Antivirus tương thích windows server

Tắt quét tệp liên quan Windows Cập nhật Tự động

• Tắt quét tệp cơ sở dữ Windows cập nhật hoặc Cập nhật Tự động (Datastore.edb). Tệp này nằm trong thư mục sau đây:

  %windir%\SoftwareDistribution\Datastore

• Tắt tính năng quét tệp nhật ký nằm trong thư mục sau đây:

  %windir%\SoftwareDistribution\Datastore\Logs Cụ thể, loại trừ các tệp sau:

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• Ký tự đại diện (*) cho biết có thể có một số tệp.

Tắt tính năng quét Bảo mật Windows tệp

• Thêm các tệp sau đây vào đường dẫn %windir%\Security\Database của danh sách loại trừ:

  • *.edb

  • *.sdb

  • *.log

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  Chú ý Nếu các tệp này không bị loại trừ, phần mềm chống vi-rút có thể ngăn chặn truy nhập thích hợp vào các tệp này và cơ sở dữ liệu bảo mật có thể bị hỏng. Việc quét các tệp này có thể ngăn không cho tệp được sử dụng hoặc có thể ngăn không cho áp dụng chính sách bảo mật cho các tệp. Không nên quét các tệp này vì phần mềm chống vi-rút có thể không coi chúng là tệp cơ sở dữ liệu độc quyền.

  Đây là những loại trừ được đề xuất. Có thể có các loại tệp khác không được bao gồm trong bài viết này cần được loại trừ.

Tắt tính năng quét các tệp liên quan Đến Chính sách Nhóm

• Thông tin đăng ký người dùng Chính sách Nhóm. Các tệp này nằm trong thư mục sau:

  %allusersprofile%\ Cụ thể, loại trừ tệp sau đây:

  NTUser.pol

• Tệp cài đặt máy khách Chính sách Nhóm. Các tệp này nằm trong thư mục sau:

  %SystemRoot%\System32\GroupPolicy\Machine\
  %SystemRoot%\System32\GroupPolicy\User\ Cụ thể, loại trừ các tệp sau:

  Registry.pol
  Registry.tmp

Tắt tính năng quét tệp hồ sơ người dùng

• Thông tin đăng ký người dùng và tệp hỗ trợ. Các tệp nằm trong thư mục sau đây:

  userprofile%\

• Cụ thể là loại trừ các tệp sau:

  NTUser.dat*

Chạy phần mềm chống vi-rút trên bộ kiểm soát miền

Vì bộ điều khiển miền cung cấp một dịch vụ quan trọng cho máy khách nên bạn phải giảm thiểu nguy cơ gián đoạn hoạt động của mình khỏi mã độc hại, khỏi phần mềm xấu hoặc vi-rút. Phần mềm chống virus là cách được chấp nhận rộng rãi để giảm nguy cơ lây nhiễm. Cài đặt và đặt cấu hình phần mềm chống vi-rút sao cho rủi ro đối với bộ điều khiển miền sẽ giảm càng nhiều càng tốt và hiệu suất sẽ bị ảnh hưởng ít nhất có thể. Danh sách sau đây chứa các đề xuất giúp bạn đặt cấu hình và cài đặt phần mềm chống vi-rút trên bộ Windows kiểm soát miền Máy chủ.

Cảnh báo Chúng tôi khuyên bạn nên áp dụng cấu hình được chỉ định sau đây cho một hệ thống kiểm tra để đảm bảo rằng trong môi trường cụ thể của bạn, hệ thống không gây ra những yếu tố không mong muốn hoặc khả năng ổn định của hệ thống. Rủi ro khi quét quá nhiều là tệp bị gắn cờ không đúng cách như đã thay đổi. Điều này khiến cho quá nhiều bản sao trong Active Directory. Nếu kiểm tra xác nhận rằng sao chép không bị ảnh hưởng bởi các đề xuất sau đây, bạn có thể áp dụng phần mềm chống vi-rút cho môi trường sản xuất.

Lưu ý Các đề xuất cụ thể từ nhà cung cấp phần mềm chống virus có thể thay thế các đề xuất trong bài viết này.

• Phần mềm chống vi-rút phải được cài đặt trên tất cả các bộ kiểm soát miền trong doanh nghiệp. Tốt nhất, hãy thử cài đặt phần mềm này trên tất cả các hệ thống máy chủ và máy khách khác có tương tác với bộ kiểm soát miền. Sẽ tối ưu hóa việc bắt được phần mềm xấu vào thời điểm sớm nhất, chẳng hạn như ở tường lửa hoặc hệ thống máy khách mà phần mềm xấu được giới thiệu. Điều này ngăn không cho phần mềm xấu tiếp cận các hệ thống cơ sở hạ tầng mà máy khách phụ thuộc.

• Sử dụng một phiên bản của phần mềm chống vi-rút được thiết kế để hoạt động với bộ điều khiển miền Active Directory và sử dụng đúng Giao diện Lập trình Ứng dụng (API) để truy nhập tệp trên máy chủ. Các phiên bản cũ hơn của hầu hết các phần mềm nhà cung cấp thay đổi không phù hợp siêu dữ liệu của tệp khi tệp được quét. Điều này sẽ khiến công cụ Dịch vụ Sao nhân bản Tệp nhận diện được thay đổi tệp và do đó lên lịch cho tệp tái tạo. Các phiên bản mới hơn ngăn sự cố này.
  Để biết thêm thông tin, hãy xem bài viết sau đây trong Cơ sở Tri thức Microsoft:

  815263Các chương trình chống vi-rút, sao lưu và tối ưu hóa đĩa tương thích với Dịch vụ Nhân bản Tệp

• Không sử dụng bộ điều khiển miền để duyệt Internet hoặc thực hiện các hoạt động khác có thể gây ra mã độc hại.

• Chúng tôi khuyên bạn nên giảm thiểu khối lượng công việc trên bộ kiểm soát miền. Khi có thể, hãy tránh sử dụng bộ kiểm soát miền trong vai trò máy chủ tệp. Điều này giúp giảm hoạt động quét virus trên các phần chia sẻ tệp và giảm thiểu chi phí hiệu suất.

• Không đặt cơ sở dữ liệu Active Directory hoặc FRS và các tệp nhật ký trên dung lượng nén của hệ thống tệp NTFS.

Tắt tính năng quét tệp liên quan đến Active Directory và Active Directory

• Loại trừ các tệp cơ sở dữ liệu NTDS chính. Vị trí của các tệp này được chỉ định trong khóa phụ của nhà đăng ký sau đây:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Vị trí mặc định là %windir%\NTds. Cụ thể là loại trừ các tệp sau:

  NTds.dit
  NTds.pat

• Loại trừ các tệp nhật ký giao dịch Active Directory. Vị trí của các tệp này được chỉ định trong khóa đăng ký phụ sau đây:

  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path   Vị trí mặc định là %windir%\NTds. Cụ thể là loại trừ các tệp sau:

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • NTds.pat

• Loại trừ các tệp trong thư mục LÀM VIỆC NTDS được chỉ định trong khóa đăng ký phụ sau đây:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Cụ thể là loại trừ các tệp sau:

  • Temp.edb

  • Edb.chk

Tắt tính năng quét tệp SYSVOL

• Tắt quét tệp trong thư mục Làm việc của Dịch vụ Nhân bản Tệp (FRS) được chỉ định trong khóa đăng ký phụ sau đây:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Vị trí mặc định là %windir%\NTfrs. Loại trừ các tệp sau tồn tại trong thư mục:

  • edb.chk trong thư mục %windir%\NTfrs\jet\sys

  • NTfrs.jdb trong thư mục %windir%\NTfrs\jet

  • *.log trong thư mục %windir%\NTfrs\jet\log

• Tắt tính năng quét tệp trong Các tệp Nhật ký Cơ sở dữ liệu FRS được chỉ định trong khóa đăng ký phụ sau đây:

  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Vị trí mặc định là %windir%\NTfrs. Loại trừ các tệp sau.

  Lưu ý Cài đặt loại trừ tệp cụ thể được ghi lại ở đây để hoàn chỉnh. Theo mặc định, các thư mục này chỉ cho phép truy nhập vào Hệ thống và Người quản trị. Vui lòng xác minh rằng đã sử dụng đúng bảo vệ. Những thư mục này chỉ chứa các tệp cấu phần làm việc cho FRS và DFSR.

  • Edb*.log (nếu khóa đăng ký không được đặt)

  • FRS Working Dir\Jet\Log\Edb*.jrs

• Tắt tính năng quét thư mục Định dạng NTFRS như được chỉ định trong khóa phụ của sổ đăng ký sau đây:

  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage Theo mặc định, staging sử dụng vị trí sau đây:

  %systemroot%\Sysvol\Staging areas

• Tắt tính năng quét thư mục Đặt thẻ DFSR như được chỉ định trong thuộc tính msDFSR-StagingPath của đối tượng CN=Đăng ký SYSVOL,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName trong AD DS. Thuộc tính này chứa đường dẫn đến vị trí thực tế mà sao nhân bản DFS sử dụng để định giai đoạn tệp. Cụ thể là loại trừ các tệp sau:

  • Ntfrs_cmp*.*

  • *.frx

• Tắt tính năng quét tệp trong thư mục Sysvol\Sysvol hoặc SYSVOL_DFSR\Sysvol.

  Vị trí hiện tại của thư mục Sysvol\Sysvol hoặc SYSVOL_DFSR\Sysvol và tất cả các thư mục con là mục tiêu phân tách lại hệ thống tệp của gốc tập bản sao. Các thư mục Sysvol\Sysvol và SYSVOL_DFSR\Sysvol sử dụng các vị trí sau đây theo mặc định:

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  Đường dẫn đến SYSVOL hiện hoạt được tham chiếu bởi chia sẻ NETLOGON và có thể được xác định bởi tên giá trị SysVol trong khóa phụ sau đây:

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• Loại trừ các tệp sau khỏi thư mục này và mọi thư mục con của nó:

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• Tắt tính năng quét tệp trong THƯ mục FRS Cài đặt trước nằm ở vị trí sau:

  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory Thư mục Cài đặt trước luôn mở khi FRS đang chạy.

  Loại trừ các tệp sau khỏi thư mục này và mọi thư mục con của nó:

  • NTfrs*.*

• Tắt tính năng quét tệp trong cơ sở dữ liệu DFSR và các thư mục đang làm việc. Vị trí được xác định bởi khóa đăng ký phụ sau đây:

  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path Trong khóa phụ của sổ đăng ký này, "Đường dẫn" là đường dẫn của tệp XML nêu tên Nhóm Tái tạo. Trong ví dụ này, đường dẫn sẽ chứa "Số lượng hệ thống miền".

  Vị trí mặc định là thư mục ẩn sau đây:

  %systemdrive%\System Volume Information\DFSR Loại trừ các tệp sau khỏi thư mục này và tất cả các thư mục con của nó:

  Nếu bất kỳ thư mục hoặc tệp nào trong số này được di chuyển hoặc đặt vào một vị trí khác, hãy quét hoặc loại trừ thành phần tương đương.

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.log

  • Fsr*.jrs

  • Tmp.edb

Tắt tính năng quét tệp DFS

Cũng phải loại trừ các tài nguyên tương tự mà chúng được loại trừ cho bản sao SYSVOL khi sử dụng FRS hoặc DFSR để sao chép các phần chia sẻ được ánh xạ đến gốc DFS và mục tiêu liên kết trên Windows Server 2008 R2 hay dựa trên Windows Server 2008 hoặc bộ điều khiển miền.

Tắt tính năng quét tệp DHCP

Theo mặc định, các tệp DHCP cần được loại trừ sẽ hiện diện trong thư mục sau đây trên máy chủ:

%systemroot%\System32\DHCP Loại trừ các tệp sau đây khỏi thư mục này và tất cả các thư mục con của nó:

• *.mdb

• *.pat

• *.log

• *.chk

• *.edb

Có thể thay đổi vị trí của tệp DHCP. Để xác định vị trí hiện tại của các tệp DHCP trên máy chủ, hãy kiểm tra các tham số DatabasePath, DhcpLogFilePath và BackupDatabasePath được chỉ định trong khóa phụ của sổ đăng ký sau đây:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Tắt tính năng quét tệp DNS

Theo mặc định, DNS sử dụng thư mục sau đây:

%systemroot%\System32\Dns Loại trừ các tệp sau khỏi thư mục này và tất cả các thư mục con của nó:

• *.log

• *.dns

• BOOT

Tắt tính năng quét tệp WINS

Theo mặc định, WINS sử dụng thư mục sau đây:

%systemroot%\System32\Wins
  Loại trừ các tệp sau khỏi thư mục này và mọi thư mục con của nó:

• *.chk

• *.log

• *.mdb

Đối với máy tính chạy phiên bản Hyper-V dựa trên Hyper-V của Windows

Trong một số kịch bản, trên một máy tính dựa trên Windows Server 2008 có vai trò Hyper-V được cài đặt hoặc trên Microsoft Hyper-V Server 2008 hoặc trên máy tính dựa trên Microsoft Hyper-V Server 2008 R2, có thể bạn cần cấu hình quét theo thời gian thực trong phần mềm chống vi-rút để loại trừ các tệp và toàn bộ thư mục. Để biết thêm thông tin, hãy xem bài viết sau đây trong Cơ sở Kiến thức Microsoft:

• 961804Máy ảo bị thiếu hoặc lỗi xuất 0x800704C8, 0x80070037 hoặc 0x800703E3 xảy ra khi bạn tìm cách khởi động hoặc tạo máy ảo

Các bước tiếp theo

Nếu hiệu suất hệ thống hoặc tính ổn định của bạn được cải thiện theo các đề xuất được đưa ra trong bài viết này, hãy liên hệ với nhà cung cấp phần mềm chống vi-rút của bạn để biết hướng dẫn hoặc để biết phiên bản hoặc thiết đặt cập nhật của phần mềm chống vi-rút.

Chú ý  Nhà cung cấp chương trình chống vi-rút của bên thứ ba sẽ có thể làm việc với nhóm Dịch vụ và Hỗ trợ Khách hàng của Microsoft (CSS) trong một nỗ lực thương mại hợp lý.

Lịch sử thay đổi

 Bảng sau đây tóm tắt một số thay đổi quan trọng nhất đối với chủ đề này.