Víruskereséssel kapcsolatos ajánlások a Windows jelenleg támogatott verzióival működő vállalati számítógépekhez

Információk otthoni felhasználók számára

A víruskeresésről szóló további információkért és a felhasználóknak szóló ajánlásokért látogassa meg a Microsoft következő webhelyét:

http://windows.microsoft.com/hu-hu/windows-vista/Viruses-frequently-asked-questions

BEVEZETÉS

A cikkben ismertetett javaslatok segítséget nyújtanak a rendszergazdáknak az esetleges instabilitás okának meghatározásához a Microsoft Windows támogatott verziójával működő, Active Directory-tartományi környezetben vagy felügyelt vállalati környezetben található, víruskereső szoftvert használó számítógépeken.


Megjegyzés: A cikkben ismertetett lépéseket javasolt ideiglenesen alkalmazni a rendszer tesztelése céljából. Ha a rendszer teljesítménye vagy stabilitása a cikkben szereplő javaslatok hatására javul, lépjen kapcsolatba a víruskereső szoftver gyártójával további utasításokért, illetve a víruskereső szoftver újabb változatának beszerzéséhez.


Fontos: A cikkben szereplő információk segítségével a számítógépen alacsonyabb szintű biztonsági beállításokat adhat meg, illetve ideiglenesen kikapcsolhatja a biztonsági szolgáltatásokat. Ezek a módosítások a probléma jellegének megismeréséhez szükségesek, előtte azonban célszerű mérlegelni a probléma ilyen módon történő megoldásával járó kockázatokat az adott környezetben. A cikkben tárgyalt kerülő megoldás választása esetén gondoskodjon a számítógép védelméről.

További információ

Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista és Windows 7 rendszerű számítógépek esetén

Figyelmeztetés: Ez a kerülő megoldás védtelenebbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók és a kártevő szoftverek – például a vírusok – támadásaival szemben. Az eljárás végrehajtása ugyan nem javasolt, de az információt rendelkezésére bocsátjuk, hogy belátása szerint dönthessen. Az alábbi megoldást csak saját felelősségére alkalmazhatja.

Megjegyzések

  • Nincs arra vonatkozó információ, hogy milyen kockázattal jár, ha a cikkben említett fájlokon és mappákon nem hajtja végre a víruskereső szoftver által végzett vizsgálatot. A rendszer azonban biztonságosabb lesz, ha az ellenőrzést minden fájlon és mappán végrehajtja.

  • A fájlok ellenőrzésekor egyes fájlok zárolása miatt a teljesítménnyel és az operációs rendszer megbízhatóságával kapcsolatos problémák merülhetnek fel.

  • A fájlnév kiterjesztése alapján ne zárjon ki fájlokat. Ne zárja ki például az összes .dit kiterjesztésű fájlt. A Microsoft nem tudja ellenőrizni a cikkben ismertetett fájlokkal megegyező kiterjesztéssel rendelkező más fájlokat.

  • A cikkben a kizárható fájlok és mappák neve is szerepel. A cikkben ismertetett összes fájlra és mappára alapértelmezett jogosultságok vonatkoznak, így azokhoz csak SYSTEM és Rendszergazdák fiókkal lehet hozzáférni, és csak operációsrendszer-összetevőket tartalmaznak. Egy egész mappa kizárása egyszerűbb lehet, de valószínűleg nem nyújt akkora védelmet, mint adott fájlok kizárása a fájlnév alapján.

A „tmp.edb” nevű Microsoft Forefront-fájl ellenőrzésének kikapcsolása

  • Ha a Forefront alkalmazást használja, kapcsolja ki a Forefront-adatbázisfájl (tmp.edb) ellenőrzését. Ez a fájl a következő mappában található:

    %windir%\SoftwareDistribution\Datastore

  • Kapcsolja ki a következő mappában található naplófájlok ellenőrzését:

    %ProgramData%\Microsoft\Search\Data\Applications\Windows

A Windows Update vagy az Automatikus frissítések szolgáltatáshoz kapcsolódó fájlok ellenőrzésének kikapcsolása

  • Kapcsolja ki a Windows Update és az Automatikus frissítések adatbázisfájljának (Datastore.edb) ellenőrzését. Ez a fájl a következő mappában található:

    %windir%\SoftwareDistribution\Datastore

  • Kapcsolja ki a következő mappában található naplófájlok ellenőrzését:

    %windir%\SoftwareDistribution\Datastore\Logs Zárja ki az alábbi fájlokat:

    • Res*.log

    • Edb*.jrs

    • Edb.chk

    • Tmp.edb

    A helyettesítő karakter (*) azt jelenti, hogy több fájl is lehet.

A Windows biztonsági fájljai ellenőrzésének kikapcsolása

  • Adja hozzá az alábbi fájlokat a kizárási lista %windir%\Security\Database elérési útjához:

    • *.edb

    • *.sdb

    • *.log

    • *.chk

    • *.jrs

    Megjegyzés: Ha ezeket a fájlokat nem zárja ki, a víruskereső szoftver megakadályozhatja a hozzáférést ezekhez a fájlokhoz, és a biztonsági adatbázisok megsérülhetnek. A fájlok ellenőrzésével megakadályozhatja a fájlok használatát, illetve azt, hogy azokra a rendszer biztonsági házirendet alkalmazzon. Ezeket a fájlokat nem kell ellenőrizni, mert előfordulhat, hogy a víruskereső szoftver azokat nem megfelelő adatbázisfájlként kezelné.

A csoportházirendhez kapcsolódó fájlok ellenőrzésének kikapcsolása

  • A csoportházirend felhasználói beállításjegyzékkel kapcsolatos adatai. Ezek a fájlok a következő mappában találhatók:

    %allusersprofile%\ Zárja ki az alábbi fájlt:

    NTUser.pol

  • A csoportházirend ügyfélbeállításait tartalmazó fájl. Ez a fájl a következő mappában található:

    %Systemroot%\System32\GroupPolicy\ Zárja ki az alábbi fájlt:

    Registry.pol

További információkért kattintson az alábbi cikkszámokra a Microsoft Tudásbázis megfelelő cikkeinek megtekintéséhez:

951059 A felhasználók Windows Server 2003 rendszerű számítógépre történő bejelentkezése után a rendszer váratlanul eltávolítja a beállításjegyzéken alapuló házirend-beállításokat (Előfordulhat, hogy a tartalom angol nyelven érhető el)

930597 Windows XP vagy Windows Vista rendszerű számítógépen elvesznek a beállításjegyzéken alapuló egyes házirend-beállítások, és a rendszer hibaüzenetet rögzít az alkalmazásnaplóban (Előfordulhat, hogy a tartalom angol nyelven érhető el)

Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 és Windows 2000 rendszerű tartományvezérlők esetén

Mivel a tartományvezérlők fontos szolgáltatást nyújtanak az ügyfeleknek, a rosszindulatú kódból, kártevőből és vírusból eredő működési zavarok lehetőségét minimálisra kell csökkenteni. A víruskereső szoftverek a vírusfertőzések kockázatának csökkentésére szolgáló általánosan elfogadott eszközök. Ha telepíti és konfigurálja a víruskereső szoftvert, a tartományvezérlővel kapcsolatos kockázat a lehető legkisebb mértékű lesz, és a teljesítményt a lehető legkisebb mértékben érinti. Az alábbi listában a víruskereső szoftver Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 és Windows 2000 rendszerű tartományvezérlőn való konfigurálásával és telepítésével kapcsolatos javaslatokat talál.

Figyelmeztetés: Javasolt az alábbi beállításokat egy tesztkonfiguráción megadni, így ellenőrizheti, hogy az adott környezetben nem okoz váratlan eseményeket, és nem veszélyezteti a rendszer stabilitását. A túl gyakori ellenőrzés hátránya, hogy a rendszer a fájlokat helytelenül módosítottként jelöli meg. Ez felesleges replikációt okoz az Active Directory címtárban. Ha a teszt eredménye az, hogy az alábbi javaslatok nem érintik a replikációt, a víruskereső szoftvert alkalmazhatja az adott környezetre.


Megjegyzés: A víruskereső szoftver gyártója által megadott javaslatok felülbírálhatják a cikkben szereplő javaslatokat.

  • A víruskereső szoftvert a cég minden tartományvezérlőjére telepíteni kell. A legcélszerűbb, ha a víruskereső szoftvert a tartományvezérlővel kommunikáló összes kiszolgálóra és ügyfélre telepíti. Fontos, hogy a kártevőt a rendszer a lehető legkorábban felfedezze (például a tűzfalon vagy az ügyfélszámítógépen, amelyen a kártevő először megjelenik). Így megelőzhető, hogy a kártevő megjelenjen azokon a magasabb szintű rendszereken, amelyeket az ügyfélszámítógép használ.

  • A víruskereső program olyan verzióját használja, amelyet az Active Directory tartományvezérlőivel való használatra terveztek, és amely a megfelelő alkalmazásprogramozási felületeket (API) használja a kiszolgálón található fájlokhoz való hozzáféréshez. A legtöbb szoftver régebbi verziói az ellenőrzéskor nem megfelelően módosítják a fájl metaadatait. Ennek eredményeként a fájlreplikációs szolgáltatás fájlmódosítást észlel, és a fájlt ütemezi replikálásra. Az újabb verziók nem követik el ezt a hibát.
    A Microsoft Tudásbázis kapcsolódó cikke:

    815263A fájlreplikációs szolgáltatással kompatibilis víruskereső, biztonságimásolat-készítő és lemezoptimalizáló programok (Előfordulhat, hogy a tartalom angol nyelven érhető el)

  • A tartományvezérlőt ne használja webböngészésre vagy más olyan tevékenységre, amely rosszindulatú kód megjelenését teszi lehetővé.

  • A tartományvezérlők terhelését javasolt minimalizálni. Ha lehetséges, a tartományvezérlőt ne használja fájlkiszolgálóként. Ezzel csökkenthető a víruskeresések száma a fájlmegosztásokon, és így minimalizálhatók a teljesítménnyel kapcsolatos ráfordítások.

  • Az Active Directory címtárat és a fájlreplikációs szolgáltatás adatbázisát és naplófájljait ne helyezze NTFS fájlrendszer tömörített kötetére.

    A Microsoft Tudásbázis kapcsolódó cikke:

    318116A tömörített meghajtókon elhelyezett Jet-adatbázisokkal kapcsolatos problémák (Előfordulhat, hogy a tartalom angol nyelven érhető el)

Az Active Directory és az ahhoz kapcsolódó fájlok ellenőrzésének kikapcsolása

  • Zárja ki a fő NTDS-adatbázisfájlokat. A fájlok helyét a következő beállításkulcs határozza meg:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Az alapértelmezett hely: %windir%\Ntds. Zárja ki az alábbi fájlokat:

    Ntds.dit

    Ntds.pat

  • Zárja ki az Active Directory tranzakciós naplófájljait. A fájlok helyét a következő beállításkulcs határozza meg:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Az alapértelmezett hely: %windir%\Ntds. Zárja ki az alábbi fájlokat:

    • EDB*.log

    • Res*.log

    • Edb*.jrs

    • Ntds.pat

    Megjegyzés: A Windows Server 2003 már nem használja az Ntds.pat fájlt.

  • Zárja ki a fájlokat az NTDS munkamappájában, amelyet a következő beállításkulcs határoz meg:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Zárja ki az alábbi fájlokat:

    • Temp.edb

    • Edb.chk

A rendszerkötet fájljai ellenőrzésének kikapcsolása

  • Kapcsolja ki a fájlok ellenőrzését a fájlreplikációs szolgáltatás (FRS) munkamappájában, amelyet a következő beállításkulcs határoz meg:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Az alapértelmezett hely: %windir%\Ntfrs. Zárja ki a mappában található alábbi fájlokat:


    • edb.chk a %windir%\Ntfrs\jet\sys mappában

    • Ntfrs.jdb a %windir%\Ntfrs\jet mappában

    • *.log a %windir%\Ntfrs\jet\log mappában

  • Kapcsolja ki a fájlreplikációs szolgáltatás adatbázisnapló-fájljainak ellenőrzését, amelyeket a következő beállításkulcs határoz meg:

    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Az alapértelmezett hely: %windir%\Ntfrs. Zárja ki az alábbi fájlokat:


    • Edb*.log (ha a beállításkulcs nincs beállítva).

    • Fájlreplikációs szolgáltatás munkakönyvtára\Jet\Log\Edb*.jrs (Windows Server 2008 és Windows Server 2008 R2 esetén)

    Megjegyzés: Az egyes fájlkizárások összes beállítása megtalálható itt. Ezekhez a mappákhoz alapértelmezés szerint csak SYSTEM és Rendszergazdák fiókkal lehet hozzáférni. Ellenőrizze, hogy a megfelelő védelmet alkalmazza-e. Ezek a mappák csak a fájlreplikációs szolgáltatás és az elosztott fájlrendszer replikációs szolgáltatása összetevőinek munkafájljait tartalmazzák.

  • Kapcsolja ki az átmeneti mappa ellenőrzését, amelyet a következő beállításkulcs határoz meg:

    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
    Az átmeneti mappa alapértelmezés szerint a következő helyen található:

    %systemroot%\Sysvol\Staging areas Zárja ki az alábbi fájlokat:

    • Nntfrs_cmp*.*

  • Kapcsolja ki a Sysvol\Sysvol mappában található fájlok ellenőrzését.

    A Sysvol\Sysvol mappa aktuális helye a fájlrendszer újraelemzési célhelye a replikakészletek gyökeréhez. A Sysvol\Sysvol mappa az alábbi helyen található:

    %systemroot%\Sysvol\Domain Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

    • *.adm

    • *.admx

    • *.adml

    • Registry.pol

    • *.aas

    • *.inf

    • Fdeploy.inf

    • Scripts.ini

    • *.ins

    • Oscfilter.ini

  • Kapcsolja ki a fájlok ellenőrzését a fájlreplikációs szolgáltatás előtelepítési mappájában, amely a következő helyen található:

    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory Ha a fájlreplikációs szolgáltatás fut, az előtelepítési mappa mindig meg van nyitva.


    Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

    • Ntfrs*.*

  • Kapcsolja ki az elosztott fájlrendszer replikációs szolgáltatása adatbázis- és munkamappáiban található fájlok ellenőrzését. A helyet az alábbi beállításkulcs határozza meg:

    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path > Ebben a beállításkulcsban az „Elérési út” egy olyan XML-fájl elérési útja, amely a replikációs csoport nevét határozza meg. Ebben a példában az elérési út értéke „Domain System Volume”.

    Az alapértelmezett hely az alábbi rejtett mappa:

    %systemdrive%\System Volume Information\DFSR Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

    • $db_normal$

    • FileIDTable_*

    • SimilarityTable_*

    • *.xml

    • $db_dirty$

    • $db_lost$

    • Dfsr.db

    • Fsr.chk

    • *.frx

    • *.log

    • Fsr*.jrs

    • Tmp.edb

    Ha a mappák vagy fájlok bármelyikét máshová helyezi át, ellenőrizze vagy zárja ki a megfelelő összetevőket.

Az elosztott fájlrendszer fájljai ellenőrzésének kikapcsolása

A rendszerkötet replikakészletében kizárt erőforrásokat akkor is ki kell zárni, amikor a fájlreplikációs szolgáltatás vagy az elosztott fájlrendszer replikációs szolgáltatása segítségével a DFS-gyökérhez és a csatolási célokhoz rendelt megosztásokat replikálja Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 vagy Windows 2000 rendszerrel működő tagszámítógépen vagy tartományvezérlőn.

A DHCP-fájlok ellenőrzésének kikapcsolása

A kizárandó DHCP-fájlok alapértelmezés szerint a kiszolgáló alábbi mappájában találhatók:

%systemroot%\System32\DHCP Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

  • *.mdb

  • *.pat

  • *.log

  • *.chk

  • *.edb

A DHCP-fájlok helye megváltozhat. A kiszolgálón a DHCP-fájlok aktuális helyének meghatározásához tekintse meg a DatabasePath, DhcpLogFilePath és BackupDatabasePath paramétereket, amelyeket a következő beállításkulcs határoz meg:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Windows Server 2008, Windows Server 2003 és Windows 2000 tartományvezérlők esetén

A DNS-fájlok ellenőrzésének kikapcsolása

A DNS alapértelmezés szerint a következő mappát használja:

%systemroot%\System32\Dns Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

  • *.log

  • *.dns

  • BOOT

WINS-fájlok ellenőrzésének kikapcsolása

A WINS alapértelmezés szerint az alábbi mappát használja:

%systemroot%\System32\Wins Zárja ki a mappában és annak almappáiban található alábbi fájlokat:

  • *.chk

  • *.log

  • *.mdb

A Windows Hyper-V alapú verzióit futtató számítógépek esetén

Egyes esetekben a telepített Hyper-V szerepkörrel rendelkező Windows Server 2008 rendszerű számítógépeken, illetve a Microsoft Hyper-V Server 2008 vagy Microsoft Hyper-V Server 2008 R2 rendszerű számítógépeken a fájlok és teljes mappák kizárásához szükséges lehet a víruskereső szoftver valós idejű keresési összetevőjének konfigurálása. A Microsoft Tudásbázis kapcsolódó cikke:

961804 A Hyper-V kezelőkonzolból virtuális gépek hiányoznak, vagy a virtuális gépek létrehozásakor vagy elindításakor a következő hibakódok egyike jelenik meg: „0x800704C8”, „0x80070037” vagy „0x800703E3” (Előfordulhat, hogy a tartalom angol nyelven érhető el)

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Köszönjük visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×