针对运行 Windows 或 Windows Server 的企业计算机的病毒扫描建议 (KB822158)

适用于：

Windows Server 2022，所有版本
Windows Server 2019，所有版本
Windows Server 2016，所有版本
Windows Server 2012 R2，所有版本
Windows Server 2012，所有版本
Windows Server 2008 R2 SP1，所有版本
Windows 11，所有版本
Windows 10，所有版本
Windows 8.1，所有版本
Windows 7，所有版本

简介

本文包含的建议可帮助管理员在下列情况中确定可能存在的不稳定问题的原因：

此类问题发生在运行“适用于”部分中列出的 Windows 或 Windows Server 版本的计算机上。
本地系统与 Active Directory 域环境或托管业务环境中的防病毒软件一起使用。
如果使用 Microsoft Defender 防病毒，则本文中提到的部分或所有建议排除项可能是内置或由自动排除想提供。有关详细信息，请参阅以下文章：
- 管理 Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项
- Windows Server 上配置 Microsoft Defender 防病毒排除项

症状

你的运行 Windows 或 Windows Server 的计算机出现以下问题：

系统性能
- 高 CPU 使用率或 CPU 使用率增加
  - 用户模式
  - 内核模式
- 内核内存泄漏
  - 非分页池
  - 分页池
  - 句柄泄漏
- 运行缓慢
  - 使用 Windows 资源管理器时的文件复制
    - 使用控制台应用程序时的文件复制（例如，cmd.exe）
  - 备份操作
稳定性
- 应用程序运行缓慢
  - 访问网络共享或映射驱动器
  - Windows 资源管理器暂时没有响应
- 应用程序失败
  - 访问冲突
- 应用程序停止响应
  - 死锁
    - 远程过程调用 (RPC)
    - 命名管道
  - 竞态条件
  - 专用字节内存泄漏
  - 虚拟字节内存泄漏
  - 虚拟字节内存碎片
操作系统可靠性问题
- 系统停止响应（必须强制重启才能恢复）
  - 死锁
  - 竞态条件
  - 句柄泄漏
  - 非分页池泄漏
  - 分页池泄漏
停止错误（也称为错误检查）
- 解释错误检查代码
- 错误检查代码参考

有关详细信息，请参阅以下文章：

解决方案

在添加防病毒排除项之前，请执行以下步骤：

更新第三方防病毒程序的定义。如果问题仍然存在，请向第三方防病毒供应商的支持团队提交误报 (fp)。
确认没有将特定功能设置为会导致以下更多症状的强化或激进模式：
- 误报
- 应用程序兼容性列表
- 增加资源使用量（例如，高 CPU 使用率（用户模式或内核模式）或高内存使用率（用户模式或内核模式）
- 速度减慢
- 应用程序停止响应
- 应用程序失败
- 无响应的系统
更新第三方防病毒程序的版本。或者，对于测试，请参阅
如何在 Windows 中临时停用内核模式过滤器驱动程序
与第三方防病毒供应商合作以进一步执行排除故障。你可能需要使用以下类型的高级数据来帮助缩小问题范围：

解决方法

重要说明本文包含说明如何降低计算机的安全设置等级以及临时关闭安全功能的相关信息。实施这些更改可以有助于了解特定问题的本质。在实施这些更改之前，建议您对在特定环境中实施此解决方法可能带来的风险进行评估。如果实施此解决方法，请采取任何适当的附加步骤来帮助保护计算机。

警告

不建议使用此解决方法。此信息仅供参考，你应自行决定是否选择实施此解决方法。使用此解决方法需要自担风险。
此解决方法可能使计算机或网络更容易受到恶意用户或病毒等恶意软件的攻击。
我们建议临时应用这些设置，以便对系统行为进行评估。
我们已发现在防病毒软件执行的扫描过程中排除本文所提到的特定文件或文件夹会遇到什么风险。如果在扫描过程中不排除任何文件或文件夹，你的系统将会更安全。
在扫描这些文件时，可能会由于文件锁定出现性能和操作系统可靠性问题。
请不要根据文件扩展名排除任一文件。例如，不要排除具有 .dit 扩展名的全部文件。因为可能会有其他文件使用相同的扩展名，对于这些文件，Microsoft 无法进行控制。
本文提供了可排除的文件名和文件夹。本文介绍的所有文件和文件夹都受到默认权限的保护，只允许系统和管理员访问，并且只包含操作系统组件。排除完整文件夹的操作可能会更简单，但此操作获得的安全可能不及基于文件名排除特定文件的操作所得到的保护。
如果没有其他选项可行，添加防病毒排除项应始终是最后的手段。

请关闭对 Windows 更新文件或自动更新文件的扫描

请关闭对 Windows Update 或自动更新数据库文件 (Datastore.edb) 的扫描。该文件位于以下文件夹中：

%windir%\SoftwareDistribution\Datastore
请关闭对以下文件夹中日志文件的扫描：

%windir%\SoftwareDistribution\Datastore\Logs

具体而言，要排除以下文件：
- Edb*.jrs
- Edb.chk
- Tmp.edb
通配符 (*) 表明可能包含多个文件。

请关闭对 Windows 安全文件的扫描

请添加排除列表的 %windir%\Security\Database 路径中的以下文件：
- *.edb
- *.sdb
- *.log
- *.chk
- *.jrs
- *.xml
- *.csv
- *.cmtx
注意如果不排除这些文件，防病毒软件可能会阻止正确访问这些文件，并且安全数据库可能会损坏。扫描这些文件可防止使用这些文件或防止这些文件应用安全策略。不应对这些文件进行扫描，因为防病毒软件可能不会将它们当做专用的数据库文件来正确处理。

这些是建议的排除项。也可能需要排除本文中没有的其他文件类型。

关闭对组策略相关文件的扫描

组策略用户注册表信息。这些文件位于下面的文件夹中：

%allusersprofile%\

具体而言，要排除以下文件：

NTUser.pol
组策略客户端设置文件。这些文件位于下面的文件夹中：

%SystemRoot%\System32\GroupPolicy\Machine\
%SystemRoot%\System32\GroupPolicy\User\

具体而言，要排除以下文件：

Registry.pol
Registry.tmp

注意: 组策略排除项仅适用于 Windows Server。如果使用的是 Microsoft Defender 防病毒，组策略排除项会包含在自动服务器角色排除项中。

请关闭对用户配置文件的扫描

用户注册表信息和支持文件。这些文件位于以下文件夹中：

userprofile%\

具体而言，要排除以下文件：

NTUser.dat*

在域控制器上运行防病毒软件

因为域控制器要为客户端提供重要服务，因此必须将影响其活动的恶意代码、恶意软件或病毒导致的风险降至最低。防病毒软件是一种广为接受的降低感染风险的方法。安装和配置防病毒软件，可以最大程度地降低域控制器的风险，将病毒对性能所造成的影响降至最低。下面的列表包含了一些有用的建议，可帮助您在 Windows Server 域控制器上配置和安装防病毒软件。

警告我们建议将以下指定配置应用于测试系统，以确保在特定环境中不会引入意外因素或破坏系统的稳定性。过多扫描可能会使文件错误地标记为已更改，从而导致 Active Directory 中产生过多复制。如果经测试确认复制不会受下列建议的影响，则可以将防病毒软件应用到生产环境中。

备注防病毒软件供应商提供的具体建议可能会取代本文中的建议。

企业中的所有域控制器上都必须安装防病毒软件。理想情况下，应设法在必须与域控制器交互的所有其他服务器和客户端系统上安装这种软件。最好在第一时间截杀恶意软件，例如在防火墙处或在恶意软件首先入侵的客户端系统上。这样可以防止恶意软件到达客户端所依赖的基础结构系统。
尽量使用那些专为与 Active Directory 域控制器协作而设计，且使用正确的应用程序编程接口 (API) 访问服务器上的文件的防病毒软件版本。大部分供应商所提供的旧版软件都会在扫描时错误更改文件的元数据，从而导致文件复制服务引擎认为文件已更改，进而安排文件进行复制。更新版本可以防止这种问题发生。
有关更多信息，请参阅以下 Microsoft 知识库文章：

815263 与文件复制服务兼容的防病毒、备份和磁盘优化程序
不要使用域控制器浏览 Internet 或执行任何可能引入恶意代码的其他活动。
我们建议您将域控制器上的工作量降到最低。如果可能，请避免以文件服务器角色使用域控制器。这可降低对文件共享进行的病毒扫描活动，并将性能开销降到最低。
不要将 Active Directory 或 FRS 数据库和日志文件置于 NTFS 文件系统压缩卷上。

关闭对 Active Directory 及其相关文件的扫描

排除主 NTDS 数据库文件。这些文件的位置在下面的注册表子项中指定：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

默认位置为 %windir%\Ntds。具体来说，要排除下列文件：
- Ntds.dit
- Ntds.pat
排除 Active Directory 事务日志文件。这些文件的位置在下面的注册表子项中指定：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

默认位置为 %windir%\Ntds。具体来说，要排除下列文件：
- EDB*.log
- Res*.log
- Edb*.jrs
- Ntds.pat
排除在以下注册表子项中指定的 NTDS 工作文件夹中的文件：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

具体而言，要排除以下文件：
- Temp.edb
- Edb.chk

关闭对 SYSVOL 文件的扫描

关闭对以下注册表子项中指定的文件复制服务 (FRS) 工作文件夹中的文件的扫描：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

默认位置为 %windir%\Ntfrs。排除位于该文件夹中的以下文件：
- %windir%\Ntfrs\jet\sys 文件夹中的 edb.chk
- %windir%\Ntfrs\jet 文件夹中的 Ntfrs.jdb
- %windir%\Ntfrs\jet\log 文件夹中的 *.log
关闭对以下注册表子项中指定的 FRS 数据库日志文件的扫描：

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory

默认位置为 %windir%\Ntfrs。排除下列文件：
- Edb*.log（如果未设置注册表项）
- FRS Working Dir\Jet\Log\Edb*.jrs
备注排除指定文件的设置在此处有完整介绍。默认状态下，这些文件夹只允许系统和管理员访问。请验证正确的保护措施是否生效。这些文件夹只包含 FRS 和 DFSR 的组件工作文件。
请关闭对以下注册表子项中指定的 NTFRS 暂存文件夹的扫描：

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

默认情况下，暂存使用以下位置：

%systemroot%\Sysvol\Staging areas
关闭对 AD DS 中对象 CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName 的 msDFSR-StagingPath 属性指定的 DFSR 暂存文件夹的扫描。此属性包含 DFS 复制用于暂存文件的实际位置的路径。具体来说，要排除下列文件：
- Ntfrs_cmp*.*
- *.frx
请关闭对 Sysvol\Sysvol 文件夹或者 SYSVOL_DFSR\Sysvol 文件夹中文件的扫描。

Sysvol\Sysvol or SYSVOL_DFSR\Sysvol 文件夹及所有子文件夹的当前位置是副本集根路径的文件系统重分析目标。 Sysvol\Sysvol 和 SYSVOL_DFSR\Sysvol 文件夹默认使用以下位置：

%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain

当前活动 SYSVOL 的路径由 NETLOGON 共享引用，并且可以通过以下注册表子项中的 SysVol 值名称来确定：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

从该文件夹及其所有子文件夹中排除下列文件：
- *.adm
- *.admx
- *.adml
- Registry.pol
- Registry.tmp
- *.aas
- *.inf
- Scripts.ini
- *.ins
- Oscfilter.ini
关闭对以下位置的 FRS Preinstall 文件夹中的文件的扫描：

Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

在 FRS 运行时，Preinstall 文件夹将始终处于打开状态。

从该文件夹及其所有子文件夹中排除以下文件：
- Ntfrs*.*
关闭对 DFSR 数据库和工作文件夹中的文件的扫描。位置由以下注册表子项指定：

HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path

在此注册表子项中，“Path”是声明复制组名称的 XML 文件的路径。在此示例中，路径将包含“域系统卷”。

默认位置为以下隐藏文件夹：

%systemdrive%\System Volume Information\DFSR

从此文件夹及其所有子文件夹中排除以下文件：
- $db_normal$
- FileIDTable_*
- SimilarityTable_*
- *.xml
- $db_dirty$
- $db_clean$
- $db_lost$
- Dfsr.db
- Fsr.chk
- *.frx
- *.log
- Fsr*.jrs
- Tmp.edb
注意如果这些文件夹或文件中的任何一个发生了移动，或被置于其他位置，则会扫描或排除等效元素。

关闭对 DFS 文件的扫描

在使用 FRS 或 DFSR 复制映射到 DFS 根和基于 Windows Server 2008 R2 或 Windows Server 2008 的成员计算机或域控制器上的链接目标的共享时，还必须排除为 SYSVOL 副本集排除的相同资源。

关闭对 DHCP 文件的扫描

默认情况下，应排除的 DHCP 文件显示在服务器的以下文件夹中：

%systemroot%\System32\DHCP 从该文件夹及其所有子文件夹中排除以下文件：

*.mdb
*.pat
*.log
*.chk
*.edb

DHCP 文件的位置可以更改。要确定服务器上 DHCP 文件的当前位置，请查看以下注册表子项中指定的 DatabasePath、DhcpLogFilePath 和 BackupDatabasePath 参数：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

关闭对 DNS 文件的扫描

默认状态下，DNS 使用以下文件夹：

%systemroot%\System32\Dns 从该文件夹及其所有子文件夹中排除以下文件：

*.log
*.dns
BOOT

关闭对 WINS 文件的扫描

默认状态下，WINS 使用以下文件夹：

%systemroot%\System32\Wins
从该文件夹及其所有子文件夹中排除以下文件：

*.chk
*.log
*.mdb

对于在不同 Windows 版本上运行 Hyper-V 的计算机

在某些情况下，在已安装 Hyper-V 角色的基于 Windows Server 2008 的计算机或者在基于 Microsoft Hyper-V Server 2008 或 Microsoft Hyper-V Server 2008 R2 的计算机上，可能有必要配置防病毒软件内的实时扫描组件，以排除文件和整个文件夹。有关更多信息，请参阅以下 Microsoft 知识库文章：

961804 尝试启动或创建虚拟机时，虚拟机缺失或出现错误 0x800704C8、0x80070037 或 0x800703E3

后续步骤

如果本文提供的建议帮助提高了系统的性能或稳定性，请联系你的防病毒软件供应商，以获取相关说明或防病毒软件的更新版本或设置。

注意第三方防病毒供应商可以与 Microsoft 支持团队合作，在商业上共同努力。

参考

Microsoft 客户支持服务协议

Microsoft 服务协议

Microsoft 病毒倡议

更改历史记录

下表汇总了本主题的一些最重要的更改。

日期	描述
2021 年 8 月 17 日	更新了“更多信息”部分中的备注：“Windows 10、Windows Server 2016及更高版本上的备注...”
2021 年 11 月 2 日	更新了“详细信息”部分中的备注：“这也适用于 Windows Server 2012 R2...”
2022 年 3 月 14 日	对整篇文章进行了修订。添加了“症状”和“解决方案”部分，并对剩余内容进行了重新组织。
2023 年 7 月 14 日	在“简介”部分添加了第三个项目符号项。添加了“症状”部分标题。删除了“详细信息”部分。
2023 年 8 月 7 日	修复了在排除列表中同时运行多行的布局问题