Applies ToWindows

Se aplica a: Windows Server 2022, todas las ediciones Windows Server 2019, todas las ediciones Windows Server 2016, todas las ediciones Windows Server 2012 R2, todas las ediciones Windows Server 2012, todas las ediciones Windows Server 2008 R2 SP1, todas las ediciones Windows 11, todas las ediciones Windows 10, todas las ediciones Windows 8.1, todas las ediciones Windows 7, todas las ediciones

Introducción

Este artículo contiene recomendaciones para ayudar a un administrador a determinar la causa de una posible inestabilidad en el siguiente escenario:

Síntomas

Su equipo basado en Windows o Windows Server experimenta los siguientes problemas:

  • Rendimiento del sistema

    • Uso elevado o incrementado de la CPU

      • Modo usuario

      • Modo kernel

    • Fugas de memoria del kernel

      • Bloque no paginado

      • Bloque paginado

      • Fuga de controladores

    • Lentitud

      • Copia de archivo cuando usa el Explorador de Windows

        • Copia de archivos cuando usa una aplicación de consola (por ejemplo, cmd.exe)

      • Operaciones de copia de seguridad

  • Estabilidad

    • Lentitud de la aplicación

      • Acceso a un recurso compartido de red o a una unidad asignada

      • Falta de respuesta temporal del Explorador de Windows

    • Error de la aplicación

      • Infracción de acceso

    • La aplicación deja de responder

      • Interbloqueos

        • Llamada a procedimiento remoto (RPC)

        • Canalizaciones con nombre

      • Condiciones de carrera

      • Fuga de memoria de bytes privados

      • Fuga de memoria de bytes virtuales

      • Fragmentación de memoria de bytes virtuales

  • Problemas de fiabilidad del sistema operativo

    • El sistema deja de responder (debe forzar un reinicio para recuperar)

      • Interbloqueos

      • Condiciones de carrera

      • Fugas de controladores

      • Fugas de bloque no paginado

      • Fugas de bloque paginado

  • Detener errores (también conocido como comprobaciones de errores)

Para más información, consulte los siguientes artículos:

Solución

Antes de añadir exclusiones de antivirus, siga estos pasos:

  1. Actualice las definiciones de su programa antivirus de terceros. Si el problema persiste, envíe un falso positivo (fp) al soporte del proveedor de antivirus externo.

  2. Verifique que no haya establecido una funcionalidad específica en un modo endurecido o agresivo que cause más de los siguientes síntomas:

    • Falsos positivos

    • Problemas de compatibilidad de las aplicaciones

    • Mayor uso de recursos (por ejemplo, uso elevado de CPU (modo de usuario o modo kernel) o uso de memoria alta (modo de usuario o modo kernel)

    • Ralentizaciones

    • Las aplicaciones dejan de responder

    • Errores de la aplicación 

    • Sistema que no responde

  3. Actualice la versión del programa antivirus de terceros. O bien, para realizar pruebas, vea Cómo desactivar temporalmente el controlador de filtro de modo kernel en Windows

  4. Trabaje con su proveedor de antivirus externo para solucionar más problemas. Es posible que tenga el siguiente tipo de datos avanzados disponibles para ayudar a reducir el problema:

Solución alternativa

Importante Este artículo contiene información que muestra cómo reducir la configuración de seguridad o cómo desactivar temporalmente las características de seguridad en un equipo. Puede realizar estos cambios para comprender la naturaleza de un problema específico. Pero antes de realizarlos, recomendamos que evalúe los riesgos asociados a esta solución temporal en su entorno concreto. Si decide implementar esta solución alternativa, tome las medidas adicionales oportunas para ayudar a proteger el equipo.

Advertencia

  • No recomendamos utilizar esta solución alternativa. Sin embargo, proporcionamos esta información para que pueda implementar esta solución alternativa a su propia discreción. Use esta solución alternativa bajo su responsabilidad.

  • Esta solución alternativa podría hacer que un equipo o una red sean más vulnerables a ataques por parte de usuarios malintencionados o de software malintencionado, como virus. 

  • Se recomienda aplicar temporalmente esta configuración para evaluar el comportamiento del sistema.

  • Somos conscientes del riesgo que supone la exclusión de los archivos o las carpetas específicas que se mencionan en este artículo de los análisis que realiza su software antivirus. Su sistema estará más seguro si no excluye ningún archivo o carpeta de los análisis.

  • Al examinar estos archivos, pueden producirse problemas de rendimiento y confiabilidad del sistema operativo debido al bloqueo de archivos.

  • No excluya ninguno de estos archivos basándose en la extensión del nombre de archivo. Por ejemplo, no excluya todos los archivos que tengan la extensión .dit. Microsoft no tiene control sobre otros archivos que puedan usar las mismas extensiones que los archivos que se describen en este artículo.

  • En este artículo se proporciona los nombres de archivos y carpetas que se pueden excluir. Todos los archivos y carpetas que se describen en este artículo están protegidos con permisos predeterminados para permitir acceso únicamente del sistema y del administrador, y sólo contienen componentes del sistema operativo. Si bien la exclusión de una carpeta entera puede ser lo más sencillo, es posible que no suponga tanta protección como el hecho de excluir archivos específicos en función de su nombre.

  • La adición de exclusiones de antivirus siempre debe ser el último recurso, para casos en que no sea posible otra opción. 

Desactivar el examen de archivos relacionados con Windows Update o con actualizaciones automáticas

  • Desactivar el examen del archivo de base de datos de Windows Update o de actualizaciones automáticas (DataStore.edb). Este archivo se encuentra en la siguiente carpeta:

         %windir%\SoftwareDistribution\Datastore

  • Desactivar el examen de los archivos de registro que se encuentran en la carpeta siguiente:

         %windir%\SoftwareDistribution\Datastore\Logs En concreto, excluir los siguientes archivos:

    • Edb*.jrs

    • Edb.chk

    • Tmp.edb

  • El carácter comodín (*) indica que puede haber varios archivos.

Desactivar el examen de los archivos de seguridad de Windows

  • Agregue los siguientes archivos en la ruta de acceso %windir%\Security\Database de la lista de exclusiones:

    • *.edb

    • *.sdb

    • *.log

    • *.chk

    • *.jrs

    • *.xml

    • *.csv

    • *.cmtx

    Nota Si estos archivos no se excluyen, el software antivirus podría impedir el acceso adecuado a estos archivos y las bases de datos de seguridad pueden dañarse. El examen de estos archivos puede impedir que se usen o puede impedir que se aplique una directiva de seguridad a los archivos. Estos archivos no se deben examinar porque es posible que el software antivirus no los trate correctamente como archivos de base de datos propietarios. Estas son las exclusiones recomendadas. Es posible que haya otros tipos de archivo que no estén incluidos en este artículo y que se deban excluir.

Desactivar el examen de archivos relacionados con la directiva de grupo

  • Información de registro de usuario de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:

         %allusersprofile%\ En concreto, excluir los siguientes archivos:

         NTUser.pol

  • Archivos de configuración de cliente de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:

         %SystemRoot%\System32\GroupPolicy\Machine\      %SystemRoot%\System32\GroupPolicy\User\ En concreto, excluir los siguientes archivos:

         Registry.pol      Registry.tmp

Nota: Las exclusiones de directiva de grupo solo se aplican a Windows Server. Si usa el Antivirus de Microsoft Defender, las exclusiones de directiva de grupo se incluyen en las exclusiones automáticas de roles de servidor.

Desactivar el análisis de los archivos de perfil del usuario

  • Información del registro de usuarios y archivos auxiliares. Los archivos se encuentran en la siguiente carpeta:      userprofile%\ En concreto, excluir los siguientes archivos:      NTUser.dat*

Ejecutar software antivirus en controladores de dominio

Puesto que los controladores de dominio proporcionan un importante servicio a los clientes, se debe reducir al mínimo el riesgo de interrupción de sus actividades como resultado de la acción de código malintencionado, malware o virus. El software antivirus es la forma aceptada en general para reducir el riesgo de infección. Instale y configure software antivirus para reducir en la medida de lo posible el riesgo para el controlador de dominio y para que el rendimiento se vea lo menos afectado posible. En la lista siguiente se incluyen recomendaciones para ayudarle a configurar e instalar software antivirus en un controlador de dominio de Windows Server.Advertencia Recomendamos aplicar la siguiente configuración especificada en un sistema de prueba con el fin de asegurarse de que en su entorno concreto no introduce ningún factor inesperado ni pone en peligro la estabilidad del sistema. El riesgo de análisis excesivos es que los archivos se marcan incorrectamente como modificados. Como consecuencia, se producen demasiadas replicaciones en Active Directory. Si la prueba certifica que la replicación no se ve afectada por las recomendaciones siguientes, puede aplicar el software antivirus al entorno de producción.Nota Las recomendaciones específicas de los proveedores de software antivirus podrían sustituir a las recomendaciones de este artículo.

  • El software antivirus debe instalarse en todos los controladores de dominio de la empresa. Idealmente, procure instalar ese software en todos los demás sistemas servidor y cliente que tengan que interactuar con los controladores de dominio. Lo mejor es interceptar el malware lo antes posible, como en el firewall o en el sistema cliente donde se introdujo por primera vez. Esto impide que el malware alcance los sistemas de la infraestructura de los que dependen los clientes.

  • Utilice una versión del software antivirus diseñada para funcionar en controladores de dominio de Active Directory y que utilice las Interfaces de programación de aplicaciones (API) correctas para tener acceso a los archivos del servidor. Las versiones anteriores de software de la mayoría de los proveedores cambian incorrectamente los metadatos de un archivo a medida que éste se analiza. Esto hace que el motor del Servicio de replicación de archivos reconozca un archivo modificado y que, por lo tanto, programe su replicación. Las versiones más recientes no producen este problema. Para más información al respecto, consulte los siguientes artículos en Microsoft Knowledge Base:

    815263 Programas antivirus, de copia de seguridad y de optimización de discos compatibles con el Servicio de replicación de archivos

  • No use un controlador de dominio para navegar por Internet ni para realizar otras actividades que puedan introducir código malintencionado.

  • Se recomienda minimizar las cargas de trabajo en los controladores de dominio. Cuando sea posible, evite el uso de controladores de dominio como servidores de archivos. De esta forma, se reduce la actividad de detección de virus en recursos compartidos de archivos y la sobrecarga de rendimiento.

  • No ponga archivos de base de datos y de registro de Active Directory o de FRS en volúmenes comprimidos del sistema de archivos NTFS.

Desactivar el examen de Active Directory y de archivos relacionados con Active Directory

  • Excluya los archivos de base de datos principal de NTDS. La ubicación de estos archivos se especifica en la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:

    • Ntds.dit

    • Ntds.pat

  • Excluya los archivos de registro de transacciones de Active Directory. La ubicación de estos archivos se especifica en la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:

    • EDB*.log

    • Res*.log

    • Edb*.jrs

    • Ntds.pat

  • Excluya los archivos de la carpeta de trabajo de NTDS que se especifica en la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory En concreto, excluir los siguientes archivos:

    • Temp.edb

    • Edb.chk

Desactivar el examen de archivos SYSVOL

  • Desactive el examen de los archivos de la carpeta de trabajo del Servicio de replicación de archivos (FRS) que se especifica en la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory La ubicación predeterminada es %windir%\Ntfrs. Excluya los siguientes archivos que existen en la carpeta:

    • edb.chk en la carpeta %windir%\Ntfrs\jet\sys

    • Ntfrs.jdb en la carpeta %windir%\Ntfrs\jet

    • *.log en la carpeta %windir%\Ntfrs\jet\log

  • Desactive el examen de los archivos de registro de la base de datos FRS que se especifican en la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory La ubicación predeterminada es %windir%\Ntfrs. Excluir los siguientes archivos:

    • Edb*.log (si no está establecida la clave del Registro).

    • FRS Working Dir\Jet\Log\Edb*.jrs

  • Nota Por motivos de integridad, aquí se documenta la configuración de exclusiones de archivos específicos. De forma predeterminada, estas carpetas sólo permiten el acceso a los administradores y el sistema. Comprueba que las protecciones correctas están en vigor. Estas carpetas sólo contienen archivos de trabajo de componentes para FRS y DFSR.

  • Desactiva el examen de la carpeta de almacenamiento provisional NTFRS tal y como se especifica en la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage Almacenamiento provisional usa la siguiente ubicación de manera predeterminada:

    %systemroot%\Sysvol\áreas de almacenamiento provisional

  • Desactive el examen de la carpeta de almacenamiento provisional DFSR según se especifica en el atributo msDFSR-StagingPath del objeto CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName en AD DS. Este atributo contiene la ruta de acceso a la ubicación real que la aplicación DFS usa para el almacenamiento provisional de los archivos. En concreto, excluya los archivos siguientes:

    • Ntfrs_cmp*.*

    • *.frx

  • Desactive el examen de archivos de la carpeta Sysvol\Sysvol o SYSVOL_DFSR\Sysvol. La ubicación actual de la carpeta Sysvol\Sysvol o SYSVOL_DFSR\Sysvol y todas sus subcarpetas es el destino de reanálisis del sistema de archivos de la raíz del conjunto de réplicas. Las carpetas Sysvol\Sysvol y SYSVOL_DFSR\Sysvol usan las siguientes ubicaciones de manera predeterminada:

    %systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

    El recurso compartido NETLOGON hace referencia a la ruta de acceso a la carpeta SYSVOL activa actualmente y se puede determinar mediante el nombre de valor SysVol en la siguiente subclave:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

  • Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

    • *.adm

    • *.admx

    • *.adml

    • Registry.pol

    • Registry.tmp

    • *.aas

    • *.inf

    • Scripts.ini

    • *.ins

    • Oscfilter.ini

  • Desactive el examen de archivos de la carpeta Preinstall de FRS que se encuentra en la ubicación siguiente:

    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory La carpeta Preinstall siempre está abierta cuando FRS se ejecuta. Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

    • Ntfrs*.*

  • Desactive el examen de archivos de las carpetas de base de datos y de trabajo de DFSR. La ubicación se especifica mediante la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path En esta subclave del Registro, "Path" es la ruta de acceso de un archivo XML que indica el nombre del grupo de replicación.En esta subclave del Registro, "Path" es la ruta de acceso de un archivo XML que indica el nombre del grupo de replicación. En este ejemplo, la ruta de acceso contendrá “Volumen del sistema de dominios”. La ubicación predeterminada es la siguiente carpeta oculta:

         %systemdrive%\System Volume Information\DFSR Excluir los siguientes archivos de esta carpeta y todas sus subcarpetas:

    • $db_normal$

    • FileIDTable_*

    • SimilarityTable_*

    • *.xml

    • $db_dirty$

    • $db_clean$

    • $db_lost$

    • Dfsr.db

    • Fsr.chk

    • *.frx

    • *.log

    • Fsr*.jrs

    • Tmp.edb

  • Nota Si cualquiera de estas carpetas o archivos se han movido o están en otra ubicación diferente, examina o excluye el elemento equivalente.

Desactivar el examen de archivos DFS

Los mismos recursos que se excluyen para un conjunto de réplicas SYSVOL deben excluirse también cuando se usa FRS o DFSR para replicar recursos compartidos asignados a los vínculos de destino y a la raíz DFS en equipos miembro o controladores de dominio basados en Windows Server 2008 R2 o Windows Server 2008.

Desactivar el examen de archivos DHCP

De manera predeterminada, los archivos DHCP que se deben excluir se encuentran en la siguiente carpeta en el servidor:

%systemroot%\System32\DHCP Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

  • *.mdb

  • *.pat

  • *.log

  • *.chk

  • *.edb

Se puede cambiar la ubicación de los archivos DHCP. Para determinar la ubicación actual de los archivos DHCP en el servidor, compruebe los parámetros DatabasePath, DhcpLogFilePath y BackupDatabasePath que se especifican en la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Desactivar el examen de archivos DNS

De forma predeterminada, DNS utiliza la siguiente carpeta:

%systemroot%\System32\Dns Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

  • *.log

  • *.dns

  • BOOT

Desactivar el examen de archivos WINS

De forma predeterminada, WINS utiliza la siguiente carpeta:

     %systemroot%\System32\Wins Excluir los siguientes archivos de esta carpeta y todas sus subcarpetas:

  • *.chk

  • *.log

  • *.mdb

Para equipos que ejecutan versiones de Windows basadas en Hyper-V

En algunos escenarios, en un equipo basado en Windows Server 2008 que tenga instalado el rol Hyper-V o en Microsoft Hyper-V Server 2008 o en un equipo basado en Microsoft Hyper-V Server 2008 R2, podría ser necesario configurar el componente de análisis en tiempo real dentro del software antivirus para excluir archivos y carpetas enteras. Para más información al respecto, consulte el artículo siguiente en Microsoft Knowledge Base:

  • 961804 Faltan máquinas virtuales o se produce el error 0x800704C8, 0x80070037 o 0x800703E3 al intentar iniciar o crear una máquina virtual

Pasos siguientes

Si las recomendaciones señaladas en este artículo han servido para mejorar el rendimiento o la estabilidad del sistema, póngase en contacto con su proveedor de software antivirus para obtener instrucciones o para solicitar una versión actualizada o ajustes del software antivirus.

Nota Su proveedor de antivirus de terceros puede trabajar con el equipo de Soporte técnico de Microsoft en un esfuerzo comercialmente razonable.

Referencias

Contrato de servicio del soporte técnico al cliente de Microsoft

Contrato de servicios de Microsoft

Iniciativa antivirus de Microsoft

Historial de cambios

 En la tabla siguiente se resumen algunos de los cambios más importantes de este tema.

Fecha

Descripción

17 de agosto de 2021

Se actualizó la nota en la sección "Más información": "Nota En Windows 10, Windows Server 2016 y versiones posteriores..." 

2 de noviembre de 2021

Se actualizó la nota en la sección "Más información": "Esto también se aplica a Windows Server 2012 R2..."

lunes, 14 de marzo de 2022

Revisión de todo el artículo. Se han añadido las secciones "Síntomas" y "Resolución" y se ha reorganizado el contenido restante.

14 de julio de 2023

Se ha agregado un tercer elemento de viñeta en la sección "Introducción". Se ha agregado un encabezado de sección "Síntomas". Se quitó la sección "Más información".

7 de agosto de 2023

Se han corregido problemas de diseño que ejecutaban varias líneas juntas en las listas de exclusiones

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.