Recomandări de scanare a virușilor pentru computerele Enterprise care rulează Windows sau Windows Server (KB822158)

Dezactivați scanarea fișierelor Windows Update sau Actualizare automată

• Dezactivați scanarea Windows Update sau a fișierului bază de date Actualizare automată (Datastore.edb). Acest fișier se află în următorul folder:

       %windir%\SoftwareDistribution\Datastore

• Dezactivați scanarea fișierelor jurnal amplasate în următorul folder:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Mai exact, excludeți următoarele fișiere:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Caracterul wildcard (*) indică faptul că pot exista mai multe fișiere.

Dezactivați scanarea fișierelor Securitate Windows

• Adăugați următoarele fișiere în calea %windir%\Security\Database a listei de excluderi:

  • *.Edb

  • *.Sdb

  • *.butuc

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Notă Dacă aceste fișiere nu sunt excluse, software-ul antivirus poate împiedica accesul corespunzător la aceste fișiere, iar bazele de date de securitate se pot deteriora. Scanarea acestor fișiere poate împiedica utilizarea fișierelor sau poate împiedica aplicarea unei politici de securitate la fișiere. Aceste fișiere nu ar trebui scanate, deoarece este posibil ca software-ul antivirus să nu le trateze corect ca fișiere de bază de date proprietare.
  
  Acestea sunt excluderile recomandate. Pot exista alte tipuri de fișiere care nu sunt incluse în acest articol care ar trebui excluse.

Dezactivați scanarea fișierelor legate de Politică de grup

• Politică de grup informații de registry de utilizator. Aceste fișiere se află în următorul folder:

       Computer: %allusersprofile%\
       Utilizatori: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  Mai exact, excludeți fișierul următor:

       NTUser.pol

• Politică de grup fișiere setări client. Aceste fișiere se află în următorul folder:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Mai exact, excludeți următoarele fișiere:

       Registry.pol
       Registry.tmp

Dezactivați scanarea fișierelor de profil de utilizator

• Informații despre registry de utilizator și fișiere de suport. Fișierele se află în următorul folder:
  
       %userprofile%\
  
  Mai exact, excludeți următoarele fișiere:
  
       NTUser.dat*

Rularea software-ului antivirus pe controlerele de domeniu

Deoarece controlerele de domeniu furnizează un serviciu important clienților, riscul de întrerupere a activităților lor de la cod rău intenționat, de la malware sau de la un virus trebuie minimizat. Software-ul antivirus este modalitatea acceptată în general pentru a reduce riscul de infectare. Instalați și configurați software-ul antivirus astfel încât riscul pentru controlerul de domeniu să fie redus cât mai mult posibil și performanța să fie afectată cât mai puțin posibil. Următoarea listă conține recomandări pentru a vă ajuta să configurați și să instalați software antivirus pe un controler de domeniu Windows Server.

Avertisment Vă recomandăm să aplicați următoarea configurație specificată la un sistem de testare, pentru a vă asigura că, în mediul dvs. specific, această configurație nu introduce factori neașteptati și nu compromite stabilitatea sistemului. Riscul ca scanarea să fie excesivă este că fișierele sunt semnalizate necorespunzător ca modificate. Acest lucru cauzează prea multă reproducere în Active Directory. Dacă testarea verifică dacă reproducerea nu este afectată de următoarele recomandări, puteți aplica software-ul antivirus în mediul de producție.

Notă Recomandările specifice de la distribuitorii de software antivirus pot în locul recomandărilor din acest articol.

• Software-ul antivirus trebuie instalat pe toate controlerele de domeniu din întreprindere. În mod ideal, încercați să instalați astfel de software pe toate celelalte sisteme de server și client care trebuie să interacționeze cu controlerele de domeniu. Este optim să surprindeți malware-ul cel mai devreme, de exemplu, la firewall sau la sistemul client în care este introdus malware-ul. Acest lucru împiedică malware-ul să ajungă vreodată la sistemele de infrastructură de care depind clienții.

• Utilizați o versiune de software antivirus proiectată să funcționeze cu controlerele de domeniu Active Directory și care utilizează interfețele de programare a aplicațiilor (API) corecte pentru a accesa fișierele de pe server. Versiunile mai vechi ale majorității software-ului furnizor modifică în mod necorespunzător metadatele unui fișier, pe măsură ce fișierul este scanat.

• Nu utilizați un controler de domeniu pentru a naviga pe internet sau a efectua alte activități care ar putea introduce cod rău intenționat.

• Vă recomandăm să minimizați volumul de lucru pe controlerele de domeniu. De exemplu, atunci când este posibil, evitați utilizarea controlerelor de domeniu într-un rol de server de fișiere. Această practică reduce activitatea de scanare a virușilor pentru partajările de fișiere și reduce la minimum supraîncărcarea performanței.

• Nu puneți Active Directory și fișierele jurnal pe volume comprimate ale sistemului de fișiere NTFS.

Dezactivarea scanării fișierelor Active Directory și Active Directory

• Excludeți fișierele bază de date NTDS principale. Locația acestor fișiere este specificată în următoarea subcheie de registry:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Locația implicită este %windir%\Ntds. Mai exact, excludeți următoarele fișiere:

  • Ntds.dit

  • Ntds.pat

• Excludeți fișierele jurnal de tranzacții Active Directory. Locația acestor fișiere este specificată în următoarea subcheie de registry:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Locația implicită este %windir%\Ntds. Mai exact, excludeți următoarele fișiere:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Excludeți fișierele din folderul de lucru NTDS specificat în următoarea subcheie de registry:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Mai exact, excludeți următoarele fișiere:

  • Temp.edb

  • Edb.chk

Dezactivați scanarea fișierelor SYSVOL

• Dezactivați scanarea fișierelor din folderul Sysvol\Sysvol sau din folderul SYSVOL_DFSR\Sysvol.
  
  Locația curentă a folderului Sysvol\Sysvol sau SYSVOL_DFSR\Sysvol și toate subfolderele este ținta de reanalizare a sistemului de fișiere a rădăcinii setului de reproduceri. Folderele Sysvol\Sysvol și SYSVOL_DFSR\Sysvol utilizează în mod implicit următoarele locații:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Calea către SYSVOL activ în prezent este menționată de partajarea NETLOGON și poate fi determinată de numele valorii SysVol din următoarea subcheie:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Se exclud următoarele fișiere din acest folder și din toate subfolderele sale:

  • *.Adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.Inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• Dezactivați scanarea fișierelor din baza de date DFSR și folderele de lucru. Locația este specificată în următoarea subcheie de registry:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path În această subcheie de registry, "Path" este calea unui fișier XML care conține numele grupului de reproduceri. În acest exemplu, calea ar conține "Volum sistem de domeniu".
  
  Locația implicită este următorul folder ascuns:

       %systemdrive%\System Volume Information\DFSR
  
  Se exclud următoarele fișiere din acest folder și din toate subfolderele sale:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.butuc

  • Fsr*.jrs

  • Tmp.edb

  Notă Dacă oricare dintre aceste foldere sau fișiere este mutat sau plasat în altă locație, scanați sau excludeți elementul echivalent.

Dezactivați scanarea fișierelor DFS

Aceleași resurse care sunt excluse pentru un set de reproduceri SYSVOL trebuie excluse, de asemenea, dacă DFSR este utilizat pentru a reproduce partajările mapate la rădăcina DFS și la destinațiile legăturilor de pe computerele sau controlerele de domeniu Windows Server membre.

Dezactivați scanarea fișierelor DHCP

În mod implicit, fișierele DHCP care ar trebui excluse sunt prezente în următorul folder de pe server:

     %systemroot%\System32\DHCP

Se exclud următoarele fișiere din acest folder și din toate subfolderele sale:

• *.mdb

• *.pat

• *.butuc

• *.chk

• *.Edb

Locația fișierelor DHCP poate fi modificată. Pentru a determina locația curentă a fișierelor DHCP de pe server, verificați parametrii DatabasePath, DhcpLogFilePath și BackupDatabasePath care sunt specificați în următoarea subcheie de registry:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Dezactivați scanarea fișierelor DNS

În mod implicit, DNS utilizează următorul folder:

%systemroot%\System32\Dns Excludeți următoarele fișiere din acest folder și din toate subfolderele sale:

• *.butuc

• *.Dns

• CIZMĂ

Dezactivați scanarea fișierelor WINS

În mod implicit, WINS utilizează următorul folder:

     %systemroot%\System32\Wins

Se exclud următoarele fișiere din acest folder și din toate subfolderele sale:

• *.chk

• *.butuc

• *.mdb

Pentru computerele care rulează versiuni de Windows bazate pe Hyper-V

În unele scenarii, pe computerele Windows Server care au instalat rolul Hyper-V, poate fi necesar să configurați componenta de scanare în timp real din software-ul antivirus pentru a exclude fișierele și folderele întregi. Pentru mai multe informații, consultați următorul articol din Baza de cunoștințe:

• 961804Mașinile virtuale lipsesc sau apar erori 0x800704C8, 0x80070037 sau 0x800703E3 atunci când încercați să porniți sau să creați o mașină virtuală

Următorii pași

Dacă performanța sau stabilitatea sistemului este îmbunătățită prin recomandările făcute în acest articol, contactați distribuitorul software-ului antivirus pentru instrucțiuni sau pentru o versiune actualizată a software-ului antivirus sau pentru setări pentru acesta.

Notă Furnizorul dvs. antivirus de la terți poate lucra cu echipa de asistență Microsoft la un efort rezonabil din punct de vedere comercial.

Istoricul modificărilor

 Următorul tabel rezumă cele mai importante modificări ale acestui subiect.