マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

ウイルス対策ソフト導入前の注意点

ウイルス対策ソフトウェアの特徴

  • ウイルス対策ソフトウェアのサーバ版は、
    • よくメモリリークで他に影響を与える事例が報告されている。
    • ウイルススキャンはフィルタドライバ(カーネルモード)の仕組みを利用しているため、
      ここにバグが合った場合、ブルースクリーンで即システム停止になる可能性がある。

ということで、

ADなどの停止の影響が大きいサーバと一緒にした場合、
システムの可用性に悪影響を与える可能性があります。

  • また、
    全てのファイルをウイルススキャン対象にした方が
    ウイルス対策の観点からすれば安全ですが、
    • 一部のファイルはウイルススキャン対象から除かないと
      • 性能に影響が出る
      • または、機能に影響が出る

可能性があるようです。

e.g.

現在サポートされているバージョンの Windows を搭載している
エンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項
http://support.microsoft.com/kb/822158/ja

これらのファイルが除外されない場合、ウイルス対策ソフトウェアにより
これらのファイルへの適切なアクセスが妨害され、セキュリティ データベースが破損する可能性があります。
これらのファイルをスキャンすると、ファイルが使用できなくなったり、ファイルにセキュリティ ポリシーが適用されなくなる可能性があります。

ウイルススキャンの除外対象

以下のページには、ウイルススキャンの除外対象が纏められています。

SE の雑記

以下、上記ページの引用+αです。

  • 現在サポートされているバージョンの Windows を搭載している
    エンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項
    http://support.microsoft.com/kb/822158
    • Windows Update または自動更新の関連のファイルのスキャンを無効にする
    • Windows セキュリティ ファイルのスキャンを無効にする
    • グループ ポリシー関連のファイルのスキャンを無効にする
    • Windows Server 2008 R2、Windows Server 2008、
      Windows Server 2003、および Windows 2000 のドメイン コントローラーの場合
      • Active Directory および Active Directory 関連のファイルのスキャンを無効にする
      • SYSVOL ファイルのスキャンを無効にする
      • DFS ファイルのスキャンを無効にする
      • DHCP ファイルのスキャンを無効にする
  • Windows Server 2008、Windows Server 2003、
    および Windows 2000 のドメイン コントローラーの場合
    • DNS ファイルのスキャンを無効にする
    • WINS ファイルのスキャンを無効にする
  • Hyper-V ベース バージョンの Windows を搭載しているコンピューターの場合
    ウイルス対策ソフトウェア内のリアルタイム スキャン コンポーネントで、
    ファイルおよび全体のフォルダーが除外されるように構成することが必要な場合があります。
    • 仮想マシンを起動または作成しようとすると、仮想マシンが見つからないか、
      エラー 0x800704C8、0x80070037、または 0x800703E3 が表示される
      http://support.microsoft.com/kb/961804/ja

Microsoft Critical Response Team For Platform Official Blog

アンチウイルス スキャン対象から除外したいファイルやフォルダ
http://blogs.technet.com/b/jpepscrt/archive/2010/04/28/3328757.aspx

  • Windows 7 クライアント
  • Windows Server 2008 / 2008 R2 メンバー サーバー
    • Hyper-V サービスが稼動している場合
  • Windows Server 2008 / 2008 R2 ドメイン コントローラー

ミドルウェア毎

Active Directory (AD / AD DS)

ファイル レプリケーション サービスと互換性がある
ウイルス対策、バックアップ、およびディスク最適化プログラム
http://support.microsoft.com/kb/815263

一部のディスク最適化プログラム、ファイル システム バックアップ プログラム、およびウイルス対策プログラムは、
ファイル システムのファイル、フォルダ、またはメタデータを変更します。これらの変更によって、
NTFS ファイル システムで FRS レプリケーションを開始する "closed file" イベントが発生する場合があります。

  • ファイルの変更が行われていないにもかかわらず、Sysvol および DFS 共有のファイルがレプリケートされます。
  • レプリケーション パートナー間のネットワーク トラフィックによって、
    ネットワーク帯域幅が大幅に消費されます。このとき、原因となるサービスは FRS です。

SQL Server

SQL Server を実行しているコンピュータ上で
実行するウイルス対策ソフトウェアを選択するためのガイドライン
http://support.microsoft.com/kb/309422/ja

ウイルス対策ソフトウェアの設定を構成する場合、
次のファイルまたはディレクトリ (該当する場合) をスキャンリストから除外するかどうかを確認します。
これはパフォーマンスを向上、パフォーマンスを改善し、SQL Serverサービスがそれらを
使用しなければならない場合にファイルがロックされないことを確かにすることを支援します。
ただし、これらのファイルに感染すると、ウイルス対策ソフトウェアは、感染を検出できません。

IIS

圧縮が有効になっている場合は、0 バイトのファイルを
返すことができます上の IIS を実行しているサーバー
http://support.microsoft.com/kb/817442

ウイルス対策ソフトウェアを実行し、HTTP圧縮を有効にして対象のディレクトリを
スキャンすることによりHTTP要求から予測されるファイルではなく0バイトのファイルが返される。
対策として、ウイルス対策ソフトウェアのスキャンリストから、IIS の圧縮ディレクトリを除外する。

WSFC

WSFC: クラスタ環境でのウィルス スキャンの除外設定について
http://blogs.technet.com/b/askcorejp/archive/2010/06/10/wsfc.aspx

  • クラスタ環境においては、リソースの状態や、グループの構成など
    クラスタの構成情報に変更があった場合は、速やかにクラスタ内のノードに対して、情報の同期が行われます。
  • しかしながら、情報の同期が行われる際に、ウイルス対策ソフトウェアによりクラスタの構成情報を保持している
    フォルダー内でスキャンが行われていると、更新されるべきクラスタ関連のファイルがロックされ、
    クラスタサービスによるファイルへの適切なアクセスが妨害される場合があります。
  • このような状況が発生した場合、ノード間の情報の同期が正常に行われないため、異常が検知され、
    フェールオーバーが発生したり、クラスタサービスの起動に失敗するなどの現象が発生いたします。
  • そのため、ご利用されているクラスタ環境のクォーラム構成のタイプに応じて、クラスタの構成情報が保持されている
    以下のフォルダーに関しましては、ウィルス スキャンの対象から除外されることを推奨いたします。

Hyper-V

以下はHyper-Vホスト上でスキャン対象外にする。

  • 既定の仮想マシン構成ディレクトリ
    • C:\ProgramData?\Microsoft\Windows\Hyper-V
  • カスタムの仮想マシン構成ディレクトリ
  • 既定のVHDディレクトリ
    • C:\Users\Public\Documents\Hyper-V\Virtual hard disks
  • カスタムのVHDディレクトリ
  • CSVパス
    • C:\ClusterStorage? とその全てのサブ・ディレクトリ
  • スナップショット・ディレクトリ(チェックポイント・ディレクトリ)
  • Vmms.exe
    • VMのマネージメントサービス
  • Vmwp.exe
    • VMのワーカプロセス

VHDやパススルーディスクに対するセキュリティ対策はゲストOS側から行う。
#ただし、AV(AntiVirus?)ストームの発生に注意すること。

, etc, etc.

ミドルウェア製品別のウイルス対策ソフトウェア

上記の様に、
ミドルウェア等によってウィルス スキャンからの除外対象等があるので
ミドルウェア製品別のウイルス対策ソフトウェアもリリースされています。

SharePoint

  • 以下はSharePoint用のウイルス対策ソフトウェアになります。
  • SharePointSharePoint Services Virus Scan Engine APIというアーキテクチャを提供しており、
    ウイルス対策ソフトウェア開発ベンダはSharePointが提供するAntivirus Manager (AVM)から呼び出されるVirus Scan Engine (VSE)を
    実装することでVSEが直接データベースを読み込む必要が無くなります(VSEは、COMとして公開されるSP VS APIを実装する)。
    Exchangeでも同様のExchange VS APIというアーキテクチャが提供されているため、同様にExchange用ウイルス対策ソフトウェアが存在します。

ウイルス対策ソフト

Windows Defender ウイルス対策

Windows 10

  • Windows 10では、Windows Defender ウイルス対策が既定で有効でオフにしてもオンになる。

Windows Server 2016

  • Windows Server 2016 TP4以降、
    • 既定でGUIもインストールされる。
    • Automatic exclusions(自動例外)機能が追加されて、既定で有効。

共通

問題発生時事例

ブルースクリーン

Symantec Endpoint Protectionをインストールしたら、
ライトシールドPCがブルースクリーンを頻発し、不安定になった。

インターネット検索でもさまざまな情報を確認できます。

McAfee? ScriptScan?が遅い

  • VirusScan?エンタープライズ(VSE)がScriptScan?コンポーネントでインストールされる場合、
    それは入って来るスクリプトとWindowsスクリプティング・ホストの間に代理を挿入します。
    これにより、スクリプトを含むWebページ、Webアプリケーションの性能が劣化する場合があります。
  • イントラネット内のサイト、頻繁に使用し、安全と知っているサイトのような
    信頼されたウェブサイトのURLをホワイトリストに載せることができます。

Tags: :セキュリティ


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-02-08 (木) 18:24:10 (435d)