Recomendaciones de detección de virus para equipos Enterprise que ejecutan Windows o Windows Server (KB822158)

Desactivar el examen de archivos relacionados con Windows Update o con actualizaciones automáticas

• Desactivar el examen del archivo de base de datos de Windows Update o de actualizaciones automáticas (DataStore.edb). Este archivo se encuentra en la siguiente carpeta:

       %windir%\SoftwareDistribution\Datastore

• Desactivar el examen de los archivos de registro que se encuentran en la carpeta siguiente:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  En concreto, excluir los siguientes archivos:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• El carácter comodín (*) indica que puede haber varios archivos.

Desactivar el examen de los archivos de seguridad de Windows

• Agregue los siguientes archivos en la ruta de acceso %windir%\Security\Database de la lista de exclusiones:

  • *.edb

  • *.sdb

  • *.log

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Nota Si estos archivos no se excluyen, el software antivirus podría impedir el acceso adecuado a estos archivos y las bases de datos de seguridad pueden dañarse. El examen de estos archivos puede impedir que se usen o puede impedir que se aplique una directiva de seguridad a los archivos. Estos archivos no se deben examinar porque es posible que el software antivirus no los trate correctamente como archivos de base de datos propietarios.
  
  Estas son las exclusiones recomendadas. Es posible que haya otros tipos de archivo que no estén incluidos en este artículo y que se deban excluir.

Desactivar el examen de archivos relacionados con la directiva de grupo

• Información de registro de usuario de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:

       Equipo: %allusersprofile%\
       Usuarios: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  En concreto, excluya el archivo siguiente:

       NTUser.pol

• Archivos de configuración de cliente de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  En concreto, excluir los siguientes archivos:

       Registry.pol
       Registry.tmp

Desactivar el análisis de los archivos de perfil del usuario

• Información del registro de usuarios y archivos auxiliares. Los archivos se encuentran en la carpeta siguiente:
  
       %userprofile%\
  
  En concreto, excluya los siguientes archivos:
  
       NTUser.dat*

Ejecutar software antivirus en controladores de dominio

Puesto que los controladores de dominio proporcionan un importante servicio a los clientes, se debe reducir al mínimo el riesgo de interrupción de sus actividades como resultado de la acción de código malintencionado, malware o virus. El software antivirus es la forma aceptada en general para reducir el riesgo de infección. Instale y configure software antivirus para reducir en la medida de lo posible el riesgo para el controlador de dominio y para que el rendimiento se vea lo menos afectado posible. En la lista siguiente se incluyen recomendaciones para ayudarle a configurar e instalar software antivirus en un controlador de dominio de Windows Server.

Advertencia Le recomendamos que aplique la siguiente configuración especificada a un sistema de prueba para asegurarse de que, en su entorno específico, esta configuración no introduce factores inesperados ni compromete la estabilidad del sistema. El riesgo de análisis excesivos es que los archivos se marcan incorrectamente como modificados. Como consecuencia, se producen demasiadas replicaciones en Active Directory. Si la prueba certifica que la replicación no se ve afectada por las recomendaciones siguientes, puede aplicar el software antivirus al entorno de producción.

Nota Las recomendaciones específicas de los proveedores de software antivirus podrían sustituir a las recomendaciones de este artículo.

• El software antivirus debe instalarse en todos los controladores de dominio de la empresa. Idealmente, procure instalar ese software en todos los demás sistemas servidor y cliente que tengan que interactuar con los controladores de dominio. Lo mejor es interceptar el malware lo antes posible, como en el firewall o en el sistema cliente donde se introdujo por primera vez. Esto impide que el malware alcance los sistemas de la infraestructura de los que dependen los clientes.

• Use una versión de software antivirus que esté diseñada para funcionar con controladores de dominio de Active Directory y que use las interfaces de programación de aplicaciones (API) correctas para tener acceso a los archivos del servidor. Las versiones anteriores de software de la mayoría de los proveedores cambian incorrectamente los metadatos de un archivo a medida que éste se analiza.

• No uses un controlador de dominio para navegar por Internet ni realizar otras actividades que puedan introducir código malintencionado.

• Se recomienda minimizar las cargas de trabajo en los controladores de dominio. Por ejemplo, cuando sea posible, evite usar controladores de dominio en un rol de servidor de archivos. Esta práctica reduce la actividad de detección de virus en recursos compartidos de archivos y minimiza la sobrecarga de rendimiento.

• No pongas Active Directory y los archivos de registro en volúmenes comprimidos del sistema de archivos NTFS.

Desactivar el examen de Active Directory y de archivos relacionados con Active Directory

• Excluya los archivos de base de datos principal de NTDS. La ubicación de estos archivos se especifica en la siguiente subclave del Registro:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  
  La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:

  • Ntds.dit

  • Ntds.pat

• Excluya los archivos de registro de transacciones de Active Directory. La ubicación de estos archivos se especifica en la siguiente subclave del Registro:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  
  La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Excluya los archivos de la carpeta Trabajo NTDS que se especifican en la siguiente subclave del Registro:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  
  En concreto, excluir los siguientes archivos:

  • Temp.edb

  • Edb.chk

Desactivar el examen de archivos SYSVOL

• Desactive el examen de archivos de la carpeta Sysvol\Sysvol o SYSVOL_DFSR\Sysvol.
  
  La ubicación actual de la carpeta Sysvol\Sysvol o SYSVOL_DFSR\Sysvol y todas sus subcarpetas es el destino de reanálisis del sistema de archivos de la raíz del conjunto de réplicas. Las carpetas Sysvol\Sysvol y SYSVOL_DFSR\Sysvol usan las siguientes ubicaciones de manera predeterminada:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  El recurso compartido NETLOGON hace referencia a la ruta de acceso a la carpeta SYSVOL activa actualmente y se puede determinar mediante el nombre de valor SysVol en la siguiente subclave:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• Desactive el examen de archivos de las carpetas de base de datos y de trabajo de DFSR. La ubicación se especifica en la siguiente subclave del Registro:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path En esta subclave del Registro, "Ruta" es la ruta de acceso de un archivo XML que contiene el nombre del grupo de replicación. En este ejemplo, la ruta de acceso contendrá “Volumen del sistema de dominios”.
  
  La ubicación predeterminada es la siguiente carpeta oculta:

       %systemdrive%\System Volume Information\DFSR
  
  Excluir los siguientes archivos de esta carpeta y todas sus subcarpetas:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.log

  • Fsr*.jrs

  • Tmp.edb

  Nota Si cualquiera de estas carpetas o archivos se han movido o están en otra ubicación diferente, examina o excluye el elemento equivalente.

Desactivar el examen de archivos DFS

Los mismos recursos que se excluyen para un conjunto de réplicas de SYSVOL también deben excluirse si DFSR se usa para replicar recursos compartidos asignados a la raíz de DFS y vincular destinos en Windows Server equipos miembros o controladores de dominio.

Desactivar el examen de archivos DHCP

De manera predeterminada, los archivos DHCP que se deben excluir se encuentran en la siguiente carpeta en el servidor:

     %systemroot%\System32\DHCP

Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

• *.mdb

• *.pat

• *.log

• *.chk

• *.edb

Se puede cambiar la ubicación de los archivos DHCP. Para determinar la ubicación actual de los archivos DHCP en el servidor, compruebe los parámetros DatabasePath, DhcpLogFilePath y BackupDatabasePath que se especifican en la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Desactivar el examen de archivos DNS

De forma predeterminada, DNS utiliza la siguiente carpeta:

%systemroot%\System32\Dns Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

• *.log

• *.dns

• BOOT

Desactivar el examen de archivos WINS

De forma predeterminada, WINS utiliza la siguiente carpeta:

     %systemroot%\System32\Wins

Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

• *.chk

• *.log

• *.mdb

Para equipos que ejecutan versiones de Windows basadas en Hyper-V

En algunos escenarios, en Windows Server equipos que tienen instalado el rol de Hyper-V, es posible que sea necesario configurar el componente de análisis en tiempo real dentro del software antivirus para excluir archivos y carpetas completas. Para obtener más información, consulte el siguiente artículo de Knowledge Base:

• 961804 Faltan máquinas virtuales o se produce el error 0x800704C8, 0x80070037 o 0x800703E3 al intentar iniciar o crear una máquina virtual

Pasos siguientes

Si el rendimiento o la estabilidad del sistema se han mejorado según las recomendaciones realizadas en este artículo, póngase en contacto con el proveedor del software antivirus para obtener instrucciones o para obtener una versión o configuración actualizada del software antivirus.

Nota El proveedor de antivirus de terceros puede trabajar con el equipo de Soporte técnico de Microsoft en un esfuerzo comercialmente razonable.

Historial de cambios

 En la tabla siguiente se resumen los cambios más importantes de este tema.