2012年6月18日 星期一

設定 Hyper-V 主機上的防毒軟體排除目錄及檔案

昨天晚餐飯後之餘,正在收 E-Mail 時看到 Blog 有網友來信詢問,他說他公司的 Hyper-V 主機究竟該不該安裝防毒軟體,怕裝了防毒軟體後,效能會下降或影響到 Hyper-V 主機的運作。

這個問題當初筆者也有思考過,但我不會很直接的告訴您,該裝或是不該裝,畢竟管理該 Hyper-V 主機的人是您而不是我,貴公司的所有主機、網路架構,並不是我所規畫,我也不清楚、不了解貴公司使用者的使用習慣及 IT 人員的習性,所以我不會給您肯定的答案。

但我能很肯定的告訴您,筆者站在資訊安全的角度及防禦上來看,筆者所管理的 Hyper-V 主機,是有安裝防毒軟體的,但有些重要的目錄及檔案,一定要排除,否則真的會讓 Hyper-V 主機效能下降或運作狀況出現問題。

裝了防毒軟體,多少會吃掉一些必要的記憶體,但有效的設定防毒軟體及排除必要的目錄及檔案外,更重要的是,防毒軟體能保護您的 Host 主機不被病毒攻擊,更可以避免病毒攻擊 Hypervisor 層,但要記住..... Host 主機安裝防毒軟體,不表示您的 Guest 主機就受到保護,這是錯誤的觀念。

接下來筆者就拿實際的案例做個簡單的說明

筆者 Hyper-V 主機所安裝的防毒軟體是 Microsoft Security Essentials 4.0 ,安裝及設定都採用預設安裝及設定,但唯一需要變更的地方有三個。

1、排除的檔案與位置,筆者設定了以下的排除目錄。

C:\Program Files\Hyper-V
C:\Program Files\VMC to Hyper-V Import Tool
C:\ProgramData\Microsoft\Windows\Hyper-V
C:\Users\Public\Documents\Hyper-V\Virtual hard disks
C:\VM (Local)
E:\VM (iSCSI Initiator)

紅色文字部份就必須視您實際存放 Hyper-V 的 VHD 檔的路徑而定


2、排除的檔案類型,筆者設定了以下的排除檔案類型 (副檔名)。

AVHD、ISO、VFD、VHD、VSV、XML,未來在 Hyper-V 3.0,就要在加上 VHDX 及 AVHDX。


3、排除的處理程序,筆者設定了以下的處理程序排除。

C:\Windows\System32\vmms.exe (虛擬機器管理服務)
C:\Windows\System32\vmwp.exe (虛擬機器工作者處理序)

這兩個檔案是 Hyper-V 必要的處理程序檔案,為了避免防毒軟體誤判而將整組 Hyper-V 搞死,所以必需要設定上去。


有了這些排除掃描的條件之下, Hyper-V 主機就更多了一層保護,不置於被病毒或惡意程式破壞整台 Hyper-V 主機。

相關資源:
1、疑難排解 Hyper-V
2、當您建立或啟動虛擬機器,在 Windows Server 2008 為基礎的電腦具有 Hyper-V 或上一個 Microsoft 的錯誤碼 Hyper-V Server 2008 架構的電腦: 0x800704C8 」、 0x80070037 」 或 0x800703E3"
3、A System Center Virtual Machine Manager 2008 P2V fails with 'A device attached to the system is not functioning (0x8007001F)'
4、Antivirus and Hyper-V (or: Why can’t I start my virtual machine?)
5、Windows Anti-Virus Exclusion List (en-US)
6、TrendMicro OfficeScan防毒軟體與Hyper-V

其他資源:
開啟 Windows 8 內建 Hyper-V 3.0 虛擬化功能
微軟推出的免費防毒軟體-Microsoft Security Essentials (MSE) 
Microsoft Security Essentials (MSE) - 安裝篇
Microsoft Security Essentials (MSE) - 功能篇
Microsoft Security Essentials (MSE) - 4.0 Beta
Microsoft Security Essentials (MSE) - 4.0 多語系正式推出
Microsoft 防毒軟體:安裝與組態 System Center 2012 Endpoint Protection

5 則留言:

  1. 原來如此,難怪公司主機狀況時好時壞的,調整後情況好多了,會在觀察一陣子看看,感謝分享,謝謝。

    回覆刪除
  2. 請問MSE可有支援Windows Server 2012的版本嗎?

    回覆刪除
    回覆
    1. 您好!
      目前的MSE版本不支援Windows Server 2012及Windows 8,不過倒是可以用System Center 2012 Endpoint Protection。

      刪除
    2. 您好,您提供的資訊很有幫助,不過這樣的例外會造成病毒可藏匿在除外資料夾中,針對這個風險不知道您有什麼樣的想法?

      刪除
    3. 您好!
      正式環境有大量VM要求更穩定更低風險的話,我會建議使用server core hyper-v,況且,Hyper-V的host,應該都在防火牆後端的保護下,不能隨意的讓他人存取。

      刪除