Рекомендации по проверке на вирусы для корпоративных компьютеров под управлением Windows или Windows Server (KB822158)

Отключение сканирования файлов клиентский компонент Центра обновления Windows или автоматического обновления

• Отключите сканирование файла базы данных клиентский компонент Центра обновления Windows или автоматического обновления (Datastore.edb). Этот файл находится в следующей папке:

       %windir%\SoftwareDistribution\Datastore

• Отключите проверку файлов журнала, расположенных в следующей папке:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  В частности, исключите следующие файлы:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Подстановочный знак (*) указывает, что файлов может быть несколько.

Отключение сканирования файлов Безопасность Windows

• Добавьте следующие файлы в путь %windir%\Security\Database списка исключений:

  • *.Edb

  • *.Sdb

  • *.Журнала

  • *.Chk

  • *.Jrs

  • *.xml

  • *.csv

  • *.cmtx

  Примечание Если эти файлы не исключены, антивирусная программа может запретить соответствующий доступ к этим файлам, а базы данных безопасности могут быть повреждены. Сканирование этих файлов может предотвратить использование файлов или запретить применение политики безопасности к файлам. Эти файлы не следует проверять, так как антивирусная программа может неправильно обрабатывать их как файлы собственной базы данных.
  
  Это рекомендуемые исключения. Могут быть и другие типы файлов, которые не включены в эту статью, которые следует исключить.

Отключение сканирования файлов, связанных с групповая политика

• групповая политика сведения о реестре пользователей. Эти файлы находятся в следующей папке:

       %allusersprofile%\
  
  В частности, исключите следующий файл:

       NTUser.pol

• групповая политика файлы параметров клиента. Эти файлы находятся в следующей папке:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  В частности, исключите следующие файлы:

       Registry.pol
       Registry.tmp

Отключение сканирования файлов профилей пользователей

• Сведения о реестре пользователей и вспомогательные файлы. Файлы находятся в следующей папке:
  
       userprofile%\
  
  В частности, исключите следующие файлы:
  
       Ntuser.dat*

Запуск антивирусной программы на контроллерах домена

Так как контроллеры домена предоставляют клиентам важную службу, риск нарушения их деятельности из-за вредоносного кода, вредоносных программ или вирусов должен быть сведен к минимуму. Антивирусная программа является общепринятым способом снижения риска заражения. Установите и настройте антивирусное программное обеспечение, чтобы максимально снизить риск для контроллера домена и снизить производительность как можно меньше. В следующем списке содержатся рекомендации по настройке и установке антивирусного программного обеспечения на контроллере домена Windows Server.

Предупреждение Мы рекомендуем применить следующую указанную конфигурацию к тестовой системе, чтобы убедиться, что в конкретной среде она не приводит к непредвиденным факторам или не нарушает стабильность системы. Риск слишком большого количества сканирования заключается в том, что файлы неправильно помечаются как измененные. Это приводит к слишком большой репликации в Active Directory. Если тестирование проверяет, что репликация не зависит от приведенных ниже рекомендаций, можно применить антивирусную программу к рабочей среде.

Примечание Конкретные рекомендации от поставщиков антивирусного программного обеспечения могут заменять рекомендации, приведенные в этой статье.

• Антивирусная программа должна быть установлена на всех контроллерах домена на предприятии. В идеале попробуйте установить такое программное обеспечение на всех других серверных и клиентских системах, которые должны взаимодействовать с контроллерами домена. Оптимально перехватывать вредоносные программы на самом раннем этапе, например в брандмауэре или в клиентской системе, где внедряется вредоносная программа. Это предотвращает попадание вредоносных программ в системы инфраструктуры, от которых зависят клиенты.

• Используйте версию антивирусного программного обеспечения, предназначенную для работы с контроллерами домена Active Directory и использующего правильные интерфейсы программирования приложений (API) для доступа к файлам на сервере. Более старые версии программного обеспечения большинства поставщиков неправильно изменяют метаданные файла при проверке файла. Это приводит к тому, что обработчик службы репликации файлов распознает изменение файла и, следовательно, запланирует репликацию файла. Более новые версии предотвращают эту проблему.
  Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

  815263Антивирусные программы, программы резервного копирования и оптимизации дисков, совместимые со службой репликации файлов

• Не используйте контроллер домена для просмотра Интернета или выполнения других действий, которые могут привести к вредоносному коду.

• Рекомендуется минимизировать рабочие нагрузки на контроллерах домена. По возможности избегайте использования контроллеров домена в роли файлового сервера. Это снижает активность проверки на вирусы в общих папках и снижает нагрузку на производительность.

• Не помещайте файлы базы данных и журналов Active Directory или FRS в сжатые тома файловой системы NTFS.

Отключение проверки файлов, связанных с Active Directory и Active Directory

• Исключите основные файлы базы данных NTDS. Расположение этих файлов указывается в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Расположение по умолчанию — %windir%\Ntds. В частности, исключите следующие файлы:

  • Ntds.dit

  • Ntds.pat

• Исключите файлы журнала транзакций Active Directory. Расположение этих файлов указывается в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Расположение по умолчанию — %windir%\Ntds. В частности, исключите следующие файлы:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Исключите файлы из рабочей папки NTDS, указанной в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory В частности, исключите следующие файлы:

  • Temp.edb

  • Edb.chk

Отключение сканирования файлов SYSVOL

• Отключите сканирование файлов в рабочей папке службы репликации файлов (FRS), указанной в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Расположение по умолчанию — %windir%\Ntfrs. Исключите следующие файлы, которые существуют в папке:

  • edb.chk в папке %windir%\Ntfrs\jet\sys

  • Ntfrs.jdb в папке %windir%\Ntfrs\jet

  • *.log в папке %windir%\Ntfrs\jet\log

• Отключите проверку файлов в файлах журнала базы данных FRS, указанных в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Расположение по умолчанию — %windir%\Ntfrs. Исключите следующие файлы:

  • Edb*.log (если раздел реестра не задан)

  • FRS Working Dir\Jet\Log\Edb*.jrs

• ПримечаниеПараметры для конкретных исключений файлов описаны здесь для полноты. По умолчанию эти папки разрешают доступ только системе и администраторам. Убедитесь, что применяются правильные меры защиты. Эти папки содержат только рабочие файлы компонентов для FRS и DFSR.

• Отключите проверку промежуточной папки NTFRS, как указано в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage По умолчанию для промежуточного хранения используется следующее расположение:

  %systemroot%\Sysvol\Промежуточные области

• Отключите сканирование промежуточной папки DFSR, как указано в атрибуте msDFSR-StagingPath объекта CN=SYSVOL Subscription,CN=Domain Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName в AD DS. Этот атрибут содержит путь к фактическому расположению, которое репликация DFS использует для промежуточных файлов. В частности, исключите следующие файлы:

  • Ntfrs_cmp*.*

  • *.Frx

• Отключите сканирование файлов в папке Sysvol\Sysvol или SYSVOL_DFSR\Sysvol.
  
  Текущее расположение папки Sysvol\Sysvol или SYSVOL_DFSR\Sysvol и всех вложенных папок — это целевой объект повторного определения файловой системы для корневого реплика набора. Папки Sysvol\Sysvol и SYSVOL_DFSR\Sysvol по умолчанию используют следующие расположения:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Путь к активному в настоящее время SYSVOL ссылается в общей папке NETLOGON и может быть определен по имени значения SysVol в следующем подразделе:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Исключите следующие файлы из этой папки и всех ее вложенных папок:

  • *.Adm

  • *.Admx

  • *.Adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.Модули

  • Oscfilter.ini

• Отключите сканирование файлов в папке предварительной установки FRS, которая находится в следующем расположении:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  Папка Preinstall всегда открыта при запуске FRS.
  
  Исключите следующие файлы из этой папки и всех ее вложенных папок:

  • Ntfrs*.*

• Отключите сканирование файлов в базе данных DFSR и рабочих папках. Расположение указывается в следующем подразделе реестра:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path В этом подразделе реестра "Путь" — это путь к XML-файлу, который указывает имя группы репликации. В этом примере путь будет содержать "Том системы домена".
  
  Расположением по умолчанию является следующая скрытая папка:

       %systemdrive%\System Volume Information\DFSR
  
  Исключите следующие файлы из этой папки и всех ее вложенных папок:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.Frx

  • *.Журнала

  • Fsr*.jrs

  • Tmp.edb

• Примечание Если какая-либо из этих папок или файлов перемещена или помещена в другое расположение, проверьте или исключите эквивалентный элемент.

Отключение сканирования файлов DFS

Те же ресурсы, которые исключаются для набора реплика SYSVOL, также должны быть исключены, если FRS или DFSR используется для репликации общих папок, сопоставленных с корнем DFS и целевыми объектами связи на компьютерах-членах или контроллерах домена под управлением Windows Server 2008 R2 или Windows Server 2008.

Отключение сканирования DHCP-файлов

По умолчанию DHCP-файлы, которые должны быть исключены, находятся в следующей папке на сервере:

%systemroot%\System32\DHCP Исключите следующие файлы из этой папки и всех ее вложенных папок:

• *.Mdb

• *.Пэт

• *.Журнала

• *.Chk

• *.Edb

Расположение DHCP-файлов можно изменить. Чтобы определить текущее расположение DHCP-файлов на сервере, проверка параметры DatabasePath, DhcpLogFilePath и BackupDatabasePath, указанные в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Отключение сканирования DNS-файлов

По умолчанию DNS использует следующую папку:

%systemroot%\System32\Dns Исключите следующие файлы из этой папки и всех ее вложенных папок:

• *.Журнала

• *.Dns

• ЗАГРУЗКИ

Отключение сканирования WINS-файлов

По умолчанию WINS использует следующую папку:

     %systemroot%\System32\Wins
Исключите следующие файлы из этой папки и всех ее вложенных папок:

• *.Chk

• *.Журнала

• *.Mdb

Для компьютеров под управлением версий Windows под управлением Hyper-V

В некоторых сценариях на компьютере под управлением Windows Server 2008 с установленной ролью Hyper-V или на Microsoft Hyper-V Server 2008 или на компьютере под управлением Microsoft Hyper-V Server 2008 R2 может потребоваться настроить компонент проверки в реальном времени в антивирусной программе, чтобы исключить файлы и целые папки. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

• 961804Виртуальные машины отсутствуют, ошибка 0x800704C8, 0x80070037 или 0x800703E3 возникает при попытке запустить или создать виртуальную машину

Дальнейшие действия

Если производительность или стабильность вашей системы повышены в соответствии с рекомендациями, приведенными в этой статье, обратитесь к поставщику антивирусного программного обеспечения за инструкциями, а также за обновленной версией или параметрами антивирусного программного обеспечения.

Примечание Ваш сторонний поставщик антивирусной программы может работать с командой служба поддержки Майкрософт по коммерчески обоснованным усилиям.

Журнал изменений

 В следующей таблице перечислены некоторые наиболее важные изменения в этом разделе.