Virustarkistussuositukset Windows- tai Windows Server (KB822158) -tietokoneille

Koskee seuraavia: Windows Server 2025, kaikki versiot Windows Server 2022, kaikki versiot Windows Server 2019, kaikki versiot Windows Server 2016, kaikki versiot Windows Server 2012 R2, kaikki versiotWindows Server 2012, kaikki versiot Windows 11, kaikki versiot Windows 10, kaikki versiot

Johdanto

Tässä artikkelissa on suosituksia, joiden avulla järjestelmänvalvoja voi selvittää mahdollisen epävakauden syyn seuraavassa skenaariossa:

Ongelma ilmenee tietokoneessa, jossa on Windows-versio tai Windows Server, joka on lueteltu Koskee seuraavia -osassa.
Paikallista järjestelmää käytetään yhdessä virustentorjuntaohjelmiston kanssa Active Directory -toimialueen ympäristössä tai hallitussa liiketoimintaympäristössä.
Jos käytät Microsoft Defender virustentorjuntaa, jotkin tai kaikki tässä artikkelissa mainitut poikkeukset voivat olla sisäänrakennettuja tai automaattisia poissulkemisia. Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Defender for Endpoint- ja Microsoft Defender virustentorjunnan poikkeusten hallinta
- virustentorjunnan Microsoft Defender poissulkemisten määrittäminen Windows Server

Oireet

Windows- tai Windows Server-pohjaisessa tietokoneessasi on seuraavat ongelmat:

Järjestelmän suorituskyky
- Korkea suoritin tai suorittimen käytön lisääntyminen
  - Käyttäjätila
  - Ydintilassa
- Ytimen muistivuodot
  - Sivuamaton varanto
  - Sivutettu varanto
  - Kahvan vuoto
- Hitaus
  - Tiedostokopio, kun käytät Resurssienhallintaa
    - Tiedostokopio, kun käytät konsolisovellusta (esimerkiksi cmd.exe)
  - Varmuuskopiointitoiminnot
Vakaus
- Sovelluksen hitaus
  - Jaetun verkkoresurssin tai yhdistetyn aseman käyttäminen
  - Resurssienhallinnan tilapäinen vastausten puute
- Sovellusvirhe
  - Käyttöoikeusrikkomus
- Sovellus lakkaa vastaamasta
  - Lukkiutuminen
    - Etätoimintosarjakutsu (RPC)
    - Nimetyt putket
  - Kilpailuolosuhteet
  - Yksityiset tavut muistivuoto
  - Virtuaalitavujen muistivuoto
  - Virtuaalitavujen muistin pirstoutuminen
Käyttöjärjestelmän luotettavuusongelmat
- Järjestelmä lakkaa vastaamasta (sinun on pakotettava uudelleenkäynnistys palauttaaksesi)
  - Lukkiutuminen
  - Kilpailuolosuhteet
  - Vuotojen käsitteleminen
  - Sivuamattomat varannon vuodot
  - Sivutetut varannon vuodot
Pysäytysvirheet (kutsutaan myös virheentarkistuksiksi)
- Virheentarkistuskoodin tulkitseminen
- Virheentarkistuksen koodiviittaus

Lisätietoja on seuraavissa artikkeleissa:

Järjestelmä lakkaa vastaamasta, tiedostopalvelimen suorituskyky hidastuu tai tiedostopalvelimessa olevia tiedostoja käsiteltäessä ilmenee viiveitä

Ratkaisu

Ennen kuin lisäät virustentorjuntaan poikkeuksia, toimi seuraavasti:

Päivitä kolmannen osapuolen virustentorjuntaohjelman määritelmät. Jos ongelma jatkuu, lähetä virheellinen positiivinen (FP) kolmannen osapuolen virustentorjuntaohjelman toimittajan tukeen.
Varmista, että et ole määrittänyt tiettyä toimintoa paatuneessa tai aggressiivisessa tilassa, joka aiheuttaa enemmän seuraavista oireista:
- Väärät positiiviset
- Sovellusten yhteensopivuusongelmat
- Resurssien käytön lisääntyminen (esimerkiksi suorittimen suuri käyttö (käyttäjätila tai ydintila) tai suuri muistin käyttö (käyttäjätila tai ydintila)
- Hidastuu
- Sovellukset lakkaavat vastaamasta
- Sovellusvirheet
- Järjestelmä, joka ei vastaa
Päivitä kolmannen osapuolen virustentorjuntaohjelman versio. Lisätietoja testauksesta on ohjeaiheessa Ydintilan suodatinohjaimen aktivoinnin poistaminen tilapäisesti Windowsissa
Tee vianmääritys kolmannen osapuolen virustentorjuntaohjelmiston toimittajan kanssa. Voit joutua käyttämään seuraavia kehittyneitä tietoja, jotta voit kaventaa ongelmaa:

Vaihtoehtoinen menetelmä

TärkeäTässä artikkelissa on tietoja, joiden avulla voit pienentää suojausasetuksia tai poistaa tietokoneen suojausominaisuudet käytöstä tilapäisesti. Voit tehdä nämä muutokset ymmärtääksesi tietyn ongelman luonteen. Ennen kuin teet nämä muutokset, suosittelemme, että arvioit riskit, jotka liittyvät tämän vaihtoehtoisen menetelmän käyttöönottoon tietyssä ympäristössäsi. Jos otat tämän vaihtoehtoisen menetelmän käyttöön, suojaa tietokone suorittamalla tarvittavat lisätoimet.

Varoitus

Emme suosittele tätä vaihtoehtoista menetelmää. Annamme kuitenkin nämä tiedot, jotta voit toteuttaa tämän vaihtoehtoisen menetelmän oman harkintasi mukaan. Käytä tätä vaihtoehtoista menetelmää omalla vastuullasi.
Tämä vaihtoehtoinen menetelmä saattaa altistaa tietokoneen tai verkon haittaohjelmien, kuten virusten, hyökkäyksille.
Suosittelemme, että otat nämä asetukset käyttöön tilapäisesti järjestelmän toiminnan arvioimiseksi.
Olemme tietoisia siitä, että virustentorjuntaohjelmiston tekemien tarkistusten ulkopuolelle voidaan jättää tässä artikkelissa mainitut tiedostot tai kansiot. Järjestelmäsi on turvallisempi, jos et jätä tiedostoja tai kansioita pois skannauksista.
Kun tarkistat nämä tiedostot, suorituskykyyn ja käyttöjärjestelmän luotettavuuteen saattaa liittyä ongelmia tiedostojen lukitsemisen vuoksi.
Älä sulje pois mitään näistä tiedostoista tiedostonimen tunnisteen perusteella. Älä esimerkiksi jätä pois kaikkia tiedostoja, joiden tunniste on .dit. Microsoft ei voi hallita muita tiedostoja, jotka saattavat käyttää samoja laajennuksia kuin tässä artikkelissa kuvatut tiedostot.
Tässä artikkelissa on sekä tiedostonimiä että kansioita, jotka voidaan jättää pois. Kaikki tässä artikkelissa kuvatut tiedostot ja kansiot on suojattu oletusarvoisesti, jotta vain JÄRJESTELMÄ ja järjestelmänvalvoja voivat käyttää niitä, ja ne sisältävät vain käyttöjärjestelmän osia. Koko kansion sulkeminen pois voi olla helpompaa, mutta se ei välttämättä tarjoa yhtä paljon suojausta kuin tiettyjen tiedostojen sulkeminen tiedostonimien perusteella.
Virustentorjuntaohjelmien poissulkemisten lisäämisen pitäisi aina olla viimeinen keino, jos mikään muu vaihtoehto ei ole mahdollinen.

Windows Update- tai Automaattisen päivityksen tiedostojen tarkistuksen poistaminen käytöstä

Poista Windows Update tai Automaattisen päivityksen tietokantatiedoston (Datastore.edb) tarkistus käytöstä. Tämä tiedosto sijaitsee seuraavassa kansiossa:

%windir%\SoftwareDistribution\Datastore
Poista seuraavan kansion lokitiedostojen tarkistus käytöstä:

%windir%\SoftwareDistribution\Datastore\Logs Jätä erityisesti seuraavat tiedostot pois:
- Edb*.jrs
- Edb.chk
- Tmp.edb
Yleismerkki (*) ilmaisee, että tiedostoja voi olla useita.

Windowsin suojaus tiedostojen tarkistuksen poistaminen käytöstä

Lisää seuraavat tiedostot poikkeusluettelon %windir%\Security\Database-polkuun:
- *.Edb
- *.Sdb
- *.loki
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
Huomautus Jos näitä tiedostoja ei jätetä pois, virustentorjuntaohjelmisto saattaa estää näiden tiedostojen asianmukaisen käytön ja suojaustietokannat voivat vioittua. Näiden tiedostojen skannaaminen voi estää tiedostojen käytön tai estää suojauskäytännön käyttämisen tiedostoissa. Näitä tiedostoja ei pidä tarkistaa, koska virustentorjuntaohjelmisto ei ehkä käsittele niitä oikein tietokantatiedostoina.Nämä ovat suositellut poikkeukset. Saattaa olla muitakin tiedostotyyppejä, joita ei sisällytetä tähän artikkeliin, jotka on jätettävä pois.

ryhmäkäytäntö liittyvien tiedostojen tarkistuksen poistaminen käytöstä

ryhmäkäytäntö käyttäjärekisteritiedot. Nämä tiedostot sijaitsevat seuraavassa kansiossa:

Tietokone: %allusersprofile%\ Käyttäjät: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ Jätä erityisesti seuraava tiedosto pois:

NTUser.pol
ryhmäkäytäntö asiakasasetustiedostoja. Nämä tiedostot sijaitsevat seuraavassa kansiossa:

%SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\ Jätä erityisesti seuraavat tiedostot pois:

Registry.pol Registry.tmp

Käyttäjäprofiilitiedostojen tarkistuksen poistaminen käytöstä

Käyttäjän rekisteritiedot ja tukitiedostot. Tiedostot sijaitsevat seuraavassa kansiossa: %userprofile%\ Jätä erityisesti seuraavat tiedostot pois: NTUser.dat*

Virustentorjuntaohjelmiston suorittaminen toimialueen ohjauskoneissa

Koska toimialueen ohjauskoneet tarjoavat asiakkaille tärkeän palvelun, haittaohjelmasta tai viruksesta aiheutuvat häiriöt on minimoitava. Virustentorjuntaohjelmisto on yleisesti hyväksytty tapa vähentää tartuntariskiä. Asenna ja määritä virustentorjuntaohjelmisto niin, että toimialueen ohjauskoneeseen aiheutuva riski vähenee mahdollisimman paljon ja suorituskyky vaikuttaa mahdollisimman vähän. Seuraavassa luettelossa on suosituksia, joiden avulla voit määrittää ja asentaa virustentorjuntaohjelmiston Windows Server toimialueen ohjauskoneeseen.Varoitus Suosittelemme, että otat testijärjestelmään käyttöön seuraavan määritetyn määrityksen varmistaaksesi, että tässä ympäristössä tämä määritys ei tuo odottamattomia tekijöitä tai vaaranna järjestelmän vakautta. Liian suuren tarkistuksen vaarana on, että tiedostot merkitään sopimattomasti muuttuneiksi. Tämä aiheuttaa liikaa replikointia Active Directoryssa. Jos testaus varmistaa, että seuraavat suositukset eivät vaikuta replikointiin, voit ottaa virustentorjuntaohjelmiston käyttöön tuotantoympäristössä.Muistiinpano Virustentorjuntaohjelmistojen toimittajien suositukset saattavat syrjäyttää tämän artikkelin suositukset.

Virustentorjuntaohjelmisto on asennettava yrityksen kaikkiin toimialueen ohjauskoneisiin. Ihannetapauksessa yritä asentaa tällainen ohjelmisto kaikkiin muihin palvelin- ja asiakasjärjestelmiin, joiden on oltava vuorovaikutuksessa toimialueen ohjauskoneiden kanssa. Haittaohjelmat on optimaalinen saada kiinni aikaisintaan, kuten palomuurissa tai asiakasjärjestelmässä, jossa haittaohjelma otetaan käyttöön. Tämä estää haittaohjelmia pääsemästä infrastruktuurijärjestelmiin, joista asiakkaat ovat riippuvaisia.
Käytä virustentorjuntaohjelmiston versiota, joka on suunniteltu toimimaan Active Directory -toimialueen ohjauskoneiden kanssa ja jossa käytetään oikeita ohjelmointirajapintoja (API) palvelimen tiedostojen käyttämiseen. Useimpien toimittajaohjelmistojen vanhemmat versiot muuttavat sopimattomasti tiedoston metatietoja, kun tiedosto tarkistetaan.
Älä käytä toimialueen ohjauskonetta Internetin selaamiseen tai muihin toimiin, jotka saattavat sisältää haitallista koodia.
Suosittelemme, että pienennät toimialueen ohjauskoneiden työmäärät. Jos esimerkiksi mahdollista, vältä toimialueen ohjauskoneiden käyttämistä tiedostopalvelimen roolissa. Tämä käytäntö vähentää virustarkistuksen toimintaa jaetuissa tiedostoissa ja vähentää suorituskyvyn yleistymisen.
Älä sijoita Active Directory- ja lokitiedostoja NTFS-tiedostojärjestelmän pakattuihin asemiin.

Active Directoryyn ja Active Directoryyn liittyvien tiedostojen tarkistuksen poistaminen käytöstä

Jätä pois NTDS-päätietokantatiedostot. Näiden tiedostojen sijainti määritetään seuraavassa rekisterin aliavaimissa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Oletussijainti on %windir%\Ntds. Jätä erityisesti seuraavat tiedostot pois:
- Ntds.dit
- Ntds.pat
Jätä Pois Active Directoryn tapahtumalokitiedostot. Näiden tiedostojen sijainti määritetään seuraavassa rekisterin aliavaimissa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Oletussijainti on %windir%\Ntds. Jätä erityisesti seuraavat tiedostot pois:
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
Jätä pois seuraavan rekisterin aliavaimen määrittämän NTDS-työkansion tiedostot:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Jätä erityisesti seuraavat tiedostot pois:
- Temp.edb
- Edb.chk

SYSVOL-tiedostojen tarkistuksen poistaminen käytöstä

Poista tiedostojen tarkistus käytöstä Sysvol\Sysvol-kansiossa tai SYSVOL_DFSR\Sysvol-kansiossa.Sysvol\Sysvol- tai SYSVOL_DFSR\Sysvol-kansion ja kaikkien alikansioiden nykyinen sijainti on replikajoukon pääkansion tiedostojärjestelmän uudelleenjakamiskohde. Sysvol\Sysvol- ja SYSVOL_DFSR\Sysvol-kansiot käyttävät oletusarvoisesti seuraavia sijainteja:

%systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

Nykyiseen aktiiviseen SYSVOL-polkuun viitataan NETLOGON-jaalla, ja sen voi määrittää sysvol-arvon nimi seuraavassa aliavaimessa:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:
- *.Adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.AAS
- *.Inf
- Scripts.ini
- *.INS
- Oscfilter.ini
Poista tiedostojen tarkistus käytöstä DFSR-tietokannassa ja työkansioissa. Sijainti määritetään seuraavassa rekisterin aliavaimen kohdassa:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Tässä rekisterin aliavaimessa Polku on SELLAISEN XML-tiedoston polku, joka sisältää replikointiryhmän nimen. Tässä esimerkissä polku sisältää "Domain System Volume". Oletussijainti on seuraava piilotettu kansio:

%systemdrive%\System Volume Information\DFSR Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:
- $db_normal$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_dirty$
- $db_clean$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.loki
- Fsr*.jrs
- Tmp.edb
Huomautus Jos jokin näistä kansioista tai tiedostoista siirretään tai sijoitetaan toiseen sijaintiin, tarkista tai jätä pois vastaava elementti.

DFS-tiedostojen tarkistuksen poistaminen käytöstä

Samat resurssit, jotka jätetään pois SYSVOL-replikajoukosta, on myös jätettävä pois, jos DFSR:ää käytetään replikoimaan jakoja, jotka on yhdistetty DFS-pääkansioon, ja linkittämään kohteita Windows Server jäsentietokoneissa tai toimialueen ohjauskoneissa.

DHCP-tiedostojen tarkistuksen poistaminen käytöstä

Oletusarvoisesti DHCP-tiedostot, jotka on jätettävä pois, ovat palvelimessa seuraavassa kansiossa:

%systemroot%\System32\DHCP

Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:

*.mdb
*.taputtaa
*.loki
*.chk
*.Edb

DHCP-tiedostojen sijaintia voi muuttaa. Voit selvittää DHCP-tiedostojen nykyisen sijainnin palvelimessa tarkistamalla DatabasePath-, DhcpLogFilePath- ja BackupDatabasePath-parametrit , jotka on määritetty seuraavassa rekisterin aliavaimissa:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

DNS-tiedostojen tarkistuksen poistaminen käytöstä

DNS käyttää oletusarvoisesti seuraavaa kansiota:

%systemroot%\System32\Dns Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:

*.loki
*.Dns
SAAPAS

WINS-tiedostojen tarkistuksen poistaminen käytöstä

WINS käyttää oletusarvoisesti seuraavaa kansiota:

%systemroot%\System32\Wins

Jätä seuraavat tiedostot pois tästä kansiosta ja kaikista sen alikansioista:

*.chk
*.loki
*.mdb

Tietokoneet, joissa on Käytössä Hyper-V-pohjainen Windows-versio

Joissakin tilanteissa Windows Server tietokoneissa, joihin on asennettu Hyper-V-rooli, virustentorjuntaohjelmiston reaaliaikainen tarkistuskomponentti on ehkä määritettävä niin, että tiedostot ja kokonaiset kansiot jätetään pois. Lisätietoja on seuraavassa Knowledge Base -tietokannan artikkelissa:

961804Virtuaalikoneet puuttuvat, tai virtuaalikoneen käynnistämisen tai luomisen yhteydessä tapahtuu virhe 0x800704C8, 0x80070037 tai 0x800703E3

Seuraavat vaiheet

Jos tämän artikkelin suositukset parantavat järjestelmän suorituskykyä tai vakautta, pyydä virustentorjuntaohjelmiston toimittajalta ohjeita tai virustentorjuntaohjelman päivitettyä versiota tai asetuksia.

Huomautus Kolmannen osapuolen virustentorjuntaohjelmiston toimittaja voi tehdä yhteistyötä Microsoftin tukitiimin kanssa kohtuullisella tavalla.

Lisätietoja

Microsoftin palvelusopimus

Microsoft-palveluiden sopimus

Microsoft Virus Initiative

Muutoshistoria

Seuraavassa taulukossa on yhteenveto tämän ohjeaiheen tärkeimmistä muutoksista.

Päivän	Kuvaus
17. elokuuta 2021	Päivitetty Lisätietoja-osion huomautus: "Huomautus Windows 10, Windows Server 2016 ja uudemmat..."
2. marraskuuta 2021	Päivitetty Lisätietoja-osion huomautus: "Tämä koskee myös Windows Server 2012 R2..."
14. maaliskuuta 2022	Muokattu koko artikkeli. Lisäsin "Oireet" ja "Tarkkuus" -osioita ja järjestit jäljellä olevan sisällön uudelleen.
14. heinäkuuta 2023	Lisäsin kolmannen luettelomerkin Johdanto-osaan. Lisätty "Oireet" -osan otsikko. Poisti Lisätietoja-osan.
7. elokuuta 2023, klo	Korjattu asetteluongelmat, jotka suorittivat useita rivejä yhdessä poikkeusluetteloissa.
22. toukokuuta 2025	Poistettu Windows Server 2008 ja Windows 7 kohdasta Koskee seuraavia ja poistanut kaiken siihen liittyvän sisällön. Lisätty Windows Server 2025 kohtaan "Koskee". Päivitetyt ristiviitelinkit.