您目前已離線,請等候您的網際網路重新連線

適用於執行目前 Windows 支援版本之企業電腦的病毒掃描建議

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

注意事項

適用於家庭使用者的資訊:

如需適用於客戶之病毒掃描建議的詳細資訊,請造訪下列 Microsoft 的網頁:
簡介
本文內含的建議可以在 Active Directory 網域環境或受管理的企業環境中同時使用執行 Microsoft Windows 支援版本的電腦和防毒軟體時,協助系統管理員判斷電腦可能不穩定的原因。

注意 我們建議您暫時套用這些程序以評估系統。如果您的系統效能或穩定性因本文中的建議而有所改善,請連絡您的防毒軟體廠商索取說明或防毒軟體的更新版本。

重要本文內含的資訊將說明如何降低安全性設定,或暫時關閉電腦上的安全性功能。您可以進行這些變更以瞭解特定問題的性質。在進行這些變更之前,建議您先評估在特定環境中採用此因應措施的相關風險。如果您決定採用此因應措施,請採用任何其他的適當步驟,以協助保護電腦。
其他相關資訊

如果是執行 Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、Windows XP、Windows Vista、Windows 7 或 Windows 8、Windows 8.1 的電腦

警告這個解決方案可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。雖然不建議使用這個替代解決方案,但我們仍提供這項資訊,讓您可以自行選擇是否採用這個解決方案。請自行承擔使用此替代解決方案的風險。

注意事項
  • 我們知道如果讓您的防毒軟體排除掃描本文提及的特定檔案或資料夾會遭受的風險。如果您不排除掃描任何檔案或資料夾,系統可能會更安全。
  • 當您掃描這些檔案時,可能會因為檔案鎖定而發生效能及作業系統可靠性問題。
  • 請勿根據副檔名排除其中任何一個檔案。例如,請勿排除副檔名為 .dit 的所有檔案。Microsoft 對於使用與本文所述相同副檔名的其他檔案,沒有控制權。
  • 本文一併提供可以排除的檔案名稱和資料夾。本文所述的所有檔案和資料夾都受到僅允許「系統」和系統管理員存取的預設權限所保護,且這些檔案和資料夾僅內含作業系統元件。排除整個資料夾可能較為容易,但卻無法像依據檔案名稱來排除特定檔案一樣,提供同樣安全的保護。

 

關閉對 Windows Update 或自動更新相關檔案的掃描

  • 關閉 Windows Update 或自動更新資料庫檔案 (Datastore.edb) 的掃描。這個檔案位於下列資料夾:
    %windir%\SoftwareDistribution\Datastore
  • 關閉對位於下列資料夾之記錄檔的掃描:
    %windir%\SoftwareDistribution\Datastore\Logs
    請特別排除下列檔案:
    • Edb*.jrs
    • Edb.chk
    • Tmp.edb
  • 萬用字元 (*) 表示可能有數個檔案。

關閉對 Windows 安全性檔案的掃描

  • 將下列位於 %windir%\Security\Database 路徑的檔案新增到排除清單:
    • *.edb
    • *.sdb
    • *.log
    • *.chk
    • *.jrs
    注意 如果沒有排除這些檔案,防毒軟體可能會防止您正確存取這些檔案,而安全性資料庫可能會因此發生損毀。掃描這些檔案可避免檔案遭到使用,或避免將安全性原則套用到這些檔案。防毒軟體可能無法將這些檔案正確視為專屬的資料庫檔案,因此不該掃描這些檔案。

關閉對群組原則相關檔案的掃描

  • 群組原則使用者登錄資訊。這些檔案位於下列資料夾:
    %allusersprofile%\
    請特別排除下列檔案:
    NTUser.pol
  • 群組原則用戶端設定檔。這些檔案位於下列資料夾:
    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\
    請特別排除下列檔案:
    Registry.pol
如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
951059 Windows Server 2003 電腦上的登錄原則設定會在使用者登入電腦之後意外遭到移除
(機器翻譯)
930597 某些 Windows XP 電腦或 Windows Vista 電腦上的登錄原則設定遺失,且錯誤訊息記錄到應用程式記錄檔中
(機器翻譯)

對於 Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 及 Windows Server 2003 網域控制站

因為網域控制站提供客戶端重要的服務,因此必須將其活動受到惡意程式碼或病毒而發生中斷的風險降到最低。防毒軟體是減輕病毒感染風險一般採用的方法。請安裝並設定防毒軟體,盡可能降低網域控制站的風險,讓效能盡量不受到影響。下列清單內含的建議可以協助您在 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 網域控制站上設定及安裝防毒軟體。

警告我們建議您將下列指定的設定套用到測試系統,以便確定不會在您的特定環境中,引入非預期的因素或破壞系統的穩定性。掃描過多的風險就是檔案會被不當標上已變更的旗標,造成 Active Directory 中產生過多複寫。如果測試結果確認複寫不受下列建議的影響,您就可以將防毒軟體套用至實際執行環境。

注意 防毒軟體廠商的特定建議可能會取代本文中的建議。
  • 防毒軟體必須安裝在企業中所有的網域控制站上。最理想的情況是,嘗試在所有其他必須與網域控制站進行互動的伺服器和用戶端系統上安裝這類軟體。最好是能夠在第一時間抓到惡意程式碼,例如在最先引入惡意程式碼的防火牆或用戶端系統上。如此可防止惡意程式碼進入用戶端所依賴的基礎結構系統。
  • 使用設計用於 Active Directory 網域控制站,且採用正確「應用程式發展介面」(API) 來存取伺服器上檔案的防毒軟體版本。大部分廠商的舊版軟體都會在掃描時不當變更檔案中繼資料,造成檔案複寫服務 (FRS) 引擎認為檔案有變更,因而將檔案排程進行複寫。新版本會防止這個問題。如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
    815263與檔案複寫服務 (FRS) 相容的防毒、備份和磁碟最佳化程式
    (機器翻譯)
  • 請勿使用網域控制站來瀏覽網際網路,或者執行任何其他可能會引入惡意程式碼的活動。
  • 我們建議您將網域控制站的工作負載降到最低。可能的話,請避免使用檔案伺服器角色中的網域控制站。如此能減少檔案共用上的病毒掃描活動,並將效能負荷降到最低。
  • 請勿將 Active Directory 或 FRS 資料庫和記錄檔放到 NTFS 檔案系統壓縮磁碟區上。
    如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
    318116壓縮磁碟機的 JET 資料庫問題
    (機器翻譯)

關閉對 Active Directory 和 Active Directory 相關檔案的掃描

  • 排除主要 NTDS 資料庫檔案。這些檔案的位置是在下列登錄機碼中指定的:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
    預設位置是 %windir%\Ntds。特別是,請排除下列檔案:
    Ntds.dit
    Ntds.pat
  • 請排除 Active Directory 交易記錄檔。這些檔案的位置是由下列登錄機碼指定:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
    預設位置是 %windir%\Ntds。請特別排除下列檔案:
    • EDB*.log
    • Res*.log
    • Edb*.jrs
    • Ntds.pat
    注意 Windows Server 2003 不再使用 Ntds.pat 檔案。
  • 請排除由下列登錄機碼指定的 NTDS 工作資料夾中的檔案:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
    特別是,請排除下列檔案:
    • Temp.edb
    • Edb.chk

關閉對 SYSVOL 檔案的掃描

  • 關閉對由下列登錄機碼指定,在「檔案複寫服務」(FRS) 工作資料夾中檔案的掃描:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
    預設位置是 %windir%\Ntfrs。
    • [%windir%\Ntfrs\jet\sys] 資料夾中的 edb.chk
    • [%windir%\Ntfrs\jet] 資料夾中的 Ntfrs.jdb
    • [%windir%\Ntfrs\jet\log] 資料夾中的 *.log
  • 關閉對下列登錄機碼指定的 FRS 資料庫記錄檔中檔案的掃描:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
    預設位置是 %windir%\Ntfrs。請排除下列檔案:
    • Eedb*.log (如果未設定登錄機碼)。
    • FRS Working Dir\Jet\Log\Edb*.jrs (Windows Server 2008 和 Windows Server 2008 R2)。
    注意關於排除特定檔案的設定因完整性考量而在此說明。根據預設,這些資料夾只允許系統和系統管理員存取。請確認已使用正確的保護。這些資料夾只包含 FRS 和 DFSR 的元件工作檔案。
  • 關閉對下列登錄機碼指定之複寫用快取資料夾的掃描。
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    執行資料夾預設為下列位置:
    %systemroot%\Sysvol\Staging areas
    請排除下列檔案:
    • Nntfrs_cmp*.*
  • 關閉對 Sysvol\Sysvol 資料夾中檔案的掃描。

    Sysvol\Sysvol 資料夾以及其所有子資料夾的目前位置是複本集根目錄的檔案系統重新分析目標。Sysvol\Sysvol 資料夾使用下列位置:
    %systemroot%\Sysvol\Domain
    請排除下列此資料夾及其所有子資料夾中的檔案:
    • *.adm
    • *.admx
    • *.adml
    • Registry.pol
    • *.aas
    • *.inf
    • Scripts.ini
    • *.ins
    • Oscfilter.ini
  • 關閉下列位置中 FRS 預先安裝資料夾的檔案掃描:
    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
    FRS 正在執行時,Preinstall 資料夾一定會開啟。

    請排除下列此資料夾及其所有子資料夾中的檔案:
    • Ntfrs*.*
  • 關閉對位於 DFSR 資料庫和工作資料夾中檔案的掃描。位置是由下列註冊機碼指定:
    HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path >
    在這個登錄機碼中,「Path」是 XML 檔案的路徑,表示複寫群組的名稱。在這個範例中,路徑會包含「Domain System Volume」。

    預設位置在下列的隱藏資料夾:
    %systemdrive%\System Volume Information\DFSR
    請排除下列此資料夾及其所有子資料夾中的檔案:
    • $db_normal$
    • FileIDTable_*
    • SimilarityTable_*
    • *.xml
    • $db_dirty$
    • $db_clean$
    • $db_lost$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
    如果上述任何一個資料夾或檔案已移動或放在不同的位置,請掃描或排除同等的元素。

關閉對 DFS 檔案的掃描

當使用 FRS 或 DFSR 來複寫對應至 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 成員電腦或網域控制站上 DFS 根目錄和連結目標的共用時,也必須排除針對 SYSVOL 複寫集而排除的相同資源。

關閉對 DHCP 檔案的掃描

根據預設,應該排除的 DHCP 檔案是存在於伺服器的下列資料夾中:
%systemroot%\System32\DHCP
請排除下列此資料夾及其所有子資料夾中的檔案:
  • *.mdb
  • *.pat
  • *.log
  • *.chk
  • *.edb
DHCP 檔案的位置可以變更。若要判斷目前伺服器上 DHCP 檔案的位置,請檢查由下列登錄子機碼指定的 DatabasePathDhcpLogFilePathBackupDatabasePath 參數:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

關閉對 DNS 檔案的掃描

根據預設,DNS 使用下列資料夾:
%systemroot%\System32\Dns
請排除下列此資料夾及其所有子資料夾中的檔案:
  • *.log
  • *.dns
  • BOOT

關閉對 WINS 檔案的掃描

根據預設,WINS 使用下列資料夾:
%systemroot%\System32\Wins
請排除下列此資料夾及其所有子資料夾中的檔案:
  • *.chk
  • *.log
  • *.mdb

對於執行 Windows Hyper-V 版本的電腦

在某些情況下,安裝了 Hyper-V 角色的 Windows Server 2008 電腦,或是 Microsoft Hyper-V Server 2008 或 Microsoft Hyper-V Server 2008 R2 電腦,可能必須在防毒軟體內設定即時掃描元件才能排除檔案和所有資料夾。如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
961804 Hyper-V 管理員主控台中的虛擬機器遺失或建立或啟動虛擬機器時,您收到下列其中一個錯誤碼:「0x800704C8」、「0x80070037」或「0x800703E」
(機器翻譯)
virus scan dc
內容

文章識別碼:822158 - 最後檢閱時間:04/15/2015 16:36:00 - 修訂: 5.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows RT 8.1, Windows 8.1, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows RT, Windows 8, Windows 8 Enterprise, Windows 8 Pro, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • kbinfo kbprb kbexpertiseinter kbsecurity KB822158
意見反應