Viirusekontrolli soovitused Enterprise'i arvutitele, kus töötab Windows või Windows Server (KB822158)

Kehtib järgmise jaoks: Windows Server 2025, kõik väljaanded Windows Server 2022, kõik väljaanded Windows Server 2019, kõik väljaanded Windows Server 2016, kõik väljaanded Windows Server 2012 R2, kõik väljaandedWindows Server 2012, kõik väljaanded Windows 11, kõik väljaanded Windows 10, kõik väljaanded

Sissejuhatus

See artikkel sisaldab soovitusi, mis aitavad administraatoril määratleda võimaliku ebastabiilsuse põhjuse järgmises stsenaariumis:

Probleem ilmneb arvutis, kus töötab Windowsi versioon või Windows Server, mis on loetletud jaotises "Rakenduskohad".
Kohalikku süsteemi kasutatakse koos viirusetõrjetarkvaraga Active Directory domeenikeskkonnas või hallatud ärikeskkonnas.
Kui kasutate Microsoft Defender viirusetõrjet, võivad mõned või kõik selles artiklis mainitud väljaarvamised olla sisse ehitatud või automaatsed välistamised. Lisateavet leiate järgmistest artiklitest.
- Microsoft Defender for Endpoint ja Microsoft Defender Antiviruse välistamiste haldamine
- Windows Server Microsoft Defender viirusetõrje välistuste konfigureerimine

Tunnused

Teie Windowsi- või Windows Server-põhises arvutis ilmnevad järgmised probleemid.

Süsteemi jõudlus
- Protsessori suur või suurenenud protsessorikasutus
  - Kasutajarežiim
  - Tuumrežiim
- Tuuma mälulekked
  - Mittesaalitav kaust
  - Paged pool
  - Lekkimise pide
- Aeglane
  - Faili kopeerimine Windows Exploreri kasutamisel
    - Failikoopia konsoolirakenduse kasutamisel (nt cmd.exe)
  - Varundustoimingud
Stabiilsus
- Rakenduse aeglus
  - Juurdepääs võrgukettale või vastendatud draivile
  - Windows Exploreri ajutine reageerimise puudumine
- Rakenduse tõrge
  - Pääsurikkumine
- Rakendus lakkab reageerimast
  - Tupikud
    - Kaugprotseduurikutse (RPC)
    - Nimega torud
  - Võistlusolud
  - Privaatsete baitide mäluleke
  - Virtuaalbaitide mäluleke
  - Virtuaalsete baitide mälu fragmentimine
Operatsioonisüsteemi töökindluse probleemid
- Süsteem lakkab reageerimast (taastamiseks peate taaskäivitama)
  - Tupikud
  - Võistlusolud
  - Lekete käsitlemine
  - Mittesaalitud salvestusvaru lekked
  - Saalitud salvestusvaru lekked
Stopp-tõrked (nimetatakse ka veakontrolliks)
- Veakontrolli koodi tõlgendamine
- Veakontrolli koodi viide

Lisateavet leiate järgmistest artiklitest.

Süsteem lakkab reageerimast, failiserveri jõudlus on aeglane või failiserveris asuvate failidega töötamisel ilmneb viivitusi.

Lahendus

Enne viirusetõrje välistuste lisamist tehke järgmist.

Värskendage muude tootjate viirusetõrjeprogrammi definitsioone. Kui probleem ei lahene, edastage valepositiivne (FP) kolmanda osapoole viirusetõrje tootja toele.
Veenduge, et te ei seadnud tugevdatud või agressiivses režiimis teatud funktsioone, mis põhjustaksid rohkem järgmisi sümptomeid.
- Valepositiivsed
- Rakenduste ühilduvusprobleemid
- Ressursikasutuse suurendamine (nt suur protsessorikasutus (kasutajarežiim või tuumrežiim) või suur mälukasutus (kasutajarežiim või tuumrežiim)
- Aegluubid
- Rakendused lakkavad reageerimast
- Rakenduse tõrked
- Mitteresidentlik süsteem
Värskendage kolmanda osapoole viirusetõrjeprogrammi versiooni. Samuti võite testimiseks vaadata teemat Süsteemirežiimi filtridraiveri ajutine inaktiveerimine Windowsis.
Tõrkeotsingu tegemiseks pöörduge oma kolmanda osapoole viirusetõrjetarkvara tootja poole. Võimalik, et probleemi täpsemaks piiritlemiseks peavad teil olema saadaval järgmised täpsemad andmed.

Ajutine lahendus

TähtisSee artikkel sisaldab teavet selle kohta, kuidas vähendada turbesätteid või kuidas arvuti turbefunktsioone ajutiselt välja lülitada. Need muudatused saate teha konkreetse probleemi olemuse mõistmiseks. Enne nende muudatuste tegemist soovitame teil hinnata riske, mis on seotud selle lahenduse rakendamisega teie keskkonnas. Kui rakendate selle ajutise lahenduse, tehke arvuti kaitsmiseks kõik vajalikud lisatoimingud.

Hoiatus!

Me ei soovita seda lahendust. Siiski esitame seda teavet, et saaksite selle lahenduse oma äranägemise järgi kasutusele võtta. Kasutage seda lahendust omal vastutusel.
See lahendus võib muuta arvuti või võrgu haavatavamaks pahatahtlike kasutajate või ründetarkvara (nt viiruste) rünnakutele.
Soovitame neid sätteid ajutiselt rakendada, et hinnata süsteemi käitumist.
Oleme teadlikud ohust välistada konkreetsed failid või kaustad, mida selles artiklis mainitakse teie viirusetõrjetarkvara tehtavatest skannimistest. Teie süsteem on turvalisem, kui te ei välista kontrolle failidest või kaustadest.
Nende failide kontrollimisel võivad faililukustuse tõttu ilmneda jõudluse ja operatsioonisüsteemi töökindlusega seotud probleemid.
Ärge välistage ühte neist failidest, mis põhinevad failinimelaiendil. Näiteks ärge välistage kõiki faile, mille laiend on .dit. Microsoftil pole kontrolli muude failide üle, mis võivad kasutada selles artiklis kirjeldatud failidega samu laiendeid.
Selles artiklis on ära toodud nii välistatavad failinimed kui ka kaustad. Kõik selles artiklis kirjeldatud failid ja kaustad on kaitstud vaikeõigustega, et lubada ainult süsteemile ja administraatorile juurdepääs, ning need sisaldavad ainult operatsioonisüsteemi komponente. Kogu kausta välistamine võib olla lihtsam, kuid ei pruugi pakkuda nii suurt kaitset kui konkreetsete failide välistamine failinimede põhjal.
Viirusetõrje välistuste lisamine peaks alati olema viimane lahendus, kui ükski muu võimalus ei ole teostatav.

Windows Update- või automaatvärskendusfailide kontrollimise väljalülitamine

Lülitage välja Windows Update või automaatvärskenduse andmebaasifaili (Datastore.edb) kontrollimine. See fail asub järgmises kaustas:

%windir%\SoftwareDistribution\Datastore
Lülitage järgmises kaustas asuvate logifailide kontrollimine välja.

%windir%\SoftwareDistribution\Datastore\Logs Täpsemalt välistage järgmised failid:
- Edb*.jrs
- Edb.chk
- Tmp.edb
Metamärk (*) näitab, et faile võib olla mitu.

Windowsi turve failide kontrollimise väljalülitamine

Lisage välistamiste loendisse %windir%\Security\Database järgmised failid:
- *.edb
- *.sdb
- *.Logi
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
Märkus Kui need failid pole välistatud, võib viirusetõrjetarkvara takistada neile failidele asjakohast juurdepääsu ja turbeandmebaasid võivad muutuda rikutuks. Nende failide skannimine võib takistada failide kasutamist või takistada turbepoliitika rakendamist failidele. Neid faile ei tohiks kontrollida, kuna viirusetõrjetarkvara ei pruugi neid õigesti käsitleda varaliste andmebaasifailidena.Need on soovitatavad välistamised. Võib olla ka muid failitüüpe, mida selles artiklis ei käsitleta, mis tuleks välistada.

Rühmapoliitika seotud failide kontrollimise väljalülitamine

Rühmapoliitika kasutaja registriteave. Need failid asuvad järgmises kaustas:

Arvuti: %allusersprofile%\ Kasutajad: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ Välistage järgmine fail:

NTUser.pol
Rühmapoliitika kliendisätete failid. Need failid asuvad järgmises kaustas:

%SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\ Täpsemalt välistage järgmised failid:

Registry.pol Registry.tmp

Kasutajaprofiili failide kontrollimise väljalülitamine

Kasutaja registriteave ja tugifailid. Failid asuvad järgmises kaustas: %userprofile%\ Täpsemalt välistage järgmised failid: NTUser.dat*

Viirusetõrjetarkvara käitamine domeenikontrollerites

Kuna domeenikontrollerid pakuvad klientidele olulist teenust, tuleb minimeerida ohtu, et nende tegevus ründevarast, ründevarast või viirusest katkeb. Viirusetõrjetarkvara on üldiselt aktsepteeritav viis nakkusohu vähendamiseks. Installige ja konfigureerige viirusetõrjetarkvara nii, et riski domeenikontrollerile vähendataks nii palju kui võimalik ja jõudlust mõjutab võimalikult vähe. Järgmine loend sisaldab soovitusi, mis aitavad teil konfigureerida ja installida viirusetõrjetarkvara Windows Server domeenikontrollerisse.Hoiatus Soovitame rakendada testsüsteemile järgmine määratud konfiguratsioon, et veenduda, et see konfiguratsioon ei sisaldaks teie konkreetses keskkonnas ootamatuid tegureid ega ohustaks süsteemi stabiilsust. Liiga suure kontrollimise oht seisneb selles, et failid on sobimatult märgitud muudetuks. See põhjustab Active Directorys liiga palju tiražeerimist. Kui testimine kinnitab, et järgmised soovitused ei mõjuta tiražeerimist, saate rakendada viirusetõrjetarkvara tootmiskeskkonnale.Märkus Viirusetõrjetarkvara tootjate konkreetsed soovitused võivad selles artiklis toodud soovitused alistada.

Viirusetõrjetarkvara tuleb installida ettevõtte kõigisse domeenikontrolleritesse. Ideaaljuhul proovige installida selline tarkvara kõikidesse muudesse serveri- ja klientsüsteemidesse, mis peavad domeenikontrolleritega suhtlema. Optimaalne on tabada ründevara varaseimas punktis, näiteks tulemüüris või klientsüsteemis, kus ründevara kasutusele võeti. See takistab ründevaral jõuda kunagi taristusüsteemideni, millest kliendid sõltuvad.
Kasutage sellise viirusetõrjetarkvara versiooni, mis on loodud töötama Active Directory domeenikontrolleritega ja mis kasutab serveris olevatele failidele juurdepääsemiseks õigeid rakendusliideseid (API-sid). Enamiku tarnijate tarkvara varasemad versioonid muudavad faili metaandmeid faili kontrollimise ajal sobimatult.
Ärge kasutage domeenikontrollerit Interneti sirvimiseks ega muude toimingute tegemiseks, mis võivad pahatahtlikku koodi kasutusele võtta.
Soovitame minimeerida domeenikontrollerite töökoormusi. Kui võimalik, vältige võimalusel domeenikontrollerite kasutamist failiserveri rollis. See vähendab failiketastega seotud viiruste skannimist ja vähendab jõudluse ülekulu.
Ärge pange Active Directoryt ega logifaile NTFS-failisüsteemi tihendatud draividele.

Active Directory ja Active Directoryga seotud failide kontrollimise väljalülitamine

Välistage PEAMISED NTDS-andmebaasifailid. Nende failide asukoht on määratud järgmise registri alamvõtmega:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Vaikeasukoht on %windir%\Ntds. Täpsemalt välistage järgmised failid:
- Ntds.dit
- Ntds.pat
Välistage Active Directory tehingulogifailid. Nende failide asukoht on määratud järgmise registri alamvõtmega:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Vaikeasukoht on %windir%\Ntds. Täpsemalt välistage järgmised failid:
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
Välistage failid NTDS-i töökaustas, mis on määratud järgmise registri alamvõtmega:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Täpsemalt välistage järgmised failid:
- Temp.edb
- Edb.chk

SYSVOL-failide kontrollimise väljalülitamine

Lülitage failide skannimine välja kaustas Sysvol\Sysvol või kaustas SYSVOL_DFSR\Sysvol.Kausta Sysvol\Sysvol või SYSVOL_DFSR\Sysvol ja kõigi alamkaustade praegune asukoht on failisüsteemi koopiakomplekti juure sihtmärk. Kaustades Sysvol\Sysvol ja SYSVOL_DFSR\Sysvol kasutatakse vaikimisi järgmisi asukohti.

%systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

Parajasti aktiivse SYSVOL-i teele viitab NETLOGON-i osa ja selle saab määratleda järgmise alamvõtme SysVol väärtuse nimega:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Välistage sellest kaustast ja kõigist selle alamkaustadest järgmised failid:
- *.Adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.Aas
- *.Inf
- Scripts.ini
- *.Ins
- Oscfilter.ini
Lülitage välja failide kontrollimine DFSR-andmebaasis ja töökaustades. Asukoht on määratud järgmise registri alamvõtmega:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Selles registri alamvõtmes on "Tee" XML-faili tee, mis sisaldab tiražeerimisrühma nime. Selles näites sisaldaks tee teksti "Domain System Volume" (Domeeni süsteemidraiv). Vaikeasukoht on järgmine peidetud kaust:

%systemdrive%\Süsteemidraivi teave\DFSR Välistage sellest kaustast ja kõigist selle alamkaustadest järgmised failid:
- $db_normal$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_räpane$
- $db_clean$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.Logi
- Fsr*.jrs
- Tmp.edb
Märkus Kui mõni neist kaustadest või failidest teisaldatakse või paigutatakse mõnda teise asukohta, skannige samaväärne element või jätke see välja.

DFS-failide kontrollimise väljalülitamine

SYSVOL-koopiakomplekti jaoks välistatud ressursid tuleb välistada ka juhul, kui DFSR-i kasutatakse nende osade kopeerimiseks, mis on vastendatud DFS-i juur- ja linkimissihtmärkidega Windows Server liikmearvutites või domeenikontrollerites.

DHCP-failide kontrollimise väljalülitamine

Vaikimisi on välistatavad DHCP-failid serveris järgmises kaustas:

%systemroot%\System32\DHCP

Välistage sellest kaustast ja kõigist selle alamkaustadest järgmised failid:

*.mdb
*.Pat
*.Logi
*.chk
*.edb

DHCP-failide asukohta saab muuta. DHCP-failide praeguse asukoha määramiseks serveris kontrollige järgmises registri alamvõtmes määratud parameetreid DatabasePath, DhcpLogFilePath ja BackupDatabasePath :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

DNS-failide kontrollimise väljalülitamine

Vaikimisi kasutab DNS järgmist kausta:

%systemroot%\System32\Dns Välista sellest kaustast ja kõigist selle alamkaustadest järgmised failid:

*.Logi
*.Dns
SAABAS

WINS-failide kontrollimise väljalülitamine

WinS kasutab vaikimisi järgmist kausta:

%systemroot%\System32\Wins

Välistage sellest kaustast ja kõigist selle alamkaustadest järgmised failid:

*.chk
*.Logi
*.mdb

Arvutites, kus töötab Windowsi Hyper-V-põhine versioon

Mõnel juhul võib Windows Server arvutites, kuhu on installitud Hyper-V roll, olla vaja konfigureerida viirusetõrjetarkvara reaalajas skannimise komponent nii, et see välistaks failid ja terved kaustad. Lisateavet leiate järgmisest teabebaasi artiklist:

961804Virtuaalarvutid puuduvad või virtuaalarvuti käivitamisel või loomisel ilmneb tõrge 0x800704C8, 0x80070037 või 0x800703E3

Järgmised toimingud

Kui selles artiklis antud soovitused parandavad teie süsteemi jõudlust või stabiilsust, pöörduge viirusetõrjetarkvara tootja poole juhiste saamiseks või viirusetõrjetarkvara värskendatud versiooni või sätete saamiseks.

Märkus Teie kolmanda osapoole viirusetõrjetarkvara tootja saab Microsofti tugimeeskonnaga majanduslikult mõistlikult koostööd teha.

Viited

Microsofti teenuselepe

Microsofti teenuste leping

Microsoft Virus Initiative

Muudatuste ajalugu

Järgmises tabelis on kokkuvõte selle teema kõige olulisematest muudatustest.

Kuupäev	Kirjeldus
17. august 2021	Värskendatud on märkust jaotises "Lisateave" "Märkus Windows 10, Windows Server 2016 ja uuemad..."
2. november 2021	Värskendatud märkus jaotises "Lisateave" "See kehtib ka Windows Server 2012 R2..."
14. märts 2022	Läbivaadatud terve artikkel. Lisati jaotised "Symptoms" (Sümptomid) ja "Resolution" (Lahendus) ning korraldati ülejäänud sisu ümber.
14. juuli 2023	Lisati jaotisesse Sissejuhatus kolmas täpiüksus. Lisati jaotise pealkiri "Sümptomid". Eemaldati jaotis "Lisateave".
7. august 2023	Lahendatud on paigutusprobleemid, mis jooksid välistuste loendites koos mitme reaga.
22. mai 2025	Windows Server 2008 ja Windows 7 eemaldati versioonist "Kehtib järgmisele" ja kustutati kogu seotud sisu. Lisati Windows Server 2025 väljale "Kehtib järgmise jaoks". Värskendatud ristviitelingid.