Condividi tramite


Considerazioni e procedure consigliate per l'analisi completa di Microsoft Defender Antivirus

Si applica a:

Piattaforme

  • Windows

Questo articolo illustra le considerazioni e le procedure consigliate per l'esecuzione di analisi antivirus complete con Microsoft Defender per endpoint. Questo articolo illustra i fattori che influiscono sulle prestazioni dell'analisi e descrive gli scenari in cui l'aumento del consumo di risorse comporta una maggiore efficacia della protezione.

Panoramica

La protezione in tempo reale in Defender per endpoint è una funzionalità che analizza continuamente il computer per rilevare e arrestare le infezioni da malware in tempo reale. Usa metodi di rilevamento euristici e basati sul comportamento per monitorare l'attività nel dispositivo e proteggere dalle minacce man mano che si verificano. La nostra raccomandazione per le analisi pianificate è di configurare l'analisi rapida insieme alla protezione in tempo reale e alla protezione cloud sempre attiva, poiché questa combinazione offre una copertura avanzata contro il malware che inizia con il malware a livello di sistema e kernel. Questa configurazione è la configurazione predefinita. In generale, non è necessario pianificare un'analisi completa e la maggior parte degli utenti non ha mai bisogno di eseguire manualmente analisi complete (vedere Confronto tra analisi rapida, analisi completa e analisi personalizzata).

Tuttavia, potrebbe essere necessario eseguire analisi complete per soddisfare i requisiti specifici dell'organizzazione. Un'analisi completa inizia con un'analisi rapida e quindi continua con un'analisi sequenziale di tutte le unità di rete fisse e rimovibili montate. Un'analisi completa può durare da diverse ore a diversi giorni, a seconda del volume di contenuto, del tipo di contenuto e delle risorse che Microsoft Defender è stato allocato per eseguire l'analisi (vedere Pianificare analisi rapide e complete regolari con Microsoft Defender Antivirus). Le prestazioni dell'analisi non sono solo una funzione delle dimensioni del file e sono principalmente determinate dal tipo e dalla complessità del contenuto.

Efficienza della protezione e impatto sulle prestazioni

La protezione e l'utilizzo delle risorse di sistema comportano compromessi. Le prestazioni del dispositivo dipendono fortemente dall'ambiente in uso. È naturale che l'esecuzione di un'analisi completa in un dispositivo con molti contenuti complessi comporterebbe un aumento del tempo di completamento. La tabella seguente riepiloga gli scenari in cui sono state prese decisioni per l'uso di più risorse di sistema per aumentare l'efficienza della protezione.

Impostazione Impostazione predefinita Dettagli
Analisi archivio/contenitore (ad esempio, ISO) Enabled Microsoft Defender Antivirus è ottimizzato per ridurre al minimo il tempo di analisi di un singolo oggetto. I contenitori possono contenere molti oggetti e l'analisi potrebbe richiedere più tempo del previsto a causa del sovraccarico dovuto all'estrazione degli elementi nel contenitore.
Dimensioni massime dell'analisi dell'archivio Unlimited
Rete mappata (ad esempio, UNC, SMB, CIFS) Enabled Per impostazione predefinita, Microsoft Defender Antivirus analizza le unità di rete mappate.
Sincronizzazione di OneDrive Enabled Per impostazione predefinita, Microsoft Defender Antivirus analizza desktop, documenti o download sincronizzati tramite OneDrive o la sincronizzazione delle cartelle.
Cache sul lato client/file offline Enabled Per impostazione predefinita, Defender analizza la cache sul lato client.
Fattore di carico medio della CPU di analisi 50 Vedere la sezione Analisi e limitazione della CPU di questo articolo.

Nota

  • Se la protezione in tempo reale è attivata, i file vengono analizzati prima dell'accesso e dell'esecuzione. L'analisi viene eseguita indipendentemente dalla posizione dei file (vedere Configurare le opzioni di analisi per Microsoft Defender Antivirus).
  • L'utilizzo effettivo della CPU può variare a seconda del numero di core CPU, delle prestazioni di I/O, della pressione della memoria e così via. La limitazione dell'utilizzo della CPU può richiedere più tempo per il completamento dell'analisi completa, quindi i clienti devono ottimizzare questo valore in base ai valori effettivi di utilizzo della CPU ottenuti nel proprio ambiente specifico.

Impostazioni e commutatori per l'ottimizzazione delle prestazioni dell'analisi completa

Le prestazioni del dispositivo sono un fattore importante nella velocità di elaborazione degli eventi di sicurezza e nella velocità delle attività di file, rete e analisi. Una velocità di elaborazione degli eventi più elevata equivale a un maggiore impatto sulle prestazioni con lo scanner AV. Diverse configurazioni software antivirus possono influire sulle prestazioni e sulla protezione. Sono disponibili impostazioni e opzioni che è possibile configurare per modificare le prestazioni di Microsoft Defender Antivirus.

Per configurare le opzioni di analisi per Microsoft Defender Antivirus, è possibile usare diversi strumenti (vedere Configurare le opzioni di analisi per Microsoft Defender Antivirus). Ecco alcune delle impostazioni e dei commutatori disponibili che è possibile usare per configurare le analisi complete di Microsoft Defender Antivirus:

Impostazione Impostazione predefinita Dettagli e parametri di PowerShell/WMI
Analisi archivio/contenitore (ad esempio, ISO) Enabled Microsoft Defender Antivirus è ottimizzato per ridurre al minimo il tempo di analisi di un singolo oggetto. I contenitori possono contenere molti oggetti e l'analisi potrebbe richiedere più tempo del previsto a causa del sovraccarico dovuto all'estrazione degli elementi nel contenitore.
File di archiviazione Scanned DisableArchiveScanning

L'attivazione DisableArchiveScanning esclude i tipi di archivio seguenti dalle analisi antivirus:
- ZIP
- Ace
- Arc
- Arj
- BZip2
- Cab
- CF
- CPIO
- CPT
- GZip
- Hap
- ISO
- Lharc
- PSF
- Quantum
- Rar
- Stuffit
- Zoo
- ZCompress
- Compress
- VC4
- RPM
- BGA
- BH
- Universal Disk Format
- 7z

Per altre informazioni, vedere DisableArchiveScanning
Livello di sottocartelle all'interno di una cartella di archivio da analizzare 0 0 significa illimitato.
Dimensioni massime dell'archivio per l'analisi 0 0 significa illimitato.
Unità di rete mappate Scanned DisableScanningMappedNetworkDrivesForFullScan

Vedere DisableScanningMappedNetworkDrivesForFullScan
File di rete Scanned DisableScanningNetworkFiles
% massimo carico CPU durante l'analisi 50 ScanAvgCPULoadFactor

Vedere la sezione Analisi e limitazione della CPU di questo articolo.
Disabilitare la limitazione della CPU nelle analisi inattive Unthrottled DisableCpuThrottleOnIdleScans

Vedere la sezione Analisi e limitazione della CPU di questo articolo.
Controlli della firma prima dell'analisi Disabled CheckForSignaturesBeforeRunningScan

Microsoft Defender Antivirus verifica periodicamente la presenza di aggiornamenti delle firme ed esegue automaticamente le analisi pianificate. Per impostazione predefinita, l'analisi inizia con le definizioni esistenti. Questa impostazione si applica solo alle analisi pianificate.
Unità rimovibili durante le analisi complete Scanned DisableRemovableDriveScanning

Indica se analizzare le unità rimovibili, ad esempio le unità flash, durante un'analisi completa.
Posta elettronica Scanned DisableEmailScanning

Indica se Windows Defender analizza i file di cassetta postale e di posta elettronica, in base al formato specifico, per analizzare i corpi e gli allegati della posta.
Script Scanned DisableScriptScanning

Specifica se disabilitare l'analisi dei file di script.

Procedure consigliate e considerazioni

Di seguito sono riportate le raccomandazioni di Microsoft:

Analisi complete

  • L'esecuzione di un'analisi completa una volta dopo aver abilitato o installato Microsoft Defender Antivirus può essere utile per analizzare i sistemi per rilevare le minacce esistenti.

  • È consigliabile configurare i criteri di analisi in base al tipo di dispositivo e al ruolo, ad esempio Raccolta SQL Server, Raccolta server IIS, Raccolta workstation con restrizioni, Raccolta workstation Standard.

  • Evitare di usare controller di dominio in un ruolo del file server. Ciò riduce le attività di analisi antivirus sulle condivisioni file e riduce al minimo il sovraccarico delle prestazioni.

  • Microsoft Defender Antivirus dispone della funzionalità di calcolo dell'hash dei file che calcola gli hash dei file per ogni file eseguibile analizzato se non è stato calcolato in precedenza. Questo ha un costo di prestazioni soprattutto quando si copiano file di grandi dimensioni da una condivisione di rete. Per altre informazioni sull'impatto sugli indicatori, vedere Configurare il calcolo dell'hash dei file .

  • Le prestazioni dell'analisi completa possono essere influenzate dalla limitazione della CPU. È consigliabile lasciare le impostazioni del limite di CPU all'impostazione predefinita.

Nota

  • Per impostazione predefinita, Microsoft Defender Antivirus controlla il tipo di contenuto interno perché le estensioni di file sono spesso fuorvianti e possono essere facilmente falsificati dagli utenti malintenzionati.
  • Le prestazioni di analisi dipendono fortemente dal tipo di contenuto effettivo che viene analizzato. In generale, i tipi di file più complessi richiedono più tempo e ciclo, mentre tipi di contenuto più insoliti richiedono ancora più tempo (ad esempio, file JavaScript).
  • Lo strumento analizzatore delle prestazioni per Microsoft Defender Antivirus consente di determinare file, estensioni di file e processi che potrebbero causare problemi di prestazioni nei singoli endpoint durante le analisi antivirus. Se si esegue Microsoft Defender Antivirus e si verificano problemi di prestazioni, è possibile usare l'analizzatore delle prestazioni per ottimizzare le prestazioni (vedere Analizzatore prestazioni per Microsoft Defender Antivirus).
  • Un identificatore di immagine attendibile per Microsoft Defender Antivirus può contribuire a migliorare le prestazioni dei dispositivi. Vedere Configurare un identificatore di immagine attendibile per Microsoft Defender.

Analisi e limitazione della CPU

L'impostazione limite di utilizzo della CPU, nota anche come limitazione della CPU, viene usata per impostare l'utilizzo massimo della CPU per le analisi su richiesta di Microsoft Defender. L'impostazione di limitazione della CPU è abilitata per impostazione predefinita e si applica solo alle analisi pianificate e, facoltativamente, anche alle analisi personalizzate. È consigliabile ottimizzare questa impostazione (vedere l'impostazione ScanAverageCPULoadFactor in Set-MpPreference (Defender)), a seconda dei valori effettivi di utilizzo della CPU ottenuti nell'ambiente specifico.

Il fattore di carico della CPU per Microsoft Defender Antivirus non è un limite rigido, ma piuttosto indicazioni per il fatto che il motore di analisi non superi questo limite massimo. Per questa impostazione dei criteri di analisi è possibile specificare un valore come percentuale dell'utilizzo massimo della CPU durante l'analisi. Il valore 0 o 100 indica nessuna limitazione. Ad esempio, se questo valore viene ridotto a 20, implica che il motore di analisi mira a mantenere il carico medio della CPU del sistema al di sotto del 20% durante l'analisi e richiede più tempo per essere completato.

  • Se si imposta il valore percentuale su 0 o 100, la limitazione della CPU è disabilitata e Windows Defender può usare fino al 100% della CPU durante le analisi pianificate e personalizzate. Questo non è consigliato perché può causare la mancata risposta delle app e persino il surriscaldamento, quindi procedere con estrema cautela.

  • La modifica del valore presenta vantaggi e svantaggi. I valori più alti indicano che le analisi vengono eseguite più velocemente; tuttavia, potrebbe rallentare il sistema durante l'analisi, mentre valori più bassi significano che l'analisi richiede più tempo per il completamento, ma sono disponibili più risorse CPU per il sistema durante l'analisi. Ad esempio, se si eseguono carichi di lavoro critici in un server, questa impostazione deve essere impostata su un valore che non interferisca con il funzionamento dei carichi di lavoro.

  • Le analisi manuali ignorano l'impostazione di limitazione della CPU ed eseguono senza limiti di CPU. Esiste tuttavia un'impostazione dei criteri di analisi (vedere l'impostazione ThrottleForScheduledScanOnly in Set-MpPreference (Defender)) che, se è disabilitata, le analisi manuali rispettano gli stessi limiti della CPU di un'analisi pianificata.

  • La limitazione della CPU nelle analisi inattive controlla se la CPU è limitata per le analisi pianificate mentre il dispositivo è inattivo. Questa impostazione è disabilitata per impostazione predefinita per garantire che la CPU non sia limitata per le analisi pianificate quando il dispositivo è inattivo, indipendentemente dalla limitazione della CPU impostata su . Per altre informazioni, vedere l'impostazione DisableCpuThrottleOnIdleScans in Set-MpPreference (Defender).

Analisi ed esclusioni

Microsoft Defender Antivirus offre le funzionalità seguenti che consentono di migliorare le prestazioni e l'efficienza dell'analisi:

  • L'analisi di contenitori/archivi può richiedere molto tempo perché in queste situazioni non sono possibili determinate ottimizzazioni, ad esempio analisi parallele. Quando possibile, è consigliabile estrarre il contenuto di questi contenitori che consenta all'analisi completa di elaborare gli elementi in parallelo.

  • Analizza le esclusioni in cui è possibile escludere i contenitori dall'analisi, se questa opzione è consentita dai requisiti di conformità.

  • Lo strumento analizzatore delle prestazioni per Microsoft Defender Antivirus può essere usato per determinare esclusioni che consentono di ottimizzare le prestazioni. Vedere Analizzatore prestazioni per Antivirus Microsoft Defender.

Microsoft Defender Antivirus offre un'ottimizzazione predefinita per il contenuto altamente attendibile, ad esempio firmato da origini attendibili. Quando rileva tali contenuti, si sposta semplicemente dall'analisi del contenuto alla convalida della firma per assicurarsi che il file non sia stato manomesso.

Consigli per le esclusioni antivirus

L'esclusione di determinate posizioni dall'analisi può ridurre il tempo di analisi. Esistono due tipi di esclusioni: esclusioni di processi e esclusioni di file/cartelle. Solo le esclusioni file/cartelle si applicano all'analisi completa. Le esclusioni di analisi devono essere sviluppate con attenzione per ridurre i tempi di analisi riducendo al minimo i rischi.

  • Non escludere i file compressi se non sono consentiti dai requisiti di conformità.

  • Non escludere la cartella temporanea profilo utente o la cartella temp di sistema, comunemente usata dal malware:

    • C:\Users<UserProfileName>\AppData\Local\Temp\
    • C:\Users<UserProfileName>\AppData\LocalLow\Temp\
    • C:\Users<UserProfileName>\AppData\Roaming\Temp\
    • %Windir%\Prefetch
    • %Windir%\System32\Spool
    • C:\Windows\System32\CatRoot2
    • %Windir%\Temp
  • L'uso delle variabili di ambiente come carattere jolly negli elenchi di esclusione è limitato solo alle variabili di sistema. Non usare variabili di ambiente con ambito utente quando si aggiungono esclusioni di cartelle e processi di Microsoft Defender Antivirus.