Настройка исключений для антивирусного ПО

В ходе настройки политик управления клиентами любого антивирусного ПО необходимо определять список каталогов, имён процессов или даже расширений фалов, которые должны исключаться из Real-Time сканирования. Постараюсь собрать в одном месте информацию о рекомендуемых параметрах исключений и по мере необходимости буду его корректировать.  Стоит отметить, что список составлен исходя из приложений, которые эксплуатируются в моём рабочем окружении. Список разделен по основным категориям сервисов и там где возможно есть ссылки на официальные рекомендации производителей ПО. Во всех случаях подразумевается что программное обеспечение установлено в каталоги «по умолчанию».

Контроллеры домена AD

NTDS database file	%windir%\ntds\NTDS.dit
AD transaction log files	%windir%\ntds\EDB*.log %windir%\ntds\RES1.log %windir%\ntds\RES2.log
NTDS Working folder	%windir%\ntds\TEMP.edb %windir%\ntds\EDB.chk
FRS Working Directory files	%windir%\ntfrs\jet\sys\edb.chk %windir%\ntfrs\jet\ntfrs.jdb %windir%\ntfrs\jet\log\*.log
FRS Replica_root files	%windir%\sysvol\domain
Staging directory	%windir%\sysvol\staging\domain %windir%\sysvol\staging areas
FRS Preinstall directory	%windir%\sysvol\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\

Источник: Active Directory Directory Service Product Operations Guide

Сервера на базе с ОС Windows 2000-2008 с распространенными серверными ролями
Cluster Service files	%QuorumDrive%\MSCS\ %SystemRoot%\Cluster\
Windows Update files	%windir%\SoftwareDistribution\Datastore\*.edb %windir%\SoftwareDistribution\Datastore\Logs\*.log %windir%\SoftwareDistribution\Datastore\Logs\*.chk %windir%\SoftwareDistribution\Datastore\Logs\*.edb
Windows Security files	%windir%\Security\Database\
Group Policy related files	%Systemroot%\System32\GroupPolicy\
DHCP files	%SystemRoot%\system32\dhcp\*.chk %SystemRoot%\system32\dhcp\*.edb %SystemRoot%\system32\dhcp\*.jrs %SystemRoot%\system32\dhcp\*.log %SystemRoot%\system32\dhcp\dhcp.mdb %SystemRoot%\system32\dhcp\dhcp.pat
DNS files	%systemroot%\System32\Dns\*.dns %systemroot%\System32\Dns\*.log
WINS files	%systemroot%\System32\Wins\
CA files	%SystemRoot%\system32\CatRoot2\*.edb %SystemRoot%\system32\CatRoot2\*.chk %SystemRoot%\system32\CatRoot2\*.log %SystemRoot%\system32\CatRoot2\*.jrs
TS/RDS Licensing files	%SystemRoot%\System32\LServer\*.chk %SystemRoot%\System32\LServer\*.edb %SystemRoot%\System32\LServer\*.log %SystemRoot%\System32\LServer\*.tmp %SystemRoot%\System32\LServer\*.jrs
Print Service files	%SystemRoot%\system32\spool\PRINTERS\*.shd %SystemRoot%\system32\spool\PRINTERS\*.spl

Источник: Virus scanning recommendations for computers that are running currently supported versions of Windows

 

Сервера Microsoft Exchange Server
Mailbox/Clustered Mailbox server role	%ProgramFiles%\Microsoft\Exchange Server\Mailbox\ %ProgramFiles%\Microsoft\Exchange Server\TransportRoles\Logs\                                    %ProgramFiles%\Microsoft\Exchange Server\Logging\ %ProgramFiles%\Microsoft\Exchange Server\ExchangeOAB\ %SystemRoot%\System32\Inetsr\ %ProgramFiles%\Microsoft\Exchange Server\Working\OleConverter\ %windir%\Cluster\
Hub/Edge Transport server role	%ProgramFiles%\Microsoft\Exchange Server\TransportRoles\Logs\ %ProgramFiles%\Microsoft\Exchange Server\TransportRoles\Pickup\ %ProgramFiles%\Microsoft\Exchange Server\TransportRoles\Replay\ %ProgramFiles%\Microsoft\Exchange Server\TransportRoles\Data\Queue\ %ProgramFiles%\Microsoft\Exchange Server\TransportRoles\SenderReputation\ %ProgramFiles%\Microsoft\Exchange Server\TransportRoles\IpFilter\ %ProgramFiles%\Microsoft\Exchange Server\Working\OleConverter\ %ProgramFiles%\Microsoft\Exchange Server\TransportRoles\Data\Adam\
Client Access server role	%ProgramFiles%\Microsoft\Exchange Server\ClientAccess\
Unified Messaging server role	%ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\grammars\ %ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\Prompts\ %ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\voicemail\ %ProgramFiles%\Microsoft\Exchange Server\UnifiedMessaging\badvoicemail\
File Name Extension Exclusions	*.config *.dia *.wsb *.chk *.log *.edb *.jrs *.que *.lzx *.ci *.wid *.dir *.000 *.001 *.002 *.cfg *.grxml
Microsoft ForeFront Security for Exchange Server	%ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Archive\ %ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Quarantine\ %ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\Engines\ %ProgramFiles%\Microsoft ForeFront Security\Exchange Server\Data\
Microsoft Forefront Protection 2010 for Exchange Server	%ProgramFiles(x86)%\Microsoft Forefront Protection for Exchange Server\ %ProgramFiles(x86)%\Microsoft Forefront Protection for Exchange Server\Data\ %ProgramFiles(x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\

Источник: File-Level Antivirus Scanning on Exchange 2007

 

Сервера с компонентами Internet Information Server (IIS)
IIS Temporary Compressed Files	%SystemRoot%\IIS Temporary Compressed Files\ %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files\

Источник: A 0-byte file may be returned when compression is enabled on a server that is running IIS

 

Сервера Microsoft Internet Security and Acceleration (ISA) Server
ISA Server Folders	%ProgramFiles%\Microsoft ISA Server\ %ProgramFiles%\ISA Server\Adam Data\ %ProgramFiles%\ISA Server\ISA logs\
ISA Server processes	dsamain.exe wspsrv.exe mspadmin.exe isastg.exe w3prefch.exe sqlsvr.exe

Источник: Considerations when using antivirus software on ISA Server

 

Сервера Microsoft Forefront Threat Management Gateway
Microsoft Forefront TMG working folder	%ProgramFiles%\Microsoft Forefront Threat Management Gateway\
Microsoft Forefront TMG cache files	*.cdat

 

Сервера баз данных
SQL Server data/backup files	*.mdf *.ldf *.ndf *.bak *.trn
Oracle databases files	*.ora *.ctl
Clipper, dBase, FoxPro, etc files	*.dbf *.cdx *.fdb *.edb *.ib *.gdi *.gdb

Источник: Guidelines for choosing antivirus software to run on the computers that are running SQL Server

Сервера виртуализации Microsoft Hyper-V
Exclusions by Directories and files	%SystemRoot%\system32\vmwp.exe %SystemRoot%\system32\vmms.exe %SystemRoot%\system32\vmicsvc.exe
File Name Extension Exclusions	*.xml *.vhd *.vfd *.avhd *.iso *.vsv *.bin

Сервера управления/агенты Microsoft System Center Virtual Machine Manager 2008 R2
Microsoft System Center VMM Agent	%ProgramFiles%\Microsoft System Center Virtual Machine Manager 2008 R2\bin\vmmAgent.exe

Сервера управления/агенты Microsoft System Center Data Protection Manager 2007
Exclusions by Directories and files	%ProgramFiles%\Microsoft DPM\DPM\Volumes\ %ProgramFiles%\Microsoft DPM\DPM\bin\dpmra.exe %ProgramFiles%\Microsoft Data Protection Manager\DPM\bin\dpmra.exe %WinDir%\Microsoft.net\Framework\v2.0.50727\csc.exe

Источник: Running Antivirus Software on the DPM Server

Сервера управления/агенты Microsoft System Center Operation Manager 2007
Exclusions by Directories and files	%ProgramFiles%\System Center Operations Manager 2007\monitoringhost.exe %ProgramFiles%\System Center Operations Manager 2007\HealthService.exe %ProgramFiles%\System Center Operations Manager 2007\Health Service State\Health Service Store\

Источник: Recommendations for antivirus exclusions that relate to MOM 2005 and to Operations Manager 2007

Дополнительные ссылки:

Основной источник рекомендаций по настройке исключений для Forefront Client Security:
Recommended Forefront Client Security file and folder exclusions for Microsoft products