Recommandations d’analyse antivirus pour les ordinateurs d’entreprise qui exécutent des versions de Windows prises en charge

S’applique à : Windows

Applicabilité :


Windows Server 2012 (toutes les éditions)
Windows Server 2012 R2 (toutes les éditions)
Windows Server 2016 (toutes les éditions)
Windows Server 2019 (toutes les éditions)
Windows 7 (toutes les éditions)
Windows 8.1 (toutes les éditions)
Windows 10 (toutes les éditions)

Introduction


Cet article contient des recommandations permettant à un administrateur de déterminer la cause de l’instabilité potentielle sur un ordinateur qui exécute une version prise en charge de Microsoft Windows qui est utilisée avec un logiciel antivirus dans un environnement de domaine Active Directory ou dans un environnement professionnel géré.

Remarque Il est recommandé d’appliquer temporairement ces paramètres pour évaluer le comportement du système. Si les performances ou la stabilité de votre système sont améliorées par les recommandations données dans cet article, contactez le fournisseur de votre antivirus pour obtenir des instructions ou une version à jour du logiciel.

Important Cet article contient des informations expliquant comment abaisser les paramètres de sécurité ou comment désactiver temporairement les fonctionnalités de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour comprendre la nature d’un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.

Informations supplémentaires


Pour les ordinateurs qui exécutent Windows 7 ou une version ultérieure de Windows

Avertissement Cette solution de contournement peut rendre votre ordinateur ou réseau vulnérable aux attaques par des utilisateurs ou des logiciels malveillants comme des virus. Cette solution de contournement n’est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l’appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement.

Remarque Windows Defender effectue automatiquement des analyses antivirus à partir de Windows Server 2016 (et Windows 10). Consultez l’article Configurer les exclusions de l’antivirus Windows Defender sur Windows Server.

Remarques

  • Microsoft connaît le risque lié à l’exclusion de fichiers ou de dossiers spécifiques mentionnés dans cet article dans les analyses effectuées par votre antivirus. Votre système sera mieux protégé si vous n’excluez pas de fichiers ou de dossiers des analyses. 
  • Lorsque vous analysez ces fichiers, des problèmes de performances et de fiabilité du système d’exploitation peuvent survenir en raison du verrouillage d’un fichier.
  • N’excluez aucun de ces fichiers en fonction de son extension. Par exemple, n’excluez aucun fichier présentant l’extension .dit. Microsoft ne contrôle pas les autres fichiers qui pourraient utiliser les mêmes extensions que les fichiers décrits dans cet article.
  • Cet article présente les noms de fichier et les dossiers qui peuvent être exclus. Tous les fichiers et dossiers décrits dans cet article sont protégés par les autorisations par défaut afin d’autoriser uniquement l’accès système et administrateur. De plus, ils contiennent uniquement des composants de système d’exploitation. Il peut être plus simple d’exclure un dossier complet. Toutefois, cette procédure peut ne pas offrir une meilleure protection que l’exclusion de fichiers spécifiques basée sur les noms de fichier.

Désactivation de l’analyse de fichiers associés à Windows Update ou à la mise à jour automatique

  • Désactivez l’analyse du fichier de base de données Windows Update ou de la mise à jour automatique (Datastore.edb). Ce fichier se trouve dans le dossier suivant :
    %windir%\SoftwareDistribution\Datastore
  • Désactivez l’analyse des fichiers journaux situés dans le dossier suivant :
    %windir%\SoftwareDistribution\Datastore\Logs
    Excluez en particulier les fichiers suivants :
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • Le caractère générique (*) indique la présence possible de plusieurs fichiers.

Désactivation de l’analyse des fichiers de sécurité Windows

  • Ajoutez les fichiers suivants dans le chemin d’accès %windir%\Security\Database de la liste des exclusions :
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    • *.xml
    • *.csv
    • *.cmtx
    Remarque Si ces fichiers ne sont pas exclus, l’antivirus peut empêcher l’accès correct à ces fichiers et les bases de données de sécurité peuvent être endommagées. L’analyse de ces fichiers peut empêcher leur utilisation ou l’application d’une stratégie de sécurité aux fichiers. Ces fichiers ne doivent pas être analysés, car le logiciel antivirus peut ne pas les traiter correctement comme des fichiers de bases de données propriétaires.

    Il s’agit des exclusions recommandées. Il peut toutefois exister d’autres types de fichiers à exclure qui ne sont pas répertoriés dans cet article.

Désactivation de l’analyse des fichiers associés à la stratégie de groupe

  • Informations sur le Registre de l’utilisateur de stratégie de groupe. Ces fichiers se trouvent dans le dossier suivant :
    %allusersprofile%\
    Excluez en particulier le fichier suivant :
    NTUser.pol
  • Fichiers de paramètres du client de stratégie de groupe. Ces fichiers se trouvent dans le dossier suivant :
    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\
    Excluez en particulier les fichiers suivants :
    Registry.pol
    Registry.tmp

Désactivation de l’analyse des fichiers de profil utilisateur

  • Informations du Registre utilisateur et fichiers de support. Ces fichiers se trouvent dans le dossier suivant :
    userprofile%\
    Excluez en particulier les fichiers suivants :
    NTUser.dat*

Exécution d’un antivirus sur les contrôleurs de domaine

Comme les contrôleurs de domaine fournissent un service important aux clients, le risque d’interruption de leurs activités provenant de code malveillant, d’un programme malveillant ou d’un virus doit être réduit. Le logiciel antivirus est la méthode généralement acceptée pour réduire les risques d’infection. Installez et configurez le logiciel antivirus afin que les risques sur le contrôleur de domaine soient réduits au maximum et que les performances soient affectées au minimum. La liste suivante contient des recommandations vous permettant de configurer et d’installer le logiciel antivirus sur un contrôleur de domaine Windows Server.

Avertissement Il est recommandé d’appliquer la configuration spécifiée ci-dessous sur un système de test pour vous assurer qu’elle n’introduit pas de facteurs inattendus, ni qu’elle compromette la stabilité du système dans votre environnement spécifique. Le risque lié à un nombre excessif d’analyses entraîne l’indication incorrecte de modification des fichiers. Ceci entraîne une réplication excessive dans Active Directory. Si les tests confirment que cette réplication n’est pas affectée par les recommandations suivantes, vous pouvez appliquer le logiciel antivirus à l’environnement de production.


Remarque Les recommandations spécifiques des fournisseurs d’antivirus peuvent remplacer les recommandations de cet article.
  • Le logiciel antivirus doit être installé sur tous les contrôleurs de domaine de l’entreprise. En premier lieu, essayez d’installer ce logiciel sur tous les autres systèmes serveur et client qui doivent interagir avec les contrôleurs de domaine. Il est souhaitable d’intercepter le logiciel malveillant au point le plus avancé, tel qu’au niveau du pare-feu ou du système client, là où le logiciel malveillant s’introduit en premier. Cela l’empêche définitivement d’atteindre les systèmes d’infrastructure dont les clients dépendent.
  • Utilisez une version de logiciel antivirus qui est conçue pour fonctionner avec les contrôleurs de domaine Active Directory et qui utilise les API (Application Programming Interfaces) correctes pour accéder aux fichiers sur le serveur. Les versions plus anciennes de la plupart des logiciels fournisseurs modifient de manière inappropriée les métadonnées d’un fichier lors de l’analyse de ce fichier. Ainsi, le moteur Service de réplication des fichiers reconnaît une modification de fichier et programme donc la réplication du fichier. Les dernières versions empêchent ce problème.
    Pour plus d’informations, consultez l’article suivant dans la Base de connaissances Microsoft :
    815263 Programmes antivirus, de sauvegarde et d’optimisation de disque compatibles avec le service de réplication de fichiers
  • N’utilisez pas de contrôleur de domaine pour parcourir le web ou pour exécuter toutes les autres activités qui peuvent introduire un code malveillant.
  • Nous vous recommandons de minimiser les charges de travail des contrôleurs de domaine. Dans la mesure du possible, évitez d’utiliser les contrôleurs de domaine dans un rôle de serveur de fichiers. Dans ce cas, vous affaiblissez le fonctionnement de l’antivirus dans les partages de fichiers et vous minimisez la surcharge de performances.
  • Ne stockez ni Active Directory, ni la base de données FRS, ni les fichiers journaux sur des volumes compressés du système de fichiers NTFS.

Désactivation de l’analyse d’Active Directory et des fichiers associés à Active Directory

  • Excluez les principaux fichiers de base de données NTDS. L’emplacement de ces fichiers est spécifié dans la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    L’emplacement par défaut est %windir%\Ntds. Excluez en particulier les fichiers suivants :
    Ntds.dit
    Ntds.pat
  • Excluez les fichiers du journal des transactions Active Directory. L’emplacement de ces fichiers est spécifié dans la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
     
    L’emplacement par défaut est %windir%\Ntds. Excluez en particulier les fichiers suivants :
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
  • Excluez les fichiers du dossier de travail NTDS spécifié dans la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Excluez en particulier les fichiers suivants :
    • Temp.edb
    • Edb.chk

Désactivation de l’analyse des fichiers SYSVOL

  • Désactivez l’analyse des fichiers dans le dossier de travail du service de réplication de fichiers (FRS) spécifié dans la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    L’emplacement par défaut est %windir%\Ntfrs. Excluez les fichiers suivants présents dans le dossier :
    • edb.chk dans le dossier %windir%\Ntfrs\jet\sys
    • Ntfrs.jdb dans le dossier %windir%\Ntfrs\jet
    • *.log dans le dossier %windir%\Ntfrs\jet\log
  • Désactivez l’analyse des fichiers journaux de la base de données FRS spécifiés dans la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    L’emplacement par défaut est %windir%\Ntfrs. Excluez les fichiers suivants :

    Remarque Les paramètres pour des exclusions de fichiers spécifiques sont présentés ici par souci d’exhaustivité. Par défaut, ces dossiers permettent uniquement l’accès au système et aux administrateurs. Vérifiez que les protections appropriées sont en place. Ces dossiers contiennent uniquement des fichiers de travail de composant pour FRS et DFSR.
    • Edb*.log (si la clé de Registre n’est pas définie)
    • FRS Working Dir\Jet\Log\Edb*.jrs
  • Désactivez l’analyse du dossier intermédiaire NTFRS de la manière spécifiée dans la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
    Par défaut, la gestion intermédiaire utilise l’emplacement suivant :
    %systemroot%\Sysvol\Staging areas
  • Désactivez l’analyse du dossier intermédiaire DFSR de la manière spécifiée dans l’attribut msDFSR-StagingPath de l’objet CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName dans AD DS. Cet attribut contient le chemin d’accès à l’emplacement réel utilisé par la réplication DFS pour assurer la gestion intermédiaire des fichiers. Excluez en particulier les fichiers suivants :
    • Ntfrs_cmp*.*
    • *.frx
  • Désactivez l’analyse des fichiers situés dans le dossier Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol.

    L’emplacement actuel du dossier Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol et de tous ses sous-dossiers est la cible d’analyse du système de fichiers de la racine du jeu de réplicas. Par défaut, les dossiers Sysvol\Sysvol et SYSVOL_DFSR\Sysvol utilisent les emplacements suivants :
    %systemroot%\Sysvol\Domain
    %systemroot%\Sysvol_DFSR\Domain
    Le chemin d’accès au dossier SYSVOL actif est référencé par le partage NETLOGON et peut être déterminé par le nom de la valeur SysVol dans la sous-clé suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
  • Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • Registry.tmp
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Désactivez l’analyse des fichiers dans le dossier de préinstallation FRS qui se trouve dans l’emplacement suivant :
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Le dossier de préinstallation est toujours ouvert lorsque FRS est en cours d’exécution.

    Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
    • Ntfrs*.*
  • Désactivez l’analyse des fichiers dans la base de données DFSR et les dossiers de travail. L’emplacement est indiqué par la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=chemin_accès
    Dans cette sous-clé de Registre, « chemin_accès » correspond au chemin d’accès d’un fichier XML qui indique le nom du groupe de réplication. Dans cet exemple, le chemin d’accès contiendrait « Domain System Volume ».

    L’emplacement par défaut est le dossier masqué suivant :
    %systemdrive%\System Volume Information\DFSR
    Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :

    Si l’un de ces dossiers ou fichiers a été déplacé ou stocké à un emplacement différent, analysez ou excluez l’élément équivalent.
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb

Désactivation de l’analyse des fichiers DFS

Les mêmes ressources qui sont exclues pour un jeu de réplicas SYSVOL doivent également être exclues quand FRS ou DFSR est utilisé pour répliquer des partages qui sont mappés à la racine DFS et pour lier les cibles sur les ordinateurs membres ou les contrôleurs de domaine Windows Server 2008 R2 ou Windows Server 2008. 

Désactivation de l’analyse des fichiers DHCP

Par défaut, les fichiers DHCP qui doivent être exclus sont présents dans le dossier suivant sur le serveur :
%systemroot%\System32\DHCP
Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
L’emplacement des fichiers DHCP peut être modifié. Pour déterminer l’emplacement actuel des fichiers DHCP sur le serveur, vérifiez les paramètres DatabasePath, DhcpLogFilePath et BackupDatabasePath spécifiés dans la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Désactivation de l’analyse des fichiers DNS

Par défaut, DNS utilise le dossier suivant :
%systemroot%\System32\Dns
Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
  • *.log
  • *.dns
  • BOOT

Désactivation de l’analyse des fichiers WINS

Par défaut, WINS utilise le dossier suivant :
%systemroot%\System32\Wins
 
Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
  • *.chk
  • *.log
  • *.mdb

Pour les ordinateurs exécutant des versions Hyper-V de Windows

Dans certains scénarios, sur un ordinateur Windows Server 2008 sur lequel le rôle Hyper-V est installé ou sur un ordinateur Microsoft Hyper-V Server 2008 ou Microsoft Hyper-V Server 2008 R2, il peut se révéler nécessaire de configurer le composant d’analyse en temps réel dans le logiciel antivirus afin d’exclure des fichiers et des dossiers complets. Pour plus d’informations, consultez l’article suivant dans la Base de connaissances Microsoft :
961804 Virtual machines are missing, or error 0x800704C8, 0x80070037, or 0x800703E3 occurs when you try to start or create a virtual machine (en anglais uniquement)