ID articol: 822158 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

INTRODUCERE

Acest articol con?ine recomandări care vă pot ajuta să stabili?i cauzele instabilită?ii poten?iale a unui computer care execută o versiune acceptată de Microsoft Windows, atunci când utiliza?i un software antivirus într-un mediu de domeniu Active Directory sau într-un mediu gestionat de întreprindere.

Notă Vă recomandăm să aplica?i temporar aceste proceduri pentru a evalua un sistem. Dacă performan?a sau stabilitatea sistemului se îmbunătă?esc prin recomandările făcute în acest articol, contacta?i distribuitorul de software antivirus pentru instruc?iuni sau pentru o versiune actualizată a software-ului antivirus.

Important Acest articol con?ine informa?ii care vă arată cum să seta?i un nivel inferior de securitate sau cum să dezactiva?i temporar caracteristicile de securitate de pe un computer. Aplica?i aceste modificări numai pentru a în?elege natura unei anumite probleme. Înainte de a face aceste modificări, vă recomandăm să evalua?i riscurile asociate implementării acestei solu?ii în mediul dvs. Dacă implementa?i această solu?ie, lua?i toate măsurile suplimentare necesare pentru a vă proteja computerul.

INFORMAȚII SUPLIMENTARE

Pentru computerele care execută Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista sau Windows 7

Avertisment Această solu?ie poate face computerul sau re?eaua mai vulnerabile la atacuri din partea utilizatorilor rău răuvoitori sau din partea unor programe software inten?ionate, cum ar fi viru?ii. Nu recomandăm această solu?ie, dar furnizăm aceste informa?ii pentru a implementa această solu?ie la alegerea dvs. Utiliza?i această solu?ie pe propriul dvs. risc.

Note
  • Nu cunoa?tem riscurile excluderii din scanările efectuate de software-ul dvs. antivirus a fi?ierelor sau folderelor care sunt men?ionate în acest articol. Însă, sistemul dvs. poate fi mai sigur dacă nu exclude?i niciun fi?ier sau folder de la scanare.
  • Când scana?i aceste fi?iere, pot apărea probleme de performan?ă ?i de fiabilitate a sistemului de operare datorită blocării fi?ierelor.
  • Nu exclude?i niciunul dintre aceste fi?iere pe baza extensiei numelui de fi?ier. De exemplu, nu excludeți toate fișierele care au extensia .dit. Microsoft nu are control asupra altor fi?iere care pot utiliza acelea?i extensii ca fi?ierele descrise în acest articol.
  • Acest articol furnizează numele fi?ierelor ?i folderelor care se pot exclude. Toate fi?ierele ?i folderele descrise în acest articol sunt protejate prin permisiuni implicite pentru a permite accesul exclusiv SISTEMULUI ?i administratorului, ?i acestea con?in numai componente ale sistemului de operare. Excluderea unui întreg folder poate fi mai simplă, dar este posibil să nu ofere la fel de multă protec?ie ca excluderea unor fi?iere specifice, pe baza numelor de fi?ier.

Dezactivarea scanării fi?ierelor asociate cu Windows Update sau cu Actualizări automate

  • Dezactiva?i scanarea fi?ierului bază de date Windows Update sau Actualizări automate (Datastore.edb). Fi?ierul se află în următorul folder:
    %windir%\SoftwareDistribution\Datastore
  • Dezactiva?i scanarea fi?ierelor jurnal care se află în următorul folder:
    %windir%\SoftwareDistribution\Datastore\Logs
    Mai precis, exclude?i următoarele fi?iere:
    • Res*.log
    • Res*.jrs
    • Edb.chk
    • Tmp.edb
    Metacaracterul (*) indică faptul că pot exista mai multe fi?iere.

Dezactivarea scanării fi?ierelor de securitate Windows

  • Adăuga?i următoarele fi?iere din calea %windir%\Security\Database în lista de excluderi:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Notă Dacă aceste fi?iere nu se exclud, software-ul antivirus poate împiedica accesul corespunzător la aceste fi?iere, iar bazele de date de securitate se pot deteriora. Scanarea acestor fi?iere poate împiedica utilizarea fi?ierelor sau poate împiedica aplicarea politicii de securitate la aceste fi?iere. Aceste fi?iere nu ar trebui scanate, deoarece este posibil ca software-ul antivirus să nu le trateze corect, ca fi?iere apar?inând bazei de date.

Dezactivarea scanării fi?ierelor asociate politicii de grup

  • Informa?ii de registry utilizatori pentru politica de grup. Aceste fi?iere se află în următorul folder:
    %allusersprofile%\
    Mai precis, exclude?i următorul fi?ier:
    NTUser.pol
  • Fi?ierul de setări client pentru politica de grup. Fișierul se află în următorul folder:
    %Systemroot%\System32\GroupPolicy\
    Mai precis, exclude?i următorul fi?ier:
    Registry.pol
Pentru informații suplimentare, faceți clic pe următoarele numere de articole pentru a le vedea în Baza de cunoștințe Microsoft:
951059 Pe un computer cu Windows Server 2003, setările de politică din registry sunt eliminate în mod neprevăzut după ce un utilizator face Log on la computer (articolul poate să fie în limba engleză)
930597 Unele setări de politică din registry se pierd ?i se înregistrează mesaje de eroare în jurnalul de aplica?ie pe un computer cu Windows XP sau cu Windows Vista (articolul poate să fie în limba engleză)

Pentru controlerii de domeniu Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ?i Windows 2000

Deoarece controlerii de domeniu furnizează servicii importante pentru clienți, trebuie minimizat riscul de a le întrerupe activitățile din cauza codurilor rău intenționate (malware sau viru?i). Software-ul antivirus este modalitatea general acceptată pentru a diminua riscul de infecție. Instalați și configurați software antivirus pentru a se reduce cât de mult posibil riscul pentru controlerul de domeniu și pentru ca performanțele sale să fie afectate cât mai puțin posibil. Următoarea listă conține recomandări pentru a vă ajuta să configurați și să instalați software antivirus pe un controler de domeniu Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 sau Windows 2000.

Avertisment Vă recomandăm să aplicați următoarea configurație specificată pe un sistem test pentru a vă asigura că în mediul dvs. specific nu introduce factori neașteptați și că nu compromite stabilitatea sistemului. Riscul prezentat de o scanare excesivă este că se semnalizează în mod eronat fișiere ca fiind modificate. Aceasta duce la prea multe reproduceri în Active Directory. Dacă testarea verifică faptul că reproducerea nu este afectată de următoarele recomandări, software-ul antivirus se poate aplica în mediul de producție.

Notă Recomandările specifice de la distribuitorii de software antivirus pot avea prioritate în fața recomandărilor din acest articol.
  • Software-ul antivirus trebuie să fie instalat pe toți controlerii de domeniu din companie. În mod ideal, încercați să instalați astfel de software pe toate celelalte sisteme server și client care trebuie să interacționeze cu controlerii de domeniu. Este optim să prindeți software-ul rău inten?ionat cât mai rapid, de exemplu, când ajunge la paravanul de protecție sau la sistemul client unde se introduce. Aceasta împiedică software-ul rău inten?ionat să atingă sistemele de infrastructură de care depind clienții.
  • Utilizați o versiune de software antivirus care este proiectată să funcționeze cu controleri de domeniu Active Directory și care utilizează Interfețe de programare a aplicațiilor (API-uri) corecte pentru a accesa fișiere pe servere. Versiunile mai vechi de software ale majorității distribuitorilor modifică incorect metadatele din fișiere în timpul scanării. Aceasta face ca motorul Serviciul de reproducere fi?iere să recunoască o modificare în fișier și, ca urmare, să programeze fișierul pentru reproducere. Versiunile mai noi previn această problemă. Pentru mai multe informa?ii, face?i clic pe următorul număr de articol pentru a-l vedea în Baza de cuno?tin?e Microsoft:
    815263 Programele antivirus, de copiere de rezervă și de optimizare a discurilor compatibile cu Serviciul de reproducere fi?iere (articolul poate să fie în limba engleză)
  • Nu utilizați un controler de domeniu pentru a naviga pe Internet sau pentru a efectua alte activități care pot introduce cod rău intenționat.
  • Vă recomandăm să minimiza?i volumul de lucru pe controlerele de domeniu. Atunci când este posibil, evita?i utilizarea controlerele de domeniu în rol de server de fi?iere. Astfel se mic?orează activitatea de scanare antivirus pe partajările de fi?iere ?i se minimizează supraîncărcarea func?ionării.
  • Nu plasați fișiere de baze de date sau de jurnal Active Directory sau FRS în volumele comprimate cu sistemul de fișiere NTFS.
    Pentru mai multe informa?ii, face?i clic pe următorul număr de articol pentru a-l vedea în Baza de cuno?tin?e Microsoft:
    318116 Probleme cu bazele de date Jet pe unități comprimate (articolul poate să fie în limba engleză)

Dezactivarea scanării fișierelor Active Directory și asociate cu Active Directory

  • Exclude?i fișierele bazei de date Main NTDS. Locația acestor fișiere este specificată în următoarea cheie de registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Locația implicită este %windir%\Ntds. Mai precis, exclude?i următoarele fi?iere:
    Ntds.dit
    Ntds.pat
  • Exclude?i fișierele jurnalului de tranzacții Active Directory. Locația acestor fișiere este specificată în următoarea cheie de registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    Locația implicită este %windir%\Ntds. Mai precis, exclude?i următoarele fi?iere:
    • EDB*.log
    • Res*.log
    • Res*.jrs
    • Ntds.pat
    Notă Windows Server 2003 nu mai utilizează fișierul Ntds.pat.
  • Exclude?i fi?ierele din folderul NTDS Working care este specificat în următoarea cheie de registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Mai precis, exclude?i următoarele fi?iere:
    • Temp.edb
    • Edb.chk

Dezactivarea scanării fi?ierelor SYSVOL

  • Dezactivarea scanării fi?ierelor din folderul Working din Serviciul de reproducere a fi?ierelor (FRS) care este specificat în următoarea cheie de registry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Locația implicită este %windir%\Ntfrs. Exclude?i următoarele fi?iere care există în folder:
    • edb.chk
    • Ntfrs.jdb
    • *.log
  • Dezactiva?i scanarea fi?ierelor din fi?ierele jurnal din baza de date FRS care sunt specificate în următoarea cheie de registry:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Locația implicită este %windir%\Ntfrs. Excludeți următoarele fișiere:
    • Eedb*.log (dacă nu este setată cheia de registry).
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 ?i Windows Server 2008 R2).
    • Edb*.jrs (Windows Server 2008 ?i Windows Server 2008 R2).
    Notă Setările pentru excluderea anumitor fi?iere sunt documentate complet aici. În mod implicit, aceste foldere permit accesul numai sistemului ?i administratorilor. Verifica?i că este asigurată protec?ia corectă. Aceste foldere con?in numai fi?iere de lucru pentru FRS ?i DFSR.
  • Dezactiva?i scanarea fi?ierului Staging specificat în următoarea cheie de registry.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    În mod implicit, montarea utilizează următoarea locație:
    %systemroot%\sysvol\staging areas
    Excludeți următoarele fișiere:
    • Nntfrs_cmp*.*
  • Dezactiva?i scanarea fi?ierelor din folderul Sysvol\Sysvol.

    Locația curentă a folderului Sysvol\Sysvol și a tuturor subfolderelor sale este ținta de reanalizare a sistemului de fișiere pentru rădăcina setului de reproduceri. Folderul Sysvol\Sysvol utilizează următoarea loca?ie:
    %systemroot%\Sysvol\Sysvol
    Exclude?i următoarele fi?iere din acest folder ?i din toate subfolderele sale:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Dezactiva?i scanarea fi?ierelor din folderul FRS Preinstall care se află în următoarea loca?ie:
    Rădăcina_reproducerii\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Folderul Preinstall este întotdeauna deschis când se execută FRS.

    Exclude?i următoarele fi?iere din acest folder ?i din toate subfolderele sale:
    • Ntfrs*.*
  • Dezactiva?i scanarea fi?ierelor din baza de date DFSR ?i din folderele de lucru. Loca?ia este specificată de următoarea cheie de registry:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    În această cheie de registry, „Path” este calea la un fi?ier XML care dă numele grupului de reproducere. În acest exemplu, care con?ine „Domain System Volume”.

    Loca?ia implicită este următorul folder ascuns:
    %systemdrive%\System Volume Information\DFSR
    Exclude?i următoarele fi?iere din acest folder ?i din toate subfolderele sale:
    • $db_normal$
    • FileIDTable_2
    • SimilarityTable_2
    • *.xml
    • $db_dirty$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Dacă oricare dintre aceste foldere sau fișiere au fost mutate sau plasate într-o altă locație, scanați sau excludeți elementul echivalent.

Dezactivarea scanării fi?ierelor DFS

Aceleași resurse care sunt excluse pentru un set de reproduceri SYSVOL trebuie să fie excluse și atunci când se utilizează FRS sau DFSR pentru a reproduce partajări care sunt mapate la rădăcina DFS și pentru legarea țintelor pe computere membru sau controleri de domeniu Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 sau Windows 2000.

Dezactivarea scanării fi?ierelor DHCP

În mod implicit, fi?ierele DHCP care trebuie excluse sunt prezente în următorul folder de pe server:
%systemroot%\System32\DHCP
Exclude?i următoarele fi?iere din acest folder ?i din toate subfolderele sale:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Loca?ia fi?ierelor DHCP se poate schimba. Pentru a determine loca?ia curentă a fi?ierelor DHCP pe server, căuta?i parametrii DatabasePath, DhcpLogFilePath ?i BackupDatabasePath specifica?i în următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Pentru controlerii de domeniu Windows Server 2008, Windows Server 2003 ?i Windows 2000

Dezactivarea scanării fi?ierelor DNS

În mod implicit, DNS utilizează următorul folder:
%systemroot%\System32\Dns
Exclude?i următoarele fi?iere din acest folder ?i din toate subfolderele sale:
  • *.log
  • *.dns
  • BOOT

Dezactivarea scanării fi?ierelor WINS

În mod implicit, WINS utilizează următorul folder:
%systemroot%\System32\Wins
Exclude?i următoarele fi?iere din acest folder ?i din toate subfolderele sale:
  • *.chk
  • *.log
  • *.mdb

Proprietă?i

ID articol: 822158 - Ultima examinare: 8 februarie 2010 - Revizie: 13.1
SE APLICĂ LA:
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate
  • Windows Server 2008 Foundation
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
Cuvinte cheie: 
kbinfo kbprb kbexpertiseinter kbsecurity KB822158

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com