你目前正处于脱机状态,正在等待 Internet 重新连接

针对运行当前受支持 Windows 版本的企业计算机的病毒扫描建议

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

注意

面向家庭用户的信息

有关对消费者的病毒扫描建议的详细信息,请访问以下 Microsoft 网页:
简介
本文包含的建议可帮助管理员确定在 Active Directory 域环境或托管企业环境中运行受支持的 Microsoft Windows 版本的计算机在运行防病毒软件时出现不稳定情况的原因。

注意 我们建议您临时应用这些步骤对系统进行评估。如果本文提供的建议帮助提高了系统的性能或稳定性,请联系您的防病毒软件供应商,以获取相关说明或防病毒软件的更新版本。

重要说明本文包含说明如何降低计算机的安全设置或临时关闭安全功能的相关信息。实施这些更改可以有助于了解特定问题的本质。在实施这些更改之前,建议您对在特定环境中实施此解决方法可能带来的风险进行评估。若要实施此方法,请执行任何适当的附加操作以帮助保护计算机。
更多信息

对于运行 Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、Windows XP、Windows Vista、Windows 7 或 Windows 8、Windows 8.1 的计算机

警告此替代方法可能导致计算机或网络更易于受到恶意用户或恶意软件(如病毒)的攻击。我们不建议使用此替代方法,但我们提供了相关信息,以便您自己酌情决定是否实施此替代方法。使用此替代方法需要您自担风险。

注意
  • 我们发现在防病毒软件执行的扫描过程中排除了本文所提到的特定文件或文件夹会遇到的风险。但是,如果在扫描过程中不排除任何文件或文件夹,您的系统可能会更安全。
  • 在扫描这些文件时,可能会由于文件锁定出现性能和操作系统可靠性问题。
  • 请不要根据文件扩展名排除任一文件。例如,不要排除具有 .dit 扩展名的全部文件。因为可能会有其他文件使用相同的扩展名,对于这些文件,Microsoft 无法进行控制。
  • 本文提供了可排除的文件名和文件夹。本文介绍的所有文件和文件夹都受到默认权限的保护,只允许系统和管理员访问,并且只包含操作系统组件。排除完整文件夹的操作可能会更简单,但此操作获得的安全可能不及基于文件名排除特定文件的操作所得到的保护。

 

请关闭对 Windows Update 或与自动更新相关的文件的扫描

  • 请关闭对 Windows Update 或自动更新数据库文件 (Datastore.edb) 的扫描。该文件位于以下文件夹中:
    %windir%\SoftwareDistribution\Datastore
  • 请关闭对以下文件夹中日志文件的扫描:
    %windir%\SoftwareDistribution\Datastore\Logs
    具体来说,要排除下列文件:
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • 通配符 (*) 表明可能包含多个文件。

请关闭对 Windows 安全文件的扫描

  • 请添加排除列表的 %windir%\Security\Database 路径中的以下文件:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    注意 如果不排除这些文件,防病毒软件可能会阻止正确访问这些文件,安全数据库可能会损坏。扫描这些文件可防止使用这些文件或防止这些文件应用安全策略。不应对这些文件进行扫描,因为防病毒软件可能不会将它们当做专用的数据库文件来正确处理。

关闭对组策略相关文件的扫描

  • 组策略用户注册表信息。这些文件位于下面的文件夹中:
    %allusersprofile%\
    具体来说,要排除下列文件:
    NTUser.pol
  • 组策略客户端设置文件。这些文件位于以下文件夹中:
    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\
    具体来说,要排除下列文件:
    Registry.pol
有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
951059 在基于 Windows Server 2003 的计算机上,基于注册表的策略设置会在用户登录到计算机后被意外删除
930597 会丢失一些基于注册表的策略设置,并且基于 Windows XP 或 Windows Vista 的计算机上的应用程序日志会记录错误消息

对于 Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 和 Windows Server 2003 域控制器

因为域控制器要为客户端提供重要服务,因此必须将影响其活动的恶意代码、恶意软件或病毒导致的风险降至最低。防病毒软件是一种广为接受的降低感染风险的方法。安装和配置防病毒软件,可以最大程度地降低域控制器的风险,将病毒对性能所造成的影响降至最低。下面的列表包含了一些有用的建议,可帮助您在 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 域控制器上配置和安装防病毒软件。

警告我们建议您将以下指定配置应用于测试系统,以确保在特定环境中不会带来意外因素或破坏系统的稳定性。过多扫描可能会使文件错误地标记为已更改,从而导致 Active Directory 中产生过多复制。如果经测试确认复制不会受下列建议的影响,则可以将防病毒软件应用到生产环境中。

注意 防病毒软件供应商提供的具体建议可以取代本文中的建议。
  • 企业中的所有域控制器上都必须安装防病毒软件。理想情况下,应设法在必须与域控制器交互的所有其他服务器和客户端系统上安装这种软件。最好在第一时间截杀恶意软件,例如在防火墙处或在恶意软件首先入侵的客户端系统上。这样可以防止恶意软件到达客户端所依赖的基础结构系统。
  • 尽量使用那些专为与 Active Directory 域控制器协作而设计,且使用正确的应用程序编程接口 (API) 访问服务器上的文件的防病毒软件版本。大部分供应商所提供的旧版软件都会在扫描时错误更改文件的元数据,从而导致文件复制服务引擎认为文件已更改,进而安排文件进行复制。更新版本可以防止这种问题发生。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    815263与文件复制服务兼容的防病毒、备份和磁盘优化程序
  • 不要使用域控制器浏览 Internet 或执行任何可能引入恶意代码的其他活动。
  • 我们建议您将域控制器上的工作量降到最低。如果可能,请避免以文件服务器角色使用域控制器。这可降低对文件共享进行的病毒扫描活动,并将性能开销降到最低。
  • 不要将 Active Directory 或 FRS 数据库和日志文件置于 NTFS 文件系统压缩卷上。
    有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    318116与压缩的驱动器上的 Jet 数据库相关的问题

关闭对 Active Directory 及其相关文件的扫描

  • 排除主 NTDS 数据库文件。这些文件的位置在以下注册表项中指定:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    默认位置是 %windir%\Ntds。具体来说,要排除下列文件:
    Ntds.dit
    Ntds.pat
  • 排除 Active Directory 事务日志文件。这些文件的位置在以下注册表项中指定:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    默认位置为 %windir%\Ntds。具体来说,要排除下列文件:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    注意:Windows Server 2003 不再使用 Ntds.pat 文件。
  • 排除在以下注册表项中指定的 NTDS 工作文件夹中的文件:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    具体来说,要排除下列文件:
    • Temp.edb
    • Edb.chk

关闭对 SYSVOL 文件的扫描

  • 关闭对以下注册表项中指定的文件复制服务 (FRS) 工作文件夹中的文件的扫描
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    默认位置是 %windir%\Ntfrs。排除存在于该文件夹中的以下文件:
    • %windir%\Ntfrs\jet\sys 文件夹中的 edb.chk
    • %windir%\Ntfrs\jet 文件夹中的 Ntfrs.jdb
    • %windir%\Ntfrs\jet\log 文件夹中的 *.log
  • 关闭对以下注册表项中指定的 FRS 数据库日志文件的扫描:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    默认位置是 %windir%\Ntfrs。排除下列文件:
    • Edb*.log(如果未设置注册表项)。
    • FRS 工作文件夹\Jet\Log\Edb*.jrs(Windows Server 2008 和 Windows Server 2008 R2)。
    注意排除指定文件的设置在此处有完整介绍。默认状态下,这些文件夹只允许系统和管理员访问。请验证正确的保护已实施。这些文件夹只包含 FRS 和 DFSR 的组件工作文件。
  • 请关闭对以下注册表项中指定的暂存文件夹的扫描。
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    默认状态下,暂存文件使用以下位置:
    %systemroot%\Sysvol\Staging areas
    排除下列文件:
    • Nntfrs_cmp*.*
  • 请关闭对 Sysvol\Sysvol 文件夹中的文件的扫描。

    Sysvol\Sysvol 文件夹及其所有子文件夹的当前位置是副本集根路径的文件系统重分析目标。Sysvol\Sysvol 文件夹使用以下位置:
    %systemroot%\Sysvol\Domain
    从该文件夹及其所有子文件夹中排除下列文件:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • 关闭对以下位置的 FRS Preinstall 文件夹中的文件的扫描:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    在 FRS 运行时,Preinstall 文件夹将始终处于打开状态。

    从该文件夹及其所有子文件夹中排除下列文件:
    • Ntfrs*.*
  • 关闭对 DFSR 数据库和工作文件夹中的文件的扫描。位置由以下注册表项指定:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    在该注册表项中,“Path”是表明复制组名称的 XML 文件的路径。在该示例中,此路径包含“域系统卷”。

    默认位置为以下隐藏文件夹:
    %systemdrive%\System Volume Information\DFSR
    从该文件夹及其所有子文件夹中排除下列文件:
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    如果这些文件夹或文件中的任何一个发生了移动,或被置于其他位置,则会扫描或排除等效元素。

关闭对 DFS 文件的扫描

在使用 FRS 或 DFSR 复制映射到 DFS 根和基于 Windows Server 2008 R2、Windows Server 2008 和 Windows Server 2003 成员计算机或域控制器上的链接目标的共享时,还必须排除为 SYSVOL 副本集排除的相同资源。

关闭对 DHCP 文件的扫描

默认情况下,应排除的 DHCP 文件显示在服务器的以下文件夹中:
%systemroot%\System32\DHCP
从该文件夹及其所有子文件夹中排除下列文件:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
DHCP 文件的位置可以更改。要确定服务器上 DHCP 文件的当前位置,请查看以下注册表子项中指定的 DatabasePathDhcpLogFilePathBackupDatabasePath 参数:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

关闭对 DNS 文件的扫描

默认状态下,DNS 使用以下文件夹:
%systemroot%\System32\Dns
从该文件夹及其所有子文件夹中排除下列文件:
  • *.log
  • *.dns
  • BOOT

关闭对 WINS 文件的扫描

默认状态下,WINS 使用以下文件夹:
%systemroot%\System32\Wins
从该文件夹及其所有子文件夹中排除下列文件:
  • *.chk
  • *.log
  • *.mdb

对于运行基于 Hyper-V 的 Windows 版本的计算机

在某些情况下,在已安装 Hyper-V 角色的基于 Windows Server 2008 的计算机或者在基于 Microsoft Hyper-V Server 2008 或 Microsoft Hyper-V Server 2008 R2 的计算机上,可能有必要配置防病毒软件内的实时扫描组件,以排除文件和整个文件夹。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
961804 Hyper-V 管理器控制台中的虚拟机缺失,或者创建或启动虚拟机时收到以下错误代码之一:“0x800704C8”、“0x80070037”或“0x800703E3”
virus scan dc
属性

文章 ID:822158 - 上次审阅时间:04/15/2015 16:36:00 - 修订版本: 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows RT 8.1, Windows 8.1, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows RT, Windows 8, Windows 8 Enterprise, Windows 8 Pro, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • kbinfo kbprb kbexpertiseinter kbsecurity KB822158
反馈
trl = ""; document.write("