Virusų nuskaitymo rekomendacijos kompiuteriams, kuriuose veikia šiuo metu palaikomos „Windows“ versijos

Nutrauktas „Windows XP“ palaikymas

Nuo 2014 m. balandžio 8 d. „Microsoft“ nutraukė „Windows XP“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

2015 m. liepos 14 d. buvo nutrauktas „Windows Server 2003“ palaikymas

2015 m. liepos 14 d. „Microsoft“ nutraukė „Windows Server 2003“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

ĮŽANGA
Šiame straipsnyje pateikiamos rekomendacijos, padėsiančios nustatyti galimų nesklandumų priežastis kompiuteriuose, kuriuose veikia palaikoma „Microsoft Windows“ versija, kai ji naudojama su antivirusine programine įranga „Active Directory“ domeno aplinkoje arba valdomoje įmonės aplinkoje.

Pastaba Sistemai įvertinti laikinai rekomenduojame naudoti šiuos veiksmus. Jei jūsų sistemos darbas arba stabilumas pagerėja laikantis šiame straipsnyje pateikiamų rekomendacijų, kreipkitės į savo antivirusinės programinės įrangos tiekėją, kad gautumėte nurodymų arba atnaujintą antivirusinės programinės įrangos versiją.

Svarbu Šiame straipsnyje pateikiama informacija, kaip nustatyti žemesnio apsaugos lygio parametrus arba kaip laikinai išjungti kompiuterio apsaugos funkcijas. Norėdami išsiaiškinti konkrečios problemos pobūdį, galite atlikti šiuos pakeitimus. Prieš atliekant šiuos pakeitimus, rekomenduojama įvertinti galimą šio darbo riziką konkrečioje aplinkoje. Tai atlikdami imkitės visų reikiamų veiksmų, kad apsaugotumėte kompiuterį.
DAUGIAU INFORMACIJOS

Kompiuteriams, kuriuose veikia „Windows Server 2008 R2“, „Windows Server 2008“, „Windows Server 2003“, „Windows 2000“, „Windows XP“, „Windows Vista“ arba „Windows 7“

Įspėjimas Atliekant šiuos veiksmus kompiuteris arba tinklas tampa lengviau pažeidžiami kenkėjiškų vartotojų ar kenkėjiškos programinės įrangos, pavyzdžiui, virusų. Mes ne rekomenduojame atlikti šiuos veiksmus, o informuojame apie tai, kad galėtumėte patys nuspręsti, ar juos atlikti. Šiuos veiksmus atliekate prisiimdami atsakomybę.

Pastabos
  • Neturime duomenų apie riziką neįtraukiant konkrečių šiame straipsnyje minimų failų arba aplankų į nuskaitymą, kurį atlieka antivirusinė programinė įranga. Vis dėlto jūsų sistema gali tapti saugesnė, jei į nuskaitymą įtrauksite visus failus arba aplankus.
  • Nuskaičius šiuos failus dėl užrakintų failų gali kilti su efektyvumu ir operacinės sistemos patikimumu susijusių problemų.
  • Neišskirkite jokių failų iš nurodytųjų remdamiesi failo pavadinimo plėtiniu. Pavyzdžiui, neišskirkite failų, kurių plėtinys .dit. „Microsoft“ nekontroliuoja kitų failų su tokiais pat plėtiniais – tik šiame straipsnyje minimus failus.
  • Šiame straipsnyje nurodyti failų pavadinimai ir aplankai, kurių galite neįtraukti. Visi šiame straipsnyje minimi failai ir aplankai yra apsaugoti numatytosiomis teisėmis, leidžiančiomis juos pasiekti tik SISTEMAI ir administratoriui, be to, juose yra tik operacinės sistemos komponentai. Neįtraukti visų aplankų gali būti lengviau, tačiau taip gali būti suteikta ne tiek apsaugos, kiek jos suteikiama neįtraukus konkrečių failų pagal jų pavadinimus.

Išjunkite su „Windows“ naujinimu ir automatiniu naujinimu susijusių failų nuskaitymą

  • Išjunkite „Windows“ naujinimo ir automatinio naujinimo duomenų bazės failo (Datastore.edb) nuskaitymą. Šis failas yra nurodytame aplanke:
    %windir%\SoftwareDistribution\Datastore
  • Išjunkite nuskaitymą žurnalo failuose, kurie yra toliau nurodytame aplanke:
    %windir%\SoftwareDistribution\Datastore\Logs
    Neįtraukite būtent šių failų:
    • Res*.log
    • Res*.jrs
    • Edb.chk
    • Tmp.edb
    Pakaitos simbolis (*) rodo, kad gali būti keletas failų.

Išjunkite „Windows“ saugos failų nuskaitymą

  • Toliau pateikiamus failus, esančius %windir%\Security\Database, įtraukite į išimčių sąrašą:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Pastaba Jei šių failų nebus išimčių sąraše, antivirusinė programinė įranga gali neleisti jų tinkamai pasiekti, o saugos duomenų bazės gali būti sugadintos. Nuskaičius šiuos failus gali būti neleista juos naudoti arba jiems gali būti netaikoma saugos strategija. Šiuos failus reikėtų nuskaityti, nes antivirusinė programinė įranga gali neteisingai juos laikyti patentuotos duomenų bazės failais.

Išjunkite su grupės strategija susijusių failų nuskaitymą

  • Grupės strategijos vartotojo registro informacija. Šie failai yra toliau nurodytuose aplankuose:
    %allusersprofile%\
    Neįtraukite būtent šio failo:
    NTUser.pol
  • Grupės strategijos kliento parametrų failas. Šis failas yra nurodytame aplanke:
    %Systemroot%\System32\GroupPolicy\
    Neįtraukite būtent šio failo:
    Registry.pol
Daugiau informacijos apie tai rasite spustelėję toliau pateikiamą straipsnio numerį – taip pateksite į „Microsoft“ žinių bazės straipsnį:
951059 Kompiuteryje su „Windows Server 2003“ registro strategijos parametrai vartotojui įėjus į kompiuterį netikėtai pašalinami (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)
930597 Kompiuteriuose su „Windows XP“ arba „Windows Vista“ prarandami kai kurie registro strategijos parametrai arba taikomosios programos žurnale užregistruojami klaidų pranešimai (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)

„Windows Server 2008 R2“, „Windows Server 2008“, „Windows Server 2003“ ir „Windows 2000“ domeno valdikliai

Kadangi domeno valdikliai klientams teikia svarbią paslaugą, būtina sumažinti pavojų, jog veikla bus nutraukta dėl kenkėjiško kodo, programos ar virusų. Antivirusinė programinė įranga paprastai yra tinkamas būdas sumažinti pavojų, jog bus užkrėsta virusais. Įdiekite ir sukonfigūruokite antivirusinę programinę įrangą, kad kuo labiau būtų sumažintas domeno valdikliui gresiantis pavojus ir kad našumui būtų padarytas kuo mažesnis poveikis. Toliau pateikiamame sąraše yra rekomendacijų, padėsiančių sukonfigūruoti ir įdiegti antivirusinę programinę įrangą „Windows Server 2008 R2“, „Windows Server 2008“, „Windows Server 2003“ arba „Windows 2000“ domeno valdiklyje.

Įspėjimas Rekomenduojame naudoti toliau nurodytą bandomąją konfigūraciją siekiant įsitikinti, ar jūsų aplinkoje nėra netikėtų veiksnių ir ar nepablogėja sistemos veikimo stabilumas. Neigiamas per dažno nuskaitymo poveikis yra tas, kad failai netinkamai pažymimi kaip pakeisti. Dėl to „Active Directory“ atsiranda per didelis replikacijos kiekis. Jei bandymas patvirtina, kad pateiktos rekomendacijos replikacijai poveikio neturi, antivirusinę programinę įrangą galima taikyti gamybos aplinkoje.

Pastaba Specialios antivirusinės programinės įrangos tiekėjų rekomendacijos gali pakeisti šiame straipsnyje nurodytas rekomendacijas.
  • Antivirusinė programinė įranga turi būti įdiegta visuose įmonės domeno valdikliuose. Geriausia, jei tokia programinė įranga įdiegiama visose kitose serverio ir kliento sistemose, kurios sąveikauja su domeno valdikliais. Svarbu kenkėjišką programą aptikti kuo anksčiau, pavyzdžiui, užkardoje arba kliento sistemoje, kur ji pasirodo pirmiausia. Tai neleidžia kenkėjiškai programai patekti į infrastruktūros sistemas, nuo kurių priklauso klientai.
  • Naudokite antivirusinės programinės įrangos versiją, kuri sukurta veikti su „Active Directory“ domeno valdikliais ir failams serveryje pasiekti naudoja tinkamas Taikomojo programavimo sąsajas (API). Daugelis senesnių tiekėjo programinės įrangos versijų nuskaitydamos failą netinkamai pakeičią failo metaduomenis. Dėl to failų dubliavimo tarnybos modulis aptinka failo pakeitimą ir suplanuoja failo dubliavimą. Naujesnės versijos leidžia išvengti šios problemos.Jei norite gauti daugiau informacijos, spustelėkite šį straipsnio numerį ir peržiūrėkite straipsnį „Microsoft“ žinių bazėje:
    815263 Antivirusinės, atsarginių kopijų ir disko optimizavimo programos, suderinamos su failų dubliavimo tarnyba (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)
  • Nenaudokite domeno valdiklio norėdami naršyti po internetą arba atlikti kitą veiklą, kurios metu galite susidurti su kenkėjišku kodu.
  • Rekomenduojame sumažinti darbo krūvį domeno valdikliuose. Kai įmanoma, domenų valdiklių nenaudokite kaip failų serverio. Taip sumažinamas virusų nuskaitymo veiklos kiekis bendrai naudojamų aplankų failuose ir laikas, reikalingas veiksmui atlikti.
  • „Active Directory“ arba FRS duomenų bazės ir žurnalo failų nedėkite į NTFS failų sistemos suglaudintus tomus.
    Jei norite gauti daugiau informacijos, spustelėkite šį straipsnio numerį ir peržiūrėkite straipsnį „Microsoft“ žinių bazėje:
    318116 Problemos dėl „Jet“ duomenų bazių suglaudintuose diskuose (Šis saitas gali nurodyti turinį, kuris visiškai arba iš dalies yra anglų kalba)

Išjunkite „Active Directory“ ir su „Active Directory“ susijusių failų nuskaitymą

  • Neįtraukite pagrindinės NTDS duomenų bazės failų. Šių failų vieta nurodyta šiame registro rakte:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Numatytoji vieta yra %windir%\Ntds. Neįtraukite būtent šių failų:
    Ntds.dit
    Ntds.pat
  • Neįtraukite „Active Directory“ operacijų žurnalo failų. Šių failų vieta nurodyta šiame registro rakte:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    Numatytoji vieta yra %windir%\Ntds.Neįtraukite būtent šių failų:
    • EDB*.log
    • Res*.log
    • Res*.jrs
    • Ntds.pat
    Pastaba „Windows Server 2003“ daugiau nebenaudoja Ntds.pat failo.
  • Neįtraukite failų iš NTDS darbo aplanke, kuris nurodytas toliau pateikiamame registro rakte:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Neįtraukite būtent šių failų:
    • Temp.edb
    • Edb.chk

Išjunkite SYSVOL failų nuskaitymą

  • Išjunkite failų dubliavimo tarnybos (FRS) darbo aplanko, kuris nurodomas toliau pateikiamame registro rakte, nuskaitymą:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Numatytoji vieta yra %windir%\Ntfrs. Neįtraukite toliau pateikiamų failų, kurie yra šiame aplanke:
    • edb.chk
    • Ntfrs.jdb
    • *.log
  • Išjunkite FRS duomenų bazės žurnalo failų, kurie yra nuodyti toliau pateikiame registro rakte, nuskaitymą:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Numatytoji vieta yra %windir%\Ntfrs. Neįtraukite šių failų:
    • Eedb*.log (jei registro raktas nėra nustatytas).
    • FRS Working Dir\Jet\Log\Edb*.jrs („Windows Server 2008“ ir „Windows Server 2008 R2“).
    • Edb*.jrs („Windows Server 2008“ ir „Windows Server 2008 R2“).
    Pastaba Konkrečių failų išimčių parametrai dėl išsamumo dokumentuojami čia. Pagal numatytuosius parametrus šiuos aplankus gali pasiekti tik sistema ir administratoriai. Įsitikinkite, kad įjungta reikiama apsauga. Šiuose aplankuose gali būti tik FRS ir DFSR komponentų darbo failai.
  • Išjunkite surinkimo failo, nurodyto toliau pateikiamame registro rakte, nuskaitymą.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    Pagal numatytuosius parametrus norint surinkti naudojama ši vieta:
    %systemroot%\Sysvol\Staging areas
    Neįtraukite šių failų:
    • Nntfrs_cmp*.*
  • Išjunkite Sysvol\Sysvol aplanke esančių failų nuskaitymą.

    Dabartinė Sysvol/Sysvol aplanko ir visų jo poaplankių vieta yra replikų rinkinio šakninio katalogo failų sistemos pakartotinės analizės paskirties vieta. Sysvol\Sysvol aplankas naudoja šią vietą:
    %systemroot%\Sysvol\Sysvol
    Neįtraukite toliau pateikiamų failų iš šio aplanko ir visų jo poaplankių:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Išjunkite FRS išankstinio diegimo aplanko, kuris yra toliau pateikiamoje vietoje, nuskaitymą:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Aplankas „Preinstall“ visada atviras, kai veikia FRS.

    Neįtraukite toliau pateikiamų failų iš šio aplanko ir visų jo poaplankių:
    • Ntfrs*.*
  • Išjunkite DFSR duomenų bazės ir darbo aplankų failų nuskaitymą. Vieta yra nurodyta šiame registro rakte:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    Šiame registro rakte „kelias“ yra XML failo kelias, kuris nurodo replikavimo grupės pavadinimą. Šiame pavyzdyje kelyje bus nurodytas „Domenų sistemos tomas“.

    Numatytoji vieta šiame paslėptame aplanke:
    %systemdrive%\System Volume Information\DFSR
    Neįtraukite toliau pateikiamų failų iš šio aplanko ir visų jo poaplankių:
    • $db_normal$
    • FileIDTable_2
    • SimilarityTable_2
    • *.xml
    • $db_dirty$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Jeigu vienas iš šių aplankų arba failų buvo perkeltas arba padėtas į kitą vietą, nuskaitykite arba išskirkite lygiavertį elementą.

Išjunkite DFS failų nuskaitymą

Tie patys neįtraukti SYSVOL replikos rinkinių ištekliai turi būti neįtraukti ir naudojant FRS arba DFSR bendrai naudojamiems aplankams, kurie yra susieti su DFS šakniniu katalogu ir sieja paskirties vietas „Windows Server 2008 R2“, „Windows Server 2008“, „Windows Server 2003“ arba „Windows 2000“ nario kompiuteriuose arba domenų valdikliuose, dubliuoti.

Išjunkite DHCP failų nuskaitymą

DHCP failai, kurių pagal numatytuosius parametrus reikėtų neįtraukti, yra šiame serverio aplanke:
%systemroot%\System32\DHCP
Neįtraukite toliau pateikiamų failų iš šio aplanko ir visų jo poaplankių:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
DHCP failų vietą galima keisti. Norėdami nustatyti dabartinę DHCP failų vietą serveryje, peržiūrėkite DatabasePath, DhcpLogFilePath ir BackupDatabasePath parametrus, kurie yra nurodyti toliau pateikiamame registro rakte:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

„Windows Server 2008“, „Windows Server 2003“ ir „Windows 2000“ domeno valdikliai

Išjunkite DNS failų nuskaitymą

Pagal numatytuosius nustatymus DNS naudojamas šis aplankas:
%systemroot%\System32\Dns
Neįtraukite toliau pateikiamų failų iš šio aplanko ir visų jo poaplankių:
  • *.log
  • *.dns
  • ĮKROVA

Išjunkite WINS failų nuskaitymą

Pagal numatytuosius parametrus WINS naudoja šį aplanką:
%systemroot%\System32\Wins
Neįtraukite toliau pateikiamų failų iš šio aplanko ir visų jo poaplankių:
  • *.chk
  • *.log
  • *.mdb
virus scan dc
Savybės

Straipsnio ID: 822158 – Paskutinė peržiūra: 02/08/2010 18:34:11 – Peržiūra: 13.1

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 for Itanium-Based Systems, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows XP leidimas profesionalams, Microsoft Windows XP Home Edition, Microsoft Windows XP Tablet PC Edition, Microsoft Windows XP Media Center Edition 2005 Update Rollup 2, Microsoft Windows 2000 Advanced Server (serveris), Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Server, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Enterprise, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate, Windows Server 2008 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate

  • kbinfo kbprb kbexpertiseinter kbsecurity KB822158
Atsiliepimai