Recomendações de análise de vírus para computadores Enterprise com o Windows ou Windows Server (KB822158)

Desativar a análise de ficheiros Windows Update ou Atualização Automática

• Desative a análise do ficheiro de base de dados Windows Update ou Atualização Automática (Datastore.edb). Este ficheiro está localizado na seguinte pasta:

       %windir%\SoftwareDistribution\Datastore

• Desative a análise dos ficheiros de registo localizados na seguinte pasta:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Especificamente, exclua os seguintes ficheiros:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• O caráter universal (*) indica que podem existir vários ficheiros.

Desativar a análise de ficheiros Segurança do Windows

• Adicione os seguintes ficheiros no caminho %windir%\Security\Database da lista de exclusões:

  • *.edb

  • *.sdb

  • *.log

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Nota Se estes ficheiros não forem excluídos, o software antivírus poderá impedir o acesso adequado a estes ficheiros e as bases de dados de segurança podem ficar danificadas. Analisar estes ficheiros pode impedir que os ficheiros sejam utilizados ou impedir que uma política de segurança seja aplicada aos ficheiros. Estes ficheiros não devem ser analisados porque o software antivírus pode não os tratar corretamente como ficheiros de base de dados proprietários.
  
  Estas são as exclusões recomendadas. Podem existir outros tipos de ficheiro que não estão incluídos neste artigo que devem ser excluídos.

Desativar a análise de ficheiros relacionados com Política de Grupo

• Política de Grupo informações de registo de utilizador. Estes ficheiros estão localizados na seguinte pasta:

       Computador: %allusersprofile%\
       Utilizadores: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  Especificamente, exclua o seguinte ficheiro:

       NTUser.pol

• Política de Grupo ficheiros de definições de cliente. Estes ficheiros estão localizados na seguinte pasta:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Especificamente, exclua os seguintes ficheiros:

       Registry.pol
       Registry.tmp

Desativar a análise de ficheiros de perfil de utilizador

• Informações de registo do utilizador e ficheiros de suporte. Os ficheiros estão localizados na seguinte pasta:
  
       %userprofile%\
  
  Especificamente, exclua os seguintes ficheiros:
  
       NTUser.dat*

Executar software antivírus em controladores de domínio

Uma vez que os controladores de domínio fornecem um serviço importante aos clientes, o risco de interrupção das respetivas atividades a partir de código malicioso, de software maligno ou de um vírus tem de ser minimizado. O software antivírus é a forma geralmente aceite de reduzir o risco de infecção. Instale e configure o software antivírus para que o risco para o controlador de domínio seja reduzido o máximo possível e o desempenho seja afetado o mínimo possível. A lista seguinte contém recomendações para o ajudar a configurar e instalar software antivírus num controlador de domínio Windows Server.

Aviso Recomendamos que aplique a seguinte configuração especificada a um sistema de teste para garantir que, no seu ambiente específico, esta configuração não introduz fatores inesperados nem compromete a estabilidade do sistema. O risco de demasiada análise é que os ficheiros são sinalizados de forma inadequada como alterados. Isto causa demasiada replicação no Active Directory. Se os testes verificarem que a replicação não é afetada pelas seguintes recomendações, pode aplicar o software antivírus ao ambiente de produção.

Nota Recomendações específicas de fornecedores de software antivírus podem substituir as recomendações neste artigo.

• O software antivírus tem de ser instalado em todos os controladores de domínio da empresa. Idealmente, tente instalar esse software em todos os outros sistemas de servidor e cliente que têm de interagir com os controladores de domínio. É ideal para capturar o software maligno o mais cedo possível, como na firewall ou no sistema cliente onde o software maligno é introduzido. Isto impede que o software maligno chegue aos sistemas de infraestrutura dos quais os clientes dependem.

• Utilize uma versão do software antivírus concebida para funcionar com controladores de domínio do Active Directory e que utilize as Interfaces de Programação de Aplicações (APIs) corretas para aceder a ficheiros no servidor. As versões mais antigas do software da maioria dos fornecedores alteram inadequadamente os metadados de um ficheiro à medida que o ficheiro é analisado.

• Não utilize um controlador de domínio para navegar na Internet ou efetuar outras atividades que possam introduzir código malicioso.

• Recomendamos que minimize as cargas de trabalho nos controladores de domínio. Por exemplo, sempre que possível, evite utilizar controladores de domínio numa função de servidor de ficheiros. Esta prática reduz a atividade de análise de vírus em partilhas de ficheiros e minimiza a sobrecarga de desempenho.

• Não coloque o Active Directory e os ficheiros de registo em volumes comprimidos do sistema de ficheiros NTFS.

Desativar a análise de ficheiros relacionados com o Active Directory e o Active Directory

• Exclua os ficheiros da base de dados NTDS principal. A localização destes ficheiros é especificada na seguinte subchave do registo:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File A localização predefinida é %windir%\Ntds. Especificamente, exclua os seguintes ficheiros:

  • Ntds.dit

  • Ntds.pat

• Exclua os ficheiros de registo de transações do Active Directory. A localização destes ficheiros é especificada na seguinte subchave do registo:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path A localização predefinida é %windir%\Ntds. Especificamente, exclua os seguintes ficheiros:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Exclua os ficheiros na pasta de Trabalho NTDS especificada na seguinte subchave de registo:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Especificamente, exclua os seguintes ficheiros:

  • Temp.edb

  • Edb.chk

Desativar a análise de ficheiros SYSVOL

• Desative a análise de ficheiros na pasta Sysvol\Sysvol ou na pasta SYSVOL_DFSR\Sysvol.
  
  A localização atual da pasta Sysvol\Sysvol ou SYSVOL_DFSR\Sysvol e de todas as subpastas é o destino de nova análise do sistema de ficheiros da raiz do conjunto de réplicas. As pastas Sysvol\Sysvol e SYSVOL_DFSR\Sysvol utilizam as seguintes localizações por predefinição:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  O caminho para o SYSVOL atualmente ativo é referenciado pela partilha NETLOGON e pode ser determinado pelo nome do valor SysVol na seguinte subchave:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Exclua os seguintes ficheiros desta pasta e todas as respetivas subpastas:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• Desative a análise de ficheiros na base de dados DFSR e nas pastas de trabalho. A localização é especificada na seguinte subchave do registo:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Nesta subchave de registo, "Caminho" é o caminho de um ficheiro XML que contém o nome do Grupo de Replicação. Neste exemplo, o caminho conteria "Volume do Sistema de Domínio".
  
  A localização predefinida é a seguinte pasta oculta:

       %systemdrive%\Informações de Volume do Sistema\DFSR
  
  Exclua os seguintes ficheiros desta pasta e todas as respetivas subpastas:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.log

  • Fsr*.jrs

  • Tmp.edb

  Nota Se uma destas pastas ou ficheiros for movido ou colocado numa localização diferente, analise ou exclua o elemento equivalente.

Desativar a análise de ficheiros DFS

Os mesmos recursos que estão excluídos para um conjunto de réplicas SYSVOL também têm de ser excluídos se o DFSR for utilizado para replicar partilhas mapeadas para os destinos de raiz e ligação DFS em Windows Server computadores membros ou controladores de domínio.

Desativar a análise de ficheiros DHCP

Por predefinição, os ficheiros DHCP que devem ser excluídos estão presentes na seguinte pasta no servidor:

     %systemroot%\System32\DHCP

Exclua os seguintes ficheiros desta pasta e todas as respetivas subpastas:

• *.mdb

• *.pat

• *.log

• *.chk

• *.edb

A localização dos ficheiros DHCP pode ser alterada. Para determinar a localização atual dos ficheiros DHCP no servidor, verifique os parâmetros DatabasePath, DhcpLogFilePath e BackupDatabasePath especificados na seguinte subchave do registo:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Desativar a análise de ficheiros DNS

Por predefinição, o DNS utiliza a seguinte pasta:

%systemroot%\System32\Dns Exclua os seguintes ficheiros desta pasta e todas as respetivas subpastas:

• *.log

• *.dns

• ARRANQUE

Desativar a análise de ficheiros WINS

Por predefinição, o WINS utiliza a seguinte pasta:

     %systemroot%\System32\Wins

Exclua os seguintes ficheiros desta pasta e todas as respetivas subpastas:

• *.chk

• *.log

• *.mdb

Para computadores com versões baseadas em Hyper-V do Windows

Em alguns cenários, em Windows Server computadores com a função Hyper-V instalada, poderá ser necessário configurar o componente de análise em tempo real no software antivírus para excluir ficheiros e pastas inteiras. Para obter mais informações, veja o seguinte artigo da Base de Dados de Conhecimento:

• 961804As máquinas virtuais estão em falta ou ocorre um erro 0x800704C8, 0x80070037 ou 0x800703E3 quando tenta iniciar ou criar uma máquina virtual

Próximos passos

Se o desempenho ou a estabilidade do sistema forem melhorados pelas recomendações efetuadas neste artigo, contacte o fornecedor de software antivírus para obter instruções ou para obter uma versão atualizada ou definições do software antivírus.

Nota O seu fornecedor antivírus de terceiros pode trabalhar com a equipa de Suporte da Microsoft num esforço comercialmente razoável.

Histórico de alterações

 A tabela seguinte resume as alterações mais importantes a este tópico.