Viiruste skannimise soovitused Enterprise ' i arvutites, kus töötab praegu Windowsi toetatud versioonid

Kehtib järgmiste toodete kohta:

Windows Server 2012, kõik väljaanded Windows Server 2012 R2, kõik väljaanded Windows Server 2016, kõik väljaanded Windows Server 2019, kõik väljaanded Windows 7, kõik väljaanded Windows 8,1, kõik väljaanded Windows 10, kõik väljaanded

Tutvustus

See artikkel sisaldab soovitusi, mis võivad aidata administraatoril määrata võimaliku ebastabiilsuse põhjuse arvutis, kus töötab Microsoft Windowsi toetatud versioon, kui seda kasutatakse koos viirusetõrjetarkvaraga Active Directory domeenis. keskkonnas või hallatavas ärikeskkonnas. Märkus. Soovitame süsteemi käitumise hindamiseks neid sätteid ajutiselt rakendada. Kui teie süsteemi jõudlust või stabiilsust parandavad selles artiklis esitatud soovitused, võtke ühendust oma viirusetõrjetarkvara tarnijaga, et saada juhiseid või viirusetõrjetarkvara värskendatud versiooni või sätteid. NB!See artikkel sisaldab teavet, mis näitab, kuidas vähendada turvasätteid või kuidas arvuti turvaelemente ajutiselt välja lülitada. Saate teha need muudatused konkreetse probleemi olemuse mõistmiseks. Enne nende muudatuste tegemist soovitame teil hinnata ohte, mis on seotud selle vastukaalu rakendamisega teie konkreetses keskkonnas. Kui rakendate selle lahenduse, võtke arvuti kaitsmiseks vajalikud meetmed.

Lisateave

Arvutites, kus töötab Windows 7 ja uuemad Windowsi versioonid

HoiatusSee lahendus võib muuta arvuti või võrgu kaitsetumaks pahatahtlike kasutajate või ründetarkvara (nt viiruste) rünnakute eest. Me ei soovita seda lahendust, vaid edastame seda teavet, et saaksite seda lahendust oma äranägemisel rakendada. Kasutage seda lahendust omal riisikol.

Märkus. Windows Defender sooritab automaatselt viiruste otsimise, alustades Windows Server 2016 (ja Windows 10). Lugege teemat Windows Defenderi viirusetõrje väljaarvamiste konfigureerimine opsüsteemis Windows Server. Märkused.

Oleme teadlikud, et selles artiklis mainitud failid või kaustad, mis on teie viirusetõrjetarkvara tehtud, ei hõlma. Teie süsteem on turvalisem, kui te ei välista ühtegi faili või kausta skannimist.
Kui skannite neid faile, võivad jõudluse ja operatsioonisüsteemi usaldatavuse probleemid tekkida failide lukustamise tõttu.
Ärge välistage faili failinime laiendi põhjal ühtegi neist failidest. Näiteks ärge välistage kõiki faile, mille laiend on. dit. Microsoft ei kontrolli muid faile, mis võivad sama laiendit kasutada käesolevas artiklis kirjeldatud failidena.
Selles artiklis on ära toodud nii failinimed kui ka kaustad, mida saab välistada. Kõik selles artiklis kirjeldatud failid ja kaustad on kaitstud vaikimisi lubadega, et lubada ainult süsteemi ja administraatori juurdepääsu ning need sisaldavad ainult operatsioonisüsteemi komponente. Kogu kausta välistamine võib olla lihtsam, kuid see ei pruugi anda nii palju kaitset, kui välja arvata faili nimede põhjal teatud failid.

Windows Update ' i või automaatse värskendamise seotud failide skannimise väljalülitamine

Lülitage välja Windows Update ' i või automaatse värskendamise andmebaasifaili (DataStore. EDB) skannimine. See toimik asub järgmises kaustas:

%windir%\SoftwareDistribution\Datastore
Lülitage välja logifailide skannimine, mis asuvad järgmises kaustas.

%windir%\SoftwareDistribution\Datastore\Logs Konkreetselt välistage järgmised failid.
- Edb*.jrs
- Edb.chk
- Tmp.edb
Metamärkide (*) märk näitab, et võib olla mitu faili.

Windowsi turvalisuse failide skannimise väljalülitamine

Lisage loendi välistused%windir%\Security\Database tee järgmised failid.
- *.edb
- *.sdb
- *.log
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
Märkus. kui need failid pole välistatud, võib viirusetõrjetarkvara takistada nende failide nõuetekohast juurdepääsu ja turbe andmebaasid võivad olla rikutud. Nende failide skannimine võib takistada failide kasutamist või takistada turvapoliitika rakendamist failidele. Neid faile ei tohiks skannida, kuna viirusetõrjetarkvara ei pruugi neid õigesti käsitleda kui varaliste andmebaaside failid. Need on soovitatavad välistused. Võivad olla ka muud failitüübid, mida see artikkel ei hõlma.

Rühmapoliitika seotud failide skannimise väljalülitamine

Rühmapoliitika kasutaja registri teave. Need failid asuvad järgmises kaustas.

%allusersprofile%\ Konkreetselt välistage järgmine pilt.

NTUser.pol
Rühmapoliitika kliendi sätete failid. Need failid asuvad järgmises kaustas.

%SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\ Konkreetselt välistage järgmised failid.

Registry.pol Registry.tmp

Kasutajaprofiili failide skannimise väljalülitamine

Kasutaja registri teave ja tugifailid. Failid asuvad järgmises kaustas.

userprofile%\ Konkreetselt välistage järgmised failid.

NTUser.dat*

Viirusetõrje tarkvara käitamine domeenikontrollerid

Kuna domeenikontrollerid pakuvad klientidele olulist teenust, tuleb minimeerida pahatahtlikust koodist, ründevarast või viirusest tulenevate tegevuste katkemise oht. Viirusetõrjetarkvara on nakatumise riski vähendamiseks üldiselt aktsepteeritav viis. Viirusetõrjetarkvara installimine ja konfigureerimine nii, et domeenikontrolleri riski vähendatakse nii palju kui võimalik ja jõudlus on võimalikult vähe mõjutatud. Järgmine loend sisaldab soovitusi, mis aitavad teil konfigureerida ja installida viirusetõrje tarkvara Windows Serveri domeenikontrolleris. HoiatusSoovitatav on rakendada test süsteemile järgmine määratud konfiguratsioon, et veenduda, et teie konkreetses keskkonnas ei rakendata ootamatuid tegureid või ohustatakse süsteemi stabiilsust. Liiga palju skannimise oht on see, et failid on sobimatult märgitud muudetud kujul. See põhjustab Active Directorys liiga palju replikatsiooni. Kui testimise käigus kontrollitakse, et järgmised soovitused ei mõjuta replikatsiooni, saate rakendada viirusetõrje tarkvara tootmise keskkonda. Märkus. Viirusetõrjetarkvara tarnijate konkreetsed soovitused võivad selle artikli soovitusi asendada.

Kõik ettevõtte domeenikontrollerid peavad olema installitud viirusetõrje tarkvara. Ideaaljuhul proovige installida selline tarkvara kõigis teistes serverites ja klientarvutites, mis peavad olema seotud domeenikontrollerite kasutamisega. See on optimaalne püüda ründevara kõige varasemal hetkel, näiteks tulemüüri või kliendi süsteemis, kus pahavara on sisse toodud. See takistab ründevara kunagi jõudmist infrastruktuuri süsteemidesse, mille kliendid sõltuvad.
Kasutage viirusetõrje tarkvara versiooni, mis on loodud töötama Active Directory domeenikontrollerid ja mis kasutab serveris olevatele failidele juurdepääsemiseks õigeid rakenduste programmeerimise liideseid (API-sid). Enamiku tarnijate varasemate versioonide korral ei saa faili skannimise ajal faili metaandmeid muuta. See põhjustab faili replikatsiooni teenuse mootori tuvastamise faili muutmise ja seetõttu Kavandage faili replikatsiooni. Uuemad versioonid väldivad seda probleemi. Lisateavet leiate Microsofti teabebaasi artiklist:

815263Viirusetõrje-, varundus-ja ketta optimeerimise programmid, mis ühilduvad failidega tiražeerimise teenusega
Ärge kasutage domeenikontrollerit Interneti sirvimiseks või muude toimingute tegemiseks, mis võivad pahatahtliku koodi kasutusele võtta.
Soovitame teil minimeerida domeenikontrollerid töökoormusi. Vältige võimaluse korral domeenikontrollerite kasutamist failiserveri rollis. See vähendab viiruste skannimise tegevust ja minimeerib jõudluse üldkulud.
Ärge paigutage Active Directory või FRS-andmebaas ja logifailid NTFS-failisüsteemi tihendatud draividele.

Active Directory ja Active Directory seotud failide skannimise väljalülitamine

Välistage peamised NTDS-i andmebaasi failid. Nende failide asukoht määratakse järgmises registri alamvõtmes.

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Vaikeasukoht on%windir%\Ntds. Konkreetselt välistage järgmised failid.

Ntds.dit Ntds.pat
Välistage Active Directory tehingulogi failid. Nende failide asukoht määratakse järgmises registri alamvõtmes.

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Logi failide tee Vaikeasukoht on%windir%\Ntds. Konkreetselt välistage järgmised failid.
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
Välistage järgmises registri alamvõtmes määratud NTDS-i töökaustas olevad failid.

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA töö kataloog Konkreetselt välistage järgmised failid.
- Temp.edb
- Edb.chk

SYSVOL failide skannimise väljalülitamine

Lülitage välja failide skannimine faili tiražeerimise teenuses (FRS) töötava kausta, mis on määratud järgmises registri alamvõtmes.

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working kataloog Vaikeasukoht on%windir%\Ntfrs. Välistage järgmised failid, mis on kaustas olemas.
- EDB. chk kaustas %windir%\Ntfrs\jet\sys
- NTFRS. jdb kaustas %windir%\Ntfrs\jet
- *. Logi sisse kausta %windir%\Ntfrs\jet\log
Lülitage välja järgmises registri alamvõtmes määratud FRS-andmebaasi logifailide failide skannimine.

HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB logifaili kataloog Vaikeasukoht on%windir%\Ntfrs. Välistage järgmised failid. Märkus. Teatud failidega seotud erandite sätted on siin terviklikkuse osas dokumenteeritud. Vaikimisi lubavad need kaustad juurdepääsu ainult süsteemile ja administraatoritele. Kontrollige, kas õiged kaitsevahendid on paigas. Need kaustad sisaldavad ainult FRS ja DFSR komponente.
- EDB*. log (kui registrivõtit pole määratud)
- FRS töötab Dir\Jet\Log\Edb *. jrs
Lülitage välja NTFRS-i kausta skannimine, nagu on määratud järgmises registri alamvõtmes.

HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica seadmine Vaikimisi kasutab lavastus järgmist asukohta:

%systemroot%\Sysvol\Staging alad
Lülitage välja DFSR-tellimuse skannimine, nagu see on määratud objekti KN = SYSVOL tellimus, CN = Domain System Volume, CN = DFSR-LocalSettings, CN = DomainControllerName, OU = domeenikontrollerid, DC = domeeninimi AD DS-is msDFSR-StagingPath . See atribuut sisaldab tegelikku asukohta, mida DFS-i replikatsioon kasutab Stage ' i failidena. Konkreetselt välistage järgmised failid.
- Ntfrs_cmp*.*
- *.frx
Lülitage failide skannimine välja kaustast Sysvol\Sysvol või kaustast SYSVOL_DFSR \Sysvol. Kausta Sysvol\Sysvol või SYSVOL_DFSR \Sysvol praegune asukoht ja kõik alamkaustad on failisüsteemi ümbersõelumine, mille eesmärk on replica Set root. Sysvol\Sysvol ja SYSVOL_DFSR \Sysvol kaustad kasutavad vaikimisi järgmisi asukohti.

%systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

Praeguse aktiivse SYSVOL tee on viidatud NETLOGON-i ühiskasutusse ja seda saab määrata järgmise alamvõtme Sysvol väärtuse nime järgi:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Välistage järgmised failid sellest kaustast ja kõigist alamkaustadest.
- *.adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.aas
- *.inf
- Scripts.ini
- *.ins
- Oscfilter.ini
Lülitage välja FRS eelinstalli kaustas olevate failide skannimine järgmises asukohas.

Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory Eelinstalli kaust on alati avatud, kui FRS töötab. Välistage järgmised failid sellest kaustast ja kõigist alamkaustadest.
- Ntfrs*.*
Lülitage välja DFSR-andmebaasis ja töökaustades olevate failide skannimine. Asukoha määrab järgmine registri alamvõti:

HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration faili = Path Selles registri alamvõtmes on "Path" selle XML-faili tee, mis märgib replikatsiooni rühma nime. Selles näites peaks tee sisaldama domeeni süsteemi helitugevust. Vaikeasukoht on järgmine peidetud kaust:

%systemdrive%\System helitugevuse Information\DFSR Välistage järgmised failid sellest kaustast ja kõigist alamkaustadest. Kui mõni neist kaustadest või failidest teisaldatakse või paigutatakse mõnda muusse asukohta, skannige või välistage samaväärne element.
- $db_normal$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_dirty$
- $db_clean$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.log
- Fsr*.jrs
- Tmp.edb

DFS-failide skannimise väljalülitamine

Samad ressursid, mis ei kuulu SYSVOL koopiakomplekti, tuleb välistada ka siis, kui FRS või DFSR kasutatakse dubleerimiseks, mis on vastendatud DFS-i juur-ja link eesmärgid Windows Server 2008 R2 või Windows Server 2008-põhise liikme arvutites või domeenis kontrollerite.