Recomendaciones para la detección de virus en equipos de empresa que ejecutan actualmente versiones compatibles de Windows

Seleccione idioma Seleccione idioma
Id. de artículo: 822158 - Ver los productos a los que se aplica este artículo
Aviso

Información para usuarios domésticos

Para obtener más información acerca de la detección de virus con recomendaciones para los consumidores, visite la siguiente página web de Microsoft:
http://windows.microsoft.com/es-es/windows-vista/Viruses-frequently-asked-questions
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Este artículo contiene recomendaciones que pueden ayudar a un administrador a determinar el origen de posibles inestabilidades en equipos que ejecutan una versión compatible de Microsoft Windows cuando se usa en combinación con software antivirus en un entorno de dominios de Active Directory o en un entorno empresarial administrado.

Nota: se recomienda que aplique temporalmente estos procedimientos para evaluar el sistema. Si las recomendaciones realizadas en este artículo han servido para mejorar el rendimiento o la estabilidad de su sistema, póngase en contacto con su proveedor de software antivirus para obtener instrucciones o para solicitar una versión actualizada del software antivirus.

Importante: este artículo contiene información que muestra cómo reducir la configuración de seguridad o cómo desactivar temporalmente las características de seguridad en un equipo. Puede realizar estos cambios para comprender la naturaleza de un problema específico. Pero antes de realizarlos, recomendamos que evalúe los riesgos asociados a esta solución temporal en su entorno concreto. Si decide implementar esta solución temporal, tome las medidas adicionales oportunas para ayudar a proteger el equipo.

Más información

En equipos que ejecutan Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista o Windows 7

Advertencia: esta solución temporal puede hacer que un equipo o una red sean más vulnerables a los ataques de usuarios malintencionados o de software malintencionado, como los virus. No recomendamos esta solución, pero proporcionamos la información para que pueda decidir por sí mismo si la implementa. Utilice esta solución temporal bajo su responsabilidad.

Notas
  • Que sepamos, la exclusión de los archivos o carpetas que se mencionan en este artículo de los análisis antivirus no supone ningún riesgo para su sistema. No obstante, puede ser más seguro no realizar tal acción.
  • Cuando analice estos archivos, se pueden producir problemas de estabilidad y rendimiento del sistema operativo debido al bloqueo de archivos.
  • No excluya ninguno de estos archivos basándose en la extensión del nombre de archivo. Por ejemplo, no excluya todos los archivos que tengan la extensión .dit. Microsoft no tiene control sobre otros archivos que puedan utilizar las mismas extensiones que los archivos que se describen en este artículo.
  • En este artículo se proporciona los nombres de archivos y carpetas que se pueden excluir. Todos los archivos y carpetas que se describen en este artículo están protegidos con permisos predeterminados para permitir acceso únicamente del sistema y del administrador, y sólo contienen componentes del sistema operativo. Si bien la exclusión de una carpeta entera puede ser lo más sencillo, es posible que no suponga tanta protección como el hecho de excluir archivos específicos en función de su nombre.

Desactivar el examen del archivo "tmp.edb" de Microsoft Forefront

  • Si utiliza Forefront, desactive el examen del archivo de base de datos de Forefront (tmp.edb). Este archivo se encuentra en la siguiente carpeta:
    %windir%\SoftwareDistribution\Datastore
  • Desactivar el análisis de los archivos de registro que se encuentran en la carpeta siguiente:
    %ProgramData%\Microsoft\Search\Data\Applications\Windows

Desactivar el análisis de archivos relacionados con Windows Update o con actualizaciones automáticas

  • Desactivar el análisis del archivo de base de datos de Windows Update o de actualizaciones automáticas (DataStore.edb). Este archivo se encuentra en la siguiente carpeta:
    %windir%\SoftwareDistribution\Datastore
  • Desactivar el examen de los archivos de registro que se encuentran en la carpeta siguiente:
    %windir%\SoftwareDistribution\Datastore\Logs
    Excluya específicamente los archivos siguientes:
    • Res*.log
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
    El carácter comodín (*) indica que puede haber varios archivos.

Desactivar el análisis de los archivos de seguridad de Windows

  • Agregue los siguientes archivos en la ruta de acceso %windir%\Security\Database de la lista de exclusiones:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Nota: si estos archivos no se excluyen, el software antivirus podría impedir el acceso adecuado a éstos y las bases de datos de seguridad podrían resultar dañadas. El análisis de estos archivos podría impedir que se utilizaran o que se les aplicara una directiva de seguridad. Estos archivos no se deben analizar porque el software antivirus podría no tratarlos correctamente como archivos de base de datos propietarios.

Desactivar el análisis de archivos relacionados con la directiva de grupo

  • Información de registro de usuario de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:
    %allusersprofile%\
    En concreto, excluya el siguiente archivo:
    NTUser.pol
  • Archivo de configuración de cliente de directiva de grupo. Este archivo se encuentra en la siguiente carpeta:
    %Systemroot%\System32\GroupPolicy\
    En concreto, excluya el siguiente archivo:
    Registry.pol
Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
951059 En un equipo con Windows Server 2003, la configuración de directivas basadas en el Registro se elimina de forma inesperada cuando un usuario inicia la sesión en el equipo
930597 Parte de la configuración de directivas basadas en el Registro se pierde y se registran mensajes de error en el registro de aplicación en equipos con Windows XP o Windows Vista

En controladores de dominio de Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 y Windows 2000

Dado que los controladores de dominio proporcionan un importante servicio a los clientes, se debe reducir el riesgo de interrupción de sus actividades por parte de código malintencionado, malware o virus. El software antivirus es la forma aceptada en general para mitigar el riesgo de infección. Instale y configure software antivirus para reducir en la medida de lo posible el riesgo para el controlador de dominio y para que el rendimiento se vea lo menos afectado posible. La lista siguiente contiene recomendaciones para ayudarle a configurar e instalar software antivirus en un controlador de dominio de Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 o Windows 2000.

Advertencia: se recomienda aplicar la siguiente configuración especificada en un sistema de prueba con el fin de asegurarse de que en su entorno concreto no introduce ningún factor inesperado ni pone en peligro la estabilidad del sistema. El riesgo de análisis excesivos es que los archivos se marcan incorrectamente como modificados. Como consecuencia, se producen demasiadas replicaciones en Active Directory. Si la prueba certifica que la replicación no se ve afectada por las recomendaciones siguientes, puede aplicar el software antivirus al entorno de producción.

Nota: las recomendaciones específicas de los proveedores de software antivirus pueden reemplazar las recomendaciones de este artículo.
  • El software antivirus debe instalarse en todos los controladores de dominio de la empresa. Idealmente, procure instalar ese software en todos los demás sistemas servidor y cliente que tengan que interactuar con los controladores de dominio. Lo mejor es interceptar el malware lo antes posible, como en el firewall o en el sistema cliente donde se introdujo por primera vez. Esto impide que el malware alcance los sistemas de la infraestructura de los que dependen los clientes.
  • Utilice una versión del software antivirus diseñada para funcionar en controladores de dominio de Active Directory y que utilice las Interfaces de programación de aplicaciones (API) correctas para tener acceso a los archivos del servidor. Las versiones anteriores de software de la mayoría de los proveedores cambian incorrectamente los metadatos de un archivo a medida que éste se analiza. Esto hace que el motor del Servicio de replicación de archivos reconozca un archivo modificado y que, por lo tanto, programe su replicación. Las versiones más recientes no producen este problema. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    815263 Programas antivirus, de copia de seguridad y de optimización de discos que son compatibles con el Servicio de replicación de archivos
  • No utilice un controlador de dominio para explorar Internet ni para realizar otras actividades que puedan introducir código malintencionado.
  • Se recomienda minimizar las cargas de trabajo en los controladores de dominio. Cuando sea posible, evite el uso de controladores de dominio como servidores de archivos. De esta forma, se reduce la actividad de detección de virus en recursos compartidos de archivos y la sobrecarga de rendimiento.
  • No ponga archivos de base de datos y de registro de Active Directory o de FRS en volúmenes comprimidos del sistema de archivos NTFS.
    Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    318116 Problemas con bases de datos Jet en unidades comprimidas

Desactivar el análisis de Active Directory y de archivos relacionados con Active Directory

  • Excluya los archivos de base de datos principal de NTDS. La ubicación de estos archivos se especifica en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:
    Ntds.dit
    Ntds.pat
  • Excluya los archivos de registro de transacciones de Active Directory. La ubicación de estos archivos se especifica en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    Nota: Windows Server 2003 ya no utiliza el archivo Ntds.pat.
  • Excluya los archivos de la carpeta de trabajo de NTDS que se especifica en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    En concreto, excluya los archivos siguientes:
    • Temp.edb
    • Edb.chk

Desactivar el análisis de archivos SYSVOL

  • Desactive el análisis de los archivos de la carpeta de trabajo del Servicio de replicación de archivos (FRS) que se especifica en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    La ubicación predeterminada es %windir%\Ntfrs. Excluya los siguientes archivos que existen en la carpeta:
    • edb.chk en la carpeta %windir%\Ntfrs\jet\sys
    • Ntfrs.jdb en la carpeta %windir%\Ntfrs\jet
    • *.log en la carpeta %windir%\Ntfrs\jet\log
  • Desactive el análisis de los archivos de registro de la base de datos FRS que se especifican en la clave del Registro siguiente:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    La ubicación predeterminada es %windir%\Ntfrs. Excluya los archivos siguientes:
    • Edb*.log (si no está establecida la clave del Registro).
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 y Windows Server 2008 R2).
    Nota: por motivos de integridad, aquí se documenta la configuración de exclusiones de archivos específicos. De forma predeterminada, estas carpetas sólo permiten el acceso a los administradores y el sistema. Compruebe que dispone de las protecciones correctas. Estas carpetas sólo contienen archivos de trabajo de componentes para FRS y DFSR.
  • Desactive el examen de la carpeta de almacenamiento provisional tal y como se especifica en la clave del Registro siguiente.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    De forma predeterminada, para el almacenamiento provisional se usa la ubicación siguiente:
    %systemroot%\Sysvol\Staging areas
    Excluya los archivos siguientes:
    • Nntfrs_cmp*.*
  • Desactive el análisis de archivos de la carpeta Sysvol\Sysvol.

    La ubicación actual de la carpeta Sysvol\Sysvol y todas sus subcarpetas es el destino de reanálisis del sistema de archivos de la raíz del conjunto de réplicas. La carpeta Sysvol\Sysvol utiliza la siguiente ubicación:
    %systemroot%\Sysvol\Domain
    Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Desactive el análisis de archivos de la carpeta Preinstall de FRS que se encuentra en la ubicación siguiente:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    La carpeta Preinstall siempre está abierta cuando FRS está en ejecución.

    Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
    • Ntfrs*.*
  • Desactive el análisis de archivos de las carpetas de base de datos y de trabajo de DFSR. La ubicación se especifica mediante la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    En esta clave del Registro, "Path" es la ruta de acceso de un archivo XML que indica el nombre del grupo de replicación. En este ejemplo, la ruta de acceso contendría "Domain System Volume".

    La ubicación predeterminada es la siguiente carpeta oculta:
    %systemdrive%\System Volume Information\DFSR
    Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Si cualquiera de estas carpetas o archivos se han movido o están en otra ubicación diferente, analice o excluya el elemento equivalente.

Desactivar el análisis de archivos DFS

Los mismos recursos que se excluyen de un conjunto de réplicas SYSVOL también se deben excluir cuando FRS o DFSR se usen para replicar recursos compartidos asignados a destinos de raíz y de vínculo de DFS en equipos miembros o controladores de dominio de Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 o Windows 2000.

Desactivar el análisis de archivos DHCP

De manera predeterminada, los archivos DHCP que se deben excluir se encuentran en la siguiente carpeta en el servidor:
%systemroot%\System32\DHCP
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Se puede cambiar la ubicación de los archivos DHCP. Para determinar la ubicación actual de los archivos DHCP en el servidor, compruebe los parámetros DatabasePath, DhcpLogFilePath y BackupDatabasePath que se especifican en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

En controladores de dominio de Windows Server 2008, Windows Server 2003 y Windows 2000

Desactivar el examen de los archivos DNS

De manera predeterminada, DNS utiliza la carpeta siguiente:
%systemroot%\System32\Dns
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.log
  • *.dns
  • BOOT

Desactivar el análisis de los archivos WINS

De forma predeterminada, WINS utiliza la siguiente carpeta:
%systemroot%\System32\Wins
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.chk
  • *.log
  • *.mdb

Para equipos que ejecutan versiones de Windows basadas en Hyper-V

En algunos casos, en un equipo basado en Windows Server 2008 que tenga el rol Hyper-V instalado o en un equipo basado en Microsoft Hyper-V Server 2008 o en Microsoft Hyper-V Server 2008 R2, puede ser necesario configurar el componente de examen en tiempo real del software antivirus para excluir carpetas y archivos completos. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
961804 Faltan máquinas virtuales en la consola del Administrador de Hyper-V, o cuando crea o inicia una máquina virtual, recibe uno de los siguientes códigos de error: "0x800704C8", "0x80070037" o "0x800703E3"

Propiedades

Id. de artículo: 822158 - Última revisión: viernes, 30 de marzo de 2012 - Versión: 3.0
La información de este artículo se refiere a:
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
Palabras clave: 
kbinfo kbprb kbexpertiseinter kbsecurity KB822158

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com