Doporučení pro hledání virů pro podnikové počítače s aktuálně podporovanými verzemi systému Windows

Informace pro domácí uživatele

Další informace o hledání virů s doporučeními pro spotřebitele naleznete na následující webové stránce společnosti Microsoft:

ÚVOD

Tento článek obsahuje doporučení, která mohou správcům pomoci určit příčiny potenciální nestability počítače s podporovanou verzí systému Microsoft Windows, je-li použit s antivirovým softwarem v prostředí domény služby Active Directory nebo ve spravovaném obchodním prostředí.


Poznámka: Doporučujeme dočasně použít tyto postupy k vyhodnocení systému. Pokud se pomocí doporučení uvedených v tomto článku vylepší stabilita nebo výkon systému, obraťte se na dodavatele antivirového softwaru se žádostí o pokyny nebo aktualizovanou verzi antivirového softwaru.


Důležité: Tento článek obsahuje postupy, které vedou k oslabení zabezpečení počítače nebo k dočasnému vypnutí funkcí zabezpečení v počítači. Tyto změny můžete provést s cílem porozumět povaze konkrétního problému. Před provedením změn však doporučujeme vyhodnotit nebezpečí spojená s nasazením tohoto řešení v konkrétním prostředí. Pokud se rozhodnete tento postup použít, učiňte veškerá dodatečná opatření k ochraně počítače.

Další informace

Počítače se systémem Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista nebo Windows 7

Upozornění: Tento postup může oslabit zabezpečení počítače nebo sítě vůči útoku uživatelů se zlými úmysly nebo škodlivému softwaru, například virům. Toto řešení se nedoporučuje, jsou ale poskytnuty informace, s jejichž pomocí můžete řešení implementovat podle vlastního uvážení. Tento postup používáte na vlastní nebezpečí.

Poznámky:
 • Nejsme si vědomi rizik spojených s vyloučením specifických souborů a složek, které jsou uvedeny v tomto článku, z prohledávání pomocí antivirového softwaru. Systém však může být bezpečnější, pokud z prohledávání nevyloučíte žádné soubory ani složky.
 • Při prohledávání těchto souborů může dojít k potížím s výkonem a spolehlivostí operačního systému, a to z důvodu uzamčení souborů.
 • Nevylučujte žádné soubory na základě přípony názvu souboru. Nevylučujte například soubory s příponou DIT. Společnost Microsoft nemá kontrolu nad ostatními soubory, které mohou používat stejné přípony jako soubory popsané v tomto článku.
 • Tento článek obsahuje názvy souborů a složek, které mohou být vyloučeny. Všechny soubory a složky, které jsou popsány v tomto článku, jsou chráněny výchozími oprávněními, která povolují přístup pouze správcům a systému, a obsahují pouze součásti operačního systému. Vyloučení celé složky může být jednodušší, ale neposkytuje tolik ochrany jako vyloučení specifických souborů na základě jejich názvů.

Vypnutí prohledávání souboru tmp.edb řešení Microsoft Forefront

 • Používáte-li řešení Forefront, vypněte prohledávání pro databázový soubor Forefront (tmp.edb). Tento soubor je umístěn v následující složce:
  %windir%\SoftwareDistribution\Datastore
 • Vypněte prohledávání souborů protokolu, které jsou umístěny v následující složce:

  %ProgramData%\Microsoft\Search\Data\Applications\Windows

Vypnutí prohledávání souborů souvisejících se službou Windows Update nebo Automatické aktualizace

 • Vypněte prohledávání souboru databáze služby Windows Update nebo Automatické aktualizace (Datastore.edb). Tento soubor je umístěn v následující složce:
  %windir%\SoftwareDistribution\Datastore
 • Vypněte prohledávání souborů protokolu, které jsou umístěny v následující složce:

  %windir%\SoftwareDistribution\Datastore\Logs
  Vylučte z prohledávání následující soubory:
  • Res*.log
  • Edb*.jrs
  • Edb.chk
  • Tmp.edb
  Zástupný znak (*) znamená, že může existovat několik souborů.

Vypnutí prohledávání souborů zabezpečení systému Windows

 • Do seznamu vyloučení přidejte následující soubory na cestě %windir%\Security\Database:
  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
  Poznámka: Pokud tyto soubory nejsou vyloučeny, antivirový software může zabránit správnému přístupu k těmto souborům a může dojít k poškození databází zabezpečení. Prohledávání těchto souborů může zabránit jejich použití nebo zabránit uplatnění zásad zabezpečení u těchto souborů. Tyto soubory by neměly být prohledávány, protože se může stát, že je antivirový software nebude považovat za speciální databázové soubory.

Vypnutí prohledávání souborů souvisejících se zásadami skupiny

 • Informace registru uživatele o zásadách skupiny. Tyto soubory jsou umístěny v následující složce:
  %allusersprofile%\
  Vylučte z prohledávání následující soubor:
  NTUser.pol
 • Soubor s nastavením klienta zásad skupiny. Tento soubor je umístěn v následující složce:
  %Systemroot%\System32\GroupPolicy\
  Vylučte z prohledávání následující soubor:
  Registry.pol
Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
951059 Poté, co se uživatel přihlásí k počítači se systémem Windows Server 2003, jsou neočekávaně odebrána nastavení zásad v registru
930597 V počítači se systémem Windows XP nebo Windows Vista dojde ke ztrátě některých nastavení zásad v registru a v protokolu aplikací jsou zaznamenány chybové zprávy

Řadiče domény se systémem Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 a Windows 2000

Řadiče domény poskytují klientům důležité služby a riziko přerušení jejich činnosti z důvodu přítomnosti škodlivého kódu, malwaru nebo viru musí být minimalizováno. Antivirový software představuje obecně přijímaný způsob, jak riziko infekcí omezit. Nainstalujte a nakonfigurujte antivirový software, aby bylo co nejvíce sníženo riziko infekce řadiče domény a tedy co nejméně ovlivněn výkon. Následující seznam obsahuje doporučení, která pomohou uživateli při konfiguraci a instalaci antivirového softwaru v řadiči domény se systémem Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 nebo Windows 2000.

Upozornění: Doporučujeme použít následující konfiguraci nejprve pro testovací systém, abyste se přesvědčili, zda ve vašem konkrétním prostředí nepřináší neplánované účinky nebo neohrožuje stabilitu systému. Riziko nadměrného prohledávání spočívá v tom, že soubory budou nesprávně označeny jako změněné. To má za následek příliš mnoho replikací ve službě Active Directory. Prokáže-li testování, že následující doporučení replikaci neovlivní, můžete antivirový software použít v provozním prostředí.


Poznámka: Konkrétní doporučení prodejců antivirového softwaru mají přednost před doporučeními v tomto článku.
 • Antivirový software musí být nainstalován na všech řadičích domény v organizaci. Pokud je to možné, nainstalujte takový software na všechny serverové a klientské systémy, které musejí komunikovat s řadiči domény. Optimální je zachytit malware co nejdříve, například v bráně firewall nebo v klientském počítači, ve kterém se objeví nejdříve. To malwaru zabrání dostat se do infrastruktury, na které jsou klienti závislí.
 • Použijte verzi antivirového softwaru, která je určena k práci s řadiči domény služby Active Directory a která používá pro přístup k souborům na serveru správná rozhraní API (Application Programming Interfaces). Starší verze softwaru většiny dodavatelů při prohledávání souborů nevhodně měnily jejich metadata. To způsobilo, že jádro služby replikace souborů rozpoznalo změnu souboru a naplánovalo jeho replikaci. Novější verze těmto potížím zabraňují.
  Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  815263 Programy pro hledání virů, zálohování a optimalizaci disku kompatibilní se Službou replikace souborů
 • Nepoužívejte řadič domény k procházení Internetu nebo jakýmkoli jiným činnostem, které mohou zavést nebezpečný kód.
 • Doporučujeme, abyste minimalizovali zatížení řadičů domény. Pokud je to možné, nepoužívejte řadiče domény v roli souborového serveru. To snižuje aktivity prohledávání virů u sdílených souborů a minimalizuje zatížení systému.
 • Neumísťujte soubory databází a protokolů služeb Active Directory a FRS na komprimované svazky systému souborů NTFS.

  Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  318116 Problémy s databázemi Jet na komprimovaných jednotkách

Vypnutí prohledávání souborů služby Active Directory a souborů souvisejících s touto službou

 • Vylučte hlavní soubory databáze NTDS. Umístění těchto souborů je určeno v následujícím klíči registru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  Výchozí umístění je %windir%\Ntds. Vylučte z prohledávání následující soubory:
  Ntds.dit

  Ntds.pat
 • Vylučte soubory protokolů transakcí služby Active Directory. Umístění těchto souborů je určeno v následujícím klíči registru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  Výchozí umístění je %windir%\Ntds. Vylučte z prohledávání následující soubory:
  • EDB*.log
  • Res*.log
  • Edb*.jrs
  • Ntds.pat
  Poznámka: Systém Microsoft Windows Server 2003 již nepoužívá soubor Ntds.pat.
 • Vylučte soubory v pracovní složce NTDS, která je určena v následujícím klíči registru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  Vylučte z prohledávání následující soubory:
  • Temp.edb
  • Edb.chk

Vypněte prohledávání souborů SYSVOL

 • Vypněte prohledávání souborů v pracovní složce FRS, která je určena v následujícím klíči registru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  Výchozí umístění je %windir%\Ntfrs. Vylučte následující soubory z této složky:


  • edb.chk ve složce %windir%\Ntfrs\jet\sys
  • ntfrs.jdb ve složce %windir%\Ntfrs\jet
  • *.log ve složce %windir%\Ntfrs\jet\log
 • Vypněte prohledávání souborů protokolů databáze služby FRS, které jsou určeny v následujícím klíči registru:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  Výchozí umístění je %windir%\Ntfrs. Vylučte z prohledávání následující soubory:


  • Edb*.log (pokud klíč registru není nastaven)
  • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 a Windows Server 2008 R2)
  Poznámka: Nastavení pro vyloučení konkrétních souborů jsou zde popsána pro úplnost. Ve výchozím nastavení tyto složky umožňují přístup pouze systému a správcům. Ověřte, zda je použita správná ochrana. Tyto složky obsahují pouze pracovní soubory pro služby FRS a DFSR.
 • Vypněte prohledávání pracovní složky, která je uvedena v následujícím klíči registru.
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  Ve výchozím nastavení je použito následující umístění:
  %systemroot%\Sysvol\Staging areas
  Vylučte z prohledávání následující soubory:
  • Nntfrs_cmp*.*
 • Vypněte prohledávání souborů ve složce Sysvol\Sysvol.

  Aktuální umístění složky Sysvol\Sysvol a všech jejích podsložek je cíl rozboru systému souborů kořenové složky sady replik. Složka Sysvol\Sysvol používá následující umístění:
  %systemroot%\Sysvol\Domain
  Z této složky a všech jejích podsložek vylučte následující soubory:
  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • *.aas
  • *.inf
  • Fdeploy.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini
 • Vypněte prohledávání souborů ve složce předinstalace služby FRS v následujícím umístění:
  kořenová_složka_repliky\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  Složka předinstalace je otevřena vždy, když je spuštěna služba FRS.


  Z této složky a všech jejích podsložek vylučte následující soubory:
  • Ntfrs*.*
 • Vypněte prohledávání souborů v pracovních složkách a databázi služby DFSR. Umístění je určeno následujícím klíčem registru:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
  V tomto klíči registru určuje výraz Path cestu k souboru XML, který udává název replikační skupiny. V tomto příkladu by cesta obsahovala text Domain System Volume.

  Výchozím umístěním je následující skrytá složka:
  %systemdrive%\System Volume Information\DFSR
  Z této složky a všech jejích podsložek vylučte následující soubory:
  • $db_normal$
  • FileIDTable_*
  • SimilarityTable_*
  • *.xml
  • $db_dirty$
  • $db_lost$
  • Dfsr.db
  • Fsr.chk
  • *.frx
  • *.log
  • Fsr*.jrs
  • Tmp.edb
  Byla-li některá z těchto složek nebo souborů přesunuta nebo umístěna jinam, prohledávejte nebo vylučte z prohledávání odpovídající položku.

Vypnutí prohledávání souborů DFS

Tytéž zdroje, které jsou vyloučeny ze sady replik SYSVOL, musejí být také vyloučeny, je-li služba FRS nebo DFSR použita k replikaci sdílených položek, které jsou namapované na kořenový adresář jednotky DFS a odkazují na cíle v členských počítačích nebo řadičích domény se systémem Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 nebo Windows 2000.

Vypnutí prohledávání souborů DHCP

Ve výchozím nastavení jsou soubory DHCP, které mají být vyloučeny, umístěny v následující složce na serveru:
%systemroot%\System32\DHCP
Z této složky a všech jejích podsložek vylučte následující soubory:
 • *.mdb
 • *.pat
 • *.log
 • *.chk
 • *.edb
Umístění souborů DHCP lze změnit. Chcete-li zjistit aktuální umístění souborů DHCP na serveru, zkontrolujte parametry DatabasePath, DhcpLogFilePath a BackupDatabasePath, které jsou určeny v následujícím podklíči registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Řadiče domény se systémem Windows Server 2008, Windows Server 2003 a Windows 2000

Vypnutí prohledávání souborů DNS

Ve výchozím nastavení používá služba DNS následující složku:
%systemroot%\System32\Dns
Z této složky a všech jejích podsložek vylučte následující soubory:
 • *.log
 • *.dns
 • BOOT

Vypnutí prohledávání souborů WINS

Ve výchozím nastavení služba WINS používá následující složku:
%systemroot%\System32\Wins
Z této složky a všech jejích podsložek vylučte následující soubory:
 • *.chk
 • *.log
 • *.mdb

Počítače se systémem Windows s technologií Hyper-V

V některých situacích může být u počítačů se systémem Windows Server 2008, v němž je nainstalována role Hyper-V, nebo u počítačů se systémem Microsoft Hyper-V Server 2008 nebo Microsoft Hyper-V Server 2008 R2 třeba nakonfigurovat v rámci antivirového programu komponentu kontroly v reálném čase pro vyloučení souborů s celých složek. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
961804 V konzole správce technologie Hyper-V chybí virtuální počítače nebo se po vytvoření nebo spuštění virtuálního počítače zobrazí jeden z následujících chybových kódů: 0x800704C8, 0x80070037 nebo 0x800703E3
Vlastnosti

ID článku: 822158 - Poslední kontrola: 30. 3. 2012 - Revize: 1

Váš názor