Kaspersky Anti-Virus 6.0 für Windows Server Enterprise Edition MP2 (Builds 6.0.2 [551-555])

	Referenzen:
	Ausnahme von der Untersuchung des Anti-Virus mithilfe von der Vertrauenswürdigen Zone Wie kann Anzahl der Prozesse von Kaspersky Anti-Virus 6.0 für Windows Servers Enterprise Edition geändert werden Wie kann man Ausnahmen von der Untersuchung individuell für bestimmte Aufgabe einstellen? Was bedeutet der Parameter "Nur neue und veränderte Dateien untersuchen"?

Folgende Methoden können zur Beschleunigung der Arbeit von Kaspersky Anti-Virus verwendet werden:

• Einschränkung des Schutzbereichs ( für die Aufgaben Echtzeitschutz für Dateien und Scan auf Befehl)

Für jede Aufgabe von Anti-Virus können Sie aus der Untersuchung irgendwelche Ordner und Dateien ausschließen. Sie können auch die Dateitypen wählen, die in den ausgewählten Bereichen (alle Dateien, nach Inhalt oder nach Masken / Erweiterungen) vom Anti-Virus untersucht werden müssen.

• Untersuchungsmodus von Objekten (für die Aufgabe Echtzeitschutz für Dateien).

Mit dieser Einstellung können Sie bestimmen, im welchen Moment das Objekt vom Anti-Virus untersucht wird (Eigenschaften der Aufgabe Echtzeitschutz für Dateien, Registerkarte Schutzmodus). 

• Untersuchung von nur neuen und veränderten Dateien.

• Ausnahme der Prozesse von gewählten Anwendungen von der Untersuchung (für die Aufgabe Echtzeitschutz für Dateien).

Liste der vertrauenswürdigen Prozesse kann in der vertrauenswürdigen Zone von Kaspersky Anti-Virus angelegt werden. 

• Vergrößerung der Anzahl der Arbeitsprozesse von Anti-Virus, in den er Aufgaben des Antiviren-Schutzes des Servers ausfüllt.
• Ausnahme vom Echtzeitschutz der Objekte, die von Microsoft Corporation aus nicht infizierbare bestimmt werden.

Im automatischen Modus kann das nur bei der Installation von Kaspersky Anti-Virus 6.0 für Windows Servers Enterprise Edition gemacht werden.

• Einschränkung der zu untersuchenden Objekte nach Größe (nur für Compound-Objekte) und nach Untersuchungsdauer (für die Aufgaben Echtzeitschutz für Dateien und Scan auf Befehl).

• Ausnahme von der Untersuchung bei Verwendung von Kaspersky Anti-Virus 6.0 für Windows Servers Enterprise Edition auf einem Mail-Server.

Bei Verwendung auf einem Server des Kaspersky Anti-Virus 6.0 für Windows Servers Enterprise Edition und eines anderen Antiviren-Anwendung für den Schutz des Mail-Servers schließen Sie im Kaspersky Anti-Virus 6.0 für Windows Servers Enterprise Edition (für die Aufgaben Echtzeitschutz für Dateien und Scan auf Befehl) folgende Bereiche von der Untersuchung aus:

• Virtuelles Laufwerk M: (nur für Microsoft Exchange Server 2000);
• Temporäre Directory, die vom Anti-Virus des Mail-Servers verwendet wird;
• Quarantäne-Verzeichnis, in das Mail-Server-Anti-Virus infizierte Objekte isolieren wird (wenn im Mail-Server-Anti-Virus solche Möglichkeit vorgesehen ist).
• iChecker-Technologie (für die Aufgaben Echtzeitschutz für Dateien und Scan auf Befehl).

Funktionsprinzip der iChecker-Technologie ist auf der Berechnung und dem Vergleich der Kontrollsumme der Datei (CRC) gegründet. Bei der ersten Untersuchung des Objekts wird seine Kontrollsumme behalten. Kontrollsumme ist die einmalige digitale Signatur eines Objekts (einer Datei), die die Authentizität dieses Objekts (der Datei) identifizieren lässt. Die Kontrollsumme ändert sich jedes Mal, wenn das Objekt geändert wird. Diese Information wird in eine spezielle Tabelle gespeichert. Bei der nächsten Untersuchung des Objekts werden die vorherige und die aktuelle Kontrollsumme verglichen. Wenn die beiden Summen nicht zusammenfallen, zeugt das von Veränderungen im Objekt. In diesem Fall wird das Objekt wiederholt auf das Vorhanden eines bösartigen Codes untersucht. Falls die Kontrollsummen zusammenfallen, wird die Untersuchung des Objekts ausgelassen.

Erste 1-2 Wochen der Verwendung von Kaspersky Anti-Virus werden diese speziellen Tabellen während der Aktualisierung der Datenbanken gelöscht. D.h. die Dateien, auch wenn sie nicht verändert wurden, werden auch untersucht. Im Weiteren wenn die Datei nicht geändert wird, werden Informationen über ihre Kontrollsumme ab und zu auch gelöscht, aber immer seltener. Wenn für ein Jahr die Datei nicht verändert wurde, wird seine Kontrollsumme aus der Tabelle nicht mehr gelöscht.

Tabelle der Kontrollsummen ist einheitlich für alle Aufgaben des Antiviren-Schutz.

Vorteile der iChecker-Technologie:

• Kopie des untersuchten Objekts wird in einem beliebigen Ordner, einer Mail oder im Archiv erkannt. 
• iChecker-Technologie erlaubt es, die Objekte auf Datenträgern, Autostart-Objekten, Anhängen in E-Mails u.s.w. zu untersuchen 
• Es werden Möglichkeiten des Betriebssystems Windows ausgenutzt, um bei der ersten Untersuchung der Autostart-Objekte und bei der ersten vollständigen Untersuchung den Vorgang zu optimieren und die Geschwindigkeit zu steigern

Beschränkungen der iChecker-Technologie:

• die Technologie funktioniert mit den großen Dateien nicht, weil in diesen Fällen es schneller ist, die gesamte Datei zu untersuchen, als die Kontrollsummen auszurechnen 
• die Technologie kann nur auf Objekte angewandt werden, deren Struktur der Kaspersky Labs Anwendung bekannt ist (z.B. die Dateiformate exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar)

Standardmäßig ist die Verwendung von iChecker-Technologie aktiviert. Die iChecker-Technologie wird für jede Aufgabe extra deaktiviert – in den Einstellungen der ausgewählten Aufgabe, auf der Registerkarte Leistung).

• iSwift-Technologie (für die Aufgaben Echtzeitschutz für Dateien und Scan auf Befehl);

Diese Technologie wurde für die Dateisystem NTFS erarbeitet. In diesem System wird jedem Objekt ein NTFS-Bezeichner verliehen. Dieser Bezeichner wird mit den Werten in der besonderen iSwift-Datenbank verglichen. Falls die Angaben in der Datenbank mit dem NTFS-Bezeichner nicht zusammenfallen, wird das Objekt untersucht oder erneut untersucht, wenn es geändert wurde.

Dieser Algorithmus berücksichtigt das Datum der letzten Untersuchung des Objekts und entscheidet über die erneute Untersuchung des Objekts. Die Entscheidung fußt sich auf der geometrischen Reihe mit zufälligen Elementen, und zwar: wenn dieselbe oder längere Zeitperiode vergangen ist, als seit der ersten bis zur letzten Untersuchung, wird das Objekt erneut untersucht. Der Algorithmus berücksichtigt Zwischenuntersuchungen nicht, nur die Zeit zwischen der ersten und der letzten Untersuchung dieses Objekts wird berücksichtigt. Das Objekt wird auch in dem Fall untersucht, wenn die Einstellungen strenger gemacht wurden.

Vorteile der iSwift-Technologie:

• iSwift funktioniert schneller als iChecker, weil es keine Berechnung der Kontrollsumme der untersuchten Objekte erforderlich ist  
• iSwift kann an Objekte verschiedener Formate, Größe und Typen angewandt werden.

Beschränkungen der iSwift-Technologie:

• die Technologie ist an bestimmte Lage der Datei im Dateisystem angebunden. Wenn die Datei kopiert oder verschoben wird, wird sie erneut untersucht.  
• Die Technologie kann nur ans Dateisystem NTFS angewandt werden. In diesem Zusammenhang funktioniert die iSwift-Technologie in den Betriebssystemen Microsoft Windows 98SE/ME nicht.

Standardmäßig ist die Verwendung der Technologie iSwift aktiviert. Sie können diese Technologie in den Einstellungen der gewählten Aufgabe auf der Registerkarte Leistung deaktivieren.

• Technologie iNetSwift (für die Aufgaben Echtzeitschutz für Dateien und Scan auf Befehl).

Sie erlaubt die Dateien, die auf anderen Computern aufbewahrt werden, auf denen eine der folgenden Anwendungen installiert ist und iNetSwift aktiviert wurde, von der Untersuchung auszuschließen. Das sind folgende Produkte:

• Kaspersky Anti-Virus 6.0 für Windows Workstations
• Kaspersky Anti-Virus 6.0 für Windows Servers
• Kaspersky Anti-Virus 6.0 für Windows Servers Enterprise Edition
• Kaspersky Anti-Virus 6.0 / 7.0
• Kaspersky  Internet Security 6.0 / 7.0

Beispiel.

Auf dem Server ist Kaspersky Anti-Virus 6.0 für Windows Servers Enterprise Edition installiert. Bei der Untersuchung der Datei Price.doc teilt der Anti-Virus auf dem geschützten Server mit, dass die Datei dank der iSwift-Technologie als nicht infiziert erkannt wurde (Objekt ist nicht infiziert. Grund: Objekt ist mit der Datenbank iSwift ™ überprüft).

Auf der Workstation ist Kaspersky Anti-Virus 6.0 für Windows Workstations installiert auf dieser Workstation versucht man die Datei Price.doc zu öffnen (nicht kopieren, sondern öffnen).

Als Ergebnis wird Kaspersky Anti-Virus 6.0 für Windows Workstations diese Datei nicht untersuchen, sondern wird ihr den Status nicht infiziert geben.

So benimmt sich der Anti-Virus, wenn gerade in diesem Moment Anti-Virus auf dem Server die Datei als nicht infiziert dank der iSwift-Technologie erkennt!

Da die iNetSwift-Technologie direkt mit der iSwift-Technologie verbunden ist, wird ihre Verwendung gleichzeitig aktiviert – beim Setzen / Absetzen des Häkchens iSwift-Technologie verwenden (Einstellungen der Aufgabe, Registerkarte Leistung). Sie können aber die iNetSwift-Technologie deaktivieren, indem Sie die iSwift-Technologie zu verwenden fortsetzen. Dafür geben Sie in das Systemverzeichnis den folgenden Parameter:
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Klif\Parameters]
INetSwiftDisable=0x00000001

Wenn auf dem geschützten Server Novell Client For Windows XP/2003 der Version 4.71 oder höher installiert ist, funktioniert die iNetSwift-Technologie nicht! Diese Parameter wird in das Verzeichnis sofort bei der Installation von Kaspersky Anti-Virus für Windows Servers Enterprise Edition hinzugefügt.