Windows 또는 Windows Server를 실행하는 엔터프라이즈 컴퓨터에 대한 바이러스 검색 권장 사항(KB822158)

Windows 업데이트 또는 자동 업데이트 파일 검색 끄기

• Windows Update 또는 자동 업데이트 데이터베이스 파일(Datastore.edb)의 검색을 해제합니다. 이 파일은 다음 폴더에 있습니다.

       %windir%\SoftwareDistribution\Datastore

• 다음 폴더에 있는 로그 파일의 검색을 해제합니다: %windir%\SoftwareDistribution\Datastore\Logs

       %windir%\SoftwareDistribution\Datastore\Logs
  
  구체적으로 다음 파일을 제외합니다.

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• 와일드카드 문자(*)는 파일이 여러 개일 수 있음을 나타냅니다.

Windows 보안 파일 검색 해제

• 제외 목록의 %windir%\Security\Database 경로에 다음 파일을 추가합니다.

  • *.edb

  • *.sdb

  • *.log

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  참고 이러한 파일을 제외하지 않으면 바이러스 백신 소프트웨어가 이러한 파일에 대한 적절한 액세스를 차단할 수 있으며 보안 데이터베이스가 손상될 수 있습니다. 이러한 파일을 검색하면 해당 파일을 사용할 수 없거나 파일에 보안 정책이 적용되지 못할 수 있습니다. 바이러스 백신 소프트웨어에서 이러한 파일을 독자적인 데이터베이스 파일로 제대로 처리하지 못할 수 있으므로 이러한 파일은 검사하면 안 됩니다.
                  
  이는 권장되는 제외 항목입니다. 이 문서에 나와 있지 않은 다른 파일 형식 중에도 제외해야 하는 파일 형식이 있을 수 있습니다.

그룹 정책 관련 파일의 검색 해제

• 그룹 정책 사용자 레지스트리 정보. 이러한 파일은 다음 폴더에 있습니다:

       %allusersprofile%\
  
  구체적으로, 다음 파일을 제외합니다.

       NTUser.pol

• 그룹 정책 클라이언트 설정 파일. 이러한 파일은 다음 폴더에 있습니다:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  구체적으로 다음 파일을 제외합니다.

       Registry.pol
       Registry.tmp

사용자 프로필 파일 검색 해제

• 사용자 레지스트리 정보 및 지원 파일. 파일은 다음 폴더에 있습니다.
  
       userprofile%\
  
  특히, 다음 파일을 제외합니다.
  
       NTUser.dat*

도메인 컨트롤러에서 바이러스 백신 소프트웨어 실행

도메인 컨트롤러는 클라이언트에 중요한 서비스를 제공하므로 악성 코드, 맬웨어 또는 바이러스로 인해 활동이 중단될 위험을 최소화해야 합니다. 바이러스 백신 소프트웨어는 감염 위험을 줄이는 데 일반적으로 사용되는 방법입니다. 도메인 컨트롤러에 대한 위험을 최대한 줄이고 성능에 가능한 한 적은 영향을 주도록 바이러스 백신 소프트웨어를 설치하고 구성해야 합니다. 다음 목록에는 Windows Server 도메인 컨트롤러에서 바이러스 백신 소프트웨어를 구성 및 설치하는 데 도움이 되는 권장 사항이 포함되어 있습니다.
                
                경고 지정된 다음 구성을 테스트 시스템에 적용하여 특정 환경에서 예기치 않은 요소를 생성하거나 시스템의 안정성을 손상하지 않도록 하는 것이 좋습니다. 검색이 너무 많이 수행되면 파일이 변경된 것으로 부적절하게 플래깅될 수 있습니다. 이로 인해 Active Directory에 너무 많은 복제본이 존재할 수 있습니다. 테스트를 통해 복제가 다음 권장 사항의 영향을 받지 않는 것이 확인되면 바이러스 백신 소프트웨어를 프로덕션 환경에 적용할 수 있습니다.

참고 바이러스 백신 소프트웨어 공급업체의 특정 권장 사항이 이 문서의 권장 사항보다 우선할 수 있습니다.

• 엔터프라이즈의 모든 도메인 컨트롤러에 바이러스 백신 소프트웨어를 설치해야 합니다. 이상적으로는 도메인 컨트롤러와 상호 작용해야 하는 다른 모든 서버 및 클라이언트 시스템에 이러한 소프트웨어를 설치해야 합니다. 맬웨어가 들어온 클라이언트 시스템이나 방화벽과 같은 최초 지점에서 맬웨어를 잡아내는 것이 가장 좋습니다. 이렇게 하면 클라이언트가 의존하는 인프라 시스템까지 맬웨어가 침투하지 못합니다.

• Active Directory 도메인 컨트롤러와 작동하도록 설계되고 올바른 API(응용 프로그래밍 인터페이스)를 사용하여 서버의 파일에 액세스하는 바이러스 백신 소프트웨어 버전을 사용합니다. 대부분의 공급업체 소프트웨어의 이전 버전은 파일이 검색될 때 파일의 메타데이터를 부적절하게 변경합니다. 이로 인해 파일 복제 서비스 엔진이 파일 변경을 인식하고 파일의 복제를 예약하게 됩니다. 최신 버전에서는 이 문제가 발생하지 않습니다.
  자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

  815263 파일 복제 서비스와 호환되는 바이러스 백신, 백업 및 디스크 최적화 프로그램

• 도메인 컨트롤러를 사용하여 인터넷을 탐색하거나 악성 코드 유입을 초래할 수 있는 다른 활동을 수행하지 마세요.

• 도메인 컨트롤러의 작업 부하를 최소화하는 것이 좋습니다. 가능한 경우 파일 서버 역할에 도메인 컨트롤러를 사용하지 않도록 합니다. 이렇게 하면 파일 공유의 바이러스 검색 활동이 줄어들며 성능 오버헤드가 최소화됩니다.

• Active Directory 또는 FRS 데이터베이스와 로그 파일을 NTFS 파일 시스템 압축 볼륨에 두지 않습니다.

Active Directory 및 Active Directory 관련 파일의 검색 해제

• 기본 NTDS 데이터베이스 파일을 제외합니다. 이러한 파일의 위치는 다음 레지스트리 하위 키에 지정됩니다.

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  
  기본 위치는 %windir%\Ntds입니다. 특히, 다음 파일을 제외합니다.

  • Ntds.dit

  • Ntds.pat

• Active Directory 트랜잭션 로그 파일을 제외합니다. 이러한 파일의 위치는 다음 레지스트리 하위 키에 지정됩니다.

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  
  기본 위치는 %windir%\Ntds입니다. 특히, 다음 파일을 제외합니다.

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• 다음 레지스트리 하위 키에 지정되어 있는 NTDS 작업 폴더의 파일을 제외합니다.

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  
  특히 다음 파일을 제외합니다.

  • Temp.edb

  • Edb.chk

SYSVOL 파일 검색 해제

• 다음 레지스트리 하위 키에 지정되어 있는 FRS(파일 복제 서비스) 작업 폴더에 있는 파일의 검색을 해제합니다.

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  
  기본 위치는 %windir%\Ntfrs입니다. 이 폴더에 있는 다음 파일을 제외합니다.

  • %windir%\Ntfrs\jet\sys 폴더의 edb.chk

  • %windir%\Ntfrs\jet 폴더의 Ntfrs.jdb

  • %windir%\Ntfrs\jet\log 폴더의 *.log

• 다음 레지스트리 하위 키에 지정되어 있는 FRS 데이터베이스 로그 파일의 파일 검색을 해제합니다.

  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  
  기본 위치는 %windir%\Ntfrs입니다. 다음 파일을 제외합니다.

  • Edb*.log(레지스트리 키가 설정되지 않은 경우)

  • FRS Working Dir\Jet\Log\Edb*.jrs

• 참고 특정 파일 제외에 대한 설정은 완전성을 위해 여기에 설명되어 있습니다. 기본적으로 이러한 폴더는 시스템 및 Administrators로만 액세스를 허용합니다. 올바른 보호가 적용되는지 확인하세요. 이러한 폴더는 FRS 및 DFSR에 대한 구성 요소 작업 파일만 포함합니다.

• 다음 레지스트리 하위 키에 지정된 대로 NTFRS 스테이징 폴더의 검색을 하위 키:

  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
  
  기본적으로 스테이징은 다음 위치를 사용합니다.

  %systemroot%\Sysvol\Staging areas

• AD DS에서 개체 CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName의 msDFSR-StagingPath 속성에 정의된 대로 DFSR 스테이징 폴더의 검색을 해제합니다. 이 특성에는 DFS 복제에서 파일을 스테이징하는 데 사용하는 실제 위치의 경로가 포함되어 있습니다. 특히, 다음 파일을 제외합니다.

  • Ntfrs_cmp*.*

  • *.frx

• Sysvol\Sysvol 폴더 또는 SYSVOL_DFSR\Sysvol 폴더에 있는 파일의 검색을 해제합니다.
  
  Sysvol\Sysvol 또는 SYSVOL_DFSR\Sysvol 폴더와 모든 해당 하위 폴더의 현재 위치는 복제 세트 루트의 파일 시스템 재분석 대상입니다. Sysvol\Sysvol 및 SYSVOL_DFSR\Sysvol 폴더는 기본값으로 다음 위치를 사용합니다.

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  현재 활성 상태인 SYSVOL의 경로는 NETLOGON 공유에서 참조되며 다음 하위 키의 SysVol  값 이름으로 확인할 수 있습니다.

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• 이 폴더 및 하위 폴더 전체에서 다음 파일을 제외합니다.

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• 다음 위치에 있는 FRS Preinstall 폴더의 파일 검색을 해제합니다.

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  Preinstall 폴더는 FRS가 실행 중일 때 항상 열려 있습니다.
                  
  이 폴더 및 하위 폴더 전체에서 다음 파일을 제외합니다.

  • Ntfrs*.*

• DFSR 데이터베이스 및 작업 폴더에서 파일의 검색을 해제합니다. 이 위치는 다음 레지스트리 하위 키로 지정됩니다.

  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path
  
  이 레지스트리 하위 키에서 "Path"는 복제 그룹의 이름을 나타내는 XML 파일의 경로입니다. 이 예제에서는 경로에 "도메인 시스템 볼륨"이 포함되어 있습니다.
  
  기본 위치는 다음의 숨겨진 폴더입니다.

       %systemdrive%\System Volume Information\DFSR
  
  이 폴더 및 모든 하위 폴더에서 다음 파일을 제외합니다.

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.log

  • Fsr*.jrs

  • Tmp.edb

• 참고 이러한 폴더나 파일 중 하나가 이동되었거나 다른 위치에 삽입된 경우 해당 요소를 검색하거나 제외하세요.

DFS 파일 검색 해제

SYSVOL 복제 세트에서 제외되는 동일한 리소스는 Windows Server 2008 R2 기반 또는 Windows Server 2008 기반 구성원 컴퓨터나 도메인 컨트롤러에서 FRS 또는 DFSR이 DFS 루트 및 링크 대상에 매핑되는 공유를 복제하는 데 사용될 때도 제외되어야 합니다.

DHCP 파일 검색 해제

기본적으로 제외해야 하는 DHCP 파일은 서버의 다음 폴더에 들어 있습니다.

%systemroot%\System32\DHCP 이 폴더 및 하위 폴더 전체에서 다음 파일을 제외합니다.

• *.mdb

• *.pat

• *.log

• *.chk

• *.edb

DHCP 파일의 위치는 변경될 수 있습니다. 서버에서 DHCP 파일의 현재 위치를 확인하려면 다음 레지스트리 하위 키에 지정된 DatabasePath, DhcpLogFilePath 및 BackupDatabasePath 매개 변수를 확인합니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

DNS 파일 검색 해제

기본적으로 DNS는 다음 폴더를 사용합니다.

%systemroot%\System32\Dns 이 폴더 및 하위 폴더 전체에서 다음 파일을 제외합니다.

• *.log

• *.dns

• BOOT

WINS 파일 검색 해제

기본적으로 WINS는 다음 폴더를 사용합니다.

     %systemroot%\System32\Wins
이 폴더 및 하위 폴더 전체에서 다음 파일을 제외합니다.

• *.chk

• *.log

• *.mdb

Hyper-V 기반 버전의 Windows가 실행되는 컴퓨터

일부 시나리오에서 Hyper-V 역할이 설치된 Windows Server 2008 기반 컴퓨터나 Microsoft Hyper-V Server 2008 또는 Microsoft Hyper-V Server 2008 R2 기반 컴퓨터의 경우, 파일 및 전체 폴더를 제외하도록 바이러스 백신 소프트웨어 내 실시간 검사 구성 요소를 구성해야 할 수 있습니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

• 961804 가상 머신이 누락되었거나, 가상 머신을 시작하거나 만들 때 오류 0x800704C8, 0x80070037 또는 0x800703E3이 발생합니다.

다음 단계

시스템 성능이나 안정성이 이 문서의 권장 지침에 따라 향상될 경우 바이러스 백신 소프트웨어 공급업체에 지침이나 바이러스 백신 소프트웨어 업데이트 버전 또는 설정을 문의하십시오.

참고 타사 바이러스 백신 공급업체는 상업적으로 합당한 활동에 있어서 Microsoft 지원팀과 협력할 수 있습니다.

변경 기록

 다음 표에는 이 항목의 가장 중요한 변경 사항 중 일부가 요약되어 있습니다.