「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
ウイルス対策ソフト導入前の注意点 †
障害の原因になる †
- ウイルス対策ソフトウェアのサーバ版は、
- よくメモリリークで他に影響を与える事例が報告されている。
- ウイルススキャンはフィルタドライバ(カーネルモード)の仕組みを利用しているため、
ここにバグが合った場合、ブルースクリーンで即システム停止になる可能性がある。
ということで、
ADなどの停止の影響が大きいサーバと一緒にした場合、
システムの可用性に悪影響を与える可能性があります。
- また、
全てのファイルをウイルススキャン対象にした方が
ウイルス対策の観点からすれば安全ですが、
- 一部のファイルはウイルススキャン対象から除かないと
可能性があるようです。
推奨事項(除外設定) †
現在サポートされているバージョンの Windows を搭載している
エンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項
http://support.microsoft.com/kb/822158/ja
これらのファイルが除外されない場合、ウイルス対策ソフトウェアにより
これらのファイルへの適切なアクセスが妨害され、セキュリティ データベースが破損する可能性があります。
これらのファイルをスキャンすると、ファイルが使用できなくなったり、ファイルにセキュリティ ポリシーが適用されなくなる可能性があります。
ウイルススキャンの除外対象 †
以下のページには、ウイルススキャンの除外対象が纏められています。
SE の雑記 †
以下、上記ページの引用+αです。
- 現在サポートされているバージョンの Windows を搭載している
エンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項
http://support.microsoft.com/kb/822158
- Windows Update または自動更新の関連のファイルのスキャンを無効にする
- Windows セキュリティ ファイルのスキャンを無効にする
- グループ ポリシー関連のファイルのスキャンを無効にする
- Windows Server 2008 R2、Windows Server 2008、
Windows Server 2003、および Windows 2000 のドメイン コントローラーの場合
- Active Directory および Active Directory 関連のファイルのスキャンを無効にする
- SYSVOL ファイルのスキャンを無効にする
- DFS ファイルのスキャンを無効にする
- DHCP ファイルのスキャンを無効にする
- Windows Server 2008、Windows Server 2003、
および Windows 2000 のドメイン コントローラーの場合
- DNS ファイルのスキャンを無効にする
- WINS ファイルのスキャンを無効にする
- Hyper-V ベース バージョンの Windows を搭載しているコンピューターの場合
ウイルス対策ソフトウェア内のリアルタイム スキャン コンポーネントで、
ファイルおよび全体のフォルダーが除外されるように構成することが必要な場合があります。
Microsoft ... Official Blog †
- Windows 7 クライアント
- Windows Server 2008 / 2008 R2 メンバー サーバー
- Windows Server 2008 / 2008 R2 ドメイン コントローラー
ミドルウェア毎 †
Active Directory (AD / AD DS) †
ファイル レプリケーション サービスと互換性がある
ウイルス対策、バックアップ、およびディスク最適化プログラム
http://support.microsoft.com/kb/815263
一部のディスク最適化プログラム、ファイル システム バックアップ プログラム、およびウイルス対策プログラムは、
ファイル システムのファイル、フォルダ、またはメタデータを変更します。これらの変更によって、
NTFS ファイル システムで FRS レプリケーションを開始する "closed file" イベントが発生する場合があります。
- ファイルの変更が行われていないにもかかわらず、Sysvol および DFS 共有のファイルがレプリケートされます。
- レプリケーション パートナー間のネットワーク トラフィックによって、
ネットワーク帯域幅が大幅に消費されます。このとき、原因となるサービスは FRS です。
SQL Server †
SQL Server を実行しているコンピュータ上で
実行するウイルス対策ソフトウェアを選択するためのガイドライン
http://support.microsoft.com/kb/309422/ja
ウイルス対策ソフトウェアの設定を構成する場合、
次のファイルまたはディレクトリ (該当する場合) をスキャンリストから除外するかどうかを確認します。
これはパフォーマンスを向上、パフォーマンスを改善し、SQL Serverサービスがそれらを
使用しなければならない場合にファイルがロックされないことを確かにすることを支援します。
ただし、これらのファイルに感染すると、ウイルス対策ソフトウェアは、感染を検出できません。
IIS †
圧縮が有効になっている場合は、0 バイトのファイルを
返すことができます上の IIS を実行しているサーバー
http://support.microsoft.com/kb/817442
ウイルス対策ソフトウェアを実行し、HTTP圧縮を有効にして対象のディレクトリを
スキャンすることによりHTTP要求から予測されるファイルではなく0バイトのファイルが返される。
対策として、ウイルス対策ソフトウェアのスキャンリストから、IIS の圧縮ディレクトリを除外する。
WSFC †
WSFC: クラスタ環境でのウィルス スキャンの除外設定について
http://blogs.technet.com/b/askcorejp/archive/2010/06/10/wsfc.aspx
- クラスタ環境においては、リソースの状態や、グループの構成など
クラスタの構成情報に変更があった場合は、速やかにクラスタ内のノードに対して、情報の同期が行われます。
- しかしながら、情報の同期が行われる際に、ウイルス対策ソフトウェアによりクラスタの構成情報を保持している
フォルダー内でスキャンが行われていると、更新されるべきクラスタ関連のファイルがロックされ、
クラスタサービスによるファイルへの適切なアクセスが妨害される場合があります。
- このような状況が発生した場合、ノード間の情報の同期が正常に行われないため、異常が検知され、
フェールオーバーが発生したり、クラスタサービスの起動に失敗するなどの現象が発生いたします。
- そのため、ご利用されているクラスタ環境のクォーラム構成のタイプに応じて、クラスタの構成情報が保持されている
以下のフォルダーに関しましては、ウィルス スキャンの対象から除外されることを推奨いたします。
Hyper-V †
以下はHyper-Vホスト上でスキャン対象外にする。
- 既定の仮想マシン構成ディレクトリ
- C:\ProgramData?\Microsoft\Windows\Hyper-V
- 既定のVHDディレクトリ
- C:\Users\Public\Documents\Hyper-V\Virtual hard disks
- CSVパス
- C:\ClusterStorage? とその全てのサブ・ディレクトリ
- スナップショット・ディレクトリ(チェックポイント・ディレクトリ)
#VHDやパススルーディスクに対するセキュリティ対策はゲストOS側から行う。
#ただし、AV(AntiVirus?)ストームの発生に注意すること。
, etc, etc. †
ミドルウェア製品別の専用対策ソフト †
上記の様に、
ミドルウェア等によってウィルス スキャンからの除外対象等があるので
ミドルウェア製品別の専用ソフトウェアもリリースされています。
- SharePointはSharePoint Services Virus Scan Engine APIというアーキテクチャを提供しており、
ウイルス対策ソフトウェア開発ベンダはSharePointが提供するAntivirus Manager (AVM)から呼び出されるVirus Scan Engine (VSE)を
実装することでVSEが直接データベースを読み込む必要が無くなります(VSEは、COMとして公開されるSP VS APIを実装する)。
Exchangeでも同様のExchange VS APIというアーキテクチャが提供されているため、同様にExchange用ウイルス対策ソフトウェアが存在します。
, etc, etc. †
一般的なウイルス対策ソフト †
Windows (Windows Defender †
Windows 10 †
- Windows 10では、Windows Defenderが既定で有効でオフにしてもオンになる。
Windows Server 2016 †
- Windows Server 2016 TP4以降、
- 既定でGUIもインストールされる。
- Automatic exclusions(自動例外)機能が追加されて、既定で有効。
共通 †
, etc, etc. †
問題発生時事例 †
誤検知 †
誤検知の発生時の製品毎の対応例(基本的にベンダに連絡らしい)。
製品によっては、コード署名をすると、誤検知の可能性が減るらしい。
性能劣化 †
フィルタ・ドライバ処理のオーバーヘッドで、
特に大量データ処理やバックアップ処理に影響を与える。
ブルー・スクリーン †
- フィルタ・ドライバ処理のバグはブルー・スクリーンになる。
- インターネット検索でもさまざまな情報を確認できる。
McAfee? ScriptScan?が遅い †
- VirusScan?エンタープライズ(VSE)がScriptScan?コンポーネントでインストールされる場合、
それは入って来るスクリプトとWindowsスクリプティング・ホストの間に代理を挿入します。
これにより、スクリプトを含むWebページ、Webアプリケーションの性能が劣化する場合があります。
- イントラネット内のサイト、頻繁に使用し、安全と知っているサイトのような
信頼されたウェブサイトのURLをホワイトリストに載せることができます。
Tags: :セキュリティ