Препоръки за сканиране за вируси за корпоративни компютри, които работят с Windows или Windows Server (KB822158)

Изключване на сканирането на файлове на актуализиране на Windows или автоматична актуализация

• Изключете сканирането на файла на базата данни на актуализиране на Windows или автоматичната актуализация (Datastore.edb). Този файл се намира в следната папка:

       %windir%\SoftwareDistribution\Datastore

• Изключете сканирането на регистрационните файлове, които се намират в следната папка:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  По-конкретно изключете следните файлове:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Заместващ символ (*) показва, че може да има няколко файла.

Изключване на сканирането на Защита в Windows файлове

• Добавете следните файлове в пътя до %windir%\Security\Database на списъка с изключения:

  • *.edb

  • *.sdb

  • *.Влезете

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Забележка Ако тези файлове не са изключени, антивирусният софтуер може да попречи на подходящия достъп до тези файлове, а базите данни за защита може да се повредят. Сканирането на тези файлове може да попречи на използването на файловете или може да попречи на прилагането на правила за защита към файловете. Тези файлове не трябва да се сканират, защото антивирусният софтуер може да не ги третира правилно като файлове на фирмена база данни.
  
  Това са препоръчителните изключения. Възможно е да има други типове файлове, които не са включени в тази статия, които трябва да бъдат изключени.

Изключване на сканирането на файлове, свързани с групови правила

• групови правила информация от системния регистър на потребителите. Тези файлове се намират в следната папка:

       Компютър: %allusersprofile%\
       Потребители: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  По-конкретно изключете следния файл:

       NTUser.pol

• групови правила файлове на настройките на клиента. Тези файлове се намират в следната папка:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  По-конкретно изключете следните файлове:

       Registry.pol
       Registry.tmp

Изключване на сканирането на файлове с потребителски профили

• Информация от системния регистър на потребителите и поддържащи файлове. Файловете се намират в следната папка:
  
       %userprofile%\
  
  По-конкретно изключете следните файлове:
  
       NTUser.dat*

Изпълнение на антивирусен софтуер на домейнови контролери

Тъй като домейнови контролери предоставят важна услуга на клиентите, рискът от прекъсване на техните дейности от злонамерен код, от злонамерен софтуер или от вирус трябва да бъде намален. Антивирусният софтуер е общоприет начин за намаляване на риска от заразяване. Инсталирайте и конфигурирайте антивирусния софтуер, така че рискът за домейновия контролер да бъде намален колкото е възможно повече и производителността да бъде засегната възможно най-малко. Списъкът по-долу съдържа препоръки, които да ви помогнат да конфигурирате и инсталирате антивирусен софтуер на Windows Server домейнов контролер.

Предупреждение Препоръчваме да приложите посочената по-долу конфигурация към тестова система, за да се уверите, че във вашата конкретна среда тази конфигурация не въвежда неочаквани фактори и не компрометира стабилността на системата. Рискът от твърде много сканиране е, че файловете се маркират неподходящо като променени. Това води до твърде много репликация в Active Directory. Ако тестването проверява дали репликацията не е засегната от препоръките по-долу, можете да приложите антивирусния софтуер към производствената среда.

Бележка Конкретни препоръки от доставчици на антивирусен софтуер може да замесят препоръките в тази статия.

• Антивирусният софтуер трябва да бъде инсталиран на всички домейнови контролери в предприятието. В идеалния случай се опитайте да инсталирате такъв софтуер на всички други сървърни и клиентски системи, които трябва да взаимодействат с домейнови контролери. Оптимално е да хванете злонамерения софтуер в най-ранната точка, като например в защитната стена или в клиентската система, където се въвежда злонамереният софтуер. Това предотвратява достигането на злонамерен софтуер до инфраструктурните системи, от които зависят клиентите.

• Използвайте версия на антивирусния софтуер, която е предназначена за работа с домейнови контролери на Active Directory и която използва правилните приложни програмни интерфейси (API) за достъп до файлове на сървъра. По-старите версии на софтуера на повечето доставчици променят неподходящо метаданните на файла, докато файлът се сканира.

• Не използвайте домейнов контролер, за да сърфирате в интернет или да извършвате други дейности, които може да въведат злонамерен код.

• Препоръчваме да намалите работните натоварвания на домейнови контролери. Например, когато е възможно, избягвайте използването на домейнови контролери в роля на файлов сървър. Тази практика намалява активността на сканирането за вируси върху файлови дялове и намалява техническите разходи.

• Не поставяйте Active Directory и регистрационните файлове в компресирани томове на NTFS файловата система.

Изключване на сканирането на файлове на Active Directory и файлове, свързани с Active Directory

• Изключете файловете на основната NTDS база данни. Местоположението на тези файлове е указано в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Местоположението по подразбиране е %windir%\Ntds. По-конкретно изключете следните файлове:

  • Ntds.dit

  • Ntds.pat

• Изключете регистрационните файлове на транзакциите на Active Directory. Местоположението на тези файлове е указано в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Местоположението по подразбиране е %windir%\Ntds. По-конкретно изключете следните файлове:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Изключете файловете в работната папка на NTDS, който е зададен в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory По-конкретно изключете следните файлове:

  • Temp.edb

  • Edb.chk

Изключване на сканирането на SYSVOL файлове

• Изключете сканирането на файлове в папката Sysvol\Sysvol или папката SYSVOL_DFSR\Sysvol.
  
  Текущото местоположение на папката Sysvol\Sysvol или SYSVOL_DFSR\Sysvol и всички подпапки е целта за повторна анализ на файловата система на корена на набора реплики. Папките Sysvol\Sysvol и SYSVOL_DFSR\Sysvol използват следните местоположения по подразбиране:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Пътят към текущо активния SYSVOL се посочва от дела NETLOGON и може да бъде определен от името на стойността sysVol в следния подключ:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Изключете следните файлове от тази папка и всички нейни подпапки:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.Добавки

  • Oscfilter.ini

• Изключете сканирането на файлове в DFSR базата данни и работните папки. Местоположението е указано в следния подключ от системния регистър:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path В този подключ от системния регистър "Път" е пътят на XML файл, който съдържа името на групата за репликация. В този пример пътят ще съдържа "Том на домейновата система".
  
  Местоположението по подразбиране е следната скрита папка:

       %systemdrive%\System Volume Information\DFSR
  
  Изключете следните файлове от тази папка и всички нейни подпапки:

  • $db_нормален$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.Влезете

  • Fsr*.jrs

  • Tmp.edb

  Забележка Ако някоя от тези папки или файлове бъде преместена или поставена на друго място, сканирайте или изключете еквивалентния елемент.

Изключване на сканирането на DFS файлове

Същите ресурси, които са изключени за SYSVOL набор реплики също трябва да бъдат изключени, ако DFSR се използва за репликация на дялове, които са нанесени на DFS корен и свързване цели на Windows Server членове компютри или домейнови контролери.

Изключване на сканирането на DHCP файлове

По подразбиране DHCP файловете, които трябва да бъдат изключени, присъстват в следната папка на сървъра:

     %systemroot%\System32\DHCP

Изключете следните файлове от тази папка и всички нейни подпапки:

• *.mdb

• *.Пат

• *.Влезете

• *.chk

• *.edb

Местоположението на DHCP файловете може да бъде променено. За да определите текущото местоположение на DHCP файловете на сървъра, проверете параметрите DatabasePath, DhcpLogFilePath и BackupDatabasePath , които са зададени в следния подключ от системния регистър:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Изключване на сканирането на DNS файлове

По подразбиране DNS използва следната папка:

%systemroot%\System32\Dns Изключете следните файлове от тази папка и всички подпапки:

• *.Влезете

• *.dns

• БОТУШ

Изключване на сканирането на WINS файлове

По подразбиране WINS използва следната папка:

     %systemroot%\System32\Wins

Изключете следните файлове от тази папка и всички нейни подпапки:

• *.chk

• *.Влезете

• *.mdb

За компютри, работещи с Базирани на Hyper-V версии на Windows

В някои случаи, на Windows Server компютри, които имат инсталирана ролята Hyper-V, може да е необходимо да конфигурирате компонента за сканиране в реално време в антивирусния софтуер, за да изключите файлове и цели папки. За повече информация вижте следната статия в базата знания:

• 961804Виртуалните машини липсват или възниква грешка 0x800704C8, 0x80070037 или 0x800703E3, когато се опитате да стартирате или създадете виртуална машина

Следващи стъпки

Ако производителността или стабилността на вашата система се подобряват чрез препоръките, дадени в тази статия, свържете се с доставчика на антивирусния софтуер за инструкции или за актуализирана версия или настройки за антивирусния софтуер.

Забележка Вашият доставчик на антивирусна програма на трето лице може да работи с екипа за поддръжка на Microsoft с разумни търговски усилия.

Хронология на промените

 Следващата таблица обобщава най-важните промени в тази тема.