Recomendações de verificação de vírus para computadores Enterprise que estão executando Windows ou Windows Server (KB822158)

Desabilitar a verificação de arquivos do Windows Update ou da atualização automática

• Desative a verificação do Windows Update ou do arquivo de banco de dados das Atualizações Automáticas (DataStore.edb). Esse arquivo está localizado na seguinte pasta:

       %windir%\SoftwareDistribution\Datastore

• Desative a verificação dos arquivos de log localizados na seguinte pasta:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Especificamente, exclua os seguintes arquivos:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• O caractere curinga (*) indica que pode haver diversos arquivos.

Desativar a verificação dos arquivos de Segurança do Windows

• Adicione os seguintes arquivos no caminho %windir%\Security\Database da lista de exclusões:

  • *.edb

  • *.sdb

  • *.log

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Observação Se esses arquivos não forem excluídos, o software antivírus poderá impedir o acesso adequado a eles, e bancos de dados de segurança poderão ser corrompidos. A verificação desses arquivos pode impedir que eles sejam usados ou que uma política de segurança seja aplicada a eles. Esses arquivos não devem ser verificados porque o software antivírus pode não tratá-los como arquivos de banco de dados proprietário corretamente.
  
  Estas são as exclusões recomendadas. Pode haver outros tipos de arquivos que não estejam incluídos neste artigo e que devam ser excluídos.

Desativar a verificação de arquivos relacionados à Política de Grupo

• Informações do Registro de usuário da Diretiva de Grupo. Esses arquivos estão localizados na seguinte pasta:

       Computador: %allusersprofile%\
       Usuários: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  Especificamente, exclua o seguinte arquivo:

       NTUser.pol

• Arquivos de configurações de cliente da Diretiva de Grupo. Esses arquivos estão localizados na seguinte pasta:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Especificamente, exclua os seguintes arquivos:

       Registry.pol
       Registry.tmp

Desativar a verificação dos arquivos de perfil do usuário

• Informações de Registro do usuário e arquivos de suporte. Os arquivos estão localizados na seguinte pasta:
  
       %userprofile%\
  
  Especificamente, exclua os seguintes arquivos:
  
       NTUser.dat*

Executando softwares antivírus em controladores de domínio

Como os controladores de domínio fornecem um serviço importante para os clientes, o risco de interrupção de suas atividades de código mal-intencionado ou de vírus deve ser minimizado. O software antivírus é a maneira mais aceita de reduzir o risco de infecção. Instale e configure o software antivírus de modo que o risco para o controlador de domínio seja reduzido o máximo possível e o desempenho seja afetado o mínimo possível. A seguinte lista contém recomendações para ajudá-lo a configurar e instalar softwares antivírus em um controlador de domínio Windows Server.

Aviso Recomendamos que você aplique a seguinte configuração especificada a um sistema de teste para garantir que, em seu ambiente específico, essa configuração não introduza fatores inesperados ou comprometa a estabilidade do sistema. Verificações em excesso podem fazer com que os arquivos sejam inadequadamente sinalizados como alterados. Isso causa replicações em excesso no Active Directory. Se o teste verificar que a replicação não foi afetada pelas seguintes recomendações, você poderá aplicar o software antivírus ao ambiente de produção.

Observação recomendações específicas de fornecedores de software antivírus podem substituir as recomendações neste artigo.

• O software antivírus deve estar instalado em todos os controladores de domínio na empresa. O ideal é tentar instalar esse software em todos os outros sistemas, servidor e cliente, que precisam interagir com os controladores de domínio. É ideal para captar o malware logo nos pontos iniciais, como no firewall ou no sistema cliente onde o malware foi introduzido pela primeira vez. Isso impede que o malware atinja os sistemas de infraestrutura dos quais o cliente depende.

• Use uma versão do software antivírus projetada para trabalhar com controladores de domínio do Active Directory e que usa as APIs (Interfaces de Programação de Aplicativo) corretas para acessar arquivos no servidor. As versões mais antigas da maioria dos softwares do fornecedor alteram os metadados de um arquivo inadequadamente enquanto ele for verificado.

• Não use um controlador de domínio para navegar na Internet ou executar outras atividades que possam introduzir código mal-intencionado.

• Recomendamos que você minimize as cargas de trabalho em controladores de domínio. Por exemplo, quando possível, evite usar controladores de domínio em uma função de servidor de arquivo. Essa prática reduz a atividade de verificação de vírus em compartilhamentos de arquivos e minimiza a sobrecarga de desempenho.

• Não coloque arquivos compactados do Active Directory e log em volumes compactados do sistema de arquivos NTFS.

Desativar a verificação do Active Directory e arquivos relacionados

• Exclua os arquivos principais do banco de dados NTDS. O local desses arquivos é especificado na seguinte subchave do Registro:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  
  A localização padrão é %windir%\Ntds. Especificamente, exclua os seguintes arquivos:

  • Ntds.dit

  • Ntds.pat

• Exclua os arquivos de log de transação do Active Directory. O local desses arquivos é especificado na seguinte subchave do Registro:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  
  A localização padrão é %windir%\Ntds. Especificamente, exclua os seguintes arquivos:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Exclua os arquivos na pasta NTDS Working especificada na subchave do registro a seguir:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  
  Especificamente, exclua os seguintes arquivos:

  • Temp.edb

  • Edb.chk

Desativar verificação de arquivos do SYSVOL

• Desative a verificação de arquivos na pasta Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol.
  
  O local atual da pasta Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol e de todas as subpastas é o destino de nova análise do sistema de arquivos da raiz do conjunto de réplicas. As pastas Sysvol\Sysvol e SYSVOL_DFSR\Sysvol usam as seguintes localizações por padrão:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  O caminho para o SYSVOL atualmente ativo é referenciado pelo compartilhamento NETLOGON e pode ser determinado pelo nome do valor SysVol na seguinte subchave:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Exclua os seguintes arquivos desta pasta e todas as suas subpastas:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• Desative a verificação de arquivos no banco de dados DFSR e pastas de trabalho. O local é especificado na seguinte subchave de registro:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Nesta subchave de registro, "Path" é o caminho de um arquivo XML que contém o nome do Grupo de Replicação. Neste exemplo, o caminho conteria "Volume do sistema de domínio."
  
  O local padrão é a seguinte pasta oculta:

       %systemdrive%\System Volume Information\DFSR
  
  Exclua os seguintes arquivos desta pasta e todas as suas subpastas:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.log

  • Fsr*.jrs

  • Tmp.edb

  Observação Se qualquer uma dessas pastas ou arquivos for movido ou colocado em um local diferente, verifique ou exclua o elemento equivalente.

Desativar verificação de arquivos DFS

Os mesmos recursos excluídos para um conjunto de réplica SYSVOL também devem ser excluídos se o DFSR for usado para replicar compartilhamentos mapeados para a raiz do DFS e vincular destinos em Windows Server computadores membros ou controladores de domínio.

Desativar verificação de arquivos DHCP

Por padrão, os arquivos DHCP que devem ser excluídos estão presentes na seguinte pasta no servidor:

     %systemroot%\System32\DHCP

Exclua os seguintes arquivos desta pasta e todas as suas subpastas:

• *.mdb

• *.pat

• *.log

• *.chk

• *.edb

O local dos arquivos do DHCP pode ser alterado. Para determinar o local atual dos arquivos DHCP no servidor, verifique os parâmetros DatabasePath, DhcpLogFilePath e BackupDatabasePath especificados na subchave do Registro a seguir:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Desativar verificação de arquivos DNS

Por padrão, o DNS usa a seguinte pasta:

%systemroot%\System32\Dns Exclua os seguintes arquivos desta pasta e todas as suas subpastas:

• *.log

• *.dns

• INICIALIZAÇÃO

Desativar verificação de arquivos WINS

Por padrão, o WINS usa a seguinte pasta:

     %systemroot%\System32\Wins

Exclua os seguintes arquivos desta pasta e todas as suas subpastas:

• *.chk

• *.log

• *.mdb

Para computadores que estão executando as versões do Windows baseadas em Hyper-V

Em alguns cenários, em Windows Server computadores que têm a função Hyper-V instalada, talvez seja necessário configurar o componente de verificação em tempo real no software antivírus para excluir arquivos e pastas inteiras. Para obter mais informações, consulte o seguinte artigo da Base de Dados de Conhecimento:

• 961804 Máquinas virtuais estão ausentes ou o erro 0x800704C8, 0x80070037 ou 0x800703E3 ocorre quando você tenta iniciar ou criar uma máquina virtual

Próximas etapas

Se o desempenho ou estabilidade do sistema for aprimorado pelas recomendações feitas neste artigo, entre em contato com o fornecedor de software antivírus para obter instruções ou para obter uma versão atualizada do ou configurações para o software antivírus.

Observação Seu fornecedor de antivírus de terceiros pode trabalhar com a equipe de Suporte da Microsoft em um esforço comercialmente razoável.

Histórico de alterações

 A tabela a seguir resume algumas das alterações mais importantes neste tópico.