Рекомендации по проверке компьютеров с поддерживаемыми версиями Windows, используемых на крупных предприятиях, на наличие вирусов

Переводы статьи Переводы статьи
Код статьи: 822158 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание

Сведения для пользователей домашних компьютеров

Дополнительные сведения о проверке на наличие вирусов с рекомендациями см. на следующем веб-сайте корпорации Майкрософт:
http://windows.microsoft.com/ru-ru/windows-vista/Viruses-frequently-asked-questions
Развернуть все | Свернуть все

В этой статье

Введение

В этой статье приведены рекомендации, которые могут помочь администратору определить причину нестабильной работы компьютера с поддерживаемой версией Microsoft Windows при его использовании с антивирусной программой в среде домена Active Directory или управляемой бизнес-среде.

Примечание. Указанные ниже меры рекомендуется применять временно, для оценки состояния системы. Если они позволят повысить производительность или стабильность работы компьютера, обратитесь к поставщику антивирусной программы за инструкциями или обновленной версией ПО.

Важно! Эта статья содержит сведения о временном отключении функций безопасности или ослаблении действия соответствующих параметров. Эти изменения требуются, чтобы понять причину конкретной проблемы. Однако предварительно рекомендуется оценить связанные с ними риски в конкретной среде. Перед использованием этого обходного способа решения проблемы следует предпринять дополнительные меры для защиты компьютера.

Дополнительная информация

Для компьютеров с системами Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista и Windows 7

Предупреждение. Выполнение описанных ниже действий повышает уязвимость компьютера или сети для вирусов или атак злоумышленников. Корпорация Майкрософт не рекомендует использовать этот способ, но в случае необходимости его можно применить на свой страх и риск. В случае использования данного способа решения проблемы полагайтесь на свой опыт и знания.

Примечания
  • Мы не можем судить о том, какой риск может представлять исключение определенных файлов или папок, указанных в этой статье, из числа объектов антивирусного сканирования. Однако если их оставить в этом списке, система, скорее всего, будет в большей безопасности.
  • При сканировании этих файлов из-за их блокировки возможны проблемы с производительностью и надежностью операционной системы.
  • Не исключайте из объектов сканирования никакие из указанных ниже файлов, основываясь на расширениях их имен. Например, не следует исключать все файлы с расширением DIT. Корпорация Майкрософт не имеет возможности контролировать все типы файлов с расширениями, указанными в этой статье.
  • В этой статье приведены имена файлов и папок, которые могут быть исключены из числа объектов сканирования. По умолчанию доступ к ним имеется только у системной учетной записи и администратора, и они содержат только компоненты операционной системы. Исключить папку из числа объектов сканирования целиком часто проще, чем отдельные файлы, однако это может привести к большему снижению уровня безопасности.

Отключение сканирования файла Microsoft Forefront "tmp.edb"

  • Если вы используете Forefront, отключите сканирование файла базы данных Forefront (tmp.edb). Этот файл расположен в следующей папке:
    %windir%\SoftwareDistribution\Datastore
  • Отключите сканирование файлов журнала, которые находятся в следующей папке:
    %ProgramData%\Microsoft\Search\Data\Applications\Windows

Отключение сканирования файлов, имеющих отношение к Центру обновления Windows и автоматическому обновлению

  • Отключите сканирование файла базы данных Центра обновления Windows или автоматического обновления (Datastore.edb). Он находится в следующей папке:
    %windir%\SoftwareDistribution\Datastore
  • Отключите сканирование файлов журнала, которые находятся в следующей папке:
    %windir%\SoftwareDistribution\Datastore\Logs
    В частности, исключите из числа объектов сканирования следующие файлы:
    • Res*.log;
    • Edb*.jrs
    • Edb.chk.
    • Tmp.edb.
    Звездочка (*) указывает, что таких файлов может быть несколько.

Отключение сканирования файлов системы безопасности Windows

  • Добавьте в список исключений следующие файлы, находящиеся в папке %windir%\Security\Database:
    • *.edb.
    • *.sdb;
    • *.log;
    • *.chk;
    • *.jrs.
    Примечание. Если не исключить эти файлы из числа объектов сканирования, антивирусная программа может затруднить доступ к ним и вызвать повреждение баз данных безопасности. Также сканирование этих файлов в ряде случаев делает невозможным их использование либо применение к ним политик безопасности. В связи с этим их рекомендуется не проверять, потому что антивирусная программа может не распознать их как специальные файлы базы данных.

Отключение сканирования файлов, связанных с групповой политикой

  • Сведения о групповой политике в реестре. Эти файлы расположены в следующей папке:
    %allusersprofile%\
    В частности, исключите из числа объектов сканирования следующий файл:
    NTUser.pol
  • Файл параметров клиента групповой политики. Этот файл расположен в следующей папке:
    %Systemroot%\System32\GroupPolicy\
    В частности, исключите из числа объектов сканирования следующий файл:
    Registry.pol
Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:
951059 Основанные на данных реестра параметры политики неожиданно удаляются после входа пользователя в систему Windows Server 2003
930597 В системе Windows XP или Windows Vista теряются некоторые основанные на данных реестра политики безопасности, а в журнале приложений регистрируются сообщения об ошибках

Для контроллеров доменов с системами Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 и Windows 2000

Так как контроллеры доменов обеспечивают функционирование важных для клиентов служб, необходимо свести к минимуму риск нарушения их работоспособности вредоносным ПО, программным кодом или вирусами. Использование антивирусных программ — широко распространенный способ снижения риска заражения. Установите и настройте антивирусную программу таким образом, чтобы угроза контроллеру домена стала по возможности минимальной с наименьшим влиянием на производительность системы. В приведенном ниже списке представлены рекомендации по установке и настройке антивирусных программ на контроллерах доменов с системами Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 или Windows 2000.

Предупреждение. Рекомендуется реализовать описанную ниже конфигурацию в тестовой среде и убедиться в том, что она не приводит к непредвиденным последствиям и не снижает стабильность системы. Риск от избыточного сканирования состоит в том, что файлы могут быть ошибочно помечены как измененные. Это приводит к чрезмерной репликации в Active Directory. Если тестирование показывает, что изложенные ниже рекомендации не влияют на объем репликации, то антивирусные программы можно без опасений использовать в рабочей среде.

Примечание. Рекомендации, приведенные в этой статье, могут оказаться менее существенными, чем конкретные указания поставщиков антивирусных программ.
  • Антивирусные программы должны быть установлены на всех контроллерах домена на предприятии. В идеале это программное обеспечение следует установить на всех серверных и клиентских системах, которые взаимодействуют с контроллерами домена. Лучше всего блокировать вредоносные программы как можно раньше, например на брандмауэре или в клиентской системе, через которые они пытаются проникнуть в среду. Это позволяет предотвратить их попадание в системы инфраструктуры, от которых зависит работа клиентов.
  • Используйте те версии антивирусного программного обеспечения, которые предназначены для работы с контроллерами домена службы каталогов Active Directory и которые используют для доступа к файлам на сервере соответствующие интерфейсы API. Старые версии ПО большинства поставщиков неверно изменяют метаданные файлов во время их сканирования. Из-за этого обработчик службы репликации файлов предполагает, что файл изменился, и назначает для него репликацию. Более новые версии предотвращают эту проблему. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    815263 Антивирусные приложения, приложения для создания резервных копий и оптимизации дисков, совместимые со службой репликации файлов
  • Не используйте контроллер домена для просмотра веб-страниц и выполнения других действий, которые могут привести к проникновению в систему вредоносного программного кода.
  • Рабочую нагрузку контроллеров домена рекомендуется свести к минимуму. По возможности не используйте их в качестве файловых серверов. Это снижает требования к сканированию общих хранилищ файлов на наличие вирусов и сводит к минимуму снижение производительности.
  • Не размещайте базы данных и файлы журнала служб Active Directory и FRS в сжатых томах с файловой системой NTFS.
    Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    318116 Проблемы с базами данных Jet на сжатых дисках

Отключение сканирования службы каталогов Active Directory и связанных с ней файлов

  • Исключите из числа объектов сканирования файлы основной базы данных NTDS. Их расположение указано в следующем разделе реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Расположение по умолчанию: %windir%\Ntds. В частности, исключите из числа объектов сканирования следующие файлы:
    Ntds.dit
    Ntds.pat
  • Исключите из числа объектов сканирования файлы журнала транзакций Active Directory. Их расположение указано в следующем разделе реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    Расположение по умолчанию: %windir%\Ntds. В частности, исключите из числа объектов сканирования следующие файлы:
    • EDB*.log;
    • Res*.log;
    • Edb*.jrs
    • Ntds.pat.
    Примечание. Файл Ntds.pat больше не используется в системе Windows Server 2003.
  • Исключите из числа объектов сканирования файлы из рабочей папки NTDS, указанной в следующем разделе реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    В частности, исключите из числа объектов сканирования следующие файлы:
    • Temp.edb;
    • Edb.chk.

Отключение сканирования файлов SYSVOL

  • Отключите сканирование файлов из рабочей папки службы репликации файлов (FRS), указанной в следующем разделе реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Расположение по умолчанию: %windir%\Ntfrs. Исключите из числа объектов сканирования следующие файлы, находящиеся в этой папке:
    • edb.chk в папке %windir%\Ntfrs\jet\sys
    • Ntfrs.jdb в папке %windir%\Ntfrs\jet
    • *.log в папке %windir%\Ntfrs\jet\log
  • Отключение сканирование файлов журнала базы данных FRS, указанных в следующем разделе реестра:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Расположение по умолчанию: %windir%\Ntfrs. Исключите из числа объектов сканирования следующие файлы:
    • Edb*.log (если значение раздела реестра не задано);
    • рабочая папка FRS\Jet\Log\Edb*.jrs (для Windows Server 2008 и Windows Server 2008 R2);
    Примечание. Параметры исключения конкретных файлов указаны здесь только для полноты. По умолчанию доступ к ним имеется только у системной учетной записи и администраторов. Убедитесь, что используются подходящие средства защиты. Эти папки содержат только рабочие файлы компонентов служб FRS и DFSR.
  • Отключите сканирование папки промежуточного хранения, указанной в следующем разделе реестра.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    По умолчанию этот файл хранится в следующей папке:
    %systemroot%\Sysvol\Staging areas
    Исключите из числа объектов сканирования следующие файлы:
    • Nntfrs_cmp*.*.
  • Отключите сканирование файлов в папке Sysvol\Sysvol.

    В настоящее время папка Sysvol\Sysvol и все ее подпапки находятся в целевом каталоге повторной обработки файловой системы в корне набора реплик, а именно:
    %systemroot%\Sysvol\Domain
    Исключите из числа объектов сканирования следующие файлы в этой папке и всех ее подпапках:
    • *.adm;
    • *.admx;
    • *.adml;
    • Registry.pol;
    • *.aas;
    • *.inf;
    • Fdeploy.inf;
    • Scripts.ini;
    • *.ins;
    • Oscfilter.ini.
  • Отключите сканирование файлов в следующей папке предварительной установки службы FRS:
    корневая_папка_репликации\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Папка предварительной установки всегда открыта, когда запущена служба репликации файлов.

    Исключите из числа объектов сканирования следующие файлы в этой папке и всех ее подпапках:
    • Ntfrs*.*.
  • Отключите сканирование файлов в базе данных и рабочих папках DFSR. Их расположение указано в следующем разделе реестра:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    В данном разделе реестра "Path" — это путь к XML-файлу, в котором указано имя группы репликации. В данном примере путь должен содержать "системный том домена".

    По умолчанию этот файл находится в следующей скрытой папке:
    %systemdrive%\System Volume Information\DFSR
    Исключите из числа объектов сканирования следующие файлы в этой папке и всех ее подпапках:
    • $db_normal$;
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml;
    • $db_dirty$;
    • $db_lost$
    • Dfsr.db;
    • Fsr.chk;
    • *.frx;
    • *.log;
    • Fsr*.jrs;
    • Tmp.edb.
    Если какие-либо из этих файлов или папок перемещены в другое место, добавьте в список сканирования или исключите из него эквивалентные элементы.

Отключение сканирования файлов DFS

Указанные выше элементы набора реплик SYSVOL также необходимо исключить из числа объектов сканирования, если для репликации общих файлов, сопоставленных с корнем DFS, используется служба FRS или DFSR и ссылка указывает на рядовые компьютеры или контроллеры домена с системами Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 или Windows 2000.

Отключение сканирования файлов DHCP

По умолчанию файлы DHCP, которые необходимо исключить из числа объектов сканирования, находятся в следующей папке на сервере:
%systemroot%\System32\DHCP
Исключите из числа объектов сканирования следующие файлы в этой папке и всех ее подпапках:
  • *.mdb;
  • *.pat;
  • *.log;
  • *.chk;
  • *.edb.
Расположение файлов DHCP может быть изменено. Чтобы определить, где они находятся на сервере в текущий момент, проверьте параметры DatabasePath, DhcpLogFilePath и BackupDatabasePath, указанные в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Для контроллеров домена с системами Windows Server 2008, Windows Server 2003 и Windows 2000

Отключение сканирования файлов DNS

По умолчанию служба DNS использует следующую папку:
%systemroot%\System32\Dns
Исключите из числа объектов сканирования следующие файлы в этой папке и всех ее подпапках:
  • *.log;
  • *.dns;
  • BOOT.

Отключения сканирования файлов WINS

По умолчанию служба WINS использует следующую папку:
%systemroot%\System32\Wins
Исключите из числа объектов сканирования следующие файлы в этой папке и всех ее подпапках:
  • *.chk;
  • *.log;
  • *.mdb.

Для компьютеров, где Windows работает в Hyper-V

В ряде случаев на компьютере Windows Server 2008, где есть роль Hyper-V, или на компьютере с системой Microsoft Hyper-V Server 2008 либо Microsoft Hyper-V Server 2008 R2 может требоваться настроить в компоненте сканирования в реального времени антивирусной программы исключение файлов и целых папок. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
961804 В консоли диспетчера Hyper-V отсутствуют виртуальные машины, либо при создании или запуске виртуальной машины происходят следующие ошибки: "0x800704C8", "0x80070037" или "0x800703E3"

Свойства

Код статьи: 822158 - Последний отзыв: 30 марта 2012 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Корпоративная
  • Windows 7 Домашняя базовая
  • Windows 7 Домашняя расширенная
  • Windows 7 Профессиональная
  • Windows 7 Максимальная
Ключевые слова: 
kbinfo kbprb kbexpertiseinter kbsecurity KB822158

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com