Víruskereséssel kapcsolatos ajánlások a Windows jelenleg támogatott verzióival működő vállalati számítógépekhez

A cikk fordítása A cikk fordítása
Cikk azonosítója: 822158 - A cikkben érintett termékek listájának megtekintése.
Figyelem

Információk otthoni felhasználók számára

A víruskeresésről szóló további információkért és a felhasználóknak szóló ajánlásokért látogassa meg a Microsoft következő webhelyét:
http://windows.microsoft.com/hu-hu/windows-vista/Viruses-frequently-asked-questions
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

A cikkben ismertetett javaslatok segítséget nyújtanak a rendszergazdáknak az esetleges instabilitás okának meghatározásához a Microsoft Windows támogatott verziójával működő, Active Directory-tartományi környezetben vagy felügyelt vállalati környezetben található, víruskereső szoftvert használó számítógépeken.

Megjegyzés: A cikkben ismertetett lépéseket javasolt ideiglenesen alkalmazni a rendszer tesztelése céljából. Ha a rendszer teljesítménye vagy stabilitása a cikkben szereplő javaslatok hatására javul, lépjen kapcsolatba a víruskereső szoftver gyártójával további utasításokért, illetve a víruskereső szoftver újabb változatának beszerzéséhez.

Fontos: A cikkben szereplő információk segítségével a számítógépen alacsonyabb szintű biztonsági beállításokat adhat meg, illetve ideiglenesen kikapcsolhatja a biztonsági szolgáltatásokat. Ezek a módosítások a probléma jellegének megismeréséhez szükségesek, előtte azonban célszerű mérlegelni a probléma ilyen módon történő megoldásával járó kockázatokat az adott környezetben. A cikkben tárgyalt kerülő megoldás választása esetén gondoskodjon a számítógép védelméről.

További információ

Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista és Windows 7 rendszerű számítógépek esetén

Figyelmeztetés: Ez a kerülő megoldás védtelenebbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók és a kártevő szoftverek – például a vírusok – támadásaival szemben. Az eljárás végrehajtása ugyan nem javasolt, de az információt rendelkezésére bocsátjuk, hogy belátása szerint dönthessen. Az alábbi megoldást csak saját felelősségére alkalmazhatja.

Megjegyzések
  • Nincs arra vonatkozó információ, hogy milyen kockázattal jár, ha a cikkben említett fájlokon és mappákon nem hajtja végre a víruskereső szoftver által végzett vizsgálatot. A rendszer azonban biztonságosabb lesz, ha az ellenőrzést minden fájlon és mappán végrehajtja.
  • A fájlok ellenőrzésekor egyes fájlok zárolása miatt a teljesítménnyel és az operációs rendszer megbízhatóságával kapcsolatos problémák merülhetnek fel.
  • A fájlnév kiterjesztése alapján ne zárjon ki fájlokat. Ne zárja ki például az összes .dit kiterjesztésű fájlt. A Microsoft nem tudja ellenőrizni a cikkben ismertetett fájlokkal megegyező kiterjesztéssel rendelkező más fájlokat.
  • A cikkben a kizárható fájlok és mappák neve is szerepel. A cikkben ismertetett összes fájlra és mappára alapértelmezett jogosultságok vonatkoznak, így azokhoz csak SYSTEM és Rendszergazdák fiókkal lehet hozzáférni, és csak operációsrendszer-összetevőket tartalmaznak. Egy egész mappa kizárása egyszerűbb lehet, de valószínűleg nem nyújt akkora védelmet, mint adott fájlok kizárása a fájlnév alapján.

A „tmp.edb” nevű Microsoft Forefront-fájl ellenőrzésének kikapcsolása

  • Ha a Forefront alkalmazást használja, kapcsolja ki a Forefront-adatbázisfájl (tmp.edb) ellenőrzését. Ez a fájl a következő mappában található:
    %windir%\SoftwareDistribution\Datastore
  • Kapcsolja ki a következő mappában található naplófájlok ellenőrzését:
    %ProgramData%\Microsoft\Search\Data\Applications\Windows

A Windows Update vagy az Automatikus frissítések szolgáltatáshoz kapcsolódó fájlok ellenőrzésének kikapcsolása

  • Kapcsolja ki a Windows Update és az Automatikus frissítések adatbázisfájljának (Datastore.edb) ellenőrzését. Ez a fájl a következő mappában található:
    %windir%\SoftwareDistribution\Datastore
  • Kapcsolja ki a következő mappában található naplófájlok ellenőrzését:
    %windir%\SoftwareDistribution\Datastore\Logs
    Zárja ki az alábbi fájlokat:
    • Res*.log
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
    A helyettesítő karakter (*) azt jelenti, hogy több fájl is lehet.

A Windows biztonsági fájljai ellenőrzésének kikapcsolása

  • Adja hozzá az alábbi fájlokat a kizárási lista %windir%\Security\Database elérési útjához:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Megjegyzés: Ha ezeket a fájlokat nem zárja ki, a víruskereső szoftver megakadályozhatja a hozzáférést ezekhez a fájlokhoz, és a biztonsági adatbázisok megsérülhetnek. A fájlok ellenőrzésével megakadályozhatja a fájlok használatát, illetve azt, hogy azokra a rendszer biztonsági házirendet alkalmazzon. Ezeket a fájlokat nem kell ellenőrizni, mert előfordulhat, hogy a víruskereső szoftver azokat nem megfelelő adatbázisfájlként kezelné.

A csoportházirendhez kapcsolódó fájlok ellenőrzésének kikapcsolása

  • A csoportházirend felhasználói beállításjegyzékkel kapcsolatos adatai. Ezek a fájlok a következő mappában találhatók:
    %allusersprofile%\
    Zárja ki az alábbi fájlt:
    NTUser.pol
  • A csoportházirend ügyfélbeállításait tartalmazó fájl. Ez a fájl a következő mappában található:
    %Systemroot%\System32\GroupPolicy\
    Zárja ki az alábbi fájlt:
    Registry.pol
További információkért kattintson az alábbi cikkszámokra a Microsoft Tudásbázis megfelelő cikkeinek megtekintéséhez:
951059 A felhasználók Windows Server 2003 rendszerű számítógépre történő bejelentkezése után a rendszer váratlanul eltávolítja a beállításjegyzéken alapuló házirend-beállításokat (Előfordulhat, hogy a tartalom angol nyelven érhető el)
930597 Windows XP vagy Windows Vista rendszerű számítógépen elvesznek a beállításjegyzéken alapuló egyes házirend-beállítások, és a rendszer hibaüzenetet rögzít az alkalmazásnaplóban (Előfordulhat, hogy a tartalom angol nyelven érhető el)

Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 és Windows 2000 rendszerű tartományvezérlők esetén

Mivel a tartományvezérlők fontos szolgáltatást nyújtanak az ügyfeleknek, a rosszindulatú kódból, kártevőből és vírusból eredő működési zavarok lehetőségét minimálisra kell csökkenteni. A víruskereső szoftverek a vírusfertőzések kockázatának csökkentésére szolgáló általánosan elfogadott eszközök. Ha telepíti és konfigurálja a víruskereső szoftvert, a tartományvezérlővel kapcsolatos kockázat a lehető legkisebb mértékű lesz, és a teljesítményt a lehető legkisebb mértékben érinti. Az alábbi listában a víruskereső szoftver Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 és Windows 2000 rendszerű tartományvezérlőn való konfigurálásával és telepítésével kapcsolatos javaslatokat talál.

Figyelmeztetés: Javasolt az alábbi beállításokat egy tesztkonfiguráción megadni, így ellenőrizheti, hogy az adott környezetben nem okoz váratlan eseményeket, és nem veszélyezteti a rendszer stabilitását. A túl gyakori ellenőrzés hátránya, hogy a rendszer a fájlokat helytelenül módosítottként jelöli meg. Ez felesleges replikációt okoz az Active Directory címtárban. Ha a teszt eredménye az, hogy az alábbi javaslatok nem érintik a replikációt, a víruskereső szoftvert alkalmazhatja az adott környezetre.

Megjegyzés: A víruskereső szoftver gyártója által megadott javaslatok felülbírálhatják a cikkben szereplő javaslatokat.
  • A víruskereső szoftvert a cég minden tartományvezérlőjére telepíteni kell. A legcélszerűbb, ha a víruskereső szoftvert a tartományvezérlővel kommunikáló összes kiszolgálóra és ügyfélre telepíti. Fontos, hogy a kártevőt a rendszer a lehető legkorábban felfedezze (például a tűzfalon vagy az ügyfélszámítógépen, amelyen a kártevő először megjelenik). Így megelőzhető, hogy a kártevő megjelenjen azokon a magasabb szintű rendszereken, amelyeket az ügyfélszámítógép használ.
  • A víruskereső program olyan verzióját használja, amelyet az Active Directory tartományvezérlőivel való használatra terveztek, és amely a megfelelő alkalmazásprogramozási felületeket (API) használja a kiszolgálón található fájlokhoz való hozzáféréshez. A legtöbb szoftver régebbi verziói az ellenőrzéskor nem megfelelően módosítják a fájl metaadatait. Ennek eredményeként a fájlreplikációs szolgáltatás fájlmódosítást észlel, és a fájlt ütemezi replikálásra. Az újabb verziók nem követik el ezt a hibát. A Microsoft Tudásbázis kapcsolódó cikke:
    815263 A fájlreplikációs szolgáltatással kompatibilis víruskereső, biztonságimásolat-készítő és lemezoptimalizáló programok (Előfordulhat, hogy a tartalom angol nyelven érhető el)
  • A tartományvezérlőt ne használja webböngészésre vagy más olyan tevékenységre, amely rosszindulatú kód megjelenését teszi lehetővé.
  • A tartományvezérlők terhelését javasolt minimalizálni. Ha lehetséges, a tartományvezérlőt ne használja fájlkiszolgálóként. Ezzel csökkenthető a víruskeresések száma a fájlmegosztásokon, és így minimalizálhatók a teljesítménnyel kapcsolatos ráfordítások.
  • Az Active Directory címtárat és a fájlreplikációs szolgáltatás adatbázisát és naplófájljait ne helyezze NTFS fájlrendszer tömörített kötetére.
    A Microsoft Tudásbázis kapcsolódó cikke:
    318116 A tömörített meghajtókon elhelyezett Jet-adatbázisokkal kapcsolatos problémák (Előfordulhat, hogy a tartalom angol nyelven érhető el)

Az Active Directory és az ahhoz kapcsolódó fájlok ellenőrzésének kikapcsolása

  • Zárja ki a fő NTDS-adatbázisfájlokat. A fájlok helyét a következő beállításkulcs határozza meg:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Az alapértelmezett hely: %windir%\Ntds. Zárja ki az alábbi fájlokat:
    Ntds.dit
    Ntds.pat
  • Zárja ki az Active Directory tranzakciós naplófájljait. A fájlok helyét a következő beállításkulcs határozza meg:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    Az alapértelmezett hely: %windir%\Ntds. Zárja ki az alábbi fájlokat:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    Megjegyzés: A Windows Server 2003 már nem használja az Ntds.pat fájlt.
  • Zárja ki a fájlokat az NTDS munkamappájában, amelyet a következő beállításkulcs határoz meg:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Zárja ki az alábbi fájlokat:
    • Temp.edb
    • Edb.chk

A rendszerkötet fájljai ellenőrzésének kikapcsolása

  • Kapcsolja ki a fájlok ellenőrzését a fájlreplikációs szolgáltatás (FRS) munkamappájában, amelyet a következő beállításkulcs határoz meg:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Az alapértelmezett hely: %windir%\Ntfrs. Zárja ki a mappában található alábbi fájlokat:
    • edb.chk a %windir%\Ntfrs\jet\sys mappában
    • Ntfrs.jdb a %windir%\Ntfrs\jet mappában
    • *.log a %windir%\Ntfrs\jet\log mappában
  • Kapcsolja ki a fájlreplikációs szolgáltatás adatbázisnapló-fájljainak ellenőrzését, amelyeket a következő beállításkulcs határoz meg:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Az alapértelmezett hely: %windir%\Ntfrs. Zárja ki az alábbi fájlokat:
    • Edb*.log (ha a beállításkulcs nincs beállítva).
    • Fájlreplikációs szolgáltatás munkakönyvtára\Jet\Log\Edb*.jrs (Windows Server 2008 és Windows Server 2008 R2 esetén)
    Megjegyzés: Az egyes fájlkizárások összes beállítása megtalálható itt. Ezekhez a mappákhoz alapértelmezés szerint csak SYSTEM és Rendszergazdák fiókkal lehet hozzáférni. Ellenőrizze, hogy a megfelelő védelmet alkalmazza-e. Ezek a mappák csak a fájlreplikációs szolgáltatás és az elosztott fájlrendszer replikációs szolgáltatása összetevőinek munkafájljait tartalmazzák.
  • Kapcsolja ki az átmeneti mappa ellenőrzését, amelyet a következő beállításkulcs határoz meg:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    Az átmeneti mappa alapértelmezés szerint a következő helyen található:
    %systemroot%\Sysvol\Staging areas
    Zárja ki az alábbi fájlokat:
    • Nntfrs_cmp*.*
  • Kapcsolja ki a Sysvol\Sysvol mappában található fájlok ellenőrzését.

    A Sysvol\Sysvol mappa aktuális helye a fájlrendszer újraelemzési célhelye a replikakészletek gyökeréhez. A Sysvol\Sysvol mappa az alábbi helyen található:
    %systemroot%\Sysvol\Domain
    Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Kapcsolja ki a fájlok ellenőrzését a fájlreplikációs szolgáltatás előtelepítési mappájában, amely a következő helyen található:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Ha a fájlreplikációs szolgáltatás fut, az előtelepítési mappa mindig meg van nyitva.

    Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
    • Ntfrs*.*
  • Kapcsolja ki az elosztott fájlrendszer replikációs szolgáltatása adatbázis- és munkamappáiban található fájlok ellenőrzését. A helyet az alábbi beállításkulcs határozza meg:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    Ebben a beállításkulcsban az „Elérési út” egy olyan XML-fájl elérési útja, amely a replikációs csoport nevét határozza meg. Ebben a példában az elérési út értéke „Domain System Volume”.

    Az alapértelmezett hely az alábbi rejtett mappa:
    %systemdrive%\System Volume Information\DFSR
    Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Ha a mappák vagy fájlok bármelyikét máshová helyezi át, ellenőrizze vagy zárja ki a megfelelő összetevőket.

Az elosztott fájlrendszer fájljai ellenőrzésének kikapcsolása

A rendszerkötet replikakészletében kizárt erőforrásokat akkor is ki kell zárni, amikor a fájlreplikációs szolgáltatás vagy az elosztott fájlrendszer replikációs szolgáltatása segítségével a DFS-gyökérhez és a csatolási célokhoz rendelt megosztásokat replikálja Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 vagy Windows 2000 rendszerrel működő tagszámítógépen vagy tartományvezérlőn.

A DHCP-fájlok ellenőrzésének kikapcsolása

A kizárandó DHCP-fájlok alapértelmezés szerint a kiszolgáló alábbi mappájában találhatók:
%systemroot%\System32\DHCP
Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
A DHCP-fájlok helye megváltozhat. A kiszolgálón a DHCP-fájlok aktuális helyének meghatározásához tekintse meg a DatabasePath, DhcpLogFilePath és BackupDatabasePath paramétereket, amelyeket a következő beállításkulcs határoz meg:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Windows Server 2008, Windows Server 2003 és Windows 2000 tartományvezérlők esetén

A DNS-fájlok ellenőrzésének kikapcsolása

A DNS alapértelmezés szerint a következő mappát használja:
%systemroot%\System32\Dns
Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
  • *.log
  • *.dns
  • BOOT

WINS-fájlok ellenőrzésének kikapcsolása

A WINS alapértelmezés szerint az alábbi mappát használja:
%systemroot%\System32\Wins
Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
  • *.chk
  • *.log
  • *.mdb

A Windows Hyper-V alapú verzióit futtató számítógépek esetén

Egyes esetekben a telepített Hyper-V szerepkörrel rendelkező Windows Server 2008 rendszerű számítógépeken, illetve a Microsoft Hyper-V Server 2008 vagy Microsoft Hyper-V Server 2008 R2 rendszerű számítógépeken a fájlok és teljes mappák kizárásához szükséges lehet a víruskereső szoftver valós idejű keresési összetevőjének konfigurálása. A Microsoft Tudásbázis kapcsolódó cikke:
961804 A Hyper-V kezelőkonzolból virtuális gépek hiányoznak, vagy a virtuális gépek létrehozásakor vagy elindításakor a következő hibakódok egyike jelenik meg: „0x800704C8”, „0x80070037” vagy „0x800703E3” (Előfordulhat, hogy a tartalom angol nyelven érhető el)
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 822158 - Utolsó ellenőrzés: 2012. március 30. - Verziószám: 1.0
A cikkben található információ a következő(k)re vonatkozik:
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
Kulcsszavak: 
kbinfo kbprb kbexpertiseinter kbsecurity KB822158
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com