A Microsoft Defender víruskereső teljes vizsgálatának szempontjai és ajánlott eljárásai
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. és 2. csomag
- Microsoft Defender víruskereső
Platformok
- A Windows
Ez a cikk a végponthoz készült Microsoft Defenderrel végzett teljes víruskereső vizsgálatok futtatásának szempontjait és ajánlott eljárásait ismerteti. Ez a cikk azokat a tényezőket ismerteti, amelyek befolyásolják a vizsgálati teljesítményt, és olyan forgatókönyveket ismertet, amelyekben a megnövekedett erőforrás-használat nagyobb védelmi hatékonyságot eredményez.
Áttekintés
A Végponthoz készült Defender valós idejű védelme egy olyan funkció, amely folyamatosan ellenőrzi a számítógépet, hogy valós időben észlelje és megállítsa a kártevőfertőzéseket. Heurisztikus és viselkedésalapú észlelési módszereket használ az eszközön végzett tevékenység monitorozására, valamint a fenyegetések elleni védelemre. Az ütemezett vizsgálatokhoz javasoljuk, hogy konfigurálja a gyors vizsgálatot a mindig valós idejű védelemmel és a felhővédelemmel együtt, mivel ez a kombináció erős lefedettséget biztosít a rendszer- és kernelszintű kártevőkkel kezdődő kártevők ellen. Ez az alapértelmezett konfiguráció. Általánosságban elmondható, hogy nincs szükség teljes vizsgálat ütemezésére, és a legtöbb felhasználónak soha nem kell manuálisan futtatnia a teljes vizsgálatokat (lásd: Gyorsvizsgálat, teljes vizsgálat és egyéni vizsgálat összehasonlítása).
Előfordulhat azonban, hogy teljes vizsgálatot kell futtatnia, hogy megfeleljen a szervezet konkrét követelményeinek. A teljes vizsgálat egy gyors vizsgálattal kezdődik, majd a csatlakoztatott rögzített és cserélhető hálózati meghajtók szekvenciális fájlvizsgálatával folytatódik. A teljes vizsgálat több órától akár több napig is tarthat, a tartalom mennyiségétől, a tartalom típusától és a Microsoft Defender által a vizsgálat végrehajtásához lefoglalt erőforrásoktól függően (lásd: Rendszeres gyors és teljes vizsgálatok ütemezése a Microsoft Defender víruskeresővel). A vizsgálati teljesítmény nem csupán a fájlméret függvénye, és leginkább a tartalom típusa és összetettsége határozza meg.
A védelmi hatékonyságra és a teljesítményre gyakorolt hatás
A védelem és a rendszererőforrás-használat kompromisszumokkal jár. Az eszköz teljesítménye nagymértékben függ a környezettől. Természetes, hogy ha egy sok összetett tartalommal rendelkező eszközön teljes vizsgálatot futtat, az hosszabb időt eredményezne a befejezésig. Az alábbi táblázat összefoglalja azokat a forgatókönyveket, amelyekben több rendszererőforrás használatával növeltük a védelmi hatékonyságot.
| Beállítás | Alapértelmezett | Részletek |
|---|---|---|
| Archiválás/tároló (például ISO-k) vizsgálata | Enabled |
A Microsoft Defender víruskereső egyetlen objektum vizsgálati idejének minimalizálására van optimalizálva. A tárolók sok objektumot tartalmazhatnak, és a vizsgálatuk a vártnál több időt vehet igénybe a tároló elemeinek kinyerésével járó többletterhelés miatt. |
| Az archív vizsgálat maximális mérete | Unlimited |
|
| Leképezett hálózat (például UNC, SMB, CIFS) | Enabled |
Alapértelmezés szerint a Microsoft Defender víruskereső megvizsgálja a leképezett hálózati meghajtókat. |
| OneDrive-szinkronizálás | Enabled |
Alapértelmezés szerint a Microsoft Defender víruskereső megvizsgálja a OneDrive-on vagy mappaszinkronizáláson keresztül szinkronizált asztalokat, dokumentumokat vagy letöltéseket. |
| Ügyféloldali gyorsítótár/offline fájlok | Enabled |
Alapértelmezés szerint a Defender megvizsgálja az ügyféloldali gyorsítótárat. |
| Átlagos processzorterhelési tényező vizsgálata | 50 |
Lásd a cikk Vizsgálat és processzorszabályozás című szakaszát. |
Megjegyzés:
- Ha a valós idejű védelem be van kapcsolva, a rendszer ellenőrzi a fájlokat a hozzáférésük és végrehajtásuk előtt. A vizsgálat attól függetlenül történik, hogy hol találhatók a fájlok (lásd: A Microsoft Defender víruskereső vizsgálati beállításainak konfigurálása).
- A tényleges CPU-használat a processzormagok számától, az I/O-teljesítménytől, a memóriaterheléstől stb. függően változhat. A cpu-használat korlátozása miatt a teljes vizsgálat hosszabb időt vehet igénybe, ezért az ügyfeleknek finomhangolniuk kell ezt az értéket az adott környezetben kapott tényleges CPU-használati értékektől függően.
Teljes vizsgálati teljesítményoptimalizálási beállítások és kapcsolók
Az eszköz teljesítménye fontos tényező a biztonsági események feldolgozásának sebességében, valamint a fájl-, hálózati és vizsgálati tevékenységek sebességében. A nagyobb eseményfeldolgozási sebesség az AV-szkenner nagyobb teljesítményre gyakorolt hatásával jár. A különböző víruskereső szoftverkonfiguráció hatással lehet a teljesítményre és a védelemre. Vannak olyan beállítások és kapcsolók, amelyeket konfigurálhat a Microsoft Defender víruskereső teljesítményének módosításához.
A Microsoft Defender víruskereső vizsgálati beállításainak konfigurálásához különböző eszközöket használhat (lásd: A Microsoft Defender víruskereső vizsgálati beállításainak konfigurálása). Íme néhány a Microsoft Defender víruskereső teljes vizsgálatainak konfigurálásához használható beállítások és kapcsolók közül:
| Beállítás | Alapértelmezett | PowerShell-/WMI-paraméter és részletek |
|---|---|---|
| Archiválás/tároló (például ISO-k) vizsgálata | Enabled |
A Microsoft Defender víruskereső egyetlen objektum vizsgálati idejének minimalizálására van optimalizálva. A tárolók sok objektumot tartalmazhatnak, és a vizsgálatuk a vártnál több időt vehet igénybe a tároló elemeinek kinyerésével járó többletterhelés miatt. |
| Fájlok archiválása | Scanned |
DisableArchiveScanningA bekapcsolásával DisableArchiveScanning kizárja a következő archív típusokat a víruskereső vizsgálatokból:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z További információ: DisableArchiveScanning |
| Az archív mappában lévő almappák szintje a vizsgálandó mappában | 0 |
0 korlátlant jelent. |
| Az archívum maximális mérete vizsgálathoz | 0 |
0 korlátlant jelent. |
| Csatlakoztatott hálózati meghajtók | Scanned |
DisableScanningMappedNetworkDrivesForFullScanLásd: DisableScanningMappedNetworkDrivesForFullScan |
| Hálózati fájlok | Scanned |
DisableScanningNetworkFiles |
| Maximális processzorterhelés (%) a vizsgálat során | 50 |
ScanAvgCPULoadFactorLásd a cikk Vizsgálat és processzorszabályozás című szakaszát. |
| Cpu-szabályozás letiltása tétlen vizsgálatokhoz | Unthrottled |
DisableCpuThrottleOnIdleScansLásd a cikk Vizsgálat és processzorszabályozás című szakaszát. |
| Aláírás-ellenőrzések a vizsgálat előtt | Disabled |
CheckForSignaturesBeforeRunningScanA Microsoft Defender víruskereső rendszeres időközönként ellenőrzi az aláírás-frissítéseket, és automatikusan végrehajtja az ütemezett vizsgálatokat. Alapértelmezés szerint a vizsgálat a meglévő definíciókkal kezdődik. Ez a beállítás csak az ütemezett vizsgálatokra vonatkozik. |
| Cserélhető meghajtók teljes vizsgálat során | Scanned |
DisableRemovableDriveScanningAzt jelzi, hogy a teljes vizsgálat során beolvassa-e a cserélhető meghajtókat, például a flash meghajtókat. |
Scanned |
DisableEmailScanningAzt jelzi, hogy a Windows Defender elemzi-e a postaládát és a levelezési fájlokat a formátumuknak megfelelően a levéltestek és mellékletek elemzéséhez. |
|
| Script | Scanned |
DisableScriptScanningMeghatározza, hogy tiltsa-e le a szkriptfájlok vizsgálatát. |
Ajánlott eljárások és szempontok
A Microsoft javaslatai a következők:
Teljes vizsgálatok
A Microsoft Defender víruskereső engedélyezése vagy telepítése után a teljes vizsgálat futtatása hasznos lehet a rendszerek vizsgálatához a meglévő fenyegetések észleléséhez.
Javasoljuk, hogy eszköztípus és szerepkör alapján konfigurálja a vizsgálati szabályzatokat, például: SQL Server-gyűjtemény, IIS-kiszolgálógyűjtemény, korlátozott munkaállomás-gyűjtemény, standard munkaállomás-gyűjtemény.
Kerülje a tartományvezérlők fájlkiszolgálói szerepkörben való használatát. Ez csökkenti a fájlmegosztások víruskereső-ellenőrzési tevékenységeit, és minimalizálja a teljesítménybeli többletterhelést.
A Microsoft Defender víruskereső rendelkezik a fájlkivonat számítási funkciójával, amely kiszámítja a fájlkivonatokat minden olyan végrehajtható fájlhoz, amelyet akkor vizsgál, ha korábban nem számították ki. Ez különösen akkor jár teljesítményköltséggel, ha nagy méretű fájlokat másol egy hálózati megosztásból. A mutatókra gyakorolt hatásról további információt a Fájlkivonat-számítások konfigurálása című témakörben talál.
A teljes vizsgálati teljesítményre hatással lehet a cpu-szabályozás. Javasoljuk, hogy hagyja meg a cpu-korlát beállításait az alapértelmezett értéken.
Megjegyzés:
- A Microsoft Defender víruskereső a belső tartalomtípust úgy vizsgálja meg, hogy a fájlkiterjesztések gyakran félrevezetőek, és a támadók könnyen megtévesztést okozhatnak.
- A vizsgálati teljesítmény nagyban függ a vizsgált tartalomtípustól. Az összetettebb fájltípusok általában több időt és ciklust igényelnek, míg a szokatlanabb tartalomtípusokhoz még több időre van szükség (például JavaScript-fájlokra).
- A Microsoft Defender víruskereső teljesítményelemző eszköze segít meghatározni azokat a fájlokat, fájlkiterjesztéseket és folyamatokat, amelyek teljesítményproblémákat okozhatnak az egyes végpontokon a víruskereső vizsgálata során. Ha a Microsoft Defender víruskeresőt futtatja, és teljesítményproblémákat tapasztal, a teljesítményelemző használatával optimalizálhatja a teljesítményt (lásd: Teljesítményelemző a Microsoft Defender víruskeresőhöz).
- A Microsoft Defender víruskereső megbízható képazonosítója segíthet az eszközök teljesítményének javításában. Lásd: Megbízható rendszerkép-azonosító konfigurálása a Microsoft Defenderhez.
Vizsgálat és cpu-szabályozás
A processzorhasználati korlát( más néven CPU-szabályozás) beállítással megadhatja a Microsoft Defender igény szerinti vizsgálatainak maximális processzorhasználatát. A processzorszabályozási beállítás alapértelmezés szerint engedélyezve van, és csak az ütemezett vizsgálatokra, és opcionálisan az egyéni vizsgálatokra is vonatkozik. Javasoljuk, hogy finomhangolja ezt a beállítást (lásd a ScanAverageCPULoadFactorSet-MpPreference (Defender) beállítását az adott környezetben beszerzett tényleges CPU-használati értékektől függően.
A Microsoft Defender víruskereső processzorterhelési tényezője nem szigorú korlát, hanem inkább útmutatás ahhoz, hogy a vizsgálati motor ne lépje túl ezt a maximumot. Ebben a vizsgálati házirend-beállításban megadhat egy értéket százalékos értékként, amely a vizsgálat során maximális processzorkihasználtságot adja meg. A 0 vagy a 100 érték nem jelez szabályozást. Ha például ez az érték 20-ra csökken, az azt jelenti, hogy a vizsgálati motor célja, hogy a vizsgálat során 20% alatt tartsa a rendszer átlagos CPU-terhelését, és ez hosszabb időt vesz igénybe.
Ha a százalékos értéket 0 vagy 100 értékre állítja, a cpu-szabályozás le van tiltva, és a Windows Defender az ütemezett és egyéni vizsgálatok során akár a processzor 100%-át is használhatja. Ez nem ajánlott, mivel nem válaszoló alkalmazásokhoz, sőt túlmelegedéshez is vezethet, ezért fokozott óvatossággal járjon el.
Az érték módosításának előnyei és hátrányai is vannak. A magasabb értékek azt jelentik, hogy a vizsgálatok gyorsabban hajtanak végre; ez azonban lelassíthatja a rendszert a vizsgálat során, míg az alacsonyabb értékek azt jelentik, hogy a vizsgálat hosszabb időt vesz igénybe, de a vizsgálat során több CPU-erőforrás áll rendelkezésre a rendszerhez. Ha például kritikus fontosságú számítási feladatokat futtat egy kiszolgálón, ezt a beállítást olyan értékre kell állítani, amely nem zavarja a számítási feladatok működését.
A manuális vizsgálatok figyelmen kívül hagyják a CPU-szabályozás beállításait, és cpu-korlátok nélkül futnak. Van azonban egy vizsgálati házirend-beállítás (lásd a
ThrottleForScheduledScanOnlySet-MpPreference (Defender) beállítását), amely szerint ha le van tiltva, akkor a manuális vizsgálatok ugyanazoknak a CPU-korlátoknak összhangban vannak, mint az ütemezett vizsgálatok.Az üresjárati vizsgálatok cpu-szabályozása azt szabályozza, hogy a processzor szabályozva legyen-e az ütemezett vizsgálatokhoz, amíg az eszköz tétlen. Ez a beállítás alapértelmezés szerint le van tiltva, hogy a processzor ne legyen szabályozva az ütemezett vizsgálatokhoz, amikor az eszköz tétlen, függetlenül attól, hogy milyen cpu-szabályozás van beállítva. További információ:
DisableCpuThrottleOnIdleScansSet-MpPreference (Defender).Megjegyzés:
Tekintse meg a tétlen állapotra vonatkozó feltételeket a Tétlen feladatok feltételei – Win32-alkalmazások című témakörben.
Vizsgálat és kizárások
A Microsoft Defender víruskereső a következő funkciókkal rendelkezik, amelyek javítják a vizsgálati teljesítményt és a hatékonyságot:
A tárolók/archívumok vizsgálata hosszú időt vehet igénybe, mivel bizonyos optimalizálások (például párhuzamos vizsgálatok) nem lehetségesek ezekben a helyzetekben. Amikor csak lehetséges, javasoljuk, hogy bontsa ki ezeknek a tárolóknak a tartalmát, amelyek lehetővé tennék, hogy a teljes vizsgálat párhuzamosan dolgozza fel az elemeket.
A kizárások vizsgálata, ahol kizárhatja a tárolókat a vizsgálatból, ha a megfelelőségi követelmények ezt a beállítást engedélyezik.
A Microsoft Defender víruskereső teljesítményelemző eszköze a teljesítmény optimalizálását segítő kizárások meghatározására használható. Lásd: Teljesítményelemző a Microsoft Defender víruskeresőhöz.
A Microsoft Defender víruskereső beépített optimalizálással rendelkezik a nagy hírű tartalmakhoz (például megbízható források aláírták). Amikor ilyen tartalommal találkozik, egyszerűen eltolódik a tartalom beolvasásától az aláírás ellenőrzéséig, hogy a fájl ne legyen illetéktelen módosítás alatt.
A víruskereső kizárására vonatkozó javaslatok
Ha bizonyos helyeket kizár a vizsgálatból, azzal lerövidítheti a vizsgálat idejét. Kétféle kizárás létezik: folyamat- és fájl-/mappakizárások. A teljes vizsgálatra csak fájl-/mappakizárások vonatkoznak. A vizsgálati kizárásokat körültekintően kell kialakítani a vizsgálati idő csökkentése és a kockázat minimalizálása érdekében.
Ne zárja ki a tömörített fájlokat, ha a megfelelőségi követelmények nem engedélyezik.
Ne zárja ki a felhasználói profil ideiglenes mappáját vagy a kártevő által gyakran használt System temp mappát:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
A környezeti változók helyettesítő karakterként való használata a kizárási listákban csak a rendszerváltozókra korlátozódik. Ne használjon felhasználói hatókörű környezeti változókat a Microsoft Defender víruskereső mappa hozzáadásakor és a folyamatkivételek során.