Preporuke za skeniranje virusa za poslovne računare koji rade pod operativnim sistemom Windows ili Windows Server (KB822158)

Odnosi se na: Windows Server 2025, sva izdanja Windows Server 2022, sva izdanja Windows Server 2019, sva izdanja Windows Server 2016, sva izdanja Windows Server 2012 R2, sva izdanjaWindows Server 2012, sva izdanja Windows 11, sva izdanja Windows 10, sva izdanja

Uvod

Ovaj članak sadrži preporuke koje administratoru pomažu da utvrdi uzrok potencijalne nestabilnosti u sledećem scenariju:

Problem se javlja na računaru koji radi pod verzijom operativnog sistema Windows ili Windows Server koji je naveden u odeljku "Odnosi se na".
Lokalni sistem se koristi zajedno sa antivirusnim softverom u okruženju domena aktivnog direktorijuma ili u upravljanom poslovnom okruženju.
Ako koristite Microsoft Defender antivirusni program, neka ili sva predložena isključenja koja su pomenuta u ovom članku mogu da budu ugrađena ili obezbeđena automatskim isključivaima. Dodatne informacije potražite u sledećim člancima:
- Upravljanje isključivim stavkama za Microsoft Defender za krajnju tačku i Microsoft Defender antivirusnom programu
- Konfigurišite Microsoft Defender antivirusnog programa na Windows Server

Simptome

Vaš računar zasnovan na operativnom Windows Server zasnovan na operativnom sistemu Windows ima sledeće probleme:

Performanse sistema
- Visok CPU ili povećana upotreba CPU-a
  - Režim korisnika
  - Režim jezgra
- Curenje jezgra memorije
  - Grupa koja nije stranica
  - Grupa stranica
  - Rukovanje curenje
- Usporenost
  - Kopija datoteke kada koristite Windows Explorer
    - Kopija datoteke kada koristite aplikaciju konzole (na primer, cmd.exe)
  - Operacije pravljenja rezervne kopije
Stabilnost
- Usporenost aplikacije
  - Pristup mrežnom resursu ili mapiranoj disk jedinici
  - Privremeni nedostatak odgovora u programu Windows Explorer
- Greška aplikacije
  - Kršenje pravila pristupa
- Aplikacija prestaje da se odaziva
  - Blokade
    - Poziv udaljene procedure (RPC)
    - Imenovane cevi
  - Trkački uslovi
  - Curenje memorije u privatnim bajtovima
  - Curenje memorije virtuelnih bajtona
  - Fragmentacija memorije virtuelnih bajtova
Problemi sa pouzdanošću operativnog sistema
- Sistem prestaje da se odaziva (morate da nametnete ponovno pokretanje da biste se oporavili)
  - Blokade
  - Trkački uslovi
  - Rukovanje curenjama
  - Curenja grupe bez stranica
  - Curenja grupe stranica
Zaustavljanje grešaka (poznato i kao provere grešaka)
- Tumačenje koda provere greške
- Referenca koda provere grešaka

Dodatne informacije potražite u sledećim člancima:

Sistem prestaje da se odaziva, sporo performanse servera datoteka ili kašnjenja se javljaju kada radite sa datotekama koje se nalaze na serveru datoteka

Rezoluciju

Pre nego što dodate isključivanja antivirusnog programa, sledite ove korake:

Ažurirajte definicije za antivirusni program nezavisnog proizvođača. Ako problem potraje, prosledite potvrđenu grešku (FP) podršci nezavisnog dobavljača antivirusnih programa.
Proverite da niste postavili određenu funkcionalnost u ojačanom ili agresivnom režimu koji izaziva više od sledećih simptoma:
- Potvrđene greške
- Problemi sa kompatibilnošću aplikacije
- Povećana upotreba resursa (na primer, visoka iskorišćenost procesora (režim korisnika ili režim međuslovnog razmaka) ili upotreba velike memorije (korisnički režim ili režim jezgra)
- Usporavanja
- Aplikacije prestaju da se odazivaju
- Greške aplikacije
- Sistem koji se ne odaziva
Ažurirajte verziju antivirusnog programa nezavisnog proizvođača. Ili, za testiranje pogledajte članak Kako da privremeno deaktivirate upravljački program filtera režima jezgra u operativnom sistemu Windows
Radite sa nezavisnim prodavcem antivirusnog programa da biste dodatno rešili probleme. Možda ćete morati da imate dostupnu sledeću vrstu naprednih podataka da biste suzili problem:

Zaobilazno rešenje

VaћnoOvaj članak sadrži informacije koje pokazuju kako da smanjite bezbednosne postavke ili kako da privremeno isključite bezbednosne funkcije na računaru. Te promene možete da izvršite da biste razumeli prirodu određenog problema. Pre nego što izvršite ove promene, preporučujemo da procenite rizike koji su povezani sa primenjivanje ovog rešenja u određenom okruženju. Ako primenite ovo privremeno rešenje, preduzmite odgovarajuće dodatne korake kako biste zaštitili računar.

Upozorenje

Ne preporučujemo ovo privremeno rešenje. Međutim, ove informacije obezbeđujemo kako biste mogli da primenite ovo privremeno rešenje po sopstvenom nahođivanju. Koristite ovo privremeno rešenje na sopstveni rizik.
Ovo privremeno rešenje može učiniti računar ili mrežu ranjivijim na napade zlonamernih korisnika ili zlonamernog softvera kao što su virusi.
Preporučujemo da privremeno primenite ove postavke da biste procenili ponašanje sistema.
Svesni smo rizika od isključivanja određenih datoteka ili fascikli koje su pomenute u ovom članku iz skeniranja koje je napravio antivirusni softver. Sistem će biti bezbedniji ako ne isključite datoteke ili fascikle iz skeniranja.
Prilikom skeniranja ovih datoteka može doći do problema sa pouzdanošću performansi i operativnog sistema zbog zaključavanja datoteke.
Nemojte isključiti nijednu od ovih datoteka na osnovu oznake tipa datoteke. Na primer, nemojte isključiti sve datoteke koje imaju oznaku tipa datoteke .dit. Microsoft nema kontrolu nad drugim datotekama koje mogu da koriste iste oznake tipa datoteke kao datoteke opisane u ovom članku.
Ovaj članak pruža imena datoteka i fascikle koje se mogu izuzeti. Sve datoteke i fascikle opisane u ovom članku podrazumevano su zaštićene dozvolama kako bi dozvolile samo pristup sistemu i administratoru i sadrže samo komponente operativnog sistema. Isključivanje cele fascikle može biti jednostavnije, ali možda neće obezbediti toliko zaštitu kao isključivanje određenih datoteka na osnovu imena datoteka.
Dodavanje izuzetaka iz antivirusnog programa bi uvek trebalo da bude poslednje odmaralište ako nijedna druga opcija nije izuzimajuća.

Isključivanje skeniranja datoteka Windows Update ili automatskog ažuriranja

Isključite skeniranje datoteke Windows Update ili datoteke baze podataka automatskog ažuriranja (Datastore.edb). Ova datoteka se nalazi u sledećoj fascikli:

%windir%\SoftwareDistribution\Datastore
Isključite skeniranje datoteka evidencije koje se nalaze u sledećoj fascikli:

%windir%\SoftwareDistribution\Datastore\Logs Tačnije, izuzmite sledeće datoteke:
- Edb*.jrs
- Edb.chk
- Tmp.edb
Džoker znak (*) ukazuje na to da možda postoji nekoliko datoteka.

Isključivanje skeniranja Windows bezbednost datoteka

Dodajte sledeće datoteke na %windir%\Security\Database putanju liste izuzetaka:
- *.edb
- *.sdb
- *.Evidencije
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
Napomena Ako ove datoteke nisu izuzete, antivirusni softver može da spreči odgovarajući pristup ovim datotekama, a bezbednosne baze podataka mogu da se oštete. Skeniranje ovih datoteka može sprečiti upotrebu datoteka ili može sprečiti primenu bezbednosnih smernica na datoteke. Ove datoteke ne bi trebalo skenirati jer antivirusni softver možda neće ispravno tretirati datoteke baza podataka kao vlasnike.Ovo su preporučena isključenja. Možda postoje drugi tipovi datoteka koji nisu uključeni u ovaj članak koji bi trebalo izuzeti.

Isključivanje skeniranja datoteka Smernice grupe povezanih sa

Smernice grupe korisničkog registratora. Ove datoteke se nalaze u sledećoj fascikli:

Računar: %allusersprofile%\ Korisnici: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ Tačnije, izuzmite sledeću datoteku:

NTUser.pol
Smernice grupe datoteke postavki klijenta. Ove datoteke se nalaze u sledećoj fascikli:

%SystemRoot%\System32\GroupPolicy\Machine\ %SystemRoot%\System32\GroupPolicy\User\ Tačnije, izuzmite sledeće datoteke:

Registry.pol Registry.tmp

Isključivanje skeniranja datoteka korisničkih profila

Informacije o registratoru korisnika i datoteke za podršku. Datoteke se nalaze u sledećoj fascikli: %userprofile%\ Tačnije, izuzmite sledeće datoteke: NTUser.dat*

Pokretanje antivirusnog softvera na upravljačima domena

Pošto kontrolori domena klijentima pružaju važnu uslugu, rizik od ometanja njihovih aktivnosti iz zlonamernog koda, malvera ili virusa mora biti umanjen. Antivirusni softver je opšte prihvaćen način za smanjenje rizika od zaraze. Instalirajte i konfigurišite antivirusni softver tako da se što je moguće smanji rizik za kontroler domena i da performanse budu ugrožene što je moguće malo. Sledeća lista sadrži preporuke koje će vam pomoći da konfigurišete i instalirate antivirusni softver na Windows Server domena.Upozorenje Preporučujemo da primenite sledeću navedenu konfiguraciju na probni sistem da biste se uverili da ova konfiguracija u određenom okruženju ne predstavlja neočekivane faktore ili ugrožava stabilnost sistema. Rizik od prevelikog skeniranja je to što su datoteke neprikladno označene zastavicom kao promenjene. To izaziva previše replikacije u usluzi Active Directory. Ako testiranjem potvrđuje da na replikaciju ne utiču sledeće preporuke, možete da primenite antivirusni softver na okruženje proizvodnje.Nota Određene preporuke prodavaca antivirusnog softvera mogu da zamene preporuke u ovom članku.

Antivirusni softver mora biti instaliran na svim upravljačima domena u preduzeću. Idealno bi bilo da pokušate da instalirate takav softver na svim drugim serverima i klijentnim sistemima koji treba da vrše interakciju sa kontrolorima domena. Optimalno je uhvatiti malver u najranijoj tački, na primer kod zaštitnog zida ili u klijentskom sistemu gde se uvodi malver. To sprečava malver da ikada stigne do sistema infrastrukture od kojih zavise klijenti.
Koristite verziju antivirusnog softvera koji je dizajniran za rad sa Active Directory kontrolerima domena i koji koristi ispravne interfejse programskog interfejsa aplikacije (API-je) za pristup datotekama na serveru. Starije verzije većine softvera prodavca neprikladno menjaju metapodatke datoteke dok se datoteka skenira.
Nemojte da koristite kontroler domena za pregledanje interneta ili izvršavanje drugih aktivnosti koje mogu da uvedu zlonamerni kôd.
Preporučujemo da smanjite radna obima na kontrolere domena. Na primer, kada je to moguće, izbegavajte korišćenje kontrolera domena u ulozi servera datoteka. Ova praksa smanjuje aktivnost skeniranja virusa na resursima datoteka i smanjuje troškove performansi.
Nemojte da stavljate Active Directory i datoteke evidencije na komprimovane volumene sistema NTFS datoteka.

Isključivanje skeniranja Datoteka aktivnog direktorijuma i aktivnog direktorijuma

Isključite glavne datoteke NTDS baze podataka. Lokacija ovih datoteka navedena je u sledećem potključu registratora:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Podrazumevana lokacija je %windir%\Ntds. Tačnije, izuzmite sledeće datoteke:
- Ntds.dit
- Ntds.pat
Izuzmite datoteke evidencije transakcija aktivnog direktorijuma. Lokacija ovih datoteka navedena je u sledećem potključu registratora:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Podrazumevana lokacija je %windir%\Ntds. Tačnije, izuzmite sledeće datoteke:
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
Izuzmite datoteke iz fascikle NTDS Working koja je navedena u sledećem potključu registratora:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Tačnije, izuzmite sledeće datoteke:
- Temp.edb
- Edb.chk

Isključivanje skeniranja SYSVOL datoteka

Isključite skeniranje datoteka u fascikli Sysvol\Sysvol ili fascikli SYSVOL_DFSR\Sysvol.Trenutna lokacija fascikle "Sysvol\Sysvol" ili "SYSVOL_DFSR\Sysvol" i sve potfascikle predstavlja cilj za ponovno razdvajanje sistema datoteka korena skupa replika. Fascikle Sysvol\Sysvol i SYSVOL_DFSR\Sysvol podrazumevano koriste sledeće lokacije:

%systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

Na putanju do trenutno aktivnog SYSVOL-a upućuje NETLOGON deljenje i može se utvrditi imenom vrednosti SysVol u sledećem potključu:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

Izuzmite sledeće datoteke iz ove fascikle i svih njenih potfascikli:
- *.Adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.aas
- *.Inf
- Scripts.ini
- *.Komponente
- Oscfilter.ini
Isključite skeniranje datoteka u DFSR bazi podataka i radnim fasciklama. Lokacija je navedena u sledećem potključu registratora:

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path U ovom potključu registratora, "Putanja" je putanja XML datoteke koja sadrži ime grupe replikacije. U ovom primeru putanja bi sadržala "Volumen sistema domena". Podrazumevana lokacija je sledeća skrivena fascikla:

%systemdrive%\System Volume Information\DFSR Izuzmite sledeće datoteke iz ove fascikle i svih njenih potfascikli:
- $db_normalan$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_dirty$
- $db_čišćenje$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.Evidencije
- Fsr*.jrs
- Tmp.edb
Napomena Ako je neka od ovih fascikli ili datoteka premeštena ili premeštena na drugu lokaciju, skenirajte ili isključite element koji je jednak.

Isključivanje skeniranja DFS datoteka

Isti resursi koji su izuzeti za skup replika SYSVOL takođe moraju biti isključeni ako se DFSR koristi za repliciranje deljenih resursa koji su mapirani u osnovnom DFS osnovnom formatu i ciljne veze na računarima Windows Server članovima ili upravljačima domena.

Isključi skeniranje DHCP datoteka

DHCP datoteke koje treba izuzeti podrazumevano se nalaze u sledećoj fascikli na serveru:

%systemroot%\System32\DHCP

Izuzmite sledeće datoteke iz ove fascikle i svih njenih potfascikli:

*.mdb
*.Pat
*.Evidencije
*.chk
*.edb

Lokacija DHCP datoteka se može promeniti. Da biste odredili trenutnu lokaciju DHCP datoteka na serveru, proverite parametre DatabasePath, DhcpLogFilePath i BackupDatabasePath koji su navedeni u sledećem potključu registratora:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Isključivanje skeniranja DNS datoteka

DNS podrazumevano koristi sledeću fasciklu:

%systemroot%\System32\Dns Izuzmite sledeće datoteke iz ove fascikle i svih njenih potfascikli:

*.Evidencije
*.Dns
POKRETANJA

Isključivanje skeniranja WINS datoteka

WINS podrazumevano koristi sledeću fasciklu:

%systemroot%\System32\Wins

Izuzmite sledeće datoteke iz ove fascikle i svih njenih potfascikli:

*.chk
*.Evidencije
*.mdb

Za računare koji rade pod hiper V verzijama operativnog sistema Windows

U nekim slučajevima, Windows Server na računarima na kojima je instalirana uloga Hyper-V, možda će biti neophodno da konfigurišete komponentu skeniranja u realnom vremenu unutar antivirusnog softvera da biste isključili datoteke i cele fascikle. Više informacija potražite u sledećem članku baze znanja:

961804Nedostaju virtuelne mašine ili dolazi 0x800704C8, 0x80070037 ili 0x800703E3 do greške kada pokušate da pokrenete ili kreirate virtuelnu mašinu

Sledeći koraci

Ako su performanse sistema ili stabilnost poboljšane preporukama napravljenim u ovom članku, obratite se prodavcu antivirusnog softvera za uputstva ili ažuriranu verziju antivirusnog softvera ili postavke antivirusnog softvera.

Napomena Nezavisni dobavljač antivirusnih programa može da radi sa timom Microsoft podrške u komercijalno razumnom trudu.

Reference

Microsoft ugovor o pružanju usluga

Ugovor za Microsoft usluge

Microsoft virusna inicijativa

Istorija promena

Sledeća tabela rezimira najvažnije promene ove teme.

Datum	Opis
17. avgust 2021.	Ažurirana je beleška u odeljku "Više informacija": "Napomena Windows 10, Windows Server 2016 i novije..."
2. novembar 2021.	Ažurirana je beleška u odeljku "Više informacija": "Ovo se odnosi i na Windows Server 2012 R2..."
14. mart 2022.	Korigoovan je ceo članak. Dodali su odeljke "Simptomi" i "Rezolucija" i reorganizovali preostali sadržaj.
14. jul 2023.	Dodata je treća stavka znaka za nabrajanje u odeljku "Uvod". Dodat je naslov odeljka "Simptomi". Uklonjen je odeljak "Više informacija".
7. avgust 2023.	Fiksni problemi sa rasporedom koji su zajedno radili na nekoliko redova na listama izuzetaka.
22. maj 2025.	Uklonjeni Windows Server 2008 i Windows 7 iz stavke "Odnosi se na" i izbrisali su sav povezani sadržaj. Dodata Windows Server 2025. u "Odnosi se na". Ažurirane veze unakrsnog upućivanja.