Masalah dan rekomendasi untuk perangkat lunak antivirus pihak ketiga di Windows -

Topik ini menjelaskan potensi masalah dan rekomendasi terkait penggunaan perangkat lunak antivirus pihak ketiga pada instance Elastic Compute Service (ECS) yang menjalankan Windows.

Gambaran Masalah

Selama operasi dan pemeliharaan Server Windows, seperti instance ECS, Anda mungkin menghadapi pengecualian sistem. Contohnya meliputi kegagalan instalasi aplikasi, kesalahan aktivasi sistem operasi, akses disk atau jaringan yang tidak normal, layar biru, atau sistem yang tidak responsif. Proses pemecahan masalah sering kali menunjukkan bahwa masalah-masalah ini terkait dengan perangkat lunak antivirus atau keamanan pihak ketiga yang diinstal pada server, seperti 360, Symantec, atau Server Security Dog.

Penyebab

Perangkat lunak keamanan pihak ketiga memerlukan integrasi mendalam ke dalam kernel sistem operasi Windows untuk menyediakan pemantauan waktu nyata terhadap ancaman seperti virus dan Trojan. Integrasi ini umumnya dilakukan menggunakan driver kernel (Filter Drivers) yang mencegat dan menganalisis permintaan disk, jaringan, serta aplikasi. Integrasi sistem yang mendalam inilah yang menjadi akar potensi masalah:

Konflik kompatibilitas: Driver kernel perangkat lunak keamanan dapat bertentangan dengan komponen sistem Windows, driver aplikasi lain, atau pembaruan sistem, yang berpotensi menyebabkan ketidakstabilan sistem.
Pemblokiran izin: Mekanisme perlindungan perangkat lunak mungkin secara keliru memblokir operasi sistem normal, seperti membaca atau menulis registri atau mengakses file sistem, sehingga menyebabkan kegagalan instalasi perangkat lunak atau aktivasi sistem.
Kesulitan dalam menonaktifkan sepenuhnya: Memilih opsi "Nonaktifkan Perlindungan" atau "Keluar" di antarmuka perangkat lunak umumnya tidak akan menghapus driver kernel-nya. Driver tersebut tetap berjalan di latar belakang dan dapat memengaruhi perilaku sistem.

Langkah-langkah pemecahan masalah

Jika Anda mencurigai bahwa perangkat lunak keamanan pihak ketiga menyebabkan masalah sistem, ikuti langkah-langkah berikut untuk menganalisis dan memecahkan masalah.

Pastikan driver kernel perangkat lunak keamanan sedang berjalan.
Bahkan jika perangkat lunak dinonaktifkan, Anda dapat menggunakan metode berikut untuk memeriksa apakah driver intinya dimuat.
- Metode 1: Periksa Device Manager
  1. Buka Run (Win+R), ketik devmgmt.msc, lalu tekan Enter.
  2. Di bilah menu Device Manager, klik View > Show Hidden Devices.
  3. Perluas daftar Non-Plug And Play Drivers.
  4. Periksa daftar driver dari perangkat lunak keamanan pihak ketiga yang dikenal. Contohnya, NAVENG dan NAVEX15 merupakan driver kernel untuk Symantec.
- Metode 2: Periksa System Information
  1. Buka Run (Win+R), ketik msinfo32.exe, lalu tekan Enter.
  2. Di panel navigasi sebelah kiri, perluas Software Environment > System Drivers.
  3. Di daftar sebelah kanan, cari driver pihak ketiga yang mencurigakan. Sebagai contoh, NAVENG dan NAVEX15 merupakan driver kernel untuk Symantec.
Uji masalah dalam lingkungan terisolasi.
Jika masalah menghilang dalam mode boot bersih atau mode aman, Anda hampir pasti dapat yakin bahwa perangkat lunak atau layanan pihak ketiga adalah penyebabnya.
- Metode 1: Melakukan Boot Bersih
  Metode pemecahan masalah yang direkomendasikan ini memulai Windows tanpa memuat layanan dan driver pihak ketiga, sehingga membantu Anda dengan cepat mengidentifikasi masalah. Untuk informasi lebih lanjut, lihat dokumen resmi Microsoft Cara melakukan boot bersih di Windows.
- Metode 2: Masuk ke Mode Aman Mode aman memulai Windows dengan set driver minimal. Untuk langkah-langkah spesifik, lihat Bagaimana cara masuk ke Mode Aman pada instance Windows?.
Hapus sepenuhnya perangkat lunak.
Jika langkah-langkah sebelumnya mengonfirmasi bahwa masalah terkait dengan perangkat lunak keamanan, Anda dapat menyelesaikannya menggunakan salah satu metode berikut.
- Tingkatkan perangkat lunak. Hubungi vendor perangkat lunak untuk mengunduh versi terbaru perangkat lunak antivirus guna menghilangkan masalah kompatibilitas.
- Hapus sepenuhnya perangkat lunak. Gunakan alat penghapus resmi yang disediakan oleh vendor perangkat lunak untuk memastikan semua file dan driver terkait dihapus sepenuhnya. Setelah penghapusan, mulai ulang server dan periksa apakah masalah telah diselesaikan.

Studi kasus

Kasus 1: Instalasi .NET Framework gagal

Gejala: Saat menginstal .NET Framework 4.0, proses instalasi otomatis dibatalkan dan akhirnya gagal.
Prosedur Pemecahan Masalah:
1. Log aplikasi sistem menunjukkan kesalahan kritis: "Error 1406. Tidak dapat menulis nilai RequiredPrivileges ke kunci registri \SYSTEM\CurrentControlSet\Services\clr_optimization_v4.0.30319_32. Kesalahan sistem. Pastikan Anda memiliki izin yang cukup untuk mengakses kunci registri ini...".
2. Pemantauan proses instalasi menggunakan alat Process Monitor tidak menunjukkan adanya catatan "Access Denied" yang eksplisit.
3. Upaya membuat kunci baru secara manual di registri pada jalur `HKLM\SYSTEM\CurrentControlSet\Services\` gagal, meskipun operasi serupa berhasil dilakukan pada server sehat dengan konfigurasi identik.
4. Analisis mendalam menunjukkan bahwa, meskipun tidak ada log kesalahan izin eksplisit, operasi registri diblokir pada tingkat rendah, kemungkinan besar akibat tindakan pemblokiran tingkat kernel.
Solusi: Pemeriksaan menunjukkan bahwa "Server Security Dog" telah diinstal pada server. Setelah perangkat lunak tersebut sepenuhnya dihapus, instalasi .NET Framework berhasil diselesaikan.

Kasus 2: Aktivasi sistem Windows gagal

Gejala:
- Saat menjalankan slmgr -ato di baris perintah untuk mengaktifkan Windows, sistem mengembalikan pesan kesalahan "Produk tidak ditemukan".
- Mengikuti rekomendasi resmi Microsoft, menjalankan slmgr -rilc untuk menghapus data sppsvc sementara menghasilkan kesalahan "Error: 0xC0000022".
Prosedur Pemecahan Masalah:
1. Kode kesalahan 0xC0000022 umumnya terkait dengan masalah izin. Hal ini menunjukkan bahwa aplikasi tidak dapat mengakses komponen sistem yang diperlukan.
2. Analisis log menggunakan Process Monitor tidak menunjukkan kesalahan "Access Denied" secara langsung. Ini menunjukkan bahwa pemblokiran terjadi pada tingkat yang lebih rendah, kemungkinan besar disebabkan oleh perangkat lunak keamanan pihak ketiga yang salah mengidentifikasi tindakan sebagai berbahaya dan memblokirnya.
Solusi: Setelah menghapus perangkat lunak seperti 360 Security Guard dari server, aktivasi Windows berhasil dilakukan.

Rekomendasi utama

Utamakan perlindungan sistem bawaan. Untuk sistem Windows Server, Windows Defender adalah solusi perlindungan resmi, bawaan, dan gratis dari Microsoft. Solusi ini menawarkan kompatibilitas terbaik dengan sistem operasi, mengonsumsi sumber daya yang relatif sedikit, serta memberikan perlindungan keamanan dasar namun efektif.
Pilih perangkat lunak perlindungan pihak ketiga dengan hati-hati. Jika skenario bisnis Anda memerlukan perangkat lunak pihak ketiga, ikuti prinsip-prinsip berikut:
- Pilih versi khusus server: Pastikan untuk memilih versi yang dirancang khusus untuk lingkungan server, bukan versi desktop pribadi.
- Perbarui versi: Segera unduh dan perbarui perangkat lunak dari saluran resmi. Versi baru biasanya memperbaiki masalah kompatibilitas yang diketahui.
- Uji secara bertahap: Sebelum menerapkan ke lingkungan produksi, lakukan uji kompatibilitas menyeluruh pada server uji.
Kembangkan kebiasaan pemecahan masalah. Saat masalah tak terjelaskan terjadi pada server, pertimbangkan perangkat lunak keamanan pihak ketiga yang baru diinstal atau diperbarui sebagai tersangka utama. Pecahkan masalah dengan mengikuti langkah-langkah yang disediakan dalam topik ini.