Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Sʼapplique à :

Windows Server 2022, toutes les éditions
Windows Server 2019, toutes les éditions
Windows Server 2016, toutes les éditions
Windows Server 2012 R2, toutes les éditions
Windows Server 2012, toutes les éditions
Windows Server 2008 R2 SP1, toutes les éditions
Windows 11, toutes les éditions
Windows 10, toutes les éditions
Windows 8.1, toutes les éditions
Windows 7, toutes les éditions

Introduction

Cet article contient des recommandations permettant dʼaider un administrateur à déterminer la cause de lʼinstabilité potentielle dans le scénario suivant :

Symptômes

Votre ordinateur Windows ou Windows Server rencontre les problèmes suivants :

  • Performances du système

    • Utilisation élevée ou accrue du processeur

      • Mode utilisateur

      • Mode noyau

    • Fuites de mémoire du noyau

      • Réserve non paginée

      • Réserve paginée

      • Fuite de handle

    • Lenteur

      • Copie de fichiers lorsque vous utilisez lʼExplorateur Windows

        • Copie de fichiers lorsque vous utilisez une application console (par exemple, cmd.exe)

      • Opérations de sauvegarde

  • Stabilité

    • Lenteur de lʼapplication

      • Accéder à un partage réseau ou à un lecteur mappé

      • Absence temporaire de réponse de lʼExplorateur Windows

    • Échec de lʼapplication

      • Violation dʼaccès

    • Lʼapplication ne répond plus

      • Blocages

        • Appel de procédure distante (RPC)

        • Canaux nommés

      • Conditions de concurrence

      • Fuite de mémoire des octets privés

      • Fuite de mémoire des octets virtuels

      • Fragmentation de la mémoire des octets virtuels

  • Problèmes de fiabilité du système dʼexploitation

    • Le système ne répond plus (vous devez forcer un redémarrage pour récupérer)

      • Blocages

      • Conditions de concurrence

      • Fuites des handles

      • Fuites des réserves non paginées

      • Fuites des réserves paginées

  • Erreurs dʼarrêt (également appelées vérifications dʼerreurs)

Si vous souhaitez en savoir plus, consultez les articles suivants :

Résolution

Avant dʼajouter des exclusions à votre logiciel antivirus, procédez comme suit :

  1. Mettez à jour les définitions de votre programme antivirus tiers. Si le problème persiste, envoyez un faux positif (fp) au support du fournisseur dʼantivirus tiers.

  2. Vérifiez que vous nʼavez pas défini une fonctionnalité spécifique en mode renforcé ou agressif, dans ce cas, lʼun des symptômes suivants apparaît :

    • Faux positifs

    • Problèmes de compatibilité des applications

    • Augmentation de l’utilisation des ressources (par exemple, utilisation élevée du CPU (mode utilisateur ou mode noyau) ou utilisation élevée de la mémoire (mode utilisateur ou mode noyau)

    • Ralentissements

    • Les applications ne répondent plus

    • Échecs d’application

    • Système non répondant

  3. Mettez à jour la version du programme antivirus tiers. Ou, à des fins de test, consultez 
    Comment désactiver temporairement le pilote de filtre en mode noyau dans Windows

  4. Contactez votre fournisseur dʼantivirus tiers pour dʼautres solutions de dépannage. Vous devrez peut-être disposer des données avancées suivantes pour vous aider à affiner le problème :

Solution de contournement

Important Cet article contient des informations expliquant comment abaisser les paramètres de sécurité ou comment désactiver temporairement les fonctions de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour comprendre la nature d’un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.

Avertissement

  • Cette solution de contournement nʼest pas recommandée. Cette solution de contournement est toutefois fournie si vous souhaitez l’appliquer malgré tout. Vous assumez l'ensemble des risques liés à cette solution de contournement.

  • Cette solution de contournement pourrait rendre votre ordinateur ou votre réseau plus vulnérable aux attaques par des utilisateurs ou des logiciels malveillants comme des virus. 

  • Il est recommandé d’appliquer temporairement ces paramètres pour évaluer le comportement du système.

  • Microsoft connaît le risque lié à l’exclusion de fichiers ou de dossiers spécifiques mentionnés dans cet article dans les analyses effectuées par votre antivirus. Votre système sera mieux protégé si vous n’excluez pas de fichiers ou de dossiers des analyses.

  • Lorsque vous analysez ces fichiers, des problèmes de performances et de fiabilité du système d’exploitation pourraient survenir en raison du verrouillage d’un fichier.

  • N’excluez aucun de ces fichiers en fonction de son extension. Par exemple, n’excluez aucun fichier présentant l’extension .dit. Microsoft ne contrôle pas les autres fichiers qui pourraient utiliser les mêmes extensions que les fichiers décrits dans cet article.

  • Cet article présente les noms de fichier et les dossiers qui peuvent être exclus. Tous les fichiers et dossiers décrits dans cet article sont protégés par les autorisations par défaut afin d’autoriser uniquement l’accès système et administrateur. De plus, ils contiennent uniquement des composants de système d’exploitation. Il peut être plus simple d’exclure un dossier complet. Toutefois, cette procédure peut ne pas offrir autant de protection que l’exclusion de fichiers spécifiques en fonction des noms de fichier.

  • L’ajout d’exclusions antivirus doit toujours avoir lieu en dernier recours, si aucune autre option n’est possible. 

Désactiver l'analyse des fichiers Windows Update ou de la mise à jour automatique

  • Désactivez l’analyse du fichier de base de données Windows Update ou de la mise à jour automatique (Datastore.edb). Ce fichier se trouve dans le dossier suivant :

         %windir%\SoftwareDistribution\Datastore

  • Désactivez l’analyse des fichiers journaux situés dans le dossier suivant :

         %windir%\NDistribution de logiciels\NDatastore\NLogs

    Plus précisément, excluez les fichiers suivants :

    • Edb*.jrs

    • Edb.chk

    • Tmp.edb

  • Le caractère générique (*) indique la présence possible de plusieurs fichiers.

Désactivation de l’analyse des fichiers de sécurité Windows

  • Ajoutez les fichiers suivants dans le chemin d’accès %windir%\Security\Database de la liste des exclusions :

    • *.edb

    • *.sdb

    • *.log

    • *.chk

    • *.jrs

    • *.xml

    • *.csv

    • *.cmtx

    Remarque Si ces fichiers ne sont pas exclus, le logiciel antivirus peut empêcher l’accès correct à ces fichiers et les bases de données de sécurité peuvent être endommagées. L’analyse de ces fichiers peut empêcher leur utilisation ou l’application d’une stratégie de sécurité aux fichiers. Ces fichiers ne doivent pas être analysés, car le logiciel antivirus peut ne pas les traiter correctement comme des fichiers de bases de données propriétaires.

    Il s’agit des exclusions recommandées. Il peut y avoir d’autres types de fichiers qui ne sont pas inclus dans cet article qui doivent être exclus.

Désactivation de l’analyse des fichiers associés à la stratégie de groupe

  • Informations sur le Registre de l’utilisateur de stratégie de groupe. Ces fichiers se trouvent dans le dossier suivant :

         %allusersprofile%\

    Plus précisément, excluez le fichier suivant :

         NTUser.pol

  • Fichiers de paramètres du client de stratégie de groupe. Ces fichiers se trouvent dans le dossier suivant :

         %SystemRoot%\System32\GroupPolicy\Machine\SystemRoot%\System32\GroupPolicy\Machine\N
    %SystemRoot%\System32\GroupPolicy\NUser\N

    Plus précisément, excluez les fichiers suivants :

         Registre.pol
    Registre.tmp

Remarque : stratégie de groupe exclusions s’appliquent uniquement à Windows Server. Si vous utilisez Antivirus Microsoft Defender, les exclusions de stratégie de groupe sont incluses dans exclusions de rôle serveur automatique.

Désactivation de l’analyse des fichiers de profil utilisateur

  • Informations du Registre utilisateur et fichiers de support. Les fichiers sont situés dans le dossier suivant :

    userprofile%\

    En particulier, excluez les fichiers suivants :

    NTUser.dat*

Exécution d’un antivirus sur les contrôleurs de domaine

Comme les contrôleurs de domaine fournissent un service important aux clients, le risque d’interruption de leurs activités provenant de code malveillant, d’un programme malveillant ou d’un virus doit être réduit. Le logiciel antivirus est la méthode généralement acceptée pour réduire les risques d’infection. Installez et configurez le logiciel antivirus afin que les risques sur le contrôleur de domaine soient réduits au maximum et que les performances soient affectées au minimum. La liste suivante contient des recommandations vous permettant de configurer et d’installer le logiciel antivirus sur un contrôleur de domaine Windows Server.

Avertissement Nous vous recommandons d’appliquer la configuration spécifiée ci-dessous sur un système de test pour vous assurer qu’elle n’introduit pas de facteurs inattendus et qu’elle ne compromet pas la stabilité du système dans votre environnement spécifique. Le risque lié à un nombre excessif d’analyses entraîne l’indication incorrecte de modification des fichiers. Ceci entraîne une réplication excessive dans Active Directory. Si les tests confirment que cette réplication n’est pas affectée par les recommandations suivantes, vous pouvez appliquer le logiciel antivirus à l’environnement de production.

Remarque  Les recommandations spécifiques des fournisseurs de logiciels antivirus peuvent remplacer les recommandations de cet article.

  • Le logiciel antivirus doit être installé sur tous les contrôleurs de domaine de l’entreprise. En premier lieu, essayez d’installer ce logiciel sur tous les autres systèmes serveur et client qui doivent interagir avec les contrôleurs de domaine. Il est souhaitable d’intercepter le logiciel malveillant au point le plus avancé, tel qu’au niveau du pare-feu ou du système client, là où le logiciel malveillant s’introduit en premier. Cela l’empêche définitivement d’atteindre les systèmes d’infrastructure dont les clients dépendent.

  • Utilisez une version de logiciel antivirus qui est conçue pour fonctionner avec les contrôleurs de domaine Active Directory et qui utilise les API (Application Programming Interfaces) correctes pour accéder aux fichiers sur le serveur. Les versions plus anciennes de la plupart des logiciels fournisseurs modifient de manière inappropriée les métadonnées d’un fichier lors de l’analyse de ce fichier. Ainsi, le moteur Service de réplication des fichiers reconnaît une modification de fichier et programme donc la réplication du fichier. Les dernières versions empêchent ce problème.
    Pour plus d’informations, consultez l’article suivant dans la Base de connaissances Microsoft :

    815263 Programmes antivirus, de sauvegarde et d’optimisation de disque compatibles avec le service de réplication de fichiers

  • N’utilisez pas de contrôleur de domaine pour parcourir le web ou pour exécuter toutes les autres activités qui pourrait introduire un code malveillant.

  • Nous vous recommandons de minimiser les charges de travail des contrôleurs de domaine. Dans la mesure du possible, évitez d’utiliser les contrôleurs de domaine dans un rôle de serveur de fichiers. Dans ce cas, vous affaiblissez le fonctionnement de l’antivirus dans les partages de fichiers et vous minimisez la surcharge de performances.

  • Ne stockez ni Active Directory, ni la base de données FRS, ni les fichiers journaux sur des volumes compressés du système de fichiers NTFS.

Désactivation de l’analyse d’Active Directory et des fichiers associés à Active Directory

  • Excluez les principaux fichiers de base de données NTDS. L’emplacement de ces fichiers est spécifié dans la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesNT\DS\Paramètres\DSA Fichier de base de données

    L'emplacement par défaut est %windir%\Ntds. Excluez en particulier les fichiers suivants :

    • Ntds.dit

    • Ntds.pat

  • Excluez les fichiers du journal des transactions Active Directory. L’emplacement de ces fichiers est spécifié dans la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Paramètres\Chemin des fichiers journaux de la base de données

    L'emplacement par défaut est %windir%\Ntds. Excluez en particulier les fichiers suivants :

    • EDB*.log

    • Res*.log

    • Edb*.jrs

    • Ntds.pat

  • Excluez les fichiers du dossier de travail NTDS spécifié dans la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Paramètres\DSA Répertoire de travail

    Exclure spécifiquement les fichiers suivants :

    • Temp.edb

    • Edb.chk

Désactivation de l’analyse des fichiers SYSVOL

  • Désactivez l’analyse des fichiers dans le dossier de travail du service de réplication de fichiers (FRS) spécifié dans la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Paramètres\Répertoire de travail

    L'emplacement par défaut est %windir%\Ntfrs. Excluez les fichiers suivants présents dans le dossier :

    • edb.chk dans le dossier %windir%\Ntfrs\jet\sys

    • Ntfrs.jdb dans le dossier %windir%\Ntfrs\jet

    • *.log dans le dossier %windir%\Ntfrs\jet\log

  • Désactivez l’analyse des fichiers journaux de la base de données FRS spécifiés dans la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Paramètres\DB Répertoire du fichier journal

    L'emplacement par défaut est %windir%\Ntfrs. Exclure les fichiers suivants :

    • Edb*.log (si la clé de Registre n’est pas définie)

    • FRS Working Dir\Jet\Log\Edb*.jrs

  • Remarque Les paramètres pour les exclusions de fichiers spécifiques sont documentés ici par souci d'exhaustivité. Par défaut, ces dossiers permettent uniquement l’accès au système et aux administrateurs. Veuillez vérifier que les protections correctes sont en vigueur. Ces dossiers contiennent uniquement des fichiers de travail de composant pour FRS et DFSR.

  • Désactivez l'analyse du dossier de transit NTFRS, comme indiqué dans la sous-clé de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Paramètres\Replica Sets\GUID\Replica Set Stage

    Par défaut, la mise en scène utilise l'emplacement suivant :

    %systemroot%\Sysvol\Staging areas

  • Désactivez l’analyse du dossier intermédiaire DFSR de la manière spécifiée dans l’attribut msDFSR-StagingPath de l’objet CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName dans AD DS. Cet attribut contient le chemin d’accès à l’emplacement réel utilisé par la réplication DFS pour assurer la gestion intermédiaire des fichiers. Excluez en particulier les fichiers suivants :

    • Ntfrs_cmp*.*

    • *.frx

  • Désactivez l’analyse des fichiers situés dans le dossier Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol.

    L’emplacement actuel du dossier Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol et de tous ses sous-dossiers est la cible d’analyse du système de fichiers de la racine du jeu de réplicas. Par défaut, les dossiers Sysvol\Sysvol et SYSVOL_DFSR\Sysvol utilisent les emplacements suivants :

    %systemroot%\Sysvol\Domain
    %systemroot%\Sysvol_DFSR\Domain

    Le chemin d'accès au SYSVOL actuellement actif est référencé par le partage NETLOGON et peut être déterminé par le nom de la valeur SysVol dans la sous-clé suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

  • Excluez les fichiers suivants de ce dossier et de ses sous-dossiers :

    • *.adm

    • *.admx

    • *.adml

    • Registry.pol

    • Registry.tmp

    • *.aas

    • *.inf

    • Scripts.ini

    • *.ins

    • Oscfilter.ini

  • Désactivez l’analyse des fichiers dans le dossier de préinstallation FRS qui se trouve dans l’emplacement suivant :

    Replica_root \DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    Le dossier Preinstall est toujours ouvert lorsque FRS est en cours d'exécution.

    Excluez les fichiers suivants de ce dossier et de tous ses sous-dossiers :

    • Ntfrs*.*

  • Désactivez l’analyse des fichiers dans la base de données DFSR et les dossiers de travail. L’emplacement est indiqué par la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Paramètres\Groupes de réplication\GUID\Fichier de configuration de l'ensemble de réplication=Chemin

    Dans cette sous-clé de registre, "Path" est le chemin d'un fichier XML qui indique le nom du groupe de réplication. Dans cet exemple, le chemin d’accès contient « Domain System Volume ».

    L’emplacement par défaut est le dossier masqué suivant :

         %systemdrive%\NInformations sur le volume du système\NDFSR

    Exclure les fichiers suivants de ce dossier et de tous ses sous-dossiers :

    • $db_normal$

    • FileIDTable_*

    • SimilarityTable_*

    • *.xml

    • $db_dirty$

    • $db_clean$

    • $db_lost$

    • Dfsr.db

    • Fsr.chk

    • *.frx

    • *.log

    • Fsr*.jrs

    • Tmp.edb

  • Remarque Si l'un de ces dossiers ou fichiers est déplacé ou placé à un autre endroit, il convient d'analyser ou d'exclure l'élément équivalent.

Désactivation de l’analyse des fichiers DFS

Les mêmes ressources qui sont exclues pour un jeu de réplicas SYSVOL doivent également être exclues quand FRS ou DFSR est utilisé pour répliquer des partages qui sont mappés à la racine DFS et pour lier les cibles sur les ordinateurs membres ou les contrôleurs de domaine Windows Server 2008 R2 ou Windows Server 2008.

Désactivation de l’analyse des fichiers DHCP

Par défaut, les fichiers DHCP qui doivent être exclus sont présents dans le dossier suivant sur le serveur :

%systemroot%\System32\DHCP Excluez les fichiers suivants de ce dossier et de tous ses sous-dossiers :

  • *.mdb

  • *.pat

  • *.log

  • *.chk

  • *.edb

L’emplacement des fichiers DHCP peut être modifié. Pour déterminer l’emplacement actuel des fichiers DHCP sur le serveur, vérifiez les paramètres DatabasePath, DhcpLogFilePath et BackupDatabasePath spécifiés dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Désactivation de l’analyse des fichiers DNS

Par défaut, DNS utilise le dossier suivant :

%systemroot%\System32\Dns Excluez les fichiers suivants de ce dossier et de tous ses sous-dossiers :

  • *.log

  • *.dns

  • BOOT

Désactivation de l’analyse des fichiers WINS

Par défaut, WINS utilise le dossier suivant :

     %systemroot%\NSystem32\NWins
Exclure les fichiers suivants de ce dossier et de tous ses sous-dossiers :

  • *.chk

  • *.log

  • *.mdb

Pour les ordinateurs exécutant des versions Hyper-V de Windows

Dans certains scénarios, sur un ordinateur Windows Server 2008 sur lequel le rôle Hyper-V est installé ou sur un ordinateur Microsoft Hyper-V Server 2008 ou Microsoft Hyper-V Server 2008 R2, il peut se révéler nécessaire de configurer le composant d’analyse en temps réel dans le logiciel antivirus afin d’exclure des fichiers et des dossiers complets. Pour plus d’informations, consultez l’article suivant dans la Base de connaissances Microsoft :

  • 961804Des machines virtuelles sont manquantes ou une erreur 0x800704C8, 0x80070037 ou 0x800703E3 survient lorsque vous essayez de démarrer ou de créer une machine virtuelle

Prochaines étapes

Si les performances ou la stabilité de votre système sont améliorées par les recommandations données dans cet article, contactez le fournisseur de votre antivirus pour obtenir des instructions ou une version à jour du logiciel.

Remarque Votre fournisseur tiers d’antivirus s’efforcera de travailler au mieux avec l’équipe du Support technique et Service clientèle Microsoft (CSS).

Références

Contrat de service d’assistance clientèle Microsoft

Contrat de Services Microsoft

Microsoft Virus Initiative

Historique des modifications

 Le tableau suivant récapitule certaines des modifications les plus importantes apportées à cette rubrique.

Date

Description

17 août 2021

Mise à jour de la remarque dans la section Plus d’informations : « Remarque Sous Windows 10, dans Windows Server 2016 et les versions ultérieures… » 

2 novembre 2021

Mise à jour de la remarque dans la section Plus dʼinformations : « Cela sʼapplique également à Windows Server 2012 R2... ».

lundi 14 mars 2022

Révision de l’ensemble de l’article. Ajout des sections « Symptômes » et « Résolution », et réorganisation du contenu restant.

14 juillet 2023

Ajout d’un troisième élément de puce dans la section « Introduction ». Ajout d’un en-tête de section « Symptômes ». Suppression de la section « Plus d’informations ».

7 août 2023

Correction de problèmes de mise en page qui faisaient se succéder plusieurs lignes dans les listes d'exclusions.
Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×