Víruskeresési javaslatok Windows vagy Windows Server (KB822158) rendszert futtató vállalati számítógépekhez

A következőkre vonatkozik: Windows Server 2025, minden kiadás Windows Server 2022, minden kiadás Windows Server 2019, minden kiadás Windows Server 2016, összes kiadás Windows Server 2012 R2, minden kiadásWindows Server 2012, minden kiadás Windows 11, minden kiadás Windows 10, minden kiadás

Ismertető

Ez a cikk olyan javaslatokat tartalmaz, amelyek segítenek a rendszergazdáknak meghatározni a lehetséges instabilitás okát a következő forgatókönyvben:

A probléma olyan számítógépen fordul elő, amely a Windows egy verzióját vagy Windows Server futtatja, amely a "Hatókör" szakaszban szerepel.
A helyi rendszert a víruskereső szoftverrel együtt használják Active Directory-tartományi környezetben vagy felügyelt üzleti környezetben.
Ha Microsoft Defender víruskeresőt használ, előfordulhat, hogy a cikkben említett néhány vagy az összes javasolt kizárás beépített vagy automatikus kizárással rendelkezik. További információt az alábbi cikkekben talál:
- Kizárások kezelése Végponthoz készült Microsoft Defender és Microsoft Defender víruskereső esetében
- Microsoft Defender víruskereső kizárásainak konfigurálása a Windows Server

Tünetek

A Windows-alapú vagy Windows Server-alapú számítógép a következő problémákat tapasztalja:

Rendszerteljesítmény
- Magas processzorhasználat vagy megnövekedett processzorhasználat
  - Felhasználói mód
  - Kernel mód
- Kernelmemória-szivárgások
  - Nem lapozott készlet
  - Lapozott készlet
  - Szivárgás kezelése
- Lassúság
  - Fájlmásolás a Windows Intéző használatakor
    - Fájlmásolás konzolalkalmazás használatakor (például cmd.exe)
  - Biztonsági mentési műveletek
Stabilitás
- Alkalmazás lassúsága
  - Hálózati megosztás vagy csatlakoztatott meghajtó elérése
  - A Windows Intéző ideiglenes válaszhiánya
- Alkalmazáshiba
  - Hozzáférés-megsértés
- Az alkalmazás nem válaszol
  - Holtpontok
    - Távoli eljáráshívás (RPC)
    - Nevesített csövek
  - Versenyhelyzetek
  - Magánhálózati memóriavesztés
  - Virtuális bájtok memóriavesztése
  - Virtuális bájtok memóriatöredezettsége
Az operációs rendszer megbízhatósági problémái
- A rendszer nem válaszol (újraindítást kell kényszerítenie a helyreállításhoz)
  - Holtpontok
  - Versenyhelyzetek
  - Szivárgások kezelése
  - Nem lapozott készletszivárgások
  - Lapszámozott készlet szivárgásai
Hibák leállítása (más néven hibaellenőrzések)
- Hibaellenőrzési kód értelmezése
- Hibaellenőrzési kód referenciája

További információt az alábbi cikkekben talál:

A rendszer nem válaszol, lassú fájlkiszolgálói teljesítmény vagy késések lépnek fel, ha fájlkiszolgálón található fájlokkal dolgozik

Megoldás

A víruskereső kizárásainak hozzáadása előtt kövesse az alábbi lépéseket:

Frissítse a külső víruskereső program definícióit. Ha a probléma továbbra is fennáll, küldjön hamis pozitív (FP) értéket a külső víruskereső gyártójának.
Ellenőrizze, hogy nem állított-e be egy adott funkciót egy megkeményített vagy agresszív módban, amely az alábbi tünetek közül többet okoz:
- Hamis pozitív értékek
- Alkalmazáskompatibilitási problémák
- Megnövekedett erőforrás-használat (például magas processzorhasználat (felhasználói mód vagy kernel mód) vagy magas memóriahasználat (felhasználói mód vagy kernel mód)
- Lassulása
- Az alkalmazások nem válaszolnak
- Alkalmazáshibák
- Nem válaszoló rendszer
Frissítse a külső víruskereső program verzióját. Teszteléshez lásd: A kernelmódú szűrőillesztő ideiglenes inaktiválása a Windowsban
A további hibaelhárításhoz forduljon külső víruskereső gyártójához. Előfordulhat, hogy a probléma szűkítéséhez a következő típusú speciális adatokkal kell rendelkeznie:

Kerülő megoldás

FontosEz a cikk olyan információkat tartalmaz, amelyek bemutatják, hogyan csökkentheti a biztonsági beállításokat, illetve hogyan kapcsolhatja ki ideiglenesen a biztonsági funkciókat a számítógépen. Ezeket a módosításokat elvégezheti egy adott probléma természetének megértéséhez. Mielőtt végrehajtja ezeket a módosításokat, javasoljuk, hogy értékelje ki azokat a kockázatokat, amelyek ennek a kerülő megoldásnak az adott környezetben való implementálásához kapcsolódnak. Ha implementálja ezt a kerülő megoldást, végezze el a megfelelő további lépéseket a számítógép védelme érdekében.

Figyelmeztetés

Ezt a kerülő megoldást nem javasoljuk. Ezeket az információkat azonban azért biztosítjuk, hogy ezt a kerülő megoldást saját belátása szerint implementálhassa. Ezt a kerülő megoldást saját felelősségére használhatja.
Ez a megkerülő megoldás sebezhetőbbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók vagy rosszindulatú szoftverek, például vírusok támadásával szemben.
Javasoljuk, hogy ideiglenesen alkalmazza ezeket a beállításokat a rendszer viselkedésének kiértékeléséhez.
Tisztában vagyunk azzal a kockázattal, hogy kizárjuk az ebben a cikkben említett fájlokat vagy mappákat a víruskereső szoftver által végzett vizsgálatokból. A rendszer biztonságosabb lesz, ha nem zár ki fájlokat vagy mappákat a vizsgálatokból.
A fájlok vizsgálatakor a fájlzárolás miatt teljesítménybeli és operációsrendszer-megbízhatósági problémák léphetnek fel.
Ne zárja ki ezen fájlok egyikét sem a fájlnévkiterjesztés alapján. Ne zárja ki például az összes .dit kiterjesztésű fájlt. A Microsoft nem szabályozhatja azokat a fájlokat, amelyek a cikkben ismertetett kiterjesztéseket használhatják.
Ez a cikk a kizárható fájlneveket és mappákat is tartalmazza. Az ebben a cikkben ismertetett összes fájl és mappa alapértelmezett engedélyekkel van védve, hogy csak a rendszer- és rendszergazdai hozzáférést engedélyezze, és csak az operációs rendszer összetevőit tartalmazzák. Egy teljes mappa kizárása egyszerűbb lehet, de nem nyújt annyi védelmet, mint adott fájlok kizárása a fájlnevek alapján.
A víruskereső kizárásainak hozzáadása mindig az utolsó megoldás, ha más lehetőség nem valósítható meg.

A Windows Update vagy az automatikus frissítési fájlok vizsgálatának kikapcsolása

Kapcsolja ki a Windows Update vagy az Automatikus frissítés adatbázisfájl (Datastore.edb) vizsgálatát. Ez a fájl a következő mappában található:

%windir%\SoftwareDistribution\Datastore
Kapcsolja ki a következő mappában található naplófájlok vizsgálatát:

%windir%\SoftwareDistribution\Datastore\Logs Zárja ki a következő fájlokat:
- Edb*.jrs
- Edb.chk
- Tmp.edb
A helyettesítő karakter (*) azt jelzi, hogy több fájl is lehet.

A Windows biztonság fájlok vizsgálatának kikapcsolása

Adja hozzá a következő fájlokat a kizárások listájának %windir%\Security\Database elérési útjában:
- *.edb
- *.Sdb
- *.napló
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
Megjegyzés Ha ezek a fájlok nincsenek kizárva, a víruskereső szoftver megakadályozhatja a megfelelő hozzáférést ezekhez a fájlokhoz, és a biztonsági adatbázisok megsérülhetnek. A fájlok vizsgálata megakadályozhatja a fájlok használatát, vagy megakadályozhatja, hogy biztonsági szabályzatot alkalmazzanak a fájlokra. Ezeket a fájlokat nem szabad beolvasni, mert előfordulhat, hogy a víruskereső szoftver nem megfelelően kezeli őket saját adatbázisfájlként.Ezek az ajánlott kizárások. Előfordulhat, hogy a cikkben nem szereplő egyéb fájltípusokat ki kell zárni.

Csoportházirend kapcsolódó fájlok vizsgálatának kikapcsolása

Csoportházirend felhasználói beállításjegyzék adatait. Ezek a fájlok a következő mappában találhatók:

Számítógép: %allusersprofile%\ Felhasználók: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ Zárja ki a következő fájlt:

NTUser.pol
Csoportházirend ügyfélbeállítások fájljait. Ezek a fájlok a következő mappában találhatók:

%SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\ Zárja ki a következő fájlokat:

Registry.pol Registry.tmp

Felhasználóiprofil-fájlok vizsgálatának kikapcsolása

A felhasználói beállításjegyzék adatai és a támogató fájlok. A fájlok a következő mappában találhatók: %userprofile%\ Zárja ki a következő fájlokat: NTUser.dat*

Víruskereső szoftver futtatása tartományvezérlőkön

Mivel a tartományvezérlők fontos szolgáltatásokat nyújtanak az ügyfelek számára, minimalizálni kell annak kockázatát, hogy a tevékenységüket rosszindulatú kódok, kártevők vagy vírusok okozzák. Víruskereső szoftver az általánosan elfogadott módja a fertőzés kockázatának csökkentésére. Telepítse és konfigurálja a víruskereső szoftvert úgy, hogy a tartományvezérlőre jelentett kockázat a lehető legkisebbre csökkenjen, és a teljesítmény a lehető legkisebb mértékben csökkenjen. Az alábbi lista javaslatokat tartalmaz a víruskereső szoftverek Windows Server tartományvezérlőn való konfigurálásához és telepítéséhez.Figyelmeztetés Azt javasoljuk, hogy a következő konfigurációt alkalmazza egy tesztrendszerre, hogy az adott környezetben ez a konfiguráció ne vezessen be váratlan tényezőket, és ne rontsa a rendszer stabilitását. A túl sok vizsgálat kockázata az, hogy a fájlok helytelenül módosultakként vannak megjelölve. Ez túl sok replikációt okoz az Active Directoryban. Ha a tesztelés ellenőrzi, hogy a következő javaslatok nem befolyásolják-e a replikációt, alkalmazhatja a víruskereső szoftvert az éles környezetre.Jegyzet A víruskereső szoftverek gyártóitól származó konkrét javaslatok felülírhatják a cikkben szereplő javaslatokat.

A víruskereső szoftvert a vállalat összes tartományvezérlőjén telepíteni kell. Ideális esetben próbálja meg telepíteni az ilyen szoftvereket minden olyan kiszolgálóra és ügyfélrendszerre, amelynek kommunikálnia kell a tartományvezérlőkkel. Optimális, ha a kártevőt a legkorábbi időpontban észleli, például a tűzfalon vagy azon az ügyfélrendszeren, ahol a kártevőt bevezették. Ez megakadályozza, hogy a kártevők valaha is elérjék azokat az infrastruktúra-rendszereket, amelyektől az ügyfelek függenek.
Használjon olyan víruskereső szoftvert, amely az Active Directory-tartományvezérlőkkel való együttműködésre lett kialakítva, és a megfelelő alkalmazásprogramozási felületeket (API-kat) használja a kiszolgálón lévő fájlok eléréséhez. A legtöbb szállítói szoftver régebbi verziói helytelenül módosítják a fájl metaadatait a fájl vizsgálata során.
Ne használjon tartományvezérlőt az interneten való böngészéshez, és ne végezzen más olyan tevékenységeket, amelyek rosszindulatú kódot eredményezhetnek.
Javasoljuk, hogy minimálisra csökkentse a tartományvezérlők számítási feladatait. Ha lehetséges, kerülje például a tartományvezérlők fájlkiszolgálói szerepkörben való használatát. Ez a gyakorlat csökkenti a fájlmegosztások víruskeresési tevékenységét, és minimalizálja a teljesítménybeli többletterhelést.
Ne helyezzen Active Directory- és naplófájlokat NTFS fájlrendszerű tömörített kötetekre.

Az Active Directoryval és az Active Directoryval kapcsolatos fájlok vizsgálatának kikapcsolása

Zárja ki a fő NTDS-adatbázisfájlokat. Ezeknek a fájloknak a helye a következő beállításjegyzék-alkulcsban van megadva:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Az alapértelmezett hely a %windir%\Ntds. Zárja ki a következő fájlokat:
- Ntds.dit
- Ntds.pat
Zárja ki az Active Directory tranzakciós naplófájljait. Ezeknek a fájloknak a helye a következő beállításjegyzék-alkulcsban van megadva:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Az alapértelmezett hely a %windir%\Ntds. Zárja ki a következő fájlokat:
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
Zárja ki a következő beállításkulcsban megadott NTDS Munka mappában lévő fájlokat:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Zárja ki a következő fájlokat:
- Temp.edb
- Edb.chk

A SYSVOL-fájlok vizsgálatának kikapcsolása

Kapcsolja ki a Sysvol\Sysvol mappában vagy a SYSVOL_DFSR\Sysvol mappában lévő fájlok vizsgálatát.A Sysvol\Sysvol vagy a SYSVOL_DFSR\Sysvol mappa és az összes almappá aktuális helye a replikakészlet gyökerének fájlrendszer-újraelemzési célja. A Sysvol\Sysvol és a SYSVOL_DFSR\Sysvol mappák alapértelmezés szerint a következő helyeket használják:

%systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

Az aktuálisan aktív SYSVOL elérési útjára a NETLOGON-megosztás hivatkozik, és a SysVol értékneve határozza meg a következő alkulcsban:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:
- *.Adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.Aas
- *.Inf
- Scripts.ini
- *.Inek
- Oscfilter.ini
Kapcsolja ki az elosztott fájlrendszerbeli adatbázis és a munkamappák fájljainak vizsgálatát. A hely a következő beállításjegyzék-alkulcsban van megadva:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Ebben a beállításjegyzékbeli alkulcsban a "Path" egy XML-fájl elérési útja, amely a replikációs csoport nevét tartalmazza. Ebben a példában az elérési út a következőt tartalmazza: "Tartományi rendszerkötet". Az alapértelmezett hely a következő rejtett mappa:

%systemdrive%\System Volume Information\DFSR Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:
- $db_normal$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_dirty$
- $db_clean$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.napló
- Fsr*.jrs
- Tmp.edb
Megjegyzés Ha ezen mappák vagy fájlok bármelyikét áthelyezik vagy más helyre helyezik, vizsgálja meg vagy zárja ki a megfelelő elemet.

Elosztott fájlrendszerbeli fájlok vizsgálatának kikapcsolása

A SYSVOL replikakészletek által kizárt erőforrásokat is ki kell zárni, ha az elosztott fájlrendszer-replikációs szolgáltatás (DFSR) az elosztott fájlrendszer gyökér- és csatolási céljaira leképezett megosztások replikálására szolgál Windows Server tagszámítógépeken vagy tartományvezérlőkön.

DHCP-fájlok vizsgálatának kikapcsolása

Alapértelmezés szerint a kizárandó DHCP-fájlok a következő mappában találhatók a kiszolgálón:

%systemroot%\System32\DHCP

Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

*.mdb
*.lapogatás
*.napló
*.chk
*.edb

A DHCP-fájlok helye módosítható. A DHCP-fájlok aktuális helyének meghatározásához ellenőrizze a következő beállításkulcsban megadott DatabasePath, DhcpLogFilePath és BackupDatabasePath paramétereket:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

A DNS-fájlok vizsgálatának kikapcsolása

A DNS alapértelmezés szerint a következő mappát használja:

%systemroot%\System32\Dns Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

*.napló
*.Dns
RENDSZERINDÍTÁS

WINS-fájlok vizsgálatának kikapcsolása

Alapértelmezés szerint a WINS a következő mappát használja:

%systemroot%\System32\Wins

Zárja ki a következő fájlokat ebből a mappából és annak almappáiból:

*.chk
*.napló
*.mdb

A Windows Hyper-V-alapú verzióit futtató számítógépek esetén

Bizonyos esetekben a Hyper-V szerepkörrel rendelkező Windows Server számítógépeken szükség lehet a víruskereső szoftveren belüli valós idejű vizsgálati összetevő konfigurálására, hogy kizárja a fájlokat és a teljes mappákat. További információt a tudásbázis következő cikkében talál:

961804A virtuális gépek hiányoznak, vagy hiba 0x800704C8, 0x80070037 vagy 0x800703E3 akkor fordul elő, amikor megpróbál elindítani vagy létrehozni egy virtuális gépet

További lépések

Ha a jelen cikkben ismertetett javaslatok javítják a rendszer teljesítményét vagy stabilitását, kérjen útmutatást a víruskereső szoftver gyártójától, illetve a víruskereső szoftver frissített verziójáért vagy beállításaiért.

Megjegyzés A külső víruskereső gyártó üzletileg ésszerű erőfeszítéseket tehet a Microsoft ügyfélszolgálata csapattal.

Referenciák

Microsoft szolgáltatási szerződés

Microsoft-szolgáltatásokra vonatkozó szerződés

Microsoft Virus Initiative

Változások jegyzéke

Az alábbi táblázat összefoglalja a témakör legfontosabb változásait.

Dátum	Ismertetés
2021. augusztus 17.	Frissült a "További információ" szakasz megjegyzése: "Megjegyzés Windows 10, Windows Server 2016 és újabb..."
2021. november 2.	Frissült a "További információ" szakasz megjegyzése: "Ez a Windows Server 2012 R2-re is vonatkozik..."
2022. március 14.	Átdolgozott teljes cikk. A "Symptoms" (Tünetek) és a "Resolution" (Feloldás) szakasz hozzá van adva, és átrendezte a fennmaradó tartalmat.
2023. július 14.	Hozzáadtunk egy harmadik listajelet a "Bevezetés" szakaszhoz. Hozzáadott egy "Tünetek" szakaszfejlécet. A "További információ" szakasz el lett távolítva.
2023. augusztus 7.	Kijavítottuk azokat az elrendezési problémákat, amelyek több sort futtattak együtt a kizárási listákban.
2025. május 22.	Eltávolítottuk Windows Server 2008-ból és a Windows 7-ből a "Hatókör" lehetőséget, és törölte az összes kapcsolódó tartalmat. A 2025-ös Windows Server hozzáadva a "Hatókör" kifejezéshez. Frissített kereszthivatkozási hivatkozások.