共用方式為

Was Virenscanner nicht scannen sollten

  • 發行項

Immer wieder erreichen uns Kundenanfragen, die über mysteriöse Probleme berichten. In diesem Beispiel beschrieb ein Kunde, dass der Rechner ‘irgendwie langsamer’ geworden ist und fand folgenden Eintrag in der Ereignisanzeige:

wuaueng.dll (504) SUS20ClientDataStore: A request to write to the file "C:\Windows\SoftwareDistribution\DataStore\DataStore.edb" at offset 0 (0x0000000000000000) for 32768 (0x00008000) bytes succeeded, but took an abnormally long time (21634 seconds) to be serviced by the OS. This problem is likely due to faulty hardware. Please contact your hardware vendor for further assistance diagnosing the problem.

Schuld an einem solchen Verhalten können Virenscanner sein, die bestimmte Bereiche des Computers wegen der dabei auftretenden Dateisperren aus Performancegründen nicht scannen sollten und aus Sicherheitsgründen auch nicht scannen müssen:

  • Microsoft Windows Update oder Automatic Update
    • Ausschließen folgender Dateien im Ordner %windir%\SoftwareDistribution\Datastore
      • Datastore.edb
    • Ausschließen folgender Dateien im Ordner %windir%\SoftwareDistribution\Datastore\Logs
      • Edb*.log
      • Res1.log (Edbres00001.jrs in Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2)
      • Res2.log (Edbres00002.jrs in Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2)
      • Edb.chk
      • Tmp.edb
    • Ausschließen folgender Dateien im Ordner %windir%\security:
      • *.edb
      • *.sdb
      • *.log
      • *.chk Wenn diese Dateien nicht ausgeschlossen werden, kann die Sicherheitsdatenbank beschädigt werden und dadurch Gruppenrichtlinien nicht angewendet werden. Es geht dabei insbesondere um folgende Dateien:
      • Edb.chk
      • Edb.log
      • *.log
      • Security.sdb im Ordner %windir%\security\databas
  • Gruppenrichtlinien
    • Ausschließen folgender Dateien im Ordner %allusersprofile%
      • NTUser.pol
    • Ausschließen folgender Dateien im Ordner %Systemroot%\system32\GroupPolicy\
      • registry.pol

Weitere Empfehlungen vor allem für Windows Server-basierende Domänencontroller sind in Virus scanning recommendations for computers that are running Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista, or Windows 7 beschrieben. Da nicht alle Virenscannerhersteller diese Empfehlungen von Microsoft umgesetzt haben, sollte man sich selbst vergewissern, dass man die Ausschlussliste entsprechend konfiguriert hat.

Update am 16.11.2009

Aufgrund des kontinuierlichen Feedbacks möchte ich noch auf einen weiteren Artikel hinweisen, der eine Linksammlung zu Artikeln enthält, in denen es um die richtige Konfiguration von Ausschlußlisten für Domänencontroller, Exchange Server, Internet Information Server (IIS), Internet Security and Acceleration (ISA) Server, SharePoint Portal Server, SQL Server, Systems Management Server (SMS), Virtual Server, Microsoft Virtual PC und Windows Update geht:

Recommended Forefront Client Security file and folder exclusions for Microsoft products
https://support.microsoft.com/kb/943556/en-us

Wenn man die Knowledge Base mit geeigneten Begriffen durchsucht, findet man noch jede Menge weitere Literatur zur Vertiefung des Themas.

Comments

  • Anonymous
    November 13, 2009
    MS Security Essentials macht das so?

  • Anonymous
    November 13, 2009
    Super. Endlich mal eine Info, was man scanen und was man nicht scannen soll. Von den Antivirenherstellern kommt da zu wenig. Wenn die diese Regeln dann noch einfach konfiguriernbar machen würden, würde das unsere Arbeit vereinfachen. Leider scheinen diese Ausnahmen ja auch MS Security Essentials unbekannt zu sein; oder zeigt man dem User nicht was man nicht scannt? Jetzt fehlt mir nur noch eine vernünftige Erklärung wie man scannt; also: nur beim Lesen nur beim Schreiben beim Umbennenh Archive ( bei jar dauert das ewig ) alle Datein oder nur bestimmte Erweiterungen. Da hat ja jedes Programm seine eigene Vorstellungen. Hier könnte sich MS auch mal genauer äussern. Und wenn Sec. Essentials auch für Firmen möglich wäre, dann könnte man den anderen Rest endlich vergessen. So meint jeder sein liebstes Antivirenprogramm sei das beste; weil z.B. schneller wie das des Kollegen. Abei keiner vergleicht mal wirklich die Einstellungen umd vernünftige Aussagen zu machen.

  • Anonymous
    November 14, 2009
    das ist jetzt wenigstens die Bestätigung der Vermutung, warum die secedit.sbd von heute auf morgen korrupt ist. Danke.

  • Anonymous
    November 14, 2009
    Super Tip, echt klasse, werd ich Montag gleich umsetzen ...

  • Anonymous
    November 16, 2009
    Hallo, das wird doch von MS sicherlich für die Hersteller von Antivirprgs dokumentiert, damit das bei der Entwicklung des Scanner mit einfliesst!? Das ist doch nicht der Job des User oder Admins sowas dem Virenscanner mitzuteilen! Aber wahrscheinlich doch...  :-( Gruss M.H.

  • Anonymous
    November 16, 2009
    Finde ich ebenfalls super die Auflistung, ist aber natürlich nicht abschliessend. Abhängig was auf dem Server läuft (IIS, Exchange, Caché, SQL etc.) müssen noch einige Ordner mehr ausgeschlossen werden. Generell schliesse ich Datenbankverzeichnisse immer vom Antiviren-Scan aus. Ich würde bei den Server sogar soweit tendieren, lieber zuviel als zuwenig auszuschliessen. Meistens hat man ja mehrstufige Scanprogramme, welche Viren schon viel früher abfangen. Zumindest ist dies meine Erfahrung. Gruss Davide

  • Anonymous
    November 16, 2009
    Vielen Dank an alle für das Feedback. Ich habe noch weitere Informationen in einem Update angehängt. Microsoft dokumentiert dazu eine ganze Menge. Wir können aber vor allem 3rd Party Software nicht komplett in dieser Hinsicht dokumentieren. Ich sehe hier natürlich die Administratoren in der Pflicht - in meiner Zeit als Administrator und Consultant war das Teil der Arbeit, die aufzusetzenden Systeme mit den korrekten Einstellungen zu konfigurieren - auch wenn das hieß, den Hersteller der 3rd Party Software nach solchen Informationen zu löchern oder, falls keine verfügbar waren, sich die verwendeten Systemtechnologien des Produkts anzuschauen und nach eigener Erfahrung zu konfigurieren.

  • Anonymous
    February 03, 2010
    Hi Daniel, greife mal die Frage von C. Dalke auf: Hat die MS Security Essential Reihe diese best-practices Einstellungen schon intus oder muss man hier auch noch selbst Hand anlegen? Denke das würde auch andere interessieren.

  • Anonymous
    September 13, 2016
    Danke für den Tipp. Habe das Vista Programm und Avira geladen. Jetzt werden Windows updates blockiert. Meine Frage ist, wie ich praktisch die geannten Dateien vom Scannen durch Avira ausschließe? Ich habe Avira gelöscht, das Problem besteht weiter. Gibt es eine Anleitung,wie ich die Dateien ausschließe? Danke für Info.