توصيات فحص الفيروسات لأجهزة كمبيوتر Enterprise التي تعمل بنظام التشغيل Windows أو Windows Server (KB822158)

إيقاف تشغيل فحص ملفات Windows Update أو التحديث التلقائي

• إيقاف تشغيل فحص ملف قاعدة بيانات Windows Update أو التحديث التلقائي (Datastore.edb). يوجد هذا الملف في المجلد التالي:

       ٪windir٪\SoftwareDistribution\Datastore

• أوقف تشغيل مسح ملفات السجل الموجودة في المجلد التالي:

       ٪windir٪\SoftwareDistribution\Datastore\Logs
  
  على وجه التحديد، استبعد الملفات التالية:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• يشير حرف البدل (*) إلى أنه قد يكون هناك عدة ملفات.

إيقاف تشغيل فحص الملفات أمن Windows

• أضف الملفات التالية في مسار ٪windir٪\Security\Database لقائمة الاستثناءات:

  • *.Edb

  • *.Sdb

  • *.سجل

  • *.Chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  ‏ملاحظة إذا لم يتم استبعاد هذه الملفات، فقد يمنع برنامج مكافحة الفيروسات الوصول المناسب إلى هذه الملفات، وقد تصبح قواعد بيانات الأمان تالفة. يمكن أن يؤدي فحص هذه الملفات إلى منع استخدام الملفات أو قد يمنع تطبيق نهج أمان على الملفات. يجب عدم فحص هذه الملفات لأن برنامج مكافحة الفيروسات قد لا يعاملها بشكل صحيح كملفات قاعدة بيانات خاصة.
  
  هذه هي الاستثناءات الموصى بها. قد تكون هناك أنواع ملفات أخرى غير مضمنة في هذه المقالة يجب استبعادها.

إيقاف تشغيل فحص الملفات المتعلقة نهج المجموعة

• نهج المجموعة معلومات تسجيل المستخدم. توجد هذه الملفات في المجلد التالي:

       ٪allusersprofile٪\
  
  على وجه التحديد، استبعد الملف التالي:

       Ntuser.pol

• نهج المجموعة ملفات إعدادات العميل. توجد هذه الملفات في المجلد التالي:

       ٪SystemRoot٪\System32\GroupPolicy\Machine\
       ٪SystemRoot٪\System32\GroupPolicy\User\
  
  على وجه التحديد، استبعد الملفات التالية:

       Registry.pol
       Registry.tmp

إيقاف تشغيل مسح ملفات ملف تعريف المستخدم ضوئيا

• معلومات تسجيل المستخدم والملفات الداعمة. توجد الملفات في المجلد التالي:
  
       userprofile٪\
  
  على وجه التحديد، استبعد الملفات التالية:
  
       NTUser.dat*

تشغيل برنامج مكافحة الفيروسات على وحدات التحكم بالمجال

نظرا لأن وحدات التحكم بالمجال توفر خدمة مهمة للعملاء، يجب تقليل خطر تعطيل أنشطتهم من التعليمات البرمجية الضارة أو البرامج الضارة أو من فيروس إلى أدنى حد. برنامج مكافحة الفيروسات هو الطريقة المقبولة بشكل عام للحد من خطر الإصابة. تثبيت برنامج مكافحة الفيروسات وتكوينه بحيث يتم تقليل المخاطر على وحدة التحكم بالمجال قدر الإمكان ويتأثر الأداء بأقل قدر ممكن. تحتوي القائمة التالية على توصيات لمساعدتك في تكوين برنامج مكافحة الفيروسات وتثبيته على وحدة تحكم مجال Windows Server.

تحذير نوصي بتطبيق التكوين المحدد التالي على نظام اختبار للتأكد من أنه في بيئتك المحددة لا يقدم عوامل غير متوقعة أو يعرض استقرار النظام للخطر. يتمثل الخطر من الفحص الكبير في أن الملفات يتم وضع علامة عليها بشكل غير مناسب على أنها تم تغييرها. يؤدي هذا إلى الكثير من النسخ المتماثل في Active Directory. إذا تحقق الاختبار من أن النسخ المتماثل لا يتأثر بالتوصيات التالية، يمكنك تطبيق برنامج مكافحة الفيروسات على بيئة الإنتاج.

ملاحظه قد تحل توصيات محددة من موردي برامج مكافحة الفيروسات محل التوصيات الواردة في هذه المقالة.

• يجب تثبيت برنامج مكافحة الفيروسات على جميع وحدات التحكم بالمجال في المؤسسة. من الناحية المثالية، حاول تثبيت مثل هذه البرامج على جميع أنظمة الخادم والعميل الأخرى التي يجب أن تتفاعل مع وحدات التحكم بالمجال. من الأمثل التقاط البرامج الضارة في أقرب وقت، مثل جدار الحماية أو في نظام العميل حيث يتم تقديم البرامج الضارة. وهذا يمنع البرامج الضارة من الوصول إلى أنظمة البنية الأساسية التي يعتمد عليها العملاء.

• استخدم إصدارا من برنامج الحماية من الفيروسات مصمم للعمل مع وحدات تحكم مجال Active Directory ويستخدم واجهات برمجة التطبيقات (APIs) الصحيحة للوصول إلى الملفات على الخادم. تقوم الإصدارات القديمة من معظم برامج المورد بتغيير بيانات تعريف الملف بشكل غير مناسب أثناء مسح الملف ضوئيا. يؤدي هذا إلى أن يتعرف محرك خدمة النسخ المتماثل للملفات على تغيير ملف وبالتالي جدولة الملف للنسخ المتماثل. تمنع الإصدارات الأحدث هذه المشكلة.
  لمزيد من المعلومات، راجع المقالة التالية في قاعدة معارف Microsoft:

  815263برامج مكافحة الفيروسات والنسخ الاحتياطي وتحسين القرص المتوافقة مع خدمة النسخ المتماثل للملفات

• لا تستخدم وحدة تحكم بالمجال لاستعراض الإنترنت أو لتنفيذ أنشطة أخرى قد تقدم تعليمات برمجية ضارة.

• نوصي بتقليص أحمال العمل على وحدات التحكم بالمجال. عندما يكون ذلك ممكنا، تجنب استخدام وحدات التحكم بالمجال في دور خادم الملفات. وهذا يقلل من نشاط فحص الفيروسات على مشاركات الملفات ويقلل من النفقات العامة للأداء.

• لا تضع قاعدة بيانات Active Directory أو FRS وملفات السجل على وحدات التخزين المضغوطة لنظام ملفات NTFS.

إيقاف تشغيل فحص الملفات المتعلقة ب Active Directory وActive Directory

• استبعاد ملفات قاعدة بيانات NTDS الرئيسية. يتم تحديد موقع هذه الملفات في مفتاح التسجيل الفرعي التالي:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File الموقع الافتراضي هو ٪windir٪\Ntds. على وجه التحديد، استبعد الملفات التالية:

  • Ntds.dit

  • Ntds.pat

• استبعاد ملفات سجل معاملات Active Directory. يتم تحديد موقع هذه الملفات في مفتاح التسجيل الفرعي التالي:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path الموقع الافتراضي هو ٪windir٪\Ntds. على وجه التحديد، استبعد الملفات التالية:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• استبعاد الملفات الموجودة في مجلد عمل NTDS المحدد في المفتاح الفرعي للسجل التالي:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory على وجه التحديد، استبعد الملفات التالية:

  • Temp.edb

  • Edb.chk

إيقاف تشغيل فحص ملفات SYSVOL

• إيقاف تشغيل فحص الملفات في مجلد عمل خدمة النسخ المتماثل للملفات (FRS) المحدد في المفتاح الفرعي للسجل التالي:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory الموقع الافتراضي هو ٪windir٪\Ntfrs. استبعاد الملفات التالية الموجودة في المجلد:

  • edb.chk في المجلد ٪windir٪\Ntfrs\jet\sys

  • Ntfrs.jdb في المجلد ٪windir٪\Ntfrs\jet

  • *.سجل في المجلد ٪windir٪\Ntfrs\jet\log

• إيقاف تشغيل فحص الملفات في ملفات سجل قاعدة بيانات FRS المحددة في مفتاح التسجيل الفرعي التالي:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory الموقع الافتراضي هو ٪windir٪\Ntfrs. استبعاد الملفات التالية:

  • Edb*.log (إذا لم يتم تعيين مفتاح التسجيل)

  • FRS Working Dir\Jet\Log\Edb*.jrs

• ملاحظهيتم توثيق إعدادات استثناءات ملفات معينة هنا للاكتمال. بشكل افتراضي، تسمح هذه المجلدات بالوصول فقط إلى النظام والمسؤولين. يرجى التحقق من أن الحماية الصحيحة سارية المفعول. تحتوي هذه المجلدات على ملفات عمل مكون فقط ل FRS وDFSR.

• قم بإيقاف تشغيل فحص مجلد NTFRS Staging، كما هو محدد في مفتاح التسجيل الفرعي التالي:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage بشكل افتراضي، يستخدم التقسيم المرحلي الموقع التالي:

  ٪systemroot٪\Sysvol\Staging areas

• إيقاف تشغيل مسح مجلد DFSR المرحلي كما هو محدد في السمة msDFSR-StagingPath للكائن CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName in AD DS. تحتوي هذه السمة على المسار إلى الموقع الفعلي الذي يستخدمه النسخ المتماثل ل DFS لإعداد الملفات. على وجه التحديد، استبعد الملفات التالية:

  • Ntfrs_cmp*.*

  • *.Frx

• أوقف تشغيل فحص الملفات في المجلد Sysvol\Sysvol أو المجلد SYSVOL_DFSR\Sysvol.
  
  الموقع الحالي لمجلد Sysvol\Sysvol أو SYSVOL_DFSR\Sysvol وجميع المجلدات الفرعية هو هدف إعادة توزيع نظام الملفات لجذر مجموعة النسخ المتماثلة. يستخدم المجلدان Sysvol\Sysvol و SYSVOL_DFSR\Sysvol المواقع التالية بشكل افتراضي:

  ٪systemroot٪\Sysvol\Domain
  ٪systemroot٪\Sysvol_DFSR\Domain

  تتم الإشارة إلى المسار إلى SYSVOL النشط حاليا بواسطة مشاركة NETLOGON ويمكن تحديده بواسطة اسم قيمة SysVol في المفتاح الفرعي التالي:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

  • *.Adm

  • *.Admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.العاص

  • *.Inf

  • Scripts.ini

  • *.خصوصيات

  • Oscfilter.ini

• أوقف تشغيل فحص الملفات في مجلد FRS Preinstall الموجود في الموقع التالي:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  يكون المجلد Preinstall مفتوحا دائما عند تشغيل FRS.
  
  استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

  • Ntfrs*.*

• إيقاف تشغيل فحص الملفات في قاعدة بيانات DFSR ومجلدات العمل. يتم تحديد الموقع بواسطة مفتاح التسجيل الفرعي التالي:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path في مفتاح التسجيل الفرعي هذا، "المسار" هو مسار ملف XML الذي ينص على اسم مجموعة النسخ المتماثل. في هذا المثال، سيحتوي المسار على "وحدة تخزين نظام المجال".
  
  الموقع الافتراضي هو المجلد المخفي التالي:

       ٪systemdrive٪\معلومات وحدة تخزين النظام\DFSR
  
  استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.Frx

  • *.سجل

  • Fsr*.jrs

  • Tmp.edb

• ‏ملاحظة إذا تم نقل أي من هذه المجلدات أو الملفات أو وضعها في موقع مختلف، فافحص العنصر المكافئ أو استبعده.

إيقاف تشغيل مسح ملفات DFS ضوئيا

يجب أيضا استبعاد نفس الموارد المستبعدة لمجموعة النسخ المتماثلة SYSVOL عند استخدام FRS أو DFSR لنسخ المشاركات التي تم تعيينها إلى جذر DFS وأهداف الارتباط على أجهزة الكمبيوتر أو وحدات التحكم بالمجال المستندة إلى Windows Server 2008 R2 أو Windows Server 2008.

إيقاف تشغيل مسح ملفات DHCP ضوئيا

بشكل افتراضي، تكون ملفات DHCP التي يجب استبعادها موجودة في المجلد التالي على الخادم:

٪systemroot٪\System32\DHCP استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

• *.Mdb

• *.بات

• *.سجل

• *.Chk

• *.Edb

يمكن تغيير موقع ملفات DHCP. لتحديد الموقع الحالي لملفات DHCP على الخادم، تحقق من معلمات DatabasePathوDhcpLogFilePath و BackupDatabasePath المحددة في المفتاح الفرعي للسجل التالي:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

إيقاف تشغيل مسح ملفات DNS ضوئيا

بشكل افتراضي، يستخدم DNS المجلد التالي:

٪systemroot٪\System32\Dns استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

• *.سجل

• *.Dns

• التمهيد

إيقاف تشغيل مسح ملفات WINS ضوئيا

بشكل افتراضي، يستخدم WINS المجلد التالي:

     ٪systemroot٪\System32\Wins
استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

• *.Chk

• *.سجل

• *.Mdb

لأجهزة الكمبيوتر التي تقوم بتشغيل إصدارات Windows المستندة إلى Hyper-V

في بعض السيناريوهات، على كمبيوتر يستند إلى Windows Server 2008 مثبت عليه دور Hyper-V أو على Microsoft Hyper-V Server 2008 أو على كمبيوتر يستند إلى Microsoft Hyper-V Server 2008 R2، قد يكون من الضروري تكوين مكون الفحص في الوقت الحقيقي داخل برنامج مكافحة الفيروسات لاستبعاد الملفات والمجلدات بأكملها. لمزيد من المعلومات، راجع المقالة التالية في قاعدة معارف Microsoft:

• 961804الأجهزة الظاهرية مفقودة أو يحدث خطأ 0x800704C8 أو 0x80070037 أو 0x800703E3 عند محاولة بدء تشغيل جهاز ظاهري أو إنشائه

الخطوات التالية

إذا تم تحسين أداء النظام أو استقراره من خلال التوصيات المقدمة في هذه المقالة، فاتصل بمورد برنامج الحماية من الفيروسات للحصول على إرشادات أو للحصول على إصدار محدث أو إعدادات برنامج مكافحة الفيروسات.

‏ملاحظة يمكن لمورد مكافحة الفيروسات التابع لجهة خارجية العمل مع فريق دعم Microsoft على بذل جهود معقولة تجاريا.

محفوظات التغييرات

 يلخص الجدول التالي بعض أهم التغييرات على هذا الموضوع.