Препоръки за сканиране за вируси за корпоративни компютри с Windows или Windows Server (KB822158)

Изключване на сканирането на файлове на Windows Update или автоматична актуализация

• Изключете сканирането на файла на базата данни на Windows Update или автоматичната актуализация (Datastore.edb). Този файл се намира в следната папка:

       %windir%\SoftwareDistribution\Datastore

• Изключете сканирането на регистрационните файлове, които се намират в следната папка:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  По-конкретно изключете следните файлове:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Заместващ символ (*) показва, че може да има няколко файла.

Изключване на сканирането на Защита в Windows файлове

• Добавете следните файлове в пътя до %windir%\Security\Database на списъка с изключения:

  • *.edb

  • *.sdb

  • *.Влезете

  • *.Chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Забележка Ако тези файлове не са изключени, антивирусният софтуер може да попречи на подходящия достъп до тези файлове, а базите данни за защита може да се повредят. Сканирането на тези файлове може да попречи на използването на файловете или може да попречи на прилагането на правила за защита към файловете. Тези файлове не трябва да се сканират, защото антивирусният софтуер може да не ги третира правилно като файлове на фирмена база данни.
  
  Това са препоръчителните изключения. Възможно е да има други типове файлове, които не са включени в тази статия, които трябва да бъдат изключени.

Изключване на сканирането на файлове, свързани с групови правила

• групови правила информация от системния регистър на потребителите. Тези файлове се намират в следната папка:

       %allusersprofile%\
  
  По-конкретно изключете следния файл:

       NTUser.pol

• групови правила файлове на настройките на клиента. Тези файлове се намират в следната папка:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  По-конкретно изключете следните файлове:

       Registry.pol
       Registry.tmp

Изключване на сканирането на файлове с потребителски профили

• Информация от системния регистър на потребителите и поддържащи файлове. Файловете се намират в следната папка:
  
       userprofile%\
  
  По-конкретно изключете следните файлове:
  
       NTUser.dat*

Изпълнение на антивирусен софтуер на домейнови контролери

Тъй като домейнови контролери предоставят важна услуга на клиентите, рискът от прекъсване на техните дейности от злонамерен код, от злонамерен софтуер или от вирус трябва да бъде намален. Антивирусният софтуер е общоприет начин за намаляване на риска от заразяване. Инсталирайте и конфигурирайте антивирусния софтуер, така че рискът за домейновия контролер да бъде намален колкото е възможно повече и производителността да бъде засегната възможно най-малко. Списъкът по-долу съдържа препоръки, които да ви помогнат да конфигурирате и инсталирате антивирусен софтуер на домейнов контролер на Windows Server.

Предупреждение Препоръчваме да приложите посочената по-долу конфигурация към тестова система, за да се уверите, че във вашата специфична среда тя не въвежда неочаквани фактори и не компрометира стабилността на системата. Рискът от твърде много сканиране е, че файловете се маркират неподходящо като променени. Това води до твърде много репликация в Active Directory. Ако тестването проверява дали репликацията не е засегната от препоръките по-долу, можете да приложите антивирусния софтуер към производствената среда.

Забележка Конкретни препоръки от доставчици на антивирусен софтуер може да замесят препоръките в тази статия.

• Антивирусният софтуер трябва да бъде инсталиран на всички домейнови контролери в предприятието. В идеалния случай се опитайте да инсталирате такъв софтуер на всички други сървърни и клиентски системи, които трябва да взаимодействат с домейнови контролери. Оптимално е да хванете злонамерения софтуер в най-ранната точка, като например в защитната стена или в клиентската система, където се въвежда злонамереният софтуер. Това предотвратява достигането на злонамерен софтуер до инфраструктурните системи, от които зависят клиентите.

• Използвайте версия на антивирусния софтуер, която е предназначена за работа с домейнови контролери на Active Directory и която използва правилните приложни програмни интерфейси (API) за достъп до файлове на сървъра. По-старите версии на софтуера на повечето доставчици променят неподходящо метаданните на файла, докато файлът се сканира. Това кара машината на услугата за репликация на файлове да разпознае промяна на файл и следователно да планира файла за репликация. По-новите версии предотвратяват този проблем.
  За повече информация вижте следната статия в базата знания на Microsoft:

  815263Антивирусни програми, програми за архивиране и оптимизиране на диска, които са съвместими с услугата за репликация на файлове

• Не използвайте домейнов контролер, за да сърфирате в интернет или да извършвате други дейности, които може да въведат злонамерен код.

• Препоръчваме да намалите работните натоварвания на домейнови контролери. Когато е възможно, избягвайте да използвате домейнови контролери в роля на файлов сървър. Това намалява активността на сканирането за вируси при споделяне на файлове и намалява техническите разходи.

• Не поставяйте active Directory или FRS бази данни и регистрационни файлове в компресирани томове на файловата система NTFS.

Изключване на сканирането на файлове на Active Directory и файлове, свързани с Active Directory

• Изключете файловете на основната NTDS база данни. Местоположението на тези файлове е указано в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Местоположението по подразбиране е %windir%\Ntds. По-конкретно изключете следните файлове:

  • Ntds.dit

  • Ntds.pat

• Изключете регистрационните файлове на транзакциите на Active Directory. Местоположението на тези файлове е указано в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Местоположението по подразбиране е %windir%\Ntds. По-конкретно изключете следните файлове:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Изключете файловете в работната папка на NTDS, която е зададена в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory По-конкретно изключете следните файлове:

  • Temp.edb

  • Edb.chk

Изключване на сканирането на SYSVOL файлове

• Изключете сканирането на файлове в работната папка на услугата за репликация на файлове (FRS), посочена в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Местоположението по подразбиране е %windir%\Ntfrs. Изключете следните файлове, които съществуват в папката:

  • edb.chk в папката %windir%\Ntfrs\jet\sys

  • Ntfrs.jdb в папката %windir%\Ntfrs\jet

  • *.log in the %windir%\Ntfrs\jet\log folder

• Изключете сканирането на файлове в регистрационните файлове на базата данни FRS, които са посочени в следния подключ на системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Местоположението по подразбиране е %windir%\Ntfrs. Изключете следните файлове:

  • Edb*.log (ако ключът от системния регистър не е зададен)

  • FRS Working Dir\Jet\Log\Edb*.jrs

• ЗабележкаНастройките за определени изключения от файлове са документирани тук за пълнота. По подразбиране тези папки позволяват достъп само до "Система" и "Администратори". Проверете дали са в сила правилните защити. Тези папки съдържат само компоненти работни файлове за FRS и DFSR.

• Изключете сканирането на папката NTFRS Staging, както е посочено в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage По подразбиране поставянето използва следното местоположение:

  %systemroot%\Sysvol\Staging areas

• Изключете сканирането на папката DFSR Staging, както е посочено в атрибута msDFSR-StagingPath на обекта CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName в AD DS. Този атрибут съдържа пътя до действителното местоположение, което DFS репликацията използва за поетапните файлове. По-конкретно изключете следните файлове:

  • Ntfrs_cmp*.*

  • *.frx

• Изключете сканирането на файлове в папката Sysvol\Sysvol или папката SYSVOL_DFSR\Sysvol.
  
  Текущото местоположение на папката Sysvol\Sysvol или SYSVOL_DFSR\Sysvol и всички подпапки е целта за повторна анализ на файловата система на корена на набора реплики. Папките Sysvol\Sysvol и SYSVOL_DFSR\Sysvol използват следните местоположения по подразбиране:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Пътят към текущо активния SYSVOL се посочва от дела NETLOGON и може да бъде определен от името на стойността sysVol в следния подключ:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Изключете следните файлове от тази папка и всички нейни подпапки:

  • *.Adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.Добавки

  • Oscfilter.ini

• Изключете сканирането на файлове в папката за предварително инсталиране на FRS, която е на следното място:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  Папката "Предварително инсталиране" винаги е отворена, когато се изпълнява FRS.
  
  Изключете следните файлове от тази папка и всички нейни подпапки:

  • Ntfrs*.*

• Изключете сканирането на файлове в DFSR базата данни и работните папки. Местоположението е зададено от следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path В този подключ от системния регистър "Път" е пътят на XML файл, който посочва името на групата на репликацията. В този пример пътят ще съдържа "Том на домейновата система".
  
  Местоположението по подразбиране е следната скрита папка:

       %systemdrive%\System Volume Information\DFSR
  
  Изключете следните файлове от тази папка и всички нейни подпапки:

  • $db_нормален$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db мръсница$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.Влезете

  • Fsr*.jrs

  • Tmp.edb

• Забележка Ако някоя от тези папки или файлове бъде преместена или поставена на друго място, сканирайте или изключете еквивалентния елемент.

Изключване на сканирането на DFS файлове

Същите ресурси, които са изключени за SYSVOL набор реплики също трябва да бъдат изключени, когато FRS или DFSR се използва за репликиране на дялове, които са нанесени на DFS корен и свързване цели на Windows Server 2008 R2 или Windows Server 2008 базирани членове компютри или домейнови контролери.

Изключване на сканирането на DHCP файлове

По подразбиране DHCP файловете, които трябва да бъдат изключени, присъстват в следната папка на сървъра:

%systemroot%\System32\DHCP Изключете следните файлове от тази папка и всички подпапки:

• *.Mdb

• *.Пат

• *.Влезете

• *.Chk

• *.edb

Местоположението на DHCP файловете може да бъде променено. За да определите текущото местоположение на DHCP файловете на сървъра, проверете параметрите DatabasePath, DhcpLogFilePath и BackupDatabasePath , които са зададени в следния подключ от системния регистър:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Изключване на сканирането на DNS файлове

По подразбиране DNS използва следната папка:

%systemroot%\System32\Dns Изключете следните файлове от тази папка и всички подпапки:

• *.Влезете

• *.Dns

• ОБУВКА

Изключване на сканирането на WINS файлове

По подразбиране WINS използва следната папка:

     %systemroot%\System32\Wins
Изключете следните файлове от тази папка и всички нейни подпапки:

• *.Chk

• *.Влезете

• *.Mdb

За компютри, работещи с Базирани на Hyper-V версии на Windows

В някои случаи на компютър, базиран на Windows Server 2008, който има инсталирана роля Hyper-V или на Microsoft Hyper-V Server 2008 или на компютър, базиран на Microsoft Hyper-V Server 2008 R2, може да е необходимо да конфигурирате компонента за сканиране в реално време в антивирусния софтуер, за да изключите файлове и цели папки. За повече информация вижте следната статия в базата знания на Microsoft:

• 961804Виртуалните машини липсват или възниква грешка 0x800704C8, 0x80070037 или 0x800703E3, когато се опитате да стартирате или създадете виртуална машина

Следващи стъпки

Ако производителността или стабилността на вашата система се подобряват с препоръките, дадени в тази статия, свържете се с доставчика на антивирусния софтуер за инструкции или за актуализирана версия или настройки на антивирусния софтуер.

Забележка Вашият доставчик на антивирусна програма на трето лице може да работи с екипа за поддръжка на Microsoft по разумни от търговската страна усилия.

Хронология на промените

 Следващата таблица обобщава някои от най-важните промени в тази тема.