Aanbevolen antivirusuitsluitingen voor Configuration Manager siteservers, sitesystemen en clients

Artikel
03/20/2024

Dit artikel bevat aanbevelingen die een beheerder kunnen helpen bij het bepalen van de oorzaak van mogelijke instabiliteit op een computer waarop een ondersteunde versie van Configuration Manager siteservers, sitesystemen en clients wordt gebruikt in combinatie met antivirussoftware.

Oorspronkelijke productversie: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager, Configuration Manager (current branch)
Origineel KB-nummer: 327453

Samenvatting

We raden u aan deze procedures tijdelijk toe te passen om een systeem te evalueren. Als de prestaties of stabiliteit van uw systeem worden verbeterd door de aanbevelingen in dit artikel, neemt u contact op met uw leverancier voor instructies of een bijgewerkte versie van de antivirussoftware.

Belangrijk

Dit artikel bevat informatie over het verlagen van beveiligingsinstellingen of het tijdelijk uitschakelen van beveiligingsfuncties op een computer. U kunt deze wijzigingen aanbrengen om inzicht te hebben in de aard van een specifiek probleem. Voordat u deze wijzigingen aanbrengt, raden we u aan de risico's te evalueren die gepaard gaan met het implementeren van deze tijdelijke oplossing in uw specifieke omgeving.

Antivirusbeveiliging in realtime kan veel problemen veroorzaken op Configuration Manager siteservers, sitesystemen en clients.

Mogelijke symptomen zijn:

Externe sitesysteemonderdelen worden niet geïnstalleerd. SiteComp.log, Distmgr.log, hman.log of andere Configuration Manager logboekbestanden kunnen fouten bevatten, zoals fout-80070005.
De Configuration Manager-client kan niet worden geïnstalleerd via clientpush.
De clientinventarisgegevens zijn onjuist, ontbreken of zijn verouderd.
Backlogs treden op in de mappen Install_Directory\Postvak IN op siteservers.
Achterstanden treden op in de submappen Install_Directory\MP\Outboxes op beheerpunten (MP).
Software Center wordt niet gevuld met geïmplementeerde software op clientsystemen of start niet. Het CCMRepair.log-bestand kan ook een fout bevatten die vergelijkbaar is met het volgende voorbeeld:
```
Database verification failed with result: 0x80004005 but DB: C:\Windows\CCM\filename.sdf could be opened, skipping DB repair.
```
Software die is geïmplementeerd op clients kan niet worden geïnstalleerd.
Nalevingsgegevens voor software-implementaties zijn onjuist.

Standaardinstallatiemappen

Gebruik de volgende installatiemappaden als variabelen voor de aanbevolen uitsluitingen die in dit artikel worden vermeld.

Opmerking

De volgende paden zijn de standaardinstallatiepaden en kunnen variëren, afhankelijk van de omgeving. We raden u aan de omgeving en configuratie te controleren om ervoor te zorgen dat u over de juiste paden beschikt.

Map	Pad
ConfigMgr installatiemap	%ProgramFiles%\Microsoft Configuration Manager
MP-installatiemap	%ProgramFiles%\SMS_CCM
Clientinstallatiemap	%Windir%\CCM
ContentLib_drive	Het pad varieert. Het standaardpad is het station C:\.

Uitsluitingen

U wordt aangeraden de volgende realtime-beveiligingsuitsluitingen toe te voegen om deze problemen te voorkomen.

Mapuitsluitingen voor siteservers

ConfigMgr installatiemap\Postvakken IN
ConfigMgr installatiemap\Logboeken
ConfigMgr installatiemap\EasySetupPayload
ContentLib_drive\SCCMContentLib

Opmerking

Als u een externe inhoudsbibliotheek hebt, bevindt deze map zich niet op de siteserver. Zie Een externe inhoudsbibliotheek configureren voor de siteserver voor meer informatie.

Mapuitsluitingen voor sitesystemen

Beheerpunten
- MP-installatiemap\ServiceData
- Een van de volgende mappen:
  - ConfigMgr installatiemap\MP\OUTBOXES
  - Installatiestation\SMS\MP\OUTBOXES
Distributiepunten
- Clientinstallatiemap\ServiceData
- ContentLib_drive\SCCMContentLib
- ContentLib_drive\SMS_DP$
- ContentLib_drive\SMSPKGDrive_Letter$
- ContentLib_drive\SMSPKG
- ContentLib_drive\SMSPKGSIG
- ContentLib_drive\SMSSIG$
Sitedatabaseservers
- Antivirussoftware kiezen die moet worden uitgevoerd op computers waarop SQL Server

Mapuitsluitingen voor clients

Clientinstallatiemap\*.sdf
Clientinstallatiemap\ServiceData
Clientinstallatiemap\ScriptStore
C:\Windows\CCMCache
C:\Windows\CCMSetup
Clientinstallatiemap\Logboeken
C:\Windows\Setup\Scripts
C:\Windows\SMSTSPostUpgrade
C:\Program Files\Microsoft Policy Platform\authorityDb\*.sdf
Clientinstallatiemap\temp

Bestandsuitsluitingen voor MPs

POL00000.pol in de MP-installatiemap\PolReqStaging

Geen uitgaande bestanden scannen op MP's

De meeste antivirussoftware heeft een optie om bestanden te scannen die worden gekopieerd naar een externe locatie (uitgaande bestanden). Deze optie moet worden uitgeschakeld voor beheerpunten.
Voor Windows Defender is de beleidsnaam Bewaking configureren voor binnenkomende en uitgaande bestands- en programmaactiviteit. En dit moet worden ingesteld op Alleen binnenkomende bestanden scannen.

Zie Windows Defender Antivirus always-on-beveiliging inschakelen en configureren in groepsbeleid voor meer informatie.

Procesuitsluitingen

Procesuitsluitingen zijn alleen nodig als agressieve antivirusprogramma's Configuration Manager uitvoerbare bestanden (.exe) beschouwen als processen met een hoog risico.

Site- en sitesystemen:

\bin\x64\Smsexec.exe ConfigMgr installatiemap
\bin\x64\Sitecomp.exe ConfigMgr installatiemap
ConfigMgr installatiemap\bin\x64\Smswriter.exe (alleen siteserver)
ConfigMgr installatiemap\bin\x64\Cmupdate.exe (alleen siteserver)
ConfigMgr installatiemap\bin\x64\Smssqlbkup.exe of SQLFQDN-\bin\x64\Smssqlbkup.exe (alleen sitedatabaseserver)
MP-installatiemap\Ccmexec.exe

Client:

Clientinstallatiemap\Ccmexec.exe
Clientinstallatiemap\Ccmrepair.exe
Clientinstallatiemap\ScClient.exe
Clientinstallatiemap\CcmAADBroker.exe
Clientinstallatiemap\RemCtrl\CmRcService.exe
%windir%\CCMSetup\Ccmsetup.exe
%windir%\CCMSetup\autoupgrade\Ccmsetup*.exe