstä

• Ryhmäkäytännön käyttäjärekisteritiedot. Nämä tiedostot sijaitsevat seuraavassa kansiossa:
  %allusersprofile%\
  Jätä tarkemmin sanottuna pois seuraava tiedosto:
  NTUser.pol
• Ryhmäkäytännön asiakasasetustiedosto. Tämä tiedosto sijaitsee seuraavassa kansiossa:
  %Systemroot%\System32\GroupPolicy\
  Jätä tarkemmin sanottuna pois seuraava tiedosto:
  Registry.pol

Saat lisätietoja napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:

Toimialueen Windows Server 2008 R2-, Windows Server 2008-, Windows Server 2003- ja Windows 2000 -ohjauskoneet

Koska toimialueiden ohjauskoneet tarjoavat asiakkaille tärkeitä palveluita, riski, että asiakkaiden toiminnot keskeytyvät haittaohjelman tai viruksen haittakoodin vuoksi, on tehtävä mahdollisimman pieneksi. Virustentorjuntaohjelmisto on yleisesti hyväksytty tapa pienentää virustartunnan riskiä. Asenna ja määritä virustentorjuntaohjelmisto niin, että toimialueen ohjauskoneelle aiheutuva riski on mahdollisimman pieni ja että suorituskyky heikkenee mahdollisimman vähän. Seuraavassa luettelossa on suosituksia, joiden avulla voit asentaa virustentorjuntaohjelmiston toimialueen Windows Server 2008 R2-, Windows Server 2008-, Windows Server 2003- tai Windows 2000 -ohjauskoneeseen ja määrittää sen.

Varoitus Microsoft suosittelee, että otat seuraavan määritetyn kokoonpanon käyttöön testataksesi järjestelmää, jotta voit varmistaa, ettei se aiheuta odottamatonta toimintaa järjestelmässäsi tai heikennä sen vakautta. Jos tarkistusta tehdään liikaa, tiedostot saatetaan merkitä muuttuneiksi virheellisesti. Tämän tuloksena on liikaa replikointia Active Directoryssä. Jos testaus osoittaa, ettei seuraavien suositusten mukaan toimiminen vaikuta replikointiin, voit ottaa virustentorjuntaohjelmiston käyttöön tuotantoympäristössä.

Huomautus Virustentorjuntaohjelmistojen valmistajien erityiset suositukset saattavat ohittaa tässä artikkelissa annetut suositukset.

• Virustentorjuntaohjelmiston on oltava asennettuna kaikissa yrityksen toimialueen ohjauskoneissa. Jos se on mahdollista, yritä asentaa kyseinen ohjelmisto kaikkiin muihin palvelin- ja asiakasjärjestelmiin, joiden on vaihdettava tietoja toimialueen ohjauskoneiden kanssa. Haittaohjelmat tulee tunnistaa aikaisimmassa mahdollisessa pisteessä, kuten palomuurissa tai asiakasjärjestelmässä, johon haittaohjelma ensin saapuu. Tämä estää haittaohjelmaa saavuttamasta infrastruktuurijärjestelmiä, joista asiakaskoneet ovat riippuvaisia.
• Käytä virustentorjuntaohjelmiston versiota, joka on suunniteltu toimimaan toimialueen Active Directory -ohjauskoneiden kanssa ja joka käyttää palvelimen tiedostoja oikeiden API (Application Programming Interface) -liittymien avulla. Useimpien ohjelmistojen vanhemmat versiot muokkaavat tiedoston metatietoja virheellisesti tarkistuksen aikana. Tämä saa tiedostojen replikointipalvelun moduulin tunnistamaan tiedoston muuttuneeksi ja ajoittamaan tiedoston replikoitavaksi. Uudemmat versiot estävät tämän ongelman ilmenemisen. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
  815263

  (http://support.microsoft.com/kb/815263/ )

  Tiedostojen replikointipalvelun kanssa yhteensopivat virustentorjunta-, varmuuskopiointi- ja levynoptimointiohjelmat (Tämä artikkeli saattaa olla englanninkielinen)
• Älä käytä toimialueen ohjauskonetta Internetin selaamiseen tai muuhun järjestelmään mahdollisesti haittakoodia tuovaan toimintaan.
• Microsoft suosittelee, että pienennät kuormituksia toimialueen ohjauskoneissa. Kun se on mahdollista, älä käytä toimialueen ohjauskoneita tiedostopalvelinroolissa. Tämä vähentää virustentorjuntaohjelmien toimintaa jaetuissa tiedostoresursseissa ja heikentää suorituskykyä mahdollisimman vähän.
• Älä sijoita Active Directoryn tai tiedostojen replikointipalvelun tietokantaa ja lokitiedostoja NTFS-tiedostojärjestelmää käyttäviin pakattuihin asemiin.
  Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
  318116

  (http://support.microsoft.com/kb/318116/ )

  Pakattujen asemien Jet-tietokantojen ongelmat (Tämä artikkeli saattaa olla englanninkielinen)

Active Directoryn ja Active Directoryyn liittyvien tiedostojen tarkistuksen poistaminen käytöstä

• Jätä pois NTDS-päätietokantatiedostot. Näiden tiedostojen sijainti on määritetty seuraavassa rekisteriavaimessa:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  Oletussijainti on %windir%\Ntds. Jätä tarkemmin sanottuna seuraavat tiedostot pois:
  Ntds.dit
  Ntds.pat
• Jätä pois Active Directoryn tapahtumalokitiedostot. Näiden tiedostojen sijainti on määritetty seuraavassa rekisteriavaimessa:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  Oletussijainti on %windir%\Ntds. Jätä tarkemmin sanottuna seuraavat tiedostot pois:
  • EDB*.log
  • Res*.log
  • Edb*.jrs
  • Ntds.pat
  Huomautus Windows Server 2003 ei enää käytä Ntds.pat-tiedostoa.
• Jätä pois tiedostot NTDS-työkansiossa, joka on määritetty seuraavassa rekisteriavaimessa:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  Jätä tarkemmin sanottuna seuraavat tiedostot pois:
  • Temp.edb
  • Edb.chk

SYSVOL-tiedostojen tarkistamisen poistaminen käytöstä

• Poista käytöstä seuraavassa rekisteriavaimessa määritetyn tiedostojen replikointipalvelun työkansion tiedostojen tarkistaminen:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  Oletussijainti on %windir%\Ntfrs. Jätä pois seuraavat kansiossa olevat tiedostot:
  • edb.chk kansiossa %windir%\Ntfrs\jet\sys
  • Ntfrs.jdb kansiossa %windir%\Ntfrs\jet
  • *.log kansiossa %windir%\Ntfrs\jet\log
• Poista käytöstä seuraavassa rekisteriavaimessa määritettyjen FRS-tietokantalokitiedostojen tarkistaminen:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  Oletussijainti on %windir%\Ntfrs. Jätä seuraavat tiedostot pois:
  • Edb*.log (jos rekisteriavainta ei ole asetettu)
  • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 ja Windows Server 2008 R2)
  Huomautus Tiettyjen tiedostojen pois jättämisen asetukset on dokumentoitu tähän kattavuussyistä. Oletusarvon mukaan vain järjestelmä ja järjestelmänvalvojat saavat käyttää näitä kansioita. Varmista, että oikeat suojaukset ovat käytössä. Nämä kansiot sisältävät ainoastaan FRS:n ja DFSR:n osatyötiedostot.
• Poista seuraavassa rekisteriavaimessa määritetyn vaihekansion tarkistus käytöstä.
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
  
  Vaiheistaminen käyttää seuraavaa sijaintia oletusarvon mukaan:
  %systemroot%\Sysvol\Staging areas
  Jätä seuraavat tiedostot pois:
  • Nntfrs_cmp*.*
• Poista käytöstä Sysvol\Sysvol-kansiossa olevien tiedostojen tarkistaminen.
  
  Sysvol\Sysvol-kansion ja kaikkien sen alikansioiden nykyinen sijainti on tiedostojärjestelmän uudelleenjäsennyskohde replikointijoukon pääkansiolle. Sysvol\Sysvol-kansio käyttää seuraavaa sijaintia:
  %systemroot%\Sysvol\Domain
  Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:
  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • *.aas
  • *.inf
  • Fdeploy.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini
• Poista seuraavassa sijainnissa olevan FRS Preinstall -kansion tiedostojen tarkistaminen käytöstä:
  Replikoinnin_pääkansio\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  Esiasennuskansio on aina avoinna, kun tiedostojen replikointipalvelu on käynnissä.
  
  Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:
  • Ntfrs*.*
• Poista käytöstä DFSR-tietokannan ja työkansioiden tiedostojen tarkistus. Seuraava rekisteriavain määrittää sijainnin:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
  Tässä rekisteriavaimessa Path on replikointiryhmän nimen ilmoittavan XML-tiedoston polku. Tässä esimerkissä polku sisältää osan Domain System Volume.
  
  Oletussijainti on seuraava piilotettu kansio:
  %systemdrive%\System Volume Information\DFSR
  Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:
  • $db_normal$
  • FileIDTable_*
  • SimilarityTable_*
  • *.xml
  • $db_dirty$
  • $db_lost$
  • Dfsr.db
  • Fsr.chk
  • *.frx
  • *.log
  • Fsr*.jrs
  • Tmp.edb
  Jos jokin näistä kansioista tai tiedostoista siirretään tai sijoitetaan muuhun sijaintiin, tarkista tai jätä pois vastaava elementti.

DFS-tiedostojen tarkistuksen poistaminen käytöstä

Samat resurssit, jotka on jätetty pois SYSVOL-replikointijoukon yhteydessä, on myös jätettävä pois, kun FRS:ää tai DFSR:ää käytetään replikoimaan jaettuja resursseja, jotka on yhdistetty DFS-pääkansioon ja linkittävät kohteisiin Windows Server 2008 R2-, Windows Server 2008-, Windows Server 2003- tai Windows 2000 -pohjaisissa jäsentietokoneissa tai toimialueen ohjauskoneissa.

DHCP-tiedostojen tarkistuksen poistaminen käytöstä

Pois jätettävät DHCP-tiedostot ovat oletusarvon mukaan seuraavassa palvelimen kansiossa: Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:

• *.mdb
• *.pat
• *.log
• *.chk
• *.edb

DHCP-tiedostojen sijaintia voi muuttaa. Jos haluat selvittää palvelimen DHCP-tiedostojen nykyisen sijainnin, tarkista seuraavassa rekisterin aliavaimessa määritetyt DatabasePath-, DhcpLogFilePath- ja BackupDatabasePath-parametrit:

Toimialueen Windows Server 2008-, Windows Server 2003- ja Windows 2000 -ohjauskoneet

DNS-tiedostojen tarkistuksen poistaminen käytöstä

DNS käyttää oletusarvon mukaan seuraavaa kansiota: Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:

• *.log
• *.dns
• BOOT

WINS-tiedostojen tarkistuksen poistaminen käytöstä

Oletusarvon mukaan WINS käyttää seuraavaa kansiota: Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:

• *.chk
• *.log
• *.mdb

Tietokoneet, joissa on käynnissä Hyper-V-pohjainen Windows-versio

Joissakin tilanteissa Windows Server 2008 -tietokoneessa, johon on asennettu Hyper-V-rooli, tai Microsoft Hyper-V Server 2008 -tietokoneessa tai Microsoft Hyper-V Server 2008 R2 -tietokoneessa on määritettävä virustentorjuntaohjelman reaaliaikaisen tarkistuksen komponentti siten, että tiedostoja ja kokonaisia kansioita jätetään pois tarkistuksesta. Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa: