Рекомендації щодо сканування вірусів на корпоративних комп'ютерах під керуванням Windows або Windows Server (KB822158)

Вимкнення сканування файлів Windows Update або автоматичного оновлення

• Вимкніть сканування файлу бази даних Windows Update або автоматичного оновлення (Datastore.edb). Цей файл міститься в такій папці:

       %windir%\SoftwareDistribution\Datastore

• Вимкніть сканування файлів журналу, розташованих у такій папці:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Зокрема, виключіть такі файли:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Символ узагальнення (*) указує на те, що може бути кілька файлів.

Вимкнення сканування файлів Безпека у Windows

• Додайте такі файли до %windir%\Security\Database шляху до списку винятків:

  • *.edb

  • *.sdb

  • *.журнал

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Нотатка Якщо ці файли не виключено, антивірусне програмне забезпечення може перешкоджати належному доступу до цих файлів, а бази даних безпеки можуть пошкодитися. Сканування цих файлів може перешкоджати використанню файлів або може завадити застосуванню політики безпеки до файлів. Ці файли не слід сканувати, оскільки антивірусне програмне забезпечення може неправильно розглядати їх як власні файли баз даних.
  
  Це рекомендовані винятки. У цій статті можуть бути інші типи файлів, які не слід виключати.

Вимкнення сканування файлів, пов'язаних із Групова політика

• Групова політика відомості про реєстр користувачів. Ці файли розташовано в такій папці:

       Комп'ютер: %allusersprofile%\
       Користувачі: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  Зокрема, виключіть такий файл:

       NTUser.pol

• Групова політика файли параметрів клієнта. Ці файли розташовано в такій папці:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Зокрема, виключіть такі файли:

       Registry.pol
       Registry.tmp

Вимкнення сканування файлів профілів користувачів

• Відомості про реєстр користувачів і допоміжні файли. Файли розташовано в такій папці:
  
       %назва_профілю_користувача%\
  
  Зокрема, виключіть такі файли:
  
       NTUser.dat*

Запуск антивірусного програмного забезпечення на контролерах домену

Оскільки контролери домену надають клієнтам важливу послугу, ризик порушення їхньої діяльності від зловмисного коду, зловмисного програмного забезпечення або вірусу має бути згорнуто. Антивірусне програмне забезпечення – загальноприйнятий спосіб знизити ризик зараження. Інсталюйте та настройте антивірусне програмне забезпечення, щоб максимально знизити ризик для контролера домену та максимально зменшити продуктивність. У списку нижче наведено рекомендації, які допоможуть настроїти та інсталювати антивірусне програмне забезпечення на контролері домену Windows Server.

Попередження Ми радимо застосувати вказану нижче конфігурацію до тестової системи, щоб переконатися, що в певному середовищі ця конфігурація не впроваджує неочікуваних факторів і не ставить під загрозу стабільність системи. Ризик від завеликого сканування полягає в тому, що файли позначено як змінені неналежним чином. Це призводить до забагато реплікації в Active Directory. Якщо перевірка перевіряє, чи реплікація не впливає на наведені нижче рекомендації, ви можете застосувати антивірусне програмне забезпечення до робочого середовища.

Примітка Конкретні рекомендації від постачальників антивірусного програмного забезпечення можуть заміняти рекомендації, наведені в цій статті.

• Антивірусне програмне забезпечення має бути інстальовано на всіх контролерах домену підприємства. В ідеалі спробуйте інсталювати таке програмне забезпечення на всіх інших серверних і клієнтських системах, які повинні взаємодіяти з контролерами домену. Оптимально відловлювати шкідливе програмне забезпечення найраніше, наприклад у брандмауері або в клієнтській системі, де з'явився шкідливе програмне забезпечення. Це запобігає досягненню зловмисних програм у системах інфраструктури, від яких залежать клієнти.

• Використовуйте версію антивірусного програмного забезпечення, призначену для роботи з контролерами домену Active Directory, і яка використовує правильні інтерфейси прикладних програм (API) для доступу до файлів на сервері. Попередні версії більшості програмного забезпечення постачальника неналежним чином змінюють метадані файлу під час сканування файлу.

• Не використовуйте контролер домену для перегляду веб-сторінок і не виконуйте інші дії, які можуть представляти зловмисний код.

• Радимо звести до мінімуму навантаження на контролерах домену. Наприклад, якщо це можливо, не використовуйте контролери домену в ролі файлового сервера. Ця практика зменшує активність сканування вірусів у спільних файлах і зменшує витрати на продуктивність.

• Не переміщуйте Active Directory та файли журналів у стиснутих томах файлової системи NTFS.

Вимкнення сканування файлів, пов'язаних зі службою Active Directory та Active Directory

• Виключити основні файли бази даних NTDS. Розташування цих файлів указано в такому підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Розташування за промовчанням: %windir%\Ntds. Зокрема, виключіть такі файли:

  • Ntds.dit

  • Ntds.pat

• Виключіть файли журналу транзакцій Active Directory. Розташування цих файлів указано в такому підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Розташування за промовчанням: %windir%\Ntds. Зокрема, виключіть такі файли:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Виключіть файли в робочій папці NTDS, указаній у підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Зокрема, виключіть такі файли:

  • Temp.edb

  • Edb.chk

Вимкнення сканування файлів SYSVOL

• Вимкніть сканування файлів у папці Sysvol\Sysvol або папці SYSVOL_DFSR\Sysvol.
  
  Поточне розташування папки Sysvol\Sysvol або SYSVOL_DFSR\Sysvol, а всі вкладені папки – це цільовий об'єкт файлової системи для набору реплік. Папки Sysvol\Sysvol і SYSVOL_DFSR\Sysvol за замовчуванням використовують такі розташування:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  На шлях до поточного активного SYSVOL посилається спільна програма NETLOGON і може визначатися за іменем значення SysVol у такому підрозділі:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Виключіть із цієї папки такі файли та всі її вкладені папки:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Аас

  • *.inf

  • Scripts.ini

  • *.Модулі

  • Oscfilter.ini

• Вимкніть сканування файлів у базі даних DFSR і робочих папках. Розташування вказано в такому підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path У цьому підрозділі реєстру "Шлях" – це шлях ДО XML-файлу, який містить ім'я групи реплікації. У цьому прикладі шлях міститиме "Том доменної системи".
  
  Розташування за промовчанням – це прихована папка:

       %systemdrive%\System Volume Information\DFSR
  
  Виключіть із цієї папки такі файли та всі її вкладені папки:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.журнал

  • Fsr*.jrs

  • Tmp.edb

  Нотатка Якщо одна з цих папок або файлів переміщується або поміщається в інше розташування, скануйте або виключайте еквівалентний елемент.

Вимкнення сканування файлів DFS

Ті самі ресурси, виключені для набору реплік SYSVOL, також слід виключити, якщо DFSR використовується для реплікації спільних ресурсів, зіставлених із кореневим об'єктом DFS і об'єктами зв'язування на комп'ютерах Windows Server-членах або контролерах домену.

Вимкнення сканування файлів DHCP

За промовчанням DHCP-файли, які слід виключити присутні в такій папці на сервері:

     %systemroot%\System32\DHCP

Виключіть із цієї папки такі файли та всі її вкладені папки:

• *.mdb

• *.Пет

• *.журнал

• *.chk

• *.edb

Розташування файлів DHCP можна змінити. Щоб визначити поточне розташування файлів DHCP на сервері, перевірте параметри DatabasePath, DhcpLogFilePath і BackupDatabasePath , указані в такому підрозділі реєстру:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Вимкнення сканування DNS-файлів

За замовчуванням служба DNS використовує таку папку:

%systemroot%\System32\Dns Виключити такі файли з цієї папки та всіх її вкладених папок:

• *.журнал

• *.dns

• ЗАВАНТАЖЕННЯ

Вимкнення сканування файлів WINS

За замовчуванням WINS використовує таку папку:

     %systemroot%\System32\Wins

Виключіть із цієї папки такі файли та всі її вкладені папки:

• *.chk

• *.журнал

• *.mdb

На комп'ютерах під керуванням Hyper-V версії Windows

У деяких випадках на комп'ютерах Windows Server, на яких інстальовано роль Hyper-V, може знадобитися настроїти компонент сканування в реальному часі в антивірусному програмному забезпеченні, щоб виключити файли та цілі папки. Докладні відомості див. в цій статті бази знань:

• 961804Віртуальні машини відсутні, або під час спроби запустити або створити віртуальну машину 0x800704C8, 0x80070037 чи 0x800703E3 стається помилка

Наступні кроки

Якщо продуктивність або стабільність системи підвищено за рекомендаціями, наведеними в цій статті, зверніться до постачальника антивірусного програмного забезпечення, щоб отримати інструкції або оновити версію чи настройки антивірусного програмного забезпечення.

Нотатка Сторонній постачальник антивірусного програмного забезпечення може працювати з командою підтримки Microsoft над комерційно розумними зусиллями.

Журнал змін

 У таблиці нижче наведено основні зміни в цій статті.