Preporuke za traženje virusa za enterprise računala sa sustavom Windows ili Windows Server (KB822158)

Odnosi se na: Windows Server 2025, sva izdanja Windows Server 2022, sva izdanja Windows Server 2019, sva izdanja Windows Server 2016, sva izdanja Windows Server 2012 R2, sva izdanjaWindows Server 2012., sva izdanja Windows 11, sva izdanja Windows 10, sva izdanja

Uvod

Ovaj članak sadrži preporuke za pomoć administratoru pri određivanju uzroka moguće nestabilnosti u sljedećem scenariju:

Problem se pojavljuje na računalu na kojem je instalirana verzija sustava Windows ili Windows Server koja je navedena u odjeljku "Odnosi se na".
Lokalni se sustav koristi zajedno s antivirusnim softverom u domenskim okruženjima servisa Active Directory ili u upravljanom poslovnom okruženju.
Ako koristite antivirusni Microsoft Defender, neka ili sva predložena izuzetka navedena u ovom članku mogu biti ugrađena ili omogućena automatskim izuzecima. Dodatne informacije potražite u sljedećim člancima:
- Upravljanje izuzetcima za Microsoft Defender za krajnju točku i Microsoft Defender Antivirus
- Konfiguriranje Microsoft Defender izuzimanja antivirusnih programa na Windows Server

Simptomi

Na računalu sa sustavom Windows Windows Server računalu na kojima se temelje problemi sa sustavom Windows:

Performanse sustava
- Visoka potrošnja CPU-a ili veća upotreba PROCESORA
  - Korisnički način rada
  - Način jezgre
- Curenje memorije jezgre
  - Nestrani skup
  - Paged pool
  - Curenje ručice
- Sporost
  - Kopiranje datoteke prilikom korištenja programa Windows Explorer
    - Kopiranje datoteke kada koristite aplikaciju konzole (npr. cmd.exe)
  - Operacije sigurnosnog kopiranja
Stabilnost
- Sporost aplikacije
  - Pristup mrežnom mjestu ili mapiranom pogonu
  - Privremeni nedostatak odgovora u programu Windows Explorer
- Pogreška u aplikaciji
  - Kršenje prava pristupa
- Aplikacija prestaje reagirati
  - Mrtve petlje
    - Poziv udaljene procedure (RPC)
    - Imenovane cijevi
  - Uvjeti utrke
  - Curenje memorije privatnih bajtova
  - Curenje memorije virtualnih bajtova
  - Fragmentacija memorije virtualnih bajtova
Problemi s pouzdanošću operacijskog sustava
- Sustav prestaje reagirati (morate prisiliti ponovno pokretanje da biste se oporavili)
  - Mrtve petlje
  - Uvjeti utrke
  - Curenje ručice
  - Nestranica curenja skupa
  - Curenje skupa stranica
Pogreške prekida (poznate i kao provjere pogrešaka)
- Tumačenje koda za provjeru programske pogreške
- Referenca koda za provjeru programske pogreške

Dodatne informacije potražite u sljedećim člancima:

Sustav prestaje reagirati, spore performanse poslužitelja datoteka ili kašnjenja pojavljuju se kada radite s datotekama koje se nalaze na datotečnom poslužitelju

Rješenje

Prije dodavanja antivirusnih izuzetaka slijedite ove korake:

Ažurirajte definicije za antivirusni program drugih proizvođača. Ako se problem nastavi pojavljivati, pošaljite lažno pozitivan (FP) podršci proizvođača antivirusnog softvera treće strane.
Provjerite niste li postavili određenu funkciju u očjenom ili agresivnom načinu rada koji uzrokuje više sljedećih simptoma:
- Neistinita pozitivna vrijednost
- Problemi s kompatibilnošću aplikacija
- Povećano korištenje resursa (na primjer, visoka upotreba procesora (korisnički način rada ili način jezgre) ili korištenje visoke memorije (korisnički način rada ili način jezgre)
- Usporavanje
- Aplikacije prestanu reagirati
- Neuspjeli pokušaji aplikacije
- Sustav koji ne reagira
Ažurirajte verziju antivirusnog programa drugih proizvođača. Ili, za testiranje, pogledajte Kako privremeno deaktivirati upravljački program filtra načina jezgre u sustavu Windows
Surađite s dobavljačem antivirusnih programa drugih proizvođača da biste dodatno otklonili poteškoće. Da biste suzili problem, možda ćete morati imati sljedeće vrste naprednih podataka:

Zaobilazno rješenje

VažanOvaj članak sadrži informacije koje pokazuju kako smanjiti sigurnosne postavke ili privremeno isključiti sigurnosne značajke na računalu. Te promjene možete unijeti da biste razumjeli prirodu određenog problema. Prije nego što unesete te promjene, preporučujemo da procijenite rizike povezane s implementacijom ovog zaobilaznog rješenja u vašem okruženju. Ako implementiste ovo zaobilazno rješenje, slijedite odgovarajuće dodatne korake da biste zaštitili računalo.

Upozorenje

Ne preporučujemo ovo zaobilazno rješenje. No te podatke pružamo da biste to zaobilazno rješenje mogli implementirati prema vlastitom nahođenju. Ovo zaobilazno rješenje koristite na vlastitu odgovornost.
Ovo zaobilazno rješenje može učiniti računalo ili mrežu izloženijim napadima zlonamjernih korisnika ili zlonamjernog softvera kao što su virusi.
Preporučujemo da privremeno primijenite te postavke radi procjene ponašanja sustava.
Svjesni smo rizika izuzimanja određenih datoteka ili mapa spomenutih u ovom članku iz pregleda koje je stvorio antivirusni softver. Sustav će biti sigurniji ako ne isključite datoteke ili mape iz pregleda.
Kada skenirate te datoteke, mogu se pojaviti problemi s performansama i pouzdanosti operacijskog sustava zbog zaključavanja datoteka.
Nemojte izuzeti nijedu od tih datoteka na temelju datotečnog nastavka. Nemojte, primjerice, izuzeti sve datoteke s nastavkom .dit. Microsoft nema kontrolu nad drugim datotekama koje mogu koristiti ista proširenja kao datoteke opisane u ovom članku.
Ovaj članak sadrži nazive datoteka i mape koje je moguće izuzeti. Sve datoteke i mape opisane u ovom članku zaštićene su zadanim dozvolama da bi se omogućio pristup samo sustavu i administratoru, a sadrže samo komponente operacijskog sustava. Izuzimanje cijele mape može biti jednostavnije, ali možda neće pružiti toliko zaštite kao isključivanje određenih datoteka na temelju naziva datoteka.
Dodavanje antivirusnih izuzetaka uvijek bi trebalo biti posljednje rješenje ako nije moguća nijedna druga mogućnost.

Isključivanje skeniranja datoteka Windows Update automatskog ažuriranja

Isključite skeniranje datoteke baze podataka Windows Update automatskog ažuriranja (Datastore.edb). Datoteka se nalazi u sljedećoj mapi:

%windir%\SoftwareDistribution\Datastore
Isključite pregled datoteka zapisnika koje se nalaze u sljedećoj mapi:

%windir%\SoftwareDistribution\Datastore\Logs Konkretno, izuzimanje sljedećih datoteka:
- Edb*.jrs
- Edb.chk
- Tmp.edb
Zamjenski znak (*) označava da možda postoji nekoliko datoteka.

Isključivanje skeniranja Sigurnost u sustavu Windows datoteka

Dodajte sljedeće datoteke na put %windir%\Security\Database popisa izuzetaka:
- *.edb
- *.Sdb
- *.klada
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
Napomena Ako te datoteke nisu isključene, antivirusni softver može spriječiti odgovarajući pristup tim datotekama, a sigurnosne baze podataka mogu se oštetiti. Pregledavanje tih datoteka može spriječiti korištenje datoteka ili može spriječiti primjenu sigurnosnog pravilnika na datoteke. Te datoteke ne treba skenirati jer ih antivirusni softver možda neće ispravno tretirati kao vlasničke datoteke baze podataka.To su preporučena isključenja. Možda postoje druge vrste datoteka koje nisu obuhvaćene ovim člankom koje treba izuzeti.

Isključivanje skeniranja datoteka pravilnik grupe datoteka povezanih s

pravilnik grupe informacija o korisničkom registru. Te se datoteke nalaze u sljedećoj mapi:

Računalo: %allusersprofile%\ Korisnici: %ProgramData%\Microsoft\GroupPolicy\Users\<Korisnik Sid>\ Konkretno, izostavite sljedeću datoteku:

NTUser.pol
pravilnik grupe datoteka klijentskih postavki. Te se datoteke nalaze u sljedećoj mapi:

%SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\ Konkretno, izuzimanje sljedećih datoteka:

Vrijednost registra.pol Registry.tmp

Isključivanje skeniranja datoteka korisničkog profila

Informacije o korisničkom registru i datoteke podrške. Datoteke se nalaze u sljedećoj mapi: %userprofile%\ Konkretno, izuzimanje sljedećih datoteka: NTUser.dat*

Pokretanje antivirusnog softvera na domenskih kontrolera

Budući da kontrolori domene klijentima pružaju važan servis, rizik od ometanja njihovih aktivnosti od zlonamjernog koda, zlonamjernog softvera ili virusa mora se minimizirati. Antivirusni softver općenito je prihvaćen način smanjenja rizika od infekcije. Instalirajte i konfigurirajte antivirusni softver tako da se rizik za domenski kontroler smanji što je više moguće, a performanse zahvaćene su što je moguće manje. Sljedeći popis sadrži preporuke za konfiguriranje i instalaciju antivirusnog softvera na domenski Windows Server kontroler.Upozorenje Preporučujemo da na testni sustav primijenite sljedeću navedenu konfiguraciju da biste bili sigurni da u vašem okruženju ta konfiguracija ne uvodi neočekivane čimbenike ni ne ugrožava stabilnost sustava. Rizik od prevelikog pregleda jest to da se datoteke neprimjereno označavaju kao promijenjene. To uzrokuje previše replikacije u servisu Active Directory. Ako testiranje potvrdi da sljedeće preporuke ne utječe na replikaciju, antivirusni softver možete primijeniti na produkcijsko okruženje.Bilješka Određene preporuke proizvođača antivirusnog softvera mogu nadjaasiti preporuke u ovom članku.

Antivirusni softver mora biti instaliran na sve domenske kontrolere u tvrtki. U idealnom slučaju pokušajte instalirati takav softver na svim drugim poslužiteljskim i klijentskim sustavima koji moraju komunicirati s domenskim kontrolerima. Zlonamjerni softver možete uhvatiti čim prije, primjerice u vatrozidu ili klijentskom sustavu u kojem se uvodi zlonamjerni softver. Time se sprječava da zlonamjerni softver ikad dosegne infrastrukturne sustave o kojima klijenti ovise.
Koristite verziju antivirusnog softvera osmišljenu za rad s domenskim kontrolerima servisa Active Directory i koja koristi ispravna sučelja za programiranje aplikacija (API-je) za pristup datotekama na poslužitelju. Starije verzije većine softvera dobavljača neprikladno mijenjaju metapodatke datoteke dok se datoteka skenira.
Nemojte koristiti domenski kontroler za pregledavanje interneta ili izvođenje drugih aktivnosti koje mogu predstavljati zlonamjerni kod.
Preporučujemo da minimizirate radna opterećenja na domenski kontrolerima. Kada je to moguće, primjerice, izbjegavajte korištenje domenskog kontrolera u ulozi poslužitelja datoteka. Ova praksa smanjuje aktivnost traženja virusa na zajedničkim datotekama i minimizira performanse.
Nemojte stavljati Active Directory i datoteke zapisnika na komprimirane jedinice NTFS datotečnog sustava.

Isključivanje skeniranja datoteka servisa Active Directory i servisa Active Directory

Izostavite glavne NTDS datoteke baze podataka. Mjesto tih datoteka navedeno je u sljedećem potključu registra:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Zadano je mjesto %windir%\Ntds. Konkretno, izuzimanje sljedećih datoteka:
- Ntds.dit
- Ntds.pat
Isključite datoteke zapisnika transakcija servisa Active Directory. Mjesto tih datoteka navedeno je u sljedećem potključu registra:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Zadano je mjesto %windir%\Ntds. Konkretno, izuzimanje sljedećih datoteka:
- EDB*.log
- Ponovno .log
- Edb*.jrs
- Ntds.pat
Izuzmite datoteke u radnoj mapi NTDS koja je navedena u sljedećem potključu registra:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Konkretno, izuzimanje sljedećih datoteka:
- Temp.edb
- Edb.chk

Isključivanje skeniranja SYSVOL datoteka

Isključite skeniranje datoteka u mapi Sysvol\Sysvol ili u mapi SYSVOL_DFSR\Sysvol.Trenutno mjesto mape Sysvol\Sysvol ili SYSVOL_DFSR\Sysvol i sve su podmape cilj ponovnog razdvajanja datotečnog sustava korijena skupa replika. Sysvol\Sysvol i SYSVOL_DFSR\Sysvol mape po zadanom koriste sljedeća mjesta:

%systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

Put do trenutno aktivnog SYSVOL-a referencira netlogon i može se odrediti nazivom vrijednosti SysVol u sljedećem potključu:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Izuzimanje sljedećih datoteka iz ove mape i svih njezinih podmapa:
- *.Adm
- *.admx
- *.adml
- Vrijednost registra.pol
- Registry.tmp
- *.Aas
- *.Inf
- Scripts.ini
- *.Ins
- Oscfilter.ini
Isključite skeniranje datoteka u DFSR bazi podataka i radnim mapama. Mjesto je navedeno u sljedećem potključu registra:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path U ovom potključu registra "Put" put je XML datoteke koja sadrži naziv replikacijskih grupa. U ovom bi primjeru put sadržavao "Domain System Volume" (Količinski sustav domene). Zadano je mjesto sljedeća skrivena mapa:

%systemdrive%\System Volume Information\DFSR Izuzimanje sljedećih datoteka iz ove mape i svih njezinih podmapa:
- $db_normalno$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_prljavo$
- $db_čišćenje$
- $db_izgubljeno$
- Dfsr.db
- Fsr.chk
- *.frx
- *.klada
- Fsr*.jrs
- Tmp.edb
Napomena Ako se bilo koja od tih mapa ili datoteka premjesti ili stavi na neko drugo mjesto, skenirajte ili izostavite ekvivalentni element.

Isključivanje skeniranja DFS datoteka

Isti resursi koji su isključeni za skup sysvol replika moraju se izuzeti i ako se DFSR koristi za repliciranje zajedničkih resursa mapiranih na DFS korijenske i ciljne veze na računalima Windows Server članima ili kontrolorima domene.

Isključivanje skeniranja DHCP datoteka

Prema zadanim postavkama DHCP datoteke koje treba izuzeti nalaze se u sljedećoj mapi na poslužitelju:

%systemroot%\System32\DHCP

Izuzimanje sljedećih datoteka iz ove mape i svih njezinih podmapa:

*.mdb
*.cupkati
*.klada
*.chk
*.edb

Mjesto DHCP datoteka može se promijeniti. Da biste odredili trenutno mjesto DHCP datoteka na poslužitelju, provjerite parametre DatabasePath, DhcpLogFilePath i BackupDatabasePath navedene u sljedećem potključu registra:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Isključivanje skeniranja DNS datoteka

DNS po zadanom koristi sljedeću mapu:

%systemroot%\System32\Dns Izuzimanje sljedećih datoteka iz ove mape i svih njezinih podmapa:

*.klada
*.Dns
ČIZMA

Isključivanje skeniranja WINS datoteka

Wins po zadanom koristi sljedeću mapu:

%systemroot%\System32\Wins

Izuzimanje sljedećih datoteka iz ove mape i svih njezinih podmapa:

*.chk
*.klada
*.mdb

Za računala na kojima je instalirana verzija sustava Windows utemeljena na značajci Hyper-V

U nekim slučajevima na Windows Server računala na kojima je instalirana uloga Hyper-V možda ćete morati konfigurirati komponentu skeniranja u stvarnom vremenu unutar antivirusnog softvera da bi se izuzelo datoteke i cijele mape. Dodatne informacije potražite u sljedećem članku iz baze znanja:

961804Virtualna računala nedostaju ili se 0x800704C8, 0x80070037 ili 0x800703E3 pojavljuje kada pokušate pokrenuti ili stvoriti virtualno računalo

Sljedeći koraci

Ako su performanse ili stabilnost sustava poboljšani preporukama iz ovog članka, obratite se dobavljaču antivirusnog softvera za upute ili za ažuriranu verziju ili postavke antivirusnog softvera.

Napomena Vaš dobavljač antivirusnih programa treće strane može raditi s timom Microsoftove podrške u komercijalno razumnim naporima.

Reference

Microsoftov ugovor o pružanju usluga

Ugovor za Microsoftove usluge

Microsoft Virus Initiative

Povijest promjena

U sljedećoj su tablici navedene najvažnije promjene ove teme.

Datum	Opis
17. kolovoza 2021.	Ažurirana je bilješka u odjeljku "Dodatne informacije": "Napomena Windows 10, Windows Server 2016. i novijim..."
2. studenog 2021.	Ažurirana je bilješka u odjeljku "Dodatne informacije": "To se odnosi i na Windows Server 2012 R2..."
14. ožujka 2022.	Revidirani cijeli članak. Dodani su odjeljci "Simptomi" i "Razlučivost" i reorganizirali preostali sadržaj.
14. srpnja 2023.	Dodana je treća stavka grafičke oznake u odjeljku "Uvod". Dodan je naslov odjeljka "Simptomi". Uklonjen je odjeljak "Dodatne informacije".
7. kolovoza 2023.	rješenje problema s rasporedom koji su na popisima izuzetaka vodili nekoliko redaka
22. svibnja 2025.	Uklonjeni Windows Server 2008 i Windows 7 iz odjeljka "Odnosi se na" i izbrisali sav povezani sadržaj. Dodano Windows Server 2025 u "Odnosi se na". Ažurirane unakrsne reference veze.