Anbefalinger for virusskanning for Enterprise/datamaskiner som kjører støttede versjoner av Windows

Informasjon for hjemmebrukere

Hvis du vil ha mer informasjon om virusskanning med anbefalinger for forbrukere, kan du gå til følgende Microsoft-webområde:

http://windows.microsoft.com/nb-NO/windows-vista/Viruses-frequently-asked-questions

INNLEDNING

Denne artikkelen inneholder anbefalinger som kan hjelpe en administrator med å avgjøre årsaken til potensiell ustabilitet på en datamaskin som kjører en støttet versjon av Microsoft Windows når det brukes sammen med antivirusprogramvare i et Active Directory domenemiljø eller i et administrert bedriftsmiljø.Merk Vi anbefaler at du midlertidig bruker disse fremgangsmåtene for å evaluere et systemet. Hvis systemytelsen eller stabiliteten forbedres av anbefalingene som gis i denne artikkelen, kan du kontakte leverandøren av antivirusprogrammet ditt for å få instruksjoner eller en oppdatert versjon av antivirusprogramvaren.

Viktig!  Denne artikkelen inneholder informasjon som viser hvordan du kan få hjelp til å redusere sikkerhetsinnstillinger eller til å midlertidig deaktivere sikkerhetsfunksjoner på en datamaskin. Du kan gjøre disse endringene for å forstå hva et bestemt problem skyldes. Før du gjør disse endringene, anbefaler vi at du evaluerer risikoen som er knyttet til implementering av denne løsningen i ditt bestemte miljø. Hvis du implementerer denne løsningen, må du gjøre det som er nødvendig for å beskytte datamaskinen.

Mer informasjon

For datamaskiner som kjører Windows Server 2008 R2, Windwos Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista eller Windows 7

Advarsel!  Denne løsningen kan gjøre en datamaskin eller et nettverk mer utsatt for angrep fra brukere med onde hensikter eller skadelig programvare, for eksempel virus. Denne løsningen anbefales ikke, men informasjonen oppgis slik at du kan velge å implementere løsningen på eget initiativ. Bruk denne løsningen på eget ansvar.

Obs!

 • Vi vet ikke om noen risiko som kan oppstå på grunn av ekskludering av de spesifikke filene eller mappene som nevnes i denne artikkelen fra skanninger som gjennomføres av antivirusprogramvaren din. Systemet kan imidlertid være tryggere hvis du ikke ekskludere filer eller mapper fra skanninger.

 • Når du skanner kan disse filene, kan det oppstå problemer med ytelse og operativsystemetpålitelighet på grunn av fillåsing.

 • Ikke utelat noen av disse filene basert på filendelsen. Utelat for eksempel ikke alle filer med filtypen DIT. Microsoft har ingen kontroll over andre filer som kan bruke samme filendelse som filene som beskrives i denne artikkelen.

 • Denne artikkelen opplyser om både filnavn og mapper som kan ekskluderes. Alle filene og mappene som beskrives i denne artikkelen er beskyttet av standardtillatelser slik at kun SYSTEM og administrator har tilgang, og de inneholder kun komponenter for operativsystemet. Å ekskludere en hel mappe kan være enklere, men det er mulig at det ikke gir like stor beskyttelse som å ekskludere spesifikke filer basert på filnavn.

Slå av skanning av filer som er relatert til Windows Update eller automatisk oppdatering

 • Slå av skanning av databasefilen for Windows Update eller automatiske oppdateringer (Datastore.edb). Denne filen ligger i følgende mappe:

  %windir%\SoftwareDistribution\Datastore

 • Slå av skanning av loggfiler som er plassert i følgende mappe:

  %windir%\SoftwareDistribution\Datastore\LogsUtelat følgende filer:

  • Res*.log

  • Res*.jrs

  • Edb.chk

  • Tmp.edb

  Jokertegnet (*) angir at det kan finnes flere filer.

Slå av skanning av Windows Security-filer

 • Legg til følgende filer i %windir%\Security\Database-banen til ekskluderingslisten:

  • *.edb

  • *.sdb

  • *.log

  • *.chk

  • *.jrs

  Merk Hvis disse filene ikke utelukkes, kan antivirusprogramvare forhindre riktig tilgang til disse filene, og sikkerhetsdatabaser kan bli ødelagte. Skanning av disse filene kan forhindre at filene brukes eller at en sikkerhetspolicy kan brukes på filene. Disse filene skal ikke skannes, fordi det er mulig at antivirusprogramvaren ikke behandler dem som proprietære databasefiler på riktig måte.

Slå av skanning av gruppepolicy-relaterte filer

 • Registerinformasjon for Gruppepolicybruker. Disse filene ligger i følgende mappe:

  %allusersprofile%\ Ekskluder spesifikt følgende fil:

  NTUser.pol

 • Innstillingsfil for Gruppepolicy-klient. Denne filen ligger i følgende mappe:

  %Systemroot%\System32\GroupPolicy\ Ekskluder spesifikt følgende fil:

  Registry.pol

Hvis du vil ha mer informasjon, kan du klikke artikkelnumrene nedenfor for å vise artiklene i Microsoft Knowledge Base:

951059 På en Windows Server 2003-basert datamaskin blir registerbaserte policyinnstillinger uventet fjernet etter at en bruker logger seg på datamaskinen (denne artikkelen kan være på engelsk)

930597 Enkelte registerbaserte policyinnstillinger går tapt, og feilmeldinger loggføres i Programloggen på en Windows XP-basert datamaskin eller en Windows Vista-basert datamaskin (denne artikkelen kan være på engelsk)

For Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 og Windows 2000 domenekontrollere

Fordi domenekontrollere gir en viktig tjeneste til klientene, må risikoen for at deres handlinger forstyrres av ondsinnet kode, ondsinnet programvare eller et virus minimeres. Bruk av antivirusprogrammer er den vanligste måten å redusere risikoen for infeksjon på. Installer og konfigurer et virusbeskyttelsesprogram slik at risikoen for domenekontrolleren reduseres så mye som mulig, og slik at ytelsen påvirkes minst mulig. Følgende liste inneholder anbefalinger som hjelper deg med å konfigurere og installere virusbeskyttelsesprogrammer på en Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 eller Windows 2000-domenekontroller:

Advarsel!  Microsoft anbefaler at du bruker følgende spesifiserte konfigurasjon i en testkonfigurasjon for å sikre at ditt spesifikke miljø ikke utsettes for uventende faktorer eller svekket stabilitet. Risikoen fra overskanning er at filer feilaktig merkes som endret. Dette fører til for mye replikering i Active Directory. Hvis testing bekrefter at replikering ikke påvirkes av følgende anbefalinger, kan du bruke virusbeskyttelsesprogrammet i produksjonsmiljøet.


Obs!  Bestemte anbefalinger fra leverandører av virusbeskyttelsesprogrammer kan ha forrang over anbefalingene i artikkelen.

 • Virusbeskyttelsesprogrammer må installeres på alle domenekontrollere i virksomheten. Helst bør du forsøke å installere slike programmer på alle andre server- og klientsystemer som må samhandle med domenekontrollerne. Det er optimalt å fange opp ondsinnet programvare så tidlig som mulig, for eksempel i brannmuren eller klientsystemet der programvaren først introduseres. Dette hindrer at den ondsinnede programvaren når infrastruktursystemene som klientene er avhengig av.

 • Bruk en versjon av virusbeskyttelsesprogrammet som er utviklet for å fungere med Active Directory-domenekontrollere, og som bruker de riktige IPIene (Application Programming Interfaces) til å få tilgang til filer på serveren. Eldre versjoner av programvaren fra de fleste leverandøren endrer urettmessig en fils metadata når filen skannes. Dette fører til at File Replication Service-motoren gjenkjenner en filendring og derfor planlegger en replikering av filen. Nyere versjoner forhindrer dette problemet.

  Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  815263 Programmer for virusbeskyttelse, sikkerhetskopiering og diskoptimalisering som er kompatible med tjenesten File Replication (denne artikkelen kan være på engelsk)

 • Ikke bruk en domenekontroller til å bla på Internett eller utføre andre aktiviteter som kan introdusere skadelig kode. • Vi anbefaler at du minimerer arbeidsbelastningen for domenekontrollere. Når det er mulig, bør du unngå å bruke domenekontrollere som filserver. Dette senker antivirusprogrammets aktivitet på delte filressurser og minimerer ytelsen.

 • Ikke plasser Active Directory- eller FRS-databasefiler og loggfiler på komprimerte volumer i NTFS-filsystemet.

  Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

  318116 Problemer med Jet-databaser på komprimerte stasjoner (denne artikkelen kan være på engelsk)

Slå av skanning av Active Directory og Active Directory-relaterte filer

 • Utelat hoved NTDS-databasefiler. Plasseringen av disse filene er angitt i følgende registernøkkel:

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Standardplasseringen er %windir%\Ntds. Utelat følgende filer:

  Ntds.dit

  Ntds.pat

 • Utelat Active Directory-transaksjonsloggfilene. Plasseringen av disse filene er angitt i følgende registernøkkel:

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Standardplasseringen er %windir%\Ntds. Utelat følgende filer:

  • EDB*.log

  • Res*.log

  • Res*.jrs

  • Ntds.pat

  Obs!  Windows Server 2003 bruker ikke lenger Ntds.pat-filen.

 • Utelat filer i NTDS-arbeidsmappen som er angitt i følgende registernøkkel: Utelat spesifikt følgende filer:

  • Temp.edb

  • Edb.chk

Slå av skanning av SYSVOL-filer

 • Slå av skanning av filer i FRS-arbeidsmappen (File Replication Service) som er angitt i følgende registernøkkel:

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working DirectoryStandardplasseringen er %windir%\Ntfrs. Utelat følgende filer som finnes i mappen:


  • edb.chk

  • Ntfrs.jdb

  • *.log

 • Slå av skanning av filer i FRS-databaseloggfiler som angis i følgende registernøkkel: Standardplasseringen er %windir%\Ntfrs. Utelat følgende filer:  • Eedb*.log (Hvis registernøkkelen ikke er angitt).

  • FRS-arbeidsmappe\Jet\Log\Edb*.jrs (Windows Server 2008 og Windows Server 2008 R2).

  • Edb*.jrs (Windows Server 2008 og Windows Server 2008 R2).

  Merk Innstillinger for utelukkelse av bestemte filer er dokumentert her for å vise helheten. Som standard tillater disse mappene kun tilgang til System og administratorer. Kontroller at riktig beskyttelse er på plass. Disse mappene inneholder bare arbeidskomponentfiler for FRS og DFSR.

 • Slå av skanning på datainnflyttings-filen som er angitt i følgende registernøkkel.


  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
  Datainnflytting brukes som standard på følgende sted:

  %systemroot%\Sysvol\Staging areasUtelat følgende filer:

  • Nntfrs_cmp*.*

 • Slå av skanning av filene i mappen Sysvol\Sysvol.

  Den gjeldende plasseringen til Sysvol\Sysvol-mappen og alle undermappene er filsystemets reanalyseringsmål for replikasettets rot. Mappen Sysvol\Sysvol bruker følgende plassering:

  %systemroot%\Sysvol\SysvolUtelat følgende filer fra denne mappen og alle undermapper:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • *.aas

  • *.inf

  • Fdeploy.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

 • Slå av skanning av filer i mappen FRS Preinstall som har følgende plassering:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory Forhåndsinstallasjonsmappen er alltid åpen når FRS kjøres.  Utelat følgende filer fra denne mappen og alle undermapper:

  • Ntfrs*.*

 • Slå av skanning av filer i DFSR-databasen og arbeidsmapper. Plasseringen angis av følgende registernøkkel:

  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >I denne registernøkkelen er "Path" stien til en XML-fil som angir navnet på replikeringsgruppen. I dette eksemplet inneholder banen "Domenesystemvolum."

  Standardplasseringen er følgende skjulte mappe:

  %systemdrive%\System Volume Information\DFSRUtelat følgende filer fra denne mappen og alle undermapper:

  • $db_normal$

  • FileIDTable_2

  • SimilarityTable_2

  • *.xml

  • $db_dirty$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.log

  • Fsr*.jrs

  • Tmp.edb

  Hvis noen av disse mappene eller filene er fjernet eller plassert et annet sted, skanner eller utelater du det tilsvarende elementet.

Deaktiver skanning av DFS-filer

De samme ressursene som utelates for et SYSVOL replikasett må også utelates når FRS eller DFSR brukes til å replikere delte områder som mappes til DFS-roten og kobler mål på Windows Server 2008 R2-baserte, Windows Server 2008-baserte, Windows Server 2003-baserte eller Windows 2000-baserte medlemsmaskiner eller domenekontrollere.


Deaktiver skanning av DHCP-filer

Som standard finnes DHCP-filer som skal utelukkes i følgende mappe på serveren:

%systemroot%\System32\DHCPUtelat følgende filer fra denne mappen og alle undermapper:


 • *.mdb

 • *.pat

 • *.log

 • *.chk

 • *.edb


DHCP-filenes plassering kan være endret. Undersøk parametrene DatabasePath, DhcpLogFilePath og BackupDatabasePath som er angitt i følgende registerundernøkkel for å finne den gjeldende plasseringen for DHCP-filer på serveren:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

For Windows Server 2008, Windows Server 2003 og Windows 2000 domenekontrollere

Deaktiver skanning av DNS-filer

Som standard bruker DNS følgende mappe:

%systemroot%\System32\Dns
Utelat følgende filer fra denne mappen og alle undermapper:

 • *.log

 • *.dns

 • OPPSTART

Slå av skanning av WINS filer

Som standard bruker WINS følgende mappe:

%systemroot%\System32\Wins Utelat følgende filer fra denne mappen og alle undermapper:

 • *.chk

 • *.log

 • *.mdb

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

×