Víruskeresési javaslatok Windows vagy Windows Server rendszert futtató vállalati számítógépekhez (KB822158)

A Windows Update vagy az automatikus frissítési fájlok vizsgálatának kikapcsolása

• Kapcsolja ki a Windows Update vagy az Automatikus frissítés adatbázisfájl (Datastore.edb) vizsgálatát. Ez a fájl a következő mappában található:

       %windir%\SoftwareDistribution\Datastore

• Kapcsolja ki a következő mappában található naplófájlok vizsgálatát:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Zárja ki a következő fájlokat:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• A helyettesítő karakter (*) azt jelzi, hogy több fájl is lehet.

A Windows biztonsági fájljainak vizsgálatának kikapcsolása

• Adja hozzá a következő fájlokat a kizárások listájának %windir%\Security\Database elérési útjában:

  • *.edb

  • *.Sdb

  • *.Napló

  • *.Chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Megjegyzés Ha ezek a fájlok nincsenek kizárva, a víruskereső szoftver megakadályozhatja a megfelelő hozzáférést ezekhez a fájlokhoz, és a biztonsági adatbázisok megsérülhetnek. A fájlok vizsgálata megakadályozhatja a fájlok használatát, vagy megakadályozhatja, hogy biztonsági szabályzatot alkalmazzanak a fájlokra. Ezeket a fájlokat nem szabad beolvasni, mert előfordulhat, hogy a víruskereső szoftver nem megfelelően kezeli őket saját adatbázisfájlként.
  
  Ezek az ajánlott kizárások. Előfordulhat, hogy a cikkben nem szereplő egyéb fájltípusokat ki kell zárni.

Csoportházirend kapcsolódó fájlok vizsgálatának kikapcsolása

• Csoportházirend felhasználói beállításjegyzék adatait. Ezek a fájlok a következő mappában találhatók:

       %allusersprofile%\
  
  Zárja ki a következő fájlt:

       NTUser.pol

• Csoportházirend ügyfélbeállítások fájljait. Ezek a fájlok a következő mappában találhatók:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Zárja ki a következő fájlokat:

       Registry.pol
       Registry.tmp

Felhasználóiprofil-fájlok vizsgálatának kikapcsolása

• A felhasználói beállításjegyzék adatai és a támogató fájlok. A fájlok a következő mappában találhatók:
  
       userprofile%\
  
  Zárja ki a következő fájlokat:
  
       Ntuser.dat*

Víruskereső szoftver futtatása tartományvezérlőkön

Mivel a tartományvezérlők fontos szolgáltatásokat nyújtanak az ügyfelek számára, minimalizálni kell annak kockázatát, hogy a tevékenységüket rosszindulatú kódok, kártevők vagy vírusok okozzák. Víruskereső szoftver az általánosan elfogadott módja a fertőzés kockázatának csökkentésére. Telepítse és konfigurálja a víruskereső szoftvert úgy, hogy a tartományvezérlőre jelentett kockázat a lehető legkisebbre csökkenjen, és a teljesítmény a lehető legkisebb mértékben csökkenjen. Az alábbi lista javaslatokat tartalmaz a víruskereső szoftverek Windows Server tartományvezérlőre való konfigurálásához és telepítéséhez.

Figyelmeztetés Javasoljuk, hogy a következő konfigurációt alkalmazza egy tesztrendszerre, hogy az adott környezetben ne okozzon váratlan tényezőket, és ne rontsa a rendszer stabilitását. A túl sok vizsgálat kockázata az, hogy a fájlok helytelenül módosultakként vannak megjelölve. Ez túl sok replikációt okoz az Active Directoryban. Ha a tesztelés ellenőrzi, hogy a következő javaslatok nem befolyásolják-e a replikációt, alkalmazhatja a víruskereső szoftvert az éles környezetre.

Megjegyzés A víruskereső szoftverek gyártóitól származó konkrét javaslatok felülírhatják a cikkben szereplő javaslatokat.

• A víruskereső szoftvert a vállalat összes tartományvezérlőjén telepíteni kell. Ideális esetben próbálja meg telepíteni az ilyen szoftvereket minden olyan kiszolgálóra és ügyfélrendszerre, amelynek kommunikálnia kell a tartományvezérlőkkel. Optimális, ha a kártevőt a legkorábbi időpontban észleli, például a tűzfalon vagy azon az ügyfélrendszeren, ahol a kártevőt bevezették. Ez megakadályozza, hogy a kártevők valaha is elérjék azokat az infrastruktúra-rendszereket, amelyektől az ügyfelek függenek.

• Használjon olyan víruskereső szoftvert, amely az Active Directory-tartományvezérlőkkel való együttműködésre lett tervezve, és amely a megfelelő alkalmazásprogramozási felületeket (API-kat) használja a kiszolgálón lévő fájlok eléréséhez. A legtöbb szállítói szoftver régebbi verziói helytelenül módosítják a fájl metaadatait a fájl vizsgálata során. Emiatt a fájlreplikációs szolgáltatás motorja felismeri a fájlmódosítást, ezért ütemezi a fájlt a replikációra. Az újabb verziók megakadályozzák ezt a problémát.
  További információt a Microsoft Tudásbázis következő cikkében talál:

  815263A fájlreplikációs szolgáltatással kompatibilis víruskereső, biztonsági mentési és lemezoptimalizálási programok

• Ne használjon tartományvezérlőt az interneten való böngészésre vagy más olyan tevékenységek végrehajtására, amelyek rosszindulatú kódot eredményezhetnek.

• Javasoljuk, hogy minimálisra csökkentse a tartományvezérlők számítási feladatait. Ha lehetséges, ne használjon tartományvezérlőket fájlkiszolgálói szerepkörben. Ez csökkenti a fájlmegosztások víruskeresési tevékenységét, és minimalizálja a teljesítménybeli többletterhelést.

• Ne helyezzen Active Directory- vagy FRS-adatbázist és naplófájlokat NTFS fájlrendszerű tömörített kötetekre.

Az Active Directoryval és az Active Directoryval kapcsolatos fájlok vizsgálatának kikapcsolása

• Zárja ki a fő NTDS-adatbázisfájlokat. Ezeknek a fájloknak a helye a következő beállításjegyzék-alkulcsban van megadva:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Az alapértelmezett hely a %windir%\Ntds. Zárja ki a következő fájlokat:

  • Ntds.dit

  • Ntds.pat

• Zárja ki az Active Directory tranzakciós naplófájljait. Ezeknek a fájloknak a helye a következő beállításjegyzék-alkulcsban van megadva:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Az alapértelmezett hely a %windir%\Ntds. Zárja ki a következő fájlokat:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Zárja ki a következő beállításkulcsban megadott NTDS Munka mappában lévő fájlokat:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Zárja ki a következő fájlokat:

  • Temp.edb

  • Edb.chk

A SYSVOL-fájlok vizsgálatának kikapcsolása

• Kapcsolja ki a fájlok vizsgálatát a fájlreplikációs szolgáltatás (FRS) munkamappájában, amely a következő beállításjegyzék-alkulcsban van megadva:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Az alapértelmezett hely a %windir%\Ntfrs. Zárja ki a mappában található alábbi fájlokat:

  • edb.chk a %windir%\Ntfrs\jet\sys mappában

  • Ntfrs.jdb a %windir%\Ntfrs\jet mappában

  • *.log a %windir%\Ntfrs\jet\log mappában

• Kapcsolja ki a következő beállításkulcsban megadott FRS-adatbázisnapló-fájlokban lévő fájlok vizsgálatát:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Az alapértelmezett hely a %windir%\Ntfrs. Zárja ki a következő fájlokat:

  • Edb*.log (ha a beállításkulcs nincs beállítva)

  • FRS Working Dir\Jet\Log\Edb*.jrs

• MegjegyzésAz egyes fájlkizárások beállításait itt találja a teljesség érdekében. Alapértelmezés szerint ezek a mappák csak a Rendszer és a Rendszergazdák számára engedélyezik a hozzáférést. Ellenőrizze, hogy a megfelelő védelem van-e érvényben. Ezek a mappák csak az FRS-hez és az elosztott fájlrendszerhez tartozó munkafájlokat tartalmazzák.

• Kapcsolja ki az NTFRS előkészítési mappa vizsgálatát az alábbi beállításjegyzék-alkulcsban megadottak szerint:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage Alapértelmezés szerint az előkészítés a következő helyet használja:

  %systemroot%\Sysvol\Átmeneti területek

• Kapcsolja ki a DFSR átmeneti mappájának vizsgálatát a CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName objektum msDFSR-StagingPath attribútumában megadottak szerint. Ez az attribútum tartalmazza annak a tényleges helynek az elérési útját, amelyet az elosztott fájlrendszer replikációja a fájlok előkészítésekor használ. Zárja ki a következő fájlokat:

  • Ntfrs_cmp*.*

  • *.frx

• Kapcsolja ki a Sysvol\Sysvol mappában vagy a SYSVOL_DFSR\Sysvol mappában lévő fájlok vizsgálatát.
  
  A Sysvol\Sysvol vagy a SYSVOL_DFSR\Sysvol mappa és az összes almappá aktuális helye a replikakészlet gyökerének fájlrendszer-újraelemzési célja. A Sysvol\Sysvol és a SYSVOL_DFSR\Sysvol mappák alapértelmezés szerint a következő helyeket használják:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Az aktuálisan aktív SYSVOL elérési útjára a NETLOGON-megosztás hivatkozik, és a SysVol értékneve határozza meg a következő alkulcsban:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

  • *.Adm

  • *.Admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.Inek

  • Oscfilter.ini

• Kapcsolja ki a fájlok vizsgálatát az frs előtelepítési mappában, amely a következő helyen található:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  Az Előtelepítés mappa mindig meg van nyitva, amikor az FRS fut.
  
  Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

  • Ntfrs*.*

• Kapcsolja ki az elosztott fájlrendszerbeli adatbázis és a munkamappák fájljainak vizsgálatát. A helyet a következő beállításjegyzék-alkulcs határozza meg:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Ebben a beállításjegyzékbeli alkulcsban az "Elérési út" egy XML-fájl elérési útja, amely a replikációs csoport nevét tartalmazza. Ebben a példában az elérési út a következőt tartalmazza: "Tartományi rendszerkötet"
  
  . Az alapértelmezett hely a következő rejtett mappa:

       %systemdrive%\System Volume Information\DFSR
  
  Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.Napló

  • Fsr*.jrs

  • Tmp.edb

• Megjegyzés Ha ezen mappák vagy fájlok bármelyikét áthelyezik vagy más helyre helyezik, vizsgálja meg vagy zárja ki a megfelelő elemet.

Elosztott fájlrendszerbeli fájlok vizsgálatának kikapcsolása

A SYSVOL replikakészletek esetében kizárt erőforrásokat is ki kell zárni, ha az ELOSZTOTT FÁJLRENDSZER vagy az Elosztott fájlrendszer-replikációs szolgáltatás használatával replikálják az elosztott fájlrendszerbeli gyökér- és csatolási célokra leképezett megosztásokat Windows Server 2008 R2-alapú vagy Windows Server 2008-alapú tagszámítógépeken vagy tartományvezérlőkön.

DHCP-fájlok vizsgálatának kikapcsolása

Alapértelmezés szerint a kizárandó DHCP-fájlok a következő mappában találhatók a kiszolgálón:

%systemroot%\System32\DHCP Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

• *.Mdb

• *.Pat

• *.Napló

• *.Chk

• *.edb

A DHCP-fájlok helye módosítható. A DHCP-fájlok aktuális helyének meghatározásához ellenőrizze a következő beállításkulcsban megadott DatabasePath, DhcpLogFilePath és BackupDatabasePath paramétereket:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

A DNS-fájlok vizsgálatának kikapcsolása

A DNS alapértelmezés szerint a következő mappát használja:

%systemroot%\System32\Dns Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

• *.Napló

• *.Dns

• CSOMAGTARTÓ

WINS-fájlok vizsgálatának kikapcsolása

Alapértelmezés szerint a WINS a következő mappát használja:

     %systemroot%\System32\Wins
Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

• *.Chk

• *.Napló

• *.Mdb

A Windows Hyper-V-alapú verzióit futtató számítógépek esetén

Bizonyos esetekben előfordulhat, hogy egy Windows Server 2008-alapú számítógépen, amelyen a Hyper-V szerepkör telepítve van, vagy egy Microsoft Hyper-V Server 2008 vagy egy Microsoft Hyper-V Server 2008 R2-alapú számítógépen, szükség lehet a valós idejű vizsgálati összetevő konfigurálására a víruskereső szoftveren belül, hogy kizárja a fájlokat és a teljes mappákat. További információt a Microsoft Tudásbázis következő cikkében talál:

• 961804A virtuális gépek hiányoznak, vagy hiba 0x800704C8, 0x80070037 vagy 0x800703E3 akkor fordul elő, amikor megpróbál elindítani vagy létrehozni egy virtuális gépet

További lépések

Ha a jelen cikkben ismertetett javaslatok javítják a rendszer teljesítményét vagy stabilitását, útmutatásért vagy a víruskereső szoftver frissített verziójáért vagy beállításaiért forduljon a víruskereső szoftver gyártójához.

Megjegyzés A külső víruskereső gyártó együttműködhet a Microsoft ügyfélszolgálata csapatával egy üzletileg ésszerű erőfeszítéssel.

Változások jegyzéke

 Az alábbi táblázat összefoglalja a témakör néhány legfontosabb módosítását.