Zalecenia dotyczące skanowania wirusów dla komputerów z systemem operacyjnym, na których są uruchomione obecnie obsługiwane wersje systemu Windows

Dotyczy: Windows

Dotyczy:


Windows Server 2012, wszystkie wersjeWindows Server 2012 R2, wszystkie wersjeWindows Server 2016, wszystkie wersjeWindows Server 2019, wszystkie wersjeWindows 7, wszystkie wersjeSystem Windows 8,1, wszystkie wersjeSystem Windows 10, wszystkie wersje

Wprowadzenie


Ten artykuł zawiera zalecenia, które mogą pomóc administratorowi w ustaleniu przyczyny potencjalnej niestabilności na komputerze z obsługiwaną wersją systemu Microsoft Windows, gdy jest on wykorzystywany razem z oprogramowaniem antywirusowym w domenie usługi Active Directory środowisko lub zarządzane środowisko biznesowe.Uwaga Zalecamy tymczasowe zastosowanie tych ustawień, aby ocenić zachowanie systemowe. Jeśli wydajność lub stabilność systemu jest ulepszona zgodnie z zaleceniami, które zostały wprowadzone w tym artykule, należy skontaktować się z dostawcą oprogramowania antywirusowego w celu uzyskania instrukcji lub w celu uzyskania zaktualizowanej wersji lub ustawień oprogramowania antywirusowego.Ważne Ten artykuł zawiera informacje, które pokazują, jak zmniejszyć ustawienia zabezpieczeń lub tymczasowo wyłączyć funkcje zabezpieczeń na komputerze. Te zmiany można wprowadzić w celu zrozumienia charakteru konkretnego problemu. Przed ich wprowadzeniem najlepiej dokonać oceny zagrożenia, z jakim wiąże się zastosowanie tego obejścia w danym środowisku. W przypadku zastosowania tego obejścia należy podjąć odpowiednie kroki dodatkowe, aby pomóc chronić komputer.

Więcej informacji


Komputery z systemem Windows 7 i nowszymi wersjami systemu Windows

Ostrzeżenie To obejście może narazić komputer lub sieć na większe zagrożenie ze strony złośliwych użytkowników lub szkodliwego oprogramowania takiego jak wirusy. Firma Microsoft nie zaleca tego obejścia, ale udostępnia te informacje, aby można było zastosować to obejście według własnego uznania. To obejście użytkownicy stosują na własną odpowiedzialność.

Uwaga Program Windows Defender automatycznie wykonuje skanowanie antywirusowe, rozpoczynając od systemu Windows Server 2016 (i systemu Windows 10). Zobacz Konfigurowanie wykluczeń programu antywirusowego Windows Defender w systemie Windows Server.Uwagi

  • Wiemy o ryzyku wykluczania określonych plików lub folderów wymienionych w tym artykule przed skanowaniem wykonywanych przez oprogramowanie antywirusowe. System będzie bezpieczniejszy, jeśli nie wyłączysz żadnych plików lub folderów ze skanowania. 
  • Po przeskanowaniu tych plików mogą wystąpić problemy z wydajnością i niezawodnością systemu operacyjnego spowodowane blokowaniem plików.
  • Nie wykluczaj żadnego z tych plików na podstawie rozszerzenia nazwy pliku. Na przykład nie wykluczaj wszystkich plików, które mają rozszerzenie DIT. Firma Microsoft nie kontroluje innych plików, które mogą korzystać z tych samych rozszerzeń, co pliki opisane w tym artykule.
  • Ten artykuł zawiera nazwy plików i foldery, które można wykluczyć. Wszystkie pliki i foldery opisane w tym artykule są chronione domyślnymi uprawnieniami umożliwiającymi dostęp tylko do systemu i administratorów, a ponadto zawierają tylko składniki systemu operacyjnego. Wykluczenie całego folderu może być prostsze, ale może nie zapewniać takiej samej ochrony, jak wyłączenie określonych plików na podstawie nazw plików.

Wyłączanie skanowania usługi Windows Update lub automatyczne aktualizowanie plików powiązanych

  • Wyłącz skanowanie pliku bazy danych usługi Windows Update lub automatycznej aktualizacji (datastore. edb). Ten plik znajduje się w następującym folderze:
    %windir%\SoftwareDistribution\Datastore
  • Wyłącz skanowanie plików dziennika znajdujących się w następującym folderze:
    %windir%\SoftwareDistribution\Datastore\Logs
    W szczególności Wyklucz następujące pliki:
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • Znak wieloznaczny (*) wskazuje, że może być kilka plików.

Wyłączanie skanowania plików zabezpieczeń systemu Windows

  • Dodaj następujące pliki w ścieżce%windir%\Security\Database listy wyjątki:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    • *.xml
    • *.csv
    • *.cmtx
    Uwaga Jeśli te pliki nie są wykluczone, oprogramowanie antywirusowe może uniemożliwiać odpowiedni dostęp do tych plików, a bazy danych zabezpieczeń mogą ulec uszkodzeniu. Skanowanie tych plików może uniemożliwić użycie plików lub uniemożliwić zastosowanie zasad zabezpieczeń do plików. Pliki te nie powinny być skanowane, ponieważ oprogramowanie antywirusowe może nie być poprawnie traktowane jako zastrzeżone pliki bazy danych. Są to zalecane wykluczenia. Mogą istnieć inne typy plików, które nie są uwzględnione w tym artykule, które powinny być wykluczone.

Wyłączanie skanowania plików powiązanych z zasadami grupy

  • Informacje rejestru użytkownika dotyczące zasad grupy. Pliki te znajdują się w następującym folderze:
    %allusersprofile%\
    W szczególności Wyklucz następujące pliki:
    NTUser.pol
  • Pliki ustawień klienta zasad grupy. Pliki te znajdują się w następującym folderze:
    %SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\
    W szczególności Wyklucz następujące pliki:
    Registry.pol Registry.tmp

Wyłączanie skanowania plików profilu użytkownika

  • Informacje rejestru użytkowników i pliki pomocnicze. Pliki znajdują się w następującym folderze:
    userprofile%\
    W szczególności Wyklucz następujące pliki:
    NTUser.dat*

Uruchamianie oprogramowania antywirusowego na kontrolerach domeny

Ponieważ kontrolery domeny oferują ważną usługę klientom, ryzyko zakłócenia działań przed złośliwym kodem, złośliwym oprogramowaniem lub wirusem należy zminimalizować. Oprogramowanie antywirusowe jest ogólnie przyjętym sposobem zmniejszenia ryzyka infekcji. Zainstaluj i Skonfiguruj oprogramowanie antywirusowe, aby zagrożenia dla kontrolera domeny były zmniejszane o tyle, na ile to możliwe, a wydajność jest niewielka. Poniższa lista zawiera zalecenia ułatwiające Konfigurowanie i instalowanie oprogramowania antywirusowego na kontrolerze domeny systemu Windows Server.Ostrzeżenie Zalecamy zastosowanie poniższej określonej konfiguracji do systemu testowego, aby upewnić się, że w konkretnym środowisku nie są podane nieoczekiwane czynniki lub złamanie stabilności systemu. Ryzyko wynikające z zbyt dużej liczby skanowanych plików jest niewłaściwie oflagowane jako zmienione. Powoduje to zbyt dużą intensywność replikacji w usłudze Active Directory. Jeśli testy zweryfikują, że nie są narażone następujące zalecenia dotyczące replikacji, możesz zastosować oprogramowanie antywirusowe do środowiska produkcyjnego.Uwaga Konkretne rekomendacje od dostawców oprogramowania antywirusowego mogą zastąpić rekomendacje zawarte w tym artykule.
  • Oprogramowanie antywirusowe musi być zainstalowane na wszystkich kontrolerach domeny w przedsiębiorstwie. Najlepszym rozwiązaniem jest zainstalowanie takiego oprogramowania na wszystkich innych serwerach i systemach klienckich, które muszą współdziałać z kontrolerami domeny. Jest to optymalne przechwycenie złośliwego oprogramowania, na przykład w zaporze lub w systemie klienckim, na którym jest wprowadzane złośliwe oprogramowanie. Zapobiega to przede wszystkim przekroczeniu systemów infrastruktury, od których korzystają klienci.
  • Korzystanie z wersji oprogramowania antywirusowego przeznaczonego do współdziałania z kontrolerami domen usługi Active Directory i korzystania z właściwych interfejsów programowania aplikacji (API) w celu uzyskiwania dostępu do plików na serwerze. Starsze wersje oprogramowania w większości producentów w niewłaściwy sposób zmieniają metadane pliku podczas skanowania pliku. Powoduje to, że aparat usługi replikacji plików rozpoznaje zmianę pliku i dlatego planuje wykonanie replikacji pliku. Nowsze wersje zapobiegają temu problemowi. Więcej informacji zawarto w następującym artykule z bazy wiedzy Microsoft Knowledge Base:
    815263Programy antywirusowe, kopia zapasowa i Optymalizacja dysków, które są zgodne z usługą replikacji plików
  • Nie używaj kontrolera domeny do przeglądania Internetu ani wykonywania innych działań, które mogą spowodować złośliwy kod.
  • Zalecamy zminimalizowanie obciążenia na kontrolerach domeny. Jeśli to możliwe, Unikaj używania kontrolerów domeny w roli serwera plików. Powoduje to zmniejszenie aktywności na skanowanie antywirusowe w udziałach plików i zminimalizowanie wydajności.
  • W woluminach skompresowanych systemu plików NTFS nie należy umieszczać plików usługi Active Directory ani bazy danych FRS ani plików dziennika.

Wyłączanie skanowania plików usługi Active Directory i związanych z usługą Active Directory

  • Wykluczanie głównych plików bazy danych NTDS. Lokalizacja tych plików jest określona w następującym podkluczu rejestru:
    Plik bazy danych HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA
    Domyślna lokalizacja to%windir%\Ntds. W szczególności Wyklucz następujące pliki:
    Ntds.dit Ntds.pat
  • Wykluczanie plików dziennika transakcji usługi Active Directory. Lokalizacja tych plików jest określona w następującym podkluczu rejestru:
    HKEY_LOCAL_MACHINE ścieżka plików dziennika \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database  
    Domyślna lokalizacja to%windir%\Ntds. W szczególności Wyklucz następujące pliki:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
  • Wyklucz pliki z folderu roboczego NTDS określonego w następującym podkluczu rejestru:
    Katalog roboczy HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA
    W szczególności Wyklucz następujące pliki:
    • Temp.edb
    • Edb.chk

Wyłączanie skanowania plików SYSVOL

  • Wyłącz skanowanie plików w folderze roboczym usługi replikacji plików (FRS) określonym w następującym podkluczu rejestru:
    HKEY_LOCAL_MACHINE katalog \SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working
    Domyślna lokalizacja to%windir%\Ntfrs. Wyklucz następujące pliki, które znajdują się w folderze:
    • EDB. chk w folderze %windir%\Ntfrs\jet\sys
    • Ntfrs. JDB w folderze %windir%\Ntfrs\jet
    • *. log w folderze %windir%\Ntfrs\jet\log
  • Wyłącz skanowanie plików w plikach dziennika bazy danych FRS określonych w następującym podkluczu rejestru:
    Katalog plików dziennika HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB
    Domyślna lokalizacja to%windir%\Ntfrs. Wyklucz następujące pliki: Uwaga Ustawienia dla określonych wykluczeń plików są opisane tutaj, aby uzyskać kompletność. Domyślnie foldery te zezwalają na dostęp tylko do systemu i administratorów. Sprawdź, czy na miejscu występują właściwe zabezpieczenia. Te foldery zawierają tylko pliki robocze składników dla usługi FRS i DFSR.
    • EDB*. log (Jeśli klucz rejestru nie jest ustawiony)
    • Dir\Jet\Log\Edb robocza FRS *. JRS
  • Wyłącz skanowanie folderu przemieszczania NTFRS, jak określono w następującym podkluczu rejestru:
    HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
    Domyślnie w ramach przemieszczania jest używana następująca lokalizacja:
    obszary%systemroot%\Sysvol\Staging
  • Wyłącz skanowanie folderu przemieszczania DFSR, zgodnie z definicją w atrybucie msDFSR-StagingPath w atrybucie CN = SYSVOL w subskrypcji, CN = Volume system Domain, CN = DFSR-LOCALSETTINGS, CN = DOMAINCONTROLLERNAME, OU = Domain Controllers, DC = nazwa_domeny w usługach AD DS. Ten atrybut zawiera ścieżkę do lokalizacji, w której usługa replikacji systemu plików DFS używa do przemieszczenia plików. W szczególności Wyklucz następujące pliki:
    • Ntfrs_cmp*.*
    • *.frx
  • Wyłącz skanowanie plików w folderze Sysvol\Sysvol lub w folderze SYSVOL_DFSR \Sysvol. Bieżąca lokalizacja folderu Sysvol\Sysvol lub SYSVOL_DFSR \SYSVOL i wszystkich podfolderów to miejsce docelowe ponownej analizy systemu plików w katalogu głównym zestawu replik. W folderach Sysvol\Sysvol i SYSVOL_DFSR \SYSVOL domyślnie są używane następujące lokalizacje:
    %systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain
    Do ścieżki do obecnie aktywnego folderu SYSVOL odwołuje się udział NETLOGON i może ona być określona przez nazwę wartości SYSVOL w następującym podkluczu:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
  • Wyklucz z tego folderu i wszystkich jego podfolderów następujące pliki:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • Registry.tmp
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • Wyłącz skanowanie plików w folderze preinstalacji usługi FRS, który znajduje się w następującej lokalizacji:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    Folder Preinstall jest zawsze otwarty, gdy usługa FRS jest uruchomiona. Wyklucz z tego folderu i wszystkich jego podfolderów następujące pliki:
    • Ntfrs*.*
  • Wyłącz skanowanie plików w bazie danych DFSR i w folderach roboczych. Lokalizacja jest określana przez następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE \SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Ustaw plik konfiguracji = ścieżka
    W tym podkluczu rejestru "Path" to ścieżka pliku XML, który wskazuje nazwę grupy replikacji. W tym przykładzie ścieżka będzie zawierała "wolumin systemowy Domain". Domyślną lokalizacją jest następujący ukryty folder:
    %systemdrive%\System Volume Information\DFSR
    Wyklucz z tego folderu i wszystkich jego podfolderów następujące pliki: Jeśli dowolny z tych folderów lub plików zostanie przeniesiony lub zostanie umieszczony w innej lokalizacji, Zeskanuj lub Wyklucz odpowiedni element.
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb

Wyłączanie skanowania plików systemu plików DFS

Te same zasoby, które są wykluczone dla zestawu replik SYSVOL, muszą być również wykluczone, gdy usługa FRS lub DFSR jest używana do replikowania udziałów, które są mapowane na katalog główny systemu plików DFS, oraz linków docelowych na komputerach członkowskich lub w domenie opartych na systemie Windows Server 2008 R2 lub Windows Server 2008 Kontrolery. 

Wyłączanie skanowania plików DHCP

Domyślnie pliki DHCP, które należy wykluczyć, są dostępne w następującym folderze na serwerze:
%systemroot%\System32\DHCP
Wyklucz z tego folderu i wszystkich jego podfolderów następujące pliki:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
Lokalizację plików DHCP można zmienić. Aby określić bieżącą lokalizację plików DHCP na serwerze, sprawdź parametry DatabasePath, DhcpLogFilePathi backupdatabasepath określone w następującym podkluczu rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Wyłączanie skanowania plików DNS

Domyślnie system DNS używa następującego folderu:
%systemroot%\System32\Dns
Wyklucz z tego folderu i wszystkich jego podfolderów następujące pliki:
  • *.log
  • *.dns
  • WYKONAĆ

Wyłączanie skanowania plików WINS

Domyślnie usługa WINS korzysta z następującego folderu:
%systemroot%\System32\Wins 
Wyklucz z tego folderu i wszystkich jego podfolderów następujące pliki:
  • *.chk
  • *.log
  • *.mdb

Komputery z uruchomionymi wersjami systemu Windows opartych na funkcji Hyper-V

W niektórych scenariuszach na komputerze z systemem Windows Server 2008, na którym zainstalowano rolę Hyper-V, lub na komputerze z systemem Microsoft Hyper-V Server 2008 lub Microsoft Hyper-V Server 2008 R2, może być konieczne skonfigurowanie składnika skanowania w czasie rzeczywistym w ramach oprogramowanie antywirusowe do wykluczania plików i całych folderów. Więcej informacji zawarto w następującym artykule z bazy wiedzy Microsoft Knowledge Base:
961804Brakuje maszyn wirtualnych lub wystąpił błąd 0x800704C8, 0x80070037 lub 0x800703E3 podczas próby uruchomienia lub utworzenia maszyny wirtualnej