Source Microsoft [en] : Virus scanning recommendations for computers that are running Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista, or Windows 7
Un article Microsoft qui s'est vu contester, plus d'information dans cet article : Un éditeur d'antivirus conteste des recommandations faites par Microsoft
Cet article contient des informations sur la modification du Registre. Sauvegardez le Registre avant de le modifier.
Démarrer >> Exécuter >> taper "regedit" >> puis entrée >> cliquer sur l'icône Poste de travail >> fichier >> exporter >> Choisir un emplacement et un nom pour le fichier
Pour restaurer la sauvegarde double-cliquez sur le fichier et acceptez.
N'analysez pas les fichiers et les dossiers ci-dessous. Ces fichiers ne courent aucun risque d'infection. Si vous analysez ces fichiers, de sérieux problèmes de performances peuvent se produire en raison du verrouillage des fichiers. Lorsqu'un ensemble spécifique de fichiers est identifié par son nom, excluez uniquement ces fichiers à la place du dossier complet. Parfois, le dossier complet doit être exclu. N'excluez aucune de ces extensions de nom de fichier. Par exemple, n'excluez aucun fichier présentant l'extension *.dit. Microsoft n'a aucun contrôle sur les autres fichiers qui peuvent utiliser les mêmes extensions que les fichiers ci-dessous.
Microsoft Windows Update ou les fichiers en relation avec la mise à jour automatique
- Fichier de base de données de Windows Update ou de la fonctionnalité Mises à jour automatiques. Ce fichier se trouve dans le dossier suivant :%windir%\SoftwareDistribution\Datastore
Excluez le fichier Datastore.edb.
- Fichiers du journal des transactions. Ces fichiers se trouvent dans le dossier suivant :
%windir%\SoftwareDistribution\Datastore\Logs
Excluez les fichiers suivants :
Edb*.log
* : Remarque Le caractère générique indique la présence possible de plusieurs fichiers.
Res1.log. Le fichier est nommé Edbres00001.jrs pour Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2.
Res2.log. Le fichier est nommé Edbres00002.jrs pour Windows Vista, Windows 7, Windows Server 2008, and Windows Server 2008 R2.
Edb.chk
Tmp.edb
Les fichiers suivant contenus dans le dossier %windir%\security devraient être ajoutés à la liste d'exclusion:
*.edb
*.sdb
*.log
*.chk
Remarque : Si ces fichiers ne sont pas exclus, les bases de données de sécurité sont généralement corrompus, et la stratégie de groupe ne peuvent pas être appliquées lorsque vous analysez le dossier. Plus précisément, vous devez exclure les fichiers suivants:
Edb.chk
Edb.log
*.log
Security.sdb dans le dossier :\windows\security\database
Fichiers en relation avec les stratégies de groupe
* Registre de stratégies de groupe utilisateur. Ces fichiers sont localisés dans le dossier suivant:%allusersprofile%\
Excluez les fichiers suivants :
NTUser.pol
* Fichier client de paramètre de stratégie de groupe. Ces fichiers sont localisés dans le dossier suivant:
%Systemroot%\system32\GroupPolicy\
Excluez les fichiers suivants :
registry.pol
Pour les contrôleurs de domaine Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 et Windows 2000
Comme les contrôleurs de domaine fournissent un service critique aux clients, le risque d'interruption de leurs activités provenant du code malveillant d'un virus doit être réduit. Le logiciel antivirus est la méthode généralement acceptée pour réduire le risque d'infection par un virus. Installez et configurez le logiciel antivirus afin que le risque sur le contrôleur de domaine soit réduit au maximum et que les performances soient affectées au minimum. La liste suivante contient des recommandations vous permettant de configurer et d'installer le logiciel antivirus sur un contrôleur de domaine Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 et Windows 2000.Avertissement : Microsoft vous conseille d'appliquer la configuration spécifiée ci-dessous sur une configuration de test pour vous assurer qu'elle n'introduit pas de facteurs inattendus, ni qu'elle compromette la stabilité du système dans votre environnement spécifique. Le risque lié à un nombre excessif d'analyses entraîne l'indication incorrecte de modification des fichiers, provoquant une réplication excessive dans Active Directory. Si les tests vérifient que cette réplication n'est pas affectée par les recommandations suivantes, vous pouvez appliquer le logiciel antivirus à l'environnement de production.
Remarque : Les recommandations spécifiques des fournisseurs de logiciels antivirus peuvent remplacer les recommandations de cet article.
- Le logiciel antivirus doit être installé sur tous les contrôleurs de domaine de l'entreprise. En premier lieu, essayez d'installer ce logiciel sur tous les autres systèmes serveur et client qui doivent interagir avec les contrôleurs de domaine. Il est souhaitable d'intercepter le virus au point le plus avancé, tel qu'au niveau du pare-feu ou du système client, là où le virus s'introduit en premier. Cela l'empêche définitivement d'atteindre les systèmes d'infrastructure dont les clients dépendent.
- Utilisez une version de logiciel antivirus qui est conçue pour fonctionner avec les contrôleurs de domaine Active Directory et qui utilise les API (Application Programming Interfaces) correctes pour accéder aux fichiers sur le serveur. Les versions antérieures de la plupart des logiciels de constructeur modifient de façon incorrecte les métadonnées de fichier lors de leur analyse, entraînant la reconnaissance d'une modification de fichier par le moteur Service de réplication de fichiers (FRS, File Replication Service) et, par conséquent, la planification de la réplication du fichier. Les dernières versions empêchent ce problème.
- N'utilisez pas de contrôleur de domaine pour parcourir le Web ou pour exécuter toutes les autres activités qui peuvent introduire un code malveillant.
- Lorsque c'est possible, n'utilisez pas le contrôleur de domaine comme serveur de partage de fichiers. Les logiciels d'analyse antivirus doivent être exécutés sur tous les fichiers dans ces partages et cela peut appliquer une charge peu satisfaisante sur le processeur et les ressources mémoire du serveur.
- Ne stockez ni Active Directory, ni la base de données FRS, ni les fichiers journaux sur les volumes compressés du système de fichiers NTFS.
- N'analysez pas les fichiers et les dossiers suivants. Ces fichiers ne risquent pas d'être infectés et si vous les ajoutez, cela peut provoquer de graves problèmes de performances à cause du verrouillage de fichier. Lorsqu'un jeu spécifique de fichiers est identifié par son nom, excluez uniquement ces fichiers au lieu du dossier complet. Parfois, le dossier complet doit être exclu. N'excluez pas tous ceux qui sont basés sur l'extension de nom de fichier. Par exemple, n'excluez pas tous les fichiers avec une extension *.dit. Microsoft ne dispose d'aucun contrôle sur les autres fichiers qui peuvent utiliser la même extension que ceux qui sont indiqués ici.
Active Directory et les fichiers relatifs à Active Directory :
- Principaux fichiers de base de données NTDS. L'emplacement de ces fichiers est spécifié dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
L'emplacement par défaut est %windir%\ntds. Excluez les fichiers suivants :
Ntds.dit
Ntds.pat
- Fichiers du journal des transactions Active Directory. L'emplacement de ces fichiers est spécifié dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
L'emplacement par défaut est %windir%\ntds. Excluez les fichiers suivants :
EDB*.log (le caractère générique indique la présence possible de plusieurs fichiers)
Res1.log
Res2.log
Ntds.pat
Remarque Microsoft Windows Server 2003 n'utilise plus le fichier Ntds.pat.
- Le dossier de travail NTDS qui est spécifié dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
Excluez les fichiers suivants :
Temp.edb
Edb.chk
Fichiers SYSVOL :
- Le dossier de travail du service de réplication de fichiers (FRS) qui est spécifié dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
Excluez les fichiers suivants :
FRS Working Dir\jet\sys\edb.chk
FRS Working Dir\jet\ntfrs.jdb
FRS Working Dir\jet\log\*.log
- Les fichiers journaux de la base de données FRS qui se trouvent dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\DB Log File Directory
L'emplacement par défaut est %windir%\ntfrs. Excluez les fichiers suivants :
FRS Working Dir\jet\log\*.log (si la clé de Registre n'est pas définie)
FRS Working Dir\jet\log\edbres00001.jrs (Windows Server 2008, and Windows Server 2008 R2)
FRS Working Dir\jet\log\edbres00002.jrs (Windows Server 2008, and Windows Server 2008 R2)
DB Log File Directory\log\*.log (si la clé de Registre est définie)
- Le dossier intermédiaire qui est spécifié dans la clé de Registre suivante et tous les sous-dossiers du dossier intermédiaire :
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
L'emplacement actuel du dossier intermédiaire et de tous ses sous-dossiers est la cible d'analyse du système de fichiers des dossiers intermédiaires du jeu de réplicas. Valeurs par défaut intermédiaires à l'emplacement suivant :
%racine_système%\sysvol\staging areas
L'emplacement actuel du dossier SYSVOL\SYSVOL et de tous ses sous-dossiers est la cible d'analyse du système de fichiers de la racine du jeu de réplicas. Le dossier SYSVOL\SYSVOL par défaut à l'emplacement suivant :
%racine_système%\sysvol\sysvol
- Le dossier de préinstallation FRS qui se trouve à l'emplacement suivant :
racine_réplica\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
Le dossier de préinstallation est toujours ouvert lorsque FRS est en cours d'exécution.
En résumé, la liste des dossiers ciblés et exclus d'une arborescence SYSVOL qui est placée à son emplacement par défaut ressemblerait à ce qui suit :
1. %racine_système%\sysvol Exclure
2. %racine_système%\sysvol\domain Analyser
3. %racine_système%\sysvol\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory Exclure
4. %racine_système%\sysvol\domain\Policies Analyser
5. %racine_système%\sysvol\domain\Scripts Analyser
6. %racine_système%\sysvol\staging Exclure
7. %racine_système%\sysvol\staging areas Exclure
8. %racine_système%\sysvol\sysvol Exclure
Si l'un de ces dossiers ou fichiers a été déplacé ou stocké à un emplacement différent, analysez ou excluez l'élément équivalent.
- DFS
Les mêmes ressources qui sont exclues pour un jeu de réplicas SYSVOL doivent également être exclues lorsque FRS est utilisé pour répliquer des partages qui sont mappés à la racine DFS et pour lier les cibles sur les ordinateurs membres ou les contrôleurs de domaine Windows 2000 ou Windows Server 2003.
- DHCP
Par défaut, les fichiers DHCP qui devraient être exclus sont présent dans le dossier suivant sur le serveur.
%systemroot%\System32\DHCP
L'emplacement des fichiers DHCP peuvent être changés. Pour déterminer l'emplacement courant des fichiers DHCP sur le server, vérifiez les paramètres DatabasePath, DhcpLogFilePath, et BackupDatabasePath dans la clé de registre suivante:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\DHCPServer\Parameters
For Windows Server 2008, Windows Server 2003, and Windows 2000 domain controllers
* DNS: Vous devriez exclure tous les fichiers et tous les sous-dossiers qui existent dans le dossier suivant:
%systemroot%\system32\dns
* WINS: Vous devriez exclure tous les fichiers et tous les sous-dossiers qui existent dans le dossier suivant:
%systemroot%\system32\wins