פתרון בעיות ביצועים הקשורות להגנה בזמן אמת
חל על:
- Microsoft Defender עבור נקודת קצה תוכנית 1 ו- 2
- האנטי-וירוס של Microsoft Defender
פלטפורמות
- Windows
- שרת Windows
אם המערכת שלך נתקלה בבעיות שימוש גבוהות ב- CPU או בביצועים הקשורות לאנטי-וירוס של Microsoft Defender (הפעלה של שירות נגד תוכנות זדוניות, MsMpEng.exe, Microsoft Defender אנטי-וירוס).
כמנהל מערכת, באפשרותך גם לפתור בעיות אלה בעצמך.
תחילה, ייתכן שתרצה לבדוק אם תוכנה אחרת גורמת לבעיה. קרא את בדוק עם הספק אם קיימים בעיות ידועות עם אי-הכללות של אנטי-וירוס.
סיבות נפוצות לניצול גבוה יותר של המעבד על-ידי Microsoft Defender אנטי-וירוס
למה | פתרון |
---|---|
1: קבצים בינאריים שאינם חתומים (.exe , .ps1 .dll , וכן הלאה)בכל פעם שקובץ בינארי ( .exe כגון , .dll , .ps1 , וכן הלאה) מופעל/מופעל, אם הוא אינו חתום בחתימה דיגיטלית, האנטי-וירוס של Microsoft Defender מפעיל סריקה של הגנה בזמן אמת, סריקה מתוזמנת ו/או סריקה לפי דרישה. |
מומלץ לשקול לחתום (Extended code validation (EV) על חתימת קוד או להשתמש ב- PKI פנימי) על הקבצים הבינאריים. ו/או פנה לספק כדי שהוא יוכל לחתום על הקובץ הבינארי (חתימת קוד EV). אנו ממליצים לספקי תוכנה לפעול בהתאם לקווים המנחים השונים בשותפות עם התעשייה כדי לצמצם תוצאות חיוביות מוטעות. הספק או מפתח התוכנה יכולים לשלוח את האפליקציה, השירות או קובץ ה- Script בינת אבטחה של Microsoft הפורטל. כפתרון עבוד, באפשרותך לבצע את הפעולות הבאות: 1. (מועדף) עבור .exe שימוש של קבצים ו- dll – קוד Hash של קובץ - allow או Indicators – Certificate - allow 2. (חלופי) הוספת אי-הכללות של אנטי-וירוס (process+path). |
2. שימוש בקבצים של HTA, CHM וקבצים שונים כמסדי נתונים. בכל פעם שהאנטי Microsoft Defender-וירוס חייב לחלץ ו/או לסרוק תבניות קובץ מורכבות, עלול להתרחש ניצול רב יותר של המעבד. |
שקול לעבור לשימוש במסדי נתונים בפועל אם עליך לשמור מידע ולבצע בו שאילתה. כדי לעקוף את הבעיה, הוסף אי-הכללות של אנטי-וירוס (process+path). |
3. שימוש בתסכולים על תסריטים. אם אתה מכבה קבצי Script, Microsoft Defender אנטי-וירוס כדי לבדוק אם קובץ ה- Script מכיל תוכן תוכן זדוני, הוא יכול להשתמש בניצול רב יותר של ה- CPU בעת הסריקה. |
השתמש בתסכול Script רק בעת הצורך. כדי לעקוף את הבעיה, הוסף אי-הכללות של אנטי-וירוס (process+path). |
4. לא מאפשר למטמון Microsoft Defender אנטי-וירוס להסתיים לפני אטימה של התמונה. | אם אתה יוצר תמונת VDI, כגון עבור תמונה שאינה מתמידה, ודא כי תחזוקת המטמון הושלמה לפני שהתמונה נסגרת. לקבלת מידע נוסף, ראה קביעת תצורה Microsoft Defender אנטי-וירוס במחשב שולחני מרוחק או בסביבה של תשתית שולחן עבודה וירטואלי. |
5. אי-הכללה של נתיב שגוי עקב איות שגוי. אם תוסיף נתיבי איות שגויים שאינם נכללים, הדבר עלול להוביל לבעיות ביצועים. |
השתמש MpCmdRun.exe -CheckExclusion -Path כדי לאמת אי-הכללות מבוססות נתיב. |
6. בעת הוספת אי הכללה של נתיב, הוא פועל עבור זרימות סריקה. ניטור אופן פעולה (BM) ובדיקת רשת בזמן אמת (NRI) עדיין עלולים לגרום לבעיות ביצועים. |
כפתרון עוקף, בצע את השלבים הבאים: 1. (מועדף) עבור .exe שימוש של קבצים ו- dll – קוד Hash של קובץ - allow או Indicators – Certificate - allow 2. (חלופי) הוספת אי-הכללות של אנטי-וירוס (process+path). |
7. חישוב קוד Hash של קובץ. אם אתה מאפשר חישוב Hash של קבצים, המשמש עבור מחווני קבצים, ישנה תמורת ביצועים נוספת. לדוגמה, העתקת קבצים גדולים משיתוף רשת למכשיר המקומי שלך, במיוחד באמצעות חיבור VPN, עשויה להשפיע על ביצועי המכשיר. |
כאן אתה, וצוות המנהיגות שלך ת נדרשים לקבל החלטה, של ניצול אבטחה רב יותר או פחות של המעבד. פתרון אפשרי אחד הוא להפוך את התכונה 'חישוב קוד Hash של קובץ' ללא זמינה. עבור אל תבניות מנהליות>של>תצורת מחשב רכיבי Windows>Microsoft Defender Antivirus>MpEngine ולאחר מכן הפוך תכונות חישוב Hash של קבצים לזמינות. |
כדי לעזור לקבוע איזה רכיב עשוי לתרום לניצול CPU גבוה יותר
רכיב | פתרון |
---|---|
סריקת הגנה בזמן אמת (RTP) | באפשרותך להשתמש במצב פתרון בעיות כדי לכבות את ההגנה מפני טיפול שלא כדין. לאחר כיבוי ההגנה מפני טיפול שלא כדין, באפשרותך לבטל את "הגנה בזמן אמת" באופן זמני, כדי לבטל אותה. עיין בסעיף הקודם, סיבות נפוצות לניצול גבוה יותר של המעבד על-ידי Microsoft Defender אנטי-וירוס. |
סריקה מתוזמנת | בדוק את הגדרות הסריקה המתוזמנת המהוות ברירת מחדל הגדרות כלליות של סריקה מתוזמנת. - לקבוע את התצורה של עדיפות נמוכה של המעבד עבור סריקות מתוזמנות (השתמש בעדיפות נמוכה של ה- CPU לסריקה מתוזמנת). העדיפות של הליך המשנה ב- Windows עבור סריקות רגילות כוללת שני ערכים: 8 (נמוך יותר) 9 (גבוה יותר). על-ידי enabled הגדרת אפשרות זו ל- , 9 8 אתה מוריד את העדיפות המתוזמנת של שרשור סריקה מ- , מה שמאפשר להליכי משנה אחרים של יישומים לפעול עם עדיפות גבוהה יותר, ובכך מקבל זמן רב יותר ב- CPU מאשר Microsoft Defender אנטי-וירוס. - ציין את אחוז הניצול המרבי של המעבד במהלך סריקה (מגבלת שימוש ב- CPU לכל סריקה). 50 היא הגדרת ברירת המחדל; באפשרותך להוריד אותו ל- 20 או ל- 30 . אם יש לך חלון בקרת שינויים, על-ידי שינוי כמות המעבד שניתן להשתמש בו, גורמת לסריקה להימשך זמן רב יותר. - הפעל את הסריקה המתוזמנת רק כאשר המחשב מופעל אך ScanOnlyIfIdle Not configured אינו נמצא בשימוש על-ידי הגדרת האפשרות (היא מופעלת כברירת מחדל). הוא דורש שהמכשיר יהיה לא פעיל, כלומר השימוש ב- CPU הכולל של המכשיר חייב להיות נמוך מ- 80%. הגדרות סריקה מהירה יומית - הגדר Specify the interval to run quick scans per day למצב Not configured (כמה שעות חלפו, לפני הפעלת הסריקה המהירה הבאה - 0 עד 24 שעות)הגדר כ- Specify the time for a daily quick scan (Run daily quick scan at) 12 PM . הפעלת הגדרות סריקה מתוזמנת שבועית (מהירה או מלאה) - ציין את סוג הסריקה לשימוש עבור סריקה מתוזמנת (הגדר Scan type ל- Not configured ). - ציין את השעה ביום להפעלת סריקה מתוזמנת (הגדר Day of week to run scheduled scan ל- Not configured ). - ציין את היום בשבוע להפעלת סריקה מתוזמנת (הגדר Time of day to run a scheduled scan ל- Not configured ). |
סרוק לאחר עדכון בינת אבטחה. | כברירת מחדל, Microsoft Defender אנטי-וירוס סורק לאחר עדכון בינת אבטחה למטרות הגנה מיטביות. אם סריקות מתוזמנות זמינות, ייתכן שתרצה לחשוב שקיימות סריקות מחוץ ללוח הזמנים. כאן אתה, וצוות המנהיגות שלך ת נדרשים לקבל החלטה, של ניצול אבטחה רב יותר או פחות של המעבד. כפתרון, ב- מדיניות קבוצתית (או בכלי ניהול אחר, כגון MDM),>> עבור אל תבניות ניהול של תצורת מחשב Microsoft Defender Antivirus>Security Intelligence עדכונים והגדר Disabled את הפעל סריקה לאחר עדכון בינת אבטחה ל- . |
התנגשויות עם תוכנות אבטחה אחרות | אם יש לך תוכנה שאינה של Microsoft לאבטחה, כגון אנטי-וירוס, EDR, DLP, ניהול הרשאות נקודת קצה, VPN וכן הלאה, הוסף את התוכנה זו לפריטים שלא ייכללו באנטי-וירוס של Microsoft Defender (נתיב + תהליכים) ולהיפך. כדי לקבל את רשימת הקבצים הבינאריים Microsoft Defender אנטי-וירוס, ראה קביעת תצורה של סביבת הרשת שלך כדי להבטיח קישוריות עם שירות Defender for Endpoint. |
סריקת מספר רב של קבצים או תיקיות | אם יש לך קובץ גדול כגון .iso, .vhdx וכן הלאה, יושב בפרופיל המשתמש שלך (שולחן עבודה, הורדות, מסמכים וכן הלאה) ופרופיל זה מנותב מחדש לשיתופים ברשת, כגון קבצים לא מקוונים (CSC) או OneDrive (או מוצרים דומים), הסריקות אינן יכולות להימשך זמן רב יותר. זאת משום שאתה סורק רשת, שבה קיימת השהיה נוספת בהשוואה לקבצים המאוחסנים באופן מקומי במכשיר. אם אינך זקוק ל- .iso/.vhd/.vhdx וכולי... יושב על הפרופיל שלך, להעביר אותו לתיקיה אחרת שבה הוא לא יושב במיקום משותף ברשת (כונן ממופה, unc share, smb share). |
מה מפעיל וגורם לניצול רב יותר של המעבד Microsoft Defender האנטי-וירוס
לאחר השלמת שלבי proa\ctive, באפשרותך לזהות מה מפעיל וגורם לניצול ה- CPU הגבוה יותר:
# | כלים שיעזרו לצמצם את מה שמפעיל את הניצול הגבוה של המעבד | תגובות/הערות |
---|---|---|
1 | איסוף נתוני Microsoft Defender אנטי-וירוס | Microsoft Defender אבחון אנטי-וירוס שברצונך לכלול בכל פעם שפתרון בעיה באנטי Microsoft Defender אנטי-וירוס. |
2 | מנתח הביצועים עבור אנטי Microsoft Defender וירוס | לקבלת בעיות ספציפיות לביצועים הקשורות לאנטי Microsoft Defender אנטי-וירוס, ראה מנתח הביצועים עבור Microsoft Defender אנטי-וירוס. פעולה זו מאפשרת לך להפעיל את איסוף הנתונים ולנתח את הנתונים, היכן שקל להבין אותם. הערה: ודא שהבעיה משכפול בעת איסוף נתונים אלה. |
3 | פתרון Microsoft Defender של ביצועי אנטי-וירוס ב- Process Monitor | אם מסיבה כלשהי מנתח ביצועי האנטי Microsoft Defender Antivirus של Microsoft Defender אינו מספק את הפרטים הדרושים לך כדי לצמצם את מה שמפעיל את ניצול ה- CPU הגבוה, באפשרותך להשתמש ב- Process Monitor (ProcMon). עצה: באפשרותך לאסוף עבור 5-10 דקות. הערה: ודא שהבעיה משכפול בעת איסוף נתונים אלה. |
4 | פתרון בעיות Microsoft Defender אנטי-וירוס ב- WPRUI | לפתרון בעיות מתקדם יותר, באפשרותך להשתמש בממשק המשתמש של מקליט הביצועים של Windows (WPRUI) או במקליט הביצועים של Windows (WPR). זכור כי עקב המלל של מעקב זה, עליו להיות מוגבל ל- 3 עד 5 דקות לכל היותר. ודא שהבעיה מתרחשת באופן פעיל בעת איסוף נתונים אלה. |
בדוק עם הספק אם יש בעיות ידועות במוצרי אנטי-וירוס
אם אתה יכול לזהות בקלות את התוכנה המשפיעה על ביצועי המערכת, עבור אל מרכז Knowledge Base או מרכז התמיכה של ספק התוכנה. בדוק אם קיימות בעיות ידועות במוצרי אנטי-וירוס. במידת הצורך, באפשרותך לפתוח איתם כרטיס תמיכה ובקש מהם לפרסם כרטיס כזה.
אנו ממליצים לספקי תוכנה לפעול בהתאם לקווים המנחים השונים בשותפות עם התעשייה כדי לצמצם תוצאות חיוביות מוטעות. הספק יכול לשלוח את התוכנה שלו באמצעות בינת אבטחה של Microsoft הפורטל.
מה קורה אם עדיין יש לי בעיה?
באפשרותך להגיש כרטיס לתמיכה של Microsoft.
בצע את השלבים המפורטים במאמר איסוף נתוני Microsoft Defender אנטי-וירוס.
למידע נוסף
- איסוף נתוני Microsoft Defender אנטי-וירוס
- קביעת תצורה ואימתה של פריטים שאינם נכללים Microsoft Defender אנטי-וירוס
- מנתח הביצועים עבור אנטי Microsoft Defender וירוס
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.