文章編號: 822158 - 上次校閱: 2012年3月30日 - 版次: 4.0

適用於執行目前 Windows 支援版本之企業電腦的病毒掃描建議

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
注意事項

適用於家庭用戶的資訊

如需有關適用於家庭用戶的病毒掃描建議詳細資訊,請造訪下列 Microsoft 網站:
http://windows.microsoft.com/zh-tw/windows-vista/Viruses-frequently-asked-questions (http://windows.microsoft.com/zh-tw/windows-vista/Viruses-frequently-asked-questions)

在此頁中

全部展開 | 全部摺疊

簡介

本文內含的建議可以在 Active Directory 網域環境或受管理的企業環境中同時使用執行 Microsoft Windows 支援版本的電腦和防毒軟體時,協助系統管理員判斷電腦可能不穩定的原因。

注意 我們建議您暫時套用這些程序以評估系統。如果您的系統效能或穩定性因本文中的建議而有所改善,請連絡您的防毒軟體廠商索取說明或防毒軟體的更新版本。

重要 本文內含的資訊將說明如何降低安全性設定,或暫時關閉電腦上的安全性功能。您可以進行這些變更以瞭解特定問題的性質。在進行這些變更之前,建議您先評估在特定環境中採用此因應措施的相關風險。如果您決定採用此因應措施,請採用任取其他的適當步驟,以協助保護電腦。
回此頁最上方

其他相關資訊

如果是執行 Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、Windows 2000、Windows XP、Windows Vista 或 Windows 7 的電腦

警告 此因應措施可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。雖然不建議使用此因應措施,但我們仍提供這項資訊,讓您可以自行選擇是否採用此因應措施。請自行承擔使用此因應措施的風險。

注意事項
  • 我們不知道如果讓您的防毒軟體排除掃描本文提及的特定檔案或資料夾會遭受的風險。不過,如果您不排除掃描任何檔案或資料夾,系統可能會更安全。
  • 當您掃描這些檔案時,可能會因為檔案鎖定而發生效能及作業系統可靠性問題。
  • 請勿根據副檔名排除其中任何一個檔案。例如,請勿排除副檔名為 .dit 的所有檔案。Microsoft 對於使用與本文所述相同副檔名的其他檔案,沒有控制權。
  • 本文一併提供可以排除的檔案名稱和資料夾。本文所述的所有檔案和資料夾都受到僅允許「系統」和系統管理員存取的預設權限所保護,且這些檔案和資料夾僅內含作業系統元件。排除整個資料夾可能較為容易,但卻無法像依據檔案名稱來排除特定檔案一樣,提供同樣安全的保護。

關閉對 Microsoft Forefront「tmp.edb」檔案的掃描

  • 如果您正在使用 Forefront,請關閉對 Forefront 資料庫檔案 (tmp.edb) 的掃描。這個檔案位於下列資料夾:
    %windir%\SoftwareDistribution\Datastore
  • 關閉對位於下列資料夾之記錄檔的掃描:
    %ProgramData%\Microsoft\Search\Data\Applications\Windows

關閉對 Windows Update 或自動更新相關檔案的掃描

  • 關閉對 Windows Update 或自動更新資料庫檔案 (Datastore.edb) 的掃描。此檔案位於下列資料夾:
    %windir%\SoftwareDistribution\Datastore
  • 關閉對位於下列資料夾之記錄檔的掃描:
    %windir%\SoftwareDistribution\Datastore\Logs
    特別是,請排除下列檔案:
    • Res*.log
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
    萬用字元 (*) 表示可能有數個檔案。

關閉對 Windows 安全性檔案的掃描

  • 將下列位於 %windir%\Security\Database 路徑的檔案新增到排除清單:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    注意 如果沒有排除這些檔案,防毒軟體可能會防止您正確存取這些檔案,而安全性資料庫可能會因此發生損毀。掃描這些檔案可避免檔案遭到使用,或避免將安全性原則套用到這些檔案。防毒軟體可能無法將這些檔案正確視為專屬的資料庫檔案,因此不該掃描這些檔案。

關閉對群組原則相關檔案的掃描

  • 群組原則使用者登錄資訊。這些檔案位於下列資料夾:
    %allusersprofile%\
    特別是,請排除下列檔案:
    NTUser.pol
  • 群組原則用戶端設定檔案。此檔案位於下列資料夾中:
    %Systemroot%\System32\GroupPolicy\
    特別是,請排除下列檔案:
    Registry.pol
如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
951059? (http://support.microsoft.com/kb/951059/zh-tw/ ) Windows Server 2003 電腦上的登錄原則設定會在使用者登入電腦之後意外遭到移除
930597? (http://support.microsoft.com/kb/930597/zh-tw/ ) 某些 Windows XP 電腦或 Windows Vista 電腦上的登錄原則設定遺失,且錯誤訊息記錄到應用程式記錄檔中
回此頁最上方

如果是 Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 和 Windows 2000 網域控制站

網域控制站提供給客戶端的是重要服務,因此必須將其活動受到惡意程式碼或病毒而發生中斷的風險降到最低。防毒軟體是減輕病毒感染風險一般採用的方法。請安裝並設定防毒軟體,盡可能降低網域控制站的風險,讓效能盡量不受到影響。下列清單內含的建議可以協助您在 Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 或 Windows 2000 網域控制站上設定及安裝防毒軟體。

警告 我們建議您將下列指定的設定套用到測試系統,以便確定不會在您的特定環境中,引入非預期的因素或破壞系統的穩定性。掃描過多的風險就是檔案會被不當標上已變更的旗標,造成 Active Directory 中產生過多複寫。如果測試結果確認複寫不受下列建議的影響,您就可以將防毒軟體套用至實際執行環境。

注意 防毒軟體廠商的特定建議可能會取代本文中的建議。
  • 防毒軟體必須安裝在企業中所有的網域控制站上。最理想的情況是,嘗試在所有其他必須與網域控制站進行互動的伺服器和用戶端系統上安裝這類軟體。最好是能夠在第一時間抓到惡意程式碼,例如在最先引入惡意程式碼的防火牆或用戶端系統上。如此可防止惡意程式碼進入用戶端所依賴的基礎結構系統。
  • 使用設計用於 Active Directory 網域控制站,且採用正確「應用程式發展介面」(API) 來存取伺服器上檔案的防毒軟體版本。大部分廠商的舊版軟體都會在掃描時不當變更檔案中繼資料,造成檔案複寫服務 (FRS) 引擎認為檔案有變更,因而將檔案排程進行複寫。新版本會防止這個問題。 如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
    815263? (http://support.microsoft.com/kb/815263/zh-tw/ ) 與檔案複寫服務 (FRS) 相容的防毒、備份和磁碟最佳化程式
  • 請勿使用網域控制站來瀏覽網際網路,或者執行任何其他可能會引入惡意程式碼的活動。
  • 我們建議您將網域控制站的工作負載降到最低。可能的話,請避免使用檔案伺服器角色中的網域控制站。如此能減少檔案共用上的病毒掃描活動,並將效能負荷降到最低。
  • 請勿將 Active Directory 或 FRS 資料庫和記錄檔放到 NTFS 檔案系統壓縮磁碟區上。
    如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
    318116? (http://support.microsoft.com/kb/318116/zh-tw/ ) 壓縮磁碟機的 JET 資料庫問題

關閉對 Active Directory 和 Active Directory 相關檔案的掃描

  • 排除主要 NTDS 資料庫檔案。這些檔案的位置是在下列登錄機碼中指定的:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    預設位置是 %windir%\Ntds。特別是,請排除下列檔案:
    Ntds.dit
    Ntds.pat
  • 請排除 Active Directory 交易記錄檔。這些檔案的位置是由下列登錄機碼指定:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    預設位置是 %windir%\Ntds。特別是,請排除下列檔案:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    注意 Windows Server 2003 不再使用 Ntds.pat 檔案。
  • 請排除由下列登錄機碼指定的 NTDS 工作資料夾中的檔案:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    特別是,請排除下列檔案:
    • Temp.edb
    • Edb.chk

關閉對 SYSVOL 檔案的掃描

  • 關閉對下列登錄機碼指定的檔案複寫服務 (FRS) 工作資料夾中之檔案的掃描:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    預設位置是 %windir%\Ntfrs。請排除下列位於該資料夾的檔案:
    • [%windir%\Ntfrs\jet\sys] 資料夾中的 edb.chk
    • [%windir%\Ntfrs\jet] 資料夾中的 Ntfrs.jdb
    • [%windir%\Ntfrs\jet\log] 資料夾中的 *.log
  • 關閉對下列登錄機碼指定的 FRS 資料庫記錄檔中檔案的掃描:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    預設位置是 %windir%\Ntfrs。請排除下列檔案:
    • Eedb*.log (如果未設定登錄機碼)。
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 和 Windows Server 2008 R2)。
    注意 關於排除特定檔案的設定因完整性考量而在此說明。根據預設,這些資料夾只允許系統和系統管理員存取。請確認已使用正確的保護。這些資料夾只包含 FRS 和 DFSR 的元件工作檔案。
  • 關閉對下列登錄機碼指定之複寫用快取資料夾的掃描。
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    根據預設,暫存會使用下列位置:
    %systemroot%\Sysvol\Staging areas
    請排除下列檔案:
    • Nntfrs_cmp*.*
  • 關閉對 Sysvol\Sysvol 資料夾中檔案的掃描。

    Sysvol\Sysvol 資料夾以及其所有子資料夾的目前位置是在複本集根目錄的檔案系統重新分析目標,Sysvol\Sysvol 資料夾位於下列位置:
    %systemroot%\Sysvol\Domain
    請排除下列此資料夾及其所有子資料夾中的檔案:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Fdeploy.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • 關閉對位於下列位置之 FRS 預先安裝資料夾中檔案的掃描:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    預先安裝資料夾始終會在 FRS 執行時開啟。

    請排除下列此資料夾及其所有子資料夾中的檔案:
    • Ntfrs*.*
  • 關閉對 DFSR 資料庫和工作資料夾中檔案的掃描。位置是由下列登錄機碼指定:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    在這個登錄機碼中,「Path」是 XML 檔案的路徑,表示複寫群組的名稱。在這個範例中,路徑會包含「Domain System Volume」。

    預設位置如下列隱藏資料夾:
    %systemdrive%\System Volume Information\DFSR
    請排除下列此資料夾及其所有子資料夾中的檔案:
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    如果上述任何一個資料夾或檔案已移動或放在不同的位置,請掃描或排除同等的元素。

關閉對 DFS 檔案的掃描

當您使用 FRS 或 DFSR 來複寫對應到分散式檔案系統根目錄 或 Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 或 Windows 2000 成員電腦或網域控制站上連結目標的共用時,也必須排除針對 SYSVOL 複寫集而排除的相同資源。

關閉對 DHCP 檔案的掃描

根據預設,應被排除的 DHCP 檔案位於伺服器上的下列資料夾中:
%systemroot%\System32\DHCP
請排除下列此資料夾及其所有子資料夾中的檔案:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
DHCP 檔案的位置可以變更。如果要判斷目前伺服器上 DHCP 檔案的位置,請檢查由下列登錄子機碼指定的 [DatabasePath][DhcpLogFilePath][BackupDatabasePath] 參數:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
回此頁最上方

如果是 Windows Server 2008、Windows Server 2003 和 Windows 2000 網域控制站

關閉對 DNS 檔案的掃描

根據預設,DNS 會使用下列資料夾:
%systemroot%\System32\Dns
請排除下列此資料夾及其所有子資料夾中的檔案:
  • *.log
  • *.dns
  • BOOT

關閉對 WINS 檔案的掃描

根據預設,WINS 會使用下列資料夾:
%systemroot%\System32\Wins
請排除下列此資料夾及其所有子資料夾中的檔案:
  • *.chk
  • *.log
  • *.mdb
回此頁最上方

如果是執行 Windows Hyper-V 版本的電腦

在某些情況下,安裝了 Hyper-V 角色的 Windows Server 2008 電腦或者 Microsoft Hyper-V Server 2008 或 Microsoft Hyper-V Server 2008 R2 電腦,可能必須在防毒軟體內設定即時掃描元件才能排除檔案和所有資料夾。如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
961804? (http://support.microsoft.com/kb/961804/zh-tw/ ) Hyper-V 管理員主控台中的虛擬機器遺失或建立或啟動虛擬機器時,您收到下列其中一個錯誤碼:「0x800704C8」、「0x80070037」或「0x800703E」
回此頁最上方
這篇文章中的資訊適用於:
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Vista 商用入門版
  • Windows Vista 商用入門 64 位元版
  • Windows Vista 商用進階版
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 家用入門版
  • Windows Vista 家用入門 64 位元版
  • Windows Vista 家用進階版
  • Windows Vista 家用進階 64 位元版
  • Windows Vista 旗艦版
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
回此頁最上方
關鍵字:?
kbinfo kbprb kbexpertiseinter kbsecurity KB822158
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。