Anbefalinger i forbindelse med virusscanning på firmacomputere, der kører understøttede versioner af Windows


Oplysninger til private brugere

Du kan finde flere oplysninger om virusscanning med anbefalinger til forbrugerne på følgende Microsoft-webside:

INTRODUKTION


Denne artikel indeholder anbefalinger, der kan hjælpe administratorer med at finde årsagen til potentiel ustabilitet på en computer, der kører en understøttet version af Microsoft Windows, når den bruges sammen med antivirussoftware i et Active Directory-domænemiljø eller i et administreret virksomhedsmiljø.Bemærk! Vi anbefaler, at du midlertidigt anvender disse fremgangsmåder for at teste et system. Kontakt leverandøren af antivirussoftwaren for at få vejledning eller en opdateret version af antivirussoftwaren, hvis systemets ydeevne eller stabilitet forbedres ved hjælp af de anbefalinger, der fremsættes i denne artikel.

Vigtigt! I denne artikel beskrives, hvordan du kan reducere sikkerhedsindstillingerne, eller hvordan du kan deaktivere sikkerhedsfunktioner på en computer midlertidigt. Du kan foretage disse ændringer for at forstå baggrunden for et bestemt problem. Før du foretager sådanne ændringer, bør du overveje de risici, der er forbundet med at implementere denne løsning i dit eget miljø. Hvis du implementerer denne løsning, bør du træffe ekstra passende forholdsregler for at beskytte computeren.

Yderligere Information


Til computere, der kører Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista eller Windows 7

Advarsel! Denne løsning kan gøre computere eller netværk mere sårbare over for angreb fra hackere eller skadelig software, f.eks. virus. Vi anbefaler ikke denne løsning, men vi giver disse oplysninger, så du selv kan vælge at implementere løsningen, som du vil. Brug af denne løsning sker på eget ansvar.

Bemærk!
 • Vi har ikke kendskab til nogen risiko ved at udelade de specifikke filer eller mapper, der er nævnt i denne artikel, fra scanninger, der foretages af din antivirussoftware. Det kan imidlertid være mere sikkert for din computer, hvis du ikke udelader filer eller mapper fra scanninger.
 • Hvis du scanner disse filer, kan der forekomme alvorlige problemer med ydeevnen eller pålideligheden i operativsystemet pga. fillåsning.
 • Udelad ikke nogen af disse filer ud fra filtypenavnet. Du skal f.eks. ikke udelukke alle filer med filtypenavnet .dit. Microsoft har ingen kontrol over andre filer, der kan benytte samme filtypenavne som de filer, der er beskrevet i denne artikel.
 • Denne artikel indeholder både filnavne og mapper, der kan udelades. Alle de filer og mapper, der er beskrevet i denne artikel, er beskyttet af standardtilladelser, så kun SYSTEM og administrator tillades adgang, og de indeholder kun komponenter til operativsystemet. Det kan være lettere at udelade en hel mappe, men det er muligvis ikke så sikkert som at udelade bestemte filer ud fra filnavne.

Deaktivering af Windows Update- eller Automatiske opdateringer-relaterede filer

 • Deaktiver Windows Update- eller Automatiske opdateringer-databasefilen (Datastore.edb). Filen er placeret i følgende mappe:
  %windir%\SoftwareDistribution\Datastore
 • Deaktiver scanning af de logfiler, der er placeret i følgende mappe:
  %windir%\SoftwareDistribution\Datastore\Logs
  Udelad specielt følgende filer:

  • Res*.log
  • Res*.jrs
  • Edb.chk
  • Tmp.edb
  Jokertegnet (*) angiver, at der kan være flere filer.

Deaktivering af scanning af Windows Sikkerhed-filer

 • Føj følgende filer til stien %windir%\Security\Database til udeladelseslisten:

  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
  Bemærk! Hvis disse filer ikke udelades, kan antivirussoftware muligvis forhindre korrekt adgang til disse filer, og sikkerhedsdatabaser kan blive beskadiget. Scanning af disse filer kan forhindre, at de bruges, eller evt. forhindre en sikkerhedspolitik i at blive anvendt på filerne. Disse filer kunne ikke scannes, da antivirussoftware muligvis ikke behandler dem som beskyttede databasefiler.

Deaktivering af scanning af gruppepolitikrelaterede filer

 • Oplysninger i brugerregistreringsdatabase for Gruppepolitik. Disse filer findes i følgende mappe:
  %allusersprofile%\
  Udelad specielt følgende fil:
  NTUser.pol
 • Klientindstillingsfil for Gruppepolitik. Filen er placeret i følgende mappe:
  %Systemroot%\System32\GroupPolicy\
  Udelad specielt følgende fil:
  Registry.pol
Du kan få flere oplysninger ved at klikke på nedenstående artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
951059 På en Windows Server 2003-baseret computer fjernes registreringsdatabasebaserede politikindstillinger uventet, når en bruger logger på computeren. Artiklen er evt. på engelsk.
930597 Nogle registreringsdatabasebaserede politikindstillinger forsvinder, og der registreres fejlmeddelelser i programlogfilen på en Windows XP-baseret computer eller på en Windows Vista-baseret computer. Artiklen er evt. på engelsk.

Til Windows Server 2008 R2-, Windows Server 2008-, Windows Server 2003- og Windows 2000-domænecontrollere

Domænecontrollere udgør en vigtig tjeneste for klienter. Derfor skal risikoen for afbrydelse af deres aktiviteter pga. skadelig kode, skadelig software eller en virus minimeres. Antivirussoftware er den generelt accepterede måde at afhjælpe risikoen for virusinfektion. Installer og konfigurer antivirussoftware, så risikoen for domænecontrolleren reduceres så meget som muligt, og så ydeevnen påvirkes så lidt som muligt. Følgende liste indeholder anbefalinger, der hjælper dig med at konfigurere og installere antivirussoftware på en Windows 2008 R2-, Windows Server 2008-, Windows Server 2003- eller Windows Server 2000-domænecontroller.

Advarsel! Vi anbefaler, at du anvender følgende angivne konfiguration på et testsystem for at sikre, at den ikke er årsag til uventede faktorer i dit bestemte miljø eller kompromitterer systemstabiliteten. Risikoen som følge af for meget scanning er, at filerne ukorrekt markeres som ændret. Dette medfører stor replikering i Active Directory. Hvis test bekræfter, at replikering ikke påvirkes af følgende anbefalinger, kan du anvende antivirussoftwaren i produktionsmiljøet.


Bemærk! Specifikke anbefalinger fra leverandører af antivirussoftware kan tilsidesætte anbefalingerne i denne artikel.

 • Der skal installeres antivirussoftware på alle domænecontrollere i virksomheden. Det er ideelt at forsøge at installere denne type software på alle andre server- og klientsystemer, der skal kommunikere med domænecontrollerne. Det mest optimale vil være at opdage den skadelige software, så tidligt som muligt, f.eks. ved firewallen eller på klientsystemet, hvor den skadelige software introduceres. Dette forhindrer, at den skadelige software når det infrastruktursystem, som klienterne er afhængige af.
 • Brug en version af antivirussoftware, der er designet til at fungere med Active Directory-domænecontrollere, og som bruger de rigtige API'er (Application Programming Interfaces) til at opnå adgang til filerne på serveren. Ældre versioner af størstedelen af software fra leverandører ændrer filens metadata, når filen scannes. Dette får motoren i filreplikeringstjenesten til at genkende en filændring og derfor planlægge replikering af filen. Nyere versioner forhindrer dette problem.

  Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

  815263 Antivirus-, sikkerhedskopierings- og diskoptimeringsprogrammer, der er kompatible med filreplikeringstjenesten. Artiklen er evt. på engelsk.
 • Brug ikke en domænecontroller til søge på internettet eller til at udføre nogen andre aktiviteter, der kan introducere skadelig kode.


 • Vi anbefaler, at du minimerer arbejdsbelastningerne på domænecontrollere. Hvor det er muligt, skal du undgå at bruge domænecontrollere i en filserverrolle. Herved reduceres virusscanningaktiviteten på filshares, og belastningen af ydeevnen minimeres.
 • Placer ikke Active Directory- eller FRS-database- og -logfiler på komprimerede enheder med NTFS-filsystem.

  Du kan finde flere oplysninger ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

  318116 Problemer med Jet-databaser på komprimerede drev. Artiklen er evt. på engelsk.

Deaktivering af scanning af Active Directory og Active Directory-relaterede filer

 • Udelad hovedfilerne i NTDS-databasen. Placeringen af disse filer er angivet i følgende registreringsdatabasenøgle:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  Standardplaceringen er %windir%\Ntds. Udelad specielt følgende filer:
  Ntds.dit

  Ntds.pat
 • Udelad Active Directory-transaktionslogfilerne. Placeringen af disse filer er angivet i følgende registreringsdatabasenøgle:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  Standardplaceringen er %windir%\Ntds. Udelad specielt følgende filer:

  • EDB*.log
  • Res*.log
  • Res*.jrs
  • Ntds.pat
  Bemærk! I Microsoft Windows Server 2003 benyttes filen Ntds.pat ikke længere.
 • Udelad filerne i NTDS-arbejdsmappen, der er angivet i følgende registreringsdatabasenøgle:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  Udelad specielt følgende filer:

  • Temp.edb
  • Edb.chk

Deaktivering af scanning af SYSVOL-filer

 • Deaktiver scanning af filer i Arbejdsmappen for filreplikeringstjenesten, som er angivet i følgende registreringsdatabasenøgle:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  Standardplaceringen er %windir%\Ntfrs. Udelad følgende filer, der findes i mappen:


  • edb.chk
  • Ntfrs.jdb
  • *.log
 • Deaktiver scanning af filer i FRS-databaselogfilerne, som er angivet i følgende registreringsdatabasenøgle:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  Standardplaceringen er %windir%\Ntfrs. Udelad følgende filer:  • Eedb*.log (hvis registreringsdatabasenøglen ikke er angivet).
  • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 og Windows Server 2008 R2).
  • Edb*.jrs (Windows Server 2008 og Windows Server 2008 R2).
  Bemærk! Indstillinger for udeladelse af bestemte filer beskrives her af hensyn til fuldstændigheden. Som standard gives der kun system- og administratoradgang til disse mapper. Kontrollér, at de korrekte sikkerhedsforanstaltninger er installeret. Disse mapper indeholder kun komponentarbejdsfiler til FRS og DFSR.

 • Deaktiver scanning af den midlertidige fil som angivet i følgende registreringsdatabasenøgle.


  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  Som standard bruger midlertidig placeringer følgende placering:
  %systemroot%\Sysvol\Staging areas
  Udelad følgende filer:

  • Nntfrs_cmp*.*
 • Deaktiver scanning af filer i mappen Sysvol\Sysvol.

  Den aktuelle placering af mappen Sysvol\Sysvol og alle dens undermapper er filsystemets genfortolkningsmål for replikasættets rod. Mappen Sysvol\Sysvol bruger følgende placering:
  %systemroot%\Sysvol\Sysvol
  Udelad følgende filer fra denne mappe og alle dens undermapper:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • *.aas
  • *.inf
  • Fdeploy.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini
 • Deaktiver scanning af filer i FRS-forudinstallationsmappen, der findes på følgende placering:
  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  Forudinstallationsmappen er altid åben, når FRS kører.  Udelad følgende filer fra denne mappe og alle dens undermapper:

  • Ntfrs*.*
 • Deaktiver scanning af filer i DFSR-databasen og arbejdsmapper. Placeringen er angivet i følgende registreringsdatabasenøgle:

  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
  I denne registreringsdatabasenøgle er "Path" stien til en XML-fil, der angiver navnet på replikeringsgruppen. I dette eksempel vil stien indeholde "Domain System Volume."

  Standardplaceringen er følgende skjulte mappe:

  %systemdrive%\System Volume Information\DFSR
  Udelad følgende filer fra denne mappe og alle dens undermapper:

  • $db_normal$
  • FileIDTable_2
  • SimilarityTable_2
  • *.xml
  • $db_dirty$
  • Dfsr.db
  • Fsr.chk
  • *.frx
  • *.log
  • Fsr*.jrs
  • Tmp.edb
  Hvis nogen af disse mapper eller filer er flyttet eller findes på en anden placering, skal du scanne eller udelade det tilsvarende element.

Deaktivering af scanning af DFS-filer

De ressourcer, der er udeladt for et SYSVOL-replikasæt, skal også være udeladt, når FRS eller DFSR bruges til at replikere shares, som er tilknyttet DFS-roden og linkdestinationer på Windows Server 2008 R2-baserede, Windows Server 2008-baserede, Windows Server 2003-baserede eller Windows 2000-baserede medlemscomputere eller domænecontrollere.


Deaktivering af scanning af DHCP-filer

DHCP-filer, der skal udelades, findes som standard i følgende mappe på serveren:

%systemroot%\System32\DHCP
Udelad følgende filer fra denne mappe og alle dens undermapper:


 • *.mdb
 • *.pat
 • *.log
 • *.chk
 • *.edb

Placeringen af DHCP-filer kan ændres. Hvis du vil fastlægge den aktuelle placering af DHCP-filerne på serveren, skal du kontrollere parametrene DatabasePath, DhcpLogFilePath og BackupDatabasePath, der er angivet i følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Til Windows Server 2008-, Windows Server 2003- og Windows 2000-domænecontrollere

Deaktivering af scanning af DNS-filer

Som standard bruger DNS følgende mappe:

%systemroot%\System32\Dns

Udelad følgende filer fra denne mappe og alle dens undermapper:

 • *.log
 • *.dns
 • BOOT

Deaktivering af scanning af WINS-filer

Som standard bruger WINS følgende mappe:

%systemroot%\System32\Wins
Udelad følgende filer fra denne mappe og alle dens undermapper:
 • *.chk
 • *.log
 • *.mdb