.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Was Virenscanner nicht scannen sollten

Was Virenscanner nicht scannen sollten

  • Comments 8
  • Likes

Immer wieder erreichen uns Kundenanfragen, die über mysteriöse Probleme berichten. In diesem Beispiel beschrieb ein Kunde, dass der Rechner ‘irgendwie langsamer’ geworden ist und fand folgenden Eintrag in der Ereignisanzeige:

wuaueng.dll (504) SUS20ClientDataStore: A request to write to the file "C:\Windows\SoftwareDistribution\DataStore\DataStore.edb" at offset 0 (0x0000000000000000) for 32768 (0x00008000) bytes succeeded, but took an abnormally long time (21634 seconds) to be serviced by the OS. This problem is likely due to faulty hardware. Please contact your hardware vendor for further assistance diagnosing the problem.

Schuld an einem solchen Verhalten können Virenscanner sein, die bestimmte Bereiche des Computers wegen der dabei auftretenden Dateisperren aus Performancegründen nicht scannen sollten und aus Sicherheitsgründen auch nicht scannen müssen:

  • Microsoft Windows Update oder Automatic Update
    • Ausschließen folgender Dateien im Ordner %windir%\SoftwareDistribution\Datastore
      • Datastore.edb
    • Ausschließen folgender Dateien im Ordner %windir%\SoftwareDistribution\Datastore\Logs
      • Edb*.log
      • Res1.log (Edbres00001.jrs in Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2)
      • Res2.log (Edbres00002.jrs in Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2)
      • Edb.chk
      • Tmp.edb
    • Ausschließen folgender Dateien im Ordner %windir%\security:
      • *.edb
      • *.sdb
      • *.log
      • *.chk
      Wenn diese Dateien nicht ausgeschlossen werden, kann die Sicherheitsdatenbank beschädigt werden und dadurch Gruppenrichtlinien nicht angewendet werden. Es geht dabei insbesondere um folgende Dateien:
      • Edb.chk
      • Edb.log
      • *.log
      • Security.sdb im Ordner %windir%\security\databas
  • Gruppenrichtlinien
    • Ausschließen folgender Dateien im Ordner %allusersprofile%
      • NTUser.pol
    • Ausschließen folgender Dateien im Ordner %Systemroot%\system32\GroupPolicy\
      • registry.pol

Weitere Empfehlungen vor allem für Windows Server-basierende Domänencontroller sind in Virus scanning recommendations for computers that are running Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista, or Windows 7 beschrieben. Da nicht alle Virenscannerhersteller diese Empfehlungen von Microsoft umgesetzt haben, sollte man sich selbst vergewissern, dass man die Ausschlussliste entsprechend konfiguriert hat.

Update am 16.11.2009

Aufgrund des kontinuierlichen Feedbacks möchte ich noch auf einen weiteren Artikel hinweisen, der eine Linksammlung zu Artikeln enthält, in denen es um die richtige Konfiguration von Ausschlußlisten für Domänencontroller, Exchange Server, Internet Information Server (IIS), Internet Security and Acceleration (ISA) Server, SharePoint Portal Server, SQL Server, Systems Management Server (SMS), Virtual Server, Microsoft Virtual PC und Windows Update geht:

Recommended Forefront Client Security file and folder exclusions for Microsoft products
http://support.microsoft.com/kb/943556/en-us

Wenn man die Knowledge Base mit geeigneten Begriffen durchsucht, findet man noch jede Menge weitere Literatur zur Vertiefung des Themas.

Comments
  • MS Security Essentials macht das so?

  • Super. Endlich mal eine Info, was man scanen und was man nicht scannen soll.

    Von den Antivirenherstellern kommt da zu wenig. Wenn die diese Regeln dann noch einfach konfiguriernbar machen würden, würde das unsere Arbeit vereinfachen.

    Leider scheinen diese Ausnahmen ja auch MS Security Essentials unbekannt zu sein; oder zeigt man dem User nicht was man nicht scannt?

    Jetzt fehlt mir nur noch eine vernünftige Erklärung wie man scannt; also:

    nur beim Lesen

    nur beim Schreiben

    beim Umbennenh

    Archive ( bei jar dauert das ewig )

    alle Datein oder nur bestimmte Erweiterungen.

    Da hat ja jedes Programm seine eigene Vorstellungen.

    Hier könnte sich MS auch mal genauer äussern. Und wenn Sec. Essentials auch für Firmen möglich wäre, dann könnte man den anderen Rest endlich vergessen.

    So meint jeder sein liebstes Antivirenprogramm sei das beste; weil z.B. schneller wie das des Kollegen. Abei keiner vergleicht mal wirklich die Einstellungen umd vernünftige Aussagen zu machen.

  • das ist jetzt wenigstens die Bestätigung der Vermutung, warum die secedit.sbd von heute auf morgen korrupt ist. Danke.

  • Super Tip, echt klasse, werd ich Montag gleich umsetzen ...

  • Hallo,

    das wird doch von MS sicherlich für die Hersteller von Antivirprgs dokumentiert, damit das bei der Entwicklung des Scanner mit einfliesst!?

    Das ist doch nicht der Job des User oder Admins

    sowas dem Virenscanner mitzuteilen!

    Aber wahrscheinlich doch...  :-(

    Gruss

    M.H.

  • Finde ich ebenfalls super die Auflistung, ist aber natürlich nicht abschliessend.

    Abhängig was auf dem Server läuft (IIS, Exchange, Caché, SQL etc.) müssen noch einige Ordner mehr ausgeschlossen werden.

    Generell schliesse ich Datenbankverzeichnisse immer vom Antiviren-Scan aus. Ich würde bei den Server sogar soweit tendieren, lieber zuviel als zuwenig auszuschliessen. Meistens hat man ja mehrstufige Scanprogramme, welche Viren schon viel früher abfangen.

    Zumindest ist dies meine Erfahrung.

    Gruss Davide

  • Vielen Dank an alle für das Feedback. Ich habe noch weitere Informationen in einem Update angehängt. Microsoft dokumentiert dazu eine ganze Menge. Wir können aber vor allem 3rd Party Software nicht komplett in dieser Hinsicht dokumentieren. Ich sehe hier natürlich die Administratoren in der Pflicht - in meiner Zeit als Administrator und Consultant war das Teil der Arbeit, die aufzusetzenden Systeme mit den korrekten Einstellungen zu konfigurieren - auch wenn das hieß, den Hersteller der 3rd Party Software nach solchen Informationen zu löchern oder, falls keine verfügbar waren, sich die verwendeten Systemtechnologien des Produkts anzuschauen und nach eigener Erfahrung zu konfigurieren.

  • Hi Daniel,

    greife mal die Frage von C. Dalke auf:

    Hat die MS Security Essential Reihe diese best-practices Einstellungen schon intus oder muss man hier auch noch selbst Hand anlegen?

    Denke das würde auch andere interessieren.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment