Рекомендации по проверке на вирусы для корпоративных компьютеров под управлением Windows или Windows Server (KB822158)

Отключение сканирования файлов клиентский компонент Центра обновления Windows или автоматического обновления

• Отключите сканирование файла базы данных клиентский компонент Центра обновления Windows или автоматического обновления (Datastore.edb). Этот файл находится в следующей папке:

       %windir%\SoftwareDistribution\Datastore

• Отключите проверку файлов журнала, расположенных в следующей папке:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  В частности, исключите следующие файлы:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Подстановочный знак (*) указывает, что файлов может быть несколько.

Отключение сканирования файлов Безопасность Windows

• Добавьте следующие файлы в путь %windir%\Security\Database списка исключений:

  • *.edb

  • *.sdb

  • *.журнал

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Примечание Если эти файлы не исключены, антивирусная программа может запретить соответствующий доступ к этим файлам, а базы данных безопасности могут быть повреждены. Сканирование этих файлов может предотвратить использование файлов или запретить применение политики безопасности к файлам. Эти файлы не следует проверять, так как антивирусная программа может неправильно обрабатывать их как файлы собственной базы данных.
  
  Это рекомендуемые исключения. Могут быть и другие типы файлов, которые не включены в эту статью, которые следует исключить.

Отключение сканирования файлов, связанных с групповая политика

• групповая политика сведения о реестре пользователей. Эти файлы находятся в следующей папке:

       Компьютер: %allusersprofile%\
       Пользователи: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  В частности, исключите следующий файл:

       NTUser.pol

• групповая политика файлы параметров клиента. Эти файлы находятся в следующей папке:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  В частности, исключите следующие файлы:

       Registry.pol
       Registry.tmp

Отключение сканирования файлов профилей пользователей

• Сведения о реестре пользователей и вспомогательные файлы. Файлы находятся в следующей папке:
  
       %userprofile%\
  
  В частности, исключите следующие файлы:
  
       NTUser.dat*

Запуск антивирусной программы на контроллерах домена

Так как контроллеры домена предоставляют клиентам важную службу, риск нарушения их деятельности из-за вредоносного кода, вредоносных программ или вирусов должен быть сведен к минимуму. Антивирусная программа является общепринятым способом снижения риска заражения. Установите и настройте антивирусное программное обеспечение, чтобы максимально снизить риск для контроллера домена и снизить производительность как можно меньше. В следующем списке содержатся рекомендации по настройке и установке антивирусного программного обеспечения на контроллере домена Windows Server.

Предупреждение Мы рекомендуем применить следующую указанную конфигурацию к тестовой системе, чтобы убедиться, что в конкретной среде эта конфигурация не приводит к непредвиденным факторам или не нарушает стабильность системы. Риск слишком большого количества сканирования заключается в том, что файлы неправильно помечаются как измененные. Это приводит к слишком большой репликации в Active Directory. Если тестирование проверяет, что репликация не зависит от приведенных ниже рекомендаций, можно применить антивирусную программу к рабочей среде.

Заметка Конкретные рекомендации от поставщиков антивирусного программного обеспечения могут заменять рекомендации, приведенные в этой статье.

• Антивирусная программа должна быть установлена на всех контроллерах домена на предприятии. В идеале попробуйте установить такое программное обеспечение на всех других серверных и клиентских системах, которые должны взаимодействовать с контроллерами домена. Оптимально перехватывать вредоносные программы на самом раннем этапе, например в брандмауэре или в клиентской системе, где внедряется вредоносная программа. Это предотвращает попадание вредоносных программ в системы инфраструктуры, от которых зависят клиенты.

• Используйте версию антивирусного программного обеспечения, предназначенную для работы с контроллерами домена Active Directory и использующего правильные интерфейсы программирования приложений (API) для доступа к файлам на сервере. Более старые версии программного обеспечения большинства поставщиков неправильно изменяют метаданные файла при проверке файла.

• Не используйте контроллер домена для просмотра Интернета или выполнения других действий, которые могут привести к вредоносному коду.

• Рекомендуется минимизировать рабочие нагрузки на контроллерах домена. Например, по возможности избегайте использования контроллеров домена в роли файлового сервера. Эта практика снижает активность проверки на вирусы в общих папках и снижает нагрузку на производительность.

• Не помещайте файлы Active Directory и журналов в сжатые тома файловой системы NTFS.

Отключение проверки файлов, связанных с Active Directory и Active Directory

• Исключите основные файлы базы данных NTDS. Расположение этих файлов указывается в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Расположение по умолчанию — %windir%\Ntds. В частности, исключите следующие файлы:

  • Ntds.dit

  • Ntds.pat

• Исключите файлы журнала транзакций Active Directory. Расположение этих файлов указывается в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Расположение по умолчанию — %windir%\Ntds. В частности, исключите следующие файлы:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Исключите файлы в папке NTDS Working, указанной в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory В частности, исключите следующие файлы:

  • Temp.edb

  • Edb.chk

Отключение сканирования файлов SYSVOL

• Отключите сканирование файлов в папке Sysvol\Sysvol или SYSVOL_DFSR\Sysvol.
  
  Текущее расположение папки Sysvol\Sysvol или SYSVOL_DFSR\Sysvol и всех вложенных папок — это целевой объект повторного определения файловой системы для корневого реплика набора. Папки Sysvol\Sysvol и SYSVOL_DFSR\Sysvol по умолчанию используют следующие расположения:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Путь к активному в настоящее время SYSVOL ссылается в общей папке NETLOGON и может быть определен по имени значения SysVol в следующем подразделе:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Исключите следующие файлы из этой папки и всех ее вложенных папок:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.Модули

  • Oscfilter.ini

• Отключите сканирование файлов в базе данных DFSR и рабочих папках. Расположение указывается в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path В этом подразделе реестра "Путь" — это путь к XML-файлу, который содержит имя группы репликации. В этом примере путь будет содержать "Том системы домена".
  
  Расположением по умолчанию является следующая скрытая папка:

       %systemdrive%\System Volume Information\DFSR
  
  Исключите следующие файлы из этой папки и всех ее вложенных папок:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.журнал

  • Fsr*.jrs

  • Tmp.edb

  Примечание Если какая-либо из этих папок или файлов перемещена или помещена в другое расположение, проверьте или исключите эквивалентный элемент.

Отключение сканирования файлов DFS

Те же ресурсы, которые исключены для набора реплика SYSVOL, также должны быть исключены, если DFSR используется для репликации общих папок, сопоставленных с корневым каталогом DFS и целевыми объектами связи на Windows Server компьютерах-членах или контроллерах домена.

Отключение сканирования DHCP-файлов

По умолчанию DHCP-файлы, которые должны быть исключены, находятся в следующей папке на сервере:

     %systemroot%\System32\DHCP

Исключите следующие файлы из этой папки и всех ее вложенных папок:

• *.mdb

• *.похлопывать

• *.журнал

• *.chk

• *.edb

Расположение DHCP-файлов можно изменить. Чтобы определить текущее расположение DHCP-файлов на сервере, проверка параметры DatabasePath, DhcpLogFilePath и BackupDatabasePath, указанные в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Отключение сканирования DNS-файлов

По умолчанию DNS использует следующую папку:

%systemroot%\System32\Dns Исключите следующие файлы из этой папки и всех ее вложенных папок:

• *.журнал

• *.dns

• БОТИНОК

Отключение сканирования WINS-файлов

По умолчанию WINS использует следующую папку:

     %systemroot%\System32\Wins

Исключите следующие файлы из этой папки и всех ее вложенных папок:

• *.chk

• *.журнал

• *.mdb

Для компьютеров под управлением версий Windows под управлением Hyper-V

В некоторых сценариях на Windows Server компьютерах с установленной ролью Hyper-V может потребоваться настроить компонент проверки в реальном времени в антивирусной программе, чтобы исключить файлы и целые папки. Дополнительные сведения см. в следующей статье базы знаний:

• 961804Виртуальные машины отсутствуют, ошибка 0x800704C8, 0x80070037 или 0x800703E3 возникает при попытке запустить или создать виртуальную машину

Дальнейшие действия

Если производительность или стабильность вашей системы повышены в соответствии с рекомендациями, приведенными в этой статье, обратитесь к поставщику антивирусного программного обеспечения, чтобы получить инструкции или получить обновленную версию или параметры антивирусного программного обеспечения.

Примечание Ваш сторонний поставщик антивирусной программы может работать с командой служба поддержки Майкрософт в коммерческих целях.

Журнал изменений

 В следующей таблице перечислены наиболее важные изменения в этом разделе.