套用到
Windows

適用於: Windows Server 2025、所有版本 Windows Server 2022、所有版本 Windows Server 2019、所有版本 Windows Server 2016、所有版本 Windows Server 2012 R2、所有版本Windows Server 2012、所有版本 Windows 11、所有版本 Windows 10、所有版本

簡介

本文包含的建議可幫助管理員,在下列情況中判斷造成不穩定的可能原因:

徵兆

您的 Windows 或 Windows Server 電腦遇到下列問題:

  • 系統效能

    • 高 CPU 或增加 CPU 使用率

      • 使用者模式

      • 核心模式

    • 核心記憶體流失

      • 非分頁集區

      • 分頁集區

      • 控制代碼流失

    • 速度緩慢

      • 使用 Windows 檔案總管複製檔案時

        • 使用控制台應用程式 (例如 cmd.exe) 複製檔案時

      • 備份作業

  • 穩定性

    • 應用程式速度緩慢

      • 存取網絡共用或對應磁碟機

      • Windows 檔案總管暫時沒有回應

    • 應用程式失敗

      • 存取違規

    • 應用程式停止回應

      • 鎖死

        • 遠端程序呼叫 (RPC)

        • 具名管道

      • 競爭條件

      • 私用位元組記憶體流失

      • 虛擬位元組記憶體流失

      • 虛擬位元組記憶體分散

  • 作業系統可靠性問題

    • 系統停止回應 (您必須強制重新開機才能復原)

      • 鎖死

      • 競爭條件

      • 控制代碼流失

      • 非分頁集區流失

      • 分頁集區流失

  • 停止錯誤 (也稱為錯誤 (Bug) 檢查)

如需詳細資訊,請參閱下列文章:

解決方案

在新增要排除的防毒軟體之前,請依照下列步驟執行:

  1. 更新第三方防毒軟體程式的定義。 如果問題持續發生,請將誤判 (FP) 提交給第三方防病毒軟體廠商支援。

  2. 確認您並未將特定功能設定為強化或加強模式,導致更常出現下列徵狀:

    • 誤判

    • 應用程式相容性問題

    • 增加資源使用量 (例如,高 CPU 使用 (使用者模式或核心模式) 或高記憶體使用 (使用者模式或核心模式))

    • 變慢

    • 應用程式停止回應

    • 應用程式失敗

    • 系統無回應

  3. 更新第三方防毒軟體程式的版本。 或者,若要進行測試,請參閱 如何在 Windows 中暫時停用核心模式篩選驅動程式

  4. 與您的第三方防毒軟體廠商合作,進一步進行疑難排解。 您可能必須使用下列進階資料類型,幫助縮小問題的範圍:

因應措施

重要本文所含的資訊說明如何降低安全性設定,或暫時關閉電腦上的安全性功能。 您可以進行這些變更,以了解特定問題的性質。 在進行這些變更之前,建議您先評估在特定環境中實作此因應措施的相關風險。 如果您決定使用此因應措施,請採用任何其他的適當步驟,以協助保護電腦。

警告

  • 不建議您採用這項因應措施。 不過,我們提供這項資訊,讓您可以自行決定實作此因應措施。 請自行承擔使用這個因應措施的風險。

  • 這個因應措施可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。 

  • 建議您暫時套用這些設定,以評估系統行為。

  • 我們知道如果讓您的防毒軟體排除掃描本文提及的特定檔案或資料夾會遭受的風險。 如果您不排除掃描中的任何檔案或資料夾,您的系統就會更安全。

  • 當您掃描這些檔案時,可能會因為鎖定而發生效能及作業系統可靠性問題。

  • 請勿根據擴展名排除這些檔案中的任何一個。 例如,不要排除所有擴展名為 .dit 的檔案。 Microsoft 對於使用與本文所述相同副檔名的其他檔案,沒有控制權。

  • 本文提供可排除的檔案名稱和資料夾。 本文所述的所有檔案和資料夾受到預設權限的保護,只允許 SYSTEM 和系統管理員存取,並且只包含作業系統元件。 排除整個資料夾可能比較簡單,但所提供的保護性可能不如根據檔案名稱來排除特定的檔案。

  • 只有在完全沒有其他可行的選項時,才可以新增要排除的防毒軟體。 

關閉對 Windows Update 或自動更新檔案的掃描

  • 關閉 Windows Update 或自動更新資料庫檔案 (Datastore.edb) 的掃描。 這個檔案位於下列資料夾:

         %windir%\SoftwareDistribution\Datastore

  • 關閉對位於下列資料夾之記錄檔的掃描:

         %windir%\SoftwareDistribution\Datastore\Logs 具體而言,請排除下列檔案:

    • Edb*.jrs

    • Edb.chk

    • Tmp.edb

  • 萬用字元 (*) 表示可能有數個檔案。

關閉對 Windows 安全性檔案的掃描

  • 在位於 %windir%\Security\Database 路徑的排除清單新增下列檔案:

    • *.edb

    • *.sdb

    • *.log

    • *.chk

    • *.jrs

    • *.xml

    • *.csv

    • *.cmtx

    附註: 如果未排除這些檔案,防毒軟體可能會讓具有適當存取權的使用者無法取用這些檔案,並且安全性資料庫可能發生損毀。 掃描這些檔案會使檔案無法獲得運用,或者可能使安全性原則無法套用到檔案。 這些檔案不應進行掃描,因為防毒軟體可能無法正確地將檔案視為專屬資料庫檔案。 這些是建議的排除項目。 有些應排除的檔案類型可能未包含在本文內。

關閉對「群組原則」相關檔案的掃描

  • 「群組原則」使用者登錄資訊。 這些檔案位於下列資料夾:

         計算機:%allusersprofile%\      使用者:%ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ 具體來說,請排除下列檔案:

         NTUser.pol

  • 「群組原則」用戶端設定檔案。 這些檔案位於下列資料夾:

         %SystemRoot%\System32\GroupPolicy\Machine\      %SystemRoot%\System32\GroupPolicy\User\ 具體而言,請排除下列檔案:

         Registry.pol      Registry.tmp

關閉對使用者設定檔的檔案掃描

  • 使用者登錄資訊和支援檔案。 檔案位於下列資料夾中:      %userprofile%\ 具體來說,請排除下列檔案:      NTUser.dat*

對網域控制站執行防毒軟體

由於網域控制站會為用戶端提供重要服務,因此,必須使控制站內的活動因惡意程式碼、惡意軟體或病毒而受到中斷的風險降到最低。 防毒軟體是減輕感染風險的一般採用方法。 請安裝並設定防毒軟體,盡可能降低網域控制站的風險,讓效能盡量不受到影響。 下列清單中的建議可以協助您在 Windows Server 網域控制站上設定及安裝防毒軟體。警告 建議您將下列指定設定套用至測試系統,以確保在您的特定環境中,此設定不會產生非預期的因素,也不會影響系統穩定性。 因太多掃描所產生的風險是,系統將檔案錯誤地標幟為已變更。 這會導致 Active Directory 中出現太多複寫。 如果測試結果確認複寫不受下列建議的影響,您可以將防毒軟體套用至實際執行環境。請注意防毒軟體廠商的特定建議可能會取代本文中的建議。

  • 防毒軟體必須安裝在企業中所有的網域控制站上。 最理想的情況是,嘗試在所有其他必須與網域控制站進行互動的伺服器和用戶端系統上安裝這類軟體。 最好是能在第一時間抓到惡意程式碼,例如在防火牆或在引入惡意程式碼的用戶端系統。 如此,可防止惡意程式碼進入用戶端所依賴的基礎結構系統。

  • 使用專為搭配 Active Directory 域控制器搭配使用的防病毒軟體版本,並使用正確的應用程式開發介面 (API) 來存取伺服器上的檔案。 大多數的廠商舊版軟體會在掃描檔案時,不當地變更檔案的中繼資料。

  • 請勿使用域控制器來流覽因特網,或執行可能引發惡意代碼的其他活動。

  • 建議您將網域控制站的工作負載減到最少。 例如,盡可能避免在文件伺服器角色中使用域控制器。 此做法會減少檔案共用上的病毒掃描活動,並將效能負荷降到最低。

  • 不要將 Active Directory 和記錄檔放在 NTFS 檔案系統壓縮磁碟區上。

關閉對 Active Directory 和 Active Directory 相關檔案的掃描

  • 排除主要 NTDS 資料庫檔案。 這些檔案的位置是在下列登錄子機碼中指定的:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File 預設位置為 %windir%\Ntds。 特別是,請排除下列檔案:

    • Ntds.dit

    • Ntds.pat

  • 排除 Active Directory 交易記錄檔。 這些檔案的位置是在下列登錄子機碼中指定的:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path 預設位置為 %windir%\Ntds。 特別是,請排除下列檔案:

    • EDB*.log

    • Res*.log

    • Edb*.jrs

    • Ntds.pat

  • 排除下列登錄子機碼中所指定之 NTDS 工作資料夾中的檔案:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory 具體而言,請排除下列檔案:

    • Temp.edb

    • Edb.chk

關閉對 SYSVOL 檔案的掃描

  • 關閉對位於 Sysvol\Sysvol 資料夾或 SYSVOL_DFSR\Sysvol 資料夾中檔案的掃描。 Sysvol\Sysvol 或 SYSVOL_DFSR\Sysvol 資料夾以及其所有子資料夾的目前位置是,複本集根目錄的檔案系統重新分析目標。 Sysvol\Sysvol 和 SYSVOL_DFSR\Sysvol 資料夾預設會使用下列位置:

    %systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

    可至目前作用中 SYSVOL 的路徑是由 NETLOGON 共用所參考,並可以由下列子機碼中的SysVol 值名稱來決定:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

  • 排除下列來自這個資料夾及其所有子資料夾中的檔案:

    • *.adm

    • *.admx

    • *.adml

    • Registry.pol

    • Registry.tmp

    • *.aas

    • *.inf

    • Scripts.ini

    • *.ins

    • Oscfilter.ini

  • 關閉對位於 DFSR 資料庫和工作資料夾中檔案的掃描。 在下列登入子機碼中指定位置:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path 在此登錄子機碼中,「路徑」是包含複寫組名的 XML 檔案路徑。 在此範例中,路徑會包含 "Domain System Volume"。 預設位置為下列隱藏資料夾:

         %systemdrive%\System Volume Information\DFSR 排除此資料夾及其所有子資料夾中的下列檔案:

    • $db_normal$

    • FileIDTable_*

    • SimilarityTable_*

    • *.xml

    • $db_dirty$

    • $db_clean$

    • $db_lost$

    • Dfsr.db

    • Fsr.chk

    • *.frx

    • *.log

    • Fsr*.jrs

    • Tmp.edb

    附註: 如果上述任何一個資料夾或檔案已移動或放入其他位置,請掃描或排除同等項目。

關閉對 DFS 檔案的掃描

如果使用 DFSR 複製到 DFS 根對應的共享,並且鏈接目標對應到 Windows Server 成員電腦或域控制器上,也必須排除 SYSVOL 複本集排除的相同資源。

關閉對 DHCP 檔案的掃描

根據預設,應該排除的 DHCP 檔案是存在於伺服器的下列資料夾中:

     %systemroot%\System32\DHCP

排除下列來自這個資料夾及其所有子資料夾中的檔案:

  • *.mdb

  • *.pat

  • *.log

  • *.chk

  • *.edb

DHCP 檔案的位置可以變更。 若要判斷伺服器上 DHCP 檔案的目前位置,請檢查由下列登錄子機碼指定的 DatabasePathDhcpLogFilePathBackupDatabasePath 參數:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

關閉對 DNS 檔案的掃描

根據預設,DNS 使用下列資料夾:

%systemroot%\System32\Dns 排除此資料夾及其所有子資料夾中的下列檔案:

  • *.log

  • *.dns

  • BOOT

關閉對 WINS 檔案的掃描

根據預設,WINS 使用下列資料夾:

     %systemroot%\System32\Wins

排除下列來自這個資料夾及其所有子資料夾中的檔案:

  • *.chk

  • *.log

  • *.mdb

對於執行 Windows Hyper-V 版本的電腦

在某些情況下,在 Windows Server 已安裝 Hyper-V 角色的電腦上,可能需要在防病毒軟體中設定即時掃描元件,以排除檔案和整個資料夾。 如需詳細資訊,請參閱下列「知識庫」文章:

  • 961804 當您嘗試啟動或建立虛擬機器時,虛擬機器遺失或出現錯誤 0x800704C8、0x80070037 或 0x800703E3 (部分機器翻譯)

後續步驟

如果本文所提供的建議改善了您的系統效能或穩定性,請連絡您的防病毒軟體廠商以取得相關指示或防病毒軟體的更新版本或設定。

附註: 您的第三方防病毒軟體廠商可以與 Microsoft 支援服務 小組進行合理的商業合作。

參考

Microsoft服務合約

Microsoft 服務合約

Microsoft 病毒計畫

變更歷程記錄

 下表摘要說明本主題的最重要變更。

日期

描述

2021 年 8 月 17 日

已更新「其他相關資訊」一節中的注意事項:「注意 在 Windows 10、Windows Server 2016 和更新版本...」 

2021 年 11 月 2 日

已更新「更多資訊」一節中的注意內容:「這也適用於 Windows Server 2012 R2...」

2022 年 3 月 14 日

修訂整篇文章。 增加了<徵狀>與<解決方案>小節,並重新安排其餘的內容。

2023 年 7 月 14 日

在「簡介」章節中新增了第三個項目符號項目。 已新增「症狀」章節標題。 已移除「其他資訊」章節。

2023 年 8 月 7 日

已修正在排除專案清單中多行一起執行的版面配置問題。

2025年5月22日

已將 Windows Server 2008 和 Windows 7 從 [適用於] 中移除,並刪除所有相關內容。 已將 Windows Server 2025 新增至 [適用者]。 已更新交互參照連結。 
Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心