Doporučení ke kontrole virů pro podnikové počítače se systémem Windows nebo Windows Server (KB822158)

Vypnutí kontroly služba Windows Update nebo automatických aktualizací souborů

• Vypněte kontrolu služba Windows Update nebo souboru databáze s automatickou aktualizací (Datastore.edb). Tento soubor se nachází v následující složce:

       %windir%\SoftwareDistribution\Datastore

• Vypněte kontrolu souborů protokolu, které jsou umístěné v následující složce:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Konkrétně vylučte následující soubory:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Zástupný znak (*) označuje, že může existovat několik souborů.

Vypnutí kontroly souborů Zabezpečení Windows

• Do cesty %windir%\Security\Database v seznamu vyloučení přidejte následující soubory:

  • *.Edb

  • *.Sdb

  • *.kláda

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Poznámka Pokud tyto soubory nejsou vyloučeny, antivirový software může zabránit odpovídajícímu přístupu k těmto souborům a databáze zabezpečení mohou být poškozeny. Kontrola těchto souborů může zabránit použití souborů nebo může bránit použití zásad zabezpečení na soubory. Tyto soubory by se neměly kontrolovat, protože antivirový software s nimi nemusí správně zacházet jako s proprietárními databázovými soubory.
  
  Toto jsou doporučená vyloučení. V tomto článku by mohly být vyloučeny jiné typy souborů, které nejsou zahrnuty.

Vypnutí kontroly souborů souvisejících s Zásady skupiny

• Zásady skupiny informace o registru uživatelů. Tyto soubory jsou umístěné v následující složce:

       Počítač: %allusersprofile%\
       Uživatelé: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  Konkrétně vylučte následující soubor:

       NTUser.pol

• Zásady skupiny soubory nastavení klienta. Tyto soubory jsou umístěné v následující složce:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Konkrétně vylučte následující soubory:

       Registr.pol
       Registry.tmp

Vypnutí kontroly souborů profilů uživatelů

• Informace o registru uživatelů a podpůrné soubory Soubory jsou umístěné v následující složce:
  
       %userprofile%\
  
  Konkrétně vylučte následující soubory:
  
       NTUser.dat*

Spouštění antivirového softwaru na řadičích domény

Vzhledem k tomu, že řadiče domény poskytují klientům důležitou službu, je nutné minimalizovat riziko přerušení jejich aktivit škodlivým kódem, malwarem nebo virem. Antivirový software je obecně přijímaný způsob, jak snížit riziko infekce. Nainstalujte a nakonfigurujte antivirový software tak, aby se co nejvíce snížilo riziko pro řadič domény a co nejméně ovlivnil výkon. Následující seznam obsahuje doporučení, která vám pomůžou nakonfigurovat a nainstalovat antivirový software na Windows Server řadiči domény.

Varování Doporučujeme použít následující zadanou konfiguraci na testovací systém, abyste se ujistili, že v konkrétním prostředí tato konfigurace nezavádí neočekávané faktory nebo neohrožuje stabilitu systému. Riziko přílišné kontroly spočívá v tom, že se soubory nesprávně označí jako změněné. To způsobí příliš velkou replikaci ve službě Active Directory. Pokud testování ověří, že replikace není ovlivněna následujícími doporučeními, můžete antivirový software použít v produkčním prostředí.

Poznámka Doporučení uvedená v tomto článku můžou nahradit konkrétní doporučení od dodavatelů antivirového softwaru.

• Antivirový software musí být nainstalovaný na všech řadičích domény v podniku. V ideálním případě zkuste takový software nainstalovat na všechny ostatní serverové a klientské systémy, které musí komunikovat s řadiči domény. Je optimální zachytit malware co nejdříve, například v bráně firewall nebo v klientském systému, kde se malware zavádí. Tím se zabrání tomu, aby se malware vůbec dostal do systémů infrastruktury, na kterých jsou klienti závislí.

• Použijte verzi antivirového softwaru, která je navržená pro práci s řadiči domény služby Active Directory a která používá správná rozhraní API pro přístup k souborům na serveru. Starší verze softwaru většiny dodavatelů při kontrole souboru nesprávně mění metadata souboru.

• Nepoužívejte řadič domény k procházení internetu nebo provádění jiných aktivit, které by mohly zavádět škodlivý kód.

• Doporučujeme minimalizovat úlohy na řadičích domény. Pokud je to například možné, nepoužívejte řadiče domény v roli souborového serveru. Tento postup snižuje aktivitu vyhledávání virů u sdílených složek a minimalizuje režii na výkon.

• Neumisťujte soubory služby Active Directory a protokolů na komprimované svazky systému souborů NTFS.

Vypnutí kontroly souborů souvisejících se službou Active Directory a Active Directory

• Vylučte hlavní databázové soubory NTDS. Umístění těchto souborů je určeno v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Výchozí umístění je %windir%\Ntds. Konkrétně vylučte následující soubory:

  • Ntds.dit

  • Ntds.pat

• Vylučte soubory protokolu transakcí služby Active Directory. Umístění těchto souborů je určeno v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Výchozí umístění je %windir%\Ntds. Konkrétně vylučte následující soubory:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Vylučte soubory v pracovní složce NTDS zadané v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Konkrétně vylučte následující soubory:

  • Temp.edb

  • Edb.chk

Vypnutí kontroly souborů SYSVOL

• Vypněte kontrolu souborů ve složce Sysvol\Sysvol nebo ve složce SYSVOL_DFSR\Sysvol.
  
  Aktuální umístění složky Sysvol\Sysvol nebo SYSVOL_DFSR\Sysvol a všech podsložek je cílem opětovné analýzy systému souborů kořenového adresáře sady replik. Složky Sysvol\Sysvol a SYSVOL_DFSR\Sysvol používají ve výchozím nastavení následující umístění:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Na cestu k aktuálně aktivnímu adresáři SYSVOL odkazuje sdílená složka NETLOGON a dá se určit podle názvu hodnoty SysVol v následujícím podklíči:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Z této složky a všech jejích podsložek vylučte následující soubory:

  • *.Adm

  • *.admx

  • *.adml

  • Registr.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.klávesa Insert

  • Oscfilter.ini

• Vypněte kontrolu souborů v databázi DFSR a pracovních složkách. Umístění je určeno v následujícím podklíči registru:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path V tomto podklíči registru je "Cesta" cesta k souboru XML, který obsahuje název replikační skupiny. V tomto příkladu by cesta obsahovala "Systémový svazek domény".
  
  Výchozí umístění je následující skrytá složka:

       %systemdrive%\System Volume Information\DFSR
  
  Z této složky a všech jejích podsložek vylučte následující soubory:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.kláda

  • Fsr*.jrs

  • Tmp.edb

  Poznámka Pokud je některá z těchto složek nebo souborů přesunuta nebo umístěna do jiného umístění, zkontrolujte nebo vylučte ekvivalentní prvek.

Vypnutí kontroly souborů DFS

Stejné prostředky, které jsou vyloučené pro sadu replik SYSVOL, musí být také vyloučeny, pokud se dfsr používá k replikaci sdílených složek, které jsou mapovány na kořen DFS a propojení cílů na Windows Server členských počítačích nebo řadičích domény.

Vypnutí kontroly souborů DHCP

Ve výchozím nastavení se soubory DHCP, které by měly být vyloučeny, nacházejí v následující složce na serveru:

     %systemroot%\System32\DHCP

Z této složky a všech jejích podsložek vylučte následující soubory:

• *.mdb

• *.zaťukat

• *.kláda

• *.chk

• *.Edb

Umístění souborů DHCP je možné změnit. Pokud chcete zjistit aktuální umístění souborů DHCP na serveru, zkontrolujte parametry DatabasePath, DhcpLogFilePath a BackupDatabasePath zadané v následujícím podklíči registru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Vypnutí kontroly souborů DNS

Ve výchozím nastavení používá DNS následující složku:

%systemroot%\System32\Dns Vylučte z této složky a všech jejích podsložek následující soubory:

• *.kláda

• *.dns

• BOTA

Vypnutí kontroly souborů WINS

Ve výchozím nastavení používá služba WINS následující složku:

     %systemroot%\System32\Wins

Z této složky a všech jejích podsložek vylučte následující soubory:

• *.chk

• *.kláda

• *.mdb

Pro počítače, na kterých běží verze Systému Windows s technologií Hyper-V

V některých scénářích může být na Windows Server počítačích s nainstalovanou rolí Hyper-V nutné nakonfigurovat součást kontroly v reálném čase v rámci antivirového softwaru tak, aby se vyloučily soubory a celé složky. Další informace najdete v následujícím článku znalostní báze Knowledge Base:

• 961804Virtuální počítače chybí nebo dojde k chybě 0x800704C8, 0x80070037 nebo 0x800703E3 při pokusu o spuštění nebo vytvoření virtuálního počítače

Další kroky

Pokud doporučení uvedená v tomto článku zlepší výkon nebo stabilitu vašeho systému, požádejte dodavatele antivirového softwaru o pokyny nebo aktualizovanou verzi nebo nastavení antivirového softwaru.

Poznámka Váš externí dodavatel antivirového softwaru může spolupracovat s podpora Microsoftu týmem na komerčně přiměřeném úsilí.

Historie změn

 Následující tabulka shrnuje nejdůležitější změny tohoto tématu.