Preporuke za skeniranje u potrazi za virusima za ra?unare koji rade pod trenutno podr?anim verzijama operativnog sistema Windows

Ovaj ?lanak sadr?i preporuke koje vam mogu pomo?i da utvrdite uzrok potencijalne nestabilnosti na ra?unaru koji radi pod podr?anom verzijom operativnog sistema Microsoft Windows kada se on koristi sa antivirusnim programom u okru?enju domena aktivnog direktorijuma ili kontrolisanom poslovnom okru?enju.

Napomena Preporu?uje se da privremeno primenite ove procedure da biste procenili sistem. Ako preporuke u ovom ?lanku pobolj?aju performanse ili stabilnost sistema, obratite se prodavcu antivirusnog programa za uputstva ili a?uriranu verziju antivirusnog programa.

Va?no Ovaj ?lanak sadr?i informacije koje pokazuju kako da smanjite nivo bezbednosnih postavki ili kako da privremeno isklju?ite bezbednosne funkcije na ra?unaru. Ove promene mo?ete izvr?iti da biste razumeli prirodu odre?enog problema. Pre nego ?to izvr?ite ove promene, preporu?uje se da procenite rizike koji su povezani sa primenom tog re?enja u okru?enju. Ako primenite ovo re?enje, preduzmite sve odgovaraju?e dodatne korake da biste za?titili ra?unar.

Za ra?unare koji rade pod operativnim sistemom Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista ili Windows 7

Upozorenje Ovo re?enje mo?e dovesti do toga da ra?unar ili mre?a budu podlo?niji napadima zlonamernih korisnika ili zlonamernog softvera kao ?to su virusi. Ovo re?enje se ne preporu?uje, ali vam obezbe?ujemo ove informacije tako da mo?ete da ga primenite po sopstvenom naho?enju. Koristite ovo re?enje na sopstvenu odgovornost.

Napomene

• Nismo upoznati sa rizicima izuzimanja odre?enih datoteka ili fascikli pomenutih u ovom ?lanku iz skeniranja koja vr?i antivirusni program koji koristite. Me?utim, sistem ?e mo?da biti bezbedniji ako iz skeniranja ne izuzmete nijednu datoteku ni fasciklu.
• Prilikom skeniranja ovih datoteka, mo?e do?i do problema sa performansama i pouzdano??u operativnog sistema zbog zaklju?avanja datoteka.
• Nemojte izuzimati nijednu od ovih datoteka na osnovu oznake tipa datoteke. Na primer, nemojte isklju?iti sve datoteke koje imaju oznaku tipa datoteke .dit. Microsoft nema kontrolu nad drugim datotekama koje mo?da koriste iste oznake tipa datoteke kao datoteke opisane u ovom ?lanku.
• Ovaj ?lanak obezbe?uje imena datoteka i fascikle koje mogu biti izuzete. Sve datoteke i fascikle opisane u ovom ?lanku za?ti?ene su podrazumevanim dozvolama za dozvoljavanje samo SISTEMSKOG i administratorskog pristupa, a sadr?e samo komponente operativnog sistema. Izuzimanje cele fascikle je mo?da jednostavnije, ali mo?da ne?e obezbediti za?titu kao izuzimanje odre?enih datoteka na osnovu imena datoteka.

Isklju?ivanje skeniranja datoteka povezanih sa uslugom Windows Update ili automatskim a?uriranjem

• Isklju?ite skeniranje datoteke baze podataka usluge Windows Update ili automatskog a?uriranja (Datastore.edb). Ova datoteka se nalazi u slede?oj fascikli:
  %windir%\SoftwareDistribution\Datastore
• Isklju?ite skeniranje datoteka evidencije koje se nalaze u slede?oj fascikli:
  %windir%\SoftwareDistribution\Datastore\Logs
  Posebno izuzmite slede?e datoteke:
  • Res*.log
  • Res*.jrs
  • Edb.chk
  • Tmp.edb
  D?oker znak (*) ukazuje na to da mo?da postoji nekoliko datoteka.

Isklju?ivanje skeniranja datoteka Windows bezbednosti

• Dodajte slede?e datoteke u putanju %windir%\Security\Database liste izuzimanja:
  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
  Napomena Ako se ove datoteke ne izuzmu, antivirusni program mo?e spre?iti ispravan pristup njima, a bezbednosne baze podataka mogu postati o?te?ene. Skeniranje ovih datoteka mo?e spre?iti kori??enje datoteka ili primenu bezbednosnih smernica u njima. Ove datoteke ne treba da se skeniraju zato ?to ih antivirusni program mo?da ne?e ispravno tretirati kao privatne datoteke baze podataka.

Isklju?ivanje skeniranja datoteka povezanih sa smernicama grupe

• Informacije registratora korisnika smernica grupe. Ove datoteke se nalaze u slede?oj fascikli:
  %allusersprofile%\
  Posebno izuzmite slede?u datoteku:
  NTUser.pol
• Datoteka sa postavkama klijenta smernica grupe. Ova datoteka se nalazi u slede?oj fascikli:
  %Systemroot%\System32\GroupPolicy\
  Posebno izuzmite slede?u datoteku:
  Registry.pol

Za vi?e informacija kliknite na slede?e brojeve ?lanaka da biste prikazali ?lanke u Microsoft bazi znanja:

Za Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 i Windows 2000 kontrolere domena

Po?to kontroleri domena obezbe?uju va?nu uslugu klijentima, rizik ometanja njihovih aktivnosti od strane zlonamernog koda, malvera ili virusa mora biti umanjen. Antivirusni program je op?teprihva?eni na?in smanjenja rizika od zara?enosti. Instalirajte i konfiguri?ite antivirusni program tako da se rizik za kontroler domena umanji u najve?oj mogu?oj meri i uz najmanji mogu?i uticaj na performanse. Slede?a lista sadr?i preporuke koje vam mogu pomo?i da konfiguri?ete i instalirate antivirusni program na Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ili Windows 2000 kontroleru domena.

Upozorenje Preporu?uje se da slede?u navedenu konfiguraciju primenite na probnom sistemu kako biste se uverili da u okru?enje ne?e uvesti neo?ekivane faktore ni ugroziti stabilnost sistema. Rizik preteranog skeniranja je u tome ?to se datoteke na neodgovaraju?i na?in ozna?avaju kao promenjene. Ovo dovodi do previ?e replikacija u usluzi Active Directory. Ako testiranje potvrdi da slede?e preporuke ne uti?u na replikaciju, mo?ete primeniti antivirusni program na okru?enje za proizvodnju.

Napomena Odre?ene preporuke prodavaca antivirusnog programa mogu prevazilaziti preporuke u ovom ?lanku.

• Antivirusni program mora biti instaliran na svim kontrolerima domena u preduze?u. Najbolje bi bilo da poku?ate da instalirate takav softver na svim drugim serverskim i klijentskim sistemima koji moraju da uspostave interakciju sa kontrolerima domena. Optimalno je uhvatiti malver ?to je pre mogu?e, na primer na za?titnom zidu ili u klijentskom sistemu gde je malver uveden. To spre?ava malver da do?e do infrastrukturnih sistema od kojih klijenti zavise.
• Koristite verziju antivirusnog programa koja je dizajnirana da funkcioni?e sa kontrolerima domena aktivnog direktorijuma i koja koristi odgovaraju?e programske interfejse aplikacije (API) za pristup datotekama na serveru. Starije verzije softvera ve?ine prodavaca na neodgovaraju?i na?in menjaju metapodatke datoteke kada se datoteka skenira. To dovodi do toga da ma?ina usluge replikacije datoteka prepozna promenu datoteke i isplanira replikaciju datoteke. Novije verzije spre?avaju ovaj problem. Za vi?e informacija kliknite na slede?i broj ?lanka da biste prikazali ?lanak u Microsoft bazi znanja:
  815263

  (http://support.microsoft.com/kb/815263/ )

  Antivirusni programi, programi za pravljenje rezervne kopije i optimizaciju diska koji su kompatibilni sa uslugom replikacije datoteka (Ova veza mo?e da vodi do sadr?aja koji je delimi?no ili u potpunosti nepreveden.)
• Nemojte koristiti kontroler domena za pregledanje Interneta ni izvr?avanje drugih aktivnosti koje mogu uvesti zlonamerni kôd.
• Preporu?uje se da umanjite radno optere?enje na kontrolerima domena. Kada god je mogu?e, izbegavajte kori??enje kontrolera domena u ulozi servera datoteka. Ovo umanjuje aktivnost skeniranja u potrazi za virusima na mre?nim deobama, kao i dodatnu podr?ku performansi.
• Nemojte postavljati Active Directory ili FRS bazu podataka i datoteke evidencije na komprimovane volumene sistema datoteka NTFS.
  Za vi?e informacija kliknite na slede?i broj ?lanka da biste prikazali ?lanak u Microsoft bazi znanja:
  318116

  (http://support.microsoft.com/kb/318116/ )

  Problemi sa Jet bazama podataka na komprimovanim disk jedinicama (Ova veza mo?e da vodi do sadr?aja koji je delimi?no ili u potpunosti nepreveden.)

Isklju?ivanje skeniranja usluge Active Directory i datoteka povezanih sa njom

• Izuzmite datoteke glavne NTDS baze podataka. Lokacija ovih datoteka navedena je u slede?em klju?u registratora:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  Podrazumevana lokacija je %windir%\Ntds. Posebno izuzmite slede?e datoteke:
  Ntds.dit
  Ntds.pat
• Izuzmite datoteke evidencije Active Directory prenosa. Lokacija ovih datoteka navedena je u slede?em klju?u registratora:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  Podrazumevana lokacija je %windir%\Ntds. Posebno izuzmite slede?e datoteke:
  • EDB*.log
  • Res*.log
  • Res*.jrs
  • Ntds.pat
  Napomena Windows Server 2003 vi?e ne koristi datoteku Ntds.pat.
• Izuzmite datoteke u NTDS radnoj fascikli koja je navedena u slede?em klju?u registratora:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  Posebno izuzmite slede?e datoteke:
  • Temp.edb
  • Edb.chk

Isklju?ivanje skeniranja SYSVOL datoteka

• Isklju?ite skeniranje datoteka u radnoj fascikli usluge replikacije datoteka (FRS) koja je navedena u slede?em klju?u registratora:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  Podrazumevana lokacija je %windir%\Ntfrs. Izuzmite slede?e datoteke koje postoje u fascikli:
  • edb.chk
  • Ntfrs.jdb
  • *.log
• Isklju?ite skeniranje datoteka u datotekama evidencije FRS baze podataka koje su navedene u slede?em klju?u registratora:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  Podrazumevana lokacija je %windir%\Ntfrs. Izuzmite slede?e datoteke:
  • Eedb*.log (ako klju? registratora nije postavljen).
  • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 i Windows Server 2008 R2).
  • Edb*.jrs (Windows Server 2008 i Windows Server 2008 R2).
  Napomena Postavke za odre?ena izuzimanja datoteka zabele?ene su ovde kako bi dokumentacija bila potpuna. Ove fascikle podrazumevano dozvoljavaju pristup samo sistemu i administratorima. Proverite da li su ispravne za?tite na mestu. Ove fascikle sadr?e samo radne datoteke komponenti za FRS i DFSR.
• Isklju?ite skeniranje datoteke za postavljanje kao ?to je navedeno u slede?em klju?u registratora.
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
  
  Postavljanje podrazumevano koristi slede?u lokaciju:
  %systemroot%\Sysvol\Staging areas
  Izuzmite slede?e datoteke:
  • Nntfrs_cmp*.*
• Isklju?ite skeniranje datoteka u fascikli ?Sysvol\Sysvol?.
  
  Trenutna lokacija fascikle ?Sysvol\Sysvol? i svih njenih potfascikli jeste cilj ponovnog ra??lanjivanja sistema datoteka korena skupa replika. Fascikla ?Sysvol\Sysvol? koristi slede?u lokaciju:
  %systemroot%\Sysvol\Sysvol
  Izuzmite slede?e datoteke iz ove fascikle i svih njenih potfascikli:
  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • *.aas
  • *.inf
  • Fdeploy.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini
• Isklju?ite skeniranje datoteka u FRS predinstalacionoj fascikli koja se nalazi na slede?oj lokaciji:
  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  Fascikla ?Predinstalacija? uvek je otvorena kada je pokrenut FRS.
  
  Izuzmite slede?e datoteke iz ove fascikle i svih njenih potfascikli:
  • Ntfrs*.*
• Isklju?ite skeniranje datoteka u fasciklama DFSR baze podataka i radnim fasciklama. Lokaciju navodi slede?i klju? registratora:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
  U ovom klju?u registratora ?Path? je putanja XML datoteke koja navodi ime grupe za replikaciju. U ovom primeru putanja bi sadr?ala stavku ?Sistemski volumen domena?.
  
  Podrazumevana lokacija je slede?a skrivena fascikla:
  %systemdrive%\System Volume Information\DFSR
  Izuzmite slede?e datoteke iz ove fascikle i svih njenih potfascikli:
  • $db_normal$
  • FileIDTable_2
  • SimilarityTable_2
  • *.xml
  • $db_dirty$
  • Dfsr.db
  • Fsr.chk
  • *.frx
  • *.log
  • Fsr*.jrs
  • Tmp.edb
  Ako se neka od ovih fascikli ili datoteka premesti ili postavi na drugu lokaciju, skenirajte ili izuzmite ekvivalentni element.

Isklju?ivanje skeniranja DFS datoteka

Isti resursi koji se izuzimaju za SYSVOL skup replika moraju se izuzeti i kada se FRS ili DFSR koriste za replikaciju mre?nih deoba koje su mapirane na DFS koren i ciljeve veze na ra?unarima ?lanovima ili kontrolerima domena sa operativnim sistemom Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ili Windows 2000.

Isklju?ivanje skeniranja DHCP datoteka

Podrazumevano, DHCP datoteke koje treba izuzeti nalaze se u slede?oj fascikli na serveru: Izuzmite slede?e datoteke iz ove fascikle i svih njenih potfascikli:

• *.mdb
• *.pat
• *.log
• *.chk
• *.edb

Lokacija DHCP datoteka mo?e se promeniti. Da biste utvrdili trenutnu lokaciju DHCP datoteka na serveru, izaberite parametre DatabasePath, DhcpLogFilePath i BackupDatabasePath koji su navedeni u slede?em potklju?u registratora:

Za Windows Server 2008, Windows Server 2003 i Windows 2000 kontrolere domena

Isklju?ivanje skeniranja DNS datoteka

DNS podrazumevano koristi slede?u fasciklu: Izuzmite slede?e datoteke iz ove fascikle i svih njenih potfascikli:

• *.log
• *.dns
• BOOT

Isklju?ivanje skeniranja WINS datoteka

WINS podrazumevano koristi slede?u fasciklu: Izuzmite slede?e datoteke iz ove fascikle i svih njenih potfascikli:

• *.chk
• *.log
• *.mdb