現在サポートされているバージョンの Windows を搭載しているエンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項

この資料には、Active Directory ドメイン環境またはマネージ ビジネス環境でウイルス対策ソフトウェアと共に使用されている場合、管理者が、サポートされているバージョンの Microsoft Windows を搭載しているコンピューター上の潜在的な不安定の原因を特定するのに役立つ推奨事項が記載されています。

注: 以下の手順を一時的に適用してシステムを評価することをお勧めします。この資料に記載されている推奨事項によりシステムのパフォーマンスまたは安定性が向上した場合は、指示がないか、または更新版のウイルス対策ソフトウェアがないか、ウイルス対策ソフトウェアのベンダーに問い合わせてください。

重要 この資料には、コンピューターのセキュリティ設定を低くする方法、またはコンピューターのセキュリティ機能を一時的に無効にする方法が記載されています。これらの変更を行うと、特定の問題の性質を理解することができます。変更を行う前に、特定の環境でこの回避策を実行した際に生じるリスクを評価することをお勧めします。この回避策を実行する場合は、コンピューターを保護するために、ここに記載された処理以外にも適切な処理を実行してください。

Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、Windows 2000、Windows XP、Windows Vista、または Windows 7 を搭載しているコンピューターの場合

警告 この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。この回避策は、自己の責任において使用してください。

注意事項

• マイクロソフトは、ご使用のウイルス対策ソフトウェアにより行われるスキャンから、この資料に記載されている特定のファイルまたはフォルダーを除外するリスクを認識していません。ただし、スキャンからファイルまたはフォルダーを除外しないと、システムはより安全である場合があります。
• これらのファイルをスキャンすると、ファイルがロックされて、パフォーマンスとオペレーティング システムの信頼性の問題が発生する場合があります。
• 除外の際は、ファイル名の拡張子を使用しないでください。たとえば、.dit 拡張子が付いたすべてのファイルを除外するのは避けます。この資料に記載されているファイルと同じ拡張子を使用している可能性がある他のファイルについては、マイクロソフトは管理できません。
• この資料には、除外できるファイル名とフォルダーの両方が記載されています。この資料に記載されているすべてのファイルとフォルダーは、システムおよび管理者アクセスのみを許可するように既定のアクセス許可により保護され、またオペレーティング システムのコンポーネントのみを含みます。フォルダー全体を除外する方が単純である場合がありますが、ファイル名に基づく特定のファイルの除外ほどの保護にはなりません。

Microsoft Forefront "tmp.edb" ファイルのスキャンを無効にする

• Forefront を使用している場合は、Forefront データベース ファイル (tmp.edb) のスキャンを無効にします。このファイルは、次のフォルダーにあります。
  %windir%\SoftwareDistribution\Datastore
• 以下のフォルダーにあるイベント ログのスキャンを無効にします。
  %ProgramData%\Microsoft\Search\Data\Applications\Windows

Windows Update または自動更新の関連のファイルのスキャンを無効にする

• Windows Update または自動更新データベース ファイル (Datastore.edb) のスキャンを無効にします。このファイルは、次のフォルダーにあります。
  %windir%\SoftwareDistribution\Datastore
• 以下のフォルダーにあるイベント ログのスキャンを無効にします。
  %windir%\SoftwareDistribution\Datastore\Logs
  具体的に、除外するファイルを以下に示します。
  • Res*.log
  • Edb*.jrs
  • Edb.chk
  • Tmp.edb
  ワイルドカード文字 (*) は、複数のファイルが存在する可能性があることを示します。

Windows セキュリティ ファイルのスキャンを無効にする

• 除外リストの %windir%\Security\Database パス内に以下のファイルを追加します。
  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
  注: これらのファイルが除外されない場合、ウイルス対策ソフトウェアによりこれらのファイルへの適切なアクセスが妨害され、セキュリティ データベースが破損する可能性があります。これらのファイルをスキャンすると、ファイルが使用できなくなったり、ファイルにセキュリティ ポリシーが適用されなくなる可能性があります。ウイルス対策ソフトウェアはこれらのファイルを独自のデータベース ファイルとして正しく扱わない場合があるため、これらのファイルはスキャンしないでください。

グループ ポリシー関連のファイルのスキャンを無効にする

• グループ ポリシー ユーザー レジストリ情報これらのファイルは次のフォルダーにあります。
  %allusersprofile%\
  具体的に、除外するファイルを以下に示します。
  NTUser.pol
• グループ ポリシー クライアント設定ファイル。このファイルは、次のフォルダーにあります。
  %Systemroot%\System32\GroupPolicy\
  具体的に、除外するファイルを以下に示します。
  Registry.pol

詳細については、以下のサポート技術情報番号をクリックしてください。

Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、および Windows 2000 のドメイン コントローラーの場合

ドメイン コントローラーはクライアントに重要なサービスを提供するため、マルウェアまたはウイルスに含まれる悪意のあるコードによってその活動が中断されるリスクを最小限に抑える必要があります。感染のリスクを減らす方法として、ウイルス対策ソフトウェアが広く受け入れられています。ウイルス対策ソフトウェアのインストールと構成を行い、ドメイン コントローラーのリスクとパフォーマンスへの影響を最小限に抑えるようにします。次の一覧には、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、または Windows 2000 のドメイン コントローラーにウイルス対策ソフトウェアのインストールと構成を行う際の推奨事項を記載しています。

警告 マイクロソフトでは以下に指定されている構成をテスト システムに適用し、使用している環境で予期しない要因が存在しないこと、およびシステムの安定性が低下しないことを確認することをお勧めします。スキャンが頻繁に実行されると、ファイルが変更されたことを示すフラグが不適切に設定されます。その結果 Active Directory で過度のレプリケーションが実行されるというリスクが生じます。以下の推奨事項に従ってもレプリケーションに影響しないことがテストで確認されたら、ウイルス対策ソフトウェアを運用環境に適用できます。

注: ウイルス対策ソフトウェア ベンダーの個別の推奨事項がこの資料の推奨事項よりも優先される場合があります。

• ウイルス対策ソフトウェアは、企業のすべてのドメイン コントローラーにインストールする必要があります。可能な限り、ドメイン コントローラーと対話的に通信する必要がある他のサーバーおよびクライアントのシステムのすべてに、ウイルス対策ソフトウェアをインストールします。マルウェアは、ファイアウォールや、マルウェアが持ち込まれたクライアント システムなど、できる限り早い段階で検出するようにします。早期検出が、クライアントが依存しているインフラストラクチャ システムへのマルウェアの進入を防ぎます。
• 使用するウイルス対策ソフトウェアは、Active Directory ドメイン コントローラーで動作する設計がなされ、適切なアプリケーション プログラミング インターフェイス (API) でサーバー上のファイルにアクセスできるバージョンである必要があります。ほとんどのベンダー ソフトウェアは、バージョンが古いとファイルのメタデータをファイルのスキャン時に不適切に書き換えます。このためファイル レプリケーション サービス エンジンでファイルの変更が認識され、ファイルのレプリケーションがスケジュールされます。新しいバージョンではこの問題が回避されています。 詳細については、以下のサポート技術情報番号をクリックしてください。
  815263

  (http://support.microsoft.com/kb/815263/ja/ )

  ファイル レプリケーション サービスと互換性があるウイルス対策、バックアップ、およびディスク最適化プログラム
• ドメイン コントローラーでは、インターネットの閲覧、およびその他の悪意のあるコードを取り込む可能性がある操作を行わないでください。
• マイクロソフトは、ドメイン コントローラー上の負荷を最小限にすることを推奨します。可能であれば、ファイル サーバーの役割でドメイン コントローラーを使用しないようにしてください。これにより、ファイル共有上でのウイルス スキャン動作が低下し、パフォーマンス オーバーヘッドが最小限になります。
• Active Directory や FRS のデータベースとログ ファイルは、NTFS ファイル システムの圧縮ボリュームに配置しないでください。
  詳細については、以下のサポート技術情報番号をクリックしてください。
  318116

  (http://support.microsoft.com/kb/318116/ja/ )

  Jet データベースを圧縮ドライブに配置することにより発生する問題

Active Directory および Active Directory 関連のファイルのスキャンを無効にする

• メインの NTDS データベース ファイルを除外します。次のレジストリ キーに場所が指定されています。
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  既定の場所は %windir%\Ntds です。具体的に、除外するファイルを以下に示します。
  Ntds.dit
  Ntds.pat
• Active Directory トランザクション ログ ファイルを除外します。次のレジストリ キーに場所が指定されています。
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  既定の場所は %windir%\Ntds です。具体的に、除外するファイルを以下に示します。
  • EDB*.log
  • Res*.log
  • Edb*.jrs
  • Ntds.pat
  注: Windows Server 2003 では Ntds.pat ファイルは使用されません。
• 次のレジストリ キーで指定されている NTDS 作業フォルダーのファイルを除外します。
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  具体的に、除外するファイルを以下に示します。
  • Temp.edb
  • Edb.chk

SYSVOL ファイルのスキャンを無効にする

• 次のレジストリ キーで指定されているファイル レプリケーション サービス (FRS) 作業フォルダーのファイルのスキャンを無効にします。
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  既定の場所は %windir%\Ntfrs です。フォルダーに存在する以下のファイルを除外します。
  • %windir%\Ntfrs\jet\sys フォルダーの edb.chk
  • %windir%\Ntfrs\jet フォルダーの Ntfrs.jdb
  • %windir%\Ntfrs\jet\log フォルダーの *.log
• 次のレジストリ キーで指定されている FRS データベース ログ ファイルのファイルのスキャンを無効にします。
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  既定の場所は %windir%\Ntfrs です。除外するファイルを以下に示します。
  • Edb*.log (レジストリ キーが設定されていない場合)。
  • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 および Windows Server 2008 R2)。
  注: 特定のファイルの除外に関する設定は、完全を期すためにこの資料に記載されています。既定では、システムと管理者のみがこれらのフォルダーにアクセスできます。適切な保護が実施されていることを確認してください。これらのフォルダーには、FRS と DFSR のコンポーネント作業ファイルのみが含まれています。
• 次のレジストリ キーで指定されているステージング フォルダーのスキャンを無効にします。
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
  
  既定では、ステージングは以下の場所を使用します。
  %systemroot%\Sysvol\Staging areas
  除外するファイルを以下に示します。
  • Nntfrs_cmp*.*
• Sysvol\Sysvol フォルダーのファイルのスキャンを無効にします。
  
  Sysvol\Sysvol フォルダーとすべてのサブフォルダーの現在の場所は、ファイル システムによるレプリカ セット ルートの再解析の対象です。Sysvol\Sysvol フォルダーは以下の場所を使用します。
  %systemroot%\Sysvol\Domain
  以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。
  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • *.aas
  • *.inf
  • Fdeploy.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini
• 次の場所にある FRS プレインストール フォルダーのファイルのスキャンを無効にします。
  Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  FRS の実行中、プレインストール フォルダーは常に開かれています。
  
  以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。
  • Ntfrs*.*
• DFSR データベースと作業フォルダーのファイルのスキャンを無効にします。場所は、以下のレジストリ キーで指定されています。
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
  このレジストリ キーでは、"Path" は、レプリケーション グループの名前を規定する XML ファイルのパスです。この例では、パスには "Domain System Volume" が含まれます。
  
  既定の場所は次の隠しフォルダーです。
  %systemdrive%\System Volume Information\DFSR
  以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。
  • $db_normal$
  • FileIDTable_*
  • SimilarityTable_*
  • *.xml
  • $db_dirty$
  • $db_lost$
  • Dfsr.db
  • Fsr.chk
  • *.frx
  • *.log
  • Fsr*.jrs
  • Tmp.edb
  上記のフォルダーまたはファイルが、別の場所に移動または配置されている場合、対応する要素をスキャンまたは除外します。

DFS ファイルのスキャンを無効にする

DFS ルートにマップされた共有をレプリケートするとき、および Windows Server 2008 R2 ベース、Windows Server 2008 ベース、Windows Server 2003 ベース、または Windows 2000 ベースのメンバー コンピューターやドメイン コントローラー上のスキャン対象をリンクするときに FRS または DFSR を使用する場合、SYSVOL レプリカ セットで除外するのと同じリソースを除外する必要があります。

DHCP ファイルのスキャンを無効にする

既定では、除外する必要のある DHCP ファイルは、サーバー上の次のフォルダーに存在します。 以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。

• *.mdb
• *.pat
• *.log
• *.chk
• *.edb

DHCP ファイルの場所は変更される可能性があります。サーバー上の DHCP ファイルの現在の場所を判別するには、以下のレジストリ サブキーで指定されている [DatabasePath]、[DhcpLogFilePath]、および [BackupDatabasePath] パラメーターを確認します。

Windows Server 2008、Windows Server 2003、および Windows 2000 のドメイン コントローラーの場合

DNS ファイルのスキャンを無効にする

既定では、DNS は以下のフォルダーを使用します。 以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。

• *.log
• *.dns
• BOOT

WINS ファイルのスキャンを無効にする

既定では、WINS は以下のフォルダーを使用します。 以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。

• *.chk
• *.log
• *.mdb

Hyper-V ベース バージョンの Windows を搭載しているコンピューターの場合

状況によっては、Hyper-V の役割をインストールした Windows Server 2008 ベースのコンピューター、Microsoft Hyper-V Server 2008 ベースのコンピューター、または Microsoft Hyper-V Server 2008 R2 ベースのコンピューターでは、ウイルス対策ソフトウェア内のリアルタイム スキャン コンポーネントで、ファイルおよび全体のフォルダーが除外されるように構成することが必要な場合があります。詳細については、以下のサポート技術情報番号をクリックしてください。