Aanbevelingen voor virusscans voor bedrijfscomputers met Windows of Windows Server (KB822158)

Van toepassing op: Windows Server 2025, alle edities Windows Server 2022, alle edities Windows Server 2019, alle edities Windows Server 2016, alle edities Windows Server 2012 R2, alle editiesWindows Server 2012, alle edities Windows 11, alle edities Windows 10, alle edities

Inleiding

Dit artikel bevat aanbevelingen om een beheerder te helpen de oorzaak van mogelijke instabiliteit in het volgende scenario te bepalen:

Het probleem treedt op op een computer met een versie van Windows of Windows Server die wordt vermeld in de sectie 'Van toepassing op'.
Het lokale systeem wordt samen met antivirussoftware gebruikt in een Active Directory-domeinomgeving of in een beheerde bedrijfsomgeving.
Als u Microsoft Defender Antivirus gebruikt, kunnen sommige of alle voorgestelde uitsluitingen die in dit artikel worden vermeld, worden ingebouwd in of geleverd door automatische uitsluitingen. Zie de volgende artikelen voor meer informatie:
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus beheren
- Uitsluitingen van Microsoft Defender Antivirus configureren op Windows Server

Symptomen

Uw Windows- of Windows Server-computer ondervindt de volgende problemen:

Systeemprestaties
- Hoog CPU-gebruik of verhoogd CPU-gebruik
  - Gebruikersmodus
  - Kernelmodus
- Kernelgeheugenlekken
  - Niet-paginagroep
  - Paginagroep
  - Lek van handgreep
- Traagheid
  - Bestand kopiëren wanneer u Windows Verkenner gebruikt
    - Bestand kopiëren wanneer u een console-app gebruikt (bijvoorbeeld cmd.exe)
  - Back-upbewerkingen
Stabiliteit
- Traagheid van toepassing
  - Toegang tot een netwerkshare of een toegewezen station
  - Tijdelijk gebrek aan reactie in Windows Verkenner
- Toepassingsfout
  - Toegangsschending
- Toepassing reageert niet meer
  - Deadlocks
    - Externe procedureaanroep (RPC)
    - Benoemde pijpen
  - Raceomstandigheden
  - Geheugenlek in privébytes
  - Geheugenlek in virtuele bytes
  - Geheugenfragmentatie van virtuele bytes
Betrouwbaarheidsproblemen met besturingssysteem
- Systeem reageert niet meer (u moet een herstart afdwingen om te herstellen)
  - Deadlocks
  - Raceomstandigheden
  - Lekken verwerken
  - Niet-gepaginade poollekken
  - Paginad poollekken
Stopfouten (ook wel bugcontroles genoemd)
- Een foutcontrolecode interpreteren
- Naslaginformatie over foutcontrolecode

Zie de volgende artikelen voor meer informatie:

Het systeem reageert niet meer, de prestaties van de bestandsserver worden vertraagd of er treden vertragingen op wanneer u werkt met bestanden die zich op een bestandsserver bevinden

Oplossing

Voer de volgende stappen uit voordat u antivirusuitsluitingen toevoegt:

Werk de definities voor uw antivirusprogramma van derden bij. Als het probleem zich blijft voordoen, dient u een fout-positief (FP) in bij de ondersteuning van de externe antivirusleverancier.
Controleer of u geen specifieke functionaliteit hebt ingesteld in een geharde of agressieve modus die meer van de volgende symptomen veroorzaakt:
- Fout-positieven
- Compatibiliteitsproblemen met toepassingen
- Verhoogd resourcegebruik (bijvoorbeeld hoog CPU-gebruik (gebruikersmodus of kernelmodus) of hoog geheugengebruik (gebruikersmodus of kernelmodus)
- Vertragingen
- Toepassingen reageren niet meer
- Toepassingsfouten
- Systeem reageert niet
Werk de versie van het antivirusprogramma van derden bij. Of raadpleeg het filterstuurprogramma voor de kernelmodus tijdelijk deactiveren in Windows voor het testen
Neem contact op met uw externe antivirusleverancier om verdere problemen op te lossen. Mogelijk moet u het volgende soort geavanceerde gegevens beschikbaar hebben om het probleem te beperken:

Tijdelijke oplossing

BelangrijkDit artikel bevat informatie over het verlagen van beveiligingsinstellingen of het tijdelijk uitschakelen van beveiligingsfuncties op een computer. U kunt deze wijzigingen aanbrengen om inzicht te hebben in de aard van een specifiek probleem. Voordat u deze wijzigingen aanbrengt, raden we u aan de risico's te evalueren die gepaard gaan met het implementeren van deze tijdelijke oplossing in uw specifieke omgeving. Als u deze tijdelijke oplossing implementeert, voert u de benodigde aanvullende stappen uit om de computer te beveiligen.

Waarschuwing

We raden deze tijdelijke oplossing niet aan. We verstrekken deze informatie echter, zodat u deze tijdelijke oplossing naar eigen inzicht kunt implementeren. Gebruik deze tijdelijke oplossing op eigen risico.
Deze tijdelijke oplossing kan een computer of een netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of door schadelijke software zoals virussen.
U wordt aangeraden deze instellingen tijdelijk toe te passen om het systeemgedrag te evalueren.
We zijn ons bewust van het risico dat de specifieke bestanden of mappen die in dit artikel worden vermeld, worden uitgesloten van scans die door uw antivirussoftware worden gemaakt. Uw systeem is veiliger als u geen bestanden of mappen uitsluit van scans.
Wanneer u deze bestanden scant, kunnen prestatie- en betrouwbaarheidsproblemen met het besturingssysteem optreden vanwege bestandsvergrendeling.
Sluit een van deze bestanden niet uit op basis van de bestandsnaamextensie. Sluit bijvoorbeeld niet alle bestanden met de extensie .dit uit. Microsoft heeft geen controle over andere bestanden die mogelijk dezelfde extensies gebruiken als de bestanden die in dit artikel worden beschreven.
Dit artikel bevat zowel bestandsnamen als mappen die kunnen worden uitgesloten. Alle bestanden en mappen die in dit artikel worden beschreven, zijn beveiligd met standaardmachtigingen om alleen toegang tot systeem en beheerder toe te staan, en ze bevatten alleen onderdelen van het besturingssysteem. Het uitsluiten van een hele map is misschien eenvoudiger, maar biedt mogelijk niet zoveel beveiliging als het uitsluiten van specifieke bestanden op basis van bestandsnamen.
Het toevoegen van antivirusuitsluitingen moet altijd het laatste redmiddel zijn als er geen andere optie mogelijk is.

Scannen van Windows Update- of automatisch bijwerken van bestanden uitschakelen

Schakel het scannen van het databasebestand Windows Update of Automatisch bijwerken (Datastore.edb) uit. Dit bestand bevindt zich in de volgende map:

%windir%\SoftwareDistribution\Datastore
Schakel het scannen uit van de logboekbestanden die zich in de volgende map bevinden:

%windir%\SoftwareDistribution\Datastore\Logs Sluit met name de volgende bestanden uit:
- Edb*.jrs
- Edb.chk
- Tmp.edb
Het jokerteken (*) geeft aan dat er mogelijk meerdere bestanden zijn.

Scannen van Windows-beveiliging bestanden uitschakelen

Voeg de volgende bestanden toe aan het pad %windir%\Security\Database van de lijst met uitsluitingen:
- *.Edb
- *.Sdb
- *.log
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
Opmerking Als deze bestanden niet worden uitgesloten, kan antivirussoftware de juiste toegang tot deze bestanden verhinderen en kunnen beveiligingsdatabases beschadigd raken. Het scannen van deze bestanden kan voorkomen dat de bestanden worden gebruikt of kan voorkomen dat een beveiligingsbeleid wordt toegepast op de bestanden. Deze bestanden moeten niet worden gescand omdat antivirussoftware ze mogelijk niet correct behandelt als eigen databasebestanden.Dit zijn de aanbevolen uitsluitingen. Mogelijk zijn er andere bestandstypen die niet zijn opgenomen in dit artikel die moeten worden uitgesloten.

Scannen van groepsbeleid-gerelateerde bestanden uitschakelen

groepsbeleid gebruikersregistergegevens. Deze bestanden bevinden zich in de volgende map:

Computer: %allusersprofile%\ Gebruikers: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ Sluit met name het volgende bestand uit:

NTUser.pol
groepsbeleid clientinstellingenbestanden. Deze bestanden bevinden zich in de volgende map:

%SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\ Sluit met name de volgende bestanden uit:

Registry.pol Registry.tmp

Scannen van gebruikersprofielbestanden uitschakelen

Gebruikersregistergegevens en ondersteunende bestanden. De bestanden bevinden zich in de volgende map: %userprofile%\ Sluit met name de volgende bestanden uit: NTUser.dat*

Antivirussoftware uitvoeren op domeincontrollers

Omdat domeincontrollers een belangrijke service bieden aan clients, moet het risico van onderbreking van hun activiteiten door schadelijke code, malware of een virus worden geminimaliseerd. Antivirussoftware is de algemeen geaccepteerde manier om het risico op infectie te verminderen. Installeer en configureer antivirussoftware, zodat het risico voor de domeincontroller zoveel mogelijk wordt beperkt en de prestaties zo min mogelijk worden beïnvloed. De volgende lijst bevat aanbevelingen voor het configureren en installeren van antivirussoftware op een Windows Server domeincontroller.Waarschuwing U wordt aangeraden de volgende opgegeven configuratie toe te passen op een testsysteem om ervoor te zorgen dat deze configuratie in uw specifieke omgeving geen onverwachte factoren introduceert of de stabiliteit van het systeem in gevaar brengen. Het risico van te veel scannen is dat bestanden ten onrechte worden gemarkeerd als gewijzigd. Dit veroorzaakt te veel replicatie in Active Directory. Als het testen controleert of de replicatie niet wordt beïnvloed door de volgende aanbevelingen, kunt u de antivirussoftware toepassen op de productieomgeving.Notitie Specifieke aanbevelingen van leveranciers van antivirussoftware kunnen de aanbevelingen in dit artikel vervangen.

Antivirussoftware moet worden geïnstalleerd op alle domeincontrollers in de onderneming. Probeer in het ideale land dergelijke software te installeren op alle andere server- en clientsystemen die moeten communiceren met de domeincontrollers. Het is optimaal om de malware op het vroegste punt te vangen, zoals bij de firewall of op het clientsysteem waar de malware wordt geïntroduceerd. Dit voorkomt dat de malware ooit de infrastructuursystemen bereikt waar de clients van afhankelijk zijn.
Gebruik een versie van antivirussoftware die is ontworpen voor gebruik met Active Directory-domeincontrollers en die gebruikmaakt van de juiste Api's (Application Programming Interfaces) voor toegang tot bestanden op de server. Oudere versies van de meeste software van de leverancier wijzigen de metagegevens van een bestand op ongepaste wijze wanneer het bestand wordt gescand.
Gebruik geen domeincontroller om op internet te surfen of andere activiteiten uit te voeren die schadelijke code kunnen veroorzaken.
We raden u aan de workloads op domeincontrollers te minimaliseren. Vermijd bijvoorbeeld, indien mogelijk, het gebruik van domeincontrollers in een bestandsserverfunctie. Deze procedure vermindert de virusscanactiviteit op bestandsshares en minimaliseert de prestatieoverhead.
Plaats active directory- en logboekbestanden niet op gecomprimeerde volumes van het NTFS-bestandssysteem.

Scannen van Active Directory- en Active Directory-gerelateerde bestanden uitschakelen

Sluit de Hoofd-NTDS-databasebestanden uit. De locatie van deze bestanden wordt opgegeven in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File De standaardlocatie is %windir%\Ntds. Sluit met name de volgende bestanden uit:
- Ntds.dit
- Ntds.pat
Sluit de Active Directory-transactielogboekbestanden uit. De locatie van deze bestanden wordt opgegeven in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path De standaardlocatie is %windir%\Ntds. Sluit met name de volgende bestanden uit:
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
Sluit de bestanden uit in de NTDS-werkmap die is opgegeven in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Sluit met name de volgende bestanden uit:
- Temp.edb
- Edb.chk

Scannen van SYSVOL-bestanden uitschakelen

Schakel het scannen van bestanden in de map Sysvol\Sysvol of de map SYSVOL_DFSR\Sysvol uit.De huidige locatie van de map Sysvol\Sysvol of SYSVOL_DFSR\Sysvol en alle submappen is het reparsedoel van het bestandssysteem van de hoofdmap van de replicaset. De mappen Sysvol\Sysvol en SYSVOL_DFSR\Sysvol gebruiken standaard de volgende locaties:

%systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

Het pad naar de actieve SYSVOL wordt verwezen door de NETLOGON-share en kan worden bepaald door de naam van de SysVol-waarde in de volgende subsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Sluit de volgende bestanden uit deze map en alle bijbehorende submappen:
- *.Adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.aas
- *.Inf
- Scripts.ini
- *.Ins
- Oscfilter.ini
Schakel het scannen van bestanden in de DFSR-database en werkmappen uit. De locatie wordt opgegeven in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path In deze registersubsleutel is 'Pad' het pad van een XML-bestand dat de naam van de replicatiegroep bevat. In dit voorbeeld bevat het pad 'Domain System Volume'. De standaardlocatie is de volgende verborgen map:

%systemdrive%\System Volume Information\DFSR Sluit de volgende bestanden uit deze map en alle bijbehorende submappen:
- $db_normal$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_dirty$
- $db_clean$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.log
- Fsr*.jrs
- Tmp.edb
Opmerking Als een van deze mappen of bestanden wordt verplaatst of op een andere locatie wordt geplaatst, scant of sluit u het equivalente element uit.

Scannen van DFS-bestanden uitschakelen

Dezelfde resources die zijn uitgesloten voor een SYSVOL-replicaset, moeten ook worden uitgesloten als DFSR wordt gebruikt voor het repliceren van shares die zijn toegewezen aan de DFS-hoofdmap en het koppelen van doelen op Windows Server lidcomputers of domeincontrollers.

Scannen van DHCP-bestanden uitschakelen

DHCP-bestanden die moeten worden uitgesloten, zijn standaard aanwezig in de volgende map op de server:

%systemroot%\System32\DHCP

Sluit de volgende bestanden uit deze map en alle bijbehorende submappen:

*.mdb
*.tikken
*.log
*.chk
*.Edb

De locatie van DHCP-bestanden kan worden gewijzigd. Als u de huidige locatie van de DHCP-bestanden op de server wilt bepalen, controleert u de parameters DatabasePath, DhcpLogFilePath en BackupDatabasePath die zijn opgegeven in de volgende registersubsleutel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Scannen van DNS-bestanden uitschakelen

DNS gebruikt standaard de volgende map:

%systemroot%\System32\Dns Sluit de volgende bestanden uit deze map en alle bijbehorende submappen:

*.log
*.Dns
LAARS

Scannen van WINS-bestanden uitschakelen

WINS gebruikt standaard de volgende map:

%systemroot%\System32\Wins

Sluit de volgende bestanden uit deze map en alle bijbehorende submappen:

*.chk
*.log
*.mdb

Voor computers met Hyper-V-versies van Windows

In sommige scenario's kan het nodig zijn om op Windows Server computers waarop de Hyper-V-rol is geïnstalleerd, het onderdeel realtime scannen in de antivirussoftware te configureren om bestanden en volledige mappen uit te sluiten. Zie het volgende Knowledge Base-artikel voor meer informatie:

961804Virtuele machines ontbreken of er wordt een fout 0x800704C8, 0x80070037 of 0x800703E3 treedt op wanneer u probeert een virtuele machine te starten of te maken

Volgende stappen

Als de prestaties of stabiliteit van uw systeem worden verbeterd door de aanbevelingen in dit artikel, neemt u contact op met de leverancier van uw antivirussoftware voor instructies of voor een bijgewerkte versie van of instellingen voor de antivirussoftware.

Opmerking Uw externe antivirusleverancier kan met het Microsoft Ondersteuning team samenwerken aan een commercieel redelijke inspanning.

Naslagwerken

Microsoft-servicesovereenkomst

Overeenkomst voor Microsoft-services

Microsoft Virus Initiative

Wijzigingsoverzicht

De volgende tabel bevat een overzicht van de belangrijkste wijzigingen in dit onderwerp.

Datum	Beschrijving
dinsdag 17 augustus 2021	De opmerking in de sectie 'Meer informatie' bijgewerkt: 'Opmerking bij Windows 10, Windows Server 2016 en hoger...'
dinsdag 2 november 2021	De opmerking in de sectie 'Meer informatie' is bijgewerkt: 'Dit geldt ook voor Windows Server 2012 R2...'
dinsdag 14 maart 2022	Het hele artikel is herzien. Secties 'Symptomen' en 'Oplossing' toegevoegd en de resterende inhoud opnieuw ingedeeld.
dinsdag 14 juli 2023	Er is een derde opsommingsteken toegevoegd in de sectie Inleiding. Er is een sectiekop 'Symptomen' toegevoegd. De sectie 'Meer informatie' is verwijderd.
dinsdag 7 augustus 2023	Indelingsproblemen opgelost waarbij verschillende regels samen in de uitsluitingslijsten worden uitgevoerd.
dinsdag 22 mei 2025	Windows Server 2008 en Windows 7 uit 'Van toepassing op' verwijderd en alle gerelateerde inhoud verwijderd. Windows Server 2025 toegevoegd aan 'Van toepassing op'. Bijgewerkte kruisverwijzingskoppelingen.