Überlegungen und bewährte Methoden zur vollständigen Überprüfung von Microsoft Defender Antivirus
Gilt für:
- Microsoft Defender für Endpunkt-Pläne 1 und 2
- Microsoft Defender Antivirus
Plattformen
- Windows
In diesem Artikel werden die Überlegungen und bewährten Methoden zum Ausführen vollständiger Antivirenscans mit Microsoft Defender für Endpunkt erläutert. In diesem Artikel werden Faktoren beschrieben, die sich auf die Scanleistung auswirken, und Szenarien beschrieben, in denen ein erhöhter Ressourcenverbrauch zu einer höheren Schutzeffizienz führt.
Übersicht
Echtzeitschutz in Defender für Endpunkt ist ein Feature, das Ihren Computer kontinuierlich überprüft, um Malware-Infektionen in Echtzeit zu erkennen und zu stoppen. Es verwendet heuristische und verhaltensbasierte Erkennungsmethoden, um die Aktivität auf Ihrem Gerät zu überwachen und vor Bedrohungen zu schützen, wenn sie auftreten. Unsere Empfehlung für geplante Überprüfungen besteht darin, die Schnellüberprüfung zusammen mit Always-On-Echtzeitschutz und Cloudschutz zu konfigurieren, da diese Kombination eine starke Abdeckung gegen Schadsoftware bietet, die mit Schadsoftware auf System- und Kernelebene beginnt. Diese Konfiguration ist die Standardkonfiguration. Im Allgemeinen ist es nicht erforderlich, eine vollständige Überprüfung zu planen, und die meisten Benutzer müssen keine vollständigen Überprüfungen manuell ausführen (siehe Vergleich von Schnellüberprüfung, vollständiger Überprüfung und benutzerdefinierter Überprüfung).
Möglicherweise müssen Sie jedoch vollständige Überprüfungen durchführen, um die spezifischen Anforderungen Ihrer Organisation zu erfüllen. Eine vollständige Überprüfung beginnt mit einer Schnellüberprüfung und wird dann mit einer sequenziellen Dateiüberprüfung aller eingebundenen festen und Wechseldatenträger fortgesetzt. Eine vollständige Überprüfung kann mehrere Stunden bis mehrere Tage dauern, abhängig vom Inhaltsvolumen, dem Inhaltstyp und den Ressourcen, denen Microsoft Defender für die Durchführung der Überprüfung zugeordnet wurde (siehe Planen regelmäßiger schnell und vollständiger Überprüfungen mit Microsoft Defender Antivirus). Die Scanleistung ist nicht nur eine Funktion der Dateigröße und wird hauptsächlich durch den Typ und die Komplexität des Inhalts bestimmt.
Beeinträchtigung der Schutzeffizienz und Leistung
Schutz und Systemressourcennutzung bringen Kompromisse mit sich. Die Geräteleistung hängt stark von Ihrer Umgebung ab. Es ist natürlich, dass das Ausführen einer vollständigen Überprüfung auf einem Gerät mit vielen komplexen Inhalten zu einer längeren Zeit bis zum Abschluss führen würde. In der folgenden Tabelle sind Szenarien zusammengefasst, in denen wir entscheidungen haben, mehr Systemressourcen zu verwenden, um unsere Schutzeffizienz zu erhöhen.
| Einstellung | Standard | Details |
|---|---|---|
| Archiv-/Containerüberprüfung (z. B. ISOs) | Enabled |
Microsoft Defender Antivirus ist optimiert, um die Scanzeit eines einzelnen Objekts zu minimieren. Container können viele Objekte enthalten, und deren Überprüfung kann aufgrund des Mehraufwands für das Extrahieren der Elemente im Container mehr Zeit in Anspruch nehmen als erwartet. |
| Maximale Größe der Archivüberprüfung | Unlimited |
|
| Zugeordnetes Netzwerk (z. B. UNC, SMB, CIFS) | Enabled |
Standardmäßig überprüft Microsoft Defender Antivirus zugeordnete Netzlaufwerke. |
| OneDrive-Synchronisierung | Enabled |
Standardmäßig überprüft Microsoft Defender Antivirus Desktops, Dokumente oder Downloads, die über OneDrive oder die Ordnersynchronisierung synchronisiert werden. |
| Clientseitige Cache-/Offlinedateien | Enabled |
Standardmäßig überprüft Defender den clientseitigen Cache. |
| Durchschnittlicher CPU-Auslastungsfaktor scannen | 50 |
Weitere Informationen finden Sie im Abschnitt Scannen und CPU-Drosselung dieses Artikels. |
Hinweis
- Wenn der Echtzeitschutz aktiviert ist, werden Dateien überprüft, bevor auf sie zugegriffen und ausgeführt wird. Die Überprüfung erfolgt unabhängig davon, wo sich die Dateien befinden (siehe Konfigurieren der Überprüfungsoptionen für Microsoft Defender Antivirus).
- Die tatsächliche CPU-Auslastung kann je nach Anzahl der CPU-Kerne, E/A-Leistung, Arbeitsspeicherauslastung usw. variieren. Das Einschränken der CPU-Auslastung kann dazu führen, dass die vollständige Überprüfung länger dauert, sodass Kunden diesen Wert in Abhängigkeit von den tatsächlichen CPU-Auslastungswerten in ihrer spezifischen Umgebung optimieren sollten.
Einstellungen und Schalter zur Leistungsoptimierung der vollständigen Überprüfung
Die Geräteleistung ist ein wichtiger Faktor bei der Verarbeitungsrate von Sicherheitsereignissen und der Geschwindigkeit von Datei-, Netzwerk- und Scanaktivitäten. Eine höhere Ereignisverarbeitungsrate entspricht einer höheren Leistungsbeeinträchtigung des AV-Scanners. Unterschiedliche Antivirus-Softwarekonfigurationen können sich auf Leistung und Schutz auswirken. Es sind Einstellungen und Schalter verfügbar, die Sie konfigurieren können, um die Leistung von Microsoft Defender Antivirus anzupassen.
Zum Konfigurieren von Überprüfungsoptionen für Microsoft Defender Antivirus können Sie verschiedene Tools verwenden (siehe Konfigurieren von Scanoptionen für Microsoft Defender Antivirus). Im Folgenden finden Sie einige der verfügbaren Einstellungen und Schalter, mit denen Sie vollständige Überprüfungen von Microsoft Defender Antivirus konfigurieren können:
| Einstellung | Standard | PowerShell/WMI-Parameter und Details |
|---|---|---|
| Archiv-/Containerüberprüfung (z. B. ISOs) | Enabled |
Microsoft Defender Antivirus ist optimiert, um die Scanzeit eines einzelnen Objekts zu minimieren. Container können viele Objekte enthalten, und deren Überprüfung kann aufgrund des Mehraufwands für das Extrahieren der Elemente im Container mehr Zeit in Anspruch nehmen als erwartet. |
| Archivdateien | Scanned |
DisableArchiveScanningWenn Sie aktivieren DisableArchiveScanning , werden die folgenden Archivtypen von Antivirenscans ausgeschlossen:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z Weitere Informationen finden Sie unter DisableArchiveScanning. |
| Ebene der zu überprüfenden Unterordner in einem Archivordner | 0 |
0 bedeutet unbegrenzt. |
| Maximale Größe des Archivs für die Überprüfung | 0 |
0 bedeutet unbegrenzt. |
| Zugeordnete Netzlaufwerke | Scanned |
DisableScanningMappedNetworkDrivesForFullScanSiehe DisableScanningMappedNetworkDrivesForFullScan. |
| Netzwerkdateien | Scanned |
DisableScanningNetworkFiles |
| Maximale CPU-Auslastung in % während der Überprüfung | 50 |
ScanAvgCPULoadFactorWeitere Informationen finden Sie im Abschnitt Scannen und CPU-Drosselung dieses Artikels. |
| Deaktivieren der CPU-Drosselung bei Leerlaufüberprüfungen | Unthrottled |
DisableCpuThrottleOnIdleScansWeitere Informationen finden Sie im Abschnitt Scannen und CPU-Drosselung dieses Artikels. |
| Signaturprüfungen vor der Überprüfung | Disabled |
CheckForSignaturesBeforeRunningScanMicrosoft Defender Antivirus sucht regelmäßig nach Signaturupdates und führt geplante Überprüfungen automatisch durch. Standardmäßig beginnt die Überprüfung mit vorhandenen Definitionen. Diese Einstellung gilt nur für geplante Überprüfungen. |
| Wechseldatenträger bei vollständigen Überprüfungen | Scanned |
DisableRemovableDriveScanningGibt an, ob Wechseldatenträger, z. B. Flashlaufwerke, während einer vollständigen Überprüfung überprüft werden sollen. |
Scanned |
DisableEmailScanningGibt an, ob Windows Defender das Postfach und die E-Mail-Dateien entsprechend ihrem spezifischen Format analysiert, um E-Mail-Textkörper und Anlagen zu analysieren. |
|
| Skript | Scanned |
DisableScriptScanningGibt an, ob die Überprüfung von Skriptdateien deaktiviert werden soll. |
Bewährte Methoden und Überlegungen
Im Folgenden finden Sie die Empfehlungen von Microsoft:
Vollständige Überprüfungen
Das Ausführen einer vollständigen Überprüfung, nachdem Sie Microsoft Defender Antivirus aktiviert oder installiert haben, kann nützlich sein, um Systeme zu überprüfen, um vorhandene Bedrohungen zu erkennen.
Es wird empfohlen, Überprüfungsrichtlinien basierend auf Dem Gerätetyp und der Rolle zu konfigurieren, z. B. SQL Server-Sammlung, IIS-Serversammlung, Eingeschränkte Arbeitsstationssammlung, Standardarbeitsstationssammlung.
Vermeiden Sie die Verwendung von Domänencontrollern in einer Dateiserverrolle. Dies verringert die Aktivitäten der Antivirenüberprüfung auf Dateifreigaben und minimiert den Leistungsaufwand.
Microsoft Defender Antivirus verfügt über die Dateihashberechnungsfunktion, die Dateihashes für jede ausführbare Datei berechnet, die überprüft wird, wenn sie zuvor nicht berechnet wurde. Dies verursacht Leistungseinbußen, insbesondere beim Kopieren großer Dateien aus einer Netzwerkfreigabe. Weitere Informationen zu den Auswirkungen auf Indikatoren finden Sie unter Konfigurieren der Dateihashberechnung .
Die vollständige Scanleistung kann durch eine CPU-Drosselung beeinträchtigt werden. Es wird empfohlen, die Einstellungen für das CPU-Limit auf der Standardeinstellung zu belassen.
Hinweis
- Standardmäßig überprüft Microsoft Defender Antivirus den internen Inhaltstyp, da Dateierweiterungen oft irreführend sind und von Angreifern leicht gespooft werden können.
- Die Scanleistung hängt stark vom tatsächlichen Inhaltstyp ab, der gescannt wird. Im Allgemeinen erfordern komplexere Dateitypen mehr Zeit und Zyklus, während ungewöhnlichere Inhaltstypen noch mehr Zeit benötigen (z. B. JavaScript-Dateien).
- Mit dem Leistungsanalysetool für Microsoft Defender Antivirus können Sie Dateien, Dateierweiterungen und Prozesse ermitteln, die bei Antivirenscans zu Leistungsproblemen auf einzelnen Endpunkten führen können. Wenn Sie Microsoft Defender Antivirus ausführen und Leistungsprobleme auftreten, können Sie die Leistungsanalyse verwenden, um die Leistung zu optimieren (siehe Leistungsanalyse für Microsoft Defender Antivirus).
- Ein vertrauenswürdiger Imagebezeichner für Microsoft Defender Antivirus kann dazu beitragen, die Leistung Ihrer Geräte zu verbessern. Weitere Informationen finden Sie unter Konfigurieren eines vertrauenswürdigen Imagebezeichners für Microsoft Defender.
Scannen und CPU-Drosselung
Die Einstellung CPU-Auslastungslimit, auch als CPU-Drosselung bezeichnet, wird verwendet, um die maximale CPU-Auslastung für Bedarfsscans von Microsoft Defender festzulegen. Die CPU-Drosselungseinstellung ist standardmäßig aktiviert und gilt nur für geplante Überprüfungen und optional auch für benutzerdefinierte Überprüfungen. Es wird empfohlen, diese Einstellung zu optimieren (siehe Einstellung ScanAverageCPULoadFactor in Set-MpPreference (Defender)), abhängig von den tatsächlichen CPU-Auslastungswerten, die in Ihrer spezifischen Umgebung abgerufen wurden.
Der CPU-Auslastungsfaktor für Microsoft Defender Antivirus ist kein harter Grenzwert, sondern eine Anleitung für die Scan-Engine, dieses Maximum nicht zu überschreiten. Für diese Einstellung der Überprüfungsrichtlinie können Sie einen Wert als Prozentsatz der maximalen CPU-Auslastung während der Überprüfung angeben. Der Wert 0 oder 100 gibt an, dass keine Drosselung erfolgt. Wenn dieser Wert beispielsweise auf 20 reduziert wird, bedeutet dies, dass die Scan-Engine darauf abzielt, die durchschnittliche CPU-Last des Systems während der Überprüfung unter 20 % zu halten, und es dauert länger, bis sie abgeschlossen ist.
Wenn Sie den Prozentwert auf 0 oder 100 festlegen, ist die CPU-Drosselung deaktiviert, und Windows Defender kann während der geplanten und benutzerdefinierten Überprüfungen bis zu 100 % der CPU verbrauchen. Dies wird nicht empfohlen, da dies zu nicht reagierenden Apps und sogar zu einer Überhitzung führen kann. Gehen Sie daher mit äußerster Vorsicht vor.
Das Ändern des Werts hat sowohl Vor- als auch Nachteile. Höhere Werte bedeuten, dass die Scans schneller ausgeführt werden; Während der Überprüfung kann es jedoch zu einer Verlangsamung des Systems kommen, während niedrigere Werte bedeuten, dass die Überprüfung länger dauert, aber Sie haben während der Überprüfung mehr CPU-Ressourcen für Ihr System zur Verfügung. Wenn Sie beispielsweise kritische Workloads auf einem Server ausführen, sollte diese Einstellung auf einen Wert festgelegt werden, der die Funktionsweise der Workloads nicht beeinträchtigt.
Manuelle Überprüfungen ignorieren die CPU-Drosselungseinstellung und werden ohne CPU-Grenzwerte ausgeführt. Es gibt jedoch eine Überprüfungsrichtlinieneinstellung (siehe Einstellung
ThrottleForScheduledScanOnlyin Set-MpPreference (Defender)), dass manuelle Überprüfungen dieselben CPU-Grenzwerte einhalten wie eine geplante Überprüfung, wenn sie deaktiviert ist.Die CPU-Drosselung bei Leerlaufüberprüfungen steuert, ob die CPU für geplante Scans gedrosselt wird, während sich das Gerät im Leerlauf befindet. Diese Einstellung ist standardmäßig deaktiviert, um sicherzustellen, dass die CPU bei geplanten Überprüfungen nicht gedrosselt wird, wenn sich das Gerät im Leerlauf befindet, unabhängig davon, auf welche CPU-Drosselung festgelegt ist. Weitere Informationen finden Sie in der Einstellung in Set-MpPreference (Defender).For more information, see the
DisableCpuThrottleOnIdleScanssetting in Set-MpPreference (Defender).Hinweis
Weitere Informationen finden Sie unter Leerlaufbedingungen – Win32-Apps.
Überprüfungen und Ausschlüsse
Microsoft Defender Antivirus verfügt über die folgenden Features, die zur Verbesserung der Scanleistung und -effizienz beitragen:
Die Überprüfung von Containern/Archiven kann sehr lange dauern, da bestimmte Optimierungen (z. B. parallele Scans) in diesen Situationen nicht möglich sind. Wenn möglich, wird empfohlen, den Inhalt dieser Container zu extrahieren, damit die vollständige Überprüfung Elemente parallel verarbeiten kann.
Scanausschlüsse, bei denen Sie Container von der Überprüfung ausschließen können, wenn diese Option gemäß Ihren Complianceanforderungen zulässig ist.
Das Leistungsanalysetool für Microsoft Defender Antivirus kann verwendet werden, um Ausschlüsse zu ermitteln, die zur Optimierung der Leistung beitragen. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.
Microsoft Defender Antivirus verfügt über eine integrierte Optimierung für Inhalte, die hochseriös sind (z. B. von vertrauenswürdigen Quellen signiert). Wenn es auf solche Inhalte stößt, verschiebt es sich einfach vom Scannen des Inhalts zur Überprüfung der Signatur, um sicherzustellen, dass die Datei nicht manipuliert wurde.
Empfehlungen zu Antivirenausschlüssen
Das Ausschließen bestimmter Speicherorte vom Scannen kann die Überprüfungszeit verkürzen. Es gibt zwei Arten von Ausschlüssen: Prozessausschlüsse und Datei-/Ordnerausschlüsse. Nur Datei-/Ordnerausschlüsse gelten für die vollständige Überprüfung. Scanausschlüsse sollten sorgfältig entwickelt werden, um die Scanzeit zu verkürzen und gleichzeitig das Risiko zu minimieren.
Schließen Sie komprimierte Dateien nicht aus, wenn dies durch Ihre Complianceanforderungen nicht zulässig ist.
Schließen Sie nicht den temporären Benutzerprofilordner oder den temporären Systemordner aus, der häufig von Schadsoftware verwendet wird:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
Die Verwendung von Umgebungsvariablen als Wildcard in Ausschlusslisten ist nur auf Systemvariablen beschränkt. Verwenden Sie beim Hinzufügen von Microsoft Defender Antivirus-Ordner- und Prozessausschlüssen keine benutzerbezogenen Umgebungsvariablen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für