أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

توصيات الكشف عن الفيروسات الخاصة بأجهزة كمبيوتر المؤسسة التي تستخدم الإصدارات المدعمة حاليًا من أنظمة تشغيل Windows

انتهاء دعم نظام التشغيل Windows XP

لقد أنهت شركة Microsoft دعم Windows XP في 8 أبريل، 2014. وقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

انتهي دعم Windows Server 2003 في 14 يوليو 2015!

أنهت شركة Microsoft دعم نظام التشغيل Windows Server 2003 في 14 يوليو 2015. لقد أثر هذا التغيير على تحديثات البرامج لديك وخيارات الأمان الخاصة بك. تعرف على ما يعنيه ذلك فيما يتعلق بك وكيفية الحفاظ على حمايتك.

ملاحظة

معلومات للمستخدمين المنزليين

لمزيد من المعلومات حول الكشف عن الفيروسات والتوصيات الخاصة بالعملاء، قم بزيارة موقع Microsoft التالي على الويب:
مقدمة
تحتوي هذه المقالة على توصيات قد تساعد مسؤول الكمبيوتر في تحديد السبب لعدم الاستقرار المحتمل بجهاز الكمبيوتر الذي يستخدم إصدار مدعم من أنظمة تشغيل Microsoft Windows، عند استخدامه مع برنامج مكافحة فيروسات في بيئة مجال Active Directory أو في بيئة عمل مُدارة.

ملاحظة نوصي بتطبيق هذه الإجراءات بشكل مؤقت لتقييم نظام ما. إذا تم تحسين أداء النظام أو استقراره عن طريق تطبيق التوصيات الواردة في هذه المقالة، اتصل بمورد برنامج مكافحة الفيروسات الذي تستخدمه للحصول على تعليمات أو للحصول على إصدار مُحدّث من برنامج مكافحة الفيروسات.

هام تتضمن هذه المقالة معلومات توضح كيفية المساعدة على خفض إعدادات الأمان أو كيفية إيقاف تشغيل ميزات الأمان الموجودة على جهاز الكمبيوتر بشكل مؤقت. ويمكنك إجراء هذه التغييرات لفهم طبيعة مشكلة معينة. قبل القيام بإجراء هذه التغييرات، يُفضل تقييم المخاطر المرتبطة بتطبيق هذا الحل البديل في بيئة التشغيل الخاصة بك. في حالة تطبيق هذا الحل البديل، قم بتنفيذ أية خطوات إضافية مناسبة للمساعدة في حماية جهاز الكمبيوتر.
معلومات أخرى

بالنسبة لأجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows Server 2008 R2 أو Windows Server 2008 أو Windows Server 2003 أو Windows 2000 أو Windows XP أو Windows Vista أو Windows 7

تحذير قد يؤدي تطبيق هذا الحل البديل إلى جعل جهاز الكمبيوتر أو الشبكة أكثر عرضة للهجوم من قِبل المستخدمين الضارين أو البرامج الضارة مثل الفيروسات. لذلك لا ننصح باستخدام هذا الحل، ولكننا نورد هذه المعلومات حتى يكون لك كامل الحرية في تطبيق هذا الحل حسب رؤيتك. يمكنك استخدام هذا الحل على مسؤوليتك الشخصية.

ملاحظات
  • نحن لا نعلم مدى خطورة استثناء الملفات أو المجلدات، المشار إليها في هذه المقالة، من عمليات الفحص التي يتم إجراؤها بواسطة برامج مكافحة الفيروسات. ومع ذلك، قد يكون النظام أكثر أمانًا إذا لم تقم باستثناء أية ملفات أو مجلدات من عمليات الفحص.
  • قد تحدث مشكلات في وثوقية نظام التشغيل والأداء بسبب تأمين هذه الملفات عند فحصها.
  • لا تقم باستبعاد أي ملف من تلك الملفات استنادًا إلى ملحق اسم الملف. على سبيل المثال، لا تقم باستبعاد كل الملفات ذات الملحق .dit. لا تتحكم Microsoft بأي شكل في الملفات الأخرى التي قد تستخدم نفس الملحقات مثل الملفات الموضحة في هذه المقالة.
  • توفر هذه المقالة أسماء الملفات والمجلدات التي يمكن استبعادها. تتم حماية كافة الملفات والمجلدات الموضحة في هذه المقالة حسب الأذونات الافتراضية للسماح فقط "للنظام" والمسؤول بإمكانية الوصول، وتحتوي هذه الملفات والمجلدات فقط على مكونات نظام التشغيل. يمكن أن تتم عملية استبعاد مجلد بالكامل بطريقة أبسط، ولكنها قد لا توفر قدر الحماية الكافية مثل استثناء ملفات محددة على أساس أسماء الملفات.

قم بإيقاف تشغيل فحص ملف "tmp.edb" الخاص ببرنامج Microsoft Forefront

  • إذا كنت تستخدم Forefront، فقم بإيقاف تشغيل فحص ملف قاعدة بيانات Forefront (tmp.edb). ويوجد هذا الملف في المجلد التالي:
    %windir%\SoftwareDistribution\Datastore
  • قم بإيقاف تشغيل فحص ملفات السجل الموجودة في المجلد التالي:
    %ProgramData%\Microsoft\Search\Data\Applications\Windows

إيقاف تشغيل الفحص للملفات المرتبطة بموقع Windows Update أو بخدمة "التحديث التلقائي"

  • قم بإيقاف تشغيل فحص ملف قاعدة بيانات موقع Windows Update أو خدمة "التحديث التلقائي" (Datastore.edb). ويوجد هذا الملف في المجلد التالي:
    %windir%\SoftwareDistribution\Datastore
  • قم بإيقاف تشغيل فحص ملفات السجل الموجودة في المجلد التالي:
    %windir%\SoftwareDistribution\Datastore\Logs
    قم باستبعاد الملفات التالية بالتحديد:
    • Res*.log
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
    يشير حرف البدل (*) إلى احتمال وجود العديد من الملفات.

إيقاف تشغيل فحص ملفات أمان Windows

  • قم بإضافة الملفات التالية في مسار قائمة الاستثناءات التالي %windir%\Security\Database:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    ملاحظة إذا لم يتم استبعاد هذه الملفات، قد يحول برنامج مكافحة الفيرسات دون الوصول المناسب لهذه الملفات، وقد يؤدي هذا إلى تلف قواعد بيانات الأمان. كما يمكن أن يؤدي فحص هذه الملفات إلى منع استخدامها أو منع تطبيق نهج الأمان عليها. يجب عدم فحص هذه الملفات نظرًا لأن برنامج مكافحة الفيروسات قد لا يتمكن من معاملتها بشكل صحيح كملفات قواعد بيانات خاصة.

إيقاف تشغيل فحص الملفات التي تخص "نهج المجموعة"

  • معلومات تسجيل مستخدم "نهج المجموعة". توجد هذه الملفات في المجلد التالي:
    %allusersprofile%\
    قم باستبعاد الملفات التالية بالتحديد:
    NTUser.pol
  • ملف إعدادات عميل "نهج المجموعة". ويوجد هذا الملف في المجلد التالي:
    %Systemroot%\System32\GroupPolicy\
    قم باستبعاد الملفات التالية بالتحديد:
    Registry.pol
لمزيد من المعلومات، انقر فوق أرقام المقالتين التاليتين لعرضها في "قاعدة معارف Microsoft" (قد تحتوي هاتان المقالتان على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
951059 إزالة إعدادات النهج المستندة إلى التسجيل بشكل غير متوقع بعد قيام المستخدم بتسجيل الدخول إلى جهاز الكمبيوتر، وذلك على جهاز كمبيوتر يعمل بنظام تشغيل Windows Server 2003
930597 فقدان بعض إعدادات النهج المستندة إلى التسجيل وتسجيل رسائل الخطأ في سجل التطبيقات على جهاز كمبيوتر يعمل بنظام التشغيل Windows XP أو Windows Vista

بالنسبة لوحدات تحكم المجال لأنظمة التشغيل Windows Server 2008 R2 وWindows Server 2008 وWindows Server 2003 وWindows 2000

نظرًا لأن وحدات تحكم المجال توفر خدمة مهمة للعملاء، يجب تقليل مخاطر تعطيل الأنشطة الخاصة بها نتيجة لوجود تعليمة برمجية ضارة من أية برامج ضارة أو من أي فيروس. يعتبر برنامج مكافحة الفيروسات الطريقة المقبولة بشكلٍ عام لتقليل مخاطر الإصابة. قم بتثبيت برنامج الحماية من الفيروسات وتكوينه بحيث يتم تقليل المخاطر التي تتعرض لها وحدة التحكم بالمجال بقدر الإمكان وبحيث يكون التأثير على الأداء في أضيق الحدود. تحتوي القائمة التالية على توصيات لمساعدتك في تكوين برنامج مكافحة الفيروسات وتثبيته على وحدات تحكم بالمجال خاصة بأنظمة التشغيل Windows Server 2008 R2 أو Windows Server 2008 أو Windows Server 2003 أو Windows 2000.

تحذير نوصي بتطبيق التكوين المحدد التالي على نظام اختباري للتأكد من أنه لن يقوم بإدخال عوامل غير متوقعة في بيئتك المحددة أو من أنه يقوم بخرق استقرار النظام. تتمثل مخاطر إجراء عمليات فحص متكررة جدًا في وضع علامة بشكل غير صحيح على الملفات تدل على إجراء تغيير بالملفات. وينتج عن ذلك عمليات نسخ متكررة كثيرة جدًا في Active Directory. في حالة تحقق الاختبار من عدم تأثر النسخ المماثل بالتوصيات التالية، يمكنك تطبيق برنامج الحماية من الفيروسات على بيئة الإنتاج.

ملاحظة قد تحل توصيات محددة من موردي برامج مكافحة الفيروسات محل التوصيات المذكورة في هذه المقالة.
  • يجب تثبيت برنامج الحماية من الفيروسات على كل وحدات التحكم بالمجال في المؤسسة. بالطريقة النموذجية، حاول تثبيت ذلك البرنامج على كل أنظمة العملاء والملقمات الأخرى التي يلزم تفاعلها مع وحدات التحكم بالمجال. يعتبر أفضل إجراء هو الإمساك بالبرنامج الضار من نقطة البداية، مثل الإمساك به عند جدار الحماية أو عند نظام العميل حيث يتم إدخاله. يعمل ذلك على منع البرنامج الضار من الوصول إلى أنظمة البنية الأساسية التي يعتمد عليها العملاء.
  • استخدم إصدارًا من برنامج الحماية من الفيروسات مصممًا للعمل مع وحدات التحكم بالمجال الخاصة بـ Active Directory والذي يستخدم "واجهات برمجة التطبيقات" (APIs) الصحيحة للوصول إلى الملفات على الملقم. تعمل الإصدارات الأقدم من أغلب برامج الموردين على تغيير بيانات تعريف الملف بشكل غير ملائم عند فحصه. يتسبب ذلك في قيام محرك "خدمة النسخ المماثل للملفات" بتمييز وجود تغيير بالملف وبالتالي جدولة الملف للنسخ. وتمنع الإصدارات الأحدث حدوث هذه المشكلة.لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
    815263برامج تحسين الأقراص والنسخ الاحتياطي ومكافحة الفيروسات المتوافقة مع "خدمة النسخ المماثل للملفات"
  • لا تستخدم وحدة تحكم بالمجال لاستعراض شبكة الإنترنت أو لأداء أية أنشطة أخرى قد تؤدي إلى إدخال تعليمة برمجية ضارة.
  • نوصي بقيامك بتقليل الأحمال على وحدات تحكم المجال. يُرجى تجنب استخدام وحدات تحكم المجال في دور خادم الملفات، إذا كان ذلك ممكنًا. يقلل ذلك من نشاط الكشف عن الفيروسات في مشاركات الملفات وتقليل الأداء الزائد عن الحد.
  • لا تقم بوضع قاعدة بيانات FRS أو Active Directory وملفات السجل على وحدات تخزين مضغوطة تعمل بنظام الملفات NTFS.
    لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
    318116مشكلات قواعد بيانات Jet على محركات الأقراص المضغوطة

إيقاف تشغيل فحص Active Directory والملفات المرتبطة به

  • قم باستبعاد ملفات قاعدة بيانات NTDS الأساسية. يتم تحديد موقع هذه الملفات في مفتاح التسجيل التالي:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    الموقع الافتراضي هو %windir%\Ntds. قم باستبعاد الملفات التالية بالتحديد:
    Ntds.dit
    Ntds.pat
  • قم باستبعاد ملفات سجلات عمليات Active Directory. يتم تحديد موقع هذه الملفات في مفتاح التسجيل التالي:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    الموقع الافتراضي هو %windir%\Ntds. قم باستبعاد الملفات التالية بالتحديد:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    ملاحظة لم يعد نظام تشغيل Windows Server 2003 يستخدم الملف Ntds.pat.
  • قم باستبعاد الملفات الموجودة في مجلد عمل NTDS المحدد في مفتاح التسجيل التالي:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    قم باستبعاد الملفات التالية بالتحديد:
    • Temp.edb
    • Edb.chk

إيقاف تشغيل فحص ملفات SYSVOL

  • قم بإيقاف فحص الملفات الموجودة في مجلد عمل "خدمة النسخ المماثل للملفات" (FRS) المحدد في مفتاح التسجيل التالي:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    الموقع الافتراضي هو %windir%\Ntfrs. قم باستبعاد الملفات التالية الموجودة في المجلد:
    • edb.chk في مجلد %windir%\Ntfrs\jet\sys
    • Ntfrs.jdb في مجلد %windir%\Ntfrs\jet
    • *.log في مجلد %windir%\Ntfrs\jet\log
  • قم بإيقاف تشغيل فحص الملفات الموجودة في ملفات سجل قاعدة بيانات FRS المحددة في مفتاح التسجيل التالي:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    الموقع الافتراضي هو %windir%\Ntfrs. قم باستبعاد الملفات التالية:
    • Edb*.log (في حالة عدم تعيين مفتاح التسجيل).
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 وWindows Server 2008 R2).
    ملاحظة يتم توثيق إعدادات استثناءات الملفات المحددة هنا بغاية الاكتمال. افتراضيًا، يمكن الوصول إلى هذه المجلدات فقط عن طريق النظام والمسؤولين. الرجاء التأكد من أن عمليات الحماية الصحيحة تتم في موضعها الصحيح. تحتوي هذه المجلدات على ملفات عاملة خاصة بمكونات FRS وDFSR.
  • قم بإيقاف تشغيل المجلد "المرحلي" كما هو محدد في مفتاح التسجيل التالي.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    افتراضيًا، يستخدم الملف "المرحلي" الموقع التالي:
    %systemroot%\Sysvol\Staging areas
    قم باستبعاد الملفات الحالية:
    • Nntfrs_cmp*.*
  • قم بإيقاف تشغيل فحص الملفات الموجودة في المجلد Sysvol\Sysvol.

    الموقع الحالي للمجلد Sysvol\Sysvol وكافة مجلداته الفرعية هو هدف إعادة التحليل اللغوي لنظام الملفات لجذر مجموعة النسخ المماثلة. يستخدم المجلد Sysvol\Sysvol الموقع التالي:
    %systemroot%\Sysvol\Domain
    قم باستبعاد الملفات التالية من هذا المجلد وكافة مجلداته الفرعية:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • قم بإيقاف تشغيل فحص الملفات الموجودة في المجلد FRS Preinstall الموجود في الموقع التالي:
    جذر_النسخ المماثل\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    يكون المجلد Preinstall مفتوحًا دائمًا عندما يكون FRS قيد التشغيل.

    قم باستبعاد الملفات التالية من هذا المجلد وكافة مجلداته الفرعية:
    • Ntfrs*.*
  • قم بإيقاف تشغيل فحص الملفات الموجودة في قاعدة بيانات DFSR والمجلدات العاملة. يتم تحديد هذا الموقع عن طريق مفتاح التسجيل التالي:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    في مفتاح التسجيل هذا، يشير "Path" إلى مسار ملف XML الذي يحدد اسم مجموعة النسخ المماثل. في هذا المثال، سوف يحتوي المسار على "Domain System Volume".

    الموقع الافتراضي هو المجلد المخفي التالي:
    %systemdrive%\System Volume Information\DFSR
    قم باستبعاد الملفات التالية من هذا المجلد وكافة مجلداته الفرعية:
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    في حالة نقل أي من هذه المجلدات أو الملفات أو وضعها في موقع مختلف، قم بفحص العنصر المكافئ أو استبعاده.

إيقاف تشغيل فحص ملفات DFS

يجب استبعاد نفس الموارد المستبعدة لإحدى مجموعات النسخ المماثلة لـ SYSVOL عند استخدام FRS أو DFSR لإجراء نسخ مماثل للمشاركات المعينة للجذر DFS وتربط الأهداف على وحدات التحكم بالمجال أو أجهزة الكمبيوتر الأعضاء التي تستند إلى أنظمة التشغيل Windows Server 2008 R2 أو Windows Server 2008 أو Windows Server 2003 أو Windows 2000.

إيقاف تشغيل فحص فحص ملفات DHCP

افتراضيًا، توجد ملفات DHCP التي يجب أن يتم استبعادها في المجلد الحالي على الخادم:
%systemroot%\System32\DHCP
قم باستبعاد الملفات التالية من هذا المجلد وكافة مجلداته الفرعية:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
يمكن تغيير موقع ملفات DHCP. لتحديد الموقع الحالي لملفات DHCP الموجودة على الخادم، تحقق من المعلمات DatabasePath، وDhcpLogFilePath، وBackupDatabasePath المحددة في مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

بالنسبة لوحدات التحكم في المجال لأنظمة التشغيل Windows Server 2008 وWindows Server 2003 وWindows 2000

إيقاف تشغيل فحص ملفات DNS

يستخدم DNS المجلد التالي بشكل افتراضي:
%systemroot%\System32\Dns
قم باستبعاد الملفات التالية من هذا المجلد وكافة مجلداته الفرعية:
  • *.log
  • *.dns
  • BOOT

إيقاف تشغيل فحص ملفات WINS

تستخدم ملفات WINS المجلد التالي بشكل افتراضي:
%systemroot%\System32\Wins
قم باستبعاد الملفات التالية من هذا المجلد وكافة مجلداته الفرعية:
  • *.chk
  • *.log
  • *.mdb

بالنسبة لأجهزة الكمبيوتر التي تعمل بالإصدارات المستندة إلى Hyper-V من نظام تشغيل Windows

في بعض السيناريوهات، على جهاز كمبيوتر مستند إلى Windows Server 2008 والمثبت عليه دور Hyper-V أو على خادم Microsoft Hyper-V Server 2008 أو على جهاز كمبيوتر مستند إلى Microsoft Hyper-V Server 2008 R2، فقد يكون من الضروري تكوين مكوّن الفحص في الوقت الحقيقي في البرنامج المضاد للفيروسات لاستبعاد الملفات والمجلدات بأكملها. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
961804 تكون الأجهزة الظاهرية ناقصة في وحدة تحكم مدير Hyper-V أو عندما تقوم بإنشاء أحد الأجهزة الظاهرية أو بدء تشغيلها، فستتلقى أحد رمزي الخطأ التاليين: "0x800704C8" أو "0x80070037" أو "0x800703E3"
virus scan dc
خصائص

رقم الموضوع: 822158 - آخر مراجعة: 03/30/2012 12:50:00 - المراجعة: 3.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows XP Tablet PC Edition, Microsoft Windows XP Media Center Edition 2005 Update Rollup 2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Enterprise, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate

  • kbinfo kbprb kbexpertiseinter kbsecurity KB822158
تعليقات
ript type="text/JavaScript" async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write(" >