Đề xuất quét vi rút cho các máy tính doanh nghiệp đang chạy Windows hoặc Windows Server (KB822158)

Tắt tính năng quét các tệp Windows Update hoặc Cập nhật Tự động

• Tắt tính năng quét tệp cơ sở dữ liệu Windows Update hoặc Cập nhật Tự động (Datastore.edb). Tệp này nằm trong thư mục sau:

       %windir%\SoftwareDistribution\Datastore

• Tắt tính năng quét các tệp nhật ký nằm trong thư mục sau:

       %windir%\SoftwareDistribution\Datastore\Logs
  
  Cụ thể, loại trừ các tệp sau:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Ký tự đại diện (*) cho biết có thể có một số tệp.

Tắt tính năng quét tệp Bảo mật Windows của bạn

• Thêm các tệp sau vào đường dẫn %windir%\Security\Database của danh sách loại trừ:

  • *.edb

  • *.Sdb

  • *.Đăng nhập

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Lưu ý Nếu các tệp này không bị loại trừ, phần mềm chống vi rút có thể ngăn truy nhập thích hợp vào các tệp này và cơ sở dữ liệu bảo mật có thể bị hỏng. Việc quét các tệp này có thể ngăn không cho tệp được sử dụng hoặc có thể ngăn chính sách bảo mật được áp dụng cho các tệp. Không nên quét các tệp này vì phần mềm chống vi-rút có thể không xử lý tệp cơ sở dữ liệu độc quyền.
  
  Đây là các loại trừ được đề xuất. Có thể có các loại tệp khác không được bao gồm trong bài viết này nên được loại trừ.

Tắt tính năng quét các tệp chính sách nhóm liên quan đến tệp

• chính sách nhóm thông tin đăng ký của người dùng. Các tệp này nằm trong thư mục sau:

       %allusersprofile%\
  
  Cụ thể, loại trừ các tập tin sau đây:

       NTUser.pol

• chính sách nhóm cài đặt máy khách. Các tệp này nằm trong thư mục sau:

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  Cụ thể, loại trừ các tệp sau:

       Registry.pol
       Registry.tmp

Tắt tính năng quét tệp hồ sơ người dùng

• Thông tin sổ đăng ký người dùng và tệp hỗ trợ. Các tệp nằm trong thư mục sau:
  
       userprofile%\
  
  Cụ thể, loại trừ các tệp sau:
  
       NTUser.dat*

Chạy phần mềm chống vi rút trên bộ kiểm soát miền

Vì bộ kiểm soát miền cung cấp một dịch vụ quan trọng cho khách hàng, nguy cơ gián đoạn hoạt động của họ từ mã độc hại, từ phần mềm độc hại, hoặc từ một virus phải được giảm thiểu. Phần mềm chống virus là cách chấp nhận nói chung để giảm nguy cơ lây nhiễm. Cài đặt và cấu hình phần mềm chống vi-rút để giảm rủi ro cho bộ điều khiển miền càng nhiều càng tốt và hiệu suất bị ảnh hưởng càng ít càng tốt. Danh sách sau đây chứa các đề xuất để giúp bạn cấu hình và cài đặt phần mềm chống vi-rút trên bộ kiểm soát miền Windows Server.

Cảnh báo Chúng tôi khuyên bạn nên áp dụng cấu hình được chỉ định sau đây cho một hệ thống kiểm tra để đảm bảo rằng trong môi trường cụ thể của bạn, nó không giới thiệu các yếu tố không mong muốn hoặc làm tổn hại sự ổn định của hệ thống. Rủi ro khi quét quá nhiều là các tệp bị gắn cờ không phù hợp là đã thay đổi. Điều này gây ra quá nhiều nhân bản trong Active Directory. Nếu kiểm tra xác minh rằng nhân rộng không bị ảnh hưởng bởi các khuyến nghị sau đây, bạn có thể áp dụng phần mềm chống virus cho môi trường sản xuất.

Lưu ý Các đề xuất cụ thể từ các nhà cung cấp phần mềm chống vi rút có thể thay thế các đề xuất trong bài viết này.

• Phần mềm chống vi rút phải được cài đặt trên tất cả các bộ kiểm soát miền trong doanh nghiệp. Tốt nhất, hãy thử cài đặt phần mềm như vậy trên tất cả các hệ thống máy chủ và máy khách khác mà phải tương tác với bộ kiểm soát miền. Nó là tối ưu để bắt các phần mềm độc hại tại thời điểm sớm nhất, chẳng hạn như tại tường lửa hoặc tại hệ thống khách hàng nơi phần mềm độc hại được giới thiệu. Điều này ngăn chặn các phần mềm độc hại từ bao giờ đạt đến các hệ thống cơ sở hạ tầng mà các khách hàng phụ thuộc vào.

• Sử dụng phiên bản phần mềm chống vi rút được thiết kế để làm việc với bộ kiểm soát miền Active Directory và sử dụng giao diện lập trình ứng dụng (API) chính xác để truy cập tệp trên máy chủ. Các phiên bản cũ hơn của hầu hết các phần mềm nhà cung cấp thay đổi không phù hợp siêu dữ liệu của tệp khi tệp được quét. Điều này khiến công cụ dịch vụ nhân bản tệp nhận ra một sự thay đổi tập tin và do đó lịch trình tập tin sao nhân bản. Các phiên bản mới hơn ngăn chặn sự cố này.
  Để biết thêm thông tin, hãy xem bài viết sau đây trong Cơ sở Kiến thức Microsoft:

  815263Chương trình chống vi rút, sao lưu và tối ưu hóa đĩa tương thích với Dịch vụ Sao nhân bản Tệp

• Không sử dụng bộ điều khiển miền để duyệt internet hoặc thực hiện các hoạt động khác có thể gây ra mã độc hại.

• Chúng tôi khuyên bạn nên giảm thiểu khối lượng công việc trên bộ kiểm soát miền. Khi có thể, hãy tránh sử dụng bộ kiểm soát miền trong vai trò máy chủ tệp. Điều này làm giảm hoạt động quét vi rút trên chia sẻ tệp và giảm thiểu chi phí hiệu suất.

• Không đặt cơ sở dữ liệu Active Directory hoặc FRS và tệp nhật ký trên ổ đĩa nén hệ thống tệp NTFS.

Tắt tính năng quét các tệp liên quan đến Active Directory và Active Directory

• Loại trừ các tệp cơ sở dữ liệu NTDS chính. Vị trí của các tệp này được chỉ định trong khóa phụ của sổ đăng ký sau:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Vị trí mặc định là %windir%\Ntds. Cụ thể, loại trừ các tệp sau:

  • Ntds.dit

  • Ntds.pat

• Loại trừ các tệp nhật ký giao dịch Active Directory. Vị trí của các tệp này được chỉ định trong khóa phụ của sổ đăng ký sau:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Vị trí mặc định là %windir%\Ntds. Cụ thể, loại trừ các tệp sau:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• Loại trừ các tệp trong thư mục Làm việc NTDS được chỉ định trong khóa đăng ký phụ sau:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Cụ thể, loại trừ các tệp sau:

  • Temp.edb

  • Edb.chk

Tắt tính năng quét tệp SYSVOL

• Tắt tính năng quét tệp trong thư mục Làm việc của Dịch vụ Sao nhân bản Tệp (FRS) được chỉ định trong khóa phụ của sổ đăng ký sau:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Vị trí mặc định là %windir%\Ntfrs. Loại trừ các tệp sau tồn tại trong thư mục:

  • edb.chk trong thư mục %windir%\Ntfrs\jet\sys

  • Ntfrs.jdb trong thư mục %windir%\Ntfrs\jet

  • *.log trong thư mục %windir%\Ntfrs\jet\log

• Tắt tính năng quét tệp trong tệp Nhật ký Cơ sở dữ liệu FRS được chỉ định trong khóa phụ của sổ đăng ký sau:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Vị trí mặc định là %windir%\Ntfrs. Loại trừ các tệp sau:

  • Edb*.log (nếu khóa đăng ký chưa được đặt)

  • FRS Đang làm việc Dir\Jet\Log\Edb*.jrs

• Lưu ýCác thiết đặt cho loại trừ tệp cụ thể được ghi lại ở đây để hoàn chỉnh. Theo mặc định, các thư mục này chỉ cho phép truy nhập vào Hệ thống và Người quản trị. Vui lòng xác minh rằng các tùy chọn bảo vệ chính xác có hiệu lực. Những thư mục này chỉ chứa các tệp làm việc thành phần cho FRS và DFSR.

• Tắt tính năng quét của thư mục NTFRS Staging, như được chỉ định trong khóa phụ của sổ đăng ký sau:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage Theo mặc định, sắp xếp sử dụng vị trí sau đây:

  %systemroot%\Sysvol\Staging areas

• Tắt tính năng quét của thư mục Dàn DFSR như được chỉ định trong thuộc tính msDFSR-StagingPath của đối tượng CN=Đăng ký SYSVOL,CN=Ổ đĩa Hệ thống Miền,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Bộ điều khiển Miền,DC=DomainName trong AD DS. Thuộc tính này chứa đường dẫn đến vị trí thực tế mà sao nhân bản DFS sử dụng để giai đoạn tập tin. Cụ thể, loại trừ các tệp sau:

  • Ntfrs_cmp*.*

  • *.frx

• Tắt tính năng quét tệp trong thư mục Sysvol\Sysvol hoặc thư mục SYSVOL_DFSR\Sysvol.
  
  Vị trí hiện tại của Sysvol\Sysvol hoặc SYSVOL_DFSR\Sysvol folder và tất cả các thư mục con là mục tiêu phân tách lại hệ thống tệp của gốc tập hợp bản sao. Các thư mục Sysvol\Sysvol và SYSVOL_DFSR\Sysvol sử dụng các vị trí sau theo mặc định:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Đường dẫn đến SYSVOL hiện hoạt được tham chiếu bởi chia sẻ NETLOGON và có thể được xác định bằng tên giá trị SysVol trong khóa phụ sau đây:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Loại trừ các tệp sau khỏi thư mục này và tất cả các thư mục con của nó:

  • *.Adm

  • *.Admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.Aas

  • *.Inf

  • Scripts.ini

  • *.In

  • Oscfilter.ini

• Tắt tính năng quét tệp trong thư mục Cài đặt trước FRS nằm ở vị trí sau:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  
  Thư mục Cài đặt sẵn luôn mở khi FRS đang chạy.
  
  Loại trừ các tệp sau khỏi thư mục này và tất cả các thư mục con của nó:

  • Ntfrs*.*

• Tắt tính năng quét tệp trong cơ sở dữ liệu DFSR và thư mục đang hoạt động. Vị trí được chỉ định bởi khóa đăng ký phụ sau đây:

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Trong khóa phụ của sổ đăng ký này, "Đường dẫn" là đường dẫn của tệp XML cho biết tên của Nhóm Sao nhân bản. Trong ví dụ này, đường dẫn sẽ chứa "Domain System Volume" (Ổ đĩa Hệ thống Miền).
  
  Vị trí mặc định là thư mục ẩn sau đây:

       %systemdrive%\Thông tin Dung lượng Hệ thống\DFSR
  
  Loại trừ các tệp sau khỏi thư mục này và tất cả các thư mục con của nó:

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.Đăng nhập

  • Fsr*.jrs

  • Tmp.edb

• Lưu ý Nếu bất kỳ thư mục hoặc tệp nào trong số này được di chuyển hoặc đặt vào một vị trí khác, hãy quét hoặc loại trừ thành phần tương đương.

Tắt tính năng quét tệp DFS

Các tài nguyên tương tự được loại trừ cho một SYSVOL bản sao đặt cũng phải được loại trừ khi FRS hoặc DFSR được sử dụng để sao chép cổ phiếu được ánh xạ đến gốc DFS và mục tiêu liên kết trên máy tính dựa trên Windows Server 2008 R2 hoặc Windows Server 2008 dựa trên thành viên máy tính hoặc bộ kiểm soát miền.

Tắt tính năng quét tệp DHCP

Theo mặc định, các tệp DHCP cần được loại trừ có trong thư mục sau đây trên máy chủ:

%systemroot%\System32\DHCP Loại trừ các tệp sau khỏi thư mục này và tất cả các thư mục con:

• *.Mdb

• *.Pat

• *.Đăng nhập

• *.chk

• *.edb

Vị trí của tệp DHCP có thể được thay đổi. Để xác định vị trí hiện tại của các tệp DHCP trên máy chủ, hãy kiểm tra các tham số DatabasePath, DhcpLogFilePath và BackupDatabasePath được chỉ định trong khóa phụ của sổ đăng ký sau đây:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Tắt tính năng quét tệp DNS

Theo mặc định, DNS sử dụng thư mục sau đây:

%systemroot%\System32\Dns Loại trừ các tệp sau khỏi thư mục này và tất cả các thư mục con của nó:

• *.Đăng nhập

• *.Dns

• Khởi động

Tắt tính năng quét tệp WINS

Theo mặc định, WINS sử dụng thư mục sau:

     %systemroot%\System32\Wins
Loại trừ các tệp sau khỏi thư mục này và tất cả các thư mục con của nó:

• *.chk

• *.Đăng nhập

• *.Mdb

Đối với các máy tính chạy các phiên bản Windows dựa trên Hyper-V

Trong một số trường hợp, trên máy tính dựa trên Windows Server 2008 có cài đặt vai trò Hyper-V hoặc trên Microsoft Hyper-V Server 2008 hoặc trên máy tính dựa trên Microsoft Hyper-V Server 2008 R2, có thể cần phải đặt cấu hình cấu phần quét theo thời gian thực trong phần mềm chống vi-rút để loại trừ các tệp và toàn bộ thư mục. Để biết thêm thông tin, hãy xem bài viết sau đây trong Cơ sở Kiến thức Microsoft:

• 961804Máy ảo bị thiếu hoặc lỗi 0x800704C8, 0x80070037 hoặc 0x800703E3 xảy ra khi bạn tìm cách khởi động hoặc tạo máy ảo

Các bước tiếp theo

Nếu hiệu suất hoặc độ ổn định của hệ thống được cải thiện bởi các đề xuất được thực hiện trong bài viết này, hãy liên hệ với nhà cung cấp phần mềm chống vi-rút của bạn để biết hướng dẫn hoặc để có phiên bản hoặc cài đặt cập nhật của phần mềm chống vi-rút.

Lưu ý Nhà cung cấp phần mềm chống vi rút bên thứ ba của bạn có thể làm việc với nhóm Hỗ trợ của Microsoft trong một nỗ lực hợp lý về mặt thương mại.

Lịch sử thay đổi

 Bảng sau đây tóm tắt một số thay đổi quan trọng nhất đối với chủ đề này.