Windows veya Windows Server (KB822158) çalıştıran Kurumsal bilgisayarlar için virüs tarama önerileri

Windows Update veya Otomatik Güncelleştirme dosyalarını taramayı kapatma

• Windows Update veya Otomatik Güncelleştirme veritabanı dosyasını (Datastore.edb) taramayı kapatın. Bu dosya aşağıdaki klasörde bulunur:

       %windir%\SoftwareDistribution\Datastore

• Aşağıdaki klasörde bulunan günlük dosyalarının taranma özelliğini kapatın:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Özellikle aşağıdaki dosyaları hariç tutun:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Joker karakter (*) birkaç dosya olabileceğini gösterir.

Windows Güvenliği dosyaları taramayı kapatma

• Dışlamalar listesinin %windir%\Security\Database yoluna aşağıdaki dosyaları ekleyin:

  • *.Edb

  • *.Sdb

  • *.kütük

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Not Bu dosyalar dışlanmazsa, virüsten koruma yazılımı bu dosyalara uygun erişimi engelleyebilir ve güvenlik veritabanları bozulabilir. Bu dosyaların taranması, dosyaların kullanılmasını veya dosyalara bir güvenlik ilkesinin uygulanmasını engelleyebilir. Virüsten koruma yazılımı bunları doğru bir şekilde özel veritabanı dosyaları olarak kabul etmeyebileceği için bu dosyalar taranmamalıdır.
  
  Önerilen dışlamalar bunlardır. Bu makalede yer almamış olan ve dışlanması gereken başka dosya türleri de olabilir.

grup ilkesi ile ilgili dosyaların taranma özelliğini kapatma

• Kullanıcı kayıt defteri bilgilerini grup ilkesi. Bu dosyalar aşağıdaki klasörde bulunur:

       Bilgisayar: %allusersprofile%\
       Kullanıcılar: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  Özellikle aşağıdaki dosyayı hariç tutun:

       NTUser.pol

• İstemci ayarları dosyalarını grup ilkesi. Bu dosyalar aşağıdaki klasörde bulunur:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Özellikle aşağıdaki dosyaları hariç tutun:

       Registry.pol
       Registry.tmp

Kullanıcı profili dosyalarını taramayı kapatma

• Kullanıcı kayıt defteri bilgileri ve destekleyici dosyalar. Dosyalar aşağıdaki klasörde bulunur:
  
       %userprofile%\
  
  Özellikle aşağıdaki dosyaları hariç tutun:
  
       NTUser.dat*

Etki alanı denetleyicilerinde virüsten koruma yazılımı çalıştırma

Etki alanı denetleyicileri istemcilere önemli bir hizmet sağladığından, kötü amaçlı koddan, kötü amaçlı yazılımdan veya bir virüsten etkinliklerinin kesintiye uğrama riski en aza indirilmelidir. Virüsten koruma yazılımı, enfeksiyon riskini azaltmanın genel olarak kabul edilen yoludur. Etki alanı denetleyicisine yönelik riskin mümkün olduğunca azaltılması ve performansın mümkün olduğunca az etkilenmesi için virüsten koruma yazılımını yükleyin ve yapılandırın. Aşağıdaki liste, bir Windows Server etki alanı denetleyicisine virüsten koruma yazılımı yapılandırmanıza ve yüklemenize yardımcı olacak öneriler içerir.

Uyarı Belirli bir ortamınızda bu yapılandırmanın beklenmeyen faktörler getirmediğinden veya sistemin kararlılığını tehlikeye atmadığından emin olmak için aşağıdaki belirtilen yapılandırmayı bir test sistemine uygulamanızı öneririz. Çok fazla taramanın riski, dosyaların uygunsuz şekilde değiştirilmiş olarak işaretlenmeleridir. Bu, Active Directory'de çok fazla çoğaltmaya neden olur. Test, çoğaltmanın aşağıdaki önerilerden etkilenmediğini doğrularsa virüsten koruma yazılımını üretim ortamına uygulayabilirsiniz.

Not Virüsten koruma yazılımı satıcılarından gelen belirli öneriler, bu makaledeki önerilerin yerini alabilir.

• Virüsten koruma yazılımı kuruluştaki tüm etki alanı denetleyicilerine yüklenmelidir. İdeal olarak, etki alanı denetleyicileriyle etkileşime geçmek zorunda olan diğer tüm sunucu ve istemci sistemlerine bu tür yazılımları yüklemeyi deneyin. Kötü amaçlı yazılımı güvenlik duvarı veya kötü amaçlı yazılımın tanıtıldığı istemci sistemi gibi en erken noktada yakalamak en uygunudur. Bu, kötü amaçlı yazılımların istemcilerin bağımlı olduğu altyapı sistemlerine ulaşmasını önler.

• Active Directory etki alanı denetleyicileriyle çalışacak şekilde tasarlanmış ve sunucudaki dosyalara erişmek için doğru Uygulama Programlama Arabirimlerini (API' ler) kullanan bir virüsten koruma yazılımı sürümü kullanın. Çoğu satıcı yazılımının eski sürümleri, dosya tarandıkça dosyanın meta verilerini uygunsuz bir şekilde değiştirir.

• İnternet'e göz atmak veya kötü amaçlı kod oluşturabilecek diğer etkinlikleri gerçekleştirmek için bir etki alanı denetleyicisi kullanmayın.

• Etki alanı denetleyicilerindeki iş yüklerini en aza indirmenizi öneririz. Örneğin, mümkün olduğunda, etki alanı denetleyicilerini bir dosya sunucusu rolünde kullanmaktan kaçının. Bu uygulama, dosya paylaşımlarında virüs tarama etkinliğini azaltır ve performans yükünü en aza indirir.

• Active Directory ve günlük dosyalarını NTFS dosya sistemi sıkıştırılmış birimlerine yerleştirmeyin.

Active Directory ve Active Directory ile ilgili dosyaların taranma özelliğini kapatma

• Ana NTDS veritabanı dosyalarını hariç tutun. Bu dosyaların konumu aşağıdaki kayıt defteri alt anahtarında belirtilir:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Varsayılan konum: %windir%\Ntds. Özellikle aşağıdaki dosyaları hariç tutun:

  • Ntds.dit

  • Ntds.pat

• Active Directory işlem günlüğü dosyalarını hariç tutun. Bu dosyaların konumu aşağıdaki kayıt defteri alt anahtarında belirtilir:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Varsayılan konum: %windir%\Ntds. Özellikle aşağıdaki dosyaları hariç tutun:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Aşağıdaki kayıt defteri alt anahtarında belirtilen NTDS Çalışma klasöründeki dosyaları hariç tutun:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Özellikle aşağıdaki dosyaları hariç tutun:

  • Temp.edb

  • Edb.chk

SYSVOL dosyalarını taramayı kapatma

• Sysvol\Sysvol klasöründeki veya SYSVOL_DFSR\Sysvol klasöründeki dosyaların taranma özelliğini kapatın.
  
  Sysvol\Sysvol veya SYSVOL_DFSR\Sysvol klasörünün geçerli konumu ve tüm alt klasörler, çoğaltma kümesi kökünün dosya sistemi yeniden ayrıştırma hedefidir. Sysvol\Sysvol ve SYSVOL_DFSR\Sysvol klasörleri varsayılan olarak aşağıdaki konumları kullanır:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Şu anda etkin olan SYSVOL yoluna NETLOGON paylaşımı tarafından başvurulur ve aşağıdaki alt anahtardaki SysVol değer adıyla belirlenebilir:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Aşağıdaki dosyaları bu klasörden ve tüm alt klasörlerinden hariç tutun:

  • *.Adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.ınf

  • Scripts.ini

  • *.Ins

  • Oscfilter.ini

• DFSR veritabanındaki ve çalışma klasörlerindeki dosyaların taranma özelliğini kapatın. Konum aşağıdaki kayıt defteri alt anahtarında belirtilir:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Bu kayıt defteri alt anahtarında,"Yol", Çoğaltma Grubunun adını içeren xml dosyasının yoludur. Bu örnekte, yol "Etki Alanı Sistem Birimi" içerir.
  
  Varsayılan konum aşağıdaki gizli klasördür:

       %systemdrive%\System Volume Information\DFSR
  
  Aşağıdaki dosyaları bu klasörden ve tüm alt klasörlerinden hariç tutun:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.kütük

  • Fsr*.jrs

  • Tmp.edb

  Not Bu klasör veya dosyalardan herhangi biri başka bir konuma taşınır veya konursa, eşdeğer öğeyi tarayın veya hariç tutun.

DFS dosyalarını taramayı kapatma

DFSR, DFS köküne eşlenen paylaşımları çoğaltmak ve Windows Server üye bilgisayarlarda veya etki alanı denetleyicilerinde hedefleri bağlamak için kullanılıyorsa, SYSVOL çoğaltma kümesi için dışlanan kaynakların da dışlanması gerekir.

DHCP dosyalarını taramayı kapatma

Varsayılan olarak, dışlanması gereken DHCP dosyaları sunucudaki aşağıdaki klasörde bulunur:

     %systemroot%\System32\DHCP

Aşağıdaki dosyaları bu klasörden ve tüm alt klasörlerinden hariç tutun:

• *.mdb

• *.pat

• *.kütük

• *.chk

• *.Edb

DHCP dosyalarının konumu değiştirilebilir. Dhcp dosyalarının sunucudaki geçerli konumunu belirlemek için, aşağıdaki kayıt defteri alt anahtarında belirtilen DatabasePath, DhcpLogFilePath ve BackupDatabasePath parametrelerini denetleyin:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

DNS dosyalarını taramayı kapatma

Varsayılan olarak, DNS aşağıdaki klasörü kullanır:

%systemroot%\System32\Dns Aşağıdaki dosyaları bu klasörden ve tüm alt klasörlerinden dışla:

• *.kütük

• *.Dns

• ÇİZME

WINS dosyalarını taramayı kapatma

Varsayılan olarak, WINS aşağıdaki klasörü kullanır:

     %systemroot%\System32\Wins

Aşağıdaki dosyaları bu klasörden ve tüm alt klasörlerinden hariç tutun:

• *.chk

• *.kütük

• *.mdb

Windows'un Hyper-V tabanlı sürümlerini çalıştıran bilgisayarlar için

Bazı senaryolarda, Hyper-V rolü yüklü Windows Server bilgisayarlarda, dosyaları ve klasörlerin tamamını dışlamak için virüsten koruma yazılımındaki gerçek zamanlı tarama bileşeninin yapılandırılması gerekebilir. Daha fazla bilgi için aşağıdaki Bilgi Bankası makalesine bakın:

• 961804Sanal makine başlatmaya veya oluşturmaya çalıştığınızda sanal makineler eksik veya hata 0x800704C8, 0x80070037 veya 0x800703E3 oluşuyor

Sonraki adımlar

Sistem performansınız veya kararlılığınız bu makalede yapılan önerilerle iyileştirildiyse, yönergeler veya virüsten koruma yazılımının güncelleştirilmiş sürümü veya ayarları için virüsten koruma yazılımı satıcınıza başvurun.

Not Üçüncü taraf virüsten koruma satıcınız ticari olarak makul bir çabayla Microsoft Desteği ekibiyle çalışabilir.

Değişiklik geçmişi

 Aşağıdaki tabloda bu konudaki en önemli değişiklikler özetlemektedir.