Rekommendationer om virussökning på företagsdatorer som kör Windows-versioner som stöds

Information för hemanvändare

Mer information om virussökning med rekommendationer för kunder hittar du på följande Microsoft-webbsida:

INLEDNING

Artikeln innehåller rekommendationer för att hjälpa administratörer att fastställa orsaken till instabilitetsproblem hos en dator som kör en Microsoft Windows-version som stöds när den används med virusskyddsprogram i en Active Directory-domänmiljö eller i en hanterad affärsmiljö.Obs! Vi rekommenderar att du använder de här instruktionerna tillfälligt för att utvärdera ett system. Om systemets prestanda eller stabilitet förbättras av rekommendationerna i artikeln bör du kontakta virusskyddsprogrammets leverantör och få anvisningar eller en uppdaterad version av virusskyddsprogrammet.

Viktigt! Den här artikeln innehåller information om hur du sänker säkerhetsnivån eller tillfälligt stänger av säkerhetsfunktioner på en dator. Du kan göra ändringarna för att förstå vilken typ av problem det handlar om. Innan du gör ändringarna rekommenderar vi att du utvärderar vilka risker de medför i din miljö. Om du använder den här tillfälliga lösningen bör du vidta lämpliga ytterligare åtgärder för att skydda datorn.

Mer Information

För datorer som kör Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista eller Windows 7

Varning! Den här tillfälliga lösningen kan göra datorn eller nätverket mer sårbara för angripare eller skadliga program som virus. Vi rekommenderar inte det här alternativet, men vi lämnar information så att du kan välja det om du så önskar. Använd detta alternativ på egen risk.

Obs!
 • Vi känner inte till någon risk förknippad med att undanta de filer eller mappar som nämns i den här artikeln från genomsökningar som görs av ditt virusskyddsprogram. Men din dator kan bli säkrare om du låter genomsöka alla filer och mappar.
 • Under genomsökningen av filerna kan det uppstå problem med operativsystemets prestanda och stabilitet på grund av fillåsning.
 • Uteslut inte några filer på grund av filnamnstillägget. Uteslut till exempel inte alla filer med filnamnstillägget .dit. Microsoft har ingen kontroll över andra filer som använder samma filnamnstillägg som de filer som beskrivs i artikeln.
 • Artikeln innehåller både filnamn och mappar som kan undantas. Alla filer och mappar som beskrivs i artikeln skyddas av standardbehörigheter som bara tillåter system- och administratörsåtkomst, och de innehåller endast operativsystemkomponenter. Det kan vara enklare att undanta en hel mapp men datorn får ett bättre skydd om du undantar specifika filer baserat på filnamn.

Inaktivera genomsökning av Windows Update- eller Automatiska uppdateringar-relaterade filer

 • Inaktivera genomsökning av Windows Update- eller Automatiska uppdateringar-databasfilen (Datastore.edb). Den finns i följande mapp:
  %windir%\SoftwareDistribution\Datastore
 • Inaktivera genomsökning av loggfilerna i följande mapp:
  %windir%\SoftwareDistribution\Datastore\Logs
  Uteslut följande filer:

  • Res*.log
  • Res*.jrs
  • Edb.chk
  • Tmp.edb
  Jokertecknet (*) anger att det kan finnas flera filer.

Inaktivera genomsökning av Windows-säkerhetsfiler

 • Lägg till följande filer i %windir%\Security\Database-sökvägen till undantagslistan:

  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
  Obs! Om de här filerna inte undantas kan ett virusskyddsprogram stoppa åtkomsten till filerna vilket kan skada säkerhetsdatabaser. Om filerna genomsöks kan det leda till att de inte kan användas eller att det inte går att tillämpa en säkerhetsprincip på dem. Filerna bör inte genomsökas eftersom ett virusskyddsprogram felaktigt kan behandla dem som tillverkarspecifika databasfiler.

Inaktivera genomsökning av grupprinciprelaterade filer

 • Information om grupprincipanvändarregistret. Dessa filer finns i följande mapp:
  %allusersprofile%\
  Undanta följande fil:
  NTUser.pol
 • Inställningsfil för grupprincipklient. Den finns i följande mapp:
  %Systemroot%\System32\GroupPolicy\
  Undanta följande fil:
  Registry.pol
Om du vill veta mer klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
951059 På en Windows Server 2003-baserad dator tas registerbaserade principinställningar oväntat bort när en användare loggar in på datorn (Länken kan leda till en webbplats som är helt eller delvis på engelska)
930597 Vissa registerbaserade principinställningar går förlorade och felmeddelanden loggas i programloggen på en Windows XP- eller Windows Vista-baserad dator (Länken kan leda till en webbplats som är helt eller delvis på engelska)

För Windows Server 2008 R2-, Windows Server 2008-, Windows Server 2003- och Windows 2000-domänkontrollanter

Eftersom domänkontrollanter tillhandahåller klienter en viktig tjänst, måste risken för att aktiviteten avbryts på grund av skadlig kod, skadlig programvara eller virus minimeras. Virusskyddsprogram anses allmänt vara det bästa sättet att minska risken för virusangrepp. Installera och konfigurera antivirusprogram så att risken för domänkontrollanten minskar så mycket som möjligt och prestanda påverkas så lite som möjligt. Följande lista innehåller rekommendationer för att konfigurera och installera virusskyddsprogram på en Windows Server 2008 R2-, Windows Server 2008-, Windows Server 2003- eller Windows 2000-domänkontrollant.

Varning! Vi rekommenderar att du använder följande konfiguration på en testdator för att säkerställa att inga oväntade faktorer införs i din miljö eller att datorns stabilitet påverkas. Risken med för mycket genomsökning är att filer felaktigt flaggas som ändrade. Detta leder till för mycket replikering i Active Directory. Om testning visar att replikering inte påverkas av följande rekommendationer kan du använda antivirusprogrammet i produktionsmiljön.


Obs! Rekommendationerna i den här artikeln kan ersättas av rekommendationer från leverantörer av virusskyddsprogram.

 • Antivirusprogram måste installeras på alla domänkontrollanter i företaget. Installera helst sådana program på alla andra server- och klientdatorer som måste interagera med domänkontrollanterna. Det bästa är att fånga upp det skadliga programmet så tidigt som möjligt, till exempel vid brandväggen eller på klientdatorn dit det skadliga programmet kommer först. Detta förhindrar att det skadliga programmet når fram till infrastruktursystemen som klienterna är beroende av.
 • Använd en version av antivirusprogrammet som är konstruerad för att fungera tillsammans med Active Directory-domänkontrollanter och som har rätt API:er (Application Programming Interfaces) för att komma åt filer på servern. Äldre versioner av många leverantörsprogram ändrar på ett oönskat sätt filmetadata när filen söks igenom. Detta medför att FRS-motorn (File Replication Service) antar att filen har ändrats och därför schemalägger den för replikering. Detta problem uppstår inte i nyare versioner.

  Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

  815263 Virusskyddsprogram och program för säkerhetskopiering och diskoptimering som är kompatibla med File Replication Service (Länken kan leda till en webbplats som är helt eller delvis på engelska)
 • Använd inte en domänkontrollant för att surfa på Internet eller utföra andra aktiviteter som kan medföra att skadlig kod tränger in.


 • Vi rekommenderar att du minimerar arbetsbelastningen på domänkontrollanter. Undvik om möjligt att använda domänkontrollanter i en filserverroll. På så vis minskar virusgenomsökningsaktiviteten på filresurser vilket minimerar prestandaförsämring.
 • Placera inte Active Directory- eller FRS-databasen och loggfiler på komprimerade NTFS-volymer.

  Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

  318116 Problem med Jet-databaser på komprimerade enheter (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Inaktivera genomsökning av Active Directory- och Active Directory-relaterade filer

 • Undanta viktiga NTDS-databasfiler. Platsen för dessa anges i följande registernyckel:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  Standardplatsen är %windir%\Ntds. Uteslut följande filer:
  Ntds.dit

  Ntds.pat
 • Uteslut Active Directory-transaktionsloggfiler. Platsen för dessa anges i följande registernyckel:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  Standardplatsen är %windir%\Ntds. Uteslut följande filer:

  • EDB*.log
  • Res*.log
  • Res*.jrs
  • Ntds.pat
  Obs! I Windows Server 2003 används inte längre filen Ntds.pat.
 • Undanta filerna i NTDS-arbetsmappen som anges i följande registernyckel:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  Uteslut följande filer:

  • Temp.edb
  • Edb.chk

Inaktivera genomsökning av SYSVOL-filer

 • Inaktivera genomsökning av filer i arbetsmappen för FRS (File Replication Service) som anges i följande registernyckel:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  Standardplatsen är %windir%\Ntfrs. Undanta följande filer i mappen:


  • edb.chk
  • Ntfrs.jdb
  • *.log
 • Inaktivera genomsökning av FRS-databasloggfiler som anges i följande registernyckel:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  Standardplatsen är %windir%\Ntfrs. Uteslut följande filer:  • Eedb*.log (om registernyckeln inte har angetts).
  • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 och Windows Server 2008 R2).
  • Edb*.jrs (Windows Server 2008 och Windows Server 2008 R2).
  Obs! Inställningarna för särskilda undantagna filer dokumenteras för fullständighets skull. Som standard krävs system- eller administratörsbehörighet för åtkomst till filerna. Kontrollera att rätt skydd är installerat. Mapparna innehåller bara komponentarbetsfiler för FRS och DFSR.

 • Inaktivera genomsökning av mellanlagringsfilen enligt följande registernyckel.


  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  Som standard finns den på följande plats:
  %systemroot%\Sysvol\Staging areas
  Uteslut följande filer:

  • Nntfrs_cmp*.*
 • Inaktivera genomsökning av filer i mappen Sysvol\Sysvol.

  Den aktuella platsen för Sysvol\Sysvol-mappen och alla dess undermappar är filsystemets referensmål för replikuppsättningens rot. Sysvol\Sysvol-mappen använder följande plats:
  %systemroot%\Sysvol\Sysvol
  Undanta följande filer i den här mappen och alla dess undermappar:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • *.aas
  • *.inf
  • Fdeploy.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini
 • Inaktivera genomsökning av filer i mappen FRS Preinstall som finns på följande plats:
  Replikens_rot\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  Preinstall-mappen är alltid öppen när FRS körs.  Undanta följande filer i den här mappen och alla dess undermappar:

  • Ntfrs*.*
 • Inaktivera genomsökning av filer i DFSR-databasen och arbetsmappar. Platsen anges av följande registernyckel:

  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
  I den här registernyckeln är "Path" sökvägen till en XML-fil som utgör namnet på replikeringsgruppen. Låt säga att sökvägen i det här exemplet innehåller "Domain System Volume".

  Standardplatsen är följande dolda mapp:

  %systemdrive%\System Volume Information\DFSR
  Undanta följande filer i den här mappen och alla dess undermappar:

  • $db_normal$
  • FileIDTable_2
  • SimilarityTable_2
  • *.xml
  • $db_dirty$
  • Dfsr.db
  • Fsr.chk
  • *.frx
  • *.log
  • Fsr*.jrs
  • Tmp.edb
  Om någon av dessa mappar eller filer har flyttats eller placerats på en annan plats söker du igenom eller utesluter motsvarande element.

Inaktivera genomsökning av DFS-filer

Samma resurser som utesluts för en SYSVOL-replikuppsättning måste även uteslutas när FRS eller DFSR används för att replikera resurser som mappas till DFS-roten och länkmål på Windows Server 2008 R2-, Windows Server 2008-, Windows Server 2003- eller Windows 2000-baserade medlemsdatorer eller domänkontrollanter.


Inaktivera genomsökning av DHCP-filer

DHCP-filer som ska undantas finns som standard i följande mapp på servern:

%systemroot%\System32\DHCP
Undanta följande filer i den här mappen och alla dess undermappar:


 • *.mdb
 • *.pat
 • *.log
 • *.chk
 • *.edb

Platsen för DHCP-filer kan ändras. Du hittar den aktuella placeringen av DHCP-filerna på servern genom att titta på parametrarna DatabasePath, DhcpLogFilePath och BackupDatabasePath som anges i följande registerundernyckel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

För Windows Server 2008-, Windows Server 2003- och Windows 2000-domänkontrollanter

Inaktivera genomsökning av DNS-filer

Som standard använder DNS följande mapp:

%systemroot%\System32\Dns

Undanta följande filer i den här mappen och alla dess undermappar:

 • *.log
 • *.dns
 • BOOT

Inaktivera genomsökning av WINS-filer

WINS använder som standard följande mapp:

%systemroot%\System32\Wins
Undanta följande filer i den här mappen och alla dess undermappar:
 • *.chk
 • *.log
 • *.mdb
Egenskaper

Artikel-id: 822158 – senaste granskning 21 apr. 2010 – revision: 1

Feedback