שתף באמצעות

שיקולי סריקה מלאים ושיטות עבודה מומלצות של האנטי-וירוס של Microsoft Defender

  • מאמר

חל על:

פלטפורמות

  • Windows

מאמר זה מסביר את השיקולים ושיטות העבודה המומלצות עבור הפעלת סריקות אנטי-וירוס מלאות עם Microsoft Defender for Endpoint. מאמר זה מתאר גורמים המשפיעים על ביצועי הסריקה ומתאר תרחישים שבהם צריכת משאבים מוגברת גורמת ליעילות מוגברת של ההגנה.

סקירה כללית

הגנה בזמן אמת ב - Defender for Endpoint היא תכונה ש סורקת באופן רציף את המחשב שלך כדי לעזור לזהות ולעצור הידבקות בתוכנות זדוניות בזמן אמת. הוא משתמש בשיטות זיהוי הטוריסטיות ומבוססות התנהגות כדי לנטר את הפעילות במכשיר שלך ולהגן מפני איומים בזמן שהם מתרחשים. ההמלצה שלנו לסריקה מתוזמנת היא לקבוע את התצורה של סריקה מהירה יחד עם הגנה בזמן אמת והגנה על ענן, מכיוון ששילוב זה מספק כיסוי חזק מפני תוכנות זדוניות המתחילות בתוכנות זדוניות ברמת המערכת וברמת ליבה. תצורה זו היא תצורת ברירת המחדל. באופן כללי, אין צורך לתזמן סריקה מלאה, ורוב המשתמשים לעולם לא צריכים להפעיל סריקות מלאות באופן ידני (ראה השוואת סריקה מהירה, סריקה מלאה וסריקה מותאמת אישית).

עם זאת, ייתכן שיהיה עליך להפעיל סריקות מלאות כדי לעמוד בדרישות הספציפיות של הארגון שלך. סריקה מלאה מתחילה בסריקה מהירה, ולאחר מכן ממשיכה בסריקה רציפה של כל כונני הרשת הקבועים הנשלפים המוטעים. סריקה מלאה יכולה להימשך בין כמה שעות לכמה ימים, בהתאם לנפח התוכן, לסוג התוכן ולמשאבים ש- Microsoft Defender הקצה לביצוע הסריקה (ראה תזמון סריקות רגילות מהירות המלאה באמצעות האנטי-וירוס של Microsoft Defender). ביצועי הסריקה אינם רק פונקציה של גודל קובץ, והיא נקבעת בעיקר על-ידי סוג התוכן ומורכבותו.

יעילות ההגנה והשפעה על הביצועים

הגנה ושימוש במשאבי מערכת כרוכים בסחורות. ביצועי המכשיר תלויים מאוד בסביבה שלך. הגיוני שהפעלת סריקה מלאה במכשיר הכולל תוכן מורכב רב תוביל לזמן מוגבר להשלמתו. הטבלה הבאה מסכמת תרחישים שבהם שעשינו החלטות כדי להשתמש במשאבי מערכת נוספים כדי לשפר את יעילות ההגנה שלנו.

הגדרה ברירת מחדל פרטים
אחסון בארכיון/גורם מכיל (לדוגמה, ISOs) סריקה Enabled האנטי-וירוס של Microsoft Defender ממוטב כדי למזער את זמן הסריקה של אובייקט יחיד. גורמים מכילים עשויים להכיל אובייקטים רבים וסריקתם עשויה להימשך זמן רב יותר מהצפוי עקב התפקת הפריטים בגורמים המכילים.
גודל מרבי של סריקת ארכיון Unlimited
רשת ממופה (לדוגמה, UNC, SMB, CIFS) Enabled כברירת מחדל, האנטי-וירוס של Microsoft Defender סורק כונני רשת ממופים.
סינכרון OneDrive Enabled כברירת מחדל, האנטי-וירוס של Microsoft Defender סורק שולחנות עבודה, מסמכים או הורדות המסונכרנים באמצעות OneDrive או סינכרון תיקיות.
מטמון בצד הלקוח/קבצים לא מקוונים Enabled כברירת מחדל, Defender סורק מטמון בצד הלקוח.
סרוק את גורם טעינת ה- CPU הממוצע 50 עיין בסעיף סריקה ווויסות CPU במאמר זה.

הערה

  • אם הגנה בזמן אמת מופעלת, מתבצעת סריקה של קבצים לפני ביצוע הגישה אליהם. הסריקה מתרחשת ללא קשר למיקום הקבצים (ראה קביעת תצורה של אפשרויות סריקה עבור האנטי-וירוס של Microsoft Defender).
  • השימוש בפועל ב- CPU עשוי להשתנות בהתאם למספר ליבות המעבד, ביצועי I/O, לחץ על הזיכרון וכו'. הגבלת השימוש ב- CPU עלולה לגרום להשלמת סריקה מלאה, כך שלקוחות צריכים לכוונן ערך זה בהתאם לערכים בפועל של השימוש ב- CPU שהתקבלו בסביבה הספציפית שלהם.

הגדרות ומתגים של מיטוב ביצועי סריקה מלאים

ביצועי המכשיר הם גורם חשוב בקצב עיבוד אירועי האבטחה ומהירות הפעילויות של קבצים, רשתות וסריקה. קצב עיבוד גבוה יותר של אירועים שווה להשפעה גבוהה יותר על הביצועים באמצעות סורק האנטי-וירוס. תצורה שונה של תוכנת אנטי-וירוס יכולה להשפיע על הביצועים וההגנה. קיימים הגדרות ומתגים זמינים שניתן לקבוע את תצורתם כדי לכוונן את הביצועים של האנטי-וירוס של Microsoft Defender.

כדי לקבוע את התצורה של אפשרויות סריקה עבור האנטי-וירוס של Microsoft Defender, באפשרותך להשתמש בכלים שונים (ראה קביעת תצורה של אפשרויות סריקה עבור האנטי-וירוס של Microsoft Defender). להלן כמה מההגדרות והבוררים הזמינים שבהם תוכל להשתמש כדי לקבוע את תצורת הסריקות המלאות של האנטי-וירוס של Microsoft Defender:

הגדרה ברירת מחדל פרמטר ופרטים של PowerShell/WMI
אחסון בארכיון/גורם מכיל (לדוגמה, ISOs) סריקה Enabled האנטי-וירוס של Microsoft Defender ממוטב כדי למזער את זמן הסריקה של אובייקט יחיד. גורמים מכילים עשויים להכיל אובייקטים רבים וסריקתם עשויה להימשך זמן רב יותר מהצפוי עקב התפקת הפריטים בגורמים המכילים.
אחסון קבצים בארכיון Scanned DisableArchiveScanning

הפעלה אינה DisableArchiveScanning כוללת את סוגי הארכיון הבאים בסריקה של אנטי-וירוס:
- ZIP
- Ace
- Arc
- Arj
- BZip2
- Cab
- CF
- CPIO
- CPT
- GZip
- Hap
- ISO
- Lharc
- PSF
- Quantum
- Rar
- Stuffit
- Zoo
- ZCompress
- Compress
- VC4
- RPM
- BGA
- BH
- Universal Disk Format
- 7z

לקבלת מידע נוסף, ראה DisableArchiveScanning
רמה של תיקיות משנה בתוך תיקיית ארכיון לסריקה 0 0 כלומר, ללא הגבלה.
גודל מרבי של ארכיון לסריקה 0 0 כלומר, ללא הגבלה.
כונני רשת ממופים Scanned DisableScanningMappedNetworkDrivesForFullScan

ראה הפיכת סריקה ללא זמינהMappedNetworkDrivesForFullScan
קבצי רשת Scanned DisableScanningNetworkFiles
% טעינת CPU מרבי במהלך סריקה 50 ScanAvgCPULoadFactor

עיין בסעיף סריקה ווויסות CPU במאמר זה.
השבת ויסות CPU על סריקות לא פעילות Unthrottled DisableCpuThrottleOnIdleScans

עיין בסעיף סריקה ווויסות CPU במאמר זה.
חתימה בודקת לפני הסריקה Disabled CheckForSignaturesBeforeRunningScan

האנטי-וירוס של Microsoft Defender בודק מעת לעת אם קיימים עדכונים לחתימה ומבצע סריקות מתוזמנות באופן אוטומטי. כברירת מחדל, הסריקה מתחילה בהגדרות קיימות. הגדרה זו חלה רק על סריקות מתוזמנות.
כוננים נשלפים במהלך סריקות מלאות Scanned DisableRemovableDriveScanning

ציון אם לסרוק כוננים נשלפים, כגון כונני הבזק, במהלך סריקה מלאה.
דואר אלקטרוני Scanned DisableEmailScanning

ציון אם Windows Defender מנתח את תיבת הדואר ואת קבצי הדואר, בהתאם לתבנית הספציפית שלהם, כדי לנתח גוף דואר וקבצים מצורפים.
Script Scanned DisableScriptScanning

מציין אם לבטל את הסריקה של קבצי Script.

שיטות עבודה מומלצות ושיקולים

להלן ההמלצות של Microsoft:

סריקות מלאות

  • הפעלת סריקה מלאה פעם אחת לאחר שהפעלת או התקנת את האנטי-וירוס של Microsoft Defender יכולה להיות שימושית לסריקה של מערכות כדי לזהות איומים קיימים.

  • אנו ממליצים לקבוע את תצורת מדיניות הסריקה בהתבסס על סוג המכשיר ותפקידו, לדוגמה, אוסף SQL Server, אוסף שרתי IIS, אוסף תחנת עבודה מוגבלת, אוסף תחנת עבודה רגיל.

  • הימנע משימוש בבקרי תחום בתפקיד שרת קבצים. פעולה זו מפחיתה את הפעילויות בסריקת אנטי-וירוס במשותפים של קבצים וממזערת את ת הראש של הביצועים.

  • האנטי-וירוס של Microsoft Defender כולל את תכונת חישוב קוד ה- Hash של הקבצים המחשבת קוד Hash של קבצים עבור כל קובץ הפעלה שנסרק אם לא חושב בעבר. הדבר כולל עלות ביצועים במיוחד בעת העתקת קבצים גדולים משיתוף ברשת. ראה קביעת תצורה של חישוב Hash של קבצים לקבלת מידע נוסף על ההשפעה על המחוונים.

  • ביצועי הסריקה המלאים עשויים להיות מושפעים מוויסות CPU. ההמלצה שלנו היא להשאיר את הגדרות מגבלת ה- CPU כברירת מחדל.

הערה

  • על-ידי הגנה, האנטי-וירוס של Microsoft Defender בודק את סוג התוכן הפנימי, כי סיומות הקבצים מונות לעתים קרובות ותוקפים יכולים להונות אותם בקלות.
  • ביצועי הסריקה תלויים במידה רבה בסוג התוכן בפועל הנסרק כעת. באופן כללי, סוגי קבצים מורכבים יותר דורשים זמן ומחזור נוספים, ואילו סוגי תוכן חריגים יותר דורשים זמן רב יותר (לדוגמה, קבצי JavaScript).
  • הכלי 'מנתח הביצועים' עבור האנטי-וירוס של Microsoft Defender עוזר לקבוע קבצים, סיומות קבצים ותהליכים שעלולים לגרום לבעיות ביצועים ב נקודות קצה בודדות במהלך סריקות אנטי-וירוס. אם אתה מפעיל את האנטי-וירוס של Microsoft Defender ואתה נתקל בבעיות ביצועים, באפשרותך להשתמש במנתח הביצועים כדי למטב את הביצועים (ראה מנתח הביצועים עבור האנטי-וירוס של Microsoft Defender).
  • מזהה תמונה מהימן עבור האנטי-וירוס של Microsoft Defender יכול לעזור בשיפור ביצועי המכשירים שלך. ראה קביעת תצורה של מזהה תמונה מהימן עבור Microsoft Defender.

סריקה ווויסות CPU

מגבלת השימוש ב- CPU, המכונה גם ויסות CPU, משמשת להגדרת השימוש המרבי ב- CPU עבור סריקות לפי דרישה של Microsoft Defender. הגדרת ויסות ה- CPU מופעלת כברירת מחדל והיא חלה רק על סריקות מתוזמנות, ותאפשר גם סריקות מותאמות אישית. מומלץ לכוונן הגדרה זו ( ScanAverageCPULoadFactor ראה את ההגדרה ב- Set-MpPreference (Defender)), בהתאם לערכים בפועל של השימוש ב- CPU שהתקבלו בסביבה הספציפית שלך.

גורם טעינת ה- CPU עבור האנטי-וירוס של Microsoft Defender אינו מוגבל באופן קשיח, אלא הנחיה למנוע הסריקה לא לחרוג ממגבלה זו. עבור הגדרת מדיניות סריקה זו, באפשרותך לציין ערך כאחוז מהניצול המרבי של המעבד במהלך הסריקה. הערך של 0 או 100 מציין שאין ויסות. לדוגמה, אם ערך זה מוקטן ל- 20, משמעות הדבר היא שמנוע הסריקה שואף לשמור על עומס ממוצע של ה- CPU של המערכת מתחת ל- 20% במהלך הסריקה, והשלמתו נמשכת זמן רב יותר.

  • אם תגדיר את ערך האחוז ל- 0 או ל- 100, ויסות ה- CPU לא יהיה זמין ו- Windows Defender יוכל להשתמש ב- 100% מה- CPU לכלל המשתמשים במהלך הסריקות המתוזמנות והמותאמת אישית. פעולה זו אינה מומלצת מכיוון שהיא יכולה להוביל לאפליקציות שלא מגיבות, ואפילו לחימום יתר, לכן המשך בזהירות רבה.

  • שינוי הערך כולל הן יתרונות והן חסרונות. ערכים גבוהים יותר פירושם שהסרוקות פועלות מהר יותר; עם זאת, היא עשויה להאט את המערכת במהלך הסריקה, בעוד שערכים שבהם קיימים ערכים זמינים לאורך הסריקה אורכת זמן רב יותר, אך יש לך משאבי CPU זמינים נוספים עבור המערכת במהלך הסריקה. לדוגמה, אם אתה מפעיל עומסי עבודה קריטיים בשרת, יש להגדיר הגדרה זו לערך שאינו מפריע לתפקדות עומסי העבודה.

  • סריקות ידניות מתעלמות מהגדרת ויסות ה- CPU ופועלים ללא מגבלות CPU. עם זאת, קיימת הגדרת מדיניות סריקה ( ThrottleForScheduledScanOnly עיין בהגדרה ב- Set-MpPreference (Defender)) שאם היא אינה זמינה, סריקות ידניות מצייתות למגבלות ה- CPU של סריקה מתוזמנת.

  • ויסות CPU על סריקות לא פעילות קובע אם ה- CPU מווסת עבור סריקות מתוזמנות כאשר המכשיר אינו פעיל. הגדרה זו אינה זמינה כברירת מחדל כדי להבטיח שהמעבד לא ויסות עבור סריקות מתוזמנות כאשר ההתקן אינו פעיל, ללא קשר לוויסות ה- CPU. לקבלת מידע נוסף, עיין בהגדרה DisableCpuThrottleOnIdleScansב- Set-MpPreference (Defender).

    הערה

    ראה את הקריטריונים של מצב לא פעיל בתנאים של פעילות במצב לא פעיל - אפליקציות Win32.

סריקה ופריטים שאינם נכללים

האנטי-וירוס של Microsoft Defender כולל את התכונות הבאות שמסייעות לשפר את ביצועי הסריקה ואת היעילות:

  • סריקת גורמים מכילים/ארכיונים עשויה להימשך זמן רב כמיטובים מסוימים (לדוגמה, סריקות מקבילות) אינם אפשריים במצבים אלה. כאשר הדבר אפשרי, מומלץ לחלץ את התוכן של גורמים מכילים אלה כדי לאפשר לסריקה המלאה לעבד פריטים במקביל.

  • סרוק אי-הכללות שבהן באפשרותך לא לכלול גורמים מכילים בסריקה, אם אפשרות זו מותרת על-ידי דרישות התאימות שלך.

  • ניתן להשתמש בכלי מנתח הביצועים עבור האנטי-וירוס של Microsoft Defender כדי לקבוע אי-הכללות שיעזרו לך למטב את הביצועים. ראה מנתח הביצועים עבור האנטי-וירוס של Microsoft Defender.

האנטי-וירוס של Microsoft Defender כולל מיטוב מוכלל עבור תוכן אמין ביותר (לדוגמה, חתום על-ידי מקורות מהימנים). כאשר הוא נתקל בתוכן כזה, הוא פשוט מתרחק מסריקת התוכן לאימות החתימה כדי להבטיח שהקובץ לא טופל שלא כדין.

המלצות על אי-הכללות של אנטי-וירוס

אי-הכללת מיקומים מסוימים בסריקה עשויה לקצר את זמן הסריקה. קיימים שני סוגים של אי-הכללות: אי-הכללות של תהליך ופריטים שאינם נכללים בקובץ/תיקיה. רק פריטים שאינם נכללים בקובץ/תיקיה חלים על סריקה מלאה. יש לפתח בקפידה פריטים שאינם נכללים בסריקה כדי לצמצם את זמן הסריקה תוך מזעור הסיכון.

  • אל תכלול קבצים דחוסים אם דרישות התאימות שלך אינן מותרות.

  • אל תכלול את התיקיה Temp של פרופיל המשתמש או את התיקיה Temp System, המשמשת בדרך כלל תוכנות זדוניות:

    • C:\Users<UserProfileName>\AppData\Local\Temp\
    • C:\Users<UserProfileName>\AppData\LocalLow\Temp\
    • C:\Users<UserProfileName>\AppData\Roaming\Temp\
    • %Windir%\Prefetch
    • %Windir%\System32\Spool
    • C:\Windows\System32\CatRoot2
    • %Windir%\Temp

  • השימוש במשתנה סביבה כתו כללי ברשימות אי-הכללה מוגבל למשתנה מערכת בלבד. אל תשתמש במשתנהי סביבה של טווח משתמש בעת הוספת תיקיות אנטי-וירוס של Microsoft Defender ופריטים שאינם נכללים בתהליך.