Рекомендации по проверке компьютеров с поддерживаемыми версиями Windows, используемых на крупных предприятиях, на наличие вирусов

Сведения для пользователей домашних компьютеров

Дополнительные сведения о проверке на наличие вирусов с рекомендациями см. на следующем веб-сайте корпорации Майкрософт:

Введение

В этой статье приведены рекомендации, которые могут помочь администратору определить причину нестабильной работы компьютера с поддерживаемой версией Microsoft Windows при его использовании с антивирусной программой в среде домена Active Directory или управляемой бизнес-среде.

Примечание. Указанные ниже меры рекомендуется применять временно, для оценки состояния системы. Если они позволят повысить производительность или стабильность работы компьютера, обратитесь к поставщику антивирусной программы за инструкциями или обновленной версией ПО.

Важно! Эта статья содержит сведения о временном отключении функций безопасности или ослаблении действия соответствующих параметров. Эти изменения требуются, чтобы понять причину конкретной проблемы. Однако предварительно рекомендуется оценить связанные с ними риски в конкретной среде. Перед использованием этого обходного способа решения проблемы следует предпринять дополнительные меры для защиты компьютера.

Дополнительная информация

Для компьютеров с системами Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista и Windows 7

Предупреждение. Выполнение описанных ниже действий повышает уязвимость компьютера или сети для вирусов или атак злоумышленников. Корпорация Майкрософт не рекомендует использовать этот способ, но в случае необходимости его можно применить на свой страх и риск. В случае использования данного способа решения проблемы полагайтесь на свой опыт и знания.

Мы не можем судить о том, какой риск может представлять исключение определенных файлов или папок, указанных в этой статье, из числа объектов антивирусного сканирования. Однако если их оставить в этом списке, система, скорее всего, будет в большей безопасности.

При сканировании этих файлов из-за их блокировки возможны проблемы с производительностью и надежностью операционной системы.

Не исключайте из объектов сканирования никакие из указанных ниже файлов, основываясь на расширениях их имен. Например, не следует исключать все файлы с расширением DIT. Корпорация Майкрософт не имеет возможности контролировать все типы файлов с расширениями, указанными в этой статье.

В этой статье приведены имена файлов и папок, которые могут быть исключены из числа объектов сканирования. По умолчанию доступ к ним имеется только у системной учетной записи и администратора, и они содержат только компоненты операционной системы. Исключить папку из числа объектов сканирования целиком часто проще, чем отдельные файлы, однако это может привести к большему снижению уровня безопасности.

Отключение сканирования файла Microsoft Forefront «tmp.edb»

Если вы используете Forefront, отключите сканирование файла базы данных Forefront (tmp.edb). Этот файл расположен в следующей папке:

Отключите сканирование файлов журнала, которые находятся в следующей папке:

Отключение сканирования файлов, имеющих отношение к Центру обновления Windows и автоматическому обновлению

Отключите сканирование файла базы данных Центра обновления Windows или автоматического обновления (Datastore.edb). Он находится в следующей папке:

Отключите сканирование файлов журнала, которые находятся в следующей папке:

%windir%\SoftwareDistribution\Datastore\Logs В частности, исключите из числа объектов сканирования следующие файлы:

Звездочка (*) указывает, что таких файлов может быть несколько.

Отключение сканирования файлов системы безопасности Windows

Добавьте в список исключений следующие файлы, находящиеся в папке %windir%\Security\Database:

Примечание. Если не исключить эти файлы из числа объектов сканирования, антивирусная программа может затруднить доступ к ним и вызвать повреждение баз данных безопасности. Также сканирование этих файлов в ряде случаев делает невозможным их использование либо применение к ним политик безопасности. В связи с этим их рекомендуется не проверять, потому что антивирусная программа может не распознать их как специальные файлы базы данных.

Отключение сканирования файлов, связанных с групповой политикой

Сведения о групповой политике в реестре. Эти файлы расположены в следующей папке:

%allusersprofile%\ В частности, исключите из числа объектов сканирования следующий файл:

Файл параметров клиента групповой политики. Этот файл расположен в следующей папке:

%Systemroot%\System32\GroupPolicy\ В частности, исключите из числа объектов сканирования следующий файл:

Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:

951059 Основанные на данных реестра параметры политики неожиданно удаляются после входа пользователя в систему Windows Server 2003

930597 В системе Windows XP или Windows Vista теряются некоторые основанные на данных реестра политики безопасности, а в журнале приложений регистрируются сообщения об ошибках

Для контроллеров доменов с системами Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 и Windows 2000

Так как контроллеры доменов обеспечивают функционирование важных для клиентов служб, необходимо свести к минимуму риск нарушения их работоспособности вредоносным ПО, программным кодом или вирусами. Использование антивирусных программ — широко распространенный способ снижения риска заражения. Установите и настройте антивирусную программу таким образом, чтобы угроза контроллеру домена стала по возможности минимальной с наименьшим влиянием на производительность системы. В приведенном ниже списке представлены рекомендации по установке и настройке антивирусных программ на контроллерах доменов с системами Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 или Windows 2000.

Предупреждение. Рекомендуется реализовать описанную ниже конфигурацию в тестовой среде и убедиться в том, что она не приводит к непредвиденным последствиям и не снижает стабильность системы. Риск от избыточного сканирования состоит в том, что файлы могут быть ошибочно помечены как измененные. Это приводит к чрезмерной репликации в Active Directory. Если тестирование показывает, что изложенные ниже рекомендации не влияют на объем репликации, то антивирусные программы можно без опасений использовать в рабочей среде.

Примечание. Рекомендации, приведенные в этой статье, могут оказаться менее существенными, чем конкретные указания поставщиков антивирусных программ.

Антивирусные программы должны быть установлены на всех контроллерах домена на предприятии. В идеале это программное обеспечение следует установить на всех серверных и клиентских системах, которые взаимодействуют с контроллерами домена. Лучше всего блокировать вредоносные программы как можно раньше, например на брандмауэре или в клиентской системе, через которые они пытаются проникнуть в среду. Это позволяет предотвратить их попадание в системы инфраструктуры, от которых зависит работа клиентов.

Используйте те версии антивирусного программного обеспечения, которые предназначены для работы с контроллерами домена службы каталогов Active Directory и которые используют для доступа к файлам на сервере соответствующие интерфейсы API. Старые версии ПО большинства поставщиков неверно изменяют метаданные файлов во время их сканирования. Из-за этого обработчик службы репликации файлов предполагает, что файл изменился, и назначает для него репликацию. Более новые версии предотвращают эту проблему.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

815263Антивирусные приложения, приложения для создания резервных копий и оптимизации дисков, совместимые со службой репликации файлов

Не используйте контроллер домена для просмотра веб-страниц и выполнения других действий, которые могут привести к проникновению в систему вредоносного программного кода.

Рабочую нагрузку контроллеров домена рекомендуется свести к минимуму. По возможности не используйте их в качестве файловых серверов. Это снижает требования к сканированию общих хранилищ файлов на наличие вирусов и сводит к минимуму снижение производительности.

Не размещайте базы данных и файлы журнала служб Active Directory и FRS в сжатых томах с файловой системой NTFS.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

318116Проблемы с базами данных Jet на сжатых дисках

Отключение сканирования службы каталогов Active Directory и связанных с ней файлов

Исключите из числа объектов сканирования файлы основной базы данных NTDS. Их расположение указано в следующем разделе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Расположение по умолчанию: %windir%\Ntds. В частности, исключите из числа объектов сканирования следующие файлы:

Исключите из числа объектов сканирования файлы журнала транзакций Active Directory. Их расположение указано в следующем разделе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Расположение по умолчанию: %windir%\Ntds. В частности, исключите из числа объектов сканирования следующие файлы:

Примечание. Файл Ntds.pat больше не используется в системе Windows Server 2003.

Исключите из числа объектов сканирования файлы из рабочей папки NTDS, указанной в следующем разделе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory В частности, исключите из числа объектов сканирования следующие файлы:

Отключение сканирования файлов SYSVOL

Отключите сканирование файлов из рабочей папки службы репликации файлов (FRS), указанной в следующем разделе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Расположение по умолчанию: %windir%\Ntfrs. Исключите из числа объектов сканирования следующие файлы, находящиеся в этой папке:

edb.chk в папке %windir%\Ntfrs\jet\sys

Ntfrs.jdb в папке %windir%\Ntfrs\jet

*.log в папке %windir%\Ntfrs\jet\log

Отключение сканирование файлов журнала базы данных FRS, указанных в следующем разделе реестра:

HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Расположение по умолчанию: %windir%\Ntfrs. Исключите из числа объектов сканирования следующие файлы:

Edb*.log (если значение раздела реестра не задано);

рабочая папка FRS\Jet\Log\Edb*.jrs (для Windows Server 2008 и Windows Server 2008 R2);

Примечание. Параметры исключения конкретных файлов указаны здесь только для полноты. По умолчанию доступ к ним имеется только у системной учетной записи и администраторов. Убедитесь, что используются подходящие средства защиты. Эти папки содержат только рабочие файлы компонентов служб FRS и DFSR.

Отключите сканирование папки промежуточного хранения, указанной в следующем разделе реестра.

HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
По умолчанию этот файл хранится в следующей папке:

%systemroot%\Sysvol\Staging areas Исключите из числа объектов сканирования следующие файлы:

Отключите сканирование файлов в папке Sysvol\Sysvol.

В настоящее время папка Sysvol\Sysvol и все ее подпапки находятся в целевом каталоге повторной обработки файловой системы в корне набора реплик, а именно:

%systemroot%\Sysvol\Domain Исключите из числа объектов сканирования следующие файлы в этой папке и всех ее подпапках:

Microsoft выпустила обновления для Windows XP и других устаревших систем ради защиты от вируса WannaCry Статьи редакции

Корпорация Microsoft выпустила обновления для операционных систем Windows XP, 8 и Server 2003, официальная поддержка которых прекращена. Патчи закрывают уязвимость, через которую распространяется вирус WannaCry, заразивший компьютеры более чем в 90 странах.

Мы знаем, что некоторые из наших клиентов работают на версиях Windows, которые больше не поддерживаются. Это означает, что эти пользователи не получили обновление системы безопасности MS17-010, выпущенное в марте 2017 года.

Учитывая потенциальное воздействие на клиентов и их бизнес, мы приняли решение сделать обновление безопасности для платформ Windows XP, Windows 8 (не получает обновления с декабря 2016 года, пользователям рекомендовано перейти на 8.1 — vc.ru) и Windows Server 2003.

В компании пообещали предоставить дополнительную помощь клиентам, если в этом возникнет необходимость.

Обновление MS17-010 (4012598) доступно для следующих систем:

• Windows XP SP3 x86,
• Windows XP SP2 x64,
• Windows XP Embedded SP3 x86,
• Windows 8 x86,
• Windows 8 x64​,
• Windows Server 2003 SP2 x86,
• Windows Server 2003 SP2 x64.

Эпидемия вируса-вымогателя WannaCry началась 12 мая 2017 года, он шифрует файлы на компьютере жертвы и требует выкуп в размере $300 в биткоинах. По оценке компании Avast, атака задела 75 тысяч компьютеров в 99 странах.

WannaCry заражает только те Windows-компьютеры, в которых есть уязвимость, которую Microsoft устранила с помощью выпущенного в марте 2017 года обновления для систем Windows Vista, 7, 8.1 и 10.

Среди пострадавших — ИТ-системы учреждений здравоохранения Великобритании, несколько крупных испанских компаний, а также сети «Мегафона» и МВД. К утру 13 мая распространение вируса удалось приостановить благодаря регистрации бессмысленного доменного имени.

Проблемы с сетевым окружением Windows 2003/XP или злобный вирус kido

Статья написана для того чтобы потомки не наступали на грабли на которые наступил я.
Если на вашем сервере/локальном компьютере перестало открываться сетевое окружение с ошибкой «Ни одна из служб доступа к сети не может обработать сетевой путь» добро пожаловать

Симптомы:

В общем в один прекрасный день мне позвонил пользователь и сказал что не может по самбе законектиться на основной сервер (естественно он сказал не так, но суть передана) Я попробовал со своего компьютера набрать \\server (имя изменено для удобства понимания) и получил ошибку. хотя сервер прекрасно пинговался и все нужные порты были открыты. После перезагрузки сервера (а это как известно полный ахтунг посреди рабочего дня) сервер проработал около часа и ошибка повторилась. На самом сервере при попытке пойти по сети на любой компьютер \\user получали ошибку «Ни одна из служб доступа к сети не может обработать сетевой путь»

Анамнез

Как было сказано ранее порт 445 был открыт. Ошибка «Ни одна из служб» подтолкнуло на мысль что проблема в службах 🙂
Итак лезем в службы и на вскидку видим следующее: службы сервер, рабочая станция, обозреватель компьютеров упали. Запускаем — работает, минут через 10-15 снова падает. В логах приложений видим ошибку
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
Сразу после которой падают службы

Дифференциальный диагноз 1

Приходим к однозначному выводу что причиной всему некоторый вирус kido, который атакует компы сети по 445 порту, приводя к ошибке buffer-overflow. Решение — запуск kk.exe на всех компьютерах сети. kk.exe — програмка для лечения вируса kido от касперских. Сам антивирус касперского не переношу на дух, хотя проверку провел — сам касперский угроз не обнаружил, а kk.exe — нашел и по всей видимости полечил.

Лечение

Пройдя по всем компьютерам сети и запустив kk обнаружили и почистили много этой вирусни. Кроме того дабы обезопасить только что зараженные компьютеры запустили kk в режиме мониторинга «kk -m» и добавили в автозагрузку. После всех этих манипуляций вздохнули свободно, хотели отдохнуть, но не тут то было. Сервисы стали падать не так часто. Но от этого легче не стало! Кстати временное решение проблемы — зайти в свойства одного из сервисов и установить «перезапускать сервер» во всех полях закладки восстановления. Сервисы хоть и падают, но почти сразу восстанавливаются.

Дифференциальный диагноз 2

Итак стал думать почему сервисы падают пачками. И что объединяет эти сервисы. ответ оказался прост — один из svchost.exe запускал все эти сервисы. Вот полный список:
• Обозреватель компьютеров (!)
• Службы криптографии
• Диспетчер логических дисков
• Служба событий COM+
• Справка и поддержка
• Сервер (!)
• Рабочая станция (!)
• Сетевые подключения (!)
• Служба сетевого расположения
• Планировщик заданий (!)
• Вторичный вход в систему
• Уведомление о системных событиях
• Определение оборудования оболочки
• Клиент отслеживания изменившихся связей
• Инструментарий управления windows
• Автоматическое обновление
• Беспроводная настройка

В общем мысль пошла далее. Раз вирусов на сервере больше нет, значит вирус все еще есть на каких либо компьютерах сети. И он продолжает атаковать сервер. Но почему сервер от этого падает? Значит есть какаято дыра. А если есть дыра — значит должна быть заплатка. С горем пополам нашел такую заплатку для WinXP — KB958644
А уж имея название заплатки для Win2003 нашел заплатку без проблем.

Лечение часть 2

поставил заплатки на сервер и все компьютеры сети. вместо ошибки
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
стало появляться предупреждение
«Отчет об ошибке постановки в очередь: ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»

В принципе проблема решена, можно выписывать. Но (!) Раз атаки продолжаются значит вирус еще где то действует. Вот об этом хотелось бы спросить хабрасообщество — как выявить зараженный в сети компьютер?
Логично предположить что нужно слушать 445 порт — кто лезет, тому и по рогам. Но ведь на сервере пошарено много всего, люди лезутредактируютсоздаютсохранаютсмотрют… Как нормальный траф 445 порта отделить от вредоносного?
В комментариях жду советов, и надеюсь что в будущем моя статья поможет кому либо побыстрее разобраться с этой проблемой.

ЗЫЖ автоматическое обновление стояло, 2003 был обновлен — почему то эта заплатка не качается со всеми вместе.