Препоръки за използване на антивирусни програми на компютри, работещи с поддържани версии на Windows

Преводи на статии Преводи на статии
ID на статията: 822158 - Преглед на продукти, за които се отнася тази статия.
Разгъване на всички | Сгъване на всички

На тази страница

ВЪВЕДЕНИЕ

Тази статия съдържа препоръки, които може да помогнат да определите причината за потенциална нестабилност на компютър, работещ с поддържана версия на Microsoft Windows, когато се използва с антивирусен софтуер в среда на домейн Active Directory или в управлявана фирмена среда.

Забележка Препоръчваме да приложите временно тези процедури, за да направите оценка на система. Ако в резултат на препоръките в тази статия производителността или стабилността на системата се подобрят, свържете се с доставчика на антивирусния софтуер за указания или за актуализирана версия на антивирусния софтуер.

Важно Тази статия съдържа информация, която показва как да понижите настройките за защита или как временно да изключите функциите за защитата на компютъра. Можете да направите тези промени, за да разберете естеството на конкретен проблем. Препоръчително е да оцените рисковете, които са свързани с изпълнението на това решение във вашата конкретна работна среда, преди да направите тези промени. Ако изпълните това решение, предприемете всички подходящи допълнителни стъпки, за да подобрите защитата на компютъра.

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

За компютри с Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista илиWindows 7

Предупреждение Това решение може да направи компютъра или мрежата уязвими на атаки на злонамерени потребители или злонамерен софтуер, като например вируси. Това решение не се препоръчва, но информацията за него се предоставя, за да може да го използвате по ваше усмотрение. Използвайте това решение на собствен риск.

Забележки
  • Не ни е известна опасност от изключването на определени файлове или папки, споменати в тази статия, от сканиране, извършвано от вашия антивирусен софтуер. Но за системата ви вероятно ще е по-безопасно да не изключвате файлове или папки от сканирането.
  • Когато сканирате тези файлове, това може да доведе до сериозни проблеми с производителността и надеждността на системата вследствие на заключването им.
  • Не изключвайте никой от тези файлове въз основа на разширението на името. Например не изключвайте всички файлове с разширение .dit. Microsoft няма контрол върху други файлове освен посочените в тази статия, макар че и други файлове могат да използват същите разширения.
  • Тази статия дава имената на файлове и папки, които може да бъдат изключени. Всички описани в тази статия файлове и папки са защитени с правата по подразбиране, позволяващи само СИСТЕМЕН и администраторски достъп, и съдържат само компоненти на операционната система. Изключването на цяла папка може да е по-просто, но то може да не осигури такава защита, както изключването на отделни файлове на основата на иментата им.

Изключване на сканирането на файлове, свързани с Windows Update или с услугата за автоматична актуализация

  • Изключете сканирането на файла с база данни, свързан с Windows Update или с услугата за автоматична актуализация (Datastore.edb). Този файл се намира в следната папка:
    %windir%\SoftwareDistribution\Datastore
  • Изключете сканирането на регистрационните файлове, намиращи се в следната папка:
    %windir%\SoftwareDistribution\Datastore\Logs
    По-специално, изключете следните файлове:
    • Res*.log
    • Res*.jrs
    • Edb.chk
    • Tmp.edb
    Заместващият символ (*) означава, че файловете може да са няколко.

Изключване на сканирането на файлове за защита на Windows

  • Добавете следните файлове в пътя %windir%\Security\Database към списъка за изключване:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Забележка Ако тези файлове не са изключени, антивирусният софтуер може да попречи на нормалния достъп до тях и базата данни за защита да се повреди. Сканирането на тези файлове може да попречи тези файлове да се използват или да попречи на прилагането на правила за защита към тях. Тези файлове не трябва да се сканират, тъй като е възможно антивирусният софтуер да не ги обработва като специални файлове с база данни.

Изключване на сканирането на файлове, свързани с групови правила

  • Данни в потребителския регистър за групови правила. Тези файлове се намират в следната папка:
    %allusersprofile%\
    По-специално, изключете следния файл:
    NTUser.pol
  • Файл с клиентски настройки за групови правила. Този файл се намира в следната папка:
    %Systemroot%\System32\GroupPolicy\
    По-специално, изключете следния файл:
    Registry.pol
За допълнителна информация щракнете върху следните номера на статии в Базата знания на Microsoft:
951059 На компютър, базиран на Windows Server 2003, базираните на регистъра настройки на правила неочаквано се премахват след влизането на потребител на компютъра (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)
930597 Някои базирани на регистъра настройки на правила се губят и в регистъра на приложенията се записват съобщения за грешки на компютър, базиран на Windows XP или Windows Vista (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)

За домейн контролери с Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 и Windows 2000

Тъй като домейн контролерите осигуряват на клиентите важни услуги, рискът от прекъсване на работата им вследствие на злонамерен код, зловредни програми или от вируси трябва да се сведе до минимум. Общоприетият начин за снижаване на опасността от инфекция е чрез антивирусен софтуер. Инсталирайте и конфигурирайте антивирусния софтуер така, че да намалите риска за домейн контролера колкото е възможно повече и същевременно да допуснете колкото може по-малко намаляване на производителността. По-долу са изброени препоръки, които да ви помогнат при конфигуриране и инсталиране на антивирусен софтуер на домейн контролер под Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 или Windows 2000:

Внимание Препоръчваме ви да приложите посочената по-долу конфигурация в тестов режим, за да проверите дали във вашата конкретна среда не възникват неочаквани последици или влошаване на стабилността на системата. Опасността от прекомерно сканиране е файловете да бъдат неподходящо мракирани като променени. Това води до прекомерня репликация в Active Directory. Ако тестването покаже, че репликацията не се влияе от долните препоръки, можете да използвате антивирусния софтуер в производствената ви среда.

Забележка Доставчиците на антивирусен софтуер може да имат конкретни препоръки, които да отменят препоръките в тази статия.
  • Антивирусният софтуер трябва да бъде инсталиран на всички домейн контролери в организацията. За препоръчване е да се постараете да инсталирате такъв софтуер и на всички други сървърни и клиентски системи, които трябва да взаимодействат с домейн контролерите. Оптималното е злонамереният софтуер да бъде уловен в най-ранната точка на поява, като напр. при защитната стена или на клиентската система, които първи са се натъкнали на него. Това предотвратява достигането му до инфраструктурните системи, от които зависи работата на клиентите.
  • Използвайте версия на антивирусния софтуер, която е предназначена за работа с Active Directory домейн контролери и която използва правилните приложни програмни интерфейси (API) за достъп до файловете на сървъра. По-старите версии на софтуера на повечето производители неправилно променят метаданните на файла при сканирането му. Това кара ядрото на услугата за репликация на файлове (FRS) да долови промяна във файла и затова да го постави в графика си за репликация. По-новите версии предотвратяват този проблем. За повече информация щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
    815263 Антивирусни програми, програми за архивиране и за оптимизация на дискове, които са съвместими с услугата за репликация на файлове (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)
  • Не използвайте домейн контролери за сърфиране в Интернет или за изпълнение на други дейности, чрез които може да проникне зловреден код.
  • Препоръчваме да намалите до минимум натоварването на домейн контролерите. Когато е възможно, избягвайте използването на домейн контролери в ролята на файлови сървъри. Това снижава дейността по сканиране на споделените файлове за вируси и минимизира разхода на производителност.
  • Не разполагайте услугата Active Directory или базата данни и регистрационните файлове на услугата FRS върху компресирани томове с файлова система NTFS.
    За повече информация щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
    318116 Проблеми с бази данни Jet на компресирани дискови устройства (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)

Изключване на сканирането на Active Directory и свързани с нея файлове

  • Изключете главните файлове на базите данни на NTDS. Местоположението на тези файлове е посочено в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Местоположението по подразбиране е %windir%\Ntds. По-специално, изключете следните файлове:
    Ntds.dit
    Ntds.pat
  • Изключете регистрационните файлове за транзакциите на Active Directory. Местоположението на тези файлове е посочено в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    Местоположението по подразбиране е %windir%\Ntds. По-специално, изключете следните файлове:
    • EDB*.log
    • Res*.log
    • Res*.jrs
    • Ntds.pat
    Забележка Windows Server 2003 вече не използва файла Ntds.pat.
  • Изключете работната папка на NTDS, посочена в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    По-специално, изключете следните файлове:
    • Temp.edb
    • Edb.chk

Изключване на сканирането на файловете на SYSVOL

  • Изключете сканирането на файловете в работната папка на услугата за репликация на файлове (FRS), посочена в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Местоположението по подразбиране е %windir%\Ntfrs. Изключете следните файлове, съществуващи в папката:
    • edb.chk
    • Ntfrs.jdb
    • *.log
  • Изключете сканирането на регистрационните файлове на базата данни на услугата за репликация на файлове (FRS), посочени в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Местоположението по подразбиране е %windir%\Ntfrs. Изключете следните файлове:
    • Eedb*.log (ако няма зададена стойност на ключа в системния регистър)
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 и Windows Server 2008 R2).
    • Edb*.jrs (Windows Server 2008 и Windows Server 2008 R2).
    Забележка Настройките за изключване на определени файлове са документирани тук с оглед на изчерпателност. По подразбиране тези папки позволяват само системен и администраторски достъп. Моля, убедете се, че са налице правилните защити. Тези папки съдържат само работни файлове на компоненти на FRS и DFSR.
  • Изключете сканирането на файла за междинен запис, посочен в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    Междинният запис по подразбиране използва следното местоположение:
    %systemroot%\Sysvol\Staging areas
    Изключете следните файлове:
    • Nntfrs_cmp*.*
  • Изключете сканирането на файлове в папката Sysvol\Sysvol.

    Текущото местоположение на папката Sysvol\Sysvol и всички нейни подпапки е целевият адрес на файловата система за повторна обработка на главната папка на репликационния комплект. По подразбиране папката SYSVOL\SYSVOL използва следното местоположение:
    %systemroot%\Sysvol\Sysvol
    Изключете следните файлове от тази папка и всички нейни подпапки:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Изключете сканирането на файловете в папката за предварително инсталиране на услугата FRS, намираща се на следното място:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Папката за предварително инсталиране е винаги отворена, когато FRS работи.

    Изключете следните файлове от тази папка и всички нейни подпапки:
    • Ntfrs*.*
  • Изключете сканирането на файлове в базата данни на DFSR и работните папки. Местоположението е указано в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    В този ключ на системния регистър "Path" е пътят до XML файл, деклариращ името на репликационната група. В този пример пътят би трябвало да съдържа "Domain System Volume."

    По подразбиране местоположението е в следната скрита папка:
    %systemdrive%\System Volume Information\DFSR
    Изключете следните файлове от тази папка и всички нейни подпапки:
    • $db_normal$
    • FileIDTable_2
    • SimilarityTable_2
    • *.xml
    • $db_dirty$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Ако някои от тези папки или файлове са преместени или разположени на друго място, сканирайте или изключете съответния елемент.

Изключване на сканирането на файлове на DFS

Същите ресурси, които се изключват за репликационен комплект SYSVOL, трябва да се изключат и когато FRS се използва за репликация на общи папки, добавени към главната папка на DFS и целевите папки на връзките, намиращи се върху абонатни компютри или домейн контролери, базирани на Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 или Windows 2000.

Изключване на сканирането на файлове на DHCP

По подразбиране файловете на DHCP, които трябва да се изключат, са в следната папка на сървъра:
%systemroot%\System32\DHCP
Изключете следните файлове от тази папка и всички нейни подпапки:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Местоположението на файловете на DHCP може да бъде променено. За да определите текущото местоположение на файловете на DHCP на сървъра, проверете параметрите DatabasePath, DhcpLogFilePath и BackupDatabasePath, указани в следния подключ на системния регистър:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

За домейн контролери с Windows Server 2008, Windows Server 2003 и Windows 2000

Изключване на сканирането на файлове на DNS

По подразбиране DNS използва следната папка:
%systemroot%\System32\Dns
Изключете следните файлове от тази папка и всички нейни подпапки:
  • *.log
  • *.dns
  • BOOT

Изключване на сканирането на файлове на WINS

По подразбиране WINS използва следната папка:
%systemroot%\System32\Wins
Изключете следните файлове от тази папка и всички нейни подпапки:
  • *.chk
  • *.log
  • *.mdb

Свойства

ID на статията: 822158 - Последна рецензия: 08 февруари 2010 г. - Редакция: 13.1
ВАЖИ ЗА:
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate
  • Windows Server 2008 Foundation
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
Ключови думи: 
kbinfo kbprb kbexpertiseinter kbsecurity KB822158

Изпратете обратна информация

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com