Megosztás a következőn keresztül:


A Microsoft Defender víruskereső teljes vizsgálatának szempontjai és ajánlott eljárásai

Érintett szolgáltatás:

Platformok

  • A Windows

Ez a cikk a végponthoz készült Microsoft Defenderrel végzett teljes víruskereső vizsgálatok futtatásának szempontjait és ajánlott eljárásait ismerteti. Ez a cikk azokat a tényezőket ismerteti, amelyek befolyásolják a vizsgálati teljesítményt, és olyan forgatókönyveket ismertet, amelyekben a megnövekedett erőforrás-használat nagyobb védelmi hatékonyságot eredményez.

Áttekintés

A Végponthoz készült Defender valós idejű védelme egy olyan funkció, amely folyamatosan ellenőrzi a számítógépet, hogy valós időben észlelje és megállítsa a kártevőfertőzéseket. Heurisztikus és viselkedésalapú észlelési módszereket használ az eszközön végzett tevékenység monitorozására, valamint a fenyegetések elleni védelemre. Az ütemezett vizsgálatokhoz javasoljuk, hogy konfigurálja a gyors vizsgálatot a mindig valós idejű védelemmel és a felhővédelemmel együtt, mivel ez a kombináció erős lefedettséget biztosít a rendszer- és kernelszintű kártevőkkel kezdődő kártevők ellen. Ez az alapértelmezett konfiguráció. Általánosságban elmondható, hogy nincs szükség teljes vizsgálat ütemezésére, és a legtöbb felhasználónak soha nem kell manuálisan futtatnia a teljes vizsgálatokat (lásd: Gyorsvizsgálat, teljes vizsgálat és egyéni vizsgálat összehasonlítása).

Előfordulhat azonban, hogy teljes vizsgálatot kell futtatnia, hogy megfeleljen a szervezet konkrét követelményeinek. A teljes vizsgálat egy gyors vizsgálattal kezdődik, majd a csatlakoztatott rögzített és cserélhető hálózati meghajtók szekvenciális fájlvizsgálatával folytatódik. A teljes vizsgálat több órától akár több napig is tarthat, a tartalom mennyiségétől, a tartalom típusától és a Microsoft Defender által a vizsgálat végrehajtásához lefoglalt erőforrásoktól függően (lásd: Rendszeres gyors és teljes vizsgálatok ütemezése a Microsoft Defender víruskeresővel). A vizsgálati teljesítmény nem csupán a fájlméret függvénye, és leginkább a tartalom típusa és összetettsége határozza meg.

A védelmi hatékonyságra és a teljesítményre gyakorolt hatás

A védelem és a rendszererőforrás-használat kompromisszumokkal jár. Az eszköz teljesítménye nagymértékben függ a környezettől. Természetes, hogy ha egy sok összetett tartalommal rendelkező eszközön teljes vizsgálatot futtat, az hosszabb időt eredményezne a befejezésig. Az alábbi táblázat összefoglalja azokat a forgatókönyveket, amelyekben több rendszererőforrás használatával növeltük a védelmi hatékonyságot.

Beállítás Alapértelmezett Részletek
Archiválás/tároló (például ISO-k) vizsgálata Enabled A Microsoft Defender víruskereső egyetlen objektum vizsgálati idejének minimalizálására van optimalizálva. A tárolók sok objektumot tartalmazhatnak, és a vizsgálatuk a vártnál több időt vehet igénybe a tároló elemeinek kinyerésével járó többletterhelés miatt.
Az archív vizsgálat maximális mérete Unlimited
Leképezett hálózat (például UNC, SMB, CIFS) Enabled Alapértelmezés szerint a Microsoft Defender víruskereső megvizsgálja a leképezett hálózati meghajtókat.
OneDrive-szinkronizálás Enabled Alapértelmezés szerint a Microsoft Defender víruskereső megvizsgálja a OneDrive-on vagy mappaszinkronizáláson keresztül szinkronizált asztalokat, dokumentumokat vagy letöltéseket.
Ügyféloldali gyorsítótár/offline fájlok Enabled Alapértelmezés szerint a Defender megvizsgálja az ügyféloldali gyorsítótárat.
Átlagos processzorterhelési tényező vizsgálata 50 Lásd a cikk Vizsgálat és processzorszabályozás című szakaszát.

Megjegyzés:

  • Ha a valós idejű védelem be van kapcsolva, a rendszer ellenőrzi a fájlokat a hozzáférésük és végrehajtásuk előtt. A vizsgálat attól függetlenül történik, hogy hol találhatók a fájlok (lásd: A Microsoft Defender víruskereső vizsgálati beállításainak konfigurálása).
  • A tényleges CPU-használat a processzormagok számától, az I/O-teljesítménytől, a memóriaterheléstől stb. függően változhat. A cpu-használat korlátozása miatt a teljes vizsgálat hosszabb időt vehet igénybe, ezért az ügyfeleknek finomhangolniuk kell ezt az értéket az adott környezetben kapott tényleges CPU-használati értékektől függően.

Teljes vizsgálati teljesítményoptimalizálási beállítások és kapcsolók

Az eszköz teljesítménye fontos tényező a biztonsági események feldolgozásának sebességében, valamint a fájl-, hálózati és vizsgálati tevékenységek sebességében. A nagyobb eseményfeldolgozási sebesség az AV-szkenner nagyobb teljesítményre gyakorolt hatásával jár. A különböző víruskereső szoftverkonfiguráció hatással lehet a teljesítményre és a védelemre. Vannak olyan beállítások és kapcsolók, amelyeket konfigurálhat a Microsoft Defender víruskereső teljesítményének módosításához.

A Microsoft Defender víruskereső vizsgálati beállításainak konfigurálásához különböző eszközöket használhat (lásd: A Microsoft Defender víruskereső vizsgálati beállításainak konfigurálása). Íme néhány a Microsoft Defender víruskereső teljes vizsgálatainak konfigurálásához használható beállítások és kapcsolók közül:

Beállítás Alapértelmezett PowerShell-/WMI-paraméter és részletek
Archiválás/tároló (például ISO-k) vizsgálata Enabled A Microsoft Defender víruskereső egyetlen objektum vizsgálati idejének minimalizálására van optimalizálva. A tárolók sok objektumot tartalmazhatnak, és a vizsgálatuk a vártnál több időt vehet igénybe a tároló elemeinek kinyerésével járó többletterhelés miatt.
Fájlok archiválása Scanned DisableArchiveScanning

A bekapcsolásával DisableArchiveScanning kizárja a következő archív típusokat a víruskereső vizsgálatokból:
- ZIP
- Ace
- Arc
- Arj
- BZip2
- Cab
- CF
- CPIO
- CPT
- GZip
- Hap
- ISO
- Lharc
- PSF
- Quantum
- Rar
- Stuffit
- Zoo
- ZCompress
- Compress
- VC4
- RPM
- BGA
- BH
- Universal Disk Format
- 7z

További információ: DisableArchiveScanning
Az archív mappában lévő almappák szintje a vizsgálandó mappában 0 0 korlátlant jelent.
Az archívum maximális mérete vizsgálathoz 0 0 korlátlant jelent.
Csatlakoztatott hálózati meghajtók Scanned DisableScanningMappedNetworkDrivesForFullScan

Lásd: DisableScanningMappedNetworkDrivesForFullScan
Hálózati fájlok Scanned DisableScanningNetworkFiles
Maximális processzorterhelés (%) a vizsgálat során 50 ScanAvgCPULoadFactor

Lásd a cikk Vizsgálat és processzorszabályozás című szakaszát.
Cpu-szabályozás letiltása tétlen vizsgálatokhoz Unthrottled DisableCpuThrottleOnIdleScans

Lásd a cikk Vizsgálat és processzorszabályozás című szakaszát.
Aláírás-ellenőrzések a vizsgálat előtt Disabled CheckForSignaturesBeforeRunningScan

A Microsoft Defender víruskereső rendszeres időközönként ellenőrzi az aláírás-frissítéseket, és automatikusan végrehajtja az ütemezett vizsgálatokat. Alapértelmezés szerint a vizsgálat a meglévő definíciókkal kezdődik. Ez a beállítás csak az ütemezett vizsgálatokra vonatkozik.
Cserélhető meghajtók teljes vizsgálat során Scanned DisableRemovableDriveScanning

Azt jelzi, hogy a teljes vizsgálat során beolvassa-e a cserélhető meghajtókat, például a flash meghajtókat.
E-mail Scanned DisableEmailScanning

Azt jelzi, hogy a Windows Defender elemzi-e a postaládát és a levelezési fájlokat a formátumuknak megfelelően a levéltestek és mellékletek elemzéséhez.
Script Scanned DisableScriptScanning

Meghatározza, hogy tiltsa-e le a szkriptfájlok vizsgálatát.

Ajánlott eljárások és szempontok

A Microsoft javaslatai a következők:

Teljes vizsgálatok

  • A Microsoft Defender víruskereső engedélyezése vagy telepítése után a teljes vizsgálat futtatása hasznos lehet a rendszerek vizsgálatához a meglévő fenyegetések észleléséhez.

  • Javasoljuk, hogy eszköztípus és szerepkör alapján konfigurálja a vizsgálati szabályzatokat, például: SQL Server-gyűjtemény, IIS-kiszolgálógyűjtemény, korlátozott munkaállomás-gyűjtemény, standard munkaállomás-gyűjtemény.

  • Kerülje a tartományvezérlők fájlkiszolgálói szerepkörben való használatát. Ez csökkenti a fájlmegosztások víruskereső-ellenőrzési tevékenységeit, és minimalizálja a teljesítménybeli többletterhelést.

  • A Microsoft Defender víruskereső rendelkezik a fájlkivonat számítási funkciójával, amely kiszámítja a fájlkivonatokat minden olyan végrehajtható fájlhoz, amelyet akkor vizsgál, ha korábban nem számították ki. Ez különösen akkor jár teljesítményköltséggel, ha nagy méretű fájlokat másol egy hálózati megosztásból. A mutatókra gyakorolt hatásról további információt a Fájlkivonat-számítások konfigurálása című témakörben talál.

  • A teljes vizsgálati teljesítményre hatással lehet a cpu-szabályozás. Javasoljuk, hogy hagyja meg a cpu-korlát beállításait az alapértelmezett értéken.

Megjegyzés:

  • A Microsoft Defender víruskereső a belső tartalomtípust úgy vizsgálja meg, hogy a fájlkiterjesztések gyakran félrevezetőek, és a támadók könnyen megtévesztést okozhatnak.
  • A vizsgálati teljesítmény nagyban függ a vizsgált tartalomtípustól. Az összetettebb fájltípusok általában több időt és ciklust igényelnek, míg a szokatlanabb tartalomtípusokhoz még több időre van szükség (például JavaScript-fájlokra).
  • A Microsoft Defender víruskereső teljesítményelemző eszköze segít meghatározni azokat a fájlokat, fájlkiterjesztéseket és folyamatokat, amelyek teljesítményproblémákat okozhatnak az egyes végpontokon a víruskereső vizsgálata során. Ha a Microsoft Defender víruskeresőt futtatja, és teljesítményproblémákat tapasztal, a teljesítményelemző használatával optimalizálhatja a teljesítményt (lásd: Teljesítményelemző a Microsoft Defender víruskeresőhöz).
  • A Microsoft Defender víruskereső megbízható képazonosítója segíthet az eszközök teljesítményének javításában. Lásd: Megbízható rendszerkép-azonosító konfigurálása a Microsoft Defenderhez.

Vizsgálat és cpu-szabályozás

A processzorhasználati korlát( más néven CPU-szabályozás) beállítással megadhatja a Microsoft Defender igény szerinti vizsgálatainak maximális processzorhasználatát. A processzorszabályozási beállítás alapértelmezés szerint engedélyezve van, és csak az ütemezett vizsgálatokra, és opcionálisan az egyéni vizsgálatokra is vonatkozik. Javasoljuk, hogy finomhangolja ezt a beállítást (lásd a ScanAverageCPULoadFactorSet-MpPreference (Defender) beállítását az adott környezetben beszerzett tényleges CPU-használati értékektől függően.

A Microsoft Defender víruskereső processzorterhelési tényezője nem szigorú korlát, hanem inkább útmutatás ahhoz, hogy a vizsgálati motor ne lépje túl ezt a maximumot. Ebben a vizsgálati házirend-beállításban megadhat egy értéket százalékos értékként, amely a vizsgálat során maximális processzorkihasználtságot adja meg. A 0 vagy a 100 érték nem jelez szabályozást. Ha például ez az érték 20-ra csökken, az azt jelenti, hogy a vizsgálati motor célja, hogy a vizsgálat során 20% alatt tartsa a rendszer átlagos CPU-terhelését, és ez hosszabb időt vesz igénybe.

  • Ha a százalékos értéket 0 vagy 100 értékre állítja, a cpu-szabályozás le van tiltva, és a Windows Defender az ütemezett és egyéni vizsgálatok során akár a processzor 100%-át is használhatja. Ez nem ajánlott, mivel nem válaszoló alkalmazásokhoz, sőt túlmelegedéshez is vezethet, ezért fokozott óvatossággal járjon el.

  • Az érték módosításának előnyei és hátrányai is vannak. A magasabb értékek azt jelentik, hogy a vizsgálatok gyorsabban hajtanak végre; ez azonban lelassíthatja a rendszert a vizsgálat során, míg az alacsonyabb értékek azt jelentik, hogy a vizsgálat hosszabb időt vesz igénybe, de a vizsgálat során több CPU-erőforrás áll rendelkezésre a rendszerhez. Ha például kritikus fontosságú számítási feladatokat futtat egy kiszolgálón, ezt a beállítást olyan értékre kell állítani, amely nem zavarja a számítási feladatok működését.

  • A manuális vizsgálatok figyelmen kívül hagyják a CPU-szabályozás beállításait, és cpu-korlátok nélkül futnak. Van azonban egy vizsgálati házirend-beállítás (lásd a ThrottleForScheduledScanOnlySet-MpPreference (Defender) beállítását), amely szerint ha le van tiltva, akkor a manuális vizsgálatok ugyanazoknak a CPU-korlátoknak összhangban vannak, mint az ütemezett vizsgálatok.

  • Az üresjárati vizsgálatok cpu-szabályozása azt szabályozza, hogy a processzor szabályozva legyen-e az ütemezett vizsgálatokhoz, amíg az eszköz tétlen. Ez a beállítás alapértelmezés szerint le van tiltva, hogy a processzor ne legyen szabályozva az ütemezett vizsgálatokhoz, amikor az eszköz tétlen, függetlenül attól, hogy milyen cpu-szabályozás van beállítva. További információ: DisableCpuThrottleOnIdleScansSet-MpPreference (Defender).

    Megjegyzés:

    Tekintse meg a tétlen állapotra vonatkozó feltételeket a Tétlen feladatok feltételei – Win32-alkalmazások című témakörben.

Vizsgálat és kizárások

A Microsoft Defender víruskereső a következő funkciókkal rendelkezik, amelyek javítják a vizsgálati teljesítményt és a hatékonyságot:

  • A tárolók/archívumok vizsgálata hosszú időt vehet igénybe, mivel bizonyos optimalizálások (például párhuzamos vizsgálatok) nem lehetségesek ezekben a helyzetekben. Amikor csak lehetséges, javasoljuk, hogy bontsa ki ezeknek a tárolóknak a tartalmát, amelyek lehetővé tennék, hogy a teljes vizsgálat párhuzamosan dolgozza fel az elemeket.

  • A kizárások vizsgálata, ahol kizárhatja a tárolókat a vizsgálatból, ha a megfelelőségi követelmények ezt a beállítást engedélyezik.

  • A Microsoft Defender víruskereső teljesítményelemző eszköze a teljesítmény optimalizálását segítő kizárások meghatározására használható. Lásd: Teljesítményelemző a Microsoft Defender víruskeresőhöz.

A Microsoft Defender víruskereső beépített optimalizálással rendelkezik a nagy hírű tartalmakhoz (például megbízható források aláírták). Amikor ilyen tartalommal találkozik, egyszerűen eltolódik a tartalom beolvasásától az aláírás ellenőrzéséig, hogy a fájl ne legyen illetéktelen módosítás alatt.

A víruskereső kizárására vonatkozó javaslatok

Ha bizonyos helyeket kizár a vizsgálatból, azzal lerövidítheti a vizsgálat idejét. Kétféle kizárás létezik: folyamat- és fájl-/mappakizárások. A teljes vizsgálatra csak fájl-/mappakizárások vonatkoznak. A vizsgálati kizárásokat körültekintően kell kialakítani a vizsgálati idő csökkentése és a kockázat minimalizálása érdekében.

  • Ne zárja ki a tömörített fájlokat, ha a megfelelőségi követelmények nem engedélyezik.

  • Ne zárja ki a felhasználói profil ideiglenes mappáját vagy a kártevő által gyakran használt System temp mappát:

    • C:\Users<UserProfileName>\AppData\Local\Temp\
    • C:\Users<UserProfileName>\AppData\LocalLow\Temp\
    • C:\Users<UserProfileName>\AppData\Roaming\Temp\
    • %Windir%\Prefetch
    • %Windir%\System32\Spool
    • C:\Windows\System32\CatRoot2
    • %Windir%\Temp
  • A környezeti változók helyettesítő karakterként való használata a kizárási listákban csak a rendszerváltozókra korlátozódik. Ne használjon felhasználói hatókörű környezeti változókat a Microsoft Defender víruskereső mappa hozzáadásakor és a folyamatkivételek során.