Víruskereséssel kapcsolatos ajánlások a Windows jelenleg támogatott verzióival mûködõ vállalati számítógépekhez

A cikkben ismertetett javaslatok segítséget nyújtanak a rendszergazdáknak az esetleges instabilitás okának meghatározásához a Microsoft Windows támogatott verziójával mûködõ, Active Directory-tartományi környezetben vagy felügyelt vállalati környezetben található, víruskeresõ szoftvert használó számítógépeken.

Megjegyzés: A cikkben ismertetett lépéseket javasolt ideiglenesen alkalmazni a rendszer tesztelése céljából. Ha a rendszer teljesítménye vagy stabilitása a cikkben szereplõ javaslatok hatására javul, lépjen kapcsolatba a víruskeresõ szoftver gyártójával további utasításokért, illetve a víruskeresõ szoftver újabb változatának beszerzéséhez.

Fontos: A cikkben szereplõ információk segítségével a számítógépen alacsonyabb szintû biztonsági beállításokat adhat meg, illetve ideiglenesen kikapcsolhatja a biztonsági szolgáltatásokat. Ezek a módosítások a probléma jellegének megismeréséhez szükségesek, elõtte azonban célszerû mérlegelni a probléma ilyen módon történõ megoldásával járó kockázatokat az adott környezetben. A cikkben tárgyalt kerülõ megoldás választása esetén gondoskodjon a számítógép védelmérõl.

Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista és Windows 7 rendszerû számítógépek esetén

Figyelmeztetés: Ez a kerülõ megoldás védtelenebbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók és a kártevõ szoftverek – például a vírusok – támadásaival szemben. Az eljárás végrehajtása ugyan nem javasolt, de az információt rendelkezésére bocsátjuk, hogy belátása szerint dönthessen. Az alábbi megoldást csak saját felelõsségére alkalmazhatja.

Megjegyzések

• Nincs arra vonatkozó információ, hogy milyen kockázattal jár, ha a cikkben említett fájlokon és mappákon nem hajtja végre a víruskeresõ szoftver által végzett vizsgálatot. A rendszer azonban biztonságosabb lesz, ha az ellenõrzést minden fájlon és mappán végrehajtja.
• A fájlok ellenõrzésekor egyes fájlok zárolása miatt a teljesítménnyel és az operációs rendszer megbízhatóságával kapcsolatos problémák merülhetnek fel.
• A fájlnév kiterjesztése alapján ne zárjon ki fájlokat. Ne zárja ki például az összes .dit kiterjesztésû fájlt. A Microsoft nem tudja ellenõrizni a cikkben ismertetett fájlokkal megegyezõ kiterjesztéssel rendelkezõ más fájlokat.
• A cikkben a kizárható fájlok és mappák neve is szerepel. A cikkben ismertetett összes fájlra és mappára alapértelmezett jogosultságok vonatkoznak, így azokhoz csak SYSTEM és Rendszergazdák fiókkal lehet hozzáférni, és csak operációsrendszer-összetevõket tartalmaznak. Egy egész mappa kizárása egyszerûbb lehet, de valószínûleg nem nyújt akkora védelmet, mint adott fájlok kizárása a fájlnév alapján.

A „tmp.edb” nevû Microsoft Forefront-fájl ellenõrzésének kikapcsolása

• Ha a Forefront alkalmazást használja, kapcsolja ki a Forefront-adatbázisfájl (tmp.edb) ellenõrzését. Ez a fájl a következõ mappában található:
  %windir%\SoftwareDistribution\Datastore
• Kapcsolja ki a következõ mappában található naplófájlok ellenõrzését:
  %ProgramData%\Microsoft\Search\Data\Applications\Windows

A Windows Update vagy az Automatikus frissítések szolgáltatáshoz kapcsolódó fájlok ellenõrzésének kikapcsolása

• Kapcsolja ki a Windows Update és az Automatikus frissítések adatbázisfájljának (Datastore.edb) ellenõrzését. Ez a fájl a következõ mappában található:
  %windir%\SoftwareDistribution\Datastore
• Kapcsolja ki a következõ mappában található naplófájlok ellenõrzését:
  %windir%\SoftwareDistribution\Datastore\Logs
  Zárja ki az alábbi fájlokat:
  • Res*.log
  • Edb*.jrs
  • Edb.chk
  • Tmp.edb
  A helyettesítõ karakter (*) azt jelenti, hogy több fájl is lehet.

A Windows biztonsági fájljai ellenõrzésének kikapcsolása

• Adja hozzá az alábbi fájlokat a kizárási lista %windir%\Security\Database elérési útjához:
  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
  Megjegyzés: Ha ezeket a fájlokat nem zárja ki, a víruskeresõ szoftver megakadályozhatja a hozzáférést ezekhez a fájlokhoz, és a biztonsági adatbázisok megsérülhetnek. A fájlok ellenõrzésével megakadályozhatja a fájlok használatát, illetve azt, hogy azokra a rendszer biztonsági házirendet alkalmazzon. Ezeket a fájlokat nem kell ellenõrizni, mert elõfordulhat, hogy a víruskeresõ szoftver azokat nem megfelelõ adatbázisfájlként kezelné.

A csoportházirendhez kapcsolódó fájlok ellenõrzésének kikapcsolása

• A csoportházirend felhasználói beállításjegyzékkel kapcsolatos adatai. Ezek a fájlok a következõ mappában találhatók:
  %allusersprofile%\
  Zárja ki az alábbi fájlt:
  NTUser.pol
• A csoportházirend ügyfélbeállításait tartalmazó fájl. Ez a fájl a következõ mappában található:
  %Systemroot%\System32\GroupPolicy\
  Zárja ki az alábbi fájlt:
  Registry.pol

További információkért kattintson az alábbi cikkszámokra a Microsoft Tudásbázis megfelelõ cikkeinek megtekintéséhez:

Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 és Windows 2000 rendszerû tartományvezérlõk esetén

Mivel a tartományvezérlõk fontos szolgáltatást nyújtanak az ügyfeleknek, a rosszindulatú kódból, kártevõbõl és vírusból eredõ mûködési zavarok lehetõségét minimálisra kell csökkenteni. A víruskeresõ szoftverek a vírusfertõzések kockázatának csökkentésére szolgáló általánosan elfogadott eszközök. Ha telepíti és konfigurálja a víruskeresõ szoftvert, a tartományvezérlõvel kapcsolatos kockázat a lehetõ legkisebb mértékû lesz, és a teljesítményt a lehetõ legkisebb mértékben érinti. Az alábbi listában a víruskeresõ szoftver Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 és Windows 2000 rendszerû tartományvezérlõn való konfigurálásával és telepítésével kapcsolatos javaslatokat talál.

Figyelmeztetés: Javasolt az alábbi beállításokat egy tesztkonfiguráción megadni, így ellenõrizheti, hogy az adott környezetben nem okoz váratlan eseményeket, és nem veszélyezteti a rendszer stabilitását. A túl gyakori ellenõrzés hátránya, hogy a rendszer a fájlokat helytelenül módosítottként jelöli meg. Ez felesleges replikációt okoz az Active Directory címtárban. Ha a teszt eredménye az, hogy az alábbi javaslatok nem érintik a replikációt, a víruskeresõ szoftvert alkalmazhatja az adott környezetre.

Megjegyzés: A víruskeresõ szoftver gyártója által megadott javaslatok felülbírálhatják a cikkben szereplõ javaslatokat.

• A víruskeresõ szoftvert a cég minden tartományvezérlõjére telepíteni kell. A legcélszerûbb, ha a víruskeresõ szoftvert a tartományvezérlõvel kommunikáló összes kiszolgálóra és ügyfélre telepíti. Fontos, hogy a kártevõt a rendszer a lehetõ legkorábban felfedezze (például a tûzfalon vagy az ügyfélszámítógépen, amelyen a kártevõ elõször megjelenik). Így megelõzhetõ, hogy a kártevõ megjelenjen azokon a magasabb szintû rendszereken, amelyeket az ügyfélszámítógép használ.
• A víruskeresõ program olyan verzióját használja, amelyet az Active Directory tartományvezérlõivel való használatra terveztek, és amely a megfelelõ alkalmazásprogramozási felületeket (API) használja a kiszolgálón található fájlokhoz való hozzáféréshez. A legtöbb szoftver régebbi verziói az ellenõrzéskor nem megfelelõen módosítják a fájl metaadatait. Ennek eredményeként a fájlreplikációs szolgáltatás fájlmódosítást észlel, és a fájlt ütemezi replikálásra. Az újabb verziók nem követik el ezt a hibát. A Microsoft Tudásbázis kapcsolódó cikke:
  815263  (http://support.microsoft.com/kb/815263/ ) A fájlreplikációs szolgáltatással kompatibilis víruskeresõ, biztonságimásolat-készítõ és lemezoptimalizáló programok (Elõfordulhat, hogy a tartalom angol nyelven érhetõ el)
• A tartományvezérlõt ne használja webböngészésre vagy más olyan tevékenységre, amely rosszindulatú kód megjelenését teszi lehetõvé.
• A tartományvezérlõk terhelését javasolt minimalizálni. Ha lehetséges, a tartományvezérlõt ne használja fájlkiszolgálóként. Ezzel csökkenthetõ a víruskeresések száma a fájlmegosztásokon, és így minimalizálhatók a teljesítménnyel kapcsolatos ráfordítások.
• Az Active Directory címtárat és a fájlreplikációs szolgáltatás adatbázisát és naplófájljait ne helyezze NTFS fájlrendszer tömörített kötetére.
  A Microsoft Tudásbázis kapcsolódó cikke:
  318116  (http://support.microsoft.com/kb/318116/ ) A tömörített meghajtókon elhelyezett Jet-adatbázisokkal kapcsolatos problémák (Elõfordulhat, hogy a tartalom angol nyelven érhetõ el)

Az Active Directory és az ahhoz kapcsolódó fájlok ellenõrzésének kikapcsolása

• Zárja ki a fõ NTDS-adatbázisfájlokat. A fájlok helyét a következõ beállításkulcs határozza meg:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  Az alapértelmezett hely: %windir%\Ntds. Zárja ki az alábbi fájlokat:
  Ntds.dit
  Ntds.pat
• Zárja ki az Active Directory tranzakciós naplófájljait. A fájlok helyét a következõ beállításkulcs határozza meg:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  Az alapértelmezett hely: %windir%\Ntds. Zárja ki az alábbi fájlokat:
  • EDB*.log
  • Res*.log
  • Edb*.jrs
  • Ntds.pat
  Megjegyzés: A Windows Server 2003 már nem használja az Ntds.pat fájlt.
• Zárja ki a fájlokat az NTDS munkamappájában, amelyet a következõ beállításkulcs határoz meg:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  Zárja ki az alábbi fájlokat:
  • Temp.edb
  • Edb.chk

A rendszerkötet fájljai ellenõrzésének kikapcsolása

• Kapcsolja ki a fájlok ellenõrzését a fájlreplikációs szolgáltatás (FRS) munkamappájában, amelyet a következõ beállításkulcs határoz meg:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  Az alapértelmezett hely: %windir%\Ntfrs. Zárja ki a mappában található alábbi fájlokat:
  • edb.chk a %windir%\Ntfrs\jet\sys mappában
  • Ntfrs.jdb a %windir%\Ntfrs\jet mappában
  • *.log a %windir%\Ntfrs\jet\log mappában
• Kapcsolja ki a fájlreplikációs szolgáltatás adatbázisnapló-fájljainak ellenõrzését, amelyeket a következõ beállításkulcs határoz meg:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  Az alapértelmezett hely: %windir%\Ntfrs. Zárja ki az alábbi fájlokat:
  • Edb*.log (ha a beállításkulcs nincs beállítva).
  • Fájlreplikációs szolgáltatás munkakönyvtára\Jet\Log\Edb*.jrs (Windows Server 2008 és Windows Server 2008 R2 esetén)
  Megjegyzés: Az egyes fájlkizárások összes beállítása megtalálható itt. Ezekhez a mappákhoz alapértelmezés szerint csak SYSTEM és Rendszergazdák fiókkal lehet hozzáférni. Ellenõrizze, hogy a megfelelõ védelmet alkalmazza-e. Ezek a mappák csak a fájlreplikációs szolgáltatás és az elosztott fájlrendszer replikációs szolgáltatása összetevõinek munkafájljait tartalmazzák.
• Kapcsolja ki az átmeneti mappa ellenõrzését, amelyet a következõ beállításkulcs határoz meg:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
  
  Az átmeneti mappa alapértelmezés szerint a következõ helyen található:
  %systemroot%\Sysvol\Staging areas
  Zárja ki az alábbi fájlokat:
  • Nntfrs_cmp*.*
• Kapcsolja ki a Sysvol\Sysvol mappában található fájlok ellenõrzését.
  
  A Sysvol\Sysvol mappa aktuális helye a fájlrendszer újraelemzési célhelye a replikakészletek gyökeréhez. A Sysvol\Sysvol mappa az alábbi helyen található:
  %systemroot%\Sysvol\Domain
  Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • *.aas
  • *.inf
  • Fdeploy.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini
• Kapcsolja ki a fájlok ellenõrzését a fájlreplikációs szolgáltatás elõtelepítési mappájában, amely a következõ helyen található:
  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  Ha a fájlreplikációs szolgáltatás fut, az elõtelepítési mappa mindig meg van nyitva.
  
  Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
  • Ntfrs*.*
• Kapcsolja ki az elosztott fájlrendszer replikációs szolgáltatása adatbázis- és munkamappáiban található fájlok ellenõrzését. A helyet az alábbi beállításkulcs határozza meg:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
  Ebben a beállításkulcsban az „Elérési út” egy olyan XML-fájl elérési útja, amely a replikációs csoport nevét határozza meg. Ebben a példában az elérési út értéke „Domain System Volume”.
  
  Az alapértelmezett hely az alábbi rejtett mappa:
  %systemdrive%\System Volume Information\DFSR
  Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
  • $db_normal$
  • FileIDTable_*
  • SimilarityTable_*
  • *.xml
  • $db_dirty$
  • $db_lost$
  • Dfsr.db
  • Fsr.chk
  • *.frx
  • *.log
  • Fsr*.jrs
  • Tmp.edb
  Ha a mappák vagy fájlok bármelyikét máshová helyezi át, ellenõrizze vagy zárja ki a megfelelõ összetevõket.

Az elosztott fájlrendszer fájljai ellenõrzésének kikapcsolása

A rendszerkötet replikakészletében kizárt erõforrásokat akkor is ki kell zárni, amikor a fájlreplikációs szolgáltatás vagy az elosztott fájlrendszer replikációs szolgáltatása segítségével a DFS-gyökérhez és a csatolási célokhoz rendelt megosztásokat replikálja Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 vagy Windows 2000 rendszerrel mûködõ tagszámítógépen vagy tartományvezérlõn.

A DHCP-fájlok ellenõrzésének kikapcsolása

A kizárandó DHCP-fájlok alapértelmezés szerint a kiszolgáló alábbi mappájában találhatók: Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

• *.mdb
• *.pat
• *.log
• *.chk
• *.edb

A DHCP-fájlok helye megváltozhat. A kiszolgálón a DHCP-fájlok aktuális helyének meghatározásához tekintse meg a DatabasePath, DhcpLogFilePath és BackupDatabasePath paramétereket, amelyeket a következõ beállításkulcs határoz meg:

Windows Server 2008, Windows Server 2003 és Windows 2000 tartományvezérlõk esetén

A DNS-fájlok ellenõrzésének kikapcsolása

A DNS alapértelmezés szerint a következõ mappát használja: Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

• *.log
• *.dns
• BOOT

WINS-fájlok ellenõrzésének kikapcsolása

A WINS alapértelmezés szerint az alábbi mappát használja: Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

• *.chk
• *.log
• *.mdb

A Windows Hyper-V alapú verzióit futtató számítógépek esetén

Egyes esetekben a telepített Hyper-V szerepkörrel rendelkezõ Windows Server 2008 rendszerû számítógépeken, illetve a Microsoft Hyper-V Server 2008 vagy Microsoft Hyper-V Server 2008 R2 rendszerû számítógépeken a fájlok és teljes mappák kizárásához szükséges lehet a víruskeresõ szoftver valós idejû keresési összetevõjének konfigurálása. A Microsoft Tudásbázis kapcsolódó cikke:

Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELÛ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkezõ problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következõen tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek (http://go.microsoft.com/fwlink/?LinkId=151500) között.