Empfehlungen zum Virenscan auf Unternehmenscomputern, auf denen unterstützte Windows-Versionen ausgeführt werden

Gilt für: Windows

Gilt für:


Windows Server 2012, alle Editionen
Windows Server 2012 R2, alle Editionen
Windows Server 2016, alle Editionen
Windows Server 2019, alle Editionen
Windows 7, alle Editionen
Windows 8.1, alle Editionen
Windows 10, alle Editionen

Einführung


Dieser Artikel enthält Empfehlungen, die einem Administrator helfen können, die Ursache möglicher Instabilitäten auf einem Computer zu ermitteln, auf dem eine unterstützte Version von Microsoft Windows ausgeführt wird, wenn dieser zusammen mit einer Antivirensoftware in einer Active Directory-Domänenumgebung oder in einer verwalteten Unternehmensumgebung verwendet wird.

Hinweis Wir empfehlen, diese Einstellungen vorübergehend anzuwenden, um das Verhalten des Systems zu überprüfen. Wenn die Systemleistung oder -stabilität sich durch die in diesem Artikel beschriebenen Empfehlungen verbessert, wenden Sie sich an den Hersteller Ihrer Antivirensoftware, um Anweisungen oder eine aktualisierte Version der Antivirensoftware zu erhalten.

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfeatures auf einem Computer vorübergehend deaktivieren. Anhand dieser Änderungen können Sie ermitteln, welcher Art ein bestimmtes Problem ist. Wir raten Ihnen jedoch, zunächst die Risiken dieser Problemumgehung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diese Problemumgehung einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihren Computer zu schützen.

Weitere Informationen


Für Computer unter Windows 7 und neueren Windows-Versionen

Warnung Durch diese Problemumgehung wird ein Computer oder ein Netzwerk möglicherweise anfälliger für Angriffe durch böswillige Benutzer oder Schadsoftware wie etwa Viren. Diese Problemumgehung wird nicht von Microsoft empfohlen, wird jedoch hier aufgeführt, damit Sie diese Option nach eigenem Ermessen anwenden können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

Hinweis Windows Defender führt ab Windows Server 2016 (und Windows 10) automatisch eine Virenprüfung durch. Weitere Informationen finden Sie unter Konfigurieren von Windows Defender-Antivirus-Ausschlüssen unter Windows Server.

Hinweise

  • Uns ist das Risiko bewusst, das dadurch entsteht, dass die in diesem Artikel genannten Dateien oder Ordner von den Scans Ihrer Antivirensoftware ausgeschlossen werden. Ihr System ist sicherer, wenn Sie keine Dateien oder Ordner von Virenscans ausschließen. 
  • Beim Scannen dieser Dateien können aufgrund von Dateisperren Probleme mit der Leistung und Zuverlässigkeit des Betriebssystems auftreten.
  • Schließen Sie die Dateien nicht basierend auf den Dateinamenerweiterungen aus. Schließen Sie beispielsweise nicht alle Dateien mit der Erweiterung DIT aus. Microsoft hat keine Kontrolle darüber, ob andere Dateien die gleiche Dateinamenerweiterung wie die in diesem Artikel genannten Dateien verwenden.
  • Der Artikel nennt sowohl Dateinamen als auch Ordner, die Sie ausschließen können. Alle in diesem Artikel beschriebenen Dateien und Ordner sind durch Standardberechtigungen geschützt, gewähren den Zugriff nur für SYSTEM und Administratoren und enthalten ausschließlich Betriebssystemkomponenten. Das Ausschließen eines kompletten Ordners ist möglicherweise einfacher, bietet aber weniger Schutz als das Ausschließen bestimmter Dateien anhand ihrer Dateinamen.

Deaktivieren des Scannens von Dateien, die zu Windows Update oder automatischen Updates gehören

  • Deaktivieren Sie das Scannen der Datenbankdatei von Windows Update oder automatischen Updates („Datastore.edb“). Diese Datei befindet sich im folgenden Ordner:
    %windir%\SoftwareDistribution\Datastore
  • Deaktivieren Sie das Scannen der Protokolldateien im folgenden Ordner:
    %windir%\SoftwareDistribution\Datastore\Logs
    Schließen Sie insbesondere die folgenden Dateien aus:
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • Das Platzhalterzeichen (*) gibt an, dass es mehrere entsprechende Dateien geben kann.

Deaktivieren Sie das Scannen von Windows-Sicherheitsdateien

  • Fügen Sie die folgenden Dateien zum Pfad „%windir%\Security\Database“ der Ausschlussliste hinzu:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    • *.xml
    • *.csv
    • *.cmtx
    Hinweis Wenn diese Dateien nicht ausgeschlossen werden, kann Antivirensoftware den ordnungsgemäßen Zugriff auf diese Dateien verhindern, und Sicherheitsdatenbanken können beschädigt werden. Das Scannen dieser Dateien kann das Verwenden der Dateien oder das Anwenden einer Sicherheitsrichtlinie auf die Dateien verhindern. Diese Dateien sollten nicht gescannt werden, weil Antivirensoftware sie möglicherweise nicht ordnungsgemäß als proprietäre Datenbankdateien behandelt.

    Dies sind die empfohlenen Ausschlüsse. Es gibt möglicherweise noch andere Dateitypen, die nicht in diesem Artikel erwähnt sind und ausgeschlossen werden sollten.

Deaktivieren des Scannens von Dateien, die zu Gruppenrichtlinien gehören

  • Gruppenrichtlinien-Registrierungsinformationen für Benutzer. Diese Dateien sind in folgendem Ordner gespeichert:
    %allusersprofile%\
    Schließen Sie insbesondere die folgende Datei aus:
    NTUser.pol
  • Gruppenrichtlinien-Clienteinstellungsdateien Diese Dateien sind in folgendem Ordner gespeichert:
    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\
    Schließen Sie insbesondere die folgenden Dateien aus:
    Registry.pol
    Registry.tmp

Scannen von Benutzerprofildateien deaktivieren

  • Benutzerregistrierungsinformationen und Hilfsdateien. Die Dateien befinden sich in folgendem Ordner:
    userprofile%\
    Schließen Sie insbesondere die folgenden Dateien aus:
    NTUser.dat*

Ausführen von Antivirensoftware auf Domänencontrollern

Da die Domänencontroller den Clients wichtige Dienste bereitstellen, muss das Risiko einer Unterbrechung dieser Aktivitäten aufgrund von bösartigem Code, Schadsoftware oder Viren auf ein Minimum begrenzt werden. Antivirensoftware ist die allgemein übliche Möglichkeit, das Risiko einer Infektion zu reduzieren. Installieren und konfigurieren Sie Antivirenprogramme so, dass das Risiko für den Domänencontroller so weit wie möglich reduziert wird und die Auswirkungen auf die Leistung möglichst minimal sind. Die folgende Liste enthält Empfehlungen, die bei der Konfiguration und Installation von Antivirensoftware auf einem Domänencontroller mit Windows Server hilfreich sind.

Warnung Wir empfehlen, die nachstehend beschriebene Konfiguration zunächst auf ein Testsystem anzuwenden, um sicherzustellen, dass sie keine unerwarteten Faktoren in Ihre spezifische Umgebung einführt oder die Systemstabilität beeinträchtigt. Das Risiko, das durch eine zu große Anzahl von Scanvorgängen besteht, liegt darin, dass Dateien fälschlicherweise als geändert gekennzeichnet werden, wodurch es zu einem zu hohen Replikationsverkehr in Active Directory kommt. Wenn der Test ergibt, dass die Replikation durch die folgenden Empfehlungen nicht beeinträchtigt wird, können Sie die Antivirensoftware in der Produktionsumgebung einsetzen.


Hinweis Spezifische Empfehlungen der Hersteller von Antivirensoftware können gegenüber den Empfehlungen in diesem Artikel vorrangige Geltung haben.
  • Antivirensoftware muss auf allen Domänencontrollern in der Organisation installiert werden. Idealerweise sollten Sie versuchen, derartige Software auch auf allen anderen Server- und Clientsystemen zu installieren, die mit den Domänencontrollern kommunizieren müssen. Im Idealfallfall wird die Schadsoftware am frühestmöglichen Punkt abgefangen, zum Beispiel an der Firewall oder auf dem Clientsystem, das als erstes infiziert wird. Dadurch wird verhindert, dass die Schadsoftware jemals die Infrastruktursysteme erreicht, von denen die Clients abhängig sind.
  • Verwenden Sie eine Version eines Antivirenprogramms, die darauf ausgelegt ist, in Verbindung mit Active Directory-Domänencontrollern ausgeführt zu werden und die für den Zugriff auf Dateien auf dem Server die richtigen APIs verwendet. Ältere Versionen der Software der meisten Anbieter ändern die Metadaten einer Datei unsachgemäß, während die Datei gescannt wird. Dies bewirkt, dass das Dateireplikationsdienst-Modul eine Dateiänderung erkennt und daher die Datei für die Replikation einplant. Bei neueren Versionen tritt dieses Problem nicht auf.
    Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    815263 Antiviren-, Sicherungs- und Datenträgeroptimierungsprogramme, die mit dem Dateireplikationsdienst kompatibel sind
  • Verwenden Sie einen Domänencontroller nicht dazu, im Internet zu surfen oder andere Aktivitäten durchzuführen, durch die Schadsoftware in Ihre Systeme eindringen könnte.
  • Es empfiehlt sich, die Verarbeitungslasten auf Domänencontrollern zu minimieren. Vermeiden Sie, wenn möglich, die Verwendung von Domänencontrollern in einer Dateiserverrolle. Das verringert die Virusscanaktivitäten auf Dateifreigaben und minimiert die Beeinträchtigung der Systemleistung.
  • Speichern Sie keine Active Directory-Dateien oder FRS-Datenbank- und -Protokolldateien auf mit dem NTFS-Dateisystem komprimierten Volumes.

Deaktivieren des Scannens von Active Directory-Dateien und Dateien mit Bezug zu Active Directory

  • Schließen Sie die Dateien aus der NTDS-Hauptdatenbank aus. Der Speicherort dieser Dateien ist in folgendem Registrierungsunterschlüssel festgelegt:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Der Standardspeicherort ist „%windir%\Ntds“. Schließen Sie insbesondere die folgenden Dateien aus:
    Ntds.dit
    Ntds.pat
  • Schließen Sie Active Directory-Transaktionsprotokolldateien aus. Der Speicherort dieser Dateien ist in folgendem Registrierungsunterschlüssel festgelegt:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
     
    Der Standardspeicherort ist „%windir%\Ntds“. Schließen Sie insbesondere die folgenden Dateien aus:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
  • Schließen Sie die Dateien im NTDS-Arbeitsordner aus, der in folgendem Registrierungsunterschlüssel angegeben ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Schließen Sie insbesondere die folgenden Dateien aus:
    • Temp.edb
    • Edb.chk

Deaktivieren des Scannens von SYSVOL-Dateien

  • Deaktivieren Sie das Scannen von Dateien im Arbeitsordner des Dateireplikationsdiensts (File Replication Service, FRS), der in folgendem Registrierungsunterschlüssel angegeben ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Der Standardspeicherort ist „%windir%\Ntfrs“. Schließen Sie die folgenden im Ordner enthaltenen Dateien aus:
    • „edb.chk“ im Ordner %windir%\Ntfrs\jet\sys
    • „ntfrs.jdb“ im Ordner %windir%\Ntfrs\jet
    • „*.log“ im Ordner %windir%\Ntfrs\jet\log
  • Deaktivieren Sie das Scannen von Dateien in den FRS-Datenbankprotokolldateien, die in folgendem Registrierungsunterschlüssel angegeben sind:
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Der Standardspeicherort ist „%windir%\Ntfrs“. Schließen Sie die folgenden Dateien aus.

    Hinweis Die Einstellungen für spezielle Dateiausschlüsse werden hier der Vollständigkeit halber aufgeführt. Standardmäßig lassen diese Ordner lediglich den Zugriff durch SYSTEM und Administratoren zu. Stellen Sie sicher, dass die richtigen Schutzmaßnahmen ergriffen wurden. Diese Ordner enthalten nur Komponentenarbeitsdateien für FRS und DFSR.
    • „Edb*.log“ (wenn der Registrierungsschlüssel nicht festgelegt ist)
    • „FRS Working Dir\Jet\Log\Edb*.jrs“
  • Deaktivieren Sie das Scannen des NTFRS-Stagingordners, wie im folgenden Registrierungsunterschlüssel angegeben:
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
    Für das Staging wird standardmäßig folgender Speicherort verwendet:
    %systemroot%\Sysvol\Staging areas
  • Deaktivieren Sie das Scannen des DFSR-Stagingordners, wie im msDFSR-StagingPath-Attribut des Objekts CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName in AD DS angegeben. Dieses Attribut enthält den Pfad zum tatsächlichen Speicherort, den die DFS-Replikation für das Staging von Dateien verwendet. Schließen Sie insbesondere die folgenden Dateien aus:
    • Ntfrs_cmp*.*
    • *.frx
  • Deaktivieren Sie das Scannen der Dateien im Ordner „SYSVOL_DFSR\Sysvol“.

    Der aktuelle Speicherort des Ordners „Sysvol\Sysvol“ oder „SYSVOL_DFSR\Sysvol“ und aller seiner Unterordner ist das Dateisystem-Analyseziel des Replikatgruppen-Stammordners. Dies sind die Standardspeicherorte der Ordner „Sysvol\Sysvol“ und „SYSVOL_DFSR\Sysvol“:
    %systemroot%\Sysvol\Domain
    %systemroot%\Sysvol_DFSR\Domain
    Der Pfad zum aktuell aktiven SYSVOL wird durch die NETLOGON-Freigabe angegeben und kann anhand des Namens des SysVol-Werts im folgenden Registrierungsunterschlüssel bestimmt werden:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
  • Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • Registry.tmp
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Deaktivieren Sie das Scannen von Dateien im FRS-Vorinstallationsordner am folgenden Speicherort:
    Replikatgruppen-Stammordner\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Der Vorinstallationsordner ist immer geöffnet, wenn der Dateireplikationsdienst ausgeführt wird.

    Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:
    • Ntfrs*.*
  • Deaktivieren Sie das Scannen der Dateien in den DFSR-Datenbank- und -Arbeitsordnern. Der Speicherort wird durch den folgenden Registrierungsunterschlüssel festgelegt:
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path
    In diesem Registrierungsunterschlüssel ist „Path“ der Pfad einer XML-Datei, die den Namen der Replikationsgruppe angibt. Im vorliegenden Beispiel würde der Pfad „Domain System Volume“ enthalten.

    Der Standardpfad ist der folgende verborgene Ordner:
    %systemdrive%\System Volume Information\DFSR
    Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:

    Falls einzelne dieser Ordner oder Dateien an einen anderen Speicherort verschoben wurden, scannen Sie die entsprechenden Elemente bzw. schließen Sie diese aus.
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb

Deaktivieren des Scannens von DFS-Dateien

Die gleichen Ressourcen, die für eine SYSVOL-Replikatgruppe ausgeschlossen werden, müssen auch dann ausgeschlossen werden, wenn FRS oder DFSR zum Replizieren von Freigaben verwendet wird, die dem DFS-Stammordner und den Verknüpfungszielen auf Mitgliedscomputern oder Domänencontrollern mit Windows Server 2008 R2 oder Windows Server 2008 zugeordnet sind. 

Deaktivieren des Scannens von DHCP-Dateien

Standardmäßig befinden sich DHCP-Dateien, die Sie ausschließen sollten, im folgenden Ordner auf dem Server:
%systemroot%\System32\DHCP
Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Der Speicherort von DHCP-Dateien kann geändert werden. Zum Bestimmen des aktuellen Speicherorts der DHCP-Dateien auf dem Server überprüfen Sie die Parameter DatabasePath, DhcpLogFilePath und BackupDatabasePath im folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Deaktivieren des Scannens von DNS-Dateien

DNS verwendet standardmäßig den folgenden Ordner:
%systemroot%\System32\Dns
Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:
  • *.log
  • *.dns
  • BOOT

Deaktivieren des Scannens von WINS-Dateien

WINS verwendet standardmäßig den folgenden Ordner:
%systemroot%\System32\Wins
 
Schließen Sie die folgenden Dateien aus diesem Ordner und all seinen Unterordnern aus:
  • *.chk
  • *.log
  • *.mdb

Computer, auf denen Hyper-V-basierte Versionen von Windows ausgeführt werden

In einigen Szenarien kann es auf einem Windows Server 2008-basierten Computer, auf dem die Hyper-V-Rolle installiert ist, oder auf einem Computer mit Microsoft Hyper-V Server 2008 oder Microsoft Hyper-V Server 2008 R2 erforderlich sein, die Echtzeit-Scankomponente in der Antivirensoftware zu konfigurieren, um Dateien und komplette Ordner auszuschließen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
961804 Virtuelle Maschinen fehlen oder es wird der Fehlercode 0x800704C8, 0x80070037 oder 0x800703E3 angezeigt, wenn Sie eine virtuelle Maschine starten oder erstellen