Recommandations en matière d’analyse antivirus pour les ordinateurs dʼentreprise exécutant Windows ou Windows Server (KB822158)

S’applique à : Windows Server 2025, toutes les éditions Windows Server 2022, toutes les éditions Windows Server 2019, toutes les éditions Windows Server 2016, toutes les éditions Windows Server 2012 R2, toutes les éditionsWindows Server 2012, toutes les éditions Windows 11, toutes les éditions Windows 10, toutes les éditions

Introduction

Cet article contient des recommandations permettant dʼaider un administrateur à déterminer la cause de lʼinstabilité potentielle dans le scénario suivant :

Le problème se produit sur un ordinateur qui exécute une version de Windows ou Windows Server répertoriée dans la section « S’applique à ».
Le système local est utilisé avec un logiciel antivirus dans un environnement de domaine Active Directory ou dans un environnement dʼentreprise géré.
Si vous utilisez Microsoft Defender Antivirus, une partie ou la totalité des exclusions suggérées mentionnées dans cet article peuvent être intégrées ou fournies par des exclusions automatiques. Si vous souhaitez en savoir plus, consultez les articles suivants :
- Gérer les exclusions pour Microsoft Defender pour point de terminaison et pour l’antivirus Microsoft Defender
- Configurer les exclusions de Microsoft Defender Antivirus sur Windows Server

Symptômes

Votre ordinateur Windows ou Windows Server rencontre les problèmes suivants :

Performances du système
- Utilisation élevée ou accrue du processeur
  - Mode utilisateur
  - Mode noyau
- Fuites de mémoire du noyau
  - Réserve non paginée
  - Réserve paginée
  - Fuite de handle
- Lenteur
  - Copie de fichiers lorsque vous utilisez lʼExplorateur Windows
    - Copie de fichiers lorsque vous utilisez une application console (par exemple, cmd.exe)
  - Opérations de sauvegarde
Stabilité
- Lenteur de lʼapplication
  - Accéder à un partage réseau ou à un lecteur mappé
  - Absence temporaire de réponse de lʼExplorateur Windows
- Échec de lʼapplication
  - Violation dʼaccès
- Lʼapplication ne répond plus
  - Blocages
    - Appel de procédure distante (RPC)
    - Canaux nommés
  - Conditions de concurrence
  - Fuite de mémoire des octets privés
  - Fuite de mémoire des octets virtuels
  - Fragmentation de la mémoire des octets virtuels
Problèmes de fiabilité du système dʼexploitation
- Le système ne répond plus (vous devez forcer un redémarrage pour récupérer)
  - Blocages
  - Conditions de concurrence
  - Fuites des handles
  - Fuites des réserves non paginées
  - Fuites des réserves paginées
Erreurs dʼarrêt (également appelées vérifications dʼerreurs)
- Interpréter un code de vérification dʼerreurs
- Référence du code de vérification dʼerreurs

Si vous souhaitez en savoir plus, consultez les articles suivants :

Le système ne répond plus, les performances du serveur de fichiers connaissent un ralentissement ou des retards se produisent lorsque vous travaillez avec des fichiers situés sur un serveur de fichiers

Résolution

Avant dʼajouter des exclusions à votre logiciel antivirus, procédez comme suit :

Mettez à jour les définitions de votre programme antivirus tiers. Si le problème persiste, envoyez un faux positif (FP) au support du fournisseur d’antivirus tiers.
Vérifiez que vous nʼavez pas défini une fonctionnalité spécifique en mode renforcé ou agressif, dans ce cas, lʼun des symptômes suivants apparaît :
- Faux positifs
- Problèmes de compatibilité des applications
- Augmentation de l’utilisation des ressources (par exemple, utilisation élevée du CPU (mode utilisateur ou mode noyau) ou utilisation élevée de la mémoire (mode utilisateur ou mode noyau)
- Ralentissements
- Les applications ne répondent plus
- Échecs d’application
- Système non répondant
Mettez à jour la version du programme antivirus tiers. Ou, à des fins de test, consultez Comment désactiver temporairement le pilote de filtre en mode noyau dans Windows
Contactez votre fournisseur dʼantivirus tiers pour dʼautres solutions de dépannage. Vous devrez peut-être disposer des données avancées suivantes pour vous aider à affiner le problème :

Solution de contournement

Important Cet article contient des informations expliquant comment abaisser les paramètres de sécurité ou comment désactiver temporairement les fonctions de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour comprendre la nature d’un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.

Avertissement

Cette solution de contournement nʼest pas recommandée. Toutefois, nous fournissons ces informations afin que vous puissiez implémenter cette solution de contournement à votre discrétion. Vous assumez l'ensemble des risques liés à cette solution de contournement.
Cette solution de contournement pourrait rendre votre ordinateur ou votre réseau plus vulnérable aux attaques par des utilisateurs ou des logiciels malveillants comme des virus.
Il est recommandé d’appliquer temporairement ces paramètres pour évaluer le comportement du système.
Microsoft connaît le risque lié à l’exclusion de fichiers ou de dossiers spécifiques mentionnés dans cet article dans les analyses effectuées par votre antivirus. Votre système sera plus sûr si vous n’excluez aucun fichier ou dossier des analyses.
Lorsque vous analysez ces fichiers, des problèmes de performances et de fiabilité du système d’exploitation pourraient survenir en raison du verrouillage d’un fichier.
N’excluez aucun de ces fichiers en fonction de l’extension de nom de fichier. Par exemple, n’excluez pas tous les fichiers qui ont une extension .dit. Microsoft ne contrôle pas les autres fichiers qui pourraient utiliser les mêmes extensions que les fichiers décrits dans cet article.
Cet article présente les noms de fichier et les dossiers qui peuvent être exclus. Tous les fichiers et dossiers décrits dans cet article sont protégés par les autorisations par défaut afin d’autoriser uniquement l’accès système et administrateur. De plus, ils contiennent uniquement des composants de système d’exploitation. Il peut être plus simple d’exclure un dossier complet. Toutefois, cette procédure peut ne pas offrir autant de protection que l’exclusion de fichiers spécifiques en fonction des noms de fichier.
L’ajout d’exclusions antivirus doit toujours avoir lieu en dernier recours, si aucune autre option n’est possible.

Désactiver l'analyse des fichiers Windows Update ou de la mise à jour automatique

Désactivez l’analyse du fichier de base de données Windows Update ou de la mise à jour automatique (Datastore.edb). Ce fichier se trouve dans le dossier suivant :

%windir%\SoftwareDistribution\Datastore
Désactivez l’analyse des fichiers journaux situés dans le dossier suivant :

%windir%\NDistribution de logiciels\NDatastore\NLogs Plus précisément, excluez les fichiers suivants :
- Edb*.jrs
- Edb.chk
- Tmp.edb
Le caractère générique (*) indique la présence possible de plusieurs fichiers.

Désactivation de l’analyse des fichiers de sécurité Windows

Ajoutez les fichiers suivants dans le chemin d’accès %windir%\Security\Database de la liste des exclusions :
- *.edb
- *.sdb
- *.log
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
Remarque Si ces fichiers ne sont pas exclus, le logiciel antivirus peut empêcher l’accès correct à ces fichiers et les bases de données de sécurité peuvent être endommagées. L’analyse de ces fichiers peut empêcher leur utilisation ou l’application d’une stratégie de sécurité aux fichiers. Ces fichiers ne doivent pas être analysés, car le logiciel antivirus peut ne pas les traiter correctement comme des fichiers de bases de données propriétaires. Il s’agit des exclusions recommandées. Il peut y avoir d’autres types de fichiers qui ne sont pas inclus dans cet article qui doivent être exclus.

Désactivation de l’analyse des fichiers associés à la stratégie de groupe

Informations sur le Registre de l’utilisateur de stratégie de groupe. Ces fichiers se trouvent dans le dossier suivant :

Ordinateur : %allusersprofile%\ Utilisateurs : %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ Plus précisément, excluez le fichier suivant :

NTUser.pol
Fichiers de paramètres du client de stratégie de groupe. Ces fichiers se trouvent dans le dossier suivant :

%SystemRoot%\System32\GroupPolicy\Machine\SystemRoot%\System32\GroupPolicy\Machine\N %SystemRoot%\System32\GroupPolicy\NUser\N Plus précisément, excluez les fichiers suivants :

Registre.pol Registre.tmp

Désactivation de l’analyse des fichiers de profil utilisateur

Informations du Registre utilisateur et fichiers de support. Les fichiers se trouvent dans le dossier suivant : %userprofile%\ Plus précisément, excluez les fichiers suivants : NTUser.dat*

Exécution d’un antivirus sur les contrôleurs de domaine

Comme les contrôleurs de domaine fournissent un service important aux clients, le risque d’interruption de leurs activités provenant de code malveillant, d’un programme malveillant ou d’un virus doit être réduit. Le logiciel antivirus est la méthode généralement acceptée pour réduire les risques d’infection. Installez et configurez le logiciel antivirus afin que les risques sur le contrôleur de domaine soient réduits au maximum et que les performances soient affectées au minimum. La liste suivante contient des recommandations vous permettant de configurer et d’installer le logiciel antivirus sur un contrôleur de domaine Windows Server.Avertissement Nous vous recommandons d’appliquer la configuration spécifiée suivante à un système de test pour vous assurer que, dans votre environnement spécifique, cette configuration n’introduit pas de facteurs inattendus ou ne compromet pas la stabilité du système. Le risque lié à un nombre excessif d’analyses entraîne l’indication incorrecte de modification des fichiers. Ceci entraîne une réplication excessive dans Active Directory. Si les tests confirment que cette réplication n’est pas affectée par les recommandations suivantes, vous pouvez appliquer le logiciel antivirus à l’environnement de production.Remarque Les recommandations spécifiques des fournisseurs de logiciels antivirus peuvent remplacer les recommandations de cet article.

Le logiciel antivirus doit être installé sur tous les contrôleurs de domaine de l’entreprise. En premier lieu, essayez d’installer ce logiciel sur tous les autres systèmes serveur et client qui doivent interagir avec les contrôleurs de domaine. Il est souhaitable d’intercepter le logiciel malveillant au point le plus avancé, tel qu’au niveau du pare-feu ou du système client, là où le logiciel malveillant s’introduit en premier. Cela l’empêche définitivement d’atteindre les systèmes d’infrastructure dont les clients dépendent.
Utilisez une version de logiciel antivirus conçue pour fonctionner avec les contrôleurs de domaine Active Directory et qui utilise les INTERFACES de programmation d’applications (API) appropriées pour accéder aux fichiers sur le serveur. Les versions plus anciennes de la plupart des logiciels fournisseurs modifient de manière inappropriée les métadonnées d’un fichier lors de l’analyse de ce fichier.
N’utilisez pas de contrôleur de domaine pour parcourir Internet ou effectuer d’autres activités susceptibles d’introduire du code malveillant.
Nous vous recommandons de minimiser les charges de travail des contrôleurs de domaine. Par exemple, si possible, évitez d’utiliser des contrôleurs de domaine dans un rôle de serveur de fichiers. Cette pratique réduit l’activité d’analyse antivirus sur les partages de fichiers et réduit la surcharge de performances.
Ne placez pas les fichiers Active Directory et les fichiers journaux sur les volumes compressés du système de fichiers NTFS.

Désactivation de l’analyse d’Active Directory et des fichiers associés à Active Directory

Excluez les principaux fichiers de base de données NTDS. L’emplacement de ces fichiers est spécifié dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesNT\DS\Paramètres\DSA Fichier de base de données L'emplacement par défaut est %windir%\Ntds. Excluez en particulier les fichiers suivants :
- Ntds.dit
- Ntds.pat
Excluez les fichiers du journal des transactions Active Directory. L’emplacement de ces fichiers est spécifié dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Paramètres\Chemin des fichiers journaux de la base de données L'emplacement par défaut est %windir%\Ntds. Excluez en particulier les fichiers suivants :
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
Excluez les fichiers du dossier de travail NTDS spécifié dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Paramètres\DSA Répertoire de travail Exclure spécifiquement les fichiers suivants :
- Temp.edb
- Edb.chk

Désactivation de l’analyse des fichiers SYSVOL

Désactivez l’analyse des fichiers situés dans le dossier Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol. L’emplacement actuel du dossier Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol et de tous ses sous-dossiers est la cible d’analyse du système de fichiers de la racine du jeu de réplicas. Par défaut, les dossiers Sysvol\Sysvol et SYSVOL_DFSR\Sysvol utilisent les emplacements suivants :

%systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

Le chemin d'accès au SYSVOL actuellement actif est référencé par le partage NETLOGON et peut être déterminé par le nom de la valeur SysVol dans la sous-clé suivante :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :
- *.adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.aas
- *.inf
- Scripts.ini
- *.ins
- Oscfilter.ini
Désactivez l’analyse des fichiers dans la base de données DFSR et les dossiers de travail. L’emplacement est spécifié dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Dans cette sous-clé de Registre, « Chemin d’accès » est le chemin d’un fichier XML qui contient le nom du groupe de réplication. Dans cet exemple, le chemin d’accès contient « Domain System Volume ». L’emplacement par défaut est le dossier masqué suivant :

%systemdrive%\NInformations sur le volume du système\NDFSR Exclure les fichiers suivants de ce dossier et de tous ses sous-dossiers :
- $db_normal$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_dirty$
- $db_clean$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.log
- Fsr*.jrs
- Tmp.edb
Remarque Si l'un de ces dossiers ou fichiers est déplacé ou placé à un autre endroit, il convient d'analyser ou d'exclure l'élément équivalent.

Désactivation de l’analyse des fichiers DFS

Les ressources exclues d’un jeu d’réplica SYSVOL doivent également être exclues si DFSR est utilisé pour répliquer des partages mappés à la racine DFS et aux cibles de liaison sur Windows Server ordinateurs membres ou contrôleurs de domaine.

Désactivation de l’analyse des fichiers DHCP

Par défaut, les fichiers DHCP qui doivent être exclus sont présents dans le dossier suivant sur le serveur :

%systemroot%\System32\DHCP

Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :

*.mdb
*.pat
*.log
*.chk
*.edb

L’emplacement des fichiers DHCP peut être modifié. Pour déterminer l’emplacement actuel des fichiers DHCP sur le serveur, vérifiez les paramètres DatabasePath, DhcpLogFilePath et BackupDatabasePath spécifiés dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Désactivation de l’analyse des fichiers DNS

Par défaut, DNS utilise le dossier suivant :

%systemroot%\System32\Dns Excluez les fichiers suivants de ce dossier et de tous ses sous-dossiers :

*.log
*.dns
BOOT

Désactivation de l’analyse des fichiers WINS

Par défaut, WINS utilise le dossier suivant :

%systemroot%\System32\Wins

Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :

*.chk
*.log
*.mdb

Pour les ordinateurs exécutant des versions Hyper-V de Windows

Dans certains scénarios, sur Windows Server ordinateurs sur lesquels le rôle Hyper-V est installé, il peut être nécessaire de configurer le composant d’analyse en temps réel dans le logiciel antivirus pour exclure des fichiers et des dossiers entiers. Pour plus d’informations, consultez l’article suivant de la Base de connaissances :

961804Des machines virtuelles sont manquantes ou une erreur 0x800704C8, 0x80070037 ou 0x800703E3 survient lorsque vous essayez de démarrer ou de créer une machine virtuelle

Prochaines étapes

Si les performances ou la stabilité de votre système sont améliorées par les recommandations formulées dans cet article, contactez votre fournisseur de logiciels antivirus pour obtenir des instructions ou pour obtenir une version mise à jour de ou des paramètres du logiciel antivirus.

Remarque Votre fournisseur d’antivirus tiers peut travailler avec l’équipe Support Microsoft sur un effort commercialement raisonnable.

Références

Contrat de services Microsoft

Contrat de Services Microsoft

Microsoft Virus Initiative

Historique des modifications

Le tableau suivant récapitule les modifications les plus importantes apportées à cette rubrique.

Date	Description
17 août 2021	Mise à jour de la remarque dans la section Plus d’informations : « Remarque Sous Windows 10, dans Windows Server 2016 et les versions ultérieures… »
2 novembre 2021	Mise à jour de la remarque dans la section Plus dʼinformations : « Cela sʼapplique également à Windows Server 2012 R2... ».
lundi 14 mars 2022	Article entier révisé. Ajout des sections « Symptômes » et « Résolution », et réorganisation du contenu restant.
14 juillet 2023	Ajout d’un troisième élément de puce dans la section « Introduction ». Ajout d’un en-tête de section « Symptômes ». Suppression de la section « Plus d’informations ».
7 août 2023	Correction de problèmes de disposition qui exécutaient plusieurs lignes ensemble dans les listes d’exclusions.
22 mai 2025	Suppression Windows Server 2008 et Windows 7 de « S’applique à », et suppression de tout le contenu associé. Ajout Windows Server 2025 à « S’applique à ». Mise à jour des liens de référence croisée.