Doporučení ohledně vyhledávání virů pro podnikové počítače s aktuálně podporovanými verzemi Windows

Platí pro: Windows

Platí pro:


Windows Server 2012, všechny ediceWindows Server 2012 R2, všechny ediceWindows Server 2016, všechny ediceWindows Server 2019, všechny ediceWindows 7, všechny ediceWindows 8,1, všechny ediceWindows 10, všechny edice

Úvod


Tento článek obsahuje doporučení, která můžou správci pomoci určit příčinu nestability na počítači, na kterém běží podporovaná verze Microsoft Windows, když se používá společně s antivirovým softwarem v doméně Active Directory. prostředí nebo ve spravovaném obchodním prostředí.Poznámka Doporučujeme toto nastavení dočasně použít k vyhodnocení chování systému. Pokud doporučení, která jste udělali v tomto článku, zlepšila výkon systému, obraťte se na dodavatele antivirového softwaru, kde najdete pokyny nebo aktualizovanou verzi nebo nastavení antivirového softwaru.Důležité Tento článek obsahuje informace o tom, jak pomoct snížit nastavení zabezpečení nebo jak dočasně vypnout funkce zabezpečení na počítači. Tyto změny vám umožní pochopit povahu konkrétního problému. Než provedete tyto změny, doporučujeme vyhodnotit rizika spojená s implementací tohoto řešení v konkrétním prostředí. Pokud toto alternativní řešení implementujete, udělejte veškerá dodatečná opatření k ochraně počítače.

Více informací


Počítače s Windows 7 a novějšími verzemi Windows

Upozornění Tento postup může oslabit zabezpečení počítače nebo sítě vůči útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například virům. Tento problém nedoporučujeme, ale tyto informace poskytujeme, abyste mohli řešení implementovat podle svého vlastního uvážení. Tento postup používáte na vlastní nebezpečí.

Poznámka Program Windows Defender automaticky provádí hledání virů, počínaje Windows serverem 2016 (a Windows 10). Přečtěte si článek konfigurace vyloučení antivirové ochrany v programu Windows Defender na serveru Windows Server.Poznámky:

  • Jsme si vědomi toho, že nebudete z kontrol, které jste udělali antivirovým softwarem, informováni o konkrétních souborech nebo složkách zmíněných v tomto článku. Pokud žádné soubory nebo složky nevylučujete z prohledávání, bude váš systém bezpečnější. 
  • Když skenujete tyto soubory, může dojít k problémům s výkonem a spolehlivostí operačního systému kvůli zamykání souborů.
  • Nevylučují žádné z těchto souborů na základě přípony názvu souboru. Nevybírejte například všechny soubory s příponou. dit. Společnost Microsoft nemá kontrolu nad jinými soubory, které můžou používat stejné přípony jako soubory popsané v tomto článku.
  • Tento článek obsahuje názvy souborů a složky, které lze vyloučit. Všechny soubory a složky, které jsou popsané v tomto článku, jsou chráněné výchozími oprávněními k povolení přístupu k systému a správcům a obsahují jenom součásti operačního systému. Vyloučení celé složky může být jednodušší, ale nemusí poskytovat tolik ochrany jako vyloučení konkrétních souborů založených na názvech souborů.

Vypnutí prohledávání souborů souvisejících se systémem Windows Update nebo automatické aktualizace

  • Vypněte prověřování souboru databáze Windows Update nebo automatické aktualizace (DataStore. edb). Tento soubor je umístěn v následující složce:
    %windir%\SoftwareDistribution\Datastore
  • Vypněte prohledávání souborů protokolu, které jsou umístěné v následující složce:
    %windir%\SoftwareDistribution\Datastore\Logs
    Konkrétně vylučte následující soubory:
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • Zástupný znak (*) označuje, že je možné mít několik souborů.

Vypnutí prohledávání souborů zabezpečení systému Windows

  • Do%windir%\Security\Database cesty seznamu vyloučení přidejte následující soubory:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    • *.xml
    • *.csv
    • *.cmtx
    Poznámka: Pokud se tyto soubory nevylučují, může antivirový software zabránit řádnému přístupu k těmto souborům a může dojít k poškození databáze zabezpečení. Prověřování těchto souborů může bránit v používání souborů nebo brání tomu, aby se zásady zabezpečení použily na soubory. Tyto soubory by neměly být prohledávány, protože antivirový software je nemusí správně považovat za vlastní soubory databáze. Toto jsou doporučená vyloučení. V tomto článku můžou být další typy souborů, které by se neměly vyloučit.

Vypnutí prohledávání souborů souvisejících se zásadami skupiny

  • Informace o uživatelském registru zásad skupiny Tyto soubory jsou umístěné v následující složce:
    %allusersprofile%\
    Konkrétně vylučte následující soubor:
    NTUser.pol
  • Soubory nastavení klienta zásad skupiny Tyto soubory jsou umístěné v následující složce:
    %SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\
    Konkrétně vylučte následující soubory:
    Registry.pol Registry.tmp

Vypnutí prohledávání souborů profilu uživatele

  • Informace o uživatelském registru a pomocné soubory Soubory jsou umístěné v následující složce:
    userprofile%\
    Konkrétně vylučte následující soubory:
    NTUser.dat*

Spuštìní antivirového softwaru na řadičích domény

Vzhledem k tomu, že řadiče domén nabízejí důležitou službu klientům, je třeba minimalizovat riziko narušení jejich činnosti před škodlivým kódem, od malwaru nebo z viru. Antivirový software představuje obecně uznávaný způsob, jak snížit riziko infekce. Nainstalujte a nakonfigurujte antivirový software tak, aby se riziko pro řadič domény co nejvíce snížilo a co nejvíce ovlivňuje výkon. Následující seznam obsahuje doporučení, která vám pomůžou při konfiguraci a instalaci antivirového softwaru na řadiči domény Windows serveru.Upozornění Doporučujeme, abyste v testovacím systému použili následující zadanou konfiguraci, abyste měli jistotu, že ve vašem konkrétním prostředí nepřináší neočekávané faktory ani neohrožuje stabilitu systému. S rizikem pro moc skenování je to, že soubory nejsou vhodně označené jako změněné. To způsobuje příliš mnoho replikací ve službě Active Directory. Pokud se při testování ověří, jestli následující doporučení neovlivní replikaci, můžete tento antivirový software použít ve výrobním prostředí.PodívejteSpecifická doporučení prodejců antivirového softwaru můžou nahradit doporučení v tomto článku.
  • Antivirový software musí být nainstalovaný na všech řadičích domény v rozlehlé síti. Ideálním řešením je nainstalovat takový software na všechny servery a klientské systémy, které mají komunikovat s řadiči domény. Je optimální zachytit malware v nejbližším bodě, jako je brána firewall nebo klientský systém, na kterém je malware zaveden. Tím se zabrání malwaru, který už nedosahuje infrastruktur, na kterých klienti závisejí.
  • Použijte verzi antivirového softwaru určenou pro práci s řadiči domény služby Active Directory a pomocí správných rozhraní pro programování aplikací (API) pro přístup k souborům na serveru. Starší verze softwaru dodavatele nevhodně mění metadata souboru, jakmile je soubor prohledáván. To způsobí, že modul služby replikace souborů rozpozná změnu souboru a naplánuje tak replikaci. Novější verze tento problém zabrání. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    815263Programy pro antivirovou ochranu, zálohování a optimalizaci disku, které jsou kompatibilní se službou replikace souborů
  • Nepoužívejte řadič domény k procházení Internetu ani k provádění jiných činností, které mohou způsobit nebezpečný kód.
  • Doporučujeme minimalizovat pracovní vytížení řadičů domén. Pokud je to možné, vyhýbejte se používání řadičů domény v roli souborového serveru. Tento postup snižuje ochranu před viry a snižuje nároky na výkon.
  • Do komprimovaných svazků systému souborů NTFS Neumísťujte soubory databáze a soubory protokolů služby Active Directory nebo FRS.

Vypnutí skenování souborů souvisejících se službou Active Directory a soubory služby Active Directory

  • Vyloučení hlavních souborů databáze NTDS Umístění těchto souborů je uvedené v následujícím podklíči registru:
    Soubor databáze HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA
    Výchozí umístění je%windir%\Ntds. Konkrétně vylučte následující soubory:
    Ntds.dit Ntds.pat
  • Vylučte soubory protokolu transakcí služby Active Directory. Umístění těchto souborů je uvedeno v následujícím podklíči registru:
    Cesta k souborům protokolu HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database  
    Výchozí umístění je%windir%\Ntds. Konkrétně vylučte následující soubory:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
  • Vyloučení souborů v pracovní složce NTDS, která je určená v následujícím podklíči registru:
    Pracovní adresář HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA
    Konkrétně vylučte následující soubory:
    • Temp.edb
    • Edb.chk

Vypnutí prohledávání souborů SYSVOL

  • Vypněte prohledávání souborů v pracovní složce služby replikace souborů, která je určená v následujícím podklíči registru:
    HKEY_LOCAL_MACHINE adresář \SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working
    Výchozí umístění je%windir%\Ntfrs. Vylučte ze složky tyto soubory:
    • edb. chk ve složce %windir%\Ntfrs\jet\sys
    • NTFRS. jdb ve složce %windir%\Ntfrs\jet
    • *. log ve složce %windir%\Ntfrs\jet\log
  • Vypněte prohledávání souborů v souborech protokolu databáze FRS, které jsou uvedené v následujícím podklíči registru:
    Adresář souboru protokolu HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB
    Výchozí umístění je%windir%\Ntfrs. Vylučte následující soubory. PodívejtePro úplnost jsou popsána nastavení pro specifická vyloučení souborů. Tyto složky ve výchozím nastavení umožňují přístup jenom pro systém a správce. Ověřte, zda jsou na jednom místě správná ochrana. Tyto složky obsahují jenom pracovní soubory komponent pro FRS a DFSR.
    • Edb*. log (Pokud není nastaven klíč registru)
    • FRS Working Dir\Jet\Log\Edb *. jrs
  • Vypněte prohledávání pracovní složky NTFRS podle následujícího podklíče registru:
    HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica nastavit fázi
    Ve výchozím nastavení používá fázování toto umístění:
    oblasti%systemroot%\Sysvol\Staging
  • Vypněte prověřování pracovní složky DFSR zadanou v atributu msDFSR-StagingPath ( Object CN = SYSVOL Subscription), CN = Domain System Volume, CN = DFSR-LOCALSETTINGS, CN = DOMAINCONTROLLERNAME, ou = Domain Controllers, DC = název_domény. Tento atribut obsahuje cestu ke skutečnému umístění, které služba replikace distribuovaného systému souborů (DFSR) používá k přípravě souborů. Konkrétně vylučte následující soubory:
    • Ntfrs_cmp*.*
    • *.frx
  • Vypněte prohledávání souborů ve složce Sysvol\Sysvol nebo ve složce SYSVOL_DFSR \Sysvol. Aktuální umístění složky Sysvol\Sysvol nebo SYSVOL_DFSR \Sysvol a všech podsložek je cíl změny systému souborů v kořenovém adresáři sady replik. Složky Sysvol\Sysvol a SYSVOL_DFSR \Sysvol používají ve výchozím nastavení následující umístění:
    %systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain
    Cesta k aktuálně aktivnímu adresáři SYSVOL odkazuje sdílenou položkou NETLOGON a může být určena názvem hodnoty SYSVOL v následujícím podklíči:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
  • Vyloučení následujících souborů z této složky a všech jejích podsložek:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • Registry.tmp
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Vypněte prohledávání souborů v adresáři FRS, který je v následujícím umístění:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Složka předinstalace se otevře vždy, když běží služba FRS. Vyloučení následujících souborů z této složky a všech jejích podsložek:
    • Ntfrs*.*
  • Vypněte prohledávání souborů v databázi DFSR a pracovních složkách. Umístění je určeno následujícím podklíčem registru:
    HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica nastavit konfigurační soubor = cesta
    V tomto podklíči registru představuje "path" cestu k souboru XML, který uvádí název skupiny replikace. V tomto příkladu by cesta obsahovala "systémový svazek domény". Výchozí umístění je následující skrytá složka:
    %systemdrive%\System Volume Information\DFSR
    Vyloučení následujících souborů z této složky a všech jejích podsložek: Pokud je některá z těchto složek nebo souborů přesunutá nebo je umístěná do jiného umístění, naskenujte nebo vyjměte odpovídající prvek.
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb

Vypnutí prohledávání souborů DFS

Stejné prostředky, které jsou vyloučené pro sadu replik SYSVOL, musí být vyloučeny také v případě, že se služba FRS nebo DFSR používá k replikaci sdílených položek mapovaných na kořenový adresář DFS nebo cíle propojení na počítačích s Windows Server 2008 R2 nebo Windows Server 2008 her. 

Vypnutí prohledávání souborů DHCP

Soubory DHCP, které by měly být vyloučeny, jsou ve výchozím nastavení v následující složce na serveru:
%systemroot%\System32\DHCP
Vyloučení následujících souborů z této složky a všech jejích podsložek:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Umístění souborů DHCP lze změnit. Pokud chcete zjistit aktuální umístění souborů DHCP na serveru, zaškrtněte parametry DatabasePath, DhcpLogFilePatha BackupDatabasePath , které jsou zadané v následujícím podklíči registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Vypnutí prohledávání souborů DNS

DNS ve výchozím nastavení používá následující složku:
%systemroot%\System32\Dns
Vyloučení následujících souborů z této složky a všech jejích podsložek:
  • *.log
  • *.dns
  • SPUSTÍTE

Vypnutí prohledávání souborů WINS

Ve výchozím nastavení používá služba WINS následující složku:
%systemroot%\System32\Wins 
Vyloučení následujících souborů z této složky a všech jejích podsložek:
  • *.chk
  • *.log
  • *.mdb

Počítače s verzemi Windows založené na technologii Hyper-V

V některých scénářích může být v počítači se systémem Windows Server 2008, ve kterém je nainstalovaná role Hyper-V nebo na technologii Microsoft Hyper-v Server 2008 nebo Microsoft Hyper-V Server 2008 R2, možná nutné nakonfigurovat součást pro skenování v reálném čase v rámci antivirový software pro vyloučení souborů a celých složek Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
961804Pokud se pokusíte spustit nebo vytvořit virtuální počítač, chybí virtuální počítače nebo chyba 0x800704C8, 0x80070037 nebo 0x800703E3.