Vīrusu skenēšanas ieteikumi datoriem, kuros darbojas pašreiz atbalstītās sistēmas Windows versijas

IEVADS

Šajā rakstā ir ietverti ieteikumi, kas, iespējams, palīdzēs noteikt potenciāli nestabilas darbības cēloni datorā, kurā darbojas atbalstīta sistēmas Microsoft Windows versija un tiek izmantota pretvīrusu programmatūra Active Directory domēna vidē vai pārvaldītā biznesa vidē.



Piezīme. Ieteicams īslaicīgi veikt šīs darbības, lai novērtētu sistēmu. Ja šajā rakstā minētie ieteikumi uzlabo jūsu sistēmas veiktspēju vai stabilitāti, sazinieties ar savas pretvīrusu programmatūras ražotāju, lai saņemtu instrukcijas vai atjauninātu pretvīrusu programmatūras versiju.





Svarīgi! Šajā rakstā ietvertā informācija sniedz norādījumus, kā samazināt drošības iestatījumus vai kā īslaicīgi izslēgt datora drošības līdzekļus. Varat veikt šīs izmaiņas, lai izprastu noteiktas problēmas būtību. Pirms izmaiņu veikšanas ieteicams novērtēt risku, kas saistīts ar šāda risinājuma izmantošanu konkrētā vidē. Ja izmantojat šo risinājumu, veiciet visas atbilstošās papildu darbības, kas palīdz aizsargāt datoru.

P A P I L D I N D O R MĀ C I J A

Datoriem, kuros darbojas sistēma Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista vai Windows 7

Brīdinājums! Šī metode var padarīt datoru vai tīklu neaizsargātāku pret ļaunprātīgu lietotāju vai ļaunprātīgas programmatūras, piemēram, vīrusu, uzbrukumiem. Mēs neiesakām šo metodi, bet sniedzam šo informāciju, lai jūs varētu metodi īstenot, ja uzskatāt to par nepieciešamu. Izmantojot šo metodi, jūs pats uzņematies risku.

Piezīmes
  • Mums nav informācijas par risku, kas rodas, neiekļaujot noteiktus šajā rakstā minētus failus vai mapes skenēšanā, ko veic pretvīrusu programmatūra. Tomēr jūsu sistēma, iespējams, būs lielākā drošībā, ja skenēšanā iekļausit visus failus un mapes.
  • Skenējot šos failus, failu bloķēšanas dēļ var rasties veiktspējas un operētājsistēmas uzticamības problēmas.
  • Ja neiekļaujat kādu no šiem failiem, nedariet to pēc faila nosaukuma paplašinājuma. Piemēram, iekļaujiet visus tos failus, kuriem ir paplašinājums .dit. Korporācija Microsoft nekontrolē citus failus, kas, tāpat kā šajā rakstā aprakstītie faili, var izmantot tos pašus paplašinājumus.
  • Šajā rakstā norādīti to failu un mapju nosaukumi, kurus var neiekļaut skenēšanā. Visus failus un mapes, kas aprakstītas šajā rakstā, aizsargā noklusējuma atļaujas, kas ļauj tikai SISTĒMAS un administratora piekļuvi, un šīs atļaujas satur tikai operētājsistēmas komponentus. Neiekļaut visu mapi, iespējams, ir vienkāršāk, taču tas var nenodrošināt tikpat lielu aizsardzības līmeni, kā noteiktu failu neiekļaušana pēc failu nosaukumiem.

Skenēšanas izslēgšana failiem, kas saistīti ar Windows atjaunināšanu vai automātisko atjaunināšanu

  • Izslēdziet skenēšanu Windows atjaunināšanas vai automātiskās atjaunināšanas datu bāzes failam (Datastore.edb). Šis fails atrodas tālāk minētajā mapē:
    %windir%\SoftwareDistribution\Datastore
  • Izslēdziet skenēšanu žurnālfailiem, kas atrodas tālāk minētajā mapē:
    %windir%\SoftwareDistribution\Datastore\Logs
    Noteikti neiekļaujiet tālāk minētos failus:

    • Res*.log
    • Res*.jrs
    • Edb.chk
    • Tmp.edb
    Aizstājējzīme (*) norāda, ka var būt vairāki faili.

Skenēšanas izslēgšana Windows drošības failiem

  • Pievienojiet tālāk minētos failus neiekļauto failu saraksta ceļā %windir%\Security\Database:

    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    Piezīme. Ja iekļausit šos failus, pretvīrusu programmatūra, iespējams, neļaus pareizu piekļuvi šiem failiem un var tikt bojātas drošības datu bāzes. Šo failu skenēšana var neļaut izmantot failus vai pielietot tiem drošības politiku. Šos failus nevajag skenēt, jo pretvīrusu programmatūra var tos nepareizi uzskatīt par īpašnieka datu bāzes failiem.

Skenēšanas izslēgšana failiem, kas saistīti ar grupu politiku

  • Grupu politikas lietotāja reģistra informācija. Šie faili atrodas tālāk minētajā mapē:
    %allusersprofile%\
    Noteikti neiekļaujiet tālāk minēto failu:
    NTUser.pol
  • Grupu politikas klienta iestatījumu fails. Šis fails atrodas tālāk minētajā mapē:
    %Systemroot%\System32\GroupPolicy\
    Noteikti neiekļaujiet tālāk minēto failu:
    Registry.pol
Lai iegūtu papildinformāciju, noklikšķiniet uz šiem rakstu numuriem, lai skatītu Microsoft zināšanu bāzes rakstus:
951059 Datorā, kurā darbojas sistēma Windows Server 2003, reģistra politikas iestatījumi tiek negaidīti noņemti pēc lietotāja pieteikšanās datorā (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)
930597 Datorā, kurā darbojas sistēma Windows XP vai sistēma Windows Vista, daži reģistra politikas iestatījumi tiek zaudēti un lietojumprogrammu žurnālā tiek reģistrēti kļūdu ziņojumi (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)

Sistēmas Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 un Windows 2000 domēna kontrolleri

Tā kā domēna kontrolleri nodrošina klientiem svarīgu pakalpojumu, jāsamazina to darbību pārtraukšanas risks, ko var izraisīt ļaunprātīgs kods, ļaunprogrammatūra vai vīruss. Pretvīrusu programmatūra ir vispārpieņemts līdzeklis infekcijas riska samazināšanai. Instalējiet un konfigurējiet pretvīrusu programmatūru, lai maksimāli samazinātu domēna kontrollera apdraudējumu un pēc iespējas mazāk ietekmētu sistēmas veiktspēju. Tālāk esošajā sarakstā ir ieteikumi, lai palīdzētu konfigurēt un instalēt pretvīrusu programmatūru sistēmas Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 vai Windows 2000 domēna kontrollerī.

Brīdinājums! Ieteicams izmantot tālāk norādīto testa sistēmas konfigurāciju, lai nodrošinātu, ka tā neizraisa neparedzētus faktorus jūsu konkrētajā vidē vai neapdraud sistēmas stabilitāti. Pārāk bieža skenēšana var radīt risku, ka faili tiek nepareizi atzīmēti ar karodziņu kā mainīti. Tādējādi pakalpojumā Active Directory notiek pārmērīga replicēšana. Ja pārbaude apstiprina, ka šie ieteikumi replicēšanu neietekmē, pretvīrusu programmatūru izstrādes vidē varat lietot.


Piezīme. Konkrēti ieteikumi no pretvīrusu programmatūras ražotājiem var aizstāt šajā rakstā sniegtos ieteikumus.

  • Pretvīrusu programmatūra ir jāinstalē visos uzņēmuma domēna kontrolleros. Ideālā gadījumā mēģiniet instalēt šo programmatūru visās serveru klientu sistēmās, kurām ir nepieciešams mijiedarboties ar domēna kontrolleriem. Optimāls rezultāts ir pārtvert ļaunprogrammatūru sākotnējā punktā, piemēram, ugunsmūrī vai klienta sistēmā, kurā ļaunprogrammatūra tika ieviesta. Tādējādi tiek novērsta ļaunprogrammatūras nokļūšana infrastruktūras sistēmās, no kurām klienti ir atkarīgi.
  • Lietojiet pretvīrusu programmatūras versiju, kas ir paredzēta darbam ar Active Directory domēna kontrolleriem un kas izmanto pareizos lietojumprogrammas interfeisus (application programming interfaces — APIs), lai piekļūtu servera failiem. Lielākajai daļai ražotāju nodrošināto programmatūru vecākās versijas neatbilstoši maina faila metadatus faila skenēšanas laikā. Tādējādi failu replicēšanas pakalpojuma programma atpazīst faila izmaiņas un tāpēc ieplāno faila replicēšanu. Jaunākās programmatūru versijās šī problēma ir novērsta.

    Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un skatiet rakstu Microsoft zināšanu bāzē:

    815263 Pretvīrusu, dublēšanas un diska optimizēšanas programmas, kas ir saderīgas ar failu replicēšanas pakalpojumu (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)
  • Neizmantojiet domēna kontrolleri, lai pārlūkotu internetu vai veiktu citas darbības, kas var ieviest ļaunprātīgu kodu.


  • Ieteicams samazināt darba slodzes domēna kontrolleros. Kad iespējams, neizmantojiet domēna kontrollerus kā failu serveri. Tādējādi tiek samazināta vīrusu skenēšanas aktivitāte failu koplietošanas procesā un turpmākā veiktspēja.
  • Neievietojiet Active Directory vai FRS datu bāzi un žurnālfailus NTFS failu sistēmas saspiestajos sējumos.

    Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un skatiet rakstu Microsoft zināšanu bāzē:

    318116 Problēmas ar Jet datu bāzēm, kas atrodas saspiestajos diskdziņos (Šī saite var norādīt uz saturu, kurš daļēji vai pilnībā ir angļu valodā)

Skenēšanas izslēgšana pakalpojumā Active Directory un ar to saistītajiem failiem

  • Neiekļaujiet galvenos NTDS datu bāzes failus. Šo failu atrašanās vieta ir norādīta šādā reģistra atslēgā:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    Noklusējuma atrašanās vieta ir %windir%\Ntds. Noteikti neiekļaujiet tālāk minētos failus:
    Ntds.dit

    Ntds.pat
  • Neiekļaujiet Active Directory transakcijas žurnālfailus. Šo failu atrašanās vieta ir norādīta šādā reģistra atslēgā:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    Noklusējuma atrašanās vieta ir %windir%\Ntds. Noteikti neiekļaujiet tālāk minētos failus:

    • EDB*.log
    • Res*.log
    • Res*.jrs
    • Ntds.pat
    Piezīme. Sistēmā Windows Server 2003 vairs netiek izmantots fails Ntds.pat.
  • Neiekļaujiet NTDS darba mapē esošos failus, kas ir norādīta šādā reģistra atslēgā:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    Noteikti neiekļaujiet tālāk minētos failus:

    • Temp.edb
    • Edb.chk

Skenēšanas izslēgšana SYSVOL failiem

  • Izslēdziet skenēšanu failiem, kas atrodas failu replicēšanas pakalpojuma (FRS — File Replication Service) darba mapē, kuras atrašanās vieta ir norādīta šādā reģistra atslēgā:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    Noklusējuma atrašanās vieta ir %windir%\Ntfrs. Neiekļaujiet tālāk minētos failus, kas atrodas šajā mapē:


    • edb.chk
    • Ntfrs.jdb
    • *.log
  • Izslēdziet skenēšanu FRS datu bāzes žurnālfailiem, kas norādīti šādā reģistra atslēgā:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    Noklusējuma atrašanās vieta ir %windir%\Ntfrs. Neiekļaujiet tālāk minētos failus:



    • Eedb*.log (ja nav iestatīta reģistra atslēga).
    • FRS Working Dir\Jet\Log\Edb*.jrs (sistēmā Windows Server 2008 un Windows Server 2008 R2).
    • Edb*.jrs (sistēmā Windows Server 2008 un Windows Server 2008 R2).
    Piezīme. Noteiktu failu neiekļaušanas iestatījumi ir norādīti šeit, lai sniegtu pilnīgu informāciju. Pēc noklusējuma šīs mapes atļauj piekļuvi tikai mapēm Sistēma un Administratori. Lūdzu, pārliecinieties, vai ir iestatīti pareizie aizsardzības līdzekļi. Šīs mapes satur tikai FRS un DFSR komponentu darba failus.

  • Izslēdziet skenēšanu izstādīšanas failam, kā norādīts šādā reģistra atslēgā.


    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    Pēc noklusējuma izstādīšana izmanto šādu atrašanās vietu:
    %systemroot%\Sysvol\Staging areas
    Neiekļaujiet tālāk minētos failus:

    • Nntfrs_cmp*.*
  • Izslēdziet skenēšanu failiem, kas atrodas mapē Sysvol\Sysvol.

    Mapes Sysvol\Sysvol un tās apakšmapju pašreizējā atrašanās vieta ir dublikātu iestatīšanas kopas failu sistēmas pārveides mērķis. Mape Sysvol\Sysvol izmanto šādu atrašanās vietu:
    %systemroot%\Sysvol\Sysvol
    Neiekļaujiet tālāk minētos failus, kas atrodas šajā mapē un tās apakšmapēs:

    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Izslēdziet skenēšanu failiem, kas atrodas FRS pirminstalēšanas mapē šajā atrašanās vietā:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Kad FRS darbojas, pirminstalēšanas mape vienmēr ir atvērta.



    Neiekļaujiet tālāk minētos failus, kas atrodas šajā mapē un tās apakšmapēs:

    • Ntfrs*.*
  • Izslēdziet skenēšanu failiem, kas atrodas DFSR datu bāzē un darba mapēs. Atrašanās vietu norāda šāda reģistra atslēga:

    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    Šajā reģistra atslēgā "Ceļš" ir tā XML faila ceļš, kas norāda replicēšanas grupas nosaukumu. Šajā piemērā ceļš ietver nosaukumu "Domēna sistēmas sējums".

    Noklusējuma atrašanās vieta ir šāda slēptā mape:

    %systemdrive%\System Volume Information\DFSR
    Neiekļaujiet tālāk minētos failus, kas atrodas šajā mapē un tās apakšmapēs:

    • $db_normal$
    • FileIDTable_2
    • SimilarityTable_2
    • *.xml
    • $db_dirty$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb




    Ja kāda no šīm mapēm vai kāds no šiem failiem tiek pārvietots vai novietots citā atrašanās vietā, skenējiet vai neiekļaujiet līdzvērtīgu elementu.

Skenēšanas izslēgšana DFS failiem

Tos pašus resursus, kas netika iekļauti SYSVOL dublikātu kopai, nav jāiekļauj arī, kad FRS vai DFSR tiek izmantots, lai replicētu koplietojumus, kas ir kartēti DFS saknei un saišu adresēm, datoros vai domēna kontrolleros, kuros darbojas sistēma Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 vai Windows 2000.


Skenēšanas izslēgšana DHCP failiem

Pēc noklusējuma DHCP faili, kas nav jāiekļauj, atrodas šādā servera mapē:

%systemroot%\System32\DHCP
Neiekļaujiet tālāk minētos failus, kas atrodas šajā mapē un tās apakšmapēs:


  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb





DHCP failu atrašanās vietu var mainīt. Lai noteiktu DHCP failu pašreizējo atrašanās vietu serverī, pārbaudiet parametrus DatabasePath, DhcpLogFilePath un BackupDatabasePath, kas norādīti šādā reģistra atslēgā:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Sistēmas Windows Server 2008, Windows Server 2003 un Windows 2000 domēna kontrolleriem

Skenēšanas izslēgšana DNS failiem

Pēc noklusējuma DNS izmanto šādu mapi:

%systemroot%\System32\Dns

Neiekļaujiet tālāk minētos failus, kas atrodas šajā mapē un tās apakšmapēs:

  • *.log
  • *.dns
  • BOOT

Skenēšanas izslēgšana WINS failiem

Pēc noklusējuma WINS izmanto šādu mapi:

%systemroot%\System32\Wins
Neiekļaujiet tālāk minētos failus, kas atrodas šajā mapē un tās apakšmapēs:
  • *.chk
  • *.log
  • *.mdb
Rekvizīti

Raksta ID: 822158. Pēdējo reizi pārskatīts: 2010. gada 8. febr.. Pārskatījums: 1

Atsauksmes