Recommandations d'analyse antivirus pour les ordinateurs d'entreprise qui exécutent les versions de Windows prises en charge

Traductions disponibles Traductions disponibles
Numéro d'article: 822158 - Voir les produits auxquels s'applique cet article
Avertissement

Informations pour les utilisateurs à domicile

Pour plus d'informations sur l'analyse antivirus avec des recommandations pour les consommateurs, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://windows.microsoft.com/fr-fr/windows-vista/Viruses-frequently-asked-questions
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article contient des recommandations permettant à un administrateur de déterminer la cause de l'instabilité potentielle sur un ordinateur qui exécute une version prise en charge de Microsoft Windows qui est utilisée avec le logiciel antivirus dans un environnement de domaine Active Directory ou dans un environnement professionnel géré.

Remarque Nous vous conseillons d'appliquer temporairement ces procédures afin d'évaluer un système. Si les performances ou la stabilité de votre système sont améliorées par ces recommandations, contactez le fournisseur de votre logiciel antivirus pour obtenir des instructions ou une version à jour du logiciel.

Important Cet article contient des informations expliquant comment abaisser temporairement des paramètres de sécurité ou comment désactiver des fonctions de sécurité sur un ordinateur. Vous pouvez appliquer ces modifications pour comprendre la nature d'un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.

Plus d'informations

Pour les ordinateurs qui exécutent Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista ou Windows 7

Avertissement Cette solution de contournement peut rendre un ordinateur ou un réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels nuisibles tels que des virus. Cette solution de contournement n'est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l'appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement.

Remarques
  • Nous ne connaissons pas de risque lié à l'exclusion de fichiers ou de dossiers spécifiques mentionnés dans cet article à partir d'analyses faites par votre logiciel antivirus. Toutefois, il est possible que votre système soit plus sécurisé si vous n'excluez pas de fichiers ou de dossiers de l'analyse.
  • Lorsque vous analysez ces fichiers, les problèmes de performances et de fiabilité du système d'exploitation peuvent survenir en raison du verrouillage d'un fichier.
  • N'excluez aucun de ces fichiers en fonction de son extension. Par exemple, n'excluez aucun fichier présentant l'extension .dit. Microsoft ne contrôle pas d'autres fichiers qui pourraient utiliser les mêmes extensions que les fichiers décrits dans cet article.
  • Cet article présente les noms de fichier et les dossiers qui peuvent être exclus. Tous les fichiers et dossiers décrits dans cet article sont protégés par les autorisations par défaut afin d'autoriser uniquement l'accès système et administrateur. De plus, ils contiennent uniquement des composants de système d'exploitation. Il peut être plus simple d'exclure un dossier complet. Toutefois, cette procédure ne peut pas offrir une meilleur protection que l'exclusion de fichiers spécifiques basée sur les noms de fichier.

Désactivation de l'analyse du fichier « tmp.edb » de Microsoft Forefront

  • Si vous utilisez Forefront, désactivez l'analyse du fichier de base de données Forefront (tmp.edb). Ce fichier se trouve dans le dossier suivant :
    %windir%\SoftwareDistribution\Datastore
  • Désactivez l'analyse de fichiers journaux situés dans le dossier suivant :
    %ProgramData%\Microsoft\Search\Data\Applications\Windows

Désactivation de l'analyse de fichiers associés à Windows Update ou à la mise à jour automatique

  • Désactivez l'analyse de fichiers de base de données Windows Update ou de la mise à jour automatique (Datastore.edb). Ce fichier se trouve dans le dossier suivant :
    %windir%\SoftwareDistribution\Datastore
  • Désactivez l'analyse de fichiers journaux situés dans le dossier suivant :
    %windir%\SoftwareDistribution\Datastore\Logs
    Excluez notamment les fichiers suivants :
    • Res*.log
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
    Le caractère générique (*) indique la présence possible de plusieurs fichiers.

Désactivation de l'analyse de fichiers de sécurité Windows

  • Ajoutez les fichiers suivants dans le chemin d'accès %windir%\Security\Database de la liste des exclusions :
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Remarque Si ces fichiers ne sont pas exclus, le logiciel antivirus peut empêcher un accès correct à ces fichiers et les bases de données de sécurité peuvent être endommagées. L'analyse de ces fichiers peut empêcher leur utilisation ou l'application d'une stratégie de sécurité aux fichiers. Ces fichiers ne doivent pas être analysés parce que le logiciel antivirus peut ne pas les traiter correctement comme des fichiers de bases de données propriétaires.

Désactivation de l'analyse de fichiers associés à la stratégie de groupe

  • Informations sur le Registre de l'utilisateur de stratégie de groupe. Ces fichiers se trouvent dans le dossier suivant :
    %allusersprofile%\
    Excluez notamment le fichier suivant :
    NTUser.pol
  • Fichier de paramètres du client de stratégie de groupe. Ce fichier se trouve dans le dossier suivant :
    %Systemroot%\System32\GroupPolicy\
    Excluez notamment le fichier suivant :
    Registry.pol
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
951059 Sur un ordinateur Windows Server 2003, les paramètres de stratégie basés sur le Registre sont supprimés de manière inattendue après la connexion d'un utilisateur à l'ordinateur
930597 Certains paramètres de stratégie basés sur le Registre sont perdus et des messages d'erreur sont consignés dans le journal de l'application sur un ordinateur Windows XP ou Windows Vista

Pour les contrôleurs de domaine Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 et Windows 2000

Comme les contrôleurs de domaine fournissent un service critique aux clients, le risque d'interruption de leurs activités provenant du code malveillant d'un virus doit être réduit. Le logiciel antivirus est la méthode généralement acceptée pour réduire le risque d'infection. Installez et configurez le logiciel antivirus afin que le risque sur le contrôleur de domaine soit réduit au maximum et que les performances soient affectées au minimum. La liste suivante contient des recommandations vous permettant de configurer et d'installer le logiciel antivirus sur un contrôleur de domaine Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ou Windows 2000.

Avertissement Nous vous conseillons d'appliquer la configuration spécifiée ci-dessous sur un système de test pour vous assurer qu'elle n'introduit pas de facteurs inattendus, ni qu'elle compromette la stabilité du système dans votre environnement spécifique. Le risque lié à un nombre excessif d'analyses entraîne l'indication incorrecte de modification des fichiers. Ceci entraîne une réplication excessive dans Active Directory. Si les tests vérifient que cette réplication n'est pas affectée par les recommandations suivantes, vous pouvez appliquer le logiciel antivirus à l'environnement de production.

Remarque Les recommandations spécifiques des fournisseurs de logiciels antivirus peuvent remplacer les recommandations de cet article.
  • Le logiciel antivirus doit être installé sur tous les contrôleurs de domaine de l'entreprise. En premier lieu, essayez d'installer ce logiciel sur tous les autres systèmes serveur et client qui doivent interagir avec les contrôleurs de domaine. Il est souhaitable d'intercepter le logiciel malveillant au point le plus avancé, tel qu'au niveau du pare-feu ou du système client, là où le logiciel malveillant s'introduit en premier. Cela l'empêche définitivement d'atteindre les systèmes d'infrastructure dont les clients dépendent.
  • Utilisez une version de logiciel antivirus qui est conçue pour fonctionner avec les contrôleurs de domaine Active Directory et qui utilise les API (Application Programming Interfaces) correctes pour accéder aux fichiers sur le serveur. Les versions plus anciennes de la plupart des logiciels fournisseurs modifient de manière inappropriée les métadonnées d'un fichier lors de la numérisation de ce fichier. Ainsi, le moteur Service de réplication des fichiers reconnaît une modification de fichier et programme donc la réplication du fichier. Les dernières versions empêchent ce problème. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    815263 Programmes antivirus, de sauvegarde et d'optimisation de disque compatibles avec le service de réplication de fichiers
  • N'utilisez pas de contrôleur de domaine pour parcourir le Web ou pour exécuter toutes les autres activités qui peuvent introduire un code malveillant.
  • Nous vous recommandons de minimiser les charges de travail des contrôleurs de domaine. Si possible, évitez d'utiliser les contrôleurs de domaine dans un rôle de serveur de fichiers. Dans ce cas, vous affaiblissez le fonctionnement de l'antivirus dans les partages de fichiers et vous minimisez la surcharge de performances.
  • Ne stockez ni Active Directory, ni la base de données FRS, ni les fichiers journaux sur les volumes compressés du système de fichiers NTFS.
    Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    318116 Problèmes avec les bases de données Jet sur les lecteurs compressés

Désactivation de l'analyse d'Active Directory et de fichier associés à Active Directory

  • Excluez les principaux fichiers de base de données NTDS. L'emplacement de ces fichiers est spécifié dans la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    L'emplacement par défaut est %windir%\Ntds. Excluez notamment les fichiers suivants :
    Ntds.dit
    Ntds.pat
  • Excluez les fichiers du journal des transactions Active Directory. L'emplacement de ces fichiers est spécifié dans la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    L'emplacement par défaut est %windir%\Ntds. Excluez notamment les fichiers suivants :
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    Remarque Windows Server 2003 n'utilise plus le fichier Ntds.pat.
  • Excluez les fichiers du dossier de travail du service de réplication de fichiers spécifié dans la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Excluez notamment les fichiers suivants :
    • Temp.edb
    • Edb.chk

Désactivation de l'analyse de fichiers SYSVOL

  • Désactivez l'analyse de fichiers dans le dossier de travail du service de réplication de fichiers spécifié dans la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    L'emplacement par défaut est %windir%\Ntfrs. Excluez les fichiers suivants qui existent dans le dossier :
    • edb.chk dans le dossier %windir%\Ntfrs\jet\sys
    • Ntfrs.jdb dans le dossier %windir%\Ntfrs\jet
    • *.log dans le dossier %windir%\Ntfrs\jet\log
  • Désactivez l'analyse des fichiers dans les fichiers journaux de la base de données FRS qui se trouvent dans la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    L'emplacement par défaut est %windir%\Ntfrs. Excluez les fichiers suivants :
    • Edb*.log (si la clé de Registre n'est pas définie).
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 et Windows Server 2008 R2).
    Remarque Les paramètres pour des exclusions de fichiers spécifiques sont présentés ici. Par défaut, ces dossiers permettent uniquement l'accès au système et aux administrateurs. Vérifiez que les protections appropriées sont en place. Ces dossiers contiennent uniquement des fichiers de travail de composant pour FRS et DFSR.
  • Désactivez l'analyse du dossier de mise en attente de la manière spécifiée dans la clé de Registre suivante.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    Par défaut, la mise en attente utilise l'emplacement suivant :
    %systemroot%\Sysvol\Staging areas
    Excluez les fichiers suivants :
    • Nntfrs_cmp*.*
  • Désactivez l'analyse de fichiers dans le dossier Sysvol\Sysvol.

    L'emplacement actuel du dossier Sysvol\Sysvol et de tous ses sous-dossiers est la cible d'analyse du système de fichiers de la racine du jeu de réplicas. Le dossier Sysvol\Sysvol utilise l'emplacement suivant :
    %systemroot%\Sysvol\Domain
    Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Désactivez l'analyse de fichiers dans le dossier de préinstallation FRS qui se trouve dans l'emplacement suivant :
    Racine_réplica\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Le dossier de préinstallation est toujours ouvert lorsque le service FRS est en cours d'exécution.

    Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
    • Ntfrs*.*
  • Désactivez l'analyse de fichiers dans la base de données DFSR et les dossiers de travail. L'emplacement est indiqué par la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    Dans cette clé de Registre, « Path » représente le chemin d'accès d'un fichier XML qui indique le nom du groupe de réplication. Dans cet exemple, le chemin d'accès contiendrait « Domain System Volume ».

    L'emplacement par défaut est le dossier masqué suivant :
    %systemdrive%\System Volume Information\DFSR
    Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Si l'un de ces dossiers ou fichiers a été déplacé ou stocké à un emplacement différent, analysez ou excluez l'élément équivalent.

Désactivation de l'analyse de fichiers DFS

Les mêmes ressources qui sont exclues pour un jeu de réplicas SYSVOL doivent également être exclues lorsque FRS ou DFRS est utilisé pour répliquer des partages qui sont mappés à la racine DFS et pour lier les cibles sur les ordinateurs membres ou les contrôleurs de domaine Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ou Windows 2000.

Désactivation de l'analyse de fichiers DHCP

Par défaut, les fichiers DHCP qui doivent être exclus sont présents dans le dossier suivant dans le serveur :
%systemroot%\System32\DHCP
Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
L'emplacement de fichiers DHCP peut être modifié. Pour déterminer l'emplacement actuel des fichiers DHCP sur le serveur, vérifiez les paramètres DatabasePath, DhcpLogFilePath et BackupDatabasePath spécifiés dans la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Pour les contrôleurs de domaine Windows Server 2008, Windows Server 2003 et Windows 2000

Désactivation de l'analyse de fichiers DNS

Par défaut, DNS utilise le dossier suivant :
%systemroot%\System32\Dns
Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
  • *.log
  • *.dns
  • DÉMARRAGE

Désactivation de l'analyse de fichiers WINS

Par défaut, WINS utilise le dossier suivant :
%systemroot%\System32\Wins
Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
  • *.chk
  • *.log
  • *.mdb

Pour les ordinateurs qui utilisent les versions Hyper-V de Windows

Dans certains scénarios, sur un ordinateur Windows Server 2008 sur lequel le rôle Hyper-V est installé ou sur un ordinateur Microsoft Hyper-V Server 2008 ou Microsoft Hyper-V Server 2008 R2, il peut s'avérer nécessaire de configurer le composant d'analyse en temps réel dans le logiciel antivirus afin d'exclure des fichiers et des dossiers complets. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
961804 Des ordinateurs virtuels ne disposent pas de la Console du Gestionnaire Hyper-V ou lorsque vous créez ou démarrez un ordinateur virtuel, l'un des codes d'erreur suivants s'affiche : « 0x800704C8 », « 0x80070037 » ou « 0x800703E3 »

Propriétés

Numéro d'article: 822158 - Dernière mise à jour: vendredi 30 mars 2012 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Windows Vista Professionnel
  • Windows Vista Professionnel 64 bits
  • Windows Vista Entreprise
  • Windows Vista Entreprise 64 bits
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Basique 64 bits
  • Windows Vista Édition Familiale Premium
  • Windows Vista Édition Familiale Premium 64 bits
  • Windows Vista Édition Intégrale
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Entreprise
  • Windows 7 Édition Familiale Basique
  • Windows 7 Édition Familiale Premium
  • Windows 7 Professionnel
  • Windows 7 Édition Integrale
Mots-clés : 
kbinfo kbprb kbexpertiseinter kbsecurity KB822158
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com