Információk otthoni felhasználók számára
A víruskeresésről szóló további információkért és a felhasználóknak szóló ajánlásokért látogassa meg a Microsoft következő webhelyét:
http://windows.microsoft.com/hu-hu/windows-vista/Viruses-frequently-asked-questions
BEVEZETÉS
A cikkben ismertetett javaslatok segítséget nyújtanak a rendszergazdáknak az esetleges instabilitás okának meghatározásához a Microsoft Windows támogatott verziójával működő, Active Directory-tartományi környezetben vagy felügyelt vállalati környezetben található, víruskereső szoftvert használó számítógépeken.
Megjegyzés: A cikkben ismertetett lépéseket javasolt ideiglenesen alkalmazni a rendszer tesztelése céljából. Ha a rendszer teljesítménye vagy stabilitása a cikkben szereplő javaslatok hatására javul, lépjen kapcsolatba a víruskereső szoftver gyártójával további utasításokért, illetve a víruskereső szoftver újabb változatának beszerzéséhez.
Fontos: A cikkben szereplő információk segítségével a számítógépen alacsonyabb szintű biztonsági beállításokat adhat meg, illetve ideiglenesen kikapcsolhatja a biztonsági szolgáltatásokat. Ezek a módosítások a probléma jellegének megismeréséhez szükségesek, előtte azonban célszerű mérlegelni a probléma ilyen módon történő megoldásával járó kockázatokat az adott környezetben. A cikkben tárgyalt kerülő megoldás választása esetén gondoskodjon a számítógép védelméről.
További információ
Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista és Windows 7 rendszerű számítógépek esetén
Figyelmeztetés: Ez a kerülő megoldás védtelenebbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók és a kártevő szoftverek – például a vírusok – támadásaival szemben. Az eljárás végrehajtása ugyan nem javasolt, de az információt rendelkezésére bocsátjuk, hogy belátása szerint dönthessen. Az alábbi megoldást csak saját felelősségére alkalmazhatja.
Megjegyzések
-
Nincs arra vonatkozó információ, hogy milyen kockázattal jár, ha a cikkben említett fájlokon és mappákon nem hajtja végre a víruskereső szoftver által végzett vizsgálatot. A rendszer azonban biztonságosabb lesz, ha az ellenőrzést minden fájlon és mappán végrehajtja.
-
A fájlok ellenőrzésekor egyes fájlok zárolása miatt a teljesítménnyel és az operációs rendszer megbízhatóságával kapcsolatos problémák merülhetnek fel.
-
A fájlnév kiterjesztése alapján ne zárjon ki fájlokat. Ne zárja ki például az összes .dit kiterjesztésű fájlt. A Microsoft nem tudja ellenőrizni a cikkben ismertetett fájlokkal megegyező kiterjesztéssel rendelkező más fájlokat.
-
A cikkben a kizárható fájlok és mappák neve is szerepel. A cikkben ismertetett összes fájlra és mappára alapértelmezett jogosultságok vonatkoznak, így azokhoz csak SYSTEM és Rendszergazdák fiókkal lehet hozzáférni, és csak operációsrendszer-összetevőket tartalmaznak. Egy egész mappa kizárása egyszerűbb lehet, de valószínűleg nem nyújt akkora védelmet, mint adott fájlok kizárása a fájlnév alapján.
A „tmp.edb” nevű Microsoft Forefront-fájl ellenőrzésének kikapcsolása
-
Ha a Forefront alkalmazást használja, kapcsolja ki a Forefront-adatbázisfájl (tmp.edb) ellenőrzését. Ez a fájl a következő mappában található:
%windir%\SoftwareDistribution\Datastore
-
Kapcsolja ki a következő mappában található naplófájlok ellenőrzését:
%ProgramData%\Microsoft\Search\Data\Applications\Windows
A Windows Update vagy az Automatikus frissítések szolgáltatáshoz kapcsolódó fájlok ellenőrzésének kikapcsolása
-
Kapcsolja ki a Windows Update és az Automatikus frissítések adatbázisfájljának (Datastore.edb) ellenőrzését. Ez a fájl a következő mappában található:
%windir%\SoftwareDistribution\Datastore
-
Kapcsolja ki a következő mappában található naplófájlok ellenőrzését:
%windir%\SoftwareDistribution\Datastore\Logs Zárja ki az alábbi fájlokat:
-
Res*.log
-
Edb*.jrs
-
Edb.chk
-
Tmp.edb
A helyettesítő karakter (*) azt jelenti, hogy több fájl is lehet.
-
A Windows biztonsági fájljai ellenőrzésének kikapcsolása
-
Adja hozzá az alábbi fájlokat a kizárási lista %windir%\Security\Database elérési útjához:
-
*.edb
-
*.sdb
-
*.log
-
*.chk
-
*.jrs
Megjegyzés: Ha ezeket a fájlokat nem zárja ki, a víruskereső szoftver megakadályozhatja a hozzáférést ezekhez a fájlokhoz, és a biztonsági adatbázisok megsérülhetnek. A fájlok ellenőrzésével megakadályozhatja a fájlok használatát, illetve azt, hogy azokra a rendszer biztonsági házirendet alkalmazzon. Ezeket a fájlokat nem kell ellenőrizni, mert előfordulhat, hogy a víruskereső szoftver azokat nem megfelelő adatbázisfájlként kezelné.
-
A csoportházirendhez kapcsolódó fájlok ellenőrzésének kikapcsolása
-
A csoportházirend felhasználói beállításjegyzékkel kapcsolatos adatai. Ezek a fájlok a következő mappában találhatók:
%allusersprofile%\ Zárja ki az alábbi fájlt:
NTUser.pol
-
A csoportházirend ügyfélbeállításait tartalmazó fájl. Ez a fájl a következő mappában található:
%Systemroot%\System32\GroupPolicy\ Zárja ki az alábbi fájlt:
Registry.pol
További információkért kattintson az alábbi cikkszámokra a Microsoft Tudásbázis megfelelő cikkeinek megtekintéséhez:
951059 A felhasználók Windows Server 2003 rendszerű számítógépre történő bejelentkezése után a rendszer váratlanul eltávolítja a beállításjegyzéken alapuló házirend-beállításokat (Előfordulhat, hogy a tartalom angol nyelven érhető el)
930597 Windows XP vagy Windows Vista rendszerű számítógépen elvesznek a beállításjegyzéken alapuló egyes házirend-beállítások, és a rendszer hibaüzenetet rögzít az alkalmazásnaplóban (Előfordulhat, hogy a tartalom angol nyelven érhető el)
Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 és Windows 2000 rendszerű tartományvezérlők esetén
Mivel a tartományvezérlők fontos szolgáltatást nyújtanak az ügyfeleknek, a rosszindulatú kódból, kártevőből és vírusból eredő működési zavarok lehetőségét minimálisra kell csökkenteni. A víruskereső szoftverek a vírusfertőzések kockázatának csökkentésére szolgáló általánosan elfogadott eszközök. Ha telepíti és konfigurálja a víruskereső szoftvert, a tartományvezérlővel kapcsolatos kockázat a lehető legkisebb mértékű lesz, és a teljesítményt a lehető legkisebb mértékben érinti. Az alábbi listában a víruskereső szoftver Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 és Windows 2000 rendszerű tartományvezérlőn való konfigurálásával és telepítésével kapcsolatos javaslatokat talál.
Figyelmeztetés: Javasolt az alábbi beállításokat egy tesztkonfiguráción megadni, így ellenőrizheti, hogy az adott környezetben nem okoz váratlan eseményeket, és nem veszélyezteti a rendszer stabilitását. A túl gyakori ellenőrzés hátránya, hogy a rendszer a fájlokat helytelenül módosítottként jelöli meg. Ez felesleges replikációt okoz az Active Directory címtárban. Ha a teszt eredménye az, hogy az alábbi javaslatok nem érintik a replikációt, a víruskereső szoftvert alkalmazhatja az adott környezetre.
Megjegyzés: A víruskereső szoftver gyártója által megadott javaslatok felülbírálhatják a cikkben szereplő javaslatokat.
-
A víruskereső szoftvert a cég minden tartományvezérlőjére telepíteni kell. A legcélszerűbb, ha a víruskereső szoftvert a tartományvezérlővel kommunikáló összes kiszolgálóra és ügyfélre telepíti. Fontos, hogy a kártevőt a rendszer a lehető legkorábban felfedezze (például a tűzfalon vagy az ügyfélszámítógépen, amelyen a kártevő először megjelenik). Így megelőzhető, hogy a kártevő megjelenjen azokon a magasabb szintű rendszereken, amelyeket az ügyfélszámítógép használ.
-
A víruskereső program olyan verzióját használja, amelyet az Active Directory tartományvezérlőivel való használatra terveztek, és amely a megfelelő alkalmazásprogramozási felületeket (API) használja a kiszolgálón található fájlokhoz való hozzáféréshez. A legtöbb szoftver régebbi verziói az ellenőrzéskor nem megfelelően módosítják a fájl metaadatait. Ennek eredményeként a fájlreplikációs szolgáltatás fájlmódosítást észlel, és a fájlt ütemezi replikálásra. Az újabb verziók nem követik el ezt a hibát.
A Microsoft Tudásbázis kapcsolódó cikke:815263A fájlreplikációs szolgáltatással kompatibilis víruskereső, biztonságimásolat-készítő és lemezoptimalizáló programok (Előfordulhat, hogy a tartalom angol nyelven érhető el)
-
A tartományvezérlőt ne használja webböngészésre vagy más olyan tevékenységre, amely rosszindulatú kód megjelenését teszi lehetővé.
-
A tartományvezérlők terhelését javasolt minimalizálni. Ha lehetséges, a tartományvezérlőt ne használja fájlkiszolgálóként. Ezzel csökkenthető a víruskeresések száma a fájlmegosztásokon, és így minimalizálhatók a teljesítménnyel kapcsolatos ráfordítások.
-
Az Active Directory címtárat és a fájlreplikációs szolgáltatás adatbázisát és naplófájljait ne helyezze NTFS fájlrendszer tömörített kötetére.
A Microsoft Tudásbázis kapcsolódó cikke:318116A tömörített meghajtókon elhelyezett Jet-adatbázisokkal kapcsolatos problémák (Előfordulhat, hogy a tartalom angol nyelven érhető el)
Az Active Directory és az ahhoz kapcsolódó fájlok ellenőrzésének kikapcsolása
-
Zárja ki a fő NTDS-adatbázisfájlokat. A fájlok helyét a következő beállításkulcs határozza meg:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Az alapértelmezett hely: %windir%\Ntds. Zárja ki az alábbi fájlokat:
Ntds.dit
Ntds.pat -
Zárja ki az Active Directory tranzakciós naplófájljait. A fájlok helyét a következő beállításkulcs határozza meg:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Az alapértelmezett hely: %windir%\Ntds. Zárja ki az alábbi fájlokat:
-
EDB*.log
-
Res*.log
-
Edb*.jrs
-
Ntds.pat
Megjegyzés: A Windows Server 2003 már nem használja az Ntds.pat fájlt.
-
-
Zárja ki a fájlokat az NTDS munkamappájában, amelyet a következő beállításkulcs határoz meg:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Zárja ki az alábbi fájlokat:
-
Temp.edb
-
Edb.chk
-
A rendszerkötet fájljai ellenőrzésének kikapcsolása
-
Kapcsolja ki a fájlok ellenőrzését a fájlreplikációs szolgáltatás (FRS) munkamappájában, amelyet a következő beállításkulcs határoz meg:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Az alapértelmezett hely: %windir%\Ntfrs. Zárja ki a mappában található alábbi fájlokat:
-
edb.chk a %windir%\Ntfrs\jet\sys mappában
-
Ntfrs.jdb a %windir%\Ntfrs\jet mappában
-
*.log a %windir%\Ntfrs\jet\log mappában
-
-
Kapcsolja ki a fájlreplikációs szolgáltatás adatbázisnapló-fájljainak ellenőrzését, amelyeket a következő beállításkulcs határoz meg:
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Az alapértelmezett hely: %windir%\Ntfrs. Zárja ki az alábbi fájlokat:
-
Edb*.log (ha a beállításkulcs nincs beállítva).
-
Fájlreplikációs szolgáltatás munkakönyvtára\Jet\Log\Edb*.jrs (Windows Server 2008 és Windows Server 2008 R2 esetén)
Megjegyzés: Az egyes fájlkizárások összes beállítása megtalálható itt. Ezekhez a mappákhoz alapértelmezés szerint csak SYSTEM és Rendszergazdák fiókkal lehet hozzáférni. Ellenőrizze, hogy a megfelelő védelmet alkalmazza-e. Ezek a mappák csak a fájlreplikációs szolgáltatás és az elosztott fájlrendszer replikációs szolgáltatása összetevőinek munkafájljait tartalmazzák.
-
-
Kapcsolja ki az átmeneti mappa ellenőrzését, amelyet a következő beállításkulcs határoz meg:
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
Az átmeneti mappa alapértelmezés szerint a következő helyen található:%systemroot%\Sysvol\Staging areas Zárja ki az alábbi fájlokat:
-
Nntfrs_cmp*.*
-
-
Kapcsolja ki a Sysvol\Sysvol mappában található fájlok ellenőrzését.
A Sysvol\Sysvol mappa aktuális helye a fájlrendszer újraelemzési célhelye a replikakészletek gyökeréhez. A Sysvol\Sysvol mappa az alábbi helyen található:%systemroot%\Sysvol\Domain Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
-
*.adm
-
*.admx
-
*.adml
-
Registry.pol
-
*.aas
-
*.inf
-
Fdeploy.inf
-
Scripts.ini
-
*.ins
-
Oscfilter.ini
-
-
Kapcsolja ki a fájlok ellenőrzését a fájlreplikációs szolgáltatás előtelepítési mappájában, amely a következő helyen található:
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory Ha a fájlreplikációs szolgáltatás fut, az előtelepítési mappa mindig meg van nyitva.
Zárja ki a mappában és annak almappáiban található alábbi fájlokat:-
Ntfrs*.*
-
-
Kapcsolja ki az elosztott fájlrendszer replikációs szolgáltatása adatbázis- és munkamappáiban található fájlok ellenőrzését. A helyet az alábbi beállításkulcs határozza meg:
HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path > Ebben a beállításkulcsban az „Elérési út” egy olyan XML-fájl elérési útja, amely a replikációs csoport nevét határozza meg. Ebben a példában az elérési út értéke „Domain System Volume”.
Az alapértelmezett hely az alábbi rejtett mappa:%systemdrive%\System Volume Information\DFSR Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
-
$db_normal$
-
FileIDTable_*
-
SimilarityTable_*
-
*.xml
-
$db_dirty$
-
$db_lost$
-
Dfsr.db
-
Fsr.chk
-
*.frx
-
*.log
-
Fsr*.jrs
-
Tmp.edb
Ha a mappák vagy fájlok bármelyikét máshová helyezi át, ellenőrizze vagy zárja ki a megfelelő összetevőket.
-
Az elosztott fájlrendszer fájljai ellenőrzésének kikapcsolása
A rendszerkötet replikakészletében kizárt erőforrásokat akkor is ki kell zárni, amikor a fájlreplikációs szolgáltatás vagy az elosztott fájlrendszer replikációs szolgáltatása segítségével a DFS-gyökérhez és a csatolási célokhoz rendelt megosztásokat replikálja Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 vagy Windows 2000 rendszerrel működő tagszámítógépen vagy tartományvezérlőn.
A DHCP-fájlok ellenőrzésének kikapcsolása
A kizárandó DHCP-fájlok alapértelmezés szerint a kiszolgáló alábbi mappájában találhatók:
%systemroot%\System32\DHCP Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
-
*.mdb
-
*.pat
-
*.log
-
*.chk
-
*.edb
A DHCP-fájlok helye megváltozhat. A kiszolgálón a DHCP-fájlok aktuális helyének meghatározásához tekintse meg a DatabasePath, DhcpLogFilePath és BackupDatabasePath paramétereket, amelyeket a következő beállításkulcs határoz meg:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
Windows Server 2008, Windows Server 2003 és Windows 2000 tartományvezérlők esetén
A DNS-fájlok ellenőrzésének kikapcsolása
A DNS alapértelmezés szerint a következő mappát használja:
%systemroot%\System32\Dns Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
-
*.log
-
*.dns
-
BOOT
WINS-fájlok ellenőrzésének kikapcsolása
A WINS alapértelmezés szerint az alábbi mappát használja:
%systemroot%\System32\Wins Zárja ki a mappában és annak almappáiban található alábbi fájlokat:
-
*.chk
-
*.log
-
*.mdb
A Windows Hyper-V alapú verzióit futtató számítógépek esetén
Egyes esetekben a telepített Hyper-V szerepkörrel rendelkező Windows Server 2008 rendszerű számítógépeken, illetve a Microsoft Hyper-V Server 2008 vagy Microsoft Hyper-V Server 2008 R2 rendszerű számítógépeken a fájlok és teljes mappák kizárásához szükséges lehet a víruskereső szoftver valós idejű keresési összetevőjének konfigurálása. A Microsoft Tudásbázis kapcsolódó cikke:
961804 A Hyper-V kezelőkonzolból virtuális gépek hiányoznak, vagy a virtuális gépek létrehozásakor vagy elindításakor a következő hibakódok egyike jelenik meg: „0x800704C8”, „0x80070037” vagy „0x800703E3” (Előfordulhat, hogy a tartalom angol nyelven érhető el)