اعتبارات الفحص الكامل وأفضل الممارسات في برنامج الحماية من الفيروسات من Microsoft Defender
ينطبق على:
- Defender for Endpoint الخطة 1 و 2
- برنامج الحماية من الفيروسات من Microsoft Defender
الأنظمة الأساسية
- بالنسبة لنظام التشغيل
تشرح هذه المقالة الاعتبارات وأفضل الممارسات لتشغيل عمليات فحص مكافحة الفيروسات الكاملة باستخدام Microsoft Defender لنقطة النهاية. توضح هذه المقالة العوامل التي تؤثر على أداء الفحص وتصف السيناريوهات التي تؤدي فيها زيادة استهلاك الموارد إلى زيادة فعالية الحماية.
نظرة عامة
الحماية في الوقت الحقيقي في Defender لنقطة النهاية هي ميزة تقوم بمسح جهاز الكمبيوتر باستمرار للمساعدة في اكتشاف الإصابات بالبرامج الضارة وإيقافها في الوقت الفعلي. ويستخدم أساليب الكشف الموجهة والمستندة إلى السلوك لمراقبة النشاط على جهازك والحماية من التهديدات عند حدوثها. توصيتنا لإجراء عمليات الفحص المجدولة هي تكوين الفحص السريع جنبا إلى جنب مع الحماية في الوقت الحقيقي دائما والحماية السحابية، حيث توفر هذه المجموعة تغطية قوية ضد البرامج الضارة التي تبدأ بالبرامج الضارة على مستوى النظام والنواة. هذا التكوين هو التكوين الافتراضي. بشكل عام، ليست هناك حاجة لجدولة فحص كامل، ومعظم المستخدمين لا يحتاجون أبدا إلى تشغيل عمليات الفحص الكاملة يدويا (راجع مقارنة الفحص السريع والمسح الضوئي الكامل والمسح الضوئي المخصص).
ومع ذلك، قد تضطر إلى تشغيل عمليات فحص كاملة لتلبية المتطلبات المحددة لمؤسستك. يبدأ الفحص الكامل بمسح سريع، ثم يستمر مع فحص الملفات المتتالية لجميع محركات أقراص الشبكة الثابتة والقابلة للإزالة التي يتم تحميلها. يمكن أن يستمر الفحص الكامل من عدة ساعات إلى عدة أيام، اعتمادا على حجم المحتوى ونوع المحتوى والموارد التي تم تخصيصها ل Microsoft Defender لإجراء الفحص (راجع جدولة عمليات الفحص السريعة والكاملة المنتظمة باستخدام برنامج الحماية من الفيروسات من Microsoft Defender). لا يعد أداء الفحص وظيفة بحجم الملف فقط، ويتم تحديده في الغالب حسب نوع المحتوى وتعقيده.
كفاءة الحماية وتأثير الأداء
تتطلب الحماية واستخدام موارد النظام المفاضلات. يعتمد أداء الجهاز بشكل كبير على بيئتك. من الطبيعي أن يؤدي تشغيل فحص كامل على جهاز يحتوي على الكثير من المحتوى المعقد إلى زيادة الوقت لإكماله. يلخص الجدول التالي السيناريوهات التي اتخذنا فيها قرارات لاستخدام المزيد من موارد النظام لزيادة كفاءة الحماية لدينا.
| اعداد | افتراضي | التفاصيل |
|---|---|---|
| المسح الضوئي للأرشيف/الحاوية (على سبيل المثال، ISOs) | Enabled |
تم تحسين برنامج الحماية من الفيروسات من Microsoft Defender لتقليل وقت الفحص لعنصر واحد. قد تحتوي الحاويات على العديد من العناصر وقد يستغرق مسحها ضوئيا وقتا أطول من المتوقع بسبب الحمل الزائد لاستخراج العناصر في الحاوية. |
| الحد الأقصى لحجم مسح الأرشيف | Unlimited |
|
| الشبكة المعينة (على سبيل المثال، UNC، SMB، CIFS) | Enabled |
بشكل افتراضي، يقوم برنامج الحماية من الفيروسات من Microsoft Defender بفحص محركات أقراص الشبكة المعينة. |
| مزامنة OneDrive | Enabled |
بشكل افتراضي، يقوم برنامج الحماية من الفيروسات من Microsoft Defender بمسح أسطح المكتب أو المستندات أو التنزيلات التي تتم مزامنتها عبر OneDrive أو مزامنة المجلد. |
| ذاكرة التخزين المؤقت/الملفات غير المتصلة من جانب العميل | Enabled |
بشكل افتراضي، يقوم Defender بمسح ذاكرة التخزين المؤقت من جانب العميل. |
| فحص متوسط عامل تحميل وحدة المعالجة المركزية | 50 |
راجع قسم الفحص وتقييد وحدة المعالجة المركزية في هذه المقالة. |
ملاحظة
- إذا تم تشغيل الحماية في الوقت الحقيقي، يتم مسح الملفات ضوئيا قبل الوصول إليها وتنفيذها. يحدث الفحص بغض النظر عن مكان وجود الملفات (راجع تكوين خيارات الفحص لبرنامج الحماية من الفيروسات من Microsoft Defender).
- قد يختلف الاستخدام الفعلي لوحدة المعالجة المركزية اعتمادا على عدد الذاكرات الأساسية لوحدة المعالجة المركزية، وأداء الإدخال/الإخراج، وضغط الذاكرة وما إلى ذلك. يمكن أن يؤدي الحد من استخدام وحدة المعالجة المركزية إلى أن يستغرق إكمال الفحص الكامل وقتا أطول، لذلك يجب على العملاء ضبط هذه القيمة اعتمادا على قيم استخدام وحدة المعالجة المركزية الفعلية التي تم الحصول عليها في بيئتهم المحددة.
إعدادات ومفاتيح تحسين أداء الفحص الكامل
يعد أداء الجهاز عاملا مهما في معدل معالجة أحداث الأمان وسرعة أنشطة الملفات والشبكة والمسح الضوئي. معدل معالجة الأحداث الأعلى يساوي تأثير أداء أعلى مع الماسح الضوئي AV. يمكن أن يؤثر تكوين برامج مكافحة الفيروسات المختلفة على الأداء والحماية. هناك إعدادات ومفاتيح تبديل متوفرة يمكنك تكوينها لضبط أداء برنامج الحماية من الفيروسات من Microsoft Defender.
لتكوين خيارات الفحص لبرنامج الحماية من الفيروسات من Microsoft Defender، يمكنك استخدام أدوات مختلفة (راجع تكوين خيارات الفحص لبرنامج الحماية من الفيروسات من Microsoft Defender). فيما يلي بعض الإعدادات والمفاتيح المتوفرة التي يمكنك استخدامها لتكوين عمليات الفحص الكاملة ل برنامج الحماية من الفيروسات من Microsoft Defender:
| اعداد | افتراضي | معلمة PowerShell/WMI وتفاصيله |
|---|---|---|
| المسح الضوئي للأرشيف/الحاوية (على سبيل المثال، ISOs) | Enabled |
تم تحسين برنامج الحماية من الفيروسات من Microsoft Defender لتقليل وقت الفحص لعنصر واحد. قد تحتوي الحاويات على العديد من العناصر وقد يستغرق مسحها ضوئيا وقتا أطول من المتوقع بسبب الحمل الزائد لاستخراج العناصر في الحاوية. |
| أرشفة الملفات | Scanned |
DisableArchiveScanningDisableArchiveScanning يؤدي التشغيل إلى استبعاد أنواع الأرشيف التالية من عمليات فحص مكافحة الفيروسات:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z لمزيد من المعلومات، راجع DisableArchiveScanning |
| مستوى المجلدات الفرعية داخل مجلد أرشيف للمسح الضوئي | 0 |
0 يعني غير محدود. |
| الحد الأقصى لحجم الأرشيف للمسح الضوئي | 0 |
0 يعني غير محدود. |
| محركات أقراص الشبكة المعينة | Scanned |
DisableScanningMappedNetworkDrivesForFullScanراجع DisableScanningMappedNetworkDrivesForFullScan |
| ملفات الشبكة | Scanned |
DisableScanningNetworkFiles |
| الحد الأقصى لتحميل وحدة المعالجة المركزية ٪ أثناء الفحص | 50 |
ScanAvgCPULoadFactorراجع قسم الفحص وتقييد وحدة المعالجة المركزية في هذه المقالة. |
| تعطيل تقييد وحدة المعالجة المركزية في عمليات الفحص الخاملة | Unthrottled |
DisableCpuThrottleOnIdleScansراجع قسم الفحص وتقييد وحدة المعالجة المركزية في هذه المقالة. |
| عمليات التحقق من التوقيع قبل الفحص | Disabled |
CheckForSignaturesBeforeRunningScanيتحقق برنامج الحماية من الفيروسات من Microsoft Defender بشكل دوري من تحديثات التوقيع وينفذ عمليات الفحص المجدولة تلقائيا. بشكل افتراضي، يبدأ الفحص بالتعريفات الموجودة. ينطبق هذا الإعداد فقط على عمليات الفحص المجدولة. |
| محركات الأقراص القابلة للإزالة أثناء عمليات الفحص الكاملة | Scanned |
DisableRemovableDriveScanningيشير إلى ما إذا كان يجب فحص محركات الأقراص القابلة للإزالة، مثل محركات الأقراص المحمولة، أثناء الفحص الكامل. |
| البريد الالكتروني | Scanned |
DisableEmailScanningيشير إلى ما إذا كان Windows Defender يوزع علبة البريد وملفات البريد، وفقا لتنسيقها المحدد، من أجل تحليل هيئات البريد والمرفقات. |
| البرنامج النصي | Scanned |
DisableScriptScanningيحدد ما إذا كان يجب تعطيل مسح ملفات البرنامج النصي ضوئيا. |
أفضل الممارسات والاعتبارات
فيما يلي توصيات Microsoft:
عمليات الفحص الكاملة
يمكن أن يكون تشغيل فحص كامل مرة واحدة بعد تمكين برنامج الحماية من الفيروسات من Microsoft Defender أو تثبيته مفيدا لفحص الأنظمة للكشف عن التهديدات الموجودة.
نوصي بتكوين نهج الفحص استنادا إلى نوع الجهاز ودوره، على سبيل المثال، مجموعة SQL Server ومجموعة IIS Server ومجموعة محطة العمل المقيدة ومجموعة محطة العمل القياسية.
تجنب استخدام وحدات التحكم بالمجال في دور خادم الملفات. يؤدي ذلك إلى خفض أنشطة فحص برنامج الحماية من الفيروسات على مشاركات الملفات وتقليل النفقات العامة للأداء.
يحتوي برنامج الحماية من الفيروسات من Microsoft Defender على ميزة حساب تجزئة الملف التي تحسب تجزئات الملفات لكل ملف قابل للتنفيذ يتم مسحه ضوئيا إذا لم يتم حسابه مسبقا. هذا له تكلفة أداء خاصة عند نسخ ملفات كبيرة من مشاركة شبكة. راجع تكوين حساب تجزئة الملف لمعرفة المزيد حول التأثير على المؤشرات.
يمكن أن يتأثر أداء الفحص الكامل بتقييد وحدة المعالجة المركزية. توصيتنا هي ترك إعدادات حد وحدة المعالجة المركزية في الإعدادات الافتراضية.
ملاحظة
- حسب التصميم، يقوم برنامج الحماية من الفيروسات من Microsoft Defender بفحص نوع المحتوى الداخلي لأن ملحقات الملفات غالبا ما تكون مضللة ويمكن للمهاجمين تزييفها بسهولة.
- يعتمد أداء الفحص بشكل كبير على نوع المحتوى الفعلي الذي يتم مسحه ضوئيا. بشكل عام، تتطلب أنواع الملفات الأكثر تعقيدا مزيدا من الوقت والدورة، بينما تتطلب أنواع المحتوى الأكثر غرابة مزيدا من الوقت (على سبيل المثال، ملفات JavaScript).
- تساعد أداة محلل الأداء لبرنامج الحماية من الفيروسات من Microsoft Defender في تحديد الملفات وملحقات الملفات والعمليات التي قد تتسبب في حدوث مشكلات في الأداء على نقاط النهاية الفردية أثناء عمليات فحص مكافحة الفيروسات. إذا كنت تقوم بتشغيل برنامج الحماية من الفيروسات من Microsoft Defender وتعاني من مشكلات في الأداء، يمكنك استخدام محلل الأداء لتحسين الأداء (راجع محلل الأداء لبرنامج الحماية من الفيروسات من Microsoft Defender).
- يمكن أن يساعد معرف الصورة الموثوق به لبرنامج الحماية من الفيروسات من Microsoft Defender في تحسين أداء أجهزتك. راجع تكوين معرف صورة موثوق به ل Microsoft Defender.
الفحص وتقييد وحدة المعالجة المركزية
يتم استخدام حد استخدام وحدة المعالجة المركزية، المعروف أيضا باسم تقييد وحدة المعالجة المركزية، لتعيين الحد الأقصى لاستخدام وحدة المعالجة المركزية لعمليات الفحص عند الطلب من Microsoft Defender. يتم تمكين إعداد تقييد وحدة المعالجة المركزية بشكل افتراضي ويتم تطبيقه فقط على عمليات الفحص المجدولة، واختياريا على عمليات الفحص المخصصة أيضا. يوصى بضبط هذا الإعداد (راجع ScanAverageCPULoadFactor الإعداد في Set-MpPreference (Defender))، اعتمادا على قيم استخدام وحدة المعالجة المركزية الفعلية التي تم الحصول عليها في بيئتك المحددة.
عامل تحميل وحدة المعالجة المركزية لبرنامج الحماية من الفيروسات من Microsoft Defender ليس حدا صعبا ولكنه إرشادات لمحرك الفحص حتى لا يتجاوز هذا الحد الأقصى. بالنسبة لإعداد نهج الفحص هذا، يمكنك تحديد قيمة كنسبة مئوية الحد الأقصى لاستخدام وحدة المعالجة المركزية أثناء الفحص. تشير القيمة 0 أو 100 إلى عدم وجود تقييد. على سبيل المثال، إذا تم تقليل هذه القيمة إلى 20، فهذا يعني أن محرك الفحص يهدف إلى الحفاظ على متوسط حمل وحدة المعالجة المركزية للنظام أقل من 20٪ أثناء الفحص ويستغرق وقتا أطول لإكماله.
إذا قمت بتعيين قيمة النسبة المئوية إلى 0 أو 100، يتم تعطيل تقييد وحدة المعالجة المركزية، ويمكن ل Windows Defender استخدام ما يصل إلى 100٪ من وحدة المعالجة المركزية أثناء عمليات الفحص المجدولة والمخصصة. لا يوصى بذلك لأنه يمكن أن يؤدي إلى تطبيقات غير مستجيبة، وحتى ارتفاع درجة الحرارة حتى تابع بحذر شديد.
تغيير القيمة له إيجابيات وسلبيات على حد سواء. تعني القيم الأعلى أن عمليات الفحص تؤدي بشكل أسرع؛ ومع ذلك، قد يؤدي ذلك إلى إبطاء النظام أثناء الفحص، بينما تعني القيم الأقل أن الفحص يستغرق وقتا أطول للانتهاء، ولكن لديك المزيد من موارد وحدة المعالجة المركزية المتوفرة لنظامك أثناء الفحص. على سبيل المثال، إذا كنت تقوم بتشغيل أحمال عمل مهمة على خادم، فيجب تعيين هذا الإعداد إلى قيمة لا تتداخل مع عمل أحمال العمل.
تتجاهل عمليات الفحص اليدوية إعداد تقييد وحدة المعالجة المركزية وتشغيلها دون أي حدود لوحدة المعالجة المركزية. ومع ذلك، هناك إعداد نهج فحص (راجع
ThrottleForScheduledScanOnlyالإعداد في Set-MpPreference (Defender)) أنه إذا تم تعطيله، فإن عمليات الفحص اليدوية تلتزم بنفس حدود وحدة المعالجة المركزية مثل الفحص المجدول.يتحكم تقييد وحدة المعالجة المركزية في عمليات الفحص الخاملة في ما إذا كان وحدة المعالجة المركزية مقيدة لإجراء عمليات الفحص المجدولة أثناء خمول الجهاز. يتم تعطيل هذا الإعداد بشكل افتراضي للتأكد من عدم تقييد وحدة المعالجة المركزية لإجراء عمليات الفحص المجدولة عندما يكون الجهاز تعطلا، بغض النظر عن ما تم تعيين تقييد وحدة المعالجة المركزية عليه. لمزيد من المعلومات، راجع
DisableCpuThrottleOnIdleScansالإعداد في Set-MpPreference (Defender).ملاحظة
راجع معايير الحالة الخاملة في شروط خمول المهمة - تطبيقات Win32.
المسح الضوئي والاستثناءات
يحتوي برنامج الحماية من الفيروسات من Microsoft Defender على الميزات التالية التي تساعد على تحسين أداء الفحص وكفاءته:
يمكن أن تستغرق الحاويات/الأرشيفات وقتا طويلا للمسح الضوئي حيث لا يمكن إجراء تحسينات معينة (على سبيل المثال، عمليات الفحص المتوازية) في هذه الحالات. كلما أمكن، نوصي باستخراج محتوى هذه الحاويات التي من شأنها أن تسمح للمسح الكامل لمعالجة العناصر بالتوازي.
مسح الاستثناءات حيث يمكنك استبعاد الحاويات من الفحص، إذا كان هذا الخيار مسموحا به من قبل متطلبات التوافق الخاصة بك.
يمكن استخدام أداة محلل الأداء لبرنامج الحماية من الفيروسات من Microsoft Defender لتحديد الاستثناءات التي تساعد على تحسين الأداء. راجع محلل الأداء ل برنامج الحماية من الفيروسات من Microsoft Defender.
يحتوي برنامج الحماية من الفيروسات من Microsoft Defender على تحسين مضمن للمحتوى الذي يتمتع بسمعة عالية (على سبيل المثال، موقع من قبل مصادر موثوقة). عندما يواجه مثل هذا المحتوى، فإنه يتحول ببساطة بعيدا عن فحص المحتوى إلى التحقق من صحة التوقيع للتأكد من عدم العبث بالملف.
توصيات استثناءات مكافحة الفيروسات
يمكن أن يؤدي استبعاد مواقع معينة من الفحص إلى تقصير وقت الفحص. هناك نوعان من الاستثناءات: استثناءات العملية واستبعادات الملفات/المجلدات. تنطبق استثناءات الملفات/المجلدات فقط على الفحص الكامل. يجب تطوير استثناءات الفحص بعناية لتقليل وقت الفحص مع تقليل المخاطر.
لا تستبعد الملفات المضغوطة إذا لم تكن مسموحا بها من قبل متطلبات التوافق الخاصة بك.
لا تستبعد المجلد المؤقت لملف تعريف المستخدم أو المجلد المؤقت للنظام، الذي تستخدمه البرامج الضارة بشكل شائع:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
يقتصر استخدام متغيرات البيئة كحرف بدل في قوائم الاستبعاد على متغيرات النظام فقط. لا تستخدم متغيرات البيئة ذات نطاق المستخدم عند إضافة مجلد برنامج الحماية من الفيروسات من Microsoft Defender واستبعادات العملية.