Exclusão de varredura de vírus no ambiente Windows

Ter uma ferramenta de proteção de contra ameaças é indispensável para a saúde dos sistemas computacionais, mas estes por sua vez podem causar alguns desconfortos ao invés de ser a solução de todos os seus problemas de segurança.

Além de manter sua solução de antivírus atualizada e instalada em todo o ambiente, alguns ajustes devem ser realizados como a configuração de exclusão de varredura (arquivos e pastas que não serão escaneados), esta atividade deve ser realizada com a máxima atenção.

Lembramos que a exclusão da verificação de determinados arquivos deixam seu ambiente mais vulneráveis, entretanto a Microsoft não tem relatos de riscos encontrados na exclusão dos arquivos ou pastas listadas neste artigo.

Abaixo relacionamos o tratamento adequando para cada tipo de aplicação no ambiente Microsft Windows, básicamente consistem em proteger arquivos do tipo bases de dados que podem ser corrompidos quando escaneado frequentemente, segue abaixo as considerações:

1. Para computadores que estejam executando o Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista ou Windows 7

No decorrer deste texto, iremos apontar nomes de arquivos e nomes de pastas, não utilize a regra de realizar a exclusão na pasta inteira em virtude da facilidade de configuração, este procedimento pode ser uma brecha de segurança gravissíma.

1.1. Desativar a verificação do Windows Update ou dos arquivos relacionados às Atualizações Automáticas

a. DataStore.edb = %windir%\SoftwareDistribution\Datastore
b. Arquivos de log = %windir%\SoftwareDistribution\Datastore\Logs
c. Arquivos especificos =  Res*.log, Res*.jrs, Edb.chk , Tmp.edb

 1.2. Desativar a verificação dos arquivos de Segurança do Windows

Arquivos da pasta %windir%\Security\Database com as seguintes extenções:

–> *.edb
–> *.sdb
–> *.log
–> *.chk 
–>  *.jrs

A verificação dos arquivos acima podem impactar diretamente na utilizaçao de uma diretiva de segurança.

Confira abaixo, as exclusões especificas por funções de servidor:

1.1) Se o seu sistema é também um controlador de domínio (DC) / DNS / DHCP exclua as seguintes pastas da Anti-Virus Scanning:

a.) A pasta %systemroot%\Sysvol   (inclua todas as subpastas e arquivos)
b.) A pasta %systemroot%\system32\dhcp   (inclua todas as sub-pastas e arquivos)
c.) A pasta %systemroot%\system32\dns   (inclua todas as sub-pastas e arquivos)
d.) A pasta %systemroot%\ntds
Confira a referencia no artigo:
KB822158 – Virus scanning recommendations for computers that are running Windows Server 2003, Windows 2000, or Windows XP http://support.microsoft.com/kb/8221582.)

1.2) Se você utiliza replicação de arquivos (NTFR) rodando em seu sistema, verifique se o seu software de Anti-Virus é compativel: 
KB815263 – Antivirus, backup, and disk optimization programs that are compatible with the File Replication Service http://support.microsoft.com/kb/815263 e exclua:

a.) A pasta %systemroot%\ntfrs (inclua todas as sub-pastas e arquivos)
b.) Arquivos que possuam a aextensão .log w .dit

1.3) Se você tem o IIS instalado, exclua:

a.) O diretorio de compressão do IIS  (default compression o diretório é  %systemroot%\IIS Temporary Compressed Files)
b.) A pasta %systemroot%\system32\inetsrv
c.) Os arquivos que de extensão .log 

Confira na base de conhecimento:
KB817442 – IIS 6.0: Antivirus Scanning of IIS Compression Directory May Result in 0-Byte File  http://support.microsoft.com/kb/817442
KB821749 – Antivirus software may cause IIS to stop unexpectedly http://support.microsoft.com/kb/821749

1.4) Se você tiver SQL instalado, recomenda-se que se exclua os arquivos de dados do sqlserver (.mdf)  e os arquivos de log (.ldf)  por razões de desempenho e integridade.

Além da exclusão do sqlserver, esta mesma regra poderá ser aplicada para outros bancos de dados.

1.5) Se você tiver o Exchange instalado, execute as relevantes exclusões listados nos artigos da Base de Conhecimento da Microsoft
KB328841 – Troca e software antivírus http://support.microsoft.com/kb/328841
KB823166 – Visão geral do Exchange Server 2003 e software antivírus http://support.microsoft.com/kb/823166
KB245822 – Recomendações para a solução de um computador do Exchange Server com software antivírus instalado http://support.microsoft.com/kb/245822

1.6) Se você tiver serviços de cluster, verifique se o software antivírus é compatível:
KB250355 – Software antivírus pode causar problemas com os Serviços de Cluster

http://support.microsoft.com/kb/250355

NOTA: Se você tiver um cluster SQL, verifique se você excluir esses locais a partir de verificação de vírus:

a.) Q:\ (unidade de quorum)
b.) %systemroot%\ Cluster
c.) arquivos de dados SQL Server que têm a extensão. mdf, a extensão. ldf,  ea extensão. ndf
 

1.7) Se você tiver Sharepoint instalado, você deve excluir:

a.)  Drive:\Arquivos de Programas\SharePoint Portal Server
b.) Drive:\Arquivos de programas \ Arquivos comuns \ Microsoft Shared \ Web Storage System
c.) Drive:\MSDEDatabases (particularmente no SBS) (onde Drive: é a letra da unidade onde você instalou o SharePoint Portal Server)

Consulte os artigos seguintes conhecimentos base para referência:
KB320111 – Erros aleatórios podem ocorrer quando o software antivírus Scans Microsoft Web Storage System http://support.microsoft.com/kb/320111
KB322941 – Posição da Microsoft sobre soluções antivírus para o Microsoft SharePoint Portal Server
http://support.microsoft.com/kb/322941

1.8) Se você possui um Windows Software Update Services (WSUS) como função de servidor, você considerar a exclusão de:
a.) Drive:\MSSQL$WSUS
b.) Drive:\WSUS
(onde Drive: é a letra da unidade onde você instalou o Windows Software Update
serviços)

Também se referem aos artigos seguintes conhecimentos base para referência:
KB900638 – Várias sintomas ocorrer se uma verificação antivírus ocorre enquanto o arquivo é copiado Wsusscan.cab  http://support.microsoft.com/kb/900638

MAIS INFORMAÇÕES:
KB49500 – Lista de fornecedores de software antivírus http://support.microsoft.com/kb/49500
KB129972 – Vírus de computador: descrição, prevenção e recuperação
http://support.microsoft.com/kb/129972