Doporučení ke kontrole virů pro podnikové počítače se systémem Windows nebo Windows Server (KB822158)

Vypnutí kontroly služba Windows Update nebo automatických aktualizací souborů

• Vypněte kontrolu služba Windows Update nebo souboru databáze s automatickou aktualizací (Datastore.edb). Tento soubor se nachází v následující složce:

       %windir%\SoftwareDistribution\Datastore

• Vypněte kontrolu souborů protokolu, které jsou umístěné v následující složce:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Konkrétně vylučte následující soubory:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Zástupný znak (*) označuje, že může existovat několik souborů.

Vypnutí kontroly souborů Zabezpečení Windows

• Do cesty %windir%\Security\Database v seznamu vyloučení přidejte následující soubory:

  • *.Edb

  • *.Sdb

  • *.Protokolu

  • *.Chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Poznámka Pokud tyto soubory nejsou vyloučeny, antivirový software může zabránit odpovídajícímu přístupu k těmto souborům a databáze zabezpečení mohou být poškozeny. Kontrola těchto souborů může zabránit použití souborů nebo může bránit použití zásad zabezpečení na soubory. Tyto soubory by se neměly kontrolovat, protože antivirový software s nimi nemusí správně zacházet jako s proprietárními databázovými soubory.
  
  Toto jsou doporučená vyloučení. V tomto článku by mohly být vyloučeny jiné typy souborů, které nejsou zahrnuty.

Vypnutí kontroly souborů souvisejících s Zásady skupiny

• Zásady skupiny informace o registru uživatelů. Tyto soubory jsou umístěné v následující složce:

       %allusersprofile%\
  
  Konkrétně vylučte následující soubor:

       NTUser.pol

• Zásady skupiny soubory nastavení klienta. Tyto soubory jsou umístěné v následující složce:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Konkrétně vylučte následující soubory:

       Registry.pol
       Registry.tmp

Vypnutí kontroly souborů profilů uživatelů

• Informace o registru uživatelů a podpůrné soubory Soubory jsou umístěné v následující složce:
  
       userprofile%\
  
  Konkrétně vylučte následující soubory:
  
       Ntuser.dat*

Spouštění antivirového softwaru na řadičích domény

Vzhledem k tomu, že řadiče domény poskytují klientům důležitou službu, je nutné minimalizovat riziko přerušení jejich aktivit škodlivým kódem, malwarem nebo virem. Antivirový software je obecně přijímaný způsob, jak snížit riziko infekce. Nainstalujte a nakonfigurujte antivirový software tak, aby se co nejvíce snížilo riziko pro řadič domény a co nejméně ovlivnil výkon. Následující seznam obsahuje doporučení, která vám pomůžou nakonfigurovat a nainstalovat antivirový software na řadiči domény s Windows Serverem.

Upozornění Doporučujeme použít následující zadanou konfiguraci na testovací systém, abyste se ujistili, že v konkrétním prostředí nezavádí neočekávané faktory nebo neohrožuje stabilitu systému. Riziko přílišné kontroly spočívá v tom, že se soubory nesprávně označí jako změněné. To způsobí příliš velkou replikaci ve službě Active Directory. Pokud testování ověří, že replikace není ovlivněna následujícími doporučeními, můžete antivirový software použít v produkčním prostředí.

Poznámka Doporučení uvedená v tomto článku můžou nahradit konkrétní doporučení od dodavatelů antivirového softwaru.

• Antivirový software musí být nainstalovaný na všech řadičích domény v podniku. V ideálním případě zkuste takový software nainstalovat na všechny ostatní serverové a klientské systémy, které musí komunikovat s řadiči domény. Je optimální zachytit malware co nejdříve, například v bráně firewall nebo v klientském systému, kde se malware zavádí. Tím se zabrání tomu, aby se malware vůbec dostal do systémů infrastruktury, na kterých jsou klienti závislí.

• Použijte verzi antivirového softwaru, která je navržená pro práci s řadiči domény služby Active Directory a která pro přístup k souborům na serveru používá správná rozhraní API. Starší verze softwaru většiny dodavatelů při kontrole souboru nesprávně mění metadata souboru. To způsobí, že modul služby replikace souborů rozpozná změnu souboru, a proto naplánuje replikaci souboru. Novější verze brání tomuto problému.
  Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

  815263Antivirové programy, programy zálohování a optimalizace disků, které jsou kompatibilní se službou replikace souborů

• Nepoužívejte řadič domény k procházení internetu ani k provádění jiných aktivit, které by mohly zavádět škodlivý kód.

• Doporučujeme minimalizovat úlohy na řadičích domény. Pokud je to možné, nepoužívejte řadiče domény v roli souborového serveru. To snižuje aktivitu vyhledávání virů u sdílených složek a minimalizuje režii na výkon.

• Do komprimovaných svazků systému souborů NTFS neukládejte soubory a databáze služby Active Directory nebo FRS.

Vypnutí kontroly souborů souvisejících se službou Active Directory a Active Directory

• Vylučte hlavní databázové soubory NTDS. Umístění těchto souborů je určeno v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Výchozí umístění je %windir%\Ntds. Konkrétně vylučte následující soubory:

  • Ntds.dit

  • Ntds.pat

• Vylučte soubory protokolu transakcí služby Active Directory. Umístění těchto souborů je určeno v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Výchozí umístění je %windir%\Ntds. Konkrétně vylučte následující soubory:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Vylučte soubory v pracovní složce NTDS zadané v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Konkrétně vylučte následující soubory:

  • Temp.edb

  • Edb.chk

Vypnutí kontroly souborů SYSVOL

• Vypněte kontrolu souborů v pracovní složce Služby replikace souborů (FRS), která je určená v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Výchozí umístění je %windir%\Ntfrs. Vylučte následující soubory, které existují ve složce:

  • edb.chk ve složce %windir%\Ntfrs\jet\sys

  • Ntfrs.jdb ve složce %windir%\Ntfrs\jet

  • *.log ve složce %windir%\Ntfrs\jet\log

• Vypněte kontrolu souborů v souborech protokolu databáze FRS, které jsou zadané v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Výchozí umístění je %windir%\Ntfrs. Vylučte následující soubory:

  • Edb*.log (pokud klíč registru není nastavený)

  • Pracovní adresář FRS\Jet\Log\Edb*.jrs

• Poznámka Pro úplnost jsou zde zdokumentována nastavení pro konkrétní vyloučení souborů. Ve výchozím nastavení tyto složky umožňují přístup pouze k systému a správcům. Ověřte, že platí správná ochrana. Tyto složky obsahují pouze pracovní soubory komponent pro FRS a DFSR.

• Vypněte kontrolu pracovní složky NTFRS, jak je uvedeno v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage Ve výchozím nastavení se při přípravě používá následující umístění:

  %systemroot%\Sysvol\Staging areas

• Vypněte kontrolu pracovní složky DFSR podle atributu msDFSR-StagingPath objektu CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName ve službě AD DS. Tento atribut obsahuje cestu ke skutečnému umístění, které replikace DFS používá k souborům fáze. Konkrétně vylučte následující soubory:

  • Ntfrs_cmp*.*

  • *.Frx

• Vypněte kontrolu souborů ve složce Sysvol\Sysvol nebo ve složce SYSVOL_DFSR\Sysvol.
  
  Aktuální umístění složky Sysvol\Sysvol nebo SYSVOL_DFSR\Sysvol a všech podsložek je cílem opětovné analýzy systému souborů kořenového adresáře sady replik. Složky Sysvol\Sysvol a SYSVOL_DFSR\Sysvol používají ve výchozím nastavení následující umístění:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Na cestu k aktuálně aktivnímu adresáři SYSVOL odkazuje sdílená složka NETLOGON a dá se určit podle názvu hodnoty SysVol v následujícím podklíči:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Z této složky a všech jejích podsložek vylučte následující soubory:

  • *.Adm

  • *.Admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.Pojistného

  • Oscfilter.ini

• Vypněte kontrolu souborů ve složce Předinstalace služby FRS, která je v následujícím umístění:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  Složka Předinstalace je vždy otevřená, když je spuštěná služba FRS.
  
  Z této složky a všech jejích podsložek vylučte následující soubory:

  • Ntfrs*.*

• Vypněte kontrolu souborů v databázi DFSR a pracovních složkách. Umístění je určeno následujícím podklíčem registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path V tomto podklíči registru je cesta k souboru XML, která uvádí název replikační skupiny. V tomto příkladu by cesta obsahovala "Systémový svazek domény".
  
  Výchozí umístění je následující skrytá složka:

       %systemdrive%\System Volume Information\DFSR
  
  Z této složky a všech jejích podsložek vylučte následující soubory:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.Frx

  • *.Protokolu

  • Fsr*.jrs

  • Tmp.edb

• Poznámka Pokud je některá z těchto složek nebo souborů přesunuta nebo umístěna do jiného umístění, zkontrolujte nebo vylučte ekvivalentní prvek.

Vypnutí kontroly souborů DFS

Stejné prostředky, které jsou vyloučeny pro sadu replik SYSVOL, musí být také vyloučeny, pokud se služba FRS nebo DFSR používá k replikaci sdílených složek, které jsou namapovány na kořenový adresář DFS a propojení cílů v členských počítačích nebo řadičích domény se systémem Windows Server 2008 R2 nebo Windows Server 2008.

Vypnutí kontroly souborů DHCP

Ve výchozím nastavení se soubory DHCP, které by měly být vyloučeny, nacházejí v následující složce na serveru:

%systemroot%\System32\DHCP Vylučte z této složky a všech jejích podsložek následující soubory:

• *.Mdb

• *.Pat

• *.Protokolu

• *.Chk

• *.Edb

Umístění souborů DHCP je možné změnit. Pokud chcete zjistit aktuální umístění souborů DHCP na serveru, zkontrolujte parametry DatabasePath, DhcpLogFilePath a BackupDatabasePath zadané v následujícím podklíči registru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Vypnutí kontroly souborů DNS

Ve výchozím nastavení používá DNS následující složku:

%systemroot%\System32\Dns Vylučte z této složky a všech jejích podsložek následující soubory:

• *.Protokolu

• *.Dns

• SPOUŠTĚCÍ

Vypnutí kontroly souborů WINS

Ve výchozím nastavení používá služba WINS následující složku:

     %systemroot%\System32\Wins
Z této složky a všech jejích podsložek vylučte následující soubory:

• *.Chk

• *.Protokolu

• *.Mdb

Pro počítače, na kterých běží verze Systému Windows s technologií Hyper-V

V některých scénářích v počítači se systémem Windows Server 2008, který má nainstalovanou roli Technologie Hyper-V, Microsoft Hyper-V Server 2008 nebo na počítači se systémem Microsoft Hyper-V Server 2008 R2 může být nutné nakonfigurovat součást kontroly v reálném čase v rámci antivirového softwaru, aby se vyloučily soubory a celé složky. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

• 961804Virtuální počítače chybí nebo dojde k chybě 0x800704C8, 0x80070037 nebo 0x800703E3 při pokusu o spuštění nebo vytvoření virtuálního počítače

Další kroky

Pokud doporučení uvedená v tomto článku zlepší výkon nebo stabilitu systému, požádejte dodavatele antivirového softwaru o pokyny nebo o aktualizovanou verzi nebo nastavení antivirového softwaru.

Poznámka Váš externí dodavatel antivirového softwaru může spolupracovat s podpora Microsoftu týmem na komerčně přiměřeném úsilí.

Historie změn

 Následující tabulka shrnuje některé z nejdůležitějších změn tohoto tématu.