המלצות לסריקת וירוסים עבור מחשבים ארגוניים שבהם פועל Windows או Windows Server (KB822158)

ביטול סריקה של קבצי Windows Update או עדכון אוטומטי

• בטל את הסריקה של קובץ מסד Windows Update או של עדכון אוטומטי (Datastore.edb). קובץ זה ממוקם בתיקיה הבאה:

       %windir%\SoftwareDistribution\Datastore

• בטל את הסריקה של קבצי יומן הרישום הממוקמים בתיקיה הבאה:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  באופן ספציפי, אל תכלול את הקבצים הבאים:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• התו הכללי (*) מציין שייתכן שישנם כמה קבצים.

ביטול סריקה של אבטחת Windows קבצים

• הוסף את הקבצים הבאים בנתיב %windir%\Security\Database של רשימת הפריטים שלא ייכללו:

  • *.edb

  • *.sdb

  • *.יומן רישום

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  הערה אם קבצים אלה אינם נכללים, תוכנת אנטי-וירוס עשויה למנוע גישה מתאימה לקבצים אלה, ומסדי נתונים של אבטחה עלולים להיפגם. סריקת קבצים אלה עשויה למנוע את השימוש בקבצים או למנוע החלה של מדיניות אבטחה על הקבצים. אין לסרוק קבצים אלה מאחר שתוכנת אנטי-וירוס עשויה לא להתייחס אליהם כראוי כקבצים קנייניים של מסד נתונים.
  
  אלה הם אי-ההכללות המומלצות. ייתכן שיש סוגי קבצים אחרים שאינם כלולים במאמר זה שאין לכלול.

ביטול סריקה של מדיניות קבוצתית הקשורים לקבצים

• מדיניות קבוצתית רישום משתמשים. קבצים אלה ממוקמים בתיקיה הבאה:

       מחשב: %allusersprofile%\
       משתמשים: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  באופן ספציפי, אל תכלול את הקובץ הבא:

       NTUser.pol

• מדיניות קבוצתית הגדרות לקוח. קבצים אלה ממוקמים בתיקיה הבאה:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  באופן ספציפי, אל תכלול את הקבצים הבאים:

       Registry.pol
       Registry.tmp

ביטול הסריקה של קבצי פרופיל משתמש

• פרטי רישום משתמשים וקבצים תומכים. הקבצים ממוקמים בתיקיה הבאה:
  
       %userprofile%\
  
  באופן ספציפי, אל תכלול את הקבצים הבאים:
  
       NTUser.dat*

הפעלת תוכנת אנטי-וירוס בבקרי תחום

מאחר שבקרי תחום מספקים שירות חשוב ללקוחות, יש למזער את הסיכון להפרעה בפעילויות שלהם מקוד זדוני, מתוכנות זדוניות או מווירוס. תוכנת אנטי-וירוס היא הדרך המקובלת להפחית את הסיכון להידבקות. התקן וקבע את התצורה של תוכנת האנטי-וירוס כך שהסיכון לבקר התחום יופחת ככל האפשר והביצועים יושפעו מעט ככל האפשר. הרשימה הבאה מכילה המלצות שיעזרו לך לקבוע תצורה של תוכנת אנטי-וירוס ולהתקין אותה Windows Server תחום.

אזהרה מומלץ להחיל את התצורה הבאה שצוינה על מערכת בדיקה כדי לוודא שבסביבה הספציפית שלך, תצורה זו אינה גורמת לגורמים בלתי צפויים או לסכן את יציבות המערכת. הסיכון מסריקה רבה מדי הוא שקבצים מסומנים בדגל באופן בלתי הולם בעת שינוי. פעולה זו גורמת לשכפול רב מדי ב- Active Directory. אם הבדיקה מוודאת שהשכפול אינו מושפע מההמלצות הבאות, באפשרותך להחיל את תוכנת האנטי-וירוס על סביבת הייצור.

הערה המלצות ספציפיות מספקי תוכנות אנטי-וירוס עשויות להחלף בהמלצות במאמר זה.

• יש להתקין תוכנת אנטי-וירוס בכל בקרי התחום בארגון. באופן אידיאלי, נסה להתקין תוכנה כזו בכל מערכות השרתים והלקוח האחרות שיש לקיים אינטראקציה עם בקרי התחום. היא מיטבית ללכוד את התוכנה הזדונית בשלב המוקדם ביותר, כגון בחומת האש או במערכת הלקוח שבה מוצגת התוכנה הזדונית. הדבר מונע מהתוכנות הזדוניות להגיע אי פעם למערכות התשתית שהלקוחות מסתמך אליהן.

• השתמש בגירסה של תוכנת אנטי-וירוס המיועדת לפעול עם בקרי תחום של Active Directory ומשתמשת בממשקי תיכנות היישומים (API) הנכונים כדי לגשת לקבצים בשרת. גירסאות קודמות של רוב תוכנות הספק משנה באופן בלתי הולם מטה-נתונים של קובץ בעת סריקת הקובץ.

• אל תשתמש בבקר תחום כדי לגלוש באינטרנט או לבצע פעילויות אחרות שעשויות להציג קוד זדוני.

• מומלץ למזער את עומסי העבודה בבקרי תחום. לדוגמה, כאשר הדבר אפשרי, הימנע משימוש בבקרי תחום בתפקיד שרת קבצים. תרגול זה מצמצם את פעילות סריקת הווירוסים במשותפים של קבצים וממזער את ת הראש של הביצועים.

• אל תמקם את Active Directory ותרשום קבצים באמצעי אחסון דחוסים של מערכת הקבצים NTFS.

ביטול הסריקה של קבצים הקשורים ל- Active Directory ול- Active Directory

• אל תכלול את קבצי מסד הנתונים הראשיים של NTDS. המיקום של קבצים אלה מצוין במפתח המשנה הבא של הרישום:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File מיקום ברירת המחדל הוא %windir%\Ntds. באופן ספציפי, אל תכלול את הקבצים הבאים:

  • Ntds.dit

  • Ntds.pat

• אל תכלול את קבצי יומן הטרנזקציות של Active Directory. המיקום של קבצים אלה מצוין במפתח המשנה הבא של הרישום:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path מיקום ברירת המחדל הוא %windir%\Ntds. באופן ספציפי, אל תכלול את הקבצים הבאים:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• אל תכלול את הקבצים בתיקיה NTDS Working שצוינה במפתח המשנה הבא של הרישום:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory באופן ספציפי, אל תכלול את הקבצים הבאים:

  • עבודה זמנית

  • Edb.chk

ביטול הסריקה של קבצי SYSVOL

• כבה את הסריקה של קבצים בתיקיה Sysvol\Sysvol או SYSVOL_DFSR\Sysvol.
  
  המיקום הנוכחי של התיקיה Sysvol\Sysvol או SYSVOL_DFSR\Sysvol וכל תיקיות המשנה הוא יעד ניתוח מבנה הטקסט של מערכת הקבצים של הבסיס של קבוצת העותקים המשוכפלים. התיקיות Sysvol\Sysvol ו SYSVOL_DFSR\Sysvol משתמשות במיקומים הבאים כברירת מחדל:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  ההפניה לנתיב ל- SYSVOL הפעיל כעת מתבצעת על-ידי השיתוף של NETLOGON ובאפשרותך לקבוע אותו לפי שם הערך SysVol במפתח המשנה הבא:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• אל תכלול את הקבצים הבאים בתיקיה זו ובתיקיות המשנה שלה:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• בטל את הסריקה של קבצים במסד הנתונים של DFSR ובתיקיות העבודה. המיקום מצוין במפתח המשנה הבא של הרישום:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path במפתח משנה זה של הרישום, "נתיב" הוא הנתיב של קובץ XML המכיל את השם של קבוצת השכפול. בדוגמה זו, הנתיב יכיל את המילים "Domain System Volume".
  
  מיקום ברירת המחדל הוא התיקיה המוסתרת הבאה:

       %systemdrive%\System Volume Information\DFSR
  
  אל תכלול את הקבצים הבאים בתיקיה זו ובתיקיות המשנה שלה:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.יומן רישום

  • Fsr*.jrs

  • Tmp.edb

  הערה אם אחת מהתיקיות או הקבצים האלה מועברת או מועברת למיקום אחר, סרוק או אל תכלול את הרכיב המקביל.

ביטול סריקה של קבצי DFS

יש לכלול גם את אותם משאבים שלא נכללו עבור קבוצת עותקים משוכפלים של SYSVOL אם DFSR משמש לשכפול מיקומים משותפים הממופים ליעדי הבסיס של DFS וקישורים במחשבים Windows Server או בבקרי תחום.

כיבוי הסריקה של קבצי DHCP

כברירת מחדל, קבצי DHCP שלא ייכללו קיימים בתיקיה הבאה בשרת:

     %systemroot%\System32\DHCP

אל תכלול את הקבצים הבאים בתיקיה זו ובתיקיות המשנה שלה:

• *.mdb

• *.פאט

• *.יומן רישום

• *.chk

• *.edb

ניתן לשנות את המיקום של קבצי DHCP. כדי לקבוע את המיקום הנוכחי של קבצי DHCP בשרת, בדוק את הפרמטרים DatabasePath, DhcpLogFilePath ו- BackupDatabasePath שצוינו במפתח המשנה הבא של הרישום:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

ביטול הסריקה של קבצי DNS

כברירת מחדל, DNS משתמש בתיקיה הבאה:

%systemroot%\System32\Dns אל תכלול את הקבצים הבאים בתיקיה זו ואת כל תיקיות המשנה שלה:

• *.יומן רישום

• *.dns

• מגף

ביטול הסריקה של קבצי WINS

כברירת מחדל, WINS משתמשת בתיקיה הבאה:

     %systemroot%\System32\Wins

אל תכלול את הקבצים הבאים בתיקיה זו ובתיקיות המשנה שלה:

• *.chk

• *.יומן רישום

• *.mdb

עבור מחשבים שבהם פועלות גירסאות מבוססות Hyper-V של Windows

בתרחישים מסוימים, במחשבים Windows Server שבהם מותקן תפקיד Hyper-V, ייתכן שיהיה עליך לקבוע את תצורת רכיב הסריקה בזמן אמת בתוכנת האנטי-וירוס כדי לא לכלול קבצים ותיקיות שלמות. לקבלת מידע נוסף, עיין במאמר Knowledge Base הבא:

• 961804מחשבים וירטואליים חסרים, או 0x800704C8, 0x80070037 או 0x800703E3 מתרחשים כאשר אתה מנסה להפעיל או ליצור מחשב וירטואלי

השלבים הבאים

אם ביצועי המערכת או היציבות שלך השתפרו על-ידי ההמלצות המפורטות במאמר זה, פנה לספק תוכנת האנטי-וירוס לקבלת הוראות או לקבלת גירסה מעודכנת של תוכנת האנטי-וירוס או ההגדרות שלה.

הערה ספק האנטי-וירוס של הספק החיצוני שלך יכול לעבוד עם צוות התמיכה של Microsoft במאמץ סביר מבחינה מסחרית.

שינוי ההיסטוריה

 הטבלה הבאה מסכמת את השינויים החשובים ביותר בנושא זה.