Zalecane wykluczenia oprogramowania antywirusowego dla serwerów lokacji Configuration Manager, systemów lokacji i klientów

Ten artykuł zawiera zalecenia, które mogą pomóc administratorowi określić przyczynę potencjalnej niestabilności na komputerze z uruchomioną obsługiwaną wersją serwerów lokacji Configuration Manager, systemów lokacji i klientów, gdy jest on używany razem z oprogramowaniem antywirusowym.

Oryginalna wersja produktu: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager, Configuration Manager (bieżąca gałąź)
Oryginalny numer KB: 327453

Podsumowanie

Zalecamy tymczasowe zastosowanie tych procedur w celu oceny systemu. Jeśli wydajność lub stabilność systemu została ulepszona przez zalecenia przedstawione w tym artykule, skontaktuj się z dostawcą, aby uzyskać instrukcje lub zaktualizowaną wersję oprogramowania antywirusowego.

Ważna

Ten artykuł zawiera informacje, które pokazują, jak pomóc obniżyć ustawienia zabezpieczeń lub jak tymczasowo wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany, aby zrozumieć charakter określonego problemu. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z zaimplementowaniem tego obejścia w określonym środowisku.

Ochrona antywirusowa w czasie rzeczywistym może powodować wiele problemów na serwerach lokacji Configuration Manager, systemach lokacji i klientach.

Możliwe objawy obejmują:

  • Składniki zdalnego systemu lokacji nie są zainstalowane. SiteComp.log, Distmgr.log, hman.log lub inne pliki dziennika Configuration Manager mogą zawierać błędy, takie jak 80070005 błędów.

  • Nie można zainstalować klienta Configuration Manager za pośrednictwem wypychania klienta.

  • Informacje o spisie klientów są niedokładne, brakujące lub nieaktualne.

  • Listy prac występują w folderach Install_Directory\Inboxes na serwerach lokacji.

  • Listy prac występują w podfolderach Install_Directory\MP\Outboxes w punktach zarządzania (MP).

  • Centrum oprogramowania nie jest wypełniane przez wdrożone oprogramowanie w systemach klienckich lub nie jest uruchamiane. Ponadto plik CCMRepair.log może zawierać błąd podobny do następującego przykładu:

    Database verification failed with result: 0x80004005 but DB: C:\Windows\CCM\filename.sdf could be opened, skipping DB repair.
    
  • Nie można zainstalować oprogramowania wdrożonego na klientach.

  • Dane dotyczące zgodności wdrożeń oprogramowania są niedokładne.

Domyślne foldery instalacyjne

Użyj następujących ścieżek folderów instalacyjnych jako zmiennych zalecanych wykluczeń podanych w tym artykule.

Uwaga

Poniższe ścieżki są domyślnymi ścieżkami instalacji i mogą się różnić w zależności od środowiska. Zalecamy zapoznanie się ze środowiskiem i konfiguracją, aby upewnić się, że istnieją odpowiednie ścieżki.

Folder Ścieżka
folder instalacji ConfigMgr %ProgramFiles%\Microsoft Configuration Manager
Folder instalacyjny mp %ProgramFiles%\SMS_CCM
Folder instalacji klienta %Windir%\CCM
ContentLib_drive Ścieżka będzie się różnić. Ścieżka domyślna to dysk C:\.

Wykluczenia

Zalecamy dodanie następujących wykluczeń ochrony w czasie rzeczywistym, aby zapobiec tym problemom.

Wykluczenia folderów dla serwerów lokacji

  • ConfigMgr folder instalacji\Skrzynki odbiorcze

  • ConfigMgr folder instalacji\Dzienniki

  • ConfigMgr folder instalacji\EasySetupPayload

  • ContentLib_drive\SCCMContentLib

    Uwaga

    Jeśli masz zdalną bibliotekę zawartości, ten folder nie znajduje się na serwerze lokacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie zdalnej biblioteki zawartości dla serwera lokacji.

Wykluczenia folderów dla systemów lokacji

  • Punkty zarządzania
    • Folder instalacyjny mp\ServiceData
    • Jeden z następujących folderów:
      • ConfigMgr folder instalacji\MP\OUTBOXES
      • Dysk instalacyjny\SMS\MP\OUTBOXES
  • Punkty dystrybucji
    • Folder instalacji klienta\ServiceData
    • ContentLib_drive\SCCMContentLib
    • ContentLib_drive\SMS_DP$
    • ContentLib_drive\SMSPKGDrive_Letter$
    • ContentLib_drive\SMSPKG
    • ContentLib_drive\SMSPKGSIG
    • ContentLib_drive\SMSSIG$
  • Serwery bazy danych lokacji

Wykluczenia folderów dla klientów

  • Folder instalacji klienta\*.sdf
  • Folder instalacji klienta\ServiceData
  • Folder instalacji klienta\ScriptStore
  • C:\Windows\CCMCache
  • C:\Windows\CCMSetup
  • Folder instalacji klienta\Dzienniki
  • C:\Windows\Setup\Scripts
  • C:\Windows\SMSTSPostUpgrade
  • C:\Program Files\Microsoft Policy Platform\authorityDb\*.sdf
  • Folder instalacji klienta\temp

Wykluczenia plików dla posłów

  • POL00000.pol w folderze instalacyjnym MP\PolReqStaging

Nie skanuj plików wychodzących na posłach

  • Większość oprogramowania antywirusowego ma możliwość skanowania plików skopiowanych do lokalizacji zdalnej (plików wychodzących). Ta opcja powinna być wyłączona w punktach zarządzania.

  • W przypadku Windows Defender nazwa zasad to Konfigurowanie monitorowania dla przychodzącego i wychodzącego działania plików i programów. Należy również ustawić opcję Skanuj tylko pliki przychodzące.

    Aby uzyskać więcej informacji, zobacz Włączanie i konfigurowanie zawsze włączonej ochrony programu antywirusowego Windows Defender w zasady grupy.

Wykluczenia procesów

Wykluczenia procesów są niezbędne tylko wtedy, gdy agresywne programy antywirusowe uznają Configuration Manager pliki wykonywalne (.exe) za procesy wysokiego ryzyka.

Systemy lokacji i lokacji:

  • \bin\x64\Smsexec.exe folderu instalacyjnego ConfigMgr
  • \bin\x64\Sitecomp.exe folderu instalacyjnego ConfigMgr
  • ConfigMgr folder instalacyjny\bin\x64\Smswriter.exe (tylko serwer lokacji)
  • ConfigMgr folder instalacyjny\bin\x64\Cmupdate.exe (tylko serwer lokacji)
  • ConfigMgr folder instalacyjny\bin\x64\Smssqlbkup.exe lub \bin\x64\Smssqlbkup.exe SQLFQDN (tylko serwer bazy danych lokacji)
  • \Ccmexec.exe folderu instalacyjnego mp

Klienta:

  • Folder instalacji klienta\Ccmexec.exe
  • Folder instalacji klienta\Ccmrepair.exe
  • Folder instalacji klienta\ScClient.exe
  • Folder instalacji klienta\CcmAADBroker.exe
  • Folder instalacji klienta\RemCtrl\CmRcService.exe
  • %windir%\CCMSetup\Ccmsetup.exe
  • %windir%\CCMSetup\autoupgrade\Ccmsetup*.exe

Uwaga

Począwszy od Configuration Manager bieżącej wersji gałęzi 1910, ta nazwa pliku została zmieniona na Ccmsetup.<Packageid>.<PackageVersion>.exe.

Informacje