Антивирус Касперский и контроллер домена Active Directory
Обновлено 01.02.2023
Добрый день!Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами разбирали житейскую проблему, когда ваш Ipad показывал вам ошибку 4013, 2009 или 5 при попытке обновиться или загрузиться. Сегодня я вернусь снова к теме, о Active Directory. За 2022 год большое количество компаний подверглось вредоносным атакам, поэтому пренебрежения по установке и внедрению антивирусного решения быть не должно. В моей компании очень давно используется отечественное решение от Касперского. Я вам хочу показать настройки, которые помогут вам подружить ваше антивирусное решение и ваши контроллеры домена, чтобы у тех и у других была плодотворная работа.
Возможные проблемы контроллеров домена при наличии антивируса Касперского
В тестовой среде мы стали проводить настройки политик на сервере KES. Первое на что мы нацелили свое внимание, это конечно же Active Directory, которую держат контроллеры домена, сердце большинства корпоративных сетей. Все тесты проводили на Kaspersky Endpoint Security 11.11, но они будут актуальны и для последующих версий. После установки антивируса на контроллер домена, который пока каждые три дня стали появляться проблемы с доступом к нему по сети и RDP, а так же у нас с ним прекращались реплики.
В логах на контроллере домена были выявлены вот такие ошибки:
Additional Data
Error value:
0 The operation completed successfully.
Internal ID:
3201111
User Action:
Make sure a global catalog is available in the forest, and is reachable from this domain controller. You may use the nltest utility to diagnose this problem.
Object:
CN=Exchange_Forwarding,OU=Distribution, OU=Groups,DC=Pyatilistnik,DC=org
User Action
Increase physical memory or virtual memory. If this error continues to occur, restart the local computer.
Additional Data
Error value:
8446
Internal ID:
20d0730
Object:
CN=N-20,OU=Remote computers,OU=Computers,OU=industry,DC=root,DC=Pyatilistnik,DC=org
Object GUID:
135bb6c8-0000-0000-0000-8257b5b4b33e
Source directory service:
16aaed31-aaca-0000-0000-92ce772cc5e8._msdcs.Pyatilistnik.org
Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.
This operation will be tried again at the next scheduled replication.
User Action
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).
Additional Data
Error value:
8446 The replication operation failed to allocate memory.
Если в этот момент попытаться проверить репликацию с другого контроллера домена с помощью утилиты Repadmin, то я получал ошибку "The RPC server is too busy to complete this operation".
Настройка антивируса Касперского для контроллеров домена
Проблема антивирусов, что они могут очень сильно загружать ресурсы проверяемой системы, могут из-за слишком интенсивной проверки поломать сервис и так далее. Для того чтобы найти компромисс различные разработчики систем и вендоры имеют рекомендации, что нужно внести в исключения, чтобы антивирусное решение не тратило на это время и сервис продолжал корректно работать.
В случае с Microsoft и контроллерами домена я могу выделить:
- ✅ Отключение сканирования связанных Windows или автоматического обновления. Отключение сканирования файла Windows или автоматического обновления базы данных
- ✅ Отключение сканирования файлов журнала
%windir%\SoftwareDistribution\Datastore\Logs Specifically\Edb.chk
%windir%\SoftwareDistribution\Datastore\Logs Specifically\Tmp.edb
- ✅ Отключение сканирования Безопасность Windows файлов
%windir%\Security\Database\*.sdb
%windir%\Security\Database\*.log
%windir%\Security\Database\*.chk
%windir%\Security\Database\*.jrs
%windir%\Security\Database\*.xml
%windir%\Security\Database\*.csv
%windir%\Security\Database\*.cmtx
- ✅ Отключение сканирования файлов, связанных с групповой политикой. Сведения о реестре пользователей групповой политики
- ✅ Файлы параметров клиента групповой политики
%SystemRoot%\System32\GroupPolicy\Machine\Registry.tmp
%SystemRoot%\System32\GroupPolicy\User\Registry.pol
%SystemRoot%\System32\GroupPolicy\User\Registry.tmp
- ✅ Отключение сканирования файлов профилей пользователей. Сведения о реестре пользователей и вспомогательные файлы
- ✅ Отключение сканирования файлов Active Directory и Active Directory. Исключить основные файлы базы данных NTDS
%windir%\Ntds\Ntds.pat
- ✅ Исключить файлы журналов транзакций Active Directory
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds.pat
- ✅ Исключить файлы из рабочей папки NTDS
Edb.chk
- ✅ Отключение сканирования SYSVOL-файлов. Отключение сканирования файлов в рабочей папке службы репликации файлов (FRS)
%windir%\Ntfrs\jet\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*.log
- ✅ Отключение сканирования файлов в файлах журнала баз данных FRS
%windir%\Ntfrs\Log\Edb*.jrs
- ✅ Отключение сканирования промежуточной папки NTFRS
- ✅ Отключение сканирования промежуточной папки DFSR. Отключение сканирования файлов в папке Sysvol\Sysvol или SYSVOL_DFSR\Sysvol
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\Registry.tmp
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
%systemroot%\Sysvol_DFSR\Domain\*.adm
%systemroot%\Sysvol_DFSR\Domain\*.admx
%systemroot%\Sysvol_DFSR\Domain\*.adml
%systemroot%\Sysvol_DFSR\Domain\Registry.pol
%systemroot%\Sysvol_DFSR\Domain\Registry.tmp
%systemroot%\Sysvol_DFSR\Domain\*.aas
%systemroot%\Sysvol_DFSR\Domain\*.inf
%systemroot%\Sysvol_DFSR\Domain\Scripts.ini
%systemroot%\Sysvol_DFSR\Domain\*.ins
%systemroot%\Sysvol_DFSR\Domain\Oscfilter.ini
- ✅ Отключение сканирования файлов в базе данных DFSR и рабочих папках.
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.xml
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\Fsr.chk
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb
- Отключение сканирования файлов DFS
- ✅ Отключение сканирования DHCP-файлов
%systemroot%\System32\DHCP\*.pat
%systemroot%\System32\DHCP\*.log
%systemroot%\System32\DHCP\*.chk
%systemroot%\System32\DHCP\*.edb
- ✅ Отключение сканирования DNS-файлов
%systemroot%\System32\Dns\*.dns
%systemroot%\System32\Dns\downloads\*
- ✅ Отключение сканирования файлов WINS
%systemroot%\System32\Wins\*.log
%systemroot%\System32\Wins\*.mdb
Все пути до БД Active Directory и папок политик прописаны в ветках реестра, их нужно изучать если у вас нестандартные каталоги установки AD.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \NtFrs\Parameters\Working Director
- HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services \Ntfrs\Parameters\DB Log File Directory
- HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services \NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \Netlogon\Parameters
- HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services \DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services \DHCPServer\Parameters
Исключения для DNS
По умолчанию DNS использует следующую папку:
%systemroot%\System32\Dns Исключить следующие файлы из этой папки и всех ее вложенных папок:
- *.log
- *.dns
Данные исключения проверены на контроллерах домена на базе Windows Server 2019 и Windows Server 2022.
Настройка исключений касперского для контроллеров домена
Напоминаю, что исключения в политике будут в разделе "Общие настройки - Исключения". Тут будет пункт исключения из проверки и доверенные приложения, вот здесь вы и укажите описанные выше пути, так же если есть важный, доверенный софт, то его можно задать на соседней вкладке, например утилита миграции между доменами ADMT или утилита синхронизации с Google.
Если интересен более подробный список, то пишите в комментариях попробую выложить. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.
Дополнительные ссылки
- https://support.microsoft.com/ru-ru/topic/%D1%80%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8-%D0%BF%D0%BE-%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B5-%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BE%D0%B2-enterprise-%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%B0%D1%85-%D1%81-windows-%D0%B8%D0%BB%D0%B8-windows-server-kb822158-c067a732-f24a-9079-d240-3733e39b40bc
Спасибо! Очень полезная информация! Было бы очень интересно посмотреть влияние Kaspersky Security для Windows Server 11 на контроллер домена.
Спасибо!
Было бы неплохо ознакомиться с полным списком — в KSC можно отдельно выбранные элементы в xml файл экспортировать