توصيات فحص الفيروسات لأجهزة كمبيوتر Enterprise التي تعمل بنظام التشغيل Windows أو Windows Server (KB822158)

ينطبق على: Windows Server 2025، جميع الإصدارات Windows Server 2022، جميع الإصدارات Windows Server 2019، جميع الإصدارات Windows Server 2016، جميع الإصدارات Windows Server 2012 R2، جميع الإصداراتWindows Server 2012، جميع الإصدارات Windows 11، جميع الإصدارات Windows 10، جميع الإصدارات

المقدمة

تحتوي هذه المقالة على توصيات لمساعدة المسؤول على تحديد سبب عدم الاستقرار المحتمل في السيناريو التالي:

تحدث المشكلة على جهاز كمبيوتر يقوم بتشغيل إصدار من Windows أو Windows Server مدرج في قسم "ينطبق على".
يتم استخدام النظام المحلي مع برنامج مكافحة الفيروسات في بيئة مجال Active Directory أو في بيئة عمل مدارة.
إذا كنت تستخدم برنامج الحماية من الفيروسات Microsoft Defender، فقد يتم تضمين بعض أو كل الاستثناءات المقترحة المذكورة في هذه المقالة أو توفيرها بواسطة استثناءات تلقائية. لمزيد من المعلومات، راجع المقالات التالية:
- إدارة الاستثناءات لبرنامج الحماية من الفيروسات Microsoft Defender لنقطة النهاية Microsoft Defender
- تكوين استثناءات برنامج الحماية من الفيروسات Microsoft Defender على Windows Server

الأعراض

يواجه الكمبيوتر المستند إلى Windows أو المستند إلى Windows Server المشكلات التالية:

أداء النظام
- ارتفاع استخدام وحدة المعالجة المركزية أو زيادة استخدام وحدة المعالجة المركزية
  - وضع المستخدم
  - وضع Kernel
- تسرب ذاكرة النواة
  - تجمع غير مدفوع
  - تجمع صفحات
  - معالجة التسرب
- بطء
  - نسخة الملف عند استخدام مستكشف Windows
    - نسخة الملف عند استخدام تطبيق وحدة تحكم (على سبيل المثال، cmd.exe)
  - عمليات النسخ الاحتياطي
استقرار
- بطء التطبيق
  - الوصول إلى مشاركة شبكة أو محرك أقراص معين
  - عدم استجابة مؤقتة في مستكشف Windows
- فشل التطبيق
  - انتهاك الوصول
- يتوقف التطبيق عن الاستجابة
  - حالات التوقف التام
    - استدعاء الإجراء عن بعد (RPC)
    - الأنابيب المسماة
  - ظروف السباق
  - تسرب ذاكرة وحدات البايت الخاصة
  - تسرب ذاكرة وحدات البايت الظاهرية
  - تجزئة ذاكرة وحدات البايت الظاهرية
مشكلات موثوقية نظام التشغيل
- يتوقف النظام عن الاستجابة (يجب عليك فرض إعادة التشغيل للاسترداد)
  - حالات التوقف التام
  - ظروف السباق
  - معالجة التسربات
  - تسرب تجمع غير مدفوع
  - تسرب تجمع صفحات
إيقاف الأخطاء (المعروفة أيضا باسم عمليات التحقق من الأخطاء)
- تفسير التعليمات البرمجية للتحقق من الأخطاء
- مرجع التعليمات البرمجية للتحقق من الأخطاء

لمزيد من المعلومات، راجع المقالات التالية:

يتوقف النظام عن الاستجابة أو بطء أداء خادم الملفات أو حدوث تأخيرات عند العمل مع الملفات الموجودة على خادم الملفات

الدقة

قبل إضافة استثناءات مكافحة الفيروسات، اتبع الخطوات التالية:

قم بتحديث تعريفات برنامج مكافحة الفيروسات التابع لجهة خارجية. إذا استمرت المشكلة، فيرجى إرسال إيجابية خاطئة (FP) إلى دعم مورد مكافحة الفيروسات التابع لجهة خارجية.
تحقق من أنك لم تقم بتعيين وظيفة معينة في وضع متصلب أو عدواني يسبب المزيد من الأعراض التالية:
- الإيجابيات الخاطئة
- مشاكل توافق التطبيق
- زيادة استخدام الموارد (على سبيل المثال، الاستخدام العالي لوحدة المعالجة المركزية (وضع المستخدم أو وضع النواة) أو استخدام ذاكرة عالية (وضع المستخدم أو وضع النواة)
- التباطؤ
- تتوقف التطبيقات عن الاستجابة
- فشل التطبيق
- نظام غير مستجيب
تحديث إصدار برنامج مكافحة الفيروسات التابع لجهة خارجية. أو، للاختبار، راجع كيفية إلغاء تنشيط برنامج تشغيل عامل تصفية وضع kernel مؤقتا في Windows
اعمل مع مورد مكافحة الفيروسات التابع لجهة خارجية لمزيد من استكشاف الأخطاء وإصلاحها. قد تضطر إلى توفر النوع التالي من البيانات المتقدمة للمساعدة في تضييق نطاق المشكلة:

الحل البديل

مهمتحتوي هذه المقالة على معلومات توضح كيفية المساعدة في تقليل إعدادات الأمان أو كيفية إيقاف تشغيل ميزات الأمان مؤقتا على جهاز كمبيوتر. يمكنك إجراء هذه التغييرات لفهم طبيعة مشكلة معينة. قبل إجراء هذه التغييرات، نوصي بتقييم المخاطر المرتبطة بتنفيذ هذا الحل البديل في بيئتك الخاصة. إذا قمت بتنفيذ هذا الحل البديل، فاتخذ أي خطوات إضافية مناسبة للمساعدة في حماية الكمبيوتر.

تحذير

لا نوصي بهذا الحل البديل. ومع ذلك، نحن نقدم هذه المعلومات حتى تتمكن من تنفيذ هذا الحل البديل وفقا لتقديرك الخاص. استخدم هذا الحل البديل على مسؤوليتك الخاصة.
قد يجعل هذا الحل الكمبيوتر أو الشبكة أكثر عرضة للهجوم من قبل المستخدمين الضارين أو البرامج الضارة مثل الفيروسات.
نوصي بتطبيق هذه الإعدادات مؤقتا لتقييم سلوك النظام.
نحن على دراية بخطر استبعاد الملفات أو المجلدات المحددة المذكورة في هذه المقالة من عمليات الفحص التي يقوم بها برنامج مكافحة الفيروسات. سيكون النظام أكثر أمانا إذا لم تستبعد أي ملفات أو مجلدات من عمليات الفحص.
عند مسح هذه الملفات ضوئيا، قد تحدث مشكلات في موثوقية نظام التشغيل والأداء بسبب تأمين الملفات.
لا تستبعد أي من هذه الملفات استنادا إلى ملحق اسم الملف. على سبيل المثال، لا تستبعد جميع الملفات التي تحتوي على ملحق .dit. لا تتحكم Microsoft في الملفات الأخرى التي قد تستخدم نفس الملحقات مثل الملفات الموضحة في هذه المقالة.
توفر هذه المقالة أسماء الملفات والمجلدات التي يمكن استبعادها. جميع الملفات والمجلدات الموضحة في هذه المقالة محمية بأذونات افتراضية للسماح فقط بوصول النظام والمسؤول، وتحتوي على مكونات نظام التشغيل فقط. قد يكون استبعاد مجلد بأكمله أبسط ولكنه قد لا يوفر قدرا من الحماية مثل استبعاد ملفات معينة استنادا إلى أسماء الملفات.
يجب أن تكون إضافة استثناءات مكافحة الفيروسات دائما الملاذ الأخير إذا لم يكن هناك خيار آخر ممكن.

إيقاف تشغيل مسح ملفات Windows Update أو التحديث التلقائي

إيقاف تشغيل فحص ملف قاعدة بيانات Windows Update أو التحديث التلقائي (Datastore.edb). يوجد هذا الملف في المجلد التالي:

٪windir٪\SoftwareDistribution\Datastore
أوقف تشغيل مسح ملفات السجل الموجودة في المجلد التالي:

٪windir٪\SoftwareDistribution\Datastore\Logs على وجه التحديد، استبعد الملفات التالية:
- Edb*.jrs
- Edb.chk
- Tmp.edb
يشير حرف البدل (*) إلى أنه قد يكون هناك عدة ملفات.

إيقاف تشغيل فحص الملفات أمن Windows

أضف الملفات التالية في مسار ٪windir٪\Security\Database لقائمة الاستثناءات:
- *.edb
- *.sdb
- *.سجل
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
‏ملاحظة إذا لم يتم استبعاد هذه الملفات، فقد يمنع برنامج مكافحة الفيروسات الوصول المناسب إلى هذه الملفات، وقد تصبح قواعد بيانات الأمان تالفة. يمكن أن يؤدي فحص هذه الملفات إلى منع استخدام الملفات أو قد يمنع تطبيق نهج أمان على الملفات. يجب عدم فحص هذه الملفات لأن برنامج مكافحة الفيروسات قد لا يعاملها بشكل صحيح كملفات قاعدة بيانات خاصة.هذه هي الاستثناءات الموصى بها. قد تكون هناك أنواع ملفات أخرى غير مضمنة في هذه المقالة يجب استبعادها.

إيقاف تشغيل فحص الملفات المتعلقة نهج المجموعة

نهج المجموعة معلومات تسجيل المستخدم. توجد هذه الملفات في المجلد التالي:

الكمبيوتر: ٪allusersprofile٪\ المستخدمون: ٪ProgramData٪\Microsoft\GroupPolicy\Users\<User Sid>\ على وجه التحديد، استبعد الملف التالي:

NTUser.pol
نهج المجموعة ملفات إعدادات العميل. توجد هذه الملفات في المجلد التالي:

٪SystemRoot٪\System32\GroupPolicy\Machine\ ٪SystemRoot٪\System32\GroupPolicy\User\ على وجه التحديد، استبعد الملفات التالية:

Registry.pol Registry.tmp

إيقاف تشغيل مسح ملفات ملف تعريف المستخدم ضوئيا

معلومات تسجيل المستخدم والملفات الداعمة. توجد الملفات في المجلد التالي: ٪userprofile٪\ على وجه التحديد، استبعد الملفات التالية: NTUser.dat*

تشغيل برنامج مكافحة الفيروسات على وحدات التحكم بالمجال

نظرا لأن وحدات التحكم بالمجال توفر خدمة مهمة للعملاء، يجب تقليل خطر تعطيل أنشطتهم من التعليمات البرمجية الضارة أو البرامج الضارة أو من فيروس إلى أدنى حد. برنامج مكافحة الفيروسات هو الطريقة المقبولة بشكل عام للحد من خطر الإصابة. تثبيت برنامج مكافحة الفيروسات وتكوينه بحيث يتم تقليل المخاطر على وحدة التحكم بالمجال قدر الإمكان ويتأثر الأداء بأقل قدر ممكن. تحتوي القائمة التالية على توصيات لمساعدتك في تكوين برنامج مكافحة الفيروسات وتثبيته على وحدة تحكم مجال Windows Server.تحذير نوصي بتطبيق التكوين المحدد التالي على نظام اختبار للتأكد من أن هذا التكوين، في بيئتك المحددة، لا يقدم عوامل غير متوقعة أو يعرض استقرار النظام للخطر. يتمثل الخطر من الفحص الكبير في أن الملفات يتم وضع علامة عليها بشكل غير مناسب على أنها تم تغييرها. يؤدي هذا إلى الكثير من النسخ المتماثل في Active Directory. إذا تحقق الاختبار من أن النسخ المتماثل لا يتأثر بالتوصيات التالية، يمكنك تطبيق برنامج مكافحة الفيروسات على بيئة الإنتاج.ملاحظه قد تحل توصيات محددة من موردي برامج مكافحة الفيروسات محل التوصيات الواردة في هذه المقالة.

يجب تثبيت برنامج مكافحة الفيروسات على جميع وحدات التحكم بالمجال في المؤسسة. من الناحية المثالية، حاول تثبيت مثل هذه البرامج على جميع أنظمة الخادم والعميل الأخرى التي يجب أن تتفاعل مع وحدات التحكم بالمجال. من الأمثل التقاط البرامج الضارة في أقرب وقت، مثل جدار الحماية أو في نظام العميل حيث يتم تقديم البرامج الضارة. وهذا يمنع البرامج الضارة من الوصول إلى أنظمة البنية الأساسية التي يعتمد عليها العملاء.
استخدم إصدارا من برنامج الحماية من الفيروسات المصمم للعمل مع وحدات تحكم مجال Active Directory ويستخدم واجهات برمجة التطبيقات (APIs) الصحيحة للوصول إلى الملفات على الخادم. تقوم الإصدارات القديمة من معظم برامج المورد بتغيير بيانات تعريف الملف بشكل غير مناسب أثناء مسح الملف ضوئيا.
لا تستخدم وحدة تحكم بالمجال لاستعراض الإنترنت أو تنفيذ أنشطة أخرى قد تقدم تعليمات برمجية ضارة.
نوصي بتقليص أحمال العمل على وحدات التحكم بالمجال. على سبيل المثال، عندما يكون ذلك ممكنا، تجنب استخدام وحدات التحكم بالمجال في دور خادم الملفات. تقلل هذه الممارسة من نشاط فحص الفيروسات على مشاركات الملفات وتقلل من النفقات العامة للأداء.
لا تضع Active Directory وملفات السجل على وحدات التخزين المضغوطة لنظام ملفات NTFS.

إيقاف تشغيل فحص الملفات المتعلقة ب Active Directory وActive Directory

استبعاد ملفات قاعدة بيانات NTDS الرئيسية. يتم تحديد موقع هذه الملفات في مفتاح التسجيل الفرعي التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File الموقع الافتراضي هو ٪windir٪\Ntds. على وجه التحديد، استبعد الملفات التالية:
- Ntds.dit
- Ntds.pat
استبعاد ملفات سجل معاملات Active Directory. يتم تحديد موقع هذه الملفات في مفتاح التسجيل الفرعي التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path الموقع الافتراضي هو ٪windir٪\Ntds. على وجه التحديد، استبعد الملفات التالية:
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
استبعاد الملفات الموجودة في مجلد NTDS Working المحدد في مفتاح التسجيل الفرعي التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory على وجه التحديد، استبعد الملفات التالية:
- Temp.edb
- Edb.chk

إيقاف تشغيل فحص ملفات SYSVOL

أوقف تشغيل فحص الملفات في المجلد Sysvol\Sysvol أو المجلد SYSVOL_DFSR\Sysvol.الموقع الحالي لمجلد Sysvol\Sysvol أو SYSVOL_DFSR\Sysvol وجميع المجلدات الفرعية هو هدف إعادة توزيع نظام الملفات لجذر مجموعة النسخ المتماثلة. يستخدم المجلدان Sysvol\Sysvol و SYSVOL_DFSR\Sysvol المواقع التالية بشكل افتراضي:

٪systemroot٪\Sysvol\Domain ٪systemroot٪\Sysvol_DFSR\Domain

تتم الإشارة إلى المسار إلى SYSVOL النشط حاليا بواسطة مشاركة NETLOGON ويمكن تحديده بواسطة اسم قيمة SysVol في المفتاح الفرعي التالي:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:
- *.adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.العاص
- *.inf
- Scripts.ini
- *.خصوصيات
- Oscfilter.ini
إيقاف تشغيل فحص الملفات في قاعدة بيانات DFSR ومجلدات العمل. يتم تحديد الموقع في مفتاح التسجيل الفرعي التالي:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path في مفتاح التسجيل الفرعي هذا، "Path" هو مسار ملف XML الذي يحتوي على اسم مجموعة النسخ المتماثل. في هذا المثال، سيحتوي المسار على "وحدة تخزين نظام المجال". الموقع الافتراضي هو المجلد المخفي التالي:

٪systemdrive٪\معلومات وحدة تخزين النظام\DFSR استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:
- $db_normal$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_dirty$
- $db_clean$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.سجل
- Fsr*.jrs
- Tmp.edb
‏ملاحظة إذا تم نقل أي من هذه المجلدات أو الملفات أو وضعها في موقع مختلف، فافحص العنصر المكافئ أو استبعده.

إيقاف تشغيل مسح ملفات DFS ضوئيا

يجب أيضا استبعاد نفس الموارد المستبعدة لمجموعة النسخ المتماثلة SYSVOL إذا تم استخدام DFSR لنسخ المشاركات التي تم تعيينها إلى جذر DFS وربط الأهداف على أجهزة الكمبيوتر Windows Server الأعضاء أو وحدات التحكم بالمجال.

إيقاف تشغيل مسح ملفات DHCP ضوئيا

بشكل افتراضي، تكون ملفات DHCP التي يجب استبعادها موجودة في المجلد التالي على الخادم:

٪systemroot٪\System32\DHCP

استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

*.mdb
*.بات
*.سجل
*.chk
*.edb

يمكن تغيير موقع ملفات DHCP. لتحديد الموقع الحالي لملفات DHCP على الخادم، تحقق من معلمات DatabasePathوDhcpLogFilePath و BackupDatabasePath المحددة في المفتاح الفرعي للسجل التالي:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

إيقاف تشغيل مسح ملفات DNS ضوئيا

بشكل افتراضي، يستخدم DNS المجلد التالي:

٪systemroot٪\System32\Dns استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

*.سجل
*.dns
تمهيد

إيقاف تشغيل مسح ملفات WINS ضوئيا

بشكل افتراضي، يستخدم WINS المجلد التالي:

٪systemroot٪\System32\Wins

استبعاد الملفات التالية من هذا المجلد وجميع مجلداته الفرعية:

*.chk
*.سجل
*.mdb

لأجهزة الكمبيوتر التي تقوم بتشغيل إصدارات Windows المستندة إلى Hyper-V

في بعض السيناريوهات، على أجهزة الكمبيوتر Windows Server التي تم تثبيت دور Hyper-V عليها، قد يكون من الضروري تكوين مكون الفحص في الوقت الحقيقي داخل برنامج مكافحة الفيروسات لاستبعاد الملفات والمجلدات بأكملها. لمزيد من المعلومات، راجع مقالة قاعدة المعارف التالية:

961804الأجهزة الظاهرية مفقودة أو يحدث خطأ 0x800704C8 أو 0x80070037 أو 0x800703E3 عند محاولة بدء تشغيل جهاز ظاهري أو إنشائه

الخطوات التالية

إذا تم تحسين أداء النظام أو استقراره من خلال التوصيات المقدمة في هذه المقالة، فاتصل بمورد برنامج الحماية من الفيروسات للحصول على إرشادات أو للحصول على إصدار محدث من برنامج الحماية من الفيروسات أو إعداداته.

‏ملاحظة يمكن لمورد برنامج الحماية من الفيروسات التابع لجهة خارجية العمل مع فريق دعم Microsoft على جهد معقول تجاريا.

مراجع

اتفاقية خدمات Microsoft

مبادرة فيروس Microsoft

محفوظات التغييرات

يلخص الجدول التالي أهم التغييرات التي تم إدخالها على هذا الموضوع.

التاريخ	الوصف
17 أغسطس 2021	تحديث الملاحظة في قسم "مزيد من المعلومات": "ملاحظة على Windows 10، Windows Server 2016، والإصدارات الأحدث..."
2 نوفمبر 2021	تحديث الملاحظة في قسم "مزيد من المعلومات": "ينطبق هذا أيضا على Windows Server 2012 R2..."
14 مارس 2022	تمت مراجعة المقالة بأكملها. تمت إضافة قسمي "الأعراض" و"الدقة"، وإعادة تنظيم المحتوى المتبقي.
14 يوليو 2023	تمت إضافة عنصر نقطي ثالث في قسم "مقدمة". تمت إضافة عنوان قسم "الأعراض". تمت إزالة قسم "مزيد من المعلومات".
7 أغسطس 2023	تم إصلاح مشاكل التخطيط التي شغلت عدة أسطر معا في قوائم الاستثناءات.
22 مايو 2025	تمت إزالة Windows Server 2008 وWindows 7 من "ينطبق على"، وحذف جميع المحتويات ذات الصلة. تمت إضافة Windows Server 2025 إلى "ينطبق على". ارتباطات ترافقية محدثة.