現在サポートされているバージョンの Windows を搭載しているエンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項を参照してください。

適用対象: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 EssentialsWindows Server 2012 R2 Foundation

ホーム ユーザー向けの情報

一般ユーザー向けのウイルス スキャンを行う場合の推奨事項の関連情報については、次のマイクロソフト Web ページを参照してください。

はじめに


この資料には、Active Directory ドメイン環境またはマネージ ビジネス環境でウイルス対策ソフトウェアと共に使用されている場合、管理者が、サポートされているバージョンの Microsoft Windows を実行しているコンピューター上の潜在的な不安定の原因を特定するのに役立つ推奨事項が記載されています。

注: 以下の手順を一時的に適用してシステムを評価することをお勧めします。 この資料に記載されている推奨事項によりシステムのパフォーマンスまたは安定性が向上した場合は、指示がないか、または更新版のウイルス対策ソフトウェアがないか、ウイルス対策ソフトウェアのベンダーに問い合わせてください。

重要: この資料には、コンピューターのセキュリティ設定を低くする方法、またはコンピューターのセキュリティ機能を一時的に無効にする方法が記載されています。  これらの変更を行うと、特定の問題の性質を理解することができます。 変更を行う前に、特定の環境でこの回避策を実行した際に生じるリスクを評価することをお勧めします。 この回避策を実行する場合は、コンピューターを保護するために、ここに記載された処理以外にも適切な処理を実行してください。

詳細


Windows XP 以降のバージョンの Windows を搭載しているコンピューターの場合

警告: この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。  この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。 この回避策は、自己の責任において使用してください。

注: Windows Server 2016 (および Windows 10) 以降、Windows Defender でウイルス スキャンが自動的に実行されるようになりました。 「Windows Server で Windows Defender ウイルス対策を除外する」を参照してください。 

注:

  • マイクロソフトは、ご使用のウイルス対策ソフトウェアにより行われるスキャンから、この資料に記載されている特定のファイルまたはフォルダーを除外するリスクを認識しています。  スキャンからファイルまたはフォルダーを除外しない方がシステムは安全です。 
  • これらのファイルをスキャンすると、ファイルがロックされて、パフォーマンスとオペレーティング システムの信頼性の問題が発生する場合があります。
  • 除外の際は、ファイル名の拡張子を使用しないでください。 たとえば、.dit 拡張子が付いたすべてのファイルを除外するのは避けます。 この資料に記載されているファイルと同じ拡張子を使用している可能性がある他のファイルについては、マイクロソフトは管理できません。
  • この資料には、除外できるファイル名とフォルダーの両方が記載されています。 この資料に記載されているすべてのファイルとフォルダーは、SYSTEM および管理者アクセスのみを許可するように既定のアクセス許可により保護され、またオペレーティング システムのコンポーネントのみを含みます。 フォルダー全体を除外する方が単純である場合がありますが、ファイル名に基づく特定のファイルの除外ほどの保護にはなりません。

Windows Update または自動更新の関連のファイルのスキャンを無効にする

  • Windows Update または自動更新データベース ファイル (Datastore.edb) のスキャンを無効にします。 このファイルは、次のフォルダーにあります。
    %windir%\SoftwareDistribution\Datastore
  • 以下のフォルダーにあるイベント ログのスキャンを無効にします。
    %windir%\SoftwareDistribution\Datastore\Logs
    具体的に、除外するファイルを以下に示します。
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • ワイルドカード文字 (*) は、複数のファイルが存在する可能性があることを示します。

Windows セキュリティ ファイルのスキャンを無効にする

  • 除外リストの %windir%\Security\Database パス内に以下のファイルを追加します。
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    • *.xml
    • *.csv
    • *.cmtx
    注: これらのファイルが除外されない場合、ウイルス対策ソフトウェアによりこれらのファイルへの適切なアクセスが妨害され、セキュリティ データベースが破損する可能性があります。 これらのファイルをスキャンすると、ファイルが使用できなくなったり、ファイルにセキュリティ ポリシーが適用されなくなる可能性があります。 ウイルス対策ソフトウェアはこれらのファイルを独自のデータベース ファイルとして正しく扱わない場合があるため、これらのファイルはスキャンしないでください。

    これらのファイルは除外することが推奨されています。 この記事に記載されていない他のファイルの種類も除外が推奨される場合があります。

グループ ポリシー関連のファイルのスキャンを無効にする

  • グループ ポリシー ユーザー レジストリ情報 これらのファイルは次のフォルダーにあります。
    %allusersprofile%\
    具体的に、除外するファイルを以下に示します。
    NTUser.pol
  • グループ ポリシー クライアント設定ファイル。 これらのファイルは次のフォルダーにあります。
    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\
    具体的に、除外するファイルを以下に示します。
    Registry.pol
    Registry.tmp
詳細については、以下のサポート技術情報を参照してください。

930597 Windows XP ベースまたは Windows Vista ベースのコンピューターでレジストリ ベースのポリシー設定のいくつかが失われ、アプリケーション ログにエラー メッセージが記録される 

ドメイン コントローラーでウイルス対策ソフトウェアを実行する 

ドメイン コントローラーはクライアントに重要なサービスを提供するため、マルウェアまたはウイルスに含まれる悪意のあるコードによってその活動が中断されるリスクを最小限に抑える必要があります。 感染のリスクを減らす方法として、ウイルス対策ソフトウェアが広く受け入れられています。 ウイルス対策ソフトウェアのインストールと構成を行い、ドメイン コントローラーのリスクとパフォーマンスへの影響を最小限に抑えるようにします。 次の一覧には、Windows Server のドメイン コントローラーにウイルス対策ソフトウェアのインストールと構成を行う際の推奨事項を記載しています。

警告: マイクロソフトでは以下に指定されている構成をテスト システムに適用し、使用している環境で予期しない要因が存在しないこと、およびシステムの安定性が低下しないことを確認することをお勧めします。  スキャンが頻繁に実行されると、ファイルが変更されたことを示すフラグが不適切に設定されます。 その結果、Active Directory で過度のレプリケーションが実行されるというリスクが生じます。 以下の推奨事項に従ってもレプリケーションに影響しないことがテストで確認されたら、ウイルス対策ソフトウェアを運用環境に適用できます。


注: ウイルス対策ソフトウェア ベンダーの個別の推奨事項がこの資料の推奨事項よりも優先される場合があります。 
  • ウイルス対策ソフトウェアは、企業のすべてのドメイン コントローラーにインストールする必要があります。 可能な限り、ドメイン コントローラーと対話的に通信する必要がある他のサーバーおよびクライアントのシステムのすべてに、ウイルス対策ソフトウェアをインストールします。 マルウェアは、ファイアウォールや、マルウェアが持ち込まれたクライアント システムなど、できる限り早い段階で検出するようにします。 早期検出が、クライアントが依存しているインフラストラクチャ システムへのマルウェアの進入を防ぎます。
  • 使用するウイルス対策ソフトウェアは、Active Directory ドメイン コントローラーで動作する設計がなされ、適切なアプリケーション プログラミング インターフェイス (API) でサーバー上のファイルにアクセスできるバージョンである必要があります。 ほとんどのベンダー ソフトウェアは、バージョンが古いとファイルのメタデータをファイルのスキャン時に不適切に書き換えます。 このためファイル レプリケーション サービス エンジンでファイルの変更が認識され、ファイルのレプリケーションがスケジュールされます。 新しいバージョンではこの問題が回避されています。
    詳細については、以下のサポート技術情報を参照してください。
    815263 ファイル レプリケーション サービスと互換性があるウイルス対策、バックアップ、およびディスク最適化プログラム
  • ドメイン コントローラーでは、インターネットの閲覧、およびその他の悪意のあるコードを取り込む可能性がある操作を行わないでください。
  • マイクロソフトは、ドメイン コントローラー上の負荷を最小限にすることを推奨します。 可能であれば、ファイル サーバーの役割でドメイン コントローラーを使用しないようにしてください。 これにより、ファイル共有上でのウイルス スキャン動作が低下し、パフォーマンス オーバーヘッドが最小限になります。
  • Active Directory や FRS のデータベースとログ ファイルは、NTFS ファイル システムの圧縮ボリュームに配置しないでください。

Active Directory および Active Directory 関連のファイルのスキャンを無効にする

  • メインの NTDS データベース ファイルを除外します。 次のレジストリ サブキーに場所が指定されています。 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    既定の場所は %windir%\Ntds です。 具体的に、除外するファイルを以下に示します。
    Ntds.dit
    Ntds.pat
  • Active Directory トランザクション ログ ファイルを除外します。 次のレジストリ サブキーに場所が指定されています。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
     
    既定の場所は %windir%\Ntds です。 具体的に、除外するファイルを以下に示します。
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
  • 次のレジストリ サブキーで指定されている NTDS 作業フォルダーのファイルを除外します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    具体的に、除外するファイルを以下に示します。
    • Temp.edb
    • Edb.chk

SYSVOL ファイルのスキャンを無効にする

  • 次のレジストリ サブキーで指定されているファイル レプリケーション サービス (FRS) 作業フォルダーのファイルのスキャンを無効にします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    既定の場所は %windir%\Ntfrs です。 フォルダーに存在する以下のファイルを除外します。
    • %windir%\Ntfrs\jet\sys フォルダーの edb.chk
    • %windir%\Ntfrs\jet フォルダーの Ntfrs.jdb
    • %windir%\Ntfrs\jet\log フォルダーの *.log
  • 次のレジストリ サブキーで指定されている FRS データベース ログ ファイルのファイルのスキャンを無効にします。
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    既定の場所は %windir%\Ntfrs です。 除外するファイルを以下に示します。

    注: 特定のファイルの除外に関する設定は、完全を期すためにこの資料に記載されています。  既定では、システムと管理者のみがこれらのフォルダーにアクセスできます。 適切な保護が実施されていることを確認してください。 これらのフォルダーには、FRS と DFSR のコンポーネント作業ファイルのみが含まれています。
    • Edb*.log (レジストリ キーが設定されていない場合)
    • FRS Working Dir\Jet\Log\Edb*.jrs
  • 次のレジストリ サブキーで指定されている NTFRS ステージング フォルダーのスキャンを無効にします。
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
    既定では、ステージングは以下の場所を使用します。
    %systemroot%\Sysvol\Staging areas
  • AD DS でオブジェクト CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName の msDFSR-StagingPath 属性に指定されている DFSR ステージング フォルダーのスキャンを無効にします。 この属性には、DFS レプリケーションがファイルのステージングに使用する実際の場所のパスが含まれています。 具体的に、除外するファイルを以下に示します。
    • Ntfrs_cmp*.*
    • *.frx
  • Sysvol\Sysvol フォルダーまたは SYSVOL_DFSR\Sysvol フォルダーのファイルのスキャンを無効にします。

    Sysvol\Sysvol または SYSVOL_DFSR\Sysvol フォルダーとすべてのサブフォルダーの現在の場所は、ファイル システムによるレプリカ セット ルートの再解析の対象です。   Sysvol\Sysvol および SYSVOL_DFSR\Sysvol フォルダーは既定で次の場所にを使用しています。   
    %systemroot%\Sysvol\Domain
    %systemroot%\Sysvol_DFSR\Domain
    現在アクティブな SYSVOL のパスは、NETLOGON 共有から参照されており、次のサブキーの SysVol 値名で確認できます。   
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
  • 以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • Registry.tmp
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • 次の場所にある FRS プレインストール フォルダーのファイルのスキャンを無効にします。
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    FRS の実行中、プレインストール フォルダーは常に開かれています。

    以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。
    • Ntfrs*.*
  • DFSR データベースと作業フォルダーのファイルのスキャンを無効にします。 場所は、以下のレジストリ サブキーで指定されています。
    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path
    このレジストリ サブキーでは、"Path" は、レプリケーション グループの名前を規定する XML ファイルのパスです。 この例では、パスには "Domain System Volume" が含まれます。

    既定の場所は次の隠しフォルダーです。
    %systemdrive%\System Volume Information\DFSR
    以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。

    上記のフォルダーまたはファイルが、別の場所に移動または配置されている場合、対応する要素をスキャンまたは除外します。
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb

DFS ファイルのスキャンを無効にする

DFS ルートにマップされた共有をレプリケートするとき、および Windows Server 2008 R2 ベースまたは Windows Server 2008 ベースのメンバー コンピューターやドメイン コントローラー上のスキャン対象をリンクするときに FRS または DFSR を使用する場合、SYSVOL レプリカ セットで除外するのと同じリソースを除外する必要があります。 

DHCP ファイルのスキャンを無効にする

既定では、除外する必要のある DHCP ファイルは、サーバー上の次のフォルダーに存在します。
%systemroot%\System32\DHCP
以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
DHCP ファイルの場所は変更される可能性があります。 サーバー上の DHCP ファイルの現在の場所を判別するには、以下のレジストリ サブキーで指定されている [DatabasePath]、[DhcpLogFilePath]、および [BackupDatabasePath] パラメーターを確認します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

DNS ファイルのスキャンを無効にする

既定では、DNS は以下のフォルダーを使用します。
%systemroot%\System32\Dns
以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。
  • *.log
  • *.dns
  • BOOT

WINS ファイルのスキャンを無効にする

既定では、WINS は以下のフォルダーを使用します。
%systemroot%\System32\Wins
 
以下のファイルを、このフォルダーとそのすべてのサブフォルダーから除外します。
  • *.chk
  • *.log
  • *.mdb

Hyper-V ベースの Windows を搭載しているコンピューターの場合

状況によっては、Hyper-V の役割をインストールした Windows Server 2008 ベースのコンピューター、Microsoft Hyper-V Server 2008 ベースのコンピューター、または Microsoft Hyper-V Server 2008 R2 ベースのコンピューターでは、ウイルス対策ソフトウェア内のリアルタイム スキャン コンポーネントで、ファイルおよび全体のフォルダーが除外されるように構成することが必要な場合があります。 詳細については、以下のサポート技術情報を参照してください。
961804 仮想マシンを起動または作成しようとすると、仮想マシンが見つからないか、エラー 0x800704C8、0x80070037、または 0x800703E3 が表示される