Recomendaciones para la detección de virus en equipos de empresa que ejecutan actualmente versiones compatibles de Windows

Se aplica: Windows

Se aplica a:


Windows Server 2012 (todas las ediciones)
Windows Server 2012 R2 (todas las ediciones)
Windows Server 2016 (todas las ediciones)
Windows Server 2019 (todas las ediciones)
Windows 7 (todas las ediciones)
Windows 8.1 (todas las ediciones)
Windows 10 (todas las ediciones)

Introducción


Este artículo contiene recomendaciones que pueden ayudar a un administrador a determinar el origen de posibles inestabilidades en equipos que ejecutan una versión compatible de Microsoft Windows cuando se usa en combinación con software antivirus en un entorno de dominios de Active Directory o en un entorno empresarial administrado.

Nota Recomendamos que aplique temporalmente estos ajustes para evaluar el comportamiento del sistema. Si las recomendaciones señaladas en este artículo han servido para mejorar el rendimiento o la estabilidad del sistema, póngase en contacto con su proveedor de software antivirus para obtener instrucciones o para solicitar una versión actualizada o ajustes del software antivirus.

Importante Este artículo contiene información que muestra cómo reducir la configuración de seguridad o cómo desactivar temporalmente las características de seguridad de un equipo. Puede realizar estos cambios para comprender la naturaleza de un problema específico. Pero antes de realizarlos, recomendamos que evalúe los riesgos asociados a esta solución temporal en su entorno concreto. Si decide implementar esta solución alternativa, tome las medidas adicionales oportunas para ayudar a proteger el equipo.

Más información


Para equipos que ejecutan Windows 7 y versiones posteriores de Windows

Advertencia Esta solución alternativa puede hacer que un equipo o una red sean más vulnerables a los ataques de usuarios malintencionados o de software malintencionado como virus. No recomendamos esta solución alternativa, pero proporcionamos la información necesaria para que pueda decidir por sí mismo si la implementa. Use esta solución alternativa bajo su responsabilidad.

Nota Windows Defender realiza automáticamente una detección de virus, a partir de Windows Server 2016 (y Windows 10). Consulte Configurar las exclusiones de antivirus de Windows Defender en Windows Server.

Notas

  • Somos conscientes del riesgo que supone la exclusión de los archivos o las carpetas específicas que se mencionan en este artículo de los análisis que realiza su software antivirus. Su sistema estará más seguro si no excluye ningún archivo o carpeta de los análisis. 
  • Cuando analice estos archivos, se pueden producir problemas de estabilidad y rendimiento del sistema operativo debido al bloqueo de archivos.
  • No excluya ninguno de estos archivos basándose en la extensión del nombre de archivo. Por ejemplo, no excluya todos los archivos que tengan la extensión .dit. Microsoft no tiene control sobre otros archivos que puedan utilizar las mismas extensiones que los archivos que se describen en este artículo.
  • En este artículo se proporciona los nombres de archivos y carpetas que se pueden excluir. Todos los archivos y carpetas que se describen en este artículo están protegidos con permisos predeterminados para permitir acceso únicamente del sistema y del administrador, y sólo contienen componentes del sistema operativo. Si bien la exclusión de una carpeta entera puede ser lo más sencillo, es posible que no suponga tanta protección como el hecho de excluir archivos específicos en función de su nombre.

Desactivar el examen de archivos relacionados con Windows Update o con actualizaciones automáticas

  • Desactivar el examen del archivo de base de datos de Windows Update o de actualizaciones automáticas (DataStore.edb). Este archivo se encuentra en la siguiente carpeta:
    %windir%\SoftwareDistribution\Datastore
  • Desactivar el examen de los archivos de registro que se encuentran en la carpeta siguiente:
    %windir%\SoftwareDistribution\Datastore\Logs
    En concreto, excluya los archivos siguientes:
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • El carácter comodín (*) indica que puede haber varios archivos.

Desactivar el examen de los archivos de seguridad de Windows

  • Agregue los siguientes archivos en la ruta de acceso %windir%\Security\Database de la lista de exclusiones:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    • *.xml
    • *.csv
    • *.cmtx
    Nota: Si estos archivos no se excluyen, el software antivirus podría impedir el acceso adecuado a ellos y las bases de datos de seguridad podrían resultar dañadas. El examen de estos archivos podría impedir que se utilizaran o que se les aplicara una directiva de seguridad. Estos archivos no se deben analizar porque el software antivirus podría no tratarlos correctamente como archivos de base de datos propietarios.

    Estas son las exclusiones recomendadas. Puede que haya otros tipos de archivo que no se incluyen en este artículo y que deberían excluirse.

Desactivar el examen de archivos relacionados con la directiva de grupo

  • Información de registro de usuario de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:
    %allusersprofile%\
    En concreto, excluya el archivo siguiente:
    NTUser.pol
  • Archivos de configuración de cliente de directiva de grupo. Estos archivos se encuentran en la carpeta siguiente:
    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\
    En concreto, excluya los archivos siguientes:
    Registry.pol
    Registry.tmp

Desactivar el análisis de los archivos de perfil del usuario

  • Información del registro de usuarios y archivos auxiliares. Estos archivos se encuentran en la carpeta siguiente:
    userprofile%\
    En concreto, excluya los archivos siguientes:
    NTUser.dat*

Ejecutar software antivirus en controladores de dominio

Puesto que los controladores de dominio proporcionan un importante servicio a los clientes, se debe reducir al mínimo el riesgo de interrupción de sus actividades como resultado de la acción de código malintencionado, malware o virus. El software antivirus es la forma aceptada en general para reducir el riesgo de infección. Instale y configure software antivirus para reducir en la medida de lo posible el riesgo para el controlador de dominio y para que el rendimiento se vea lo menos afectado posible. En la lista siguiente se incluyen recomendaciones para ayudarle a configurar e instalar software antivirus en un controlador de dominio de Windows Server.

Advertencia Recomendamos aplicar la siguiente configuración especificada en un sistema de prueba con el fin de asegurarse de que en su entorno concreto no introduce ningún factor inesperado ni pone en peligro la estabilidad del sistema. El riesgo de análisis excesivos es que los archivos se marcan incorrectamente como modificados. Como consecuencia, se producen demasiadas replicaciones en Active Directory. Si la prueba certifica que la replicación no se ve afectada por las recomendaciones siguientes, puede aplicar el software antivirus al entorno de producción.


Nota Las recomendaciones específicas de los proveedores de software antivirus pueden reemplazar las recomendaciones de este artículo.
  • El software antivirus debe instalarse en todos los controladores de dominio de la empresa. Idealmente, procure instalar ese software en todos los demás sistemas servidor y cliente que tengan que interactuar con los controladores de dominio. Lo mejor es interceptar el malware lo antes posible, como en el firewall o en el sistema cliente donde se introdujo por primera vez. Esto impide que el malware alcance los sistemas de la infraestructura de los que dependen los clientes.
  • Utilice una versión del software antivirus diseñada para funcionar en controladores de dominio de Active Directory y que utilice las Interfaces de programación de aplicaciones (API) correctas para tener acceso a los archivos del servidor. Las versiones anteriores de software de la mayoría de los proveedores cambian incorrectamente los metadatos de un archivo a medida que éste se analiza. Esto hace que el motor del Servicio de replicación de archivos reconozca un archivo modificado y que, por lo tanto, programe su replicación. Las versiones más recientes no producen este problema.
    Para más información al respecto, consulte el artículo siguiente en Microsoft Knowledge Base:
    815263 Programas antivirus, de copia de seguridad y de optimización de discos compatibles con el Servicio de replicación de archivos
  • No utilice un controlador de dominio para explorar Internet ni para realizar otras actividades que puedan introducir código malintencionado.
  • Se recomienda minimizar las cargas de trabajo en los controladores de dominio. Cuando sea posible, evite el uso de controladores de dominio como servidores de archivos. De esta forma, se reduce la actividad de detección de virus en recursos compartidos de archivos y la sobrecarga de rendimiento.
  • No ponga archivos de base de datos y de registro de Active Directory o de FRS en volúmenes comprimidos del sistema de archivos NTFS.

Desactivar el examen de Active Directory y de archivos relacionados con Active Directory

  • Excluya los archivos de base de datos principal de NTDS. La ubicación de estos archivos se especifica en la siguiente subclave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:
    Ntds.dit
    Ntds.pat
  • Excluya los archivos de registro de transacciones de Active Directory. La ubicación de estos archivos se especifica en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
     
    La ubicación predeterminada es %windir%\Ntds. En concreto, excluya los archivos siguientes:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
  • Excluya los archivos de la carpeta de trabajo de NTDS que se especifica en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    En concreto, excluya los archivos siguientes:
    • Temp.edb
    • Edb.chk

Desactivar el examen de archivos SYSVOL

  • Desactive el examen de los archivos de la carpeta de trabajo del Servicio de replicación de archivos (FRS) que se especifica en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    La ubicación predeterminada es %windir%\Ntfrs. Excluya los siguientes archivos que existen en la carpeta:
    • edb.chk en la carpeta %windir%\Ntfrs\jet\sys
    • Ntfrs.jdb en la carpeta %windir%\Ntfrs\jet
    • *.log en la carpeta %windir%\Ntfrs\jet\log
  • Desactive el examen de los archivos de registro de la base de datos FRS que se especifican en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    La ubicación predeterminada es %windir%\Ntfrs. Excluya los archivos siguientes:

    Nota Por motivos de completud, aquí se documenta la configuración de exclusiones de archivos específicos. De forma predeterminada, estas carpetas sólo permiten el acceso a los administradores y el sistema. Compruebe que dispone de las protecciones correctas. Estas carpetas sólo contienen archivos de trabajo de componentes para FRS y DFSR.
    • Edb*.log (si no está establecida la clave del Registro).
    • FRS Working Dir\Jet\Log\Edb*.jrs
  • Desactive el examen de la carpeta de almacenamiento provisional NTFRS tal y como se especifica en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
    De forma predeterminada, para el almacenamiento provisional se usa la ubicación siguiente:
    %systemroot%\Sysvol\áreas de almacenamiento provisional
  • Desactive el examen de la carpeta de almacenamiento provisional DFSR según se especifica en el atributo msDFSR-StagingPath del objeto CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName en AD DS. Este atributo contiene la ruta de acceso a la ubicación real que la aplicación DFS usa para el almacenamiento provisional de los archivos. En concreto, excluya los archivos siguientes:
    • Ntfrs_cmp*.*
    • *.frx
  • Desactive el examen de archivos de la carpeta Sysvol\Sysvol o SYSVOL_DFSR\Sysvol.

    La ubicación actual de la carpeta Sysvol\Sysvol o SYSVOL_DFSR\Sysvol y todas sus subcarpetas es el objetivo de reanálisis del sistema de archivos de la raíz del conjunto de réplicas. Las carpetas Sysvol\Sysvol y SYSVOL_DFSR\Sysvol usan las siguientes ubicaciones de manera predeterminada:
    %systemroot%\Sysvol\Dominio
    %systemroot%\Sysvol_DFSR\Domain
    El recurso compartido NETLOGON hace referencia a la ruta de acceso a la carpeta SYSVOL activa actualmente y esta se puede determinar mediante el nombre de valor SysVol en la siguiente subclave:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
  • Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • Registry.tmp
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Desactive el examen de archivos de la carpeta Preinstall de FRS que se encuentra en la ubicación siguiente:
    raízDeRéplica\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    La carpeta Preinstall siempre está abierta cuando FRS está en ejecución.

    Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
    • Ntfrs*.*
  • Desactive el examen de archivos de las carpetas de base de datos y de trabajo de DFSR. La ubicación se especifica mediante la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path
    En esta subclave del Registro, "Path" es la ruta de acceso de un archivo XML que indica el nombre del grupo de replicación. En este ejemplo, la ruta de acceso contendría "Domain System Volume".

    La ubicación predeterminada es la siguiente carpeta oculta:
    %systemdrive%\System Volume Information\DFSR
    Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:

    Si cualquiera de estas carpetas o archivos se han movido o están en otra ubicación diferente, examine o excluya el elemento equivalente.
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb

Desactivar el examen de archivos DFS

Los mismos recursos que se excluyen para un conjunto de réplicas SYSVOL deben excluirse también cuando se usa FRS o DFSR para replicar recursos compartidos asignados a los vínculos de destino y a la raíz DFS en equipos miembro o controladores de dominio basados en Windows Server 2008 R2 o Windows Server 2008. 

Desactivar el examen de archivos DHCP

De manera predeterminada, los archivos DHCP que se deben excluir se encuentran en la siguiente carpeta en el servidor:
%systemroot%\System32\DHCP
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Se puede cambiar la ubicación de los archivos DHCP. Para determinar la ubicación actual de los archivos DHCP en el servidor, compruebe los parámetros DatabasePath, DhcpLogFilePath y BackupDatabasePath que se especifican en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Desactivar el examen de archivos DNS

De forma predeterminada, DNS utiliza la siguiente carpeta:
%systemroot%\System32\Dns
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.log
  • *.dns
  • BOOT

Desactivar el examen de archivos WINS

De forma predeterminada, WINS utiliza la siguiente carpeta:
%systemroot%\System32\Wins
 
Excluya los siguientes archivos de esta carpeta y todas sus subcarpetas:
  • *.chk
  • *.log
  • *.mdb

Para equipos que ejecutan versiones de Windows basadas en Hyper-V

En algunos casos, en un equipo basado en Windows Server 2008 que tenga el rol Hyper-V instalado o en un equipo basado en Microsoft Hyper-V Server 2008 o en Microsoft Hyper-V Server 2008 R2, puede ser necesario configurar el componente de examen en tiempo real del software antivirus para excluir carpetas y archivos completos. Para más información al respecto, consulte el artículo siguiente en Microsoft Knowledge Base:
961804 Faltan máquinas virtuales o se produce el error 0x800704C8, 0x80070037 o 0x800703E3 al intentar iniciar o crear una máquina virtual