针对运行 Windows 或 Windows Server 的企业计算机的病毒扫描建议 (KB822158)

请关闭对 Windows 更新文件或自动更新文件的扫描

• 请关闭对 Windows Update 或自动更新数据库文件 (Datastore.edb) 的扫描。 该文件位于以下文件夹中：

       %windir%\SoftwareDistribution\Datastore

• 请关闭对以下文件夹中日志文件的扫描：

       %windir%\SoftwareDistribution\Datastore\Logs
  
  具体而言，要排除以下文件：

  • Edb*.jrs

  • Edb.chk

  • Tmp.edb

• 通配符 (*) 表明可能包含多个文件。

请关闭对 Windows 安全文件的扫描

• 请添加排除列表的 %windir%\Security\Database 路径中的以下文件：

  • *.edb

  • *.sdb

  • *.log

  • *.chk

  • *.jrs

  • *.xml

  • *.csv

  • *.cmtx

  注意 如果不排除这些文件，防病毒软件可能会阻止正确访问这些文件，并且安全数据库可能会损坏。 扫描这些文件可防止使用这些文件或防止这些文件应用安全策略。 不应对这些文件进行扫描，因为防病毒软件可能不会将它们当做专用的数据库文件来正确处理。
  
  这些是建议的排除项。 也可能需要排除本文中没有的其他文件类型。

关闭对组策略相关文件的扫描

• 组策略用户注册表信息。 这些文件位于下面的文件夹中：

       计算机： %allusersprofile%\
       用户：%ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\
  
  具体而言，请排除以下文件：

       NTUser.pol

• 组策略客户端设置文件。 这些文件位于下面的文件夹中：

       %SystemRoot%\System32\GroupPolicy\Machine\
       %SystemRoot%\System32\GroupPolicy\User\
  
  具体而言，要排除以下文件：

       Registry.pol
       Registry.tmp

请关闭对用户配置文件的扫描

• 用户注册表信息和支持文件。 这些文件位于以下文件夹中：
  
       %userprofile%\
  
  具体而言，请排除以下文件：
  
       NTUser.dat*

在域控制器上运行防病毒软件

因为域控制器要为客户端提供重要服务，因此必须将影响其活动的恶意代码、恶意软件或病毒导致的风险降至最低。 防病毒软件是一种广为接受的降低感染风险的方法。 安装和配置防病毒软件，可以最大程度地降低域控制器的风险，将病毒对性能所造成的影响降至最低。 下面的列表包含了一些有用的建议，可帮助您在 Windows Server 域控制器上配置和安装防病毒软件。

警告 建议将以下指定配置应用于测试系统，以确保在特定环境中，此配置不会引入意外因素或损害系统的稳定性。 过多扫描可能会使文件错误地标记为已更改， 从而导致 Active Directory 中产生过多复制。 如果经测试确认复制不会受下列建议的影响，则可以将防病毒软件应用到生产环境中。

备注 防病毒软件供应商提供的具体建议可能会取代本文中的建议。

• 企业中的所有域控制器上都必须安装防病毒软件。 理想情况下，应设法在必须与域控制器交互的所有其他服务器和客户端系统上安装这种软件。 最好在第一时间截杀恶意软件，例如在防火墙处或在恶意软件首先入侵的客户端系统上。 这样可以防止恶意软件到达客户端所依赖的基础结构系统。

• 使用旨在与 Active Directory 域控制器配合使用并使用正确的应用程序编程接口 (API) 访问服务器上的文件的防病毒软件版本。 大部分供应商所提供的旧版软件都会在扫描时错误更改文件的元数据，

• 请勿使用域控制器浏览 Internet 或执行可能引入恶意代码的其他活动。

• 我们建议您将域控制器上的工作量降到最低。 例如，如果可能，请避免在文件服务器角色中使用域控制器。 这种做法可减少文件共享上的病毒扫描活动，并最大程度地降低性能开销。

• 不要将 Active Directory 和日志文件放在 NTFS 文件系统压缩卷上。

关闭对 Active Directory 及其相关文件的扫描

• 排除主 NTDS 数据库文件。 这些文件的位置在下面的注册表子项中指定：

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
  
  默认位置为 %windir%\Ntds。 具体来说，要排除下列文件：

  • Ntds.dit

  • Ntds.pat

• 排除 Active Directory 事务日志文件。 这些文件的位置在下面的注册表子项中指定：

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
  
  默认位置为 %windir%\Ntds。 具体来说，要排除下列文件：

  • EDB*.log

  • Res*.log

  • Edb*.jrs

  • Ntds.pat

• 排除在以下注册表子项中指定的 NTDS 工作文件夹中的文件：

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
  
  具体而言，要排除以下文件：

  • Temp.edb

  • Edb.chk

关闭对 SYSVOL 文件的扫描

• 请关闭对 Sysvol\Sysvol 文件夹或者 SYSVOL_DFSR\Sysvol 文件夹中文件的扫描。
  
  Sysvol\Sysvol or SYSVOL_DFSR\Sysvol 文件夹及所有子文件夹的当前位置是副本集根路径的文件系统重分析目标。 Sysvol\Sysvol 和 SYSVOL_DFSR\Sysvol 文件夹默认使用以下位置：

  %systemroot%\Sysvol\Domain
  %systemroot%\Sysvol_DFSR\Domain

  当前活动 SYSVOL 的路径由 NETLOGON 共享引用，并且可以通过以下注册表子项中的 SysVol 值名称来确定：

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

• 从该文件夹及其所有子文件夹中排除下列文件：

  • *.adm

  • *.admx

  • *.adml

  • Registry.pol

  • Registry.tmp

  • *.aas

  • *.inf

  • Scripts.ini

  • *.ins

  • Oscfilter.ini

• 关闭对 DFSR 数据库和工作文件夹中的文件的扫描。 位置在以下注册表子项中指定：

  
  
  HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path 在此注册表子项中，“路径”是包含复制组名称的 XML 文件的路径。 在此示例中，路径将包含“域系统卷”。
  
  默认位置为以下隐藏文件夹：

       %systemdrive%\System Volume Information\DFSR
  
  从此文件夹及其所有子文件夹中排除以下文件：

  • $db_normal$

  • FileIDTable_*

  • SimilarityTable_*

  • *.xml

  • $db_dirty$

  • $db_clean$

  • $db_lost$

  • Dfsr.db

  • Fsr.chk

  • *.frx

  • *.log

  • Fsr*.jrs

  • Tmp.edb

  注意 如果这些文件夹或文件中的任何一个发生了移动，或被置于其他位置，则会扫描或排除等效元素。

关闭对 DFS 文件的扫描

如果使用 DFSR 复制映射到Windows Server成员计算机或域控制器上的 DFS 根目标和链接目标的共享，则还必须排除为 SYSVOL 副本 (replica) 集排除的相同资源。

关闭对 DHCP 文件的扫描

默认情况下，应排除的 DHCP 文件显示在服务器的以下文件夹中：

     %systemroot%\System32\DHCP

从该文件夹及其所有子文件夹中排除下列文件：

• *.mdb

• *.pat

• *.log

• *.chk

• *.edb

DHCP 文件的位置可以更改。 要确定服务器上 DHCP 文件的当前位置，请查看以下注册表子项中指定的 DatabasePath、DhcpLogFilePath 和 BackupDatabasePath 参数：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

关闭对 DNS 文件的扫描

默认状态下，DNS 使用以下文件夹：

%systemroot%\System32\Dns 从该文件夹及其所有子文件夹中排除以下文件：

• *.log

• *.dns

• BOOT

关闭对 WINS 文件的扫描

默认状态下，WINS 使用以下文件夹：

     %systemroot%\System32\Wins

从该文件夹及其所有子文件夹中排除下列文件：

• *.chk

• *.log

• *.mdb

对于在不同 Windows 版本上运行 Hyper-V 的计算机

在某些情况下，在安装了 Hyper-V 角色Windows Server计算机上，可能需要在防病毒软件中配置实时扫描组件以排除文件和整个文件夹。 有关更多信息，请参见以下知识库文章：

• 961804 尝试启动或创建虚拟机时，虚拟机缺失或出现错误 0x800704C8、0x80070037 或 0x800703E3

后续步骤

如果本文中的建议提高了系统性能或稳定性，请与防病毒软件供应商联系以获取说明或防病毒软件的更新版本或设置。

注意 第三方防病毒供应商可以与 Microsoft 支持部门 团队合作，以商业上合理的努力。

更改历史记录

 下表汇总了对本主题最重要的更改。