Virusų žvalgymo rekomendacijos "Enterprise" kompiuteriuose, kuriuose veikia "Windows" arba "Windows Server" (KB822158)

"Windows Update" arba automatinio naujinimo failų nuskaitymo išjungimas

• Išjunkite "Windows Update" arba automatinio naujinimo duomenų bazės failo (Datastore.edb) nuskaitymą. Šis failas yra šiame aplanke:

       %windir%\SoftwareDistribution\Datastore

• Išjunkite žurnalo failų, esančių šiame aplanke, nuskaitymą:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Tiksliau tariant, neįtraukite šių failų:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Pakaitos simbolis (*) nurodo, kad gali būti keli failai.

"Windows" sauga failų nuskaitymo išjungimas

• Įtraukite šiuos failus į išimčių sąrašo %windir%\Security\Database kelią:

  • *.edb

  • *.Sdb

  • *.Žurnalo

  • *.Chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Pastaba Jei šie failai nebus įtraukti, antivirusinė programinė įranga gali neleisti tinkamai pasiekti šių failų, o saugos duomenų bazės gali būti sugadintos. Šių failų nuskaitymas gali neleisti naudoti failų arba gali neleisti failams taikyti saugos strategijos. Šių failų nereikėtų nuskaityti, nes antivirusinė programinė įranga gali juos netinkamai laikyti nuosavybės teise priklausančiais duomenų bazės failais.
  
  Tai yra rekomenduojamos išimtys. Gali būti kitų tipų failų, kurie nėra įtraukti į šį straipsnį, kurie turėtų būti neįtraukti.

Grupės strategija susijusių failų nuskaitymo išjungimas

• Grupės strategija vartotojo registro informaciją. Šie failai yra šiame aplanke:

       %allusersprofile%\
  
  Tiksliau tariant, neįtraukite šio failo:

       NT1vartotojas.pol

• Grupės strategija kliento parametrų failus. Šie failai yra šiame aplanke:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Tiksliau tariant, neįtraukite šių failų:

       Registry.pol
       Registry.tmp

Išjungti vartotojo profilio failų nuskaitymą

• Vartotojo registro informacija ir palaikymo failai. Failai yra šiame aplanke:
  
       userprofile%\
  
  Tiksliau tariant, neįtraukite šių failų:
  
       NTUser.dat*

Antivirusinės programinės įrangos paleidimas domeno valdikliuose

Kadangi domenų valdikliai teikia svarbią paslaugą klientams, jų veiklos sutrikdymo dėl kenkėjiško kodo, kenkėjiškos programinės įrangos ar virusų rizika turi būti sumažinta. Antivirusinė programinė įranga yra visuotinai priimtas būdas sumažinti infekcijos riziką. Įdiekite ir sukonfigūruokite antivirusinę programinę įrangą, kad būtų sumažintas pavojus domeno valdikliui ir kad jos veikimas būtų kuo mažesnis. Šiame sąraše pateikiamos rekomendacijos, padėsiančios konfigūruoti ir įdiegti antivirusinę programinę įrangą "Windows Server" domeno valdiklyje.

Įspėjimas Bandymų sistemai rekomenduojame taikyti toliau nurodytą konfigūraciją, kad įsitikintumėte, jog jūsų konkrečioje aplinkoje ji nekelia nenumatytų veiksnių arba nekelia pavojaus sistemos stabilumui. Per daug nuskaitymų rizika yra ta, kad failai netinkamai pažymimi kaip pakeisti. Dėl to "Active Directory" per daug replikavimo. Jei tikrinant patikrinama, ar replikavimas nėra paveiktas šių rekomendacijų, galite taikyti antivirusinę programinę įrangą gamybos aplinkoje.

Pastaba Konkrečios antivirusinės programinės įrangos tiekėjų rekomendacijos gali pakeičia šiame straipsnyje pateiktas rekomendacijas.

• Antivirusinė programinė įranga turi būti įdiegta visuose įmonės domeno valdikliuose. Geriausia bandyti įdiegti tokią programinę įrangą visose kitose serverių ir klientų sistemose, kurios turi sąveikauti su domeno valdikliais. Geriausia pastebėti kenkėjišką programinę įrangą anksčiausiai, pvz., užkardoje arba kliento sistemoje, kurioje kenkėjiška programa įvedama. Tai neleidžia kenkėjiškai programinei įrangai kada nors pasiekti infrastruktūros sistemų, nuo kurių priklauso klientai.

• Naudokite antivirusinės programinės įrangos versiją, sukurtą veikti su "Active Directory" domeno valdikliais ir naudojančia tinkamas programų programavimo sąsajas (API), kad pasiektumėte serveryje esantį failą. Senesnės daugumos tiekėjo programinės įrangos versijos netinkamai pakeičia failo metaduomenis žvalgius failą. Dėl to failų replikavimo tarnybos modulis atpažįsta failo pakeitimą ir todėl suplanuoja failo replikavimą. Naujesnės versijos neleidžia šios problemos.
  Daugiau informacijos žr. šiame "Microsoft" žinių bazės straipsnyje:

  815263Antivirusinė programa, atsarginių kopijų kūrimas ir disko optimizavimo programos, suderinamos su failų replikavimo tarnyba

• Nenaudokite domeno valdiklio naršydami internete arba atlikdami kitas veiklas, kurios gali įvesti kenkėjišką kodą.

• Rekomenduojame sumažinti darbo krūvius domeno valdikliuose. Jei įmanoma, nenaudokite domeno valdiklių failų serverio vaidmenyje. Tai sumažina failų bendrinimo virusų žvalgymo veiklą ir sumažina našumą.

• Nedėkite Active Directory arba FRS duomenų bazės ir žurnalo failų į NTFS failų sistemos suglaudintus tomus.

"Active Directory" ir su "Active Directory" susijusių failų nuskaitymo išjungimas

• Neįtraukti pagrindinių NTDS duomenų bazės failų. Šių failų vieta nurodyta šiame daliniame registro rakte:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Numatytoji vieta yra %windir%\Ntds. Tiksliau tariant, neįtraukite šių failų:

  • Ntds.dit

  • Ntds.pat

• Neįtraukti "Active Directory" operacijų žurnalo failų. Šių failų vieta nurodyta šiame daliniame registro rakte:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Numatytoji vieta yra %windir%\Ntds. Tiksliau tariant, neįtraukite šių failų:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Neįtraukti failų į NTDS darbo aplanką, nurodytą šiame daliniame registro rakte:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Tiksliau tariant, neįtraukite šių failų:

  • Temp.edb

  • Edb.chk

SYSVOL failų nuskaitymo išjungimas

• Išjunkite failų nuskaitymą failų replikavimo tarnybos (FRS) darbiniame aplanke, nurodytame šiame daliniame registro rakte:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Numatytoji vieta yra %windir%\Ntfrs. Neįtraukti šių failų, kurie yra aplanke:

  • edb.chk aplanke %windir%\Ntfrs\jet\sys

  • Ntfrs.jdb %windir%\Ntfrs\jet aplanke

  • *.log aplanke %windir%\Ntfrs\jet\log

• Išjunkite failų nuskaitymą FRS duomenų bazės žurnalo failuose, nurodytuose šiame daliniame registro rakte:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Numatytoji vieta yra %windir%\Ntfrs. Neįtraukti šių failų:

  • Edb*.log (jei nenustatytas registro raktas)

  • FRS Working Dir\Jet\Log\Edb*.jrs

• PastabaČia pateikiami konkrečių failo išimčių išsamumo parametrai. Pagal numatytuosius nustatymus šie aplankai leidžia prieigą tik prie sistemos ir administratorių. Patikrinkite, ar veikia tinkamos apsaugos. Šiuose aplankuose yra tik FRS ir DFSR komponento darbo failai.

• Išjunkite NTFRS parengimo aplanko nuskaitymą, kaip nurodyta šiame registro daliniame rakte:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage Pagal numatytuosius nustatymus, išdėstymas naudoja šią vietą:

  %systemroot%\Sysvol\Staging areas

• Išjunkite DFSR parengimo aplanko nuskaitymą, kaip nurodyta objekto CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName AD DS atribute msDFSR-StagingPath . Šiame atribute yra kelias į faktinę vietą, kurią DFS replikavimas naudoja failams kurti. Tiksliau tariant, neįtraukite šių failų:

  • Ntfrs_cmp*.*

  • *.frx

• Išjunkite failų nuskaitymą aplanke Sysvol\Sysvol arba aplanke SYSVOL_DFSR\Sysvol.
  
  Dabartinė aplanko Sysvol\Sysvol arba SYSVOL_DFSR\Sysvol vieta ir visi poaplankiai yra replikų rinkinio šakninio aplanko failų sistemos atitaisymo paskirties vieta. Aplankai Sysvol\Sysvol ir SYSVOL_DFSR\Sysvol pagal numatytuosius parametrus naudoja šias vietas:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Kelią į šiuo metu aktyvų SYSVOL nurodo tinklo registravimo dalis ir jį galima nustatyti pagal SysVol reikšmės pavadinimą šiame daliniame rakte:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Neįtraukti šių failų į šį aplanką ir visus jo poaplankius:

  • *.Adm

  • *.Admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.Priedai

  • Oscfilter.ini

• Išjunkite failų nuskaitymą FRS išankstinio diegimo aplanke, kuris yra šioje vietoje:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  Iš anksto įdiegtas aplankas visada atidaromas, kai veikia FRS.
  
  Neįtraukti šių failų į šį aplanką ir visus jo poaplankius:

  • Ntfrs*.*

• Išjunkite failų nuskaitymą DFSR duomenų bazėje ir darbo aplankuose. Vietą nurodo šis registro dalinis raktas:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Šiame daliniame registro rakte "Kelias" yra XML failo kelias, nurodantis replikavimo grupės pavadinimą. Šiame pavyzdyje kelyje būtų "Domeno sistemos tomas"
  
  . Numatytoji vieta yra šis paslėptas aplankas:

       %systemdrive%\System Volume Information\DFSR
  
  Neįtraukti šių failų į šį aplanką ir visus jo poaplankius:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db aiste

  • $db Vaidas

  • $db_dingęs

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.Žurnalo

  • Fsr*.jrs

  • Tmp.edb

• Pastaba Jei kuris nors iš šių aplankų ar failų perkeliamas arba perkeliamas į kitą vietą, nuskaitykite arba pašalinkite atitinkamą elementą.

Išjungti DFS failų nuskaitymą

Tie patys ištekliai, kurie neįtraukti į SYSVOL replikų rinkinį taip pat turi būti neįtraukiami, kai FRS arba DFSR naudojamas replikuoti bendrai naudojamus elementus, susietus su DFS šaknimi ir susieti paskirties vietas "Windows Server 2008 R2" arba "Windows Server 2008" narių kompiuteriuose arba domeno valdikliuose.

DHCP failų nuskaitymo išjungimas

Pagal numatytuosius parametrus DHCP failai, kurie turėtų būti neįtraukti, yra šiame aplanke serveryje:

%systemroot%\System32\DHCP Neįtraukti šių failų iš šio aplanko ir visų jo poaplankių:

• *.Mdb

• *.pat

• *.Žurnalo

• *.Chk

• *.edb

DHCP failų vieta gali būti pakeista. Norėdami nustatyti dabartinę DHCP failų vietą serveryje, patikrinkite DatabasePath, DhcpLogFilePath ir BackupDatabasePath parametrus, nurodytus šiame daliniame registro rakte:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

DNS failų nuskaitymo išjungimas

Pagal numatytuosius parametrus DNS naudoja šį aplanką:

%systemroot%\System32\Dns Iš šio aplanko ir visų jo poaplankių neįtraukite šių failų:

• *.Žurnalo

• *.Dns

• ĮKROVOS

WINS failų nuskaitymo išjungimas

Pagal numatytuosius parametrus WINS naudoja šį aplanką:

     %systemroot%\System32\Wins
Neįtraukti šių failų į šį aplanką ir visus jo poaplankius:

• *.Chk

• *.Žurnalo

• *.Mdb

Kompiuteriuose, kuriuose veikia "Hyper-V" pagrįstos "Windows" versijos

Kai kuriais atvejais"Windows Server 2008" pagrįstame kompiuteryje, kuriame įdiegtas "Hyper-V" vaidmuo arba "Microsoft Hyper-V Server 2008" arba "Microsoft Hyper-V Server 2008 R2" kompiuteryje, gali tekti sukonfigūruoti antivirusinės programinės įrangos nuskaitymo komponentą realiuoju laiku, kad būtų pašalinti failai ir visi aplankai. Daugiau informacijos žr. šiame "Microsoft" žinių bazės straipsnyje:

• 961804Trūksta virtualiųjų mašinų arba bandant paleisti arba sukurti virtualiąją mašiną įvyksta klaidų 0x800704C8, 0x80070037 arba 0x800703E3

Kiti veiksmai

Jei jūsų sistemos našumas arba stabilumas pagerėjo pagal šiame straipsnyje pateiktas rekomendacijas, dėl instrukcijų arba atnaujintos antivirusinės programinės įrangos versijos ar parametrų kreipkitės į antivirusinės programinės įrangos tiekėją.

Pastaba Jūsų trečiųjų šalių antivirusinės programos tiekėjas gali bendradarbiauti su "Microsoft" palaikymo komanda, kad deda visas komerciškai pagrįstas pastangas.

keitimų istoriją.

 Šioje lentelėje apibendrinami kai kurie svarbiausi šios temos pakeitimai.