Рекомендації щодо сканування вірусів на корпоративних комп'ютерах під керуванням Windows або Windows Server (KB822158)

Вимкнення сканування файлів Windows Update або автоматичного оновлення

• Вимкніть сканування файлу бази даних Windows Update або автоматичного оновлення (Datastore.edb). Цей файл міститься в такій папці:

       %windir%\SoftwareDistribution\Datastore

• Вимкніть сканування файлів журналу, розташованих у такій папці:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Зокрема, виключіть такі файли:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Символ узагальнення (*) указує на те, що може бути кілька файлів.

Вимкнення сканування файлів Безпека у Windows

• Додайте такі файли до %windir%\Security\Database шляху до списку винятків:

  • *.Edb

  • *.sdb

  • *.Журналу

  • *.Chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Нотатка Якщо ці файли не виключено, антивірусне програмне забезпечення може перешкоджати належному доступу до цих файлів, а бази даних безпеки можуть пошкодитися. Сканування цих файлів може перешкоджати використанню файлів або може завадити застосуванню політики безпеки до файлів. Ці файли не слід сканувати, оскільки антивірусне програмне забезпечення може неправильно розглядати їх як власні файли баз даних.
  
  Це рекомендовані винятки. У цій статті можуть бути інші типи файлів, які не слід виключати.

Вимкнення сканування файлів, пов'язаних із Групова політика

• Групова політика відомості про реєстр користувачів. Ці файли розташовано в такій папці:

       %allusersprofile%\
  
  Зокрема, виключіть такий файл:

       NTUser.pol

• Групова політика файли параметрів клієнта. Ці файли розташовано в такій папці:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Зокрема, виключіть такі файли:

       Registry.pol
       Registry.tmp

Вимкнення сканування файлів профілів користувачів

• Відомості про реєстр користувачів і допоміжні файли. Файли розташовано в такій папці:
  
       ім'я_профілю_користувача%\
  
  Зокрема, виключіть такі файли:
  
       NTUser.dat*

Запуск антивірусного програмного забезпечення на контролерах домену

Оскільки контролери домену надають клієнтам важливу послугу, ризик порушення їхньої діяльності від зловмисного коду, зловмисного програмного забезпечення або вірусу має бути згорнуто. Антивірусне програмне забезпечення – загальноприйнятий спосіб знизити ризик зараження. Інсталюйте та настройте антивірусне програмне забезпечення, щоб максимально знизити ризик для контролера домену та максимально зменшити продуктивність. У списку нижче наведено рекомендації, які допоможуть настроїти та інсталювати антивірусне програмне забезпечення на контролері домену Windows Server.

Попередження Ми радимо застосувати вказану нижче конфігурацію до тестової системи, щоб переконатися, що у вашому конкретному середовищі вона не вводить неочікуваних факторів і не ставить під загрозу стабільність системи. Ризик від завеликого сканування полягає в тому, що файли позначено як змінені неналежним чином. Це призводить до забагато реплікації в Active Directory. Якщо перевірка перевіряє, чи реплікація не впливає на наведені нижче рекомендації, ви можете застосувати антивірусне програмне забезпечення до робочого середовища.

Примітка Конкретні рекомендації від постачальників антивірусного програмного забезпечення можуть заміняти рекомендації, наведені в цій статті.

• Антивірусне програмне забезпечення має бути інстальовано на всіх контролерах домену підприємства. В ідеалі спробуйте інсталювати таке програмне забезпечення на всіх інших серверних і клієнтських системах, які повинні взаємодіяти з контролерами домену. Оптимально відловлювати шкідливе програмне забезпечення найраніше, наприклад у брандмауері або в клієнтській системі, де з'явився шкідливе програмне забезпечення. Це запобігає досягненню зловмисних програм у системах інфраструктури, від яких залежать клієнти.

• Використовуйте версію антивірусного програмного забезпечення, призначену для роботи з контролерами домену Active Directory, і яка використовує правильні інтерфейси прикладних програм (API) для доступу до файлів на сервері. Попередні версії більшості програмного забезпечення постачальника неналежним чином змінюють метадані файлу під час сканування файлу. Через це обробник служби реплікації файлів розпізнає зміну файлу, а тому планує файл для реплікації. Нові версії перешкоджають цій проблемі.
  Докладні відомості див. в цій статті в базі знань Microsoft Knowledge Base:

  815263Антивірусні програми, резервне копіювання та оптимізація диска, сумісні зі службою реплікації файлів

• Не використовуйте контролер домену для перегляду веб-сторінок або для виконання інших дій, які можуть представляти зловмисний код.

• Радимо звести до мінімуму навантаження на контролерах домену. За можливості не використовуйте контролери домену в ролі файлового сервера. Це знижує кількість дій із сканування вірусів у спільних файлах і зменшує витрати на продуктивність.

• Не розміщуйте файли бази даних Active Directory або FRS і файли журналів у стиснутих томах файлової системи NTFS.

Вимкнення сканування файлів, пов'язаних зі службою Active Directory та Active Directory

• Виключити основні файли бази даних NTDS. Розташування цих файлів указано в такому підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Розташування за промовчанням: %windir%\Ntds. Зокрема, виключіть такі файли:

  • Ntds.dit

  • Ntds.pat

• Виключіть файли журналу транзакцій Active Directory. Розташування цих файлів указано в такому підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Розташування за промовчанням: %windir%\Ntds. Зокрема, виключіть такі файли:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Виключіть файли в робочій папці NTDS, указаній у підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Зокрема, виключіть такі файли:

  • Temp.edb

  • Edb.chk

Вимкнення сканування файлів SYSVOL

• Вимкніть сканування файлів у робочій папці служби реплікації файлів (FRS), указаній у підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Розташування за промовчанням: %windir%\Ntfrs. Виключіть такі файли, які містяться в папці:

  • edb.chk у папці %windir%\Ntfrs\jet\sys

  • Ntfrs.jdb в папці %windir%\Ntfrs\jet

  • *.увійдіть у папку %windir%\Ntfrs\jet\log

• Вимкніть сканування файлів у файлах журналу баз даних FRS, указаних у підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Розташування за промовчанням: %windir%\Ntfrs. Виключіть такі файли:

  • Edb*.log (якщо розділ реєстру не встановлено)

  • FRS Working Dir\Jet\Log\Edb*.jrs

• ПриміткаПараметри для певних винятків файлів описані тут для повноти. За замовчуванням ці папки дозволяють доступ лише до системних і адміністраторів. Переконайтеся, що використовуються правильні засоби захисту. Ці папки містять лише робочі файли компонентів для FRS і DFSR.

• Вимкніть сканування NTFRS проміжної папки, як зазначено в підрозділі реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage За замовчуванням у проміжному режимі використовується таке розташування:

  %systemroot%\Sysvol\Проміжні області

• Вимкніть сканування проміжної папки DFSR, як зазначено в атрибуті msDFSR-StagingPath об'єкта CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName у AD DS. Цей атрибут містить шлях до фактичного розташування, яке реплікація DFS використовує для демонстрації файлів. Зокрема, виключіть такі файли:

  • Ntfrs_cmp*.*

  • *.frx

• Вимкніть сканування файлів у папці Sysvol\Sysvol або папці SYSVOL_DFSR\Sysvol.
  
  Поточне розташування папки Sysvol\Sysvol або SYSVOL_DFSR\Sysvol, а всі вкладені папки – це цільовий об'єкт файлової системи для набору реплік. Папки Sysvol\Sysvol і SYSVOL_DFSR\Sysvol за замовчуванням використовують такі розташування:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  На шлях до поточного активного SYSVOL посилається спільна програма NETLOGON і може визначатися за іменем значення SysVol у такому підрозділі:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Виключіть із цієї папки такі файли та всі її вкладені папки:

  • *.Adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Аас

  • *.Inf

  • Scripts.ini

  • *.Модулі

  • Oscfilter.ini

• Вимкніть сканування файлів у папці FRS Preinstall, розташованій у такому розташуванні:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  Папка Preinstall завжди відкривається, коли запущено FRS.
  
  Виключіть із цієї папки такі файли та всі її вкладені папки:

  • Ntfrs*.*

• Вимкніть сканування файлів у базі даних DFSR і робочих папках. Розташування визначається таким підрозділом реєстру:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path У цьому підрозділі реєстру "Шлях" – це шлях ДО XML-файлу, який вказує ім'я групи реплікації. У цьому прикладі шлях міститиме "Том доменної системи".
  
  Розташування за промовчанням – це прихована папка:

       %systemdrive%\System Volume Information\DFSR
  
  Виключіть із цієї папки такі файли та всі її вкладені папки:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.Журналу

  • Fsr*.jrs

  • Tmp.edb

• Нотатка Якщо одна з цих папок або файлів переміщується або поміщається в інше розташування, скануйте або виключайте еквівалентний елемент.

Вимкнення сканування файлів DFS

Ті самі ресурси, виключені для набору реплік SYSVOL, також слід виключати, коли FRS або DFSR використовується для реплікації спільних ресурсів, зіставлених із кореневим об'єктом DFS і об'єктами зв'язування на комп'ютерах або контролерах домену під керуванням Windows Server 2008 R2 або Windows Server 2008.

Вимкнення сканування файлів DHCP

За промовчанням DHCP-файли, які слід виключити присутні в такій папці на сервері:

%systemroot%\System32\DHCP Виключити такі файли з цієї папки та всіх її вкладених папок:

• *.Mdb

• *.Пет

• *.Журналу

• *.Chk

• *.Edb

Розташування файлів DHCP можна змінити. Щоб визначити поточне розташування файлів DHCP на сервері, перевірте параметри DatabasePath, DhcpLogFilePath і BackupDatabasePath , указані в такому підрозділі реєстру:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Вимкнення сканування DNS-файлів

За замовчуванням служба DNS використовує таку папку:

%systemroot%\System32\Dns Виключити такі файли з цієї папки та всіх її вкладених папок:

• *.Журналу

• *.Dns

• ЗАВАНТАЖЕННЯ

Вимкнення сканування файлів WINS

За замовчуванням WINS використовує таку папку:

     %systemroot%\System32\Wins
Виключіть із цієї папки такі файли та всі її вкладені папки:

• *.Chk

• *.Журналу

• *.Mdb

На комп'ютерах під керуванням Hyper-V версії Windows

У деяких випадках на комп'ютері під керуванням Windows Server 2008, на якому інстальовано роль Hyper-V або Microsoft Hyper-V Server 2008 або комп'ютері під керуванням Microsoft Hyper-V Server 2008 R2, може знадобитися настроїти компонент сканування в реальному часі в антивірусному програмному забезпеченні, щоб виключити файли та цілі папки. Докладні відомості див. в цій статті в базі знань Microsoft Knowledge Base:

• 961804Віртуальні машини відсутні, або під час спроби запустити або створити віртуальну машину 0x800704C8, 0x80070037 чи 0x800703E3 стається помилка

Наступні кроки

Якщо продуктивність або стабільність системи підвищено за рекомендаціями, наведеними в цій статті, зверніться до постачальника антивірусного програмного забезпечення, щоб отримати інструкції або оновити версію чи настройки антивірусного програмного забезпечення.

Нотатка Сторонній постачальник антивірусного програмного забезпечення може працювати з командою підтримки Microsoft над комерційно обґрунтованими зусиллями.

Журнал змін

 У таблиці нижче наведено деякі найважливіші зміни в цій статті.