Preporuke za pregled radi otkrivanja virusa za računala na kojima su instalirane trenutno podržane verzije sustava Windows

Prijevod članka Prijevod članka
ID članka: 822158 - Pregledajte proizvode na koje se odnosi ovaj članak.
Proširi sve | Sažmi sve

Na ovoj stranici

UVOD

U članku se opisuju preporučeni načini na koje možete utvrditi uzrok moguće nestabilnosti na računalu na koje je instalirana podržana verzija sustava Microsoft Windows kada se koristi s antivirusnim softverom u okruženju domene Active Directory ili u upravljanom poslovnom okruženju.

Napomena Preporučujemo da privremeno primijenite te postupke da biste vrednovali sustav. Ako se performanse ili stabilnost sustava poboljšaju zahvaljujući preporukama iz ovog članka, od svojeg dobavljača antivirusnog softvera zatražite upute ili ažuriranu verziju antivirusnog softvera.

Važno Ovaj članak sadrži informacije koje će vam olakšati smanjenje sigurnosnih postavki, odnosno isključivanje sigurnosnih značajki računala. Te se izmjene mogu provesti da bi se bolje shvatio određeni problem. Prije nego što ih provedete, preporučujemo da procijenite rizike implementacije takvog zaobilaznog rješenja u vašem okruženju. Ako implementirate ovo zaobilazno rješenje, poduzmite odgovarajuće dodatne korake da biste na odgovarajući način zaštitili računalo.

DODATNE INFORMACIJE

Za računala na kojima je instaliran sustav Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista ili Windows 7

Upozorenje Ovo zaobilazno rješenje može računalo ili mrežu učiniti podložnijima napadima zlonamjernih korisnika ili zlonamjernog softvera, kao što su virusi. Ne preporučujemo ovo zaobilazno rješenje, ali vam pružamo potrebne informacije da biste ga mogli implementirati na vlastitu odgovornost ako to želite. Takvo rješenje koristite na vlastitu odgovornost.

Napomene
  • Nije nam poznat rizik izuzimanja određenih datoteka ili mapa spomenutih u ovom članku iz pregleda koje izvodi vaš antivirusni softver. No vaš bi sustav mogao biti sigurniji ako iz pregleda ne izuzmete nijednu datoteku ili mapu.
  • Prilikom pregleda tih datoteka može doći do problema s performansama i pouzdanošću operacijskog sustava zbog zaključavanja datoteka.
  • Nemojte isključiti nijednu od ovih datoteka na temelju datotečnog nastavka. Nemojte, primjerice, isključiti sve datoteke koje imaju nastavak .dit. Microsoft nema kontrolu nad drugim datotekama koje možda koriste iste nastavke kao datoteke opisane u ovom članku.
  • U ovom su članku navedeni nazivi datoteka i mapa koje je moguće izuzeti. Sve su datoteke i mape opisane u ovom članku zaštićene unaprijed zadanim dozvolama da bi se omogućio samo pristup SUSTAVA i administratora, a sadrže samo komponente operacijskog sustava. Izuzimanje cijele mape može biti jednostavnije, ali možda neće pružiti jednaku razinu zaštite kao izuzimanje određenih datoteka na temelju njihova naziva.

Izuzimanje datoteka povezanih sa značajkama Windows Update ili Automatic Update

  • Isključite pregled datoteke baze podataka značajke Windows Update ili Automatic Update (Datastore edb). Datoteka se nalazi u sljedećoj mapi:
    %windir%\SoftwareDistribution\Datastore
  • Isključite pregled zapisničkih datoteka koje se nalaze u sljedećoj mapi:
    %windir%\SoftwareDistribution\Datastore\Logs
    Izuzmite konkretno ove datoteke:
    • Res*.log
    • Res*.jrs
    • Edb.chk
    • Tmp.edb
    Zamjenski znak (*) znači da možda postoji više datoteka sa sličnim nazivom.

Isključite pregled datoteka značajke Windows Security

  • Dodajte sljedeće datoteke na put popisa izuzetaka %windir%\Security\Database:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Napomena Ako te datoteke nisu izuzete, antivirusni softver može spriječiti ispravan pristup tim datotekama, a sigurnosne baze podataka mogu se oštetiti. Pregledavanje tih datoteka može spriječiti njihovo korištenje ili primjenu sigurnosnih pravila na njih. Te datoteke ne bi trebalo pregledavati jer antivirusni softver ne može ispravno postupati s njima kao s vlasničkim datotekama baze podataka.

Isključivanje pregleda datoteka povezanih s pravilima grupe

  • Podaci registra korisnika pravila grupe. Te se datoteke nalaze u sljedećoj mapi:
    %allusersprofile%\
    Izuzmite konkretno ovu datoteku:
    NTUser.pol
  • Datoteka postavki klijenta pravila grupe. Datoteka se nalazi u sljedećoj mapi:
    %Systemroot%\System32\GroupPolicy\
    Izuzmite konkretno ovu datoteku:
    Registry.pol
Dodatne informacije potražite u člancima iz Microsoftove baze znanja pod brojem
951059 Na računalu na kojem je instaliran Windows Server 2003 postavke pravila utemeljene na registru bivaju neočekivano uklonjene nakon prijave korisnika na računalo (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)
930597 Na računalu sa sustavom Windows XP ili Windows Vista neke se postavke pravila utemeljene na registru izgube, a u dnevnik aplikacije bilježe se poruke o pogreškama (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)

Za kontrolere domene sustava Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 i Windows 2000

Budući da kontrolori domene pružaju važnu uslugu klijentima, potrebno je na najmanju moguću razinu svesti rizik od prekida njihovih aktivnosti zbog zlonamjernog koda, zlonamjernih programa ili virusa. Antivirusni softver općenito je prihvaćeni način smanjivanja rizika od zaraze. Instalirajte i konfigurirajte antivirusni softver da bi se rizik za kontrolore domene, a time i učinak na performanse, što je više moguće smanjio. Na sljedećem su popisu navedene preporuke za konfiguriranje i instaliranje antivirusnog softvera na kontroler domene za Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ili Windows 2000.

Upozorenje Preporučujemo da sljedeće konfiguracije primijenite na testni sustav da biste provjerili da one ne uvode neočekivane čimbenike u vaše okruženje te da ne ugrožavaju stabilnost sustava. Rizik pretjeranog pregledavanja radi otkrivanja virusa u tome je što će datoteke biti neodgovarajuće označene kao promijenjene. To će rezultirati prevelikom replikacijom u servisu Active Directory. Ako se testiranjem potvrdi da sljedeće preporuke ne utječu na replikaciju, antivirusni softver možete primijeniti na produkcijsko okruženje.

Napomena Određene preporuke dobavljača antivirusnog softvera mogu biti važnije od preporuka u ovom članku.
  • Antivirusni softver mora se instalirati na svim kontrolerima domene u poduzeću. Najbolje bi bilo instalirati takav softver na sve ostale poslužiteljske i klijentske sustave koji su u interakciji s kontrolerima domene. Optimalno je zlonamjerni program uhvatiti na najranijoj mogućoj točki, kao što je vatrozid, ili u klijentskom sustavu na mjestu ulaska zlonamjernog programa. Time se sprječava da zlonamjerni program uopće dospije u infrastrukturne sustave na koje se klijenti oslanjaju.
  • Koristite verziju antivirusnog softvera koja je osmišljena za rad s kontrolerima domene za Active Directory te koja koristi ispravna sučelja za programiranje aplikacija (Application Programming Interfaces, API) za pristup datotekama na poslužitelju. Starije verzije većine komercijalnog softvera prilikom pregledavanja datoteka na neodgovarajući način mijenjaju metapodatke datoteka. Zbog toga modul servisa za replikaciju datoteka prepoznaje da je datoteka promijenjena i pokreće njezinu replikaciju. Novije verzije sprječavaju taj problem. Dodatne informacije potražite u članku iz Microsoftove baze znanja pod brojem
    815263 Antivirusni programi, programi za izradu sigurnosnih kopija i programi za optimizaciju diska koji su kompatibilni sa servisom za replikaciju datoteka (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)
  • Putem kontrolera domene nemojte pregledavati internet ni izvoditi druge aktivnosti kojima bi se mogao unijeti zlonamjerni kod.
  • Preporučujemo da radno opterećenje na kontrolerima domena svedete na najmanju moguću mjeru. Po mogućnosti kontrolere domena nemojte koristiti kao poslužitelje datoteka. Na taj se način smanjuje aktivnost pregleda radi otkrivanja virusa u datotekama koje se zajednički koriste te se smanjuje neizravna potrošnja performansi.
  • Bazu podataka i datoteke zapisnika servisa Active Directory ili FRS ne stavljajte na komprimirane jedinice datotečnog sustava NTFS.
    Dodatne informacije potražite u članku iz Microsoftove baze znanja pod brojem
    318116 Problemi s Jet bazama podataka na komprimiranim pogonima (Ova veza može upućivati na sadržaj koji je djelomično ili potpuno na engleskom jeziku)

Isključivanje pregledavanja servisa Active Directory i datoteka povezanih s tim servisom

  • Isključite datoteke baze podataka glavnog NTDS-a. Mjesto tih datoteka navedeno je u sljedećem ključu registra:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Zadano je mjesto %windir%\Ntds. Izuzmite konkretno ove datoteke:
    Ntds.dit
    Ntds.pat
  • Izuzmite datoteke zapisnika transakcija servisa Active Directory. Mjesto tih datoteka navedeno je u sljedećem ključu registra:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    Zadano je mjesto %windir%\Ntds. Izuzmite konkretno ove datoteke:
    • EDB*.log
    • Res*.log
    • Res*.jrs
    • Ntds.pat
    Napomena Windows Server 2003 više ne koristi datoteku Ntds.pat.
  • Izuzmite datoteke u mapi radnog NTDS-a navedenoj u sljedećem ključu registra:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Izuzmite konkretno ove datoteke:
    • Temp.edb
    • Edb.chk

Isključivanje pregleda SYSVOL datoteka

  • Isključite pregled datoteka u radnoj mapi servisa za replikaciju datoteka (engl. File Replication Service, FRS) navedenoj u sljedećem ključu registra:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Zadano je mjesto %windir%\Ntfrs. Izuzmite sljedeće datoteke koje postoje u mapi:
    • edb.chk
    • Ntfrs.jdb
    • *.log
  • Isključite pregled datoteka u zapisničkim datotekama FRS baze podataka navedenima u sljedećem ključu registra:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Zadano je mjesto %windir%\Ntfrs. Izuzmite ove datoteke:
    • Eedb*.log (ako ključ registra nije postavljen).
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 i Windows Server 2008 R2).
    • Edb*.jrs (Windows Server 2008 i Windows Server 2008 R2).
    Napomena Potpune postavke za izuzimanje određenih datoteka dokumentirane su ovdje. Prema zadanim postavkama te mape dopuštaju pristup samo sustavu i administratorima. Provjerite je li postavljena ispravna zaštita. Te mape sadrže samo radne datoteke komponenti za FRS i DFSR.
  • Isključite pregled pripremne datoteke za kopiranje bez postavljanja kao što je navedeno u sljedećem ključu registra.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    Po zadanim postavkama kopiranje bez postavljanja koristi sljedeće mjesto:
    %systemroot%\Sysvol\Staging areas
    Izuzmite ove datoteke:
    • Nntfrs_cmp*.*
  • Isključite pregled datoteka u mapi Sysvol\Sysvol.

    Trenutno mjesto u mapi Sysvol\Sysvol i svim njezinim podmapama cilj je ponovnog rastavljanja datotečnog sustava za korijen skupa replika. Mapa Sysvol\Sysvol koristi sljedeće mjesto:
    %systemroot%\Sysvol\Sysvol
    Iz te mape i svih njezinih podmapa izuzmite sljedeće datoteke:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Isključite pregled datoteka u FRS mapi za unaprijed instalirane stavke koja se nalazi na sljedećem mjestu:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Mapa za unaprijed instalirane stavke uvijek je otvorena tijekom izvođenja FRS-a.

    Iz te mape i svih njezinih podmapa izuzmite sljedeće datoteke:
    • Ntfrs*.*
  • Isključite pregled datoteka u DFSR bazi podataka i radnim mapama. Mjesto je navedeno u sljedećem ključu registra:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    U tom ključu registra "put" predstavlja put XML datoteke u kojem se navodi naziv grupe za replikaciju. U navedenom primjeru put bi sadržavao "Domain System Volume".

    Zadano je mjesto sljedeća skrivena mapa:
    %systemdrive%\System Volume Information\DFSR
    Iz te mape i svih njezinih podmapa izuzmite sljedeće datoteke:
    • $db_normal$
    • FileIDTable_2
    • SimilarityTable_2
    • *.xml
    • $db_dirty$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Ako se neka od tih mapa ili datoteka premjesti ili stavi na neko drugo mjesto, pregledajte ili izuzmite ekvivalentni element.

Isključivanje pregleda DFS datoteka

Isti resursi koji su izuzeti iz SYSVOL skupa replika moraju biti izuzeti i kada se pomoću FRS-a ili DFSR-a repliciraju dijelovi koji se preslikavaju na DFS korijen te povezuju ciljeve na računalima s instaliranim sustavom Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ili Windows 2000 ili kontrolerima domene za njih.

Isključivanje pregleda DHCP datoteka

Prema zadanim postavkama DHCP datoteke koje je potrebno izuzeti nalaze se u sljedećoj mapi na poslužitelju:
%systemroot%\System32\DHCP
Iz te mape i svih njezinih podmapa izuzmite sljedeće datoteke:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Mjesto DHCP datoteka može se promijeniti. Da biste odredili trenutno mjesto DHCP datoteka na poslužitelju, pogledajte parametre DatabasePath, DhcpLogFilePath i BackupDatabasePath koji su navedeni u sljedećem potključu registra:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Za kontrolere domene sustava Windows Server 2008, Windows Server 2003 i Windows 2000

Isključivanje pregleda DNS datoteka

Prema zadanim postavkama DNS koristi sljedeću mapu:
%systemroot%\System32\Dns
Iz te mape i svih njezinih podmapa izuzmite sljedeće datoteke:
  • *.log
  • *.dns
  • POKRETANJE SUSTAVA

Isključivanje pregleda WINS datoteka

Prema zadanim postavkama WINS koristi sljedeću mapu:
%systemroot%\System32\Wins
Iz te mape i svih njezinih podmapa izuzmite sljedeće datoteke:
  • *.chk
  • *.log
  • *.mdb

Svojstva

ID članka: 822158 - Posljednja izmjena: 8. veljače 2010. - Revizija: 13.1
ODNOSI SE NA:
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate
  • Windows Server 2008 Foundation
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
Ključne riječi: 
kbinfo kbprb kbexpertiseinter kbsecurity KB822158

Pošaljite povratne informacije

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com