Windows Server 2003, Windows 2000 veya Windows XP çalıştıran bilgisayarlar için virüs tarama önerileri

Önemli Bu makale, kayıt defterini değiştirmeyle ilgili bilgiler içermektedir. Kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Sorun oluşması durumunda kayıt defterini nasıl geri yükleyeceğinizi bildiğinizden emin olun.

Bu makale Microsoft Windows Server 2003, Microsoft Windows 2000 veya Microsoft Windows XP çalıştıran bilgisayarların virüslere karşı korunmasına yardımcı olabilecek öneriler içerir. Bu makale ayrıca virüsten koruma yazılımlarının sistem ve ağ performansı üzerindeki etkilerini en aza indirmenize yardımcı olabilecek bilgiler içerir.

Windows Server 2003, Windows 2000 veya Windows XP çalıştıran bilgisayarlar için

Aşağıdaki dosya ve klasörleri taramayın. Bu dosyalar bulaşma riski altında değildir. Bu dosyaları tararsanız, dosya kilitlemesi nedeniyle önemli performans sorunları oluşabilir. Belirli bir dosya kümesi adıyla belirtildiğinde, tüm klasör yerine, yalnızca bu dosyaları dışlayın. Bazı durumlarda, klasörün tamamının dışlanması gerekebilir. Bu yöntemlerden birini dosya adı uzantısına göre kullanmayın. Örneğin, .dit uzantılı tüm dosyaları dışlamayın. Microsoft, aşağıdaki dosyalarla aynı uzantıları kullanabilecek diğer dosyalar üzerinde denetime sahip değildir.

• Microsoft Windows Update veya Otomatik Güncelleştirmeler ile ilgili dosyalar
  • Windows Update veya Otomatik Güncelleştirmeler veritabanı dosyası. Bu dosya aşağıdaki klasörde bulunmaktadır:
    %windir%\SoftwareDistribution\Datastore

    Datastore.edb dosyasını dışlayın.

  • İşlem günlüğü dosyaları. Bu dosyalar aşağıdaki klasörde bulunur:
    %windir%\SoftwareDistribution\Datastore\Logs

    Aşağıdaki dosyaları dışlayın:

    • Edb*.logNot Joker karakter, birkaç dosya olabileceğini gösterir.
    • Res1.log
    • Res2.log
    • Edb.chk
    • Tmp.edb

Windows Server 2003 ve Windows 2000 etki alanı denetleyicileri için

Etki alanı denetleyicileri istemciler için kritik bir hizmet sağladığı için, virüslerin içerdiği kötü amaçlı kod nedeniyle etkinliklerinin kesilmesi riski en aza indirilmelidir. Virüsten koruma yazılımları, virüs bulaşma riskini azaltmak için genel kabul görmüş bir yöntemdir. Etki alanı denetleyicisinde bu riski olabildiğince azaltmak ve performansın olabildiğince az etkilenmesini sağlamak için virüsten koruma yazılımları yükleyin ve yapılandırın. Aşağıdaki liste, Windows 2000 veya Windows Server 2003 etki alanı denetleyicisine virüsten koruma yazılımları yükleyip yapılandırmanıza yardımcı olan öneriler içermektedir:

Uyarı Microsoft, aşağıda belirtilen yapılandırmanın sizin ortamınızda beklenmedik etkileri olmadığından veya sistemin kararlılığını tehlikeye atmadığından emin olmak için, bu yapılandırmayı bir test yapılandırmasına uygulamanızı önerir. Çok fazla tarama yapmanın riski, dosyaların yanlışlıkla değiştirilmiş olarak işaretlenmesi ve bunun sonucunda Active Directory’de aşırı çoğaltma yapılmasıdır. Yapılan sınama çoğaltmanın aşağıdaki önerilerden etkilenmediğini doğrularsa, virüsten koruma yazılımını üretim ortamınıza yükleyebilirsiniz.

Not Virüsten koruma yazılımı üreticilerinin önerileri bu makaledeki önerilerin yerini alabilir.

• Virüsten koruma yazılımının kuruluştaki tüm etki alanı denetleyicilerine yüklenmesi gerekir. Aslında, bu gibi yazılımların, etki alanı denetleyicileriyle etkileşimde bulunması gereken diğer tüm sunucu ve istemci sistemlerine yüklemeyi denemeniz tercih edilir. Virüsün ilk bulaştığı güvenlik duvarı veya istemci sistemi gibi olası en erken noktada yakalanması en uygunudur. Bu, virüsün istemcilerin bağlı olduğu altyapı sistemlerine ulaşmasını önler.
• Active Directory etki alanı denetleyicileriyle birlikte çalışmak üzere tasarlanmış ve sunucudaki dosyalara erişmek için doğru Uygulama Programlama Arabirimleri’ni (API) kullanan bir virüsten koruma yazılımı sürümünü kullanın. Çoğu üretici yazılımının eski sürümleri, dosya meta verisini tararken yanlış olarak değiştirerek Dosya Çoğaltma Hizmeti alt yapısının bir dosya değişikliği algılamasına ve bu nedenle dosyayı çoğaltılmak üzere zamanlamasına neden olur. Yeni sürümler bu sorunu önlemektedir.
• Web’e gözatmak veya kötü amaçlı kodlar yükleyebilecek başka etkinlikler gerçekleştirmek için bir etki alanı denetleyicisini kullanmayın.
• Olanaklıysa, etki alanı denetleyicisini dosya paylaştırma sunucusu olarak kullanmayın. Virüs tarama yazılımının o paylaşımlardaki tüm dosyalarda çalıştırılması gerekir ve bu durum işlemciye ve sunucunun bellek kaynaklarına istenmeyen bir yük getirebilir.
• Active Directory veya FRS veritabanını ve günlük dosyalarını NTFS dosya sistemiyle sıkıştırılmış birimlere yerleştirmeyin.
• Aşağıdaki dosya ve klasörleri taramayın. Bu dosyalara virüs bulaşma riski yoktur ve onları eklerseniz, dosya kilitlenmesi nedeniyle ciddi performans sorunlarına neden olabilir. Belirli bir dosya kümesi adıyla belirlenmişse, tüm klasör yerine yalnızca o dosyaları dışlayın. Bazen tüm klasörün tarama dışında tutulması gerekir. (Bunlardan herhangi birini dosya adı uzantısına bakarak dışlamayın; örneğin, .dit uzantılı tüm dosyaları dışlamayın). Microsoft, burada gösterilenlerle aynı uzantıyı kullanabilen diğer dosyalar üzerinde bir denetime sahip değildir.Uyarı Kayıt Defteri Düzenleyicisi’ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sisteminizi yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti etmemektedir. Kayıt defterini değiştirmek kendi sorumluluğunuzdadır.
  • Active Directory ve Active Directory ile ilişkili dosyalar:
    • Ana NTDS veritabanı dosyaları. Bu dosyaların konumu aşağıdaki kayıt defteri anahtarında belirtilmiştir:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

      Varsayılan konum %windir%\ntds dizinidir. Aşağıdaki dosyaları dışlayın:

      Ntds.dit
      Ntds.pat
    • Active Directory işlem günlüğü dosyaları. Bu dosyaların konumu aşağıdaki kayıt defteri anahtarında belirtilmiştir:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

      Varsayılan konum %windir%\ntds dizinidir. Aşağıdaki dosyaları dışlayın:

      EDB*.log (joker karakteri birkaç dosya olabileceğini gösterir)
      Res1.log
      Res2.log
      Ntds.pat

      Not Microsoft Windows Server 2003 artık Ntds.pat dosyasını kullanmamaktadır.

    • NTDS Working klasörü aşağıdaki kayıt defteri anahtarında belirtilmiştir:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

      Aşağıdaki dosyaları dışlayın:

      Temp.edb
      Edb.chk
  • SYSVOL dosyaları:
    • Aşağıdaki kayıt defteri anahtarında belirtilen Dosya Çoğaltma Hizmeti (FRS) Working klasörü:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

      Aşağıdaki dosyaları dışlayın:

      FRS Working Dir\jet\sys\edb.chk
      FRS Working Dir\jet\ntfrs.jdb
      FRS Working Dir\jet\log\*.log
    • Aşağıdaki kayıt defteri anahtarında bulunan FRS Veritabanı Günlüğü dosyaları:
      HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\DB Log File Directory

      Varsayılan konum %windir%\ntfrs dizinidir. Aşağıdaki dosyaları dışlayın:

      FRS Working Dir\jet\log\*.log (kayıt defteri anahtarı ayarlanmamışsa)
      DB Log File Directory\log\*.log (kayıt defteri anahtarı ayarlanmışsa)
    • Aşağıdaki kayıt defteri anahtarında belirtilen Hazırlama klasörü ve bu klasörün tüm alt klasörleri:
      HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

      Hazırlama klasörünün ve onun tüm alt klasörlerinin geçerli konumu, çoğaltma kümesi hazırlama klasörlerinin dosya sistemi yeniden ayrıştırma hedefidir. Hazırlama klasörü varsayılan olarak aşağıdaki konumdadır:

      %systemroot%\sysvol\staging areas

      SYSVOL\SYSVOL klasörünün ve onun tüm alt klasörlerinin geçerli konumu, çoğaltma kümesi kökünün dosya sistemi yeniden ayrıştırma hedefidir. SYSVOL\SYSVOL klasörü varsayılan olarak aşağıdaki konumdadır:

      %systemroot%\sysvol\sysvol

    • Aşağıdaki konumdaki FRS Önyükleme klasörü:
      Çoğaltma_kökü\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

      FRS çalışırken Önyükleme klasörü her zaman açıktır.

    Özet olarak, varsayılan konumuna yerleştirilmiş bir SYSVOL ağacı için hedeflenen ve dışlanan klasörler listesi aşağıdakine benzer olacaktır:

    1. %systemroot%\sysvol

  • Dışla 2. %systemroot%\sysvol\domain

  • Tara 3. %systemroot%\sysvol\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

  • Dışla 4. %systemroot%\sysvol\domain\Policies

  • Tara 5. %systemroot%\sysvol\domain\Scripts

  • Tara 6. %systemroot%\sysvol\staging

  • Dışla 7. %systemroot%\sysvol\staging areas

  • Dışla 8. %systemroot%\sysvol\sysvol

  • Dışla

    Bu klasör veya dosyalardan herhangi biri farklı bir konuma taşınmış veya yerleştirilmişse, o öğeyi de tarayın veya dışlayın.

  • DFSSYSVOL çoğaltma kümesi için dışlanan aynı kaynakların, Windows 2000 veya Windows Server 2003 tabanlı üye bilgisayarlar veya etki alanı denetleyicileri üzerindeki DFS kökü ve bağlantı hedefleri ile eşleştirilmiş olan paylaşımları çoğaltmak için FRS kullanıldığında da dışlanması gerekir.