Антивирусен препоръки за Enterprise компютри, работещи с поддържани версии на Windows

Информация за домашни потребители

За повече информация относно антивирусен препоръки за потребителите посетете следния уеб сайт на Microsoft:

Въведение

Тази статия съдържа препоръки, за да установите причината за потенциална нестабилност на компютър, работещ с поддържана версия на Microsoft Windows, когато се използва с антивирусен софтуер в среда на домейн на Active Directory или управлявана фирмена среда администратор.


Забележка: Препоръчваме да приложите временно тези процедури за оценка на системата. Ако вашата производителността на системата или стабилност е подобрена чрез препоръки, които са направени в тази статия, се обърнете към доставчика, за инструкции или актуализирана версия на антивирусен софтуер.


Важно: Тази статия съдържа информация, която показва как да понижите настройките за защита или как временно да изключите функциите за защитата на компютъра. Можете да направите тези промени в естеството на конкретен проблем. Преди да направите тези промени, ви препоръчваме да прецените рисковете, свързани с изпълнението на това решение във вашата конкретна среда. Ако решите да реализирате заобиколно решение, вземете подходящи допълнителни мерки за защита на компютъра.

Допълнителна информация

За компютри, работещи под Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows XP, Windows Vista, Windows 7 или Windows 8, Windows 8.1

Предупреждение Това решение може да направи компютъра или мрежата по-уязвими за атаки от злонамерени потребители или злонамерен софтуер, например вируси. Ние не препоръчваме тези промени, но предоставяме тази информация, така че можете да ги по своя преценка. Използвайте това решение на свой собствен риск.

Бележки
  • Ние сме наясно с опасност от изключването на определени файлове или папки, които са споменати в тази статия от сканиране, извършвано от вашия антивирусен софтуер. Системата ще е по-безопасно да не изключвате файлове или папки от сканиране.
  • Когато сканирате тези файлове, производителност и надеждност проблеми с операционната система може да възникне вследствие на заключването.
  • Не изключвайте от тези файлове въз основа на разширението на файла. Например не изключвайте всички файлове с разширение .dit. Microsoft няма никакъв контрол върху други файлове, които могат да използват същите разширения на файлове, които са описани в тази статия.
  • Тази статия дава имената на файловете и папките, които могат да бъдат изключени. Всички файлове и папки, които са описани в тази статия са защитени по подразбиране разрешения да позволява само системен и администраторски достъп, и съдържат само компоненти на операционната система. Изключването на цяла папка може би по-лесно, но може да не осигури такава защита, като с изключение на определени файлове въз основа на имената на файловете.

 

Изключете сканирането на Windows Update или услугата за автоматична актуализация файлове, свързани с

  • Изключете сканирането на Windows Update или услугата за автоматична актуализация файла на базата данни (Datastore.edb). Този файл се намира в следната папка:
    %windir%\SoftwareDistribution\Datastore
  • Изключете сканирането на регистрационните файлове, които се намират в следната папка:
    %windir%\SoftwareDistribution\Datastore\Logs
    По-специално изключете следните файлове:
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • Заместващ символ (*) означава, че може да има няколко файла.

Изключете сканирането на файлове за защита на Windows

  • Добавете следните файлове в пътя %windir%\Security\Database към списъка с изключения:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Забележка: Ако тези файлове не са изключени, Антивирусният софтуер може да попречи на нормалния достъп до тях и базата данни за защита да се повреди. Сканирането на тези файлове могат да пречат на използването на файлове или може да попречи на прилагането на файловете на правила за защита. Тези файлове не трябва да бъдат сканирани, тъй като антивирусен софтуер може да не ги обработва като специални база данни файлове.

Изключете сканирането на груповите правила, свързани с файлове

  • Групови правила за потребителя информация за системния регистър. Тези файлове се намират в следната папка:
    %allusersprofile%\
    По-специално изключете следния файл:
    NTUser.pol
  • Групови правила клиентски настройки на файлове. Тези файлове се намират в следната папка:
    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\
    По-специално изключете следния файл:
    Registry.pol
За повече информация щракнете върху следните номера на статии в базата знания на Microsoft:
951059 на Windows Server 2003 компютър, правилата за базираните на регистъра настройки неочаквано се премахват след влизането на потребител на компютъра
930597 някои настройки на правилата за базирани на регистъра се губят и съобщения за грешки са регистрирани в регистрационния файл на компютър, работещ под Windows XP или на компютър, работещ под Windows Vista

За Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 и Windows Server 2003 домейн контролери

Тъй като домейн контролерите осигуряват важни услуги за клиенти, трябва да се сведе до минимум рискът от прекъсване на им вследствие на злонамерен код, зловреден софтуер или вирус. Антивирусният софтуер е Общоприетият начин за намаляване на опасността от инфекция. Инсталирайте и конфигурирайте антивирусния софтуер, за да намалите риска за домейн контролера е намалена, колкото е възможно и така, че са засегнати възможно най-малко. Следният списък съдържа препоръки за конфигуриране и инсталиране на антивирусен софтуер на Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003 домейн контролер.

Предупреждение Препоръчваме да приложите по-долу конфигурация в тестов режим, за да се уверите, че във вашата конкретна среда не възникват неочаквани последици или влошаване на стабилността на системата. Опасността при твърде много сканиране е, че файлове некоректно се маркират като променени. Това води до прекалено много репликация в Active Directory. Ако тестването покаже, че репликацията не се влияе от долните препоръки, можете да приложите антивирусния софтуер на производствената среда.


Забележка Имат конкретни препоръки доставчици на антивирусен софтуер може да отменят препоръките в тази статия.
  • Антивирусен софтуер трябва да бъде инсталиран на всички домейн контролери в организацията. Се постараете да инсталирате такъв софтуер и на всички други сървърни и клиентски системи, които трябва да взаимодействат с домейн контролерите. Оптималното е вирусът да улова зловреден софтуер най-рано, като например на защитната стена или на клиентската система когато злонамерен софтуер е въведена. Това предотвратява достигането му до инфраструктурните системи, които зависят от клиентите.
  • Използвайте версия на антивирусния софтуер, която е предназначена за работа с Active Directory домейн контролери и която използва правилните приложни програмни интерфейси (API) за достъп до файлове на сървъра. По-стари версии на продавания софтуер некоректно промени метаданните на файла при сканирането. Това кара ядрото на File Replication Service разпознава промяна във файла и затова график за репликация. По-новите версии предотвратяват този проблем.
    За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:
    815263 Антивирусни програми, архивиране и програми за оптимизиране на диск, които са съвместими с услугата за репликация на файлове
  • Не използвайте домейн контролери за сърфиране в интернет или за изпълнение на други дейности, които може да проникне зловреден код.
  • Препоръчително е да сведе до минимум натоварването на домейн контролери. Когато е възможно, избягвайте използването на домейн контролери в ролята на файлови сървъри. Това намалява антивирусна активност на споделени файлове и минимизира разхода на производителност.
  • Не поставяйте Active Directory или FRS данни и регистрационни файлове на NTFS томове с файлова система компресирани.

    За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:
    318116 Проблеми с бази данни Jet на компресирани дискови устройства

Изключете сканирането на Active Directory и файлове, свързани с Active Directory

  • Изключете NTDS основните бази данни файлове. Местоположението на тези файлове е посочено в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA файл с база данни
    По подразбиране е % windir%\Ntds. по-специално, изключете следните файлове:
    Ntds.dit

    Ntds.pat
  • Изключете регистрационните файлове за транзакциите на Active Directory. Местоположението на тези файлове е посочено в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database път регистрационни файлове
    По подразбиране е % windir%\Ntds. по-специално, изключете следните файлове:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    Забележка: Windows Server 2003 вече не използва файла Ntds.pat.
  • Изключете работната папка на NTDS, посочена в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA работи директория
    По-специално изключете следните файлове:
    • Temp.edb
    • Edb.chk

Изключете сканирането на файловете на SYSVOL

  • Изключете сканирането на файлове в файл Replication Service (FRS) работната папка, която е посочена в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working директория
    По подразбиране е % windir%\Ntfrs. Изключете следните файлове, които съществуват в папката:

    • edb.CHK в папката %windir%\Ntfrs\jet\sys
    • Ntfrs.JDB в папката %windir%\Ntfrs\jet
    • *.log в папката %windir%\Ntfrs\jet\log
  • Изключете сканирането на файлове в FRS база данни на регистрационните файлове, които са посочени в следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB регистрационен файл директория
    По подразбиране е % windir%\Ntfrs. Изключете следните файлове:

    • Edb*.log (ако ключът в системния регистър не е).
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 и Windows Server 2008 R2).
    Забележка: Настройките за изключване на определени файлове са документирани тук с оглед на изчерпателност. По подразбиране тези папки позволяват достъп само за администраторите и система. Проверете дали са налице правилните защити. Тези папки съдържат само работни файлове на компоненти на FRS и DFSR.
  • Изключете сканирането на папката за междинен запис, посочени в следния ключ на системния регистър.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica определени етапи

    По подразбиране за спиране използва следното местоположение:
    %SystemRoot%\Sysvol\Staging areas
    Изключете следните файлове:
    • Nntfrs_cmp*.*
  • Изключете сканирането на файлове в папката Sysvol\Sysvol.

    Текущото местоположение на Sysvol\Sysvol папката и всички нейни подпапки е целевият файловата система повторна обработка на репликационния комплект. Папката Sysvol\Sysvol използва следното местоположение:
    %systemroot%\Sysvol\Domain
    Изключете следните файлове от тази папка и всички нейни подпапки:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Изключете сканирането на файлове в папката за предварително инсталиране на услугата FRS, която е в следното местоположение:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Папката за предварително инсталиране е винаги отворен, когато FRS работи.


    Изключете следните файлове от тази папка и всички нейни подпапки:
    • Ntfrs*.*
  • Изключете сканирането на файлове в базата данни на DFSR и работните папки. Местоположението е указано от следния ключ на системния регистър:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica да конфигурационен файл = път >
    В този ключ на системния регистър "Път" е пътят на XML файл, който пише името на групата за репликация. В този пример Пътят би трябвало да съдържа "Domain System Volume."

    По подразбиране е скрита следната папка:
    %SystemDrive%\System volume Information\DFSR
    Изключете следните файлове от тази папка и всички нейни подпапки:
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Ако някой от тези папки или файлове са преместени или разположени на друго място, сканиране или изключете съответния елемент.

Изключете сканирането на файлове на DFS

Същите ресурси, които се изключват за РЕПЛИКАЦИОНЕН комплект също трябва да се изключат и когато FRS се използва за репликация на общи папки, добавени към DFS и целевите на базиран на Windows Server 2008 R2, базирани на Windows Server 2008, базиран на Windows Server 2003 компютри или домейн контролери.

Изключете сканирането на файловете на DHCP

По подразбиране файловете на DHCP, които трябва да бъдат изключени присъстват в следната папка на сървъра:
%systemroot%\System32\DHCP
Изключете следните файлове от тази папка и всички нейни подпапки:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Местоположението на файловете на DHCP може да се промени. За да определите текущото местоположение на файловете на DHCP сървъра, проверете DatabasePath, DhcpLogFilePathи BackupDatabasePath параметри, посочени в следния подключ на системния регистър:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Изключете сканирането на файлове на DNS

По подразбиране DNS използва следната папка:
%systemroot%\System32\Dns
Изключете следните файлове от тази папка и всички нейни подпапки:
  • *.log
  • *.dns
  • ЗАРЕЖДАНЕ

Изключете сканирането на файлове на WINS

По подразбиране WINS използва следната папка:
%systemroot%\System32\Wins
Изключете следните файлове от тази папка и всички нейни подпапки:
  • *.chk
  • *.log
  • *.mdb

За компютри с Hyper-V базирани версии на Windows

В някои случаи на компютър, базиран на Windows Server 2008 с Hyper-V роля инсталиран или на Microsoft Hyper-V Server 2008 или на компютър, базиран на Microsoft Hyper-V Server 2008 R2, може да е необходимо да конфигурирате в реално време сканиране компонент антивирусния софтуер файлове и цели папки. За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:
961804 виртуални машини липсват в конзолата на Hyper-V Manager или когато създавате или да стартирате виртуална машина, получавате един от следните кодове за грешка: "0x800704C8", "0x80070037" или "0x800703E3"
Свойства

ИД на статията: 822158 – Последен преглед: 16.01.2017 г. – Редакция: 2

Обратна връзка