【推荐】ECS Windows三方杀毒防护软件的可能问题以及使用建议

  • A+
所属分类:云安全

在处理 ECS Windows相关案例中,我们遇到很多奇怪的操作系统问题,例如软件安装失败,无法激活操作系统,无法访问本地磁盘,网络访问受到影响,系统蓝屏,系统Hang等,排查发现这与客户安装的各类杀毒防护软件(360, Symantec, 服务器安全狗等)有关。一般而言,杀毒软件在正常情况下会保护系统不受病毒、木马的攻击影响,但是在某些特殊情况下,可能会因为兼容性问题,导致Windows操作系统出现上述提到的异常的行为。

杀毒软件原理


杀毒软件的工作原理是在通过Windows内核驱动(Filter Driver)处理IRP请求来进行磁盘,网络,应用程序的监控工作。

  • 影响软件安装,激活,访问本地磁盘文件
  • 影响网络访问

禁用杀毒软件是否能消除其影响?


客户经常会尝试在杀毒软件的管理控制台禁用防护功能,但是该操作未必能消除其影响,实际上杀毒软件的内核驱动仍然在运行,可能仍然会影响操作系统行为。只有完全卸载杀毒软件或者禁用对应的内核驱动才能排除杀毒软件的影响。

如何检查杀毒软件的内核驱动


我们可以通过Windows自带工具设备管理器或者msinfo32.exe检查正在运行的内核驱动,如果发现三方杀毒软件的驱动还在运行,说明其仍然在影响操作系统行为。

Windows Server 2008 R2

打开设备管理器,点击查看->显示隐藏的设备,检查”非即插即用驱动程序”,查看载入的驱动程序

【推荐】ECS Windows三方杀毒防护软件的可能问题以及使用建议

Windows Server 2012

开始->运行->Msinfo32.exe -> 系统摘要-> 软件环境->系统驱动程序。 检查运行的驱动中是否有三方杀毒软件的驱动。

【推荐】ECS Windows三方杀毒防护软件的可能问题以及使用建议
NAVENG以及NAVEX15是Symantec的内核驱动

排查方法


对于怀疑杀毒软件影响导致问题出现的案例, 如果有安装杀毒软件,请采用如下方案来避免杀毒软件的影响。

  • 卸载杀毒软件,确认杀毒软件内核驱动已经卸载,观察问题是否再次发生。
  • 使用msconfig进入安全模式,一般安全模式下不会载入三方杀毒软件内核驱动,检查在安全模式下是否有相同问题。
  • 使用Clean Boot,避免载入三方杀毒软件驱动测试
    https://support.microsoft.com/zh-cn/kb/929135

如果确认问题是三方杀毒软件引起,您可以联系软件厂商,下载最新版本的杀毒软件来排除兼容性问题。

示例案例


如下给出2个杀毒软件导致问题的示例案例。

案例1 安装.net失败

问题描述
.net framework 4.0安装不了,装到一半的时候自动回滚,提示安装失败。

【推荐】ECS Windows三方杀毒防护软件的可能问题以及使用建议

检查系统程序,应用日志,发现如下报错:

  1. 产品: Microsoft .NET Framework 4 Client Profile 错误 1406。无法将值 RequiredPrivileges 写入注册表项 \SYSTEM\CurrentControlSet\Services\clr_optimization_v4.0.30319_32。系统错误 。请确认您有足够的权限访问该注册表项,或者与您的技术支持人员联系。

问题排查

  • 由于提示权限访问失败,因此尝试使用process monitor检查是否有access denied错误出现,没有发现提示访问失败。一般而言,如果访问文件,注册表出现权限失败,会在process monitor查看到类似access denied的提示。
  • 打开注册表,尝试手工定位到HKLM\SYSTEM\CurrentControlSet\Services\,手工创建测试项test失败,检查另外一台Windows 2008 R2对比测试可以成功创建。

解决方案
根据上述测试和日志分析,我们怀疑访问注册表的过程中,在内核层面被拒绝,怀疑杀毒软件影响。检查发现服务器安全狗,卸载后问题解决,可以正常安装。

案例2 Windows系统激活失败

问题描述
Windows系统激活失败

问题排查

  • 运行激活命令:slmgr-ato,提示错误无法找到产品。
  • 通过微软官方网站的建议,需要删除sppsvc临时数据尝试重新激活slmgr -rilc,提示Windows错误“0xc0000022”(Access Denied).

【推荐】ECS Windows三方杀毒防护软件的可能问题以及使用建议

  • 尝试使用process monitor抓取日志,同样没有找到Access Denied的错误,怀疑三方杀毒软件。
  • 建议客户卸载360杀毒软件后问题解决。

admin
安全 ssl证书https 网站可信 防劫 防篡改防监听快速签发GeoTrust
网站定制/网站建设一条龙/不满意全额退款/云·企业官网
轻量应用服务器--云服务器vps 建站/应用/云主机
阿里云短信服务个人企业验证码系统&营销短信企业营销通用套餐

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: