Συστάσεις σάρωσης ιών για εταιρικούς υπολογιστές που εκτελούν Windows ή Windows Server (KB822158)

Απενεργοποίηση σάρωσης αρχείων Windows Update ή Αυτόματης ενημέρωσης

• Απενεργοποιήστε τη σάρωση του αρχείου βάσης δεδομένων Windows Update ή Αυτόματης ενημέρωσης (Datastore.edb). Αυτό το αρχείο βρίσκεται στον ακόλουθο φάκελο:

       %windir%\SoftwareDistribution\Datastore

• Απενεργοποιήστε τη σάρωση των αρχείων καταγραφής που βρίσκονται στον ακόλουθο φάκελο:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Συγκεκριμένα, εξαιρέστε τα ακόλουθα αρχεία:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Ο χαρακτήρας μπαλαντέρ (*) υποδεικνύει ότι μπορεί να υπάρχουν πολλά αρχεία.

Απενεργοποίηση σάρωσης των αρχείων Ασφάλεια των Windows

• Προσθέστε τα ακόλουθα αρχεία στη διαδρομή %windir%\Security\Database της λίστας εξαιρέσεων:

  • *.edb

  • *.sdb

  • *.κούτσουρο

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Σημείωση Εάν αυτά τα αρχεία δεν εξαιρούνται, το λογισμικό προστασίας από ιούς ενδέχεται να αποτρέψει την κατάλληλη πρόσβαση σε αυτά τα αρχεία και οι βάσεις δεδομένων ασφαλείας μπορεί να καταστραφούν. Η σάρωση αυτών των αρχείων μπορεί να αποτρέψει τη χρήση των αρχείων ή μπορεί να αποτρέψει την εφαρμογή μιας πολιτικής ασφαλείας στα αρχεία. Αυτά τα αρχεία δεν πρέπει να σαρώνονται, επειδή το λογισμικό προστασίας από ιούς ενδέχεται να μην τα αντιμετωπίζει σωστά ως αρχεία βάσης δεδομένων που αποτελούν ιδιοκτησία.
  
  Αυτές είναι οι προτεινόμενες εξαιρέσεις. Ενδέχεται να υπάρχουν και άλλοι τύποι αρχείων που δεν περιλαμβάνονται σε αυτό το άρθρο και πρέπει να εξαιρεθούν.

Απενεργοποίηση σάρωσης αρχείων που σχετίζονται με Πολιτική ομάδας

• Πολιτική ομάδας πληροφορίες μητρώου χρηστών. Αυτά τα αρχεία βρίσκονται στον ακόλουθο φάκελο:

       Υπολογιστής: %allusersprofile%\
       Χρήστες: %ProgramData%\Microsoft\GroupPolicy\Users\<Sid χρήστη>\
  
  Συγκεκριμένα, εξαιρέστε το ακόλουθο αρχείο:

       NTUser.pol

• Πολιτική ομάδας αρχεία ρυθμίσεων προγράμματος-πελάτη. Αυτά τα αρχεία βρίσκονται στον ακόλουθο φάκελο:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Συγκεκριμένα, εξαιρέστε τα ακόλουθα αρχεία:

       Registry.pol
       Registry.tmp

Απενεργοποίηση σάρωσης αρχείων προφίλ χρήστη

• Πληροφορίες μητρώου χρηστών και αρχεία υποστήριξης. Τα αρχεία βρίσκονται στον ακόλουθο φάκελο:
  
       %userprofile%\
  
  Συγκεκριμένα, εξαιρέστε τα ακόλουθα αρχεία:
  
       NTUser.dat*

Εκτέλεση λογισμικού προστασίας από ιούς σε ελεγκτές τομέα

Επειδή οι ελεγκτές τομέα παρέχουν μια σημαντική υπηρεσία στους πελάτες, ο κίνδυνος διακοπής των δραστηριοτήτων τους από κακόβουλο κώδικα, από λογισμικό κακόβουλης λειτουργίας ή από ιό πρέπει να ελαχιστοποιηθεί. Το λογισμικό προστασίας από ιούς είναι ο γενικά αποδεκτός τρόπος για να μειώσετε τον κίνδυνο μόλυνσης. Εγκαταστήστε και ρυθμίστε τις παραμέτρους του λογισμικού προστασίας από ιούς, έτσι ώστε ο κίνδυνος για τον ελεγκτή τομέα να μειώνεται όσο το δυνατόν περισσότερο και οι επιδόσεις να επηρεάζονται όσο το δυνατόν λιγότερο. Η παρακάτω λίστα περιέχει προτάσεις που θα σας βοηθήσουν να ρυθμίσετε τις παραμέτρους και να εγκαταστήσετε λογισμικό προστασίας από ιούς σε έναν ελεγκτή τομέα Windows Server.

Προειδοποίηση Συνιστάται να εφαρμόσετε την ακόλουθη καθορισμένη ρύθμιση παραμέτρων σε ένα δοκιμαστικό σύστημα, για να βεβαιωθείτε ότι, στο συγκεκριμένο περιβάλλον σας, αυτή η ρύθμιση παραμέτρων δεν θα εισαγάγει μη αναμενόμενους παράγοντες ή δεν θα θέσει σε κίνδυνο τη σταθερότητα του συστήματος. Ο κίνδυνος από την υπερβολική σάρωση είναι ότι τα αρχεία επισημαίνονται με ακατάλληλο τρόπο ως αλλαγμένα. Αυτό προκαλεί υπερβολική αναπαραγωγή στην υπηρεσία καταλόγου Active Directory. Εάν η δοκιμή επαληθεύσει ότι η αναπαραγωγή δεν επηρεάζεται από τις παρακάτω συστάσεις, μπορείτε να εφαρμόσετε το λογισμικό προστασίας από ιούς στο περιβάλλον παραγωγής.

Σημείωση Συγκεκριμένες συστάσεις από προμηθευτές λογισμικού προστασίας από ιούς ενδέχεται να υπερισώσουν των προτάσεων σε αυτό το άρθρο.

• Το λογισμικό προστασίας από ιούς πρέπει να εγκατασταθεί σε όλους τους ελεγκτές τομέα στην επιχείρηση. Ιδανικά, δοκιμάστε να εγκαταστήσετε αυτό το λογισμικό σε όλα τα άλλα συστήματα διακομιστών και πελατών που πρέπει να αλληλεπιδρούν με τους ελεγκτές τομέα. Είναι βέλτιστη η σύλληψη του λογισμικού κακόβουλης λειτουργίας στο συντομότερο σημείο, όπως στο τείχος προστασίας ή στο σύστημα προγράμματος-πελάτη όπου εισάγεται το λογισμικό κακόβουλης λειτουργίας. Αυτό αποτρέπει την πρόσβαση του λογισμικού κακόβουλης λειτουργίας στα συστήματα υποδομής από τα οποία εξαρτώνται οι πελάτες.

• Χρησιμοποιήστε μια έκδοση του λογισμικού προστασίας από ιούς που έχει σχεδιαστεί για λειτουργία με ελεγκτές τομέα της υπηρεσίας καταλόγου Active Directory και χρησιμοποιεί τα σωστά περιβάλλοντα εργασίας προγραμματισμού εφαρμογών (API) για την πρόσβαση σε αρχεία στο διακομιστή. Οι παλαιότερες εκδόσεις του μεγαλύτερου μέρους του λογισμικού προμηθευτή αλλάζουν με ακατάλληλο τρόπο τα μετα-δεδομένα ενός αρχείου κατά τη σάρωση του αρχείου.

• Μην χρησιμοποιείτε ελεγκτή τομέα για να περιηγείστε στο Internet ή να εκτελείτε άλλες δραστηριότητες που ενδέχεται να εισαγάγουν κακόβουλο κώδικα.

• Συνιστάται να ελαχιστοποιήσετε τους φόρτους εργασίας σε ελεγκτές τομέα. Για παράδειγμα, όταν είναι δυνατό, αποφύγετε τη χρήση ελεγκτών τομέα σε ρόλο διακομιστή αρχείων. Αυτή η πρακτική μειώνει τη δραστηριότητα σάρωσης ιών στα κοινόχρηστα στοιχεία αρχείων και ελαχιστοποιεί τα γενικά έξοδα επιδόσεων.

• Μην τοποθετείτε τόμους συμπιεσμένων τόμων της υπηρεσίας καταλόγου Active Directory και των αρχείων καταγραφής στο σύστημα αρχείων NTFS.

Απενεργοποίηση σάρωσης αρχείων που σχετίζονται με την υπηρεσία καταλόγου Active Directory και την υπηρεσία καταλόγου Active Directory

• Εξαιρέστε τα κύρια αρχεία βάσης δεδομένων NTDS. Η θέση αυτών των αρχείων καθορίζεται στο ακόλουθο δευτερεύον κλειδί μητρώου:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Η προεπιλεγμένη θέση είναι %windir%\Ntds. Συγκεκριμένα, εξαιρέστε τα ακόλουθα αρχεία:

  • Ntds.dit

  • Ntds.pat

• Εξαιρέστε τα αρχεία καταγραφής συναλλαγών της υπηρεσίας καταλόγου Active Directory. Η θέση αυτών των αρχείων καθορίζεται στο ακόλουθο δευτερεύον κλειδί μητρώου:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Η προεπιλεγμένη θέση είναι %windir%\Ntds. Συγκεκριμένα, εξαιρέστε τα ακόλουθα αρχεία:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Εξαιρέστε τα αρχεία στον φάκελο NTDS Working που καθορίζεται στο ακόλουθο δευτερεύον κλειδί μητρώου:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Συγκεκριμένα, εξαιρέστε τα ακόλουθα αρχεία:

  • Temp.edb

  • Edb.chk

Απενεργοποίηση σάρωσης αρχείων SYSVOL

• Απενεργοποιήστε τη σάρωση αρχείων στον φάκελο Sysvol\Sysvol ή στον φάκελο SYSVOL_DFSR\Sysvol.
  
  Η τρέχουσα θέση του φακέλου Sysvol\Sysvol ή SYSVOL_DFSR\Sysvol και όλοι οι υποφάκελοι είναι ο προορισμός αποκατάστασης συστήματος αρχείων της ρίζας συνόλου ρεπλίκας. Οι φάκελοι Sysvol\Sysvol και SYSVOL_DFSR\Sysvol χρησιμοποιούν τις ακόλουθες θέσεις από προεπιλογή:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Η διαδρομή προς το τρέχον ενεργό SYSVOL αναφέρεται από το μερίδιο NETLOGON και μπορεί να καθοριστεί από το όνομα της τιμής SysVol στο ακόλουθο δευτερεύον κλειδί:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Εξαιρέστε τα ακόλουθα αρχεία από αυτόν το φάκελο και όλους τους υποφακέλους του:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• Απενεργοποιήστε τη σάρωση αρχείων στη βάση δεδομένων DFSR και στους φακέλους εργασίας. Η θέση καθορίζεται στο ακόλουθο δευτερεύον κλειδί μητρώου:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Σε αυτό το δευτερεύον κλειδί μητρώου, η "Διαδρομή" είναι η διαδρομή ενός αρχείου XML που περιέχει το όνομα της ομάδας αναπαραγωγής. Σε αυτό το παράδειγμα, η διαδρομή θα περιέχει τον όρο "Τόμος συστήματος τομέα".
  
  Η προεπιλεγμένη θέση είναι ο ακόλουθος κρυφός φάκελος:

       %systemdrive%\System Volume Information\DFSR
  
  Εξαιρέστε τα ακόλουθα αρχεία από αυτόν το φάκελο και όλους τους υποφακέλους του:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.κούτσουρο

  • Fsr*.jrs

  • Tmp.edb

  Σημείωση Εάν κάποιος από αυτούς τους φακέλους ή τα αρχεία μετακινηθεί ή τεθεί σε διαφορετική θέση, σαρώστε ή εξαιρέστε το αντίστοιχο στοιχείο.

Απενεργοποίηση σάρωσης αρχείων DFS

Οι ίδιοι πόροι που εξαιρούνται για ένα σύνολο ρεπλίκας SYSVOL πρέπει επίσης να εξαιρούνται εάν χρησιμοποιείται DFSR για την αναπαραγωγή κοινόχρηστων δεδομένων που έχουν αντιστοιχιστεί στη ρίζα DFS και τη σύνδεση στόχων σε υπολογιστές-μέλη Windows Server ή ελεγκτές τομέα.

Απενεργοποίηση σάρωσης αρχείων DHCP

Από προεπιλογή, τα αρχεία DHCP που πρέπει να εξαιρεθούν βρίσκονται στον ακόλουθο φάκελο στο διακομιστή:

     %systemroot%\System32\DHCP

Εξαιρέστε τα ακόλουθα αρχεία από αυτόν το φάκελο και όλους τους υποφακέλους του:

• *.mdb

• *.pat

• *.κούτσουρο

• *.chk

• *.edb

Η θέση των αρχείων DHCP μπορεί να αλλάξει. Για να προσδιορίσετε την τρέχουσα θέση των αρχείων DHCP στο διακομιστή, ελέγξτε τις παραμέτρους DatabasePath, DhcpLogFilePath και BackupDatabasePath που καθορίζονται στο ακόλουθο δευτερεύον κλειδί μητρώου:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Απενεργοποίηση σάρωσης αρχείων DNS

Από προεπιλογή, το DNS χρησιμοποιεί τον ακόλουθο φάκελο:

%systemroot%\System32\Dns Εξαιρείτε τα ακόλουθα αρχεία από αυτόν το φάκελο και όλους τους υποφακέλους του:

• *.κούτσουρο

• *.dns

• ΜΠΌΤΑ

Απενεργοποίηση σάρωσης αρχείων WINS

Από προεπιλογή, η συνάρτηση WINS χρησιμοποιεί τον παρακάτω φάκελο:

     %systemroot%\System32\Wins

Εξαιρέστε τα ακόλουθα αρχεία από αυτόν το φάκελο και όλους τους υποφακέλους του:

• *.chk

• *.κούτσουρο

• *.mdb

Για υπολογιστές που εκτελούν εκδόσεις των Windows που βασίζονται σε Hyper-V

Σε ορισμένα σενάρια, σε Windows Server υπολογιστές στους οποίους είναι εγκατεστημένος ο ρόλος Hyper-V, ίσως χρειαστεί να ρυθμίσετε τις παραμέτρους του στοιχείου σάρωσης σε πραγματικό χρόνο μέσα στο λογισμικό προστασίας από ιούς για να αποκλείσετε αρχεία και ολόκληρους φακέλους. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής βάσης:

• 961804Λείπουν εικονικές μηχανές ή παρουσιάζονται 0x800704C8 σφάλματος, 0x80070037 ή 0x800703E3 όταν προσπαθείτε να εκκινήσετε ή να δημιουργήσετε μια εικονική μηχανή

Επόμενα βήματα

Εάν οι επιδόσεις ή η σταθερότητα του συστήματος έχουν βελτιωθεί από τις συστάσεις που γίνονται σε αυτό το άρθρο, επικοινωνήστε με τον προμηθευτή του λογισμικού προστασίας από ιούς για οδηγίες ή για μια ενημερωμένη έκδοση ή ρυθμίσεις για το λογισμικό προστασίας από ιούς.

Σημείωση Ο τρίτος προμηθευτής του λογισμικού προστασίας από ιούς μπορεί να συνεργαστεί με την ομάδα υποστήριξης της Microsoft σε μια εμπορικά εύλογη προσπάθεια.

Ιστορικό αλλαγών

 Ο παρακάτω πίνακας συνοψίζει τις πιο σημαντικές αλλαγές σε αυτό το θέμα.