Рекомендації щодо перевірки на наявність вірусів для комп’ютерів під керуванням версій Windows, які наразі підтримуються

Переклади статей Переклади статей
Номер статті: 822158 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ВСТУП

Ця стаття містить рекомендації, які допоможуть визначити причину потенційної нестабільності роботи комп’ютера під керуванням підтримуваної версії Microsoft Windows, якщо він використовується з антивірусним програмним забезпеченням в доменному середовищі Active Directory або в керованому бізнес-середовищі.

Примітка. Радимо виконати наведені в статті дії, щоб оцінити роботу своєї системи. Якщо зросте продуктивність системи або стабільність роботи після виконання дій, рекомендованих у цій статті, зверніться до виробника свого антивірусного програмного забезпечення, щоб отримати інструкції або оновлену версію.

Увага! Ця стаття містить відомості про те, як знизити рівень безпеки або тимчасово вимкнути функції безпеки комп’ютера. Такі зміни можна внести, щоб зрозуміти специфіку певної проблеми. Перш ніж виконувати наведені дії, доцільно оцінити пов’язаний із ними ризик у вашому конкретному середовищі. У разі застосування наданих інструкцій слід ужити всіх можливих додаткових заходів для захисту комп’ютера.

ДОДАТКОВІ ВІДОМОСТІ

Для комп’ютерів під керуванням Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista або Windows 7

Попередження. У результаті виконання наведених дій комп’ютер або мережа можуть стати вразливішими до атак зловмисників або шкідливого програмного забезпечення, наприклад вірусів. Ми не рекомендуємо застосовувати такий принцип роботи, проте надаємо цю інформацію, щоб ви могли за потреби скористатися нею на власний розсуд. Відповідальність за виконання наведених дій несете ви.

Примітки.
  • У нас немає відомостей щодо ризику ігнорування вашим антивірусним програмним забезпеченням окремих файлів або папок, які зазначено в цій статті, під час сканування. Однак ваша система буде більш захищеною, якщо не ігнорувати жодних файлів або папкок під час сканування.
  • Під час сканування цих файлів продуктивність і надійність операційної системи може знижуватися через блокування відповідних файлів.
  • Не ігноруйте жодного з цих файлів, орієнтуючись на розширення їх імен. Наприклад, не виключайте файли з розширенням .dit. Корпорація Майкрософт не контролює інші файли, які можуть мати ті ж розширення, що й файли, які описано в цій статті.
  • У цій статті наведено імена файлів і папок, які можна проігнорувати. Усі файли й папки, які зазначено в цій статті, захищено дозволами за промовчанням, які надаються лише СИСТЕМІ та її адміністратору. Файли й папки містять лише компоненти операційної системи. Виключення всієї папки є простішою операцією, проте за такої умови не буде забезпечено достатній рівень захисту, на відміну від виключення окремих файлів на основі їх імен.

Вимкнення сканування файлів, пов’язаних із веб-вузлом Windows Update або службою автоматичного оновлення

  • Вимкніть сканування файлу бази даних веб-вузла Windows Update або служби автоматичного оновлення (Datastore.edb) Цей файл міститься в указаній нижче папці:
    %windir%\SoftwareDistribution\Datastore
  • Вимкніть сканування файлів журналу, розміщених в указаній нижче папці:
    %windir%\SoftwareDistribution\Datastore\Logs
    Зокрема, виключіть зазначені нижче файли:
    • Res*.log
    • Res*.jrs
    • Edb.chk
    • Tmp.edb
    Знак підстановки (*) свідчить про те, що таких файлів може бути декілька.

Вимкнення сканування файлів безпеки Windows

  • Додайте до списку винятків наведені нижче файли (їх ви знайдете за шляхом %windir%\Security\Database):
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Примітка. Якщо ці файли не буде виключено, антивірусне програмне забезпечення може перешкоджати належному доступу до них. Це може призвести до пошкодження баз даних безпеки. Сканування цих файлів може перешкоджати їх використанню або застосуванню до них політики безпеки. Не потрібно сканувати ці файли, оскільки антивірусне програмне забезпечення може помилково вважати їх файлами власної бази даних.

Вимкнення сканування файлів, пов’язаних із груповою політикою

  • Реєстраційна інформація користувача в груповій політиці. Ці файли містяться в указаній нижче папці:
    %allusersprofile%\
    Зокрема, виключіть зазначений нижче файл:
    NTUser.pol
  • Файл параметрів клієнта в груповій політиці. Цей файл міститься в указаній нижче папці:
    %Systemroot%\System32\GroupPolicy\
    Зокрема, виключіть зазначений нижче файл:
    Registry.pol
Докладні відомості можна знайти у відповідних статях бази знань Майкрософт:
951059 На комп’ютері під керуванням Windows Server 2003 параметри політики на основі реєстру несподівано видалено після входу користувача до системи (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
930597 На комп’ютері під керуванням Windows XP або Windows Vista деякі параметри політики на основі реєстру втрачено, а до журналу застосунків внесено повідомлення про помилки (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)

Для контролерів доменів Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 і Windows 2000

Оскільки контролери доменів надають важливі служби клієнтам, необхідно мінімізувати ризик припинення їх роботи через зловмисний код, шкідливе програмне забезпечення або віруси. Антивірусне програмне забезпечення – це загальноприйнятий спосіб зменшити ризик ураження. Інсталюйте й налаштуйте антивірусне програмне забезпечення таким чином, щоб максимально зменшити ризик ураження контролера домену й мінімально впливати на його продуктивність. Наведений нижче перелік містить рекомендації, які допоможуть інсталювати й налаштувати антивірусне програмне забезпечення на контролері домену Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 або Windows 2000.

Попередження. Радимо використовувати наведену нижче конфігурацію, щоб перевірити систему й переконатися, що у вашому середовищі вона не створює неочікуваних проблем і не впливає на стабільність роботи системи. Ризик від частого сканування полягає в тому, що файли неналежним чином позначаються як змінені. Це створює велику кількість реплікацій у домені Active Directory. Якщо тестування підтверджує, що реплікація не має істотного впливу за використання наведених рекомендацій, можна використовувати антивірусне програмне забезпечення в середовищі виробництва.

Примітка. Спеціальні рекомендації від виробників антивірусного програмного забезпечення можуть замінювати рекомендації, які наведено в цій статті.
  • Антивірусне програмне забезпечення має бути встановлено на всіх контролерах домену на підприємстві. Найкращий спосіб – інсталювати програмне забезпечення на всі сервери та клієнтські системи, які взаємодіють із контролерами домену. Ефективно виявляти шкідливе програмне забезпечення на початкових стадіях, наприклад завдяки брандмауеру або на клієнтській системі, де наявне шкідливе програмне забезпечення. Такі дії не дозволять шкідливому програмному забезпеченню досягти систем інфраструктури, від якої залежать клієнти.
  • Використовуйте версію антивірусного програмного забезпечення, яку розроблено для роботи з контролерами домену Active Directory і яка використовує належні інтерфейси прикладних програм (API) для доступу до файлів на сервері. Попередні версії більшості виробників програмного забезпечення неналежним чином змінюють метадані файлу під час сканування. Це призводить до того, що служба реплікації файлів виявляє зміну файлу, а отже вносить його до плану реплікації. В останніх версіях цю проблему усунуто. Щоб отримати додаткові відомості, клацніть номер статті для її перегляду в базі знань Майкрософт:
    815263 Антивірусні програми, програми резервного копіювання й оптимізації дискового простору, сумісні зі службою реплікації файлів (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)
  • Не використовуйте контролер домену для здійснення пошуку в Інтернеті або для виконання інших завдань, які можуть призвести до зараження зловмисним кодом.
  • Радимо мінімізувати виконання завдань на контролерах домену. Якщо можливо, уникайте використання контролерів домену як файлових серверів. Це знизить частоту сканування на наявність вірусів на спільних ресурсах файлів і мінімізує неефективне використання контролера.
  • Не розміщуйте базу даних Active Directory або FRS і файли журналу у файловій системі NTFS стиснутих томів.
    Щоб отримати докладні відомості, клацніть номер статті для її перегляду в базі знань Майкрософт:
    318116 Проблеми з базами даних Jet на стиснутих дисках (Це посилання може вказувати на матеріали, повністю або частково викладені англійською мовою.)

Вимкнення сканування Active Directory та файлів, пов’язаних із Active Directory

  • Виключіть основні файли бази даних NTDS. Розташування цих файлів указано в зазначеному нижче розділі реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Розташування за промовчанням – %windir%\Ntds. Зокрема, виключіть зазначені нижче файли:
    Ntds.dit
    Ntds.pat
  • Виключіть файли журналу виконання операцій Active Directory. Розташування цих файлів указано в зазначеному нижче розділі реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    Розташування за промовчанням – %windir%\Ntds. Зокрема, виключіть зазначені нижче файли:
    • EDB*.log
    • Res*.log
    • Res*.jrs
    • Ntds.pat
    Примітка. У Windows Server 2003 файл Ntds.pat більше не використовується.
  • Виключіть файли в робочій папці NTDS, указані в зазначеному нижче розділі реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Зокрема, виключіть зазначені нижче файли:
    • Temp.edb
    • Edb.chk

Вимкнення сканування файлів SYSVOL

  • Вимкніть сканування файлів у робочій папці служби реплікації файлів (FRS), указаних у зазначеному нижче розділі реєстру:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Розташування за промовчанням – %windir%\Ntfrs. Виключіть зазначені нижче файли, які розміщено в папці:
    • edb.chk
    • Ntfrs.jdb
    • *.log
  • Вимкніть сканування файлів журналу бази даних FRS, указаних у зазначеному нижче розділі реєстру:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Розташування за промовчанням – %windir%\Ntfrs. Виключіть зазначені нижче файли:
    • Eedb*.log (якщо розділ реєстру не налаштовано).
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 та Windows Server 2008 R2).
    • Edb*.jrs (Windows Server 2008 та Windows Server 2008 R2).
    Примітка. Налаштування для окремих виключень файлів наведено в цьому документі для цілісного формування уявлення. За промовчанням до цих папок мають доступ лише система та її адміністратори. Перевірте, чи належним чином встановлено параметри захисту. Ці папки містять лише компонентні робочі файли для FRS і DFSR.
  • Вимкніть сканування проміжного файлу, який указано в наведеному нижче розділі реєстру.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    Розташування проміжних файлів за промовчанням:
    %systemroot%\Sysvol\Staging areas
    Виключіть зазначені нижче файли:
    • Nntfrs_cmp*.*
  • Вимкніть сканування файлів у папці Sysvol\Sysvol.

    Поточне розташування папки Sysvol\Sysvol і всіх її підпапок – об’єкт аналізу файлової системи в кореневій папці набору реплік. Розташування папки Sysvol\Sysvol:
    %systemroot%\Sysvol\Sysvol
    Виключіть зазначені нижче файли з цієї папки та всіх її підпапок:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Вимкніть сканування файлів у папці попередньої інсталяції FRS із таким розташуванням:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Під час роботи FRS папка попередньої інсталяції завжди відкрита.

    Виключіть зазначені нижче файли з цієї папки та всіх її підпапок:
    • Ntfrs*.*
  • Вимкніть сканування файлів у базі даних DFSR і робочих папках. Розташування зазначено в наведеному нижче розділі реєстру:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    У цьому розділі реєстру "Шлях" – це шлях XML-файлу, який визначає ім’я групи реплікації. У цьому прикладі шлях міститиме параметр "Системний том домену".

    Розташування за промовчанням – зазначена нижче прихована папка:
    %systemdrive%\System Volume Information\DFSR
    Виключіть зазначені нижче файли з цієї папки та всіх її підпапок:
    • $db_normal$
    • FileIDTable_2
    • SimilarityTable_2
    • *.xml
    • $db_dirty$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Якщо будь-яку з цих папок або файлів переміщено, проскануйте або виключіть відповідний елемент.

Вимкнення сканування файлів DFS

Ті ж ресурси, що виключаються для набору реплік SYSVOL, мають також бути виключеними під час використання FRS або DFSR для реплікування спільних ресурсів, зіставлених із кореневою папкою й об’єктами посилання на комп’ютерах або контролерах домену під керуванням Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 або Windows 2000.

Вимкнення сканування файлів DHCP

За промовчанням файли DHCP, які має бути виключено, представлено в указаній нижче папці на сервері:
%systemroot%\System32\DHCP
Виключіть зазначені нижче файли з цієї папки та всіх її підпапок:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Розташування файлів DHCP може бути змінено. Щоб визначити поточне розташування файлів DHCP на сервері, перевірте параметри DatabasePath, DhcpLogFilePath і BackupDatabasePath, які вказано в наведеному нижче підрозділі реєстру:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Для контролерів домену Windows Server 2008, Windows Server 2003 і Windows 2000

Вимкнення сканування файлів DNS

За промовчанням файли DNS містяться в указаній нижче папці:
%systemroot%\System32\Dns
Виключіть зазначені нижче файли з цієї папки та всіх її підпапок:
  • *.log
  • *.dns
  • BOOT

Вимкнення сканування файлів WINS

За промовчанням файли WINS містяться в указаній нижче папці:
%systemroot%\System32\Wins
Виключіть зазначені нижче файли з цієї папки та всіх її підпапок:
  • *.chk
  • *.log
  • *.mdb

Властивості

Номер статті: 822158 - Востаннє переглянуто: 8 лютого 2010 р. - Редакція: 13.1
ЗАСТОСОВУЄТЬСЯ ДО:
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate
  • Windows Server 2008 Foundation
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
Ключові слова: 
kbinfo kbprb kbexpertiseinter kbsecurity KB822158

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com