Consideraciones y procedimientos recomendados del examen completo del Antivirus de Microsoft Defender
Se aplica a:
- Microsoft Defender para punto de conexión, planes 1 y 2
- Antivirus de Microsoft Defender
Plataformas
- Windows
En este artículo se explican las consideraciones y los procedimientos recomendados para ejecutar exámenes antivirus completos con Microsoft Defender para punto de conexión. En este artículo se describen los factores que afectan al rendimiento del examen y se describen los escenarios en los que el aumento del consumo de recursos da como resultado una mayor eficacia de la protección.
Información general
La protección en tiempo real en Defender para punto de conexión es una característica que examina continuamente el equipo para ayudar a detectar y detener las infecciones de malware en tiempo real. Usa métodos de detección heurísticos y basados en el comportamiento para supervisar la actividad en el dispositivo y protegerse contra amenazas a medida que suceden. Nuestra recomendación para los exámenes programados es configurar el examen rápido junto con la protección siempre en tiempo real y la protección en la nube, ya que esta combinación proporciona una fuerte cobertura contra malware que comienza con el malware de nivel de kernel y del sistema. Esta configuración es la configuración predeterminada. En general, no es necesario programar un examen completo y la mayoría de los usuarios nunca necesitan ejecutar manualmente exámenes completos (consulte Comparación del examen rápido, el examen completo y el examen personalizado).
Sin embargo, es posible que tenga que ejecutar exámenes completos para cumplir los requisitos específicos de su organización. Un examen completo comienza con un examen rápido y, a continuación, continúa con un examen secuencial de archivos de todas las unidades de red fijas y extraíbles que se montan. Un examen completo puede durar de varias horas a varios días, dependiendo del volumen de contenido, el tipo de contenido y los recursos asignados a Microsoft Defender para realizar el examen (consulte Programación de exámenes rápidos y completos normales con antivirus de Microsoft Defender). El rendimiento del examen no es solo una función de tamaño de archivo y está determinado principalmente por el tipo y la complejidad del contenido.
Eficiencia de la protección e impacto en el rendimiento
La protección y el uso de recursos del sistema conllevan inconvenientes. El rendimiento del dispositivo depende en gran medida del entorno. Es natural que la ejecución de un examen completo en un dispositivo con un montón de contenido complejo lleve a un mayor tiempo de finalización. En la tabla siguiente se resumen los escenarios en los que hemos tomado decisiones para usar más recursos del sistema para aumentar la eficacia de la protección.
| Valor | Predeterminado | Detalles |
|---|---|---|
| Examen de archivo o contenedor (por ejemplo, ISO) | Enabled |
Antivirus de Microsoft Defender está optimizado para minimizar el tiempo de examen de un solo objeto. Los contenedores pueden contener muchos objetos y su examen puede tardar más tiempo del esperado debido a la sobrecarga de extraer los elementos en el contenedor. |
| Tamaño máximo del examen de archivos | Unlimited |
|
| Red asignada (por ejemplo, UNC, SMB, CIFS) | Enabled |
De forma predeterminada, Antivirus de Microsoft Defender examina las unidades de red asignadas. |
| Sincronización de OneDrive | Enabled |
De forma predeterminada, Antivirus de Microsoft Defender examina los escritorios, documentos o descargas que se sincronizan a través de OneDrive o la sincronización de carpetas. |
| Memoria caché del lado cliente/archivos sin conexión | Enabled |
De forma predeterminada, Defender examina la caché del lado cliente. |
| Examen del factor de carga promedio de CPU | 50 |
Consulte la sección Examen y limitación de CPU de este artículo. |
Nota:
- Si la protección en tiempo real está activada, los archivos se examinan antes de que se acceda a ellos y se ejecuten. El examen se produce independientemente de dónde se encuentren los archivos (consulte Configuración de opciones de examen para el Antivirus de Microsoft Defender).
- El uso real de la CPU puede variar según el número de núcleos de CPU, el rendimiento de E/S, la presión de memoria, etc. Limitar el uso de CPU puede hacer que el examen completo tarde más en completarse, por lo que los clientes deben ajustar este valor en función de los valores de uso de CPU reales obtenidos en su entorno específico.
Configuración y conmutadores de optimización del rendimiento de examen completo
El rendimiento del dispositivo es un factor importante en la tasa de procesamiento de eventos de seguridad y la velocidad de las actividades de archivo, red y examen. Una mayor tasa de procesamiento de eventos equivale a un mayor impacto en el rendimiento con el escáner av. Una configuración de software antivirus diferente puede afectar al rendimiento y la protección. Hay opciones y modificadores disponibles que puede configurar para ajustar el rendimiento del Antivirus de Microsoft Defender.
Para configurar las opciones de examen del Antivirus de Microsoft Defender, puede usar varias herramientas (consulte Configuración de opciones de examen para el Antivirus de Microsoft Defender). Estos son algunos de los valores y modificadores disponibles que puede usar para configurar exámenes completos del Antivirus de Microsoft Defender:
| Valor | Predeterminado | Parámetro y detalles de PowerShell/WMI |
|---|---|---|
| Examen de archivo o contenedor (por ejemplo, ISO) | Enabled |
Antivirus de Microsoft Defender está optimizado para minimizar el tiempo de examen de un solo objeto. Los contenedores pueden contener muchos objetos y su examen puede tardar más tiempo del esperado debido a la sobrecarga de extraer los elementos en el contenedor. |
| Archivos de archivo | Scanned |
DisableArchiveScanningAl activar DisableArchiveScanning , se excluyen los siguientes tipos de archivo de los exámenes antivirus:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z Para obtener más información, consulte DisableArchiveScanning. |
| Nivel de subcarpetas dentro de una carpeta de archivo que se va a examinar | 0 |
0 significa ilimitado. |
| Tamaño máximo de archivo para el examen | 0 |
0 significa ilimitado. |
| Unidades de red asignadas | Scanned |
DisableScanningMappedNetworkDrivesForFullScanConsulte DisableScanningMappedNetworkDrivesForFullScan |
| Archivos de red | Scanned |
DisableScanningNetworkFiles |
| % máximo de carga de CPU durante el examen | 50 |
ScanAvgCPULoadFactorConsulte la sección Examen y limitación de CPU de este artículo. |
| Deshabilitación del límite de CPU en los exámenes inactivos | Unthrottled |
DisableCpuThrottleOnIdleScansConsulte la sección Examen y limitación de CPU de este artículo. |
| Comprobaciones de firma antes del examen | Disabled |
CheckForSignaturesBeforeRunningScanAntivirus de Microsoft Defender comprueba periódicamente si hay actualizaciones de firmas y realiza exámenes programados automáticamente. De forma predeterminada, el examen comienza con las definiciones existentes. Esta configuración solo se aplica a los exámenes programados. |
| Unidades extraíbles durante exámenes completos | Scanned |
DisableRemovableDriveScanningIndica si se deben examinar las unidades extraíbles, como las unidades flash, durante un examen completo. |
| Correo electrónico | Scanned |
DisableEmailScanningIndica si Windows Defender analiza los archivos de buzón y correo, según su formato específico, para analizar los archivos adjuntos y los cuerpos de correo. |
| Script | Scanned |
DisableScriptScanningEspecifica si se va a deshabilitar el examen de archivos de script. |
Procedimientos recomendados y consideraciones
Las siguientes son las recomendaciones de Microsoft:
Exámenes completos
Ejecutar un examen completo una vez después de haber habilitado o instalado antivirus de Microsoft Defender puede ser útil para examinar los sistemas para detectar amenazas existentes.
Se recomienda configurar directivas de examen basadas en el tipo de dispositivo y el rol, por ejemplo, colección de SQL Server, colección de servidores IIS, colección de estaciones de trabajo restringidas y colección de estaciones de trabajo estándar.
Evite usar controladores de dominio en un rol de servidor de archivos. Esto reduce las actividades de examen antivirus en recursos compartidos de archivos y minimiza la sobrecarga de rendimiento.
Antivirus de Microsoft Defender tiene la característica de cálculo de hash de archivos que calcula los hash de archivo para cada archivo ejecutable que se examina si no se ha calculado previamente. Esto tiene un costo de rendimiento especialmente al copiar archivos grandes de un recurso compartido de red. Consulte Configuración del cálculo de hash de archivos para obtener más información sobre el impacto en los indicadores.
El rendimiento del examen completo puede verse afectado por la limitación de CPU. Nuestra recomendación es dejar la configuración del límite de CPU en el valor predeterminado.
Nota:
- Por diseño, antivirus de Microsoft Defender inspecciona el tipo de contenido interno, ya que las extensiones de archivo suelen ser engañosas y los atacantes pueden suplantar fácilmente.
- El rendimiento del examen depende en gran medida del tipo de contenido real que se está analizando. En general, los tipos de archivo más complejos requieren más tiempo y ciclo, mientras que los tipos de contenido más inusuales requieren aún más tiempo (por ejemplo, archivos JavaScript).
- La herramienta de analizador de rendimiento del Antivirus de Microsoft Defender ayuda a determinar los archivos, las extensiones de archivo y los procesos que podrían estar causando problemas de rendimiento en puntos de conexión individuales durante los exámenes antivirus. Si ejecuta antivirus de Microsoft Defender y experimenta problemas de rendimiento, puede usar el analizador de rendimiento para optimizar el rendimiento (consulte Analizador de rendimiento para antivirus de Microsoft Defender).
- Un identificador de imagen de confianza para Antivirus de Microsoft Defender puede ayudar a mejorar el rendimiento de los dispositivos. Consulte Configuración de un identificador de imagen de confianza para Microsoft Defender.
Examen y limitación de CPU
El límite de uso de CPU, también conocido como limitación de CPU, se usa para establecer el uso máximo de CPU para los exámenes a petición de Microsoft Defender. La configuración de limitación de CPU está habilitada de forma predeterminada y solo se aplica a los exámenes programados y, opcionalmente, también a los exámenes personalizados. Se recomienda ajustar esta configuración (consulte la ScanAverageCPULoadFactor configuración en Set-MpPreference (Defender)), en función de los valores reales de uso de CPU obtenidos en su entorno específico.
El factor de carga de CPU para antivirus de Microsoft Defender no es un límite difícil, sino una guía para que el motor de examen no supere este máximo. Para esta configuración de directiva de examen, puede especificar un valor como porcentaje del uso máximo de CPU durante el examen. El valor de 0 o 100 indica que no hay limitación. Por ejemplo, si este valor se reduce a 20, implica que el motor de análisis tiene como objetivo mantener la carga media de CPU del sistema por debajo del 20 % durante el examen y tarda más tiempo en completarse.
Si estableces el valor de porcentaje en 0 o 100, la limitación de CPU está deshabilitada y Windows Defender puede usar hasta el 100 % de la CPU durante los exámenes programados y personalizados. Esto no se recomienda, ya que puede dar lugar a aplicaciones que no responden, e incluso un sobrecalentamiento, por lo que proceda con extrema precaución.
Cambiar el valor tiene ventajas y desventajas. Los valores más altos significan que los exámenes se realizan más rápido; sin embargo, podría ralentizar el sistema durante el examen, mientras que los valores más bajos significan que el examen tarda más en finalizar, pero tiene más recursos de CPU disponibles para el sistema durante el examen. Por ejemplo, si ejecuta cargas de trabajo críticas en un servidor, esta configuración debe establecerse en un valor que no interfiera con el funcionamiento de las cargas de trabajo.
Los exámenes manuales omiten la configuración de limitación de CPU y se ejecutan sin límites de CPU. Sin embargo, hay una configuración de directiva de examen (consulte la
ThrottleForScheduledScanOnlyconfiguración de Set-MpPreference (Defender)) que, si está deshabilitada, los exámenes manuales cumplen los mismos límites de CPU que un examen programado.La limitación de CPU en los exámenes inactivos controla si la CPU está limitada para los exámenes programados mientras el dispositivo está inactivo. Esta configuración está deshabilitada de forma predeterminada para asegurarse de que la CPU no está limitada para los exámenes programados cuando el dispositivo está inactivo, independientemente de en qué limitación de CPU esté establecida. Para obtener más información, consulte la
DisableCpuThrottleOnIdleScansconfiguración de Set-MpPreference (Defender).Nota:
Consulte los criterios de estado de inactividad en Condiciones de inactividad de tareas: aplicaciones Win32.
Examen y exclusiones
Antivirus de Microsoft Defender tiene las siguientes características que ayudan a mejorar el rendimiento y la eficacia de los exámenes:
Los contenedores o archivos pueden tardar mucho tiempo en examinarse, ya que no son posibles determinadas optimizaciones (por ejemplo, exámenes paralelos) en estas situaciones. Siempre que sea posible, se recomienda extraer el contenido de estos contenedores que permita que el examen completo procese elementos en paralelo.
Examine las exclusiones en las que puede excluir contenedores del examen, si esta opción está permitida por los requisitos de cumplimiento.
La herramienta de analizador de rendimiento del Antivirus de Microsoft Defender se puede usar para determinar las exclusiones que ayudan a optimizar el rendimiento. Consulte Analizador de rendimiento para Antivirus de Microsoft Defender.
Antivirus de Microsoft Defender tiene una optimización integrada para el contenido de gran reputación (por ejemplo, firmado por orígenes de confianza). Cuando encuentra este tipo de contenido, simplemente pasa de examinar el contenido a validar la firma para asegurarse de que el archivo no se ha alterado.
Recomendaciones de exclusiones antivirus
Excluir determinadas ubicaciones del examen puede acortar el tiempo de examen. Hay dos tipos de exclusiones: exclusiones de procesos y exclusiones de archivos o carpetas. Solo las exclusiones de archivos o carpetas se aplican al examen completo. Las exclusiones de examen deben desarrollarse cuidadosamente para reducir el tiempo de examen y minimizar el riesgo.
No excluya los archivos comprimidos si no están permitidos por los requisitos de cumplimiento.
No excluya la carpeta temporal Perfil de usuario ni la carpeta Temporal del sistema, que suele usar el malware:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
El uso de variables de entorno como carácter comodín en las listas de exclusión solo se limita a las variables del sistema. No use variables de entorno con ámbito de usuario al agregar la carpeta Antivirus de Microsoft Defender y procesar exclusiones.