Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Recomendaciones para la detección de virus en equipos de empresa que ejecutan actualmente versiones compatibles de Windows

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Aviso

Información para usuarios particulares

Para obtener más información acerca de la detección de virus con recomendaciones para los consumidores, visite la siguiente página web de Microsoft:
INTRODUCCIÓN
Este artículo contiene recomendaciones que pueden ayudar a un administrador a determinar el origen de posibles inestabilidades en equipos que ejecutan una versión compatible de Microsoft Windows cuando se usa en combinación con software antivirus en un entorno de dominios de Active Directory o en un entorno empresarial administrado.

Nota: se recomienda que aplique temporalmente estos procedimientos para evaluar el sistema. Si las recomendaciones realizadas en este artículo han servido para mejorar el rendimiento o la estabilidad de su sistema, póngase en contacto con su proveedor de software antivirus para obtener instrucciones o para solicitar una versión actualizada del software antivirus.

ImportanteEste artículo contiene información que muestra cómo reducir la configuración de seguridad o cómo desactivar temporalmente las características de seguridad en un equipo. Puede realizar estos cambios para comprender la naturaleza de un problema específico. Pero antes de realizarlos, recomendamos que evalúe los riesgos asociados a esta solución temporal en su entorno concreto. Si decide implementar esta solución temporal, tome las medidas adicionales oportunas para ayudar a proteger el equipo.
Más información

Para equipos que ejecutan Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows XP, Windows Vista, Windows 7 o Windows 8, Windows 8.1

AdvertenciaEsta solución alternativa puede hacer que un equipo o una red sean más vulnerables a los ataques de usuarios malintencionados o de software malintencionado, como los virus. No recomendamos esta solución, pero proporcionamos la información para que pueda decidir por sí mismo si la implementa. Utilice esta solución temporal bajo su responsabilidad.

Notas
  • Somos conscientes del riesgo que supone la exclusión de los archivos o las carpetas específicos que se mencionan en este artículo de los análisis que realiza su software antivirus. Su sistema estará más seguro si no excluye ningún archivo o carpeta de los análisis.
  • Cuando analice estos archivos, se pueden producir problemas de estabilidad y rendimiento del sistema operativo debido al bloqueo de archivos.
  • No excluya ninguno de estos archivos basándose en la extensión del nombre de archivo. Por ejemplo, no excluya todos los archivos que tengan la extensión .dit. Microsoft no tiene control sobre otros archivos que puedan utilizar las mismas extensiones que los archivos que se describen en este artículo.
  • En este artículo se proporciona los nombres de archivos y carpetas que se pueden excluir. Todos los archivos y carpetas que se describen en este artículo están protegidos con permisos predeterminados para permitir acceso únicamente del sistema y del administrador, y sólo contienen componentes del sistema operativo. Si bien la exclusión de una carpeta entera puede ser lo más sencillo, es posible que no suponga tanta protección como el hecho de excluir archivos específicos en función de su nombre.

 

Desactivar el análisis de archivos relacionados con Windows Update o con actualizaciones automáticas

  • Desactivar el análisis del archivo de base de datos de Windows Update o de actualizaciones automáticas (DataStore.edb). Este archivo se encuentra en la siguiente carpeta:
    %windir%\SoftwareDistribution\Datastore
  • Desactivar el examen de los archivos de registro que se encuentran en la carpeta siguiente:
    %windir%\SoftwareDistribution\Datastore\Logs
    En concreto, excluya los archivos siguientes:
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • El carácter comodín (*) indica que puede haber varios archivos.

Desactivar el análisis de los archivos de seguridad de Windows

  • Agregue los siguientes archivos en la ruta de acceso %windir%\Security\Database de la lista de exclusiones:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Nota: si estos archivos no se excluyen, el software antivirus podría impedir el acceso adecuado a éstos y las bases de datos de seguridad podrían resultar dañadas. El análisis de estos archivos podría impedir que se utilizaran o que se les aplicara una directiva de seguridad. Estos archivos no se deben analizar porque el software antivirus podría no tratarlos correctamente como archivos de base de datos propietarios.

Desactivar el análisis de archivos relacionados con la directiva de grupo

  • Información de registro de usuario de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:
    %allusersprofile%\
    En concreto, excluya el archivo siguiente:
    NTUser.pol
  • Archivos de configuración de cliente de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:
    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\
    En concreto, excluya el archivo siguiente:
    Registry.pol
Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
951059 En un equipo con Windows Server 2003, la configuración de directivas basadas en el Registro se elimina de forma inesperada cuando un usuario inicia la sesión en el equipo
930597 Parte de la configuración de directivas basadas en el Registro se pierde y se registran mensajes de error en el registro de aplicación en equipos con Windows XP o Windows Vista

Para controladores de dominio de Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 y Windows Server 2003

Puesto que los controladores de dominio proporcionan un importante servicio a los clientes, se debe reducir al mínimo el riesgo de interrupción de sus actividades como resultado de la acción de código malintencionado, malware o virus. El software antivirus es la forma aceptada en general para mitigar el riesgo de infección. Instale y configure software antivirus para reducir en la medida de lo posible el riesgo para el controlador de dominio y para que el rendimiento se vea lo menos afectado posible. La lista siguiente contiene recomendaciones para ayudarle a configurar e instalar software antivirus en un controlador de dominio de Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003.

AdvertenciaSe recomienda aplicar la siguiente configuración especificada en un sistema de prueba con el fin de asegurarse de que en su entorno concreto no introduce ningún factor inesperado ni pone en peligro la estabilidad del sistema. El riesgo de análisis excesivos es que los archivos se marcan incorrectamente como modificados. Como consecuencia, se producen demasiadas replicaciones en Active Directory. Si la prueba certifica que la replicación no se ve afectada por las recomendaciones siguientes, puede aplicar el software antivirus al entorno de producción.

Nota Las recomendaciones específicas de los proveedores de software antivirus pueden reemplazar las recomendaciones de este artículo.
  • El software antivirus debe instalarse en todos los controladores de dominio de la empresa. Idealmente, procure instalar ese software en todos los demás sistemas servidor y cliente que tengan que interactuar con los controladores de dominio. Lo mejor es interceptar el malware lo antes posible, como en el firewall o en el sistema cliente donde se introdujo por primera vez. Esto impide que el malware alcance los sistemas de la infraestructura de los que dependen los clientes.
  • Utilice una versión del software antivirus diseñada para funcionar en controladores de dominio de Active Directory y que utilice las Interfaces de programación de aplicaciones (API) correctas para tener acceso a los archivos del servidor. Las versiones anteriores de software de la mayoría de los proveedores cambian incorrectamente los metadatos de un archivo a medida que éste se analiza. Esto hace que el motor del Servicio de replicación de archivos reconozca un archivo modificado y que, por lo tanto, programe su replicación. Las versiones más recientes no producen este problema.Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    815263Programas antivirus, de copia de seguridad y de optimización de discos que son compatibles con el Servicio de replicación de archivos
  • No utilice un controlador de dominio para explorar Internet ni para realizar otras actividades que puedan introducir código malintencionado.
  • Se recomienda minimizar las cargas de trabajo en los controladores de dominio. Cuando sea posible, evite el uso de controladores de dominio como servidores de archivos. De esta forma, se reduce la actividad de detección de virus en recursos compartidos de archivos y la sobrecarga de rendimiento.
  • No ponga archivos de base de datos y de registro de Active Directory o de FRS en volúmenes comprimidos del sistema de archivos NTFS.
    Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    318116Problemas con bases de datos Jet en unidades comprimidas

Desactivar el análisis de Active Directory y de archivos relacionados con Active Directory

  • Excluya los archivos de base de datos principal de NTDS. La ubicación de estos archivos se especifica en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:
    Ntds.dit
    Ntds.pat
  • Excluya los archivos de registro de transacciones de Active Directory. La ubicación de estos archivos se especifica en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    La ubicación predeterminada es %windir%\Ntds.En concreto, excluya los archivos siguientes:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    Nota: Windows Server 2003 ya no utiliza el archivo Ntds.pat.
  • Excluya los archivos de la carpeta de trabajo de NTDS que se especifica en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    En concreto, excluya los archivos siguientes:
    • Temp.edb
    • Edb.chk

Desactivar el análisis de archivos SYSVOL

  • Desactive el análisis de los archivos de la carpeta de trabajo del Servicio de replicación de archivos (FRS) que se especifica en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    La ubicación predeterminada es %windir%\Ntfrs. Excluya los siguientes archivos que existen en la carpeta:
    • edb.chk en la carpeta %windir%\Ntfrs\jet\sys
    • Ntfrs.jdb en la carpeta %windir%\Ntfrs\jet
    • *.log en la carpeta %windir%\Ntfrs\jet\log
  • Desactive el análisis de los archivos de registro de la base de datos FRS que se especifican en la clave del Registro siguiente:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    La ubicación predeterminada es %windir%\Ntfrs. Excluya los archivos siguientes:
    • Edb*.log (si no está establecida la clave del Registro).
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 y Windows Server 2008 R2).
    NotaPor motivos de integridad, aquí se documenta la configuración de exclusiones de archivos específicos. De forma predeterminada, estas carpetas sólo permiten el acceso a los administradores y el sistema. Compruebe que dispone de las protecciones correctas. Estas carpetas sólo contienen archivos de trabajo de componentes para FRS y DFSR.
  • Desactive el examen de la carpeta de almacenamiento provisional tal y como se especifica en la clave del Registro siguiente.
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    De forma predeterminada, para el almacenamiento provisional se usa la ubicación siguiente:
    %systemroot%\Sysvol\áreas de almacenamiento provisional
    Excluya los siguientes archivos:
    • Nntfrs_cmp*.*
  • Desactive el análisis de archivos de la carpeta Sysvol\Sysvol.

    La ubicación actual de la carpeta Sysvol\Sysvol y todas sus subcarpetas es el destino de reanálisis del sistema de archivos de la raíz del conjunto de réplicas. La carpeta Sysvol\Sysvol utiliza la siguiente ubicación:
    %systemroot%\Sysvol\Dominio
    Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Desactive el análisis de archivos de la carpeta Preinstall de FRS que se encuentra en la ubicación siguiente:
    raízDeRéplica\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    La carpeta Preinstall siempre está abierta cuando FRS está en ejecución.

    Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
    • Ntfrs*.*
  • Desactive el análisis de archivos de las carpetas de base de datos y de trabajo de DFSR. La ubicación se especifica mediante la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    En esta clave del Registro, "Path" es la ruta de acceso de un archivo XML que indica el nombre del grupo de replicación. En este ejemplo, la ruta de acceso contendría "Domain System Volume".

    La ubicación predeterminada es la siguiente carpeta oculta:
    %systemdrive%\System Volume Information\DFSR
    Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    Si cualquiera de estas carpetas o archivos se han movido o están en otra ubicación diferente, analice o excluya el elemento equivalente.

Desactivar el análisis de archivos DFS

Los mismos recursos que se excluyen para un conjunto de réplicas SYSVOL deben excluirse también cuando se utiliza FRS o DFSR para replicar recursos compartidos asignados a los destinos raíz y de vínculo de DFS en equipos miembro o controladores de dominio basados en Windows Server 2008 R2, Windows Server 2008 y Windows Server 2003.

Desactivar el análisis de archivos DHCP

De manera predeterminada, los archivos DHCP que se deben excluir se encuentran en la siguiente carpeta en el servidor:
%systemroot%\System32\DHCP
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Se puede cambiar la ubicación de los archivos DHCP. Para determinar la ubicación actual de los archivos DHCP en el servidor, compruebe los parámetros DatabasePath, DhcpLogFilePath y BackupDatabasePath que se especifican en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Desactivar el análisis de archivos DNS

De forma predeterminada, DNS utiliza la siguiente carpeta:
%systemroot%\System32\Dns
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.log
  • *.dns
  • BOOT

Desactivar el análisis de archivos WINS

De forma predeterminada, WINS utiliza la siguiente carpeta:
%systemroot%\System32\Wins
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.chk
  • *.log
  • *.mdb

Para equipos que ejecutan versiones de Windows basadas en Hyper-V

En algunos casos, en un equipo basado en Windows Server 2008 que tenga el rol Hyper-V instalado o en un equipo basado en Microsoft Hyper-V Server 2008 o en Microsoft Hyper-V Server 2008 R2, puede ser necesario configurar el componente de examen en tiempo real del software antivirus para excluir carpetas y archivos completos. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
961804 Faltan máquinas virtuales en la consola del Administrador de Hyper-V, o cuando crea o inicia una máquina virtual, recibe uno de los siguientes códigos de error: "0x800704C8", "0x80070037" o "0x800703E3"
virus scan dc
Propiedades

Id. de artículo: 822158 - Última revisión: 04/15/2015 16:35:00 - Revisión: 4.0

  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows RT 8.1
  • Windows 8.1
  • Windows 8.1 Enterprise
  • Windows 8.1 Pro
  • Windows RT
  • Windows 8
  • Windows 8 Enterprise
  • Windows 8 Pro
  • Windows 7 Service Pack 1
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 Service Pack 2
  • Windows Vista Service Pack 2
  • Microsoft Windows Server 2003 Service Pack 2
  • Service Pack 3 para Microsoft Windows XP
  • kbinfo kbprb kbexpertiseinter kbsecurity KB822158
Comentarios
1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("