Odporúčania na zisťovanie vírusov v podnikových počítačoch so systémom Windows alebo Windows Server (KB822158)

Vypnutie skenovania súborov Windows Update alebo automatickej aktualizácie

• Vypnite skenovanie databázového súboru Windows Update alebo automatickej aktualizácie (Datastore.edb). Tento súbor sa nachádza v nasledujúcom priečinku:

       %windir%\SoftwareDistribution\Datastore

• Vypnite prehľadávanie súborov denníka, ktoré sa nachádzajú v nasledujúcom priečinku:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Konkrétne vylúčte nasledujúce súbory:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Zástupný znak (*) označuje, že môže existovať niekoľko súborov.

Vypnutie skenovania Windows Zabezpečenie súborov

• Pridajte nasledujúce súbory do %windir%\Security\Database cesty zoznamu výnimiek:

  • *.Edb

  • *.Sdb

  • *.klada

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Poznámka Ak tieto súbory nie sú vylúčené, antivírusový softvér môže zabrániť príslušnému prístupu k týmto súborom a databázy zabezpečenia sa môžu poškodiť. Kontrola týchto súborov môže zabrániť použitiu súborov alebo môže zabrániť použitiu politiky zabezpečenia v súboroch. Tieto súbory by sa nemali kontrolovať, pretože antivírusový softvér ich nemusí správne považovať za vlastnícke databázové súbory.
  
  Toto sú odporúčané vylúčenia. Môžu existovať aj iné typy súborov, ktoré nie sú zahrnuté v tomto článku, ktoré by mali byť vylúčené.

Vypnutie skenovania súborov súvisiacich s skupinová politika

• skupinová politika informácie o databáze Registry používateľa. Tieto súbory sa nachádzajú v nasledujúcom priečinku:

       Počítač: %allusersprofile%\
       Používatelia: %ProgramData%\Microsoft\GroupPolicy\Users\<Používateľ sid>\
  
  Konkrétne vylúčte nasledujúci súbor:

       NTUser.pol

• skupinová politika súbory nastavení klienta. Tieto súbory sa nachádzajú v nasledujúcom priečinku:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Konkrétne vylúčte nasledujúce súbory:

       Registry.pol
       Registry.tmp

Vypnutie skenovania súborov používateľských profilov

• Informácie o databáze Registry používateľa a podporné súbory. Súbory sa nachádzajú v nasledujúcom priečinku:
  
       %userprofile%\
  
  Konkrétne vylúčte nasledujúce súbory:
  
       NTUser.dat*

Spustenie antivírusového softvéru na radičoch domény

Keďže radiče domény poskytujú klientom dôležitú službu, riziko prerušenia ich aktivít spôsobené škodlivým kódom, malvérom alebo vírusom sa musí minimalizovať. Antivírusový softvér je všeobecne akceptovaný spôsob, ako znížiť riziko infekcie. Nainštalujte a nakonfigurujte antivírusový softvér tak, aby sa riziko pre radič domény čo najviac znížilo a aby bol výkon čo najmenší. Nasledujúci zoznam obsahuje odporúčania, ktoré vám pomôžu nakonfigurovať a nainštalovať antivírusový softvér do radiča domény Windows Server.

Varovanie Odporúčame použiť nasledujúcu zadanú konfiguráciu na testovací systém, aby ste sa uistili, že v konkrétnom prostredí táto konfigurácia nevedie k neočakávaným faktorom ani neohrozí stabilitu systému. Príliš veľké riziko skenovania spočíva v tom, že súbory sa nevhodne označia ako zmenené. To spôsobuje príliš veľa replikácie v službe Active Directory. Ak testovanie overí, že replikácia nie je ovplyvnená nasledujúcimi odporúčaniami, môžete antivírusový softvér použiť v produkčnom prostredí.

Nota Odporúčania od dodávateľov antivírusového softvéru môžu nahrádzať odporúčania v tomto článku.

• Antivírusový softvér musí byť nainštalovaný vo všetkých radičoch domény v podniku. V ideálnom prípade sa pokúste nainštalovať takýto softvér na všetkých ostatných serveroch a klientskych systémoch, ktoré musia komunikovať s radičmi domény. Je optimálne chytiť malvér čo najskôr, napríklad v bráne firewall alebo v klientskom systéme, kde sa malvér zaviedol. To zabraňuje malvéru v dosiahnutí infraštruktúrnych systémov, od ktorých sú klienti závislí.

• Používajte verziu antivírusového softvéru, ktorý je určený na prácu s radičmi domény služby Active Directory a ktorý používa správne rozhrania API na prístup k súborom na serveri. Staršie verzie softvéru väčšiny dodávateľov nevhodne menia metaúdaje súboru pri kontrole súboru.

• Nepoužívajte radič domény na prehľadávanie internetu alebo iné aktivity, ktoré by mohli zavádzať škodlivý kód.

• Odporúčame minimalizovať vyťaženia radičov domény. Ak je to možné, nepoužívajte napríklad radiče domény v role súborového servera. Táto prax znižuje aktivitu zisťovania vírusov v zdieľaniach súborov a minimalizuje režijné náklady na výkon.

• Neumierajte súbory služby Active Directory a súbory denníka do komprimovaných zväzkov systému súborov NTFS.

Vypnutie skenovania súborov súvisiacich so službou Active Directory a službou Active Directory

• Vylúčiť hlavné databázové súbory NTDS. Umiestnenie týchto súborov je zadané v nasledujúcom podkľúči databázy Registry:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Predvolené umiestnenie je %windir%\Ntds. Konkrétne vylúčte nasledujúce súbory:

  • Ntds.dit

  • Ntds.pat

• Vylúčiť súbory denníka transakcií služby Active Directory. Umiestnenie týchto súborov je zadané v nasledujúcom podkľúči databázy Registry:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Predvolené umiestnenie je %windir%\Ntds. Konkrétne vylúčte nasledujúce súbory:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Vylúčte súbory v pracovnom priečinku NTDS, ktorý je zadaný v nasledujúcom podkľúči databázy Registry:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Konkrétne vylúčte nasledujúce súbory:

  • Temp.edb

  • Edb.chk

Vypnutie skenovania súborov SYSVOL

• Vypnite skenovanie súborov v priečinku Sysvol\Sysvol alebo v priečinku SYSVOL_DFSR\Sysvol.
  
  Aktuálne umiestnenie priečinka Sysvol\Sysvol alebo SYSVOL_DFSR\Sysvol a všetkých podpriečinkov je cieľom reparse systému súborov koreňovej množiny reparse repliky. Priečinky Sysvol\Sysvol a SYSVOL_DFSR\Sysvol predvolene používajú tieto umiestnenia:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Na cestu k aktuálne aktívnemu SYSVOLu odkazuje podiel NETLOGON a dá sa určiť podľa názvu hodnoty SysVol v nasledujúcom podkľúči:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Vylúčiť nasledujúce súbory z tohto priečinka a všetkých jeho podpriečinkov:

  • *.Adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.Inov

  • Oscfilter.ini

• Vypnite skenovanie súborov v databáze DFSR a pracovných priečinkoch. Umiestnenie je zadané v nasledujúcom podkľúči databázy Registry:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path V tomto podkľúči databázy Registry je cesta k súboru XML, ktorý obsahuje názov skupiny replikácií. V tomto príklade by cesta obsahovala "Domain System Volume" (Zväzok doménového systému).
  
  Predvoleným umiestnením je nasledujúci skrytý priečinok:

       %systemdrive%\System Volume Information\DFSR
  
  Vylúčiť nasledujúce súbory z tohto priečinka a všetkých jeho podpriečinkov:

  • $db_normálny$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.klada

  • Fsr*.jrs

  • Tmp.edb

  Poznámka Ak sa niektorý z týchto priečinkov alebo súborov premiestni alebo umiestni do iného umiestnenia, naskenujte alebo vylúčte ekvivalentný prvok.

Vypnutie skenovania súborov DFS

Rovnaké zdroje, ktoré sú vylúčené pre skupinu replík SYSVOL, sa musia vylúčiť aj vtedy, ak sa DFSR používa na replikáciu akcií, ktoré sú priradené ku koreňovej časti DFS a cieľov prepojenia v počítačoch Windows Server členov alebo radičoch domény.

Vypnutie skenovania súborov DHCP

V predvolenom nastavení, DHCP súbory, ktoré by mali byť vylúčené, sa nachádzajú v nasledujúcom priečinku na serveri:

     %systemroot%\System32\DHCP

Vylúčiť nasledujúce súbory z tohto priečinka a všetkých jeho podpriečinkov:

• *.mdb

• *.Pat

• *.klada

• *.chk

• *.Edb

Umiestnenie súborov DHCP je možné zmeniť. Ak chcete určiť aktuálne umiestnenie súborov DHCP na serveri, skontrolujte parametre DatabasePath, DhcpLogFilePath a BackupDatabasePath , ktoré sú zadané v nasledujúcom podkľúči databázy Registry:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Vypnutie skenovania DNS súborov

Dns predvolene používa nasledujúci priečinok:

%systemroot%\System32\Dns Vylúčiť nasledujúce súbory z tohto priečinka a všetkých jeho podpriečinkov:

• *.klada

• *.Dns

• TOPÁNKA

Vypnutie skenovania súborov WINS

Funkcia WINS predvolene používa nasledujúci priečinok:

     %systemroot%\System32\Wins

Vylúčiť nasledujúce súbory z tohto priečinka a všetkých jeho podpriečinkov:

• *.chk

• *.klada

• *.mdb

Pre počítače so spustenými verziami Windowsu s hyper-V

V niektorých scenároch môže byť v Windows Server počítačoch s nainštalovanou rolou Hyper-V potrebné nakonfigurovať súčasť skenovania v reálnom čase v antivírusovom softvéri tak, aby sa vylúčili súbory a celé priečinky. Ďalšie informácie nájdete v nasledujúcom článku databázy Knowledge Base:

• 961804Chýbajú virtuálne počítače alebo sa pri pokuse o spustenie alebo vytvorenie virtuálneho počítača vyskytne chyba 0x800704C8, 0x80070037 alebo 0x800703E3

Ďalšie kroky

Ak sa výkon alebo stabilita systému zlepšia odporúčaniami uvedenými v tomto článku, pokyny alebo aktualizovanú verziu antivírusového softvéru získate od dodávateľa antivírusového softvéru.

Poznámka Váš dodávateľ antivírusového softvéru tretej strany môže spolupracovať s tímom podpory spoločnosti Microsoft s komerčne primeraným úsilím.

História zmien

 Nasledujúca tabuľka obsahuje súhrn najdôležitejších zmien tejto témy.