Suggerimenti per l'analisi dei virus nei computer aziendali che eseguono Windows o Windows Server (KB822158)

Disattivare l'analisi dei file di Windows Update o di aggiornamento automatico

• Disattivare l'analisi del file di database Windows Update o di aggiornamento automatico (Datastore.edb). Il file si trova nella cartella seguente:

       %windir%\SoftwareDistribution\Datastore

• Disattivare l'analisi dei file di log che si trovano nella cartella seguente:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  In particolare, escludere i file seguenti:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Il carattere jolly (*) indica che potrebbero essere presenti diversi file.

Disattivare l'analisi dei file di Sicurezza di Windows

• Aggiungere i file seguenti nel percorso %windir%\Security\Database dell'elenco delle esclusioni:

  • *.edb

  • *.Sdb

  • *.registro

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Nota Se questi file non vengono esclusi, il software antivirus potrebbe impedire l'accesso appropriato a questi file e i database di sicurezza potrebbero danneggiarsi. L'analisi di questi file può impedire l'uso dei file o impedire l'applicazione di criteri di sicurezza ai file. Questi file non devono essere analizzati perché il software antivirus potrebbe non trattarli correttamente come file di database proprietari.
  
  Queste sono le esclusioni consigliate. In questo articolo potrebbero essere inclusi altri tipi di file da escludere.

Disattivare l'analisi dei file correlati Criteri di gruppo

• Criteri di gruppo informazioni del Registro di sistema degli utenti. Questi file si trovano nella cartella seguente:

       Computer: %allusersprofile%\
       Utenti: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  In particolare, escludere il file seguente:

       NTUser.pol

• Criteri di gruppo file di impostazioni client. Questi file si trovano nella cartella seguente:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  In particolare, escludere i file seguenti:

       Registry.pol
       Registry.tmp

Disattivare l'analisi dei file del profilo utente

• Informazioni sul Registro di sistema degli utenti e file di supporto. I file si trovano nella cartella seguente:
  
       %userprofile%\
  
  In particolare, escludere i file seguenti:
  
       NTUser.dat*

Esecuzione di software antivirus nei controller di dominio

Poiché i controller di dominio forniscono un servizio importante ai client, il rischio di interruzione delle attività da codice dannoso, malware o virus deve essere ridotto a icona. Il software antivirus è il modo generalmente accettato per ridurre il rischio di infezione. Installare e configurare software antivirus in modo da ridurre il più possibile il rischio per il controller di dominio e influire il meno possibile sulle prestazioni. L'elenco seguente contiene suggerimenti utili per configurare e installare software antivirus in un controller di dominio Windows Server.

Avvertimento È consigliabile applicare la seguente configurazione specificata a un sistema di test per assicurarsi che, nel proprio ambiente specifico, questa configurazione non introduca fattori imprevisti o comprometta la stabilità del sistema. Il rischio di un'analisi eccessiva è che i file vengano contrassegnati in modo inappropriato come modificati. Ciò causa una replica eccessiva in Active Directory. Se il test verifica che la replica non sia interessata dai suggerimenti seguenti, è possibile applicare il software antivirus all'ambiente di produzione.

Nota Consigli specifici dei fornitori di software antivirus potrebbero sostituisce le raccomandazioni contenute in questo articolo.

• Il software antivirus deve essere installato in tutti i controller di dominio dell'azienda. Idealmente, provare a installare tale software su tutti gli altri sistemi server e client che devono interagire con i controller di dominio. È ottimale rilevare il malware al più presto, ad esempio nel firewall o nel sistema client in cui viene introdotto il malware. In questo modo il malware non raggiungerà mai i sistemi dell'infrastruttura da cui dipendono i client.

• Usare una versione di software antivirus progettata per funzionare con i controller di dominio Active Directory e che utilizza le API (Application Programming Interfaces) corrette per accedere ai file sul server. Le versioni precedenti della maggior parte del software fornitore modificano in modo inappropriato i metadati di un file durante l'analisi del file.

• Non usare un controller di dominio per esplorare Internet o eseguire altre attività che potrebbero introdurre codice dannoso.

• È consigliabile ridurre al minimo i carichi di lavoro nei controller di dominio. Ad esempio, quando possibile, evitare di usare controller di dominio in un ruolo di file server. Questa procedura riduce l'attività di analisi antivirus nelle condivisioni file e riduce al minimo il sovraccarico delle prestazioni.

• Non inserire file di active directory e di log nei volumi compressi del file system NTFS.

Disattivare l'analisi di Active Directory e dei file correlati ad Active Directory

• Escludere i file di database NTDS principali. Il percorso di questi file è specificato nella seguente sottochiave del Registro di sistema:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File La posizione predefinita è %windir%\Ntds. In particolare, escludere i file seguenti:

  • Ntds.dit

  • Ntds.pat

• Escludere i file di log delle transazioni di Active Directory. Il percorso di questi file è specificato nella seguente sottochiave del Registro di sistema:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path La posizione predefinita è %windir%\Ntds. In particolare, escludere i file seguenti:

  • AMMORT*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Escludere i file nella cartella di lavoro NTDS specificata nella sottochiave del Registro di sistema seguente:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory In particolare, escludere i file seguenti:

  • Temp.edb

  • Edb.chk

Disattivare l'analisi dei file SYSVOL

• Disattiva l'analisi dei file nella cartella Sysvol\Sysvol o nella cartella SYSVOL_DFSR\Sysvol.
  
  Il percorso corrente della cartella Sysvol\Sysvol o SYSVOL_DFSR\Sysvol e tutte le sottocartelle è la destinazione di reparse del file system della radice del set di repliche. Per impostazione predefinita, le cartelle Sysvol\Sysvol e SYSVOL_DFSR\Sysvol utilizzano i percorsi seguenti:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Il percorso dell'oggetto SYSVOL attualmente attivo viene fatto riferimento dalla condivisione NETLOGON e può essere determinato dal nome del valore SysVol nella sottochiave seguente:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:

  • *.Adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• Disattiva l'analisi dei file nel database DFSR e nelle cartelle di lavoro. Il percorso è specificato nella seguente sottochiave del Registro di sistema:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path In questa sottochiave del Registro di sistema, "Path" è il percorso di un file XML che contiene il nome del gruppo di replica. In questo esempio il percorso conterrà "Domain System Volume".
  
  Il percorso predefinito è la seguente cartella nascosta:

       %systemdrive%\System Volume Information\DFSR
  
  Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:

  • $db_normale$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.registro

  • Fsr*.jrs

  • Tmp.edb

  Nota Se uno di questi file o cartelle viene spostato o inserito in un percorso diverso, analizzare o escludere l'elemento equivalente.

Disattivare l'analisi dei file DFS

Le stesse risorse escluse per un set di replica SYSVOL devono essere escluse anche se DFSR viene utilizzato per replicare le condivisioni mappate alla radice DFS e alle destinazioni dei collegamenti nei computer membri o nei controller di dominio Windows Server.

Disattivare l'analisi dei file DHCP

Per impostazione predefinita, i file DHCP da escludere sono presenti nella cartella seguente sul server:

     %systemroot%\System32\DHCP

Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:

• *.mdb

• *.buffetto

• *.registro

• *.chk

• *.edb

È possibile modificare il percorso dei file DHCP. Per determinare la posizione corrente dei file DHCP nel server, controllare i parametri DatabasePath, DhcpLogFilePath e BackupDatabasePath specificati nella seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Disattivare l'analisi dei file DNS

Per impostazione predefinita, il DNS usa la cartella seguente:

%systemroot%\System32\Dns Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:

• *.registro

• *.DNS

• STIVALE

Disattivare l'analisi dei file WINS

Per impostazione predefinita, WINS usa la cartella seguente:

     %systemroot%\System32\Wins

Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:

• *.chk

• *.registro

• *.mdb

Per i computer che eseguono versioni basate su Hyper-V di Windows

In alcuni scenari, in Windows Server computer in cui è installato il ruolo Hyper-V, potrebbe essere necessario configurare il componente di analisi in tempo reale all'interno del software antivirus per escludere file e intere cartelle. Per altre informazioni, vedere il seguente articolo della Knowledge Base:

• 961804Le macchine virtuali non sono presenti o si verificano 0x800704C8 di errore, 0x80070037 o 0x800703E3 quando si tenta di avviare o creare una macchina virtuale

Passaggi successivi

Se le prestazioni o la stabilità del sistema sono migliorate dai suggerimenti di questo articolo, contattare il fornitore del software antivirus per istruzioni o per una versione aggiornata o per le impostazioni del software antivirus.

Nota Il fornitore di antivirus di terze parti può collaborare con il team di supporto tecnico Microsoft con un impegno commercialmente ragionevole.

Cronologia delle modifiche

 La tabella seguente riepiloga le modifiche più importanti apportate a questo argomento.