「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>インフラストラクチャ]] * 目次 [#j945cff5] #contents *ウイルス対策ソフト導入前の注意点 [#da832224] **障害の原因になる [#w29094f0] -ウイルス対策ソフトウェアのサーバ版は、 --よくメモリリークで他に影響を与える事例が報告されている。 --ウイルススキャンはフィルタドライバ(カーネルモード)の仕組みを利用しているため、~ ここにバグが合った場合、ブルースクリーンで即システム停止になる可能性がある。 >ということで、~ ~ ADなどの停止の影響が大きいサーバと一緒にした場合、~ システムの可用性に悪影響を与える可能性があります。 -また、~ 全てのファイルをウイルススキャン対象にした方が~ ウイルス対策の観点からすれば安全ですが、 --一部のファイルはウイルススキャン対象から除かないと ---性能に影響が出る ---または、機能に影響が出る >可能性があるようです。 **推奨事項(除外設定) [#e033bb19] 現在サポートされているバージョンの Windows を搭載している~ エンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項~ http://support.microsoft.com/kb/822158/ja >これらのファイルが除外されない場合、ウイルス対策ソフトウェアにより~ これらのファイルへの適切なアクセスが妨害され、セキュリティ データベースが破損する可能性があります。~ これらのファイルをスキャンすると、ファイルが使用できなくなったり、ファイルにセキュリティ ポリシーが適用されなくなる可能性があります。~ *ウイルススキャンの除外対象 [#rcfd49c8] 以下のページには、ウイルススキャンの除外対象が纏められています。 **SE の雑記 [#abf63c41] -Microsoft 製品のウイルススキャンの除外対象について ? SE の雑記~ http://engineermemo.wordpress.com/2010/03/06/microsoft-%E8%A3%BD%E5%93%81%E3%81%AE%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%82%B9%E3%82%AD%E3%83%A3%E3%83%B3%E3%81%AE%E9%99%A4%E5%A4%96%E5%AF%BE%E8%B1%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/~ 以下、上記ページの引用+αです。~ -現在サポートされているバージョンの Windows を搭載している~ エンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項~ http://support.microsoft.com/kb/822158 --Windows Update または自動更新の関連のファイルのスキャンを無効にする --Windows セキュリティ ファイルのスキャンを無効にする --グループ ポリシー関連のファイルのスキャンを無効にする --Windows Server 2008 R2、Windows Server 2008、~ Windows Server 2003、および Windows 2000 のドメイン コントローラーの場合 ---Active Directory および Active Directory 関連のファイルのスキャンを無効にする ---SYSVOL ファイルのスキャンを無効にする ---DFS ファイルのスキャンを無効にする ---DHCP ファイルのスキャンを無効にする --Windows Server 2008、Windows Server 2003、~ および Windows 2000 のドメイン コントローラーの場合 ---DNS ファイルのスキャンを無効にする ---WINS ファイルのスキャンを無効にする --Hyper-V ベース バージョンの Windows を搭載しているコンピューターの場合~ ウイルス対策ソフトウェア内のリアルタイム スキャン コンポーネントで、~ ファイルおよび全体のフォルダーが除外されるように構成することが必要な場合があります。 ---仮想マシンを起動または作成しようとすると、仮想マシンが見つからないか、~ エラー 0x800704C8、0x80070037、または 0x800703E3 が表示される~ http://support.microsoft.com/kb/961804/ja **Microsoft ... Official Blog [#p1c56257] -アンチウイルス スキャン対象から除外したいファイルやフォルダ~ http://blogs.technet.com/b/jpepscrt/archive/2010/04/28/3328757.aspx --Windows 7 クライアント --Windows Server 2008 / 2008 R2 メンバー サーバー --Windows Server 2008 / 2008 R2 ドメイン コントローラー -現在サポートされているバージョンの Windows を搭載している~ エンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項~ https://support.microsoft.com/ja-jp/help/822158/virus-scanning-recommendations-for-enterprise-computers **ミドルウェア毎 [#x31edb74] ***Active Directory (AD / AD DS) [#m7ad8517] ファイル レプリケーション サービスと互換性がある~ ウイルス対策、バックアップ、およびディスク最適化プログラム~ http://support.microsoft.com/kb/815263 >一部のディスク最適化プログラム、ファイル システム バックアップ プログラム、およびウイルス対策プログラムは、~ ファイル システムのファイル、フォルダ、またはメタデータを変更します。これらの変更によって、~ NTFS ファイル システムで FRS レプリケーションを開始する "closed file" イベントが発生する場合があります。 -ファイルの変更が行われていないにもかかわらず、Sysvol および DFS 共有のファイルがレプリケートされます。 -レプリケーション パートナー間のネットワーク トラフィックによって、~ ネットワーク帯域幅が大幅に消費されます。このとき、原因となるサービスは FRS です。 ***SQL Server [#ibca04a8] SQL Server を実行しているコンピュータ上で~ 実行するウイルス対策ソフトウェアを選択するためのガイドライン~ http://support.microsoft.com/kb/309422/ja >ウイルス対策ソフトウェアの設定を構成する場合、~ 次のファイルまたはディレクトリ (該当する場合) をスキャンリストから除外するかどうかを確認します。~ これはパフォーマンスを向上、パフォーマンスを改善し、SQL Serverサービスがそれらを~ 使用しなければならない場合にファイルがロックされないことを確かにすることを支援します。~ ただし、これらのファイルに感染すると、ウイルス対策ソフトウェアは、感染を検出できません。 ***IIS [#q5fe8c20] 圧縮が有効になっている場合は、0 バイトのファイルを~ 返すことができます上の IIS を実行しているサーバー~ http://support.microsoft.com/kb/817442 >ウイルス対策ソフトウェアを実行し、HTTP圧縮を有効にして対象のディレクトリを~ スキャンすることによりHTTP要求から予測されるファイルではなく0バイトのファイルが返される。~ 対策として、ウイルス対策ソフトウェアのスキャンリストから、IIS の圧縮ディレクトリを除外する。 ***WSFC [#g6133c68] WSFC: クラスタ環境でのウィルス スキャンの除外設定について~ http://blogs.technet.com/b/askcorejp/archive/2010/06/10/wsfc.aspx -クラスタ環境においては、リソースの状態や、グループの構成など~ クラスタの構成情報に変更があった場合は、速やかにクラスタ内のノードに対して、情報の同期が行われます。 -しかしながら、情報の同期が行われる際に、ウイルス対策ソフトウェアによりクラスタの構成情報を保持している~ フォルダー内でスキャンが行われていると、更新されるべきクラスタ関連のファイルがロックされ、~ クラスタサービスによるファイルへの適切なアクセスが妨害される場合があります。 -このような状況が発生した場合、ノード間の情報の同期が正常に行われないため、異常が検知され、~ フェールオーバーが発生したり、クラスタサービスの起動に失敗するなどの現象が発生いたします。 -そのため、ご利用されているクラスタ環境のクォーラム構成のタイプに応じて、クラスタの構成情報が保持されている~ 以下のフォルダーに関しましては、ウィルス スキャンの対象から除外されることを推奨いたします。 ***Hyper-V [#w7a3253c] 以下はHyper-Vホスト上でスキャン対象外にする。 -既定の仮想マシン構成ディレクトリ --C:\ProgramData\Microsoft\Windows\Hyper-V -カスタムの仮想マシン構成ディレクトリ -- -既定の[[VHD]]ディレクトリ --C:\Users\Public\Documents\Hyper-V\Virtual hard disks -カスタムの[[VHD]]ディレクトリ -- -CSVパス --C:\ClusterStorage とその全てのサブ・ディレクトリ -スナップショット・ディレクトリ(チェックポイント・ディレクトリ) -Vmms.exe --VMのマネージメントサービス -Vmwp.exe --VMのワーカプロセス #[[VHD]]やパススルーディスクに対するセキュリティ対策はゲストOS側から行う。~ #ただし、AV(AntiVirus)ストームの発生に注意すること。 ***, etc, etc. [#ja04fa98] *ミドルウェア製品別の専用対策ソフト [#r19b8044] 上記の様に、~ ミドルウェア等によってウィルス スキャンからの除外対象等があるので~ ミドルウェア製品別の専用ソフトウェアもリリースされています。 **SharePoint [#j9ba942a] -以下はSharePoint用のウイルス対策ソフトウェアになります。 --Symantec Protection for SharePoint Servers~ http://www.symantec.com/protection-for-sharepoint-servers --McAfee Security for Microsoft SharePoint~ http://www.mcafee.com/japan/products/security_for_microsoft_sharepoint.asp --Kaspersky Security 8.0 for SharePoint Server~ http://www.kaspersky.com/products/business/applications/security-sharepoint/ --Forefront Security for SharePointホーム(旧製品:SharePoint2010対応未定)~ https://www.microsoft.com/japan/forefront/serversecurity/sharepoint/default.mspx -SharePointはSharePoint Services Virus Scan Engine APIというアーキテクチャを提供しており、~ ウイルス対策ソフトウェア開発ベンダはSharePointが提供するAntivirus Manager (AVM)から呼び出されるVirus Scan Engine (VSE)を~ 実装することでVSEが直接データベースを読み込む必要が無くなります(VSEは、COMとして公開されるSP VS APIを実装する)。~ Exchangeでも同様のExchange VS APIというアーキテクチャが提供されているため、同様にExchange用ウイルス対策ソフトウェアが存在します。~ --概要 ウイルス スキャン エンジン API の実装~ http://msdn.microsoft.com/ja-jp/library/sharepoint/aa979518.aspx --Overview of the Windows SharePoint Services Virus Scan Engine API~ http://msdn.microsoft.com/en-us/library/dd586612.aspx **, etc, etc. [#b2545850] *一般的なウイルス対策ソフト [#f87d608e] **[[Linux (ClamAV>https://dotnetdevelopmentinfrastructure.osscons.jp/index.php?ClamAV]] [#e9922854] **Windows (Windows Defender [#a61ea68a] ***Windows 10 [#rf26ff0b] -Windows 10では、Windows Defenderが既定で有効でオフにしてもオンになる。 -参考 --Windows Defender ウイルス対策に除外を追加する~ https://support.microsoft.com/ja-jp/help/4028485/windows-10-add-an-exclusion-to-windows-defender-antivirus --Windows Defender セキュリティ センター アプリの Windows Defender ウイルス対策~ https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-antivirus/windows-defender-security-center-antivirus ---[リアルタイム保護] をオフに切り替えても、マルウェアや脅威から確実に保護するため、しばらくすると自動的にオンに戻る。 ---他のウイルス対策製品がインストールされている場合、制限付きの定期的なスキャンを有効にする設定が表示される。 --Windows10のWindows Defenderを完全に無効または有効にする方法 – iBitzEdge~ https://i-bitzedge.com/tips/how-to-turn-off-windows-defender-windows-10 ***Windows Server 2016 [#taa51fa5] -Windows Server 2016 TP4以降、 --既定でGUIもインストールされる。 --Automatic exclusions(自動例外)機能が追加されて、既定で有効。 -参考 --Windows Server 2016 の Windows Defender ウイルス対策~ https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-antivirus/windows-defender-antivirus-on-windows-server-2016 --意外と賢くなったWindows Server 2016のWindows Defender~ :vNextに備えよ! 次期Windows Serverのココに注目(42) - @IT~ http://www.atmarkit.co.jp/ait/articles/1602/09/news015.html ***共通 [#a9f07fa9] -ファイル拡張子とフォルダーの場所に基づく除外の構成と検証~ https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-antivirus/configure-extension-file-exclusions-windows-defender-antivirus -プロセスによって開かれたファイルの除外の構成~ https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-antivirus/configure-process-opened-file-exclusions-windows-defender-antivirus **, etc, etc. [#a695da42] *問題発生時事例 [#x3c596b4] **誤検知 [#i519b434] 誤検知の発生時の製品毎の対応例(基本的にベンダに連絡らしい)。 -[[Microsoft Defender ウイルス対策で誤検知/否定を行う場合の対処方法 - Windows security | Microsoft Docs>https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-antivirus/antivirus-false-positives-negatives]] -[[誤検知の対応について | Norton Community>https://community.norton.com/es/node/915453]] -[[McAfee KB - 正常なファイルがウイルスとして検知された場合(誤認)の対処方法 (TS101715)>https://service.mcafee.com/webcenter/portal/cp/home/articleview?locale=ja-JP&articleId=TS101715]] -[[安全なファイルがウイルスとして検知された 【ウイルスセキュリティ】|ソースネクスト>https://faq.sourcenext.com/app/answers/detail/a_id/5050/~/%E5%AE%89%E5%85%A8%E3%81%AA%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%8C%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%81%A8%E3%81%97%E3%81%A6%E6%A4%9C%E7%9F%A5%E3%81%95%E3%82%8C%E3%81%9F%E3%80%80%E3%80%90%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%80%91]] 製品によっては、コード署名をすると、誤検知の可能性が減るらしい。 **性能劣化 [#idf3358d] フィルタ・ドライバ処理のオーバーヘッドで、~ 特に[[大量データ処理>大量データの処理方式]]や[[バックアップ処理>Windows Server のバックアップ]]に影響を与える。 **ブルー・スクリーン [#wfad3228] -フィルタ・ドライバ処理のバグはブルー・スクリーンになる。 -インターネット検索でもさまざまな情報を確認できる。 **McAfee ScriptScanが遅い [#o236fb78] -信頼されたウェブサイト用のURLをホワイトリストに載せる。~ (スクリプトを含むWebページ、Webアプリケーションの性能向上)~ https://kc.mcafee.com/corporate/index?page=content&id=KB65382 --VirusScanエンタープライズ(VSE)がScriptScanコンポーネントでインストールされる場合、~ それは入って来るスクリプトとWindowsスクリプティング・ホストの間に代理を挿入します。~ これにより、スクリプトを含むWebページ、Webアプリケーションの性能が劣化する場合があります。 --イントラネット内のサイト、頻繁に使用し、安全と知っているサイトのような~ 信頼されたウェブサイトのURLをホワイトリストに載せることができます。 -[[ScriptScan とその動作 McAfee VirusScan>http://virusscan.helpmax.net/ja/%E3%83%91%E3%83%BC%E3%83%88-ii-%EF%BC%8D-%E6%A4%9C%E5%87%BA%E8%84%85%E5%A8%81%E3%81%AE%E6%A4%9C%E7%B4%A2/%E3%82%A2%E3%82%A4%E3%83%86%E3%83%A0%E3%81%AE%E3%82%AA%E3%83%B3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9-%E3%82%B9%E3%82%AD%E3%83%A3%E3%83%B3/scriptscan-%E3%81%A8%E3%81%9D%E3%81%AE%E5%8B%95%E4%BD%9C/]] >スクリプト スキャナは、正規の Windows Scripting Hostコンポーネント~ に対するプロキシ コンポーネントとして機能します。~ スクリプトを停止して、スクリプトの実行前にスキャンします。 -[[Mozilla、McAfee ScriptScanアドオンをブロック対象に スラッシュドット・ジャパン IT>http://it.slashdot.jp/story/11/10/07/1420233/Mozilla%E3%80%81McAfee-ScriptScan%E3%82%A2%E3%83%89%E3%82%AA%E3%83%B3%E3%82%92%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF%E5%AF%BE%E8%B1%A1%E3%81%AB]] >同アドオンにより、Firefoxで大量のクラッシュが引き起こされていることが理由とされている。 ---- Tags: [[:セキュリティ]]