Zalecenia dotyczące skanowania w poszukiwaniu wirusów na komputerach przedsiębiorstwa z obsługiwanymi obecnie wersjami systemu Windows

Zakończono świadczenie pomocy technicznej dla systemu Windows XP

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows XP 8 kwietnia 2014. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Uwaga

Informacje dla użytkowników domowych

Aby uzyskać więcej informacji o skanowaniu w poszukiwaniu wirusów oraz zalecenia dla klientów indywidualnych, odwiedź następującą stronę firmy Microsoft w sieci Web:
WPROWADZENIE
W tym artykule zawarto zalecenia, które mogą ułatwić administratorowi ustalenie przyczyny potencjalnej niestabilności komputera z obsługiwaną wersją systemu Microsoft Windows, używanego razem z oprogramowaniem antywirusowym w środowisku domeny usługi Active Directory bądź w zarządzanym środowisku biznesowym.

Uwaga Zaleca się tymczasowe zastosowanie tych procedur w celu oceny systemu. Jeśli okaże się, że wydajność lub stabilność systemu wzrosła wskutek zastosowania zaleceń wymienionych w tym artykule, należy skontaktować się z dostawcą używanego oprogramowania antywirusowego w celu uzyskania instrukcji lub zaktualizowanej wersji tego oprogramowania.

Ważne Ten artykuł zawiera informacje, dzięki którym można obniżyć poziom zabezpieczeń lub tymczasowo wyłączyć funkcje zabezpieczeń na komputerze. Można wprowadzić te zmiany, aby móc lepiej zrozumieć charakter określonego problemu. Przed ich wprowadzeniem zaleca się dokonanie oceny zagrożenia, z jakim wiąże się zastosowanie tego obejścia w danym środowisku. Po zastosowaniu tego obejścia należy wykonać odpowiednie czynności dodatkowe, aby zapewnić lepszą ochronę komputera.
Więcej informacji

W przypadku komputerów z systemami Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000, Windows XP, Windows Vista i Windows 7

Ostrzeżenie Ta metoda obejścia problemu może narazić komputer lub sieć na większe zagrożenie ze strony złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Firma Microsoft nie zaleca tej metody obejścia problemu, ale podaje informacje umożliwiające jej zastosowanie według uznania użytkownika. Tę metodę obejścia problemu użytkownicy stosują na własną odpowiedzialność.

Uwagi
 • Firma Microsoft nie jest w stanie ocenić ryzyka wynikającego z wykluczenia konkretnych plików lub folderów wymienionych w tym artykule ze skanowania przez oprogramowanie antywirusowe użytkownika. System może być jednak bezpieczniejszy, jeśli użytkownik nie wykluczy żadnych plików ani folderów ze skanowania.
 • Podczas skanowania tych plików mogą wystąpić problemy z wydajnością i niezawodnością systemu operacyjnego z powodu blokowania plików.
 • Nie należy wykluczać żadnego z tych plików na podstawie rozszerzenia nazwy pliku. Na przykład nie należy wykluczać wszystkich plików, które mają rozszerzenie .dit. Firma Microsoft nie ma żadnej kontroli nad innymi plikami o takich samych rozszerzeniach, jak pliki opisane w tym artykule.
 • Ten artykuł zawiera nazwy plików i folderów, które można wykluczyć. Wszystkie pliki i foldery opisane w tym artykule są chronione przez uprawnienia domyślne w taki sposób, że mają do nich dostęp tylko administrator i konto SYSTEM, oraz zawierają tylko składniki systemu operacyjnego. Wykluczenie całego folderu może być prostsze, ale zwykle nie zapewnia tego samego poziomu ochrony co wykluczenie konkretnych plików na podstawie ich nazw.

Wyłączenie skanowania pliku tmp.edb programu Microsoft Forefront

 • Jeśli używasz programu Forefront, wyłącz skanowanie jego pliku bazy danych (tmp.edb). Ten plik znajduje się w następującym folderze:
  %windir%\SoftwareDistribution\Datastore
 • Wyłącz skanowanie plików dziennika, które znajdują się w następującym folderze:
  %ProgramData%\Microsoft\Search\Data\Applications\Windows

Wyłączanie skanowania plików powiązanych z usługami Windows Update i Aktualizacje automatyczne

 • Wyłącz skanowanie pliku bazy danych usługi Windows Update lub usługi Aktualizacje automatyczne (Datastore.edb). Ten plik znajduje się w następującym folderze:
  %windir%\SoftwareDistribution\Datastore
 • Wyłącz skanowanie plików dziennika, które znajdują się w następującym folderze:
  %windir%\SoftwareDistribution\Datastore\Logs
  W szczególności wyklucz następujące pliki:
  • Res*.log
  • Edb*.jrs
  • Edb.chk
  • Tmp.edb
  Symbol wieloznaczny (*) wskazuje, że może istnieć kilka plików.

Wyłączanie skanowania plików zabezpieczeń systemu Windows

 • W ścieżce %windir%\Security\Database listy wykluczeń dodaj następujące pliki:
  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
  Uwaga Jeśli te pliki nie są wykluczone, oprogramowanie antywirusowe może uniemożliwiać poprawny dostęp do tych plików, przez co bazy danych zabezpieczeń mogą zostać uszkodzone. Skanowanie tych plików może uniemożliwić ich używanie lub zastosowanie do nich zasad zabezpieczeń. Pliki te nie powinny być skanowane, ponieważ oprogramowanie antywirusowe może nie traktować ich poprawnie jako własnościowych plików bazy danych.

Wyłączanie skanowania plików powiązanych z zasadami grupy

 • Informacje dotyczące rejestru użytkownika zasad grupy. Te pliki znajdują się w następującym folderze:
  %allusersprofile%\
  W szczególności wyklucz następujący plik:
  NTUser.pol
 • Plik ustawień klienta zasad grupy. Ten plik znajduje się w następującym folderze:
  %Systemroot%\System32\GroupPolicy\
  W szczególności wyklucz następujący plik:
  Registry.pol
Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
951059 Nieoczekiwane usuwanie ustawień zasad bazujących na rejestrze po zalogowaniu się użytkownika do komputera z systemem Windows Server 2003 (strona może być w języku angielskim)
930597 Utrata niektórych ustawień zasad bazujących na rejestrze i rejestrowanie komunikatów o błędach w dzienniku aplikacji na komputerze z systemem Windows XP lub Windows Vista

W przypadku kontrolerów domeny z systemami Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 i Windows 2000

Kontrolery domeny udostępniają klientom ważną usługę, dlatego należy zminimalizować ryzyko przestojów w ich działaniu powodowanych przez złośliwy kod, złośliwe oprogramowanie czy wirusy. Stosowanie oprogramowania antywirusowego jest ogólnie przyjętym sposobem ograniczania ryzyka infekcji. Zainstaluj i skonfiguruj oprogramowanie antywirusowe, aby zredukować zagrożenie kontrolera domeny, na ile się da, oraz aby jak najmniej wpływać na jego wydajność. Poniższa lista zawiera zalecenia ułatwiające skonfigurowanie i zainstalowanie oprogramowania antywirusowego na kontrolerze domeny z systemem Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 lub Windows 2000.

Ostrzeżenie Zaleca się zastosowanie podanej poniżej konfiguracji do systemu testowego w celu upewnienia się, że nie wprowadza ona nieoczekiwanych czynników ani nie powoduje pogorszenia stabilności systemu w używanym środowisku. Ryzyko związane ze zbyt rozległym skanowaniem polega na tym, że pliki są niewłaściwie oznaczane jako zmienione. Wynikiem tego jest zbyt szeroka replikacja w usłudze Active Directory. Jeśli testowanie potwierdza, że następujące zalecenia nie wpływają na replikację, można zastosować oprogramowanie antywirusowe w środowisku produkcyjnym.

Uwaga Określone zalecenia od dostawców oprogramowania antywirusowego mogą być ważniejsze od zaleceń zawartych w tym artykule.
 • Oprogramowanie antywirusowe musi być zainstalowane na wszystkich kontrolerach domen w przedsiębiorstwie. Najlepiej jest próbować zainstalować takie oprogramowanie na wszystkich innych serwerach i systemach klienckich, które wchodzą w interakcję z kontrolerami domeny. Optymalną ochroną jest jak najszybsze wychwycenie złośliwego oprogramowania, na przykład na poziomie zapory lub w systemie klienckim, w którym zostaje ono wprowadzone. Dzięki temu złośliwe oprogramowanie nigdy nie dotrze do systemów infrastruktury, z których korzystają klienci.
 • Należy używać wersji oprogramowania antywirusowego przeznaczonej do pracy z kontrolerami domen Active Directory oraz korzystającego z poprawnych interfejsów API (Application Programming Interfaces) dostępu do plików na serwerze. Starsze wersje oprogramowania od większości dostawców niewłaściwie zmieniają metadane pliku podczas jego skanowania. Powoduje to, że aparat usługi replikacji plików rozpoznaje zmianę pliku i uwzględnia go w planowanej replikacji. W nowszych wersjach ten problem nie występuje. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  815263Programy antywirusowe, do wykonywania kopii zapasowej i do optymalizacji dysku zgodne z usługą replikacji plików (strona może być w języku angielskim)
 • Nie należy używać kontrolera domeny do przeglądania Internetu ani do wykonywania innych zadań, z którymi wiąże się ryzyko wprowadzenia złośliwego kodu.
 • Zaleca się zminimalizowanie obciążenia pracą na kontrolerach domeny. Jeśli jest to możliwe, należy unikać używania kontrolerów domeny jako serwerów plików. Pozwala to ograniczyć intensywność działań skanowania w poszukiwaniu wirusów w udziałach plików i minimalizuje obciążenie.
 • Nie należy umieszczać plików dziennika ani plików baz danych usługi Active Directory ani usługi replikacji plików w woluminach skompresowanych systemu plików NTFS.
  Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  318116Problemy z bazami danych Jet na dyskach skompresowanych (strona może być w języku angielskim)

Wyłączanie skanowania usługi Active Directory i plików z nią powiązanych

 • Wyklucz pliki głównej bazy danych usługi NTDS. Lokalizacja tych plików jest określona w następującym kluczu rejestru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  Domyślna lokalizacja to %windir%\Ntds. W szczególności wyklucz następujące pliki:
  Ntds.dit
  Ntds.pat
 • Wyklucz pliki dziennika transakcji usługi Active Directory. Lokalizacja tych plików jest określona w następującym kluczu rejestru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  Domyślna lokalizacja to %windir%\Ntds. W szczególności wyklucz następujące pliki:
  • EDB*.log
  • Res*.log
  • Edb*.jrs
  • Ntds.pat
  Uwaga Plik Ntds.pat nie jest już używany w systemie Windows Server 2003.
 • Wyklucz pliki z folderu roboczego usługi NTDS, określonego w następującym kluczu rejestru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  W szczególności wyklucz następujące pliki:
  • Temp.edb
  • Edb.chk

Wyłączanie skanowania plików w woluminie SYSVOL

 • Wyłącz skanowanie plików w folderze roboczym usługi replikacji plików, określonym w następującym kluczu rejestru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
  Domyślna lokalizacja to %windir%\Ntfrs. Wyklucz następujące pliki, które znajdują się w folderze:
  • edb.chk w folderze %windir%\Ntfrs\jet\sys
  • Ntfrs.jdb w folderze %windir%\Ntfrs\jet
  • *.log w folderze %windir%\Ntfrs\jet\log
 • Wyłącz skanowanie plików w plikach dziennika bazy danych usługi replikacji plików, określonych w następującym kluczu rejestru:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
  Domyślna lokalizacja to %windir%\Ntfrs. Wyklucz następujące pliki:
  • Edb*.log (jeśli klucz rejestru nie jest ustawiony).
  • Katalog roboczy usługi replikacji plików\Jet\Log\Edb*.jrs (Windows Server 2008 i Windows Server 2008 R2).
  Uwaga Ustawienia dotyczące wykluczeń konkretnych plików opisano tu w celu wyczerpania tematu. Domyślnie dostęp do tych folderów mają tylko administratorzy i system. Należy się upewnić, że zastosowano odpowiednią ochronę. Te foldery zawierają tylko pliki robocze składników usługi replikacji plików i replikacji rozproszonego systemu plików.
 • Wyłącz skanowanie folderu przemieszczania zgodnie z określeniem w następującym kluczu rejestru.
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

  Domyślnie plik przemieszczania znajduje się w następującej lokalizacji:
  %systemroot%\Sysvol\Staging areas
  Wyklucz następujące pliki:
  • Nntfrs_cmp*.*
 • Wyłącz skanowanie plików w folderze Sysvol\Sysvol.

  Bieżąca lokalizacja folderu Sysvol\Sysvol i wszystkich jego podfolderów jest lokalizacją docelową ponownej analizy systemu plików katalogu głównego zestawu replik. Folder Sysvol\Sysvol znajduje się w następującej lokalizacji:
  %systemroot%\Sysvol\Domain
  Wyklucz następujące pliki z tego folderu i wszystkich jego podfolderów:
  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • *.aas
  • *.inf
  • Fdeploy.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini
 • Wyłącz skanowanie plików w folderze preinstalacji usługi replikacji plików, który znajduje się w następującej lokalizacji:
  katalog_główny_repliki\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
  Folder preinstalacji jest zawsze otwarty, gdy jest uruchomiona usługa replikacji plików.

  Wyklucz następujące pliki z tego folderu i wszystkich jego podfolderów:
  • Ntfrs*.*
 • Wyłącz skanowanie plików w bazie danych replikacji rozproszonego systemu plików i folderów roboczych. Lokalizacja jest określona przez następujący klucz rejestru:
  HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
  W tym kluczu rejestru pozycja „Path” jest ścieżką pliku XML określającego nazwę grupy replikacji. W tym przykładzie ścieżka zawiera wartość „Domain System Volume”.

  Domyślną lokalizacją jest następujący ukryty folder:
  %systemdrive%\System Volume Information\DFSR
  Wyklucz następujące pliki z tego folderu i wszystkich jego podfolderów:
  • $db_normal$
  • FileIDTable_*
  • SimilarityTable_*
  • *.xml
  • $db_dirty$
  • $db_lost$
  • Dfsr.db
  • Fsr.chk
  • *.frx
  • *.log
  • Fsr*.jrs
  • Tmp.edb
  W przypadku przeniesienia dowolnego z tych folderów bądź plików do innej lokalizacji należy ustawić skanowanie lub wykluczenie elementu równoważnego.

Wyłączanie skanowania plików systemu plików DFS

Te same zasoby, które są wykluczone w przypadku zestawu replik woluminu SYSVOL, muszą być również wykluczone w przypadku używania usługi replikacji plików lub replikacji rozproszonego systemu plików do replikowania udziałów zamapowanych na katalog główny systemu plików DFS i połączone lokalizacje docelowe na kontrolerach domeny lub komputerach członkowskich z systemem Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 lub Windows 2000.

Wyłączanie skanowania plików protokołu DHCP

Domyślnie pliki protokołu DHCP, które powinny zostać wykluczone, znajdują się w następującym folderze na serwerze:
%systemroot%\System32\DHCP
Wyklucz następujące pliki z tego folderu i wszystkich jego podfolderów:
 • *.mdb
 • *.pat
 • *.log
 • *.chk
 • *.edb
Lokalizacja plików protokołu DHCP mogła zostać zmieniona. Aby ustalić bieżącą lokalizację plików protokołu DHCP na serwerze, należy sprawdzić parametry DatabasePath, DhcpLogFilePath i BackupDatabasePath określone w następującym podkluczu rejestru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

W przypadku kontrolerów domeny z systemami Windows Server 2008, Windows Server 2003 i Windows 2000

Wyłączanie skanowania plików systemu DNS

Domyślnie serwer DNS używa następującego folderu:
%systemroot%\System32\Dns
Wyklucz następujące pliki z tego folderu i wszystkich jego podfolderów:
 • *.log
 • *.dns
 • BOOT

Wyłączanie skanowania plików usługi WINS

Domyślnie usługa WINS używa następującego folderu:
%systemroot%\System32\Wins
Wyklucz następujące pliki z tego folderu i wszystkich jego podfolderów:
 • *.chk
 • *.log
 • *.mdb

W przypadku komputerów z systemami Windows w wersjach bazujących na funkcji Hyper-V

W niektórych scenariuszach na komputerze z systemem Windows Server 2008 z zainstalowaną rolą funkcji Hyper-V lub na komputerze z oprogramowaniem Microsoft Hyper-V Server 2008 bądź Microsoft Hyper-V Server 2008 R2 konieczne może być skonfigurowanie wykluczania plików i całych folderów w składniku skanowania w czasie rzeczywistym w oprogramowaniu antywirusowym. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
961804 Brak maszyn wirtualnych w konsoli Menedżer funkcji Hyper-V lub kod błędu „0x800704C8”, „0x80070037” albo „0x800703E3” podczas tworzenia bądź uruchamiania maszyny wirtualnej (strona może być w języku angielskim)
kontroler domeny skanowanie wirusy
Uwaga: Niniejszy artykuł, przeznaczony do „SZYBKIEJ PUBLIKACJI”, został utworzony bezpośrednio przez organizację pomocy technicznej firmy Microsoft. Zawarte w nim informacje są udostępniane „w stanie takim, w jakim są” w odpowiedzi na pojawiające się problemy. W wyniku przyspieszonego trybu udostępniania materiały mogą zawierać błędy typograficzne i mogą zostać poprawione w dowolnym momencie bez uprzedzenia. Więcej informacji można znaleźć w Warunkach użytkowania.
Właściwości

Identyfikator artykułu: 822158 — ostatni przegląd: 03/30/2012 12:52:00 — zmiana: 1.0

Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Microsoft Windows XP Tablet PC Edition, Microsoft Windows XP Media Center Edition 2005 Update Rollup 2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Vista Business, Windows Vista Business 64-bit edition, Windows Vista Enterprise, Windows Vista Enterprise 64-bit edition, Windows Vista Home Basic, Windows Vista Home Basic 64-bit edition, Windows Vista Home Premium, Windows Vista Home Premium 64-bit edition, Windows Vista Ultimate, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows 7 Enterprise, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Professional, Windows 7 Ultimate

 • kbinfo kbprb kbexpertiseinter kbsecurity KB822158
Opinia