Jak wykluczyć SQL w GravityZone

Zdarza się, że Bitdefender GravityZone postrzega aplikacje łączące się z serwerami SQL jako zagrożenie. Ten artykuł zawiera ogólne informacje o sposobach wykluczenia takiej aplikacji ze skanowania.

Bitdefender GravityZone jest w stanie automatycznie wykluczyć ze skanowania pliki bazy danych SQL, oraz usług Microsoftu. Takie wyjątki można dodać w konsoli włączając w Polityce Wbudowane wykluczenia, w module Antymalware, w zakładce Ustawienia.

Jak wykluczyć pliki i foldery ze skanowania w GravityZone?

Pomimo przepuszczania usług Microsoftu, Bitdefender GravityZone może blokować konkretne pliki lub foldery należące do aplikacji łączącej się z serwerem bazy danych. Należy je wykluczyć ręcznie.

Uwaga!

Należy pamiętać, że w momencie gdy wykluczone pliki zostaną zainfekowane, oprogramowanie antywirusowe może nie wykryć tego zagrożenia!

Wyjątki dodaje się w konsoli zarządzającej po zalogowaniu. (https://gravityzone.bitdefender.com).

Należy przejść do odpowiedniej Polityki przypisanej do urządzeń, na których mają zostać zastosowane wykluczenia > Antymalware > Ustawienia i włączyć moduł Rozszerzenia Wyjątki.

W tabeli należy dodać pliki, które mają zostać wykluczone ze skanowania.

Zalecamy dodawanie do wyjątków po Typie Plik/Folder jednocześnie z typem Proces, jeśli zostaną one wskazane w konsoli za pomocą ścieżki.

Jeśli ścieżki na komputerach są różne, zalecamy ustawienie wyjątku jako Typ Hash pliku. Użytkownik musi wygenerować hash SHA-256 i wprowadzić go do środkowej kolumny tabeli. W tym przypadku lokalizacja plików nie będzie miała znaczenia.

Jakie rozszerzenia plików oraz, które foldery aplikacji SQL należy ręcznie wykluczyć ze skanowania?

SQL Server korzysta z kilku rozszerzeń plików, które należy dodać do wyjątków w oprogramowaniu antywirusowym.

Rozszerzenia plików danych SQL Server w większości przypadków są następujące: .mdf, .ldf, .ndf.

Rozszerzenia plików kopii zapasowych SQL Server w większości przypadków są następujące: .bak, .trn.

Pliki Śledzenia. Zazwyczaj posiadają one rozszerzenie .trc. Mogą zostać wygenerowane na dwa sposoby. Po włączeniu audytu C2 serwera lub ręcznie, podczas konfigurowania profilera śledzenia.

Pliki audytu SQL (dotyczy SQL Server 2008 lub nowszych). Mają one rozszerzenie .sqlaudit. Po więcej informacji, zajrzyj do artykułu Microsoft Docs SQL Server.

Pliki katalogu pełnotekstowego:

Domyślna instancja: Program Files\Microsoft SQL Server\MSSQL\FTDATA
Nazwa instancji: Program Files\Microsoft SQL Server\MSSQL$n
azwa_instancji\FTDATA

Pliki zapytań SQL. zazwyczaj mają rozszerzenie .sql i zawierają instrukcje języka Transact-SQL.

Pliki kopii zapasowych Analysis Services:

Od Analysis Services 2005 i nowszych domyślną lokalizacją dla pliku kopii zapasowej jest C:\Program Files\Microsoft SQL Server\MSSQL.X\OLAP\Backup.

Folder zawierający logi Analysis Services

Od Analysis Services 2005 i nowszych logi domyślnie znajdują się w C:\Program Files\Microsoft SQL Server\MSSQL.X\OLAP\Log.

Folder zawierający dane Analysis Services

Domyślną lokalizacją folderu jest C:\Program Files\Microsoft SQL Server\MSSQL.X\OLAP\Data.

Folder plików tymczasowych Analysis Services, które są używane podczas przetwarzania.

Domyślnie właściwość TempDir jest pusta i używany jest katalog domyślny: C:\Program Files\Microsoft SQL Server\MSSQL.X\OLAP\Data.

Foldery dla dowolnych partycji Analysis Services 2005 i nowszych, które nie są przechowywane w domyślnym katalogu danych.

Pliki danych Filestream (SQL 2008 i nowsze). Nie mają one z góry określonego typu rozszerzenia. Można je znaleźć w strukturze folderów na podstawie kontenera FILE_STREAM z sys.database_files.

Folder zawierający pliki tymczasowe i logi usług Reporting Services (RSTempFiles i LogFiles).

Pliki docelowe Extended Event. Zwykle są zapisane jako .xel lub .xem. Wygenerowane przez system pliki są zapisywane w folderze LOG.

Pliki Remote Blob Storage (SQL 2008 i nowsze).

Pliki zrzutu wyjątku. Zazwyczaj mają rozszerzenia .mdmp. Wygenerowane przez system pliki są zapisywane w folderze LOG.

Pliki OLTP w pamięci. Procedury i pliki powiązane z definicją tabeli w pamięci. Znajdują się w folderze DATA/xtp. Obejmują formaty:

xtp_<t/p>_<dbid>_<objid>.c
xtp_<t/p>_<dbid>_<objid>.dll
xtp_<t/p>_<dbid>_<objid>.obj
xtp_<t/p>_<dbid>_<objid>.out
xtp_<t/p>_<dbid>_<objid>.pdb
xtp_<t/p>_<dbid>_<objid>.xml

Również są to pliki punktów kontrolnych i delta, które nie mają określonych rozszerzeń. Można je znaleźć w strukturze folderów na podstawie kontenera FILE_STREAM z sys.database_files.

Pliki DBCC CHECKDB. Format plików:

<Nazwa_plikow_bazy.rozszerzenie>_MSSQL_DBCC<id_snapshota_bazy>. Są to pliki tymczasowe. Po więcej informacji zajrzyj do: Zachowanie DBCC CHECKDB, gdy baza danych SQL Server znajduje się na woluminie ReFS.

Pliki wykonywalne replikacji i obiekty COM po stronie serwera. Domyślne lokalizacje:

Dla systemów x86: <Napęd>:\Program Files (x86) \Microsoft SQL Server\<VN>\COM\
Dla systemów x64: <Napęd>:\Program Files\Microsoft SQL Server\<VN>\COM\

<VN> jest zastępcze i służy do informacji specyficznych dla wersji. Aby określić poprawną wartość należy sprawdz „Replikacja i obiekty COM po stronie serwera” w tabeli.

Na przykład dla programu SQL Server 2014 to <napęd>:\Program Files\Microsoft SQL Server\120\COM\.

Pliki w folderze Replication Snapshot. Domyślna ścieżka do plików to: \Microsoft SQL Server\MSSQLxx.MSSQLSERVER\MSSQL\ReplData. Zazwyczaj są to rozszerzenia: .sch, .idx, .bcp, .pre, .cft, .dri, .trg lub.prc.

Które procesy należy wykluczyć ze skanowania?

%ProgramFiles%\Microsoft SQL Server\<ID_Instancji>.<Nazwa Instancji>\MSSQL\Binn\SQLServr.exe

%ProgramFiles%\Microsoft SQL Server\<ID_Instancji>.<Nazwa Instancji>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe

%ProgramFiles%\Microsoft SQL Server\<ID_Instancji>.<Nazwa Instancji>\OLAP\Bin\MSMDSrv.exe

Źródło: https://support.microsoft.com/en-us/help/309422/choosing-antivirus-software-for-computers-that-run-sql-server