Vurderinger av fullstendig skanning og anbefalte fremgangsmåter for Microsoft Defender Antivirus
Gjelder for:
- Abonnement 1 og 2 for Microsoft Defender for endepunkt
- Microsoft Defender Antivirus
Plattformer
- Windows
Denne artikkelen forklarer vurderinger og anbefalte fremgangsmåter for å kjøre fullstendige antivirusskanninger med Microsoft Defender for Endpoint. Denne artikkelen beskriver faktorer som påvirker skanneytelsen og beskriver scenarioer der økt ressursforbruk resulterer i økt beskyttelseseffekt.
Oversikt
Sanntidsbeskyttelse i Defender for Endpoint er en funksjon som kontinuerlig skanner datamaskinen for å hjelpe til med å oppdage og stoppe infeksjoner i skadelig programvare i sanntid. Den bruker heuristikk og atferdsbaserte gjenkjenningsmetoder for å overvåke aktiviteten på enheten og beskytte mot trusler når de skjer. Vår anbefaling for planlagte skanninger er å konfigurere rask skanning sammen med alltid på sanntidsbeskyttelse og skybeskyttelse, da denne kombinasjonen gir sterk dekning mot skadelig programvare som starter med systemet og kjernenivå skadelig programvare. Denne konfigurasjonen er standardkonfigurasjonen. Generelt er det ikke nødvendig å planlegge en fullstendig skanning, og de fleste brukere trenger aldri å kjøre fullstendige skanninger manuelt (se Sammenligne hurtigskanning, fullstendig skanning og egendefinert skanning).
Det kan imidlertid hende du må kjøre fullstendige skanninger for å oppfylle organisasjonens spesifikke krav. En fullstendig skanning starter med en rask skanning, og fortsetter deretter med en sekvensiell filskanning av alle de faste og flyttbare nettverksstasjonene som er montert. En fullstendig skanning kan vare fra flere timer til flere dager, avhengig av innholdsvolumet, innholdstypen og ressursene som Microsoft Defender har fått tildelt til å utføre skanningen (se Planlegge regelmessige raske og fullstendige skanninger med Microsoft Defender Antivirus). Skanneytelsen er ikke bare en funksjon av filstørrelse, og bestemmes for det meste av innholdstypen og kompleksiteten.
Beskyttelseseffektivitet og ytelsespåvirkning
Beskyttelse og bruk av systemressurser innebærer avveininger. Enhetsytelsen er svært avhengig av miljøet ditt. Det er naturlig at det å kjøre en full skanning på en enhet med mye komplekst innhold vil føre til økt tid til fullføring. Tabellen nedenfor oppsummerer scenarioer der vi har tatt beslutninger om å bruke flere systemressurser for å øke effektiviteten i beskyttelsen.
Innstilling | Standard | Detaljer |
---|---|---|
Arkiv-/beholderskanning (for eksempel ISOer) | Enabled |
Microsoft Defender Antivirus er optimalisert for å minimere skannetiden for ett enkelt objekt. Beholdere kan inneholde mange objekter, og skanning av dem kan ta mer tid enn forventet på grunn av kostnadene ved å trekke ut elementene i beholderen. |
Maksimal størrelse på arkivskanning | Unlimited |
|
Tilordnet nettverk (for eksempel UNC, SMB, CIFS) | Enabled |
Microsoft Defender Antivirus skanner tilordnede nettverksstasjoner som standard. |
OneDrive-synkronisering | Enabled |
Som standard skanner Microsoft Defender Antivirus skrivebord, dokumenter eller nedlastinger som synkroniseres via OneDrive eller mappesynkronisering. |
Hurtigbuffer/frakoblede filer på klientsiden | Enabled |
Defender skanner hurtigbufferen på klientsiden som standard. |
Gjennomsnittlig prosessorbelastningsfaktor for skanning | 50 |
Se avsnittet Skanning og CPU-begrensning i denne artikkelen. |
Obs!
- Hvis sanntidsbeskyttelse er aktivert, skannes filene før de åpnes og kjøres. Skanning skjer uansett hvor filene er plassert (se Konfigurere skannealternativer for Microsoft Defender Antivirus).
- Faktisk CPU-bruk kan variere avhengig av antall CPU-kjerner, I/U-ytelse, minneforbruk osv. Hvis du begrenser prosessorbruken, kan det ta lengre tid å fullføre fullstendig skanning, så kundene bør finjustere denne verdien avhengig av de faktiske verdiene for CPU-bruk som hentes i det bestemte miljøet.
Optimaliseringsinnstillinger og brytere for fullstendig ytelsesoptimalisering for skanning
Enhetsytelse er en viktig faktor i frekvensen av hendelsesbehandling for sikkerhet og hastigheten på fil-, nettverks- og skanneaktiviteter. En høyere hendelsesbehandlingsfrekvens er lik høyere ytelsesinnvirkning med AV-skanneren. Ulike konfigurasjoner av antivirusprogramvare kan påvirke ytelsen og beskyttelsen. Det finnes innstillinger og brytere som du kan konfigurere for å justere ytelsen til Microsoft Defender Antivirus.
Hvis du vil konfigurere skannealternativer for Microsoft Defender Antivirus, kan du bruke ulike verktøy (se Konfigurere skannealternativer for Microsoft Defender Antivirus). Her er noen av de tilgjengelige innstillingene og bryterne som du kan bruke til å konfigurere alle skanninger i Microsoft Defender Antivirus:
Innstilling | Standard | Parameter og detaljer for PowerShell/WMI |
---|---|---|
Arkiv-/beholderskanning (for eksempel ISOer) | Enabled |
Microsoft Defender Antivirus er optimalisert for å minimere skannetiden for ett enkelt objekt. Beholdere kan inneholde mange objekter, og skanning av dem kan ta mer tid enn forventet på grunn av kostnadene ved å trekke ut elementene i beholderen. |
Arkivere filer | Scanned |
DisableArchiveScanning Når du slår på, DisableArchiveScanning utelates følgende arkivtyper fra antivirusskanninger:- ZIP - Ace - Arc - Arj - BZip2 - Cab - CF - CPIO - CPT - GZip - Hap - ISO - Lharc - PSF - Quantum - Rar - Stuffit - Zoo - ZCompress - Compress - VC4 - RPM - BGA - BH - Universal Disk Format - 7z Hvis du vil ha mer informasjon, kan du se DisableArchiveScanning |
Nivå for undermapper i en arkivmappe som skal skannes | 0 |
0 betyr ubegrenset. |
Maksimal størrelse på arkivet for skanning | 0 |
0 betyr ubegrenset. |
Tilordnede nettverksstasjoner | Scanned |
DisableScanningMappedNetworkDrivesForFullScan Se DisableScanningMappedNetworkDrivesForFullScan |
Nettverksfiler | Scanned |
DisableScanningNetworkFiles |
Maksimal prosessorbelastning i % under skanning | 50 |
ScanAvgCPULoadFactor Se avsnittet Skanning og CPU-begrensning i denne artikkelen. |
Deaktiver CPU-begrensning ved inaktive skanninger | Unthrottled |
DisableCpuThrottleOnIdleScans Se avsnittet Skanning og CPU-begrensning i denne artikkelen. |
Signaturkontroller før skanning | Disabled |
CheckForSignaturesBeforeRunningScan Microsoft Defender Antivirus søker regelmessig etter signaturoppdateringer og utfører planlagte skanninger automatisk. Skanningen begynner som standard med eksisterende definisjoner. Denne innstillingen gjelder bare for planlagte skanninger. |
Flyttbare stasjoner under fullstendige skanninger | Scanned |
DisableRemovableDriveScanning Angir om flyttbare stasjoner skal skannes, for eksempel flash-stasjoner, under en fullstendig skanning. |
E-post | Scanned |
DisableEmailScanning Angir om Windows Defender analyserer postboksen og e-postfilene, i henhold til det bestemte formatet, for å analysere meldingstekster og vedlegg. |
Skript | Scanned |
DisableScriptScanning Angir om skanning av skriptfiler skal deaktiveres. |
Anbefalte fremgangsmåter og vurderinger
Følgende er Microsofts anbefalinger:
Fullstendige skanninger
Hvis du kjører en fullstendig skanning én gang etter at du har aktivert eller installert Microsoft Defender Antivirus, kan det være nyttig å skanne systemer for å oppdage eksisterende trusler.
Vi anbefaler at du konfigurerer skannepolicyer basert på enhetstype og -rolle, for eksempel SQL Server Collection, IIS Server Collection, Restricted Workstation Collection, Standard Workstation Collection.
Unngå å bruke domenekontrollere i en filserverrolle. Dette reduserer antivirusskanningsaktiviteter på delte filressurser og minimerer ytelsen.
Microsoft Defender Antivirus har funksjonen for fil-hash-beregning som beregner fil-hash-koder for hver kjørbare fil som skannes hvis den ikke tidligere ble beregnet. Dette har en ytelseskostnad, spesielt når du kopierer store filer fra en delt nettverksressurs. Se Konfigurer hash-kodeberegning for fil for å finne ut mer om innvirkningen på indikatorer.
Den fullstendige skanneytelsen kan påvirkes av CPU-begrensning. Vår anbefaling er å la innstillingene for CPU-grense være standard.
Obs!
- Microsoft Defender Antivirus undersøker den interne innholdstypen fordi filtyper ofte er villedende og enkelt kan forfalskes av angripere.
- Skanneytelsen er svært avhengig av den faktiske innholdstypen som skannes. Generelt sett krever mer komplekse filtyper mer tid og krets, mens mer uvanlige innholdstyper krever enda mer tid (for eksempel JavaScript-filer).
- Verktøyet for ytelsesanalyse for Microsoft Defender Antivirus bidrar til å fastslå filer, filtyper og prosesser som kan forårsake ytelsesproblemer på individuelle endepunkter under antivirusskanninger. Hvis du kjører Microsoft Defender Antivirus og opplever ytelsesproblemer, kan du bruke ytelsesanalyse til å optimalisere ytelsen (se Ytelsesanalyse for Microsoft Defender Antivirus).
- En klarert bildeidentifikator for Microsoft Defender Antivirus kan bidra til å forbedre ytelsen til enhetene dine. Se Konfigurere en klarert bildeidentifikator for Microsoft Defender.
Skanning og CPU-begrensning
CPU-bruksgrensen, også kjent som CPU-begrensning, brukes til å angi maksimal CPU-bruk for Behovsbetingede skanninger for Microsoft Defender. Innstillingen for prosessorbegrensning er aktivert som standard og gjelder bare for planlagte skanninger, og eventuelt også for egendefinerte skanninger. Det anbefales å finjustere denne innstillingen (se ScanAverageCPULoadFactor
innstillingen i Set-MpPreference (Defender)), avhengig av de faktiske CPU-bruksverdiene som er hentet i det bestemte miljøet.
CPU-belastningsfaktoren for Microsoft Defender Antivirus er ikke en hard grense, men heller veiledning for at skannemotoren ikke skal overskride denne maksimumsgrensen. For denne innstillingen for skannepolicy kan du angi en verdi som en prosentdel den maksimale prosessorutnyttelsen under skanningen. Verdien på 0 eller 100 angir ingen begrensning. Hvis for eksempel denne verdien er redusert til 20, innebærer det at skannemotoren tar sikte på å holde den gjennomsnittlige CPU-belastningen av systemet under 20 % under skanningen, og det tar lengre tid å fullføre.
Hvis du angir prosentverdien til 0 eller 100, deaktiveres CPU-begrensning, og Windows Defender kan bruke opptil 100 % av CPU-en under planlagte og egendefinerte skanninger. Dette anbefales ikke, da det kan føre til at apper ikke svarer, og til og med overoppheting, så fortsett med ekstrem forsiktighet.
Endring av verdien har både fordeler og ulemper. Høyere verdier betyr at skanningene utføres raskere. Det kan imidlertid redusere systemet under skanningen, mens lavere verdier betyr at skanningen tar lengre tid å fullføre, men du har flere CPU-ressurser tilgjengelig for systemet under skanningen. Hvis du for eksempel kjører kritiske arbeidsbelastninger på en server, bør denne innstillingen settes til en verdi som ikke forstyrrer funksjonen til arbeidsbelastningene.
Manuelle skanninger ignorerer CPU-begrensningsinnstillingen og kjører uten CPU-grenser. Det finnes imidlertid en innstilling for skannepolicy (se
ThrottleForScheduledScanOnly
innstillingen i Set-MpPreference (Defender)) om at hvis den er deaktivert, følger manuelle skanninger de samme CPU-grensene som en planlagt skanning.CPU-begrensning ved inaktive skanninger kontrollerer om CPU-en er begrenset for planlagte skanninger mens enheten er inaktiv. Denne innstillingen er deaktivert som standard for å sikre at CPU ikke er begrenset for planlagte skanninger når enheten er inaktiv, uavhengig av hvilken CPU-begrensning som er satt til. Hvis du vil ha mer informasjon, kan du se
DisableCpuThrottleOnIdleScans
innstillingen i Set-MpPreference (Defender).Obs!
Se inaktive tilstandskriterier i aktivitetsbetingelser – Win32-apper.
Skanning og utelatelser
Microsoft Defender Antivirus har følgende funksjoner som bidrar til å forbedre skanneytelsen og effektiviteten:
Beholdere/arkiver kan ta lang tid å skanne, da visse optimaliseringer (for eksempel parallelle skanninger) ikke er mulig i disse situasjonene. Når det er mulig, anbefaler vi at du trekker ut innholdet i disse beholderne som gjør at hele skanningen kan behandle elementer parallelt.
Skann utelatelser der du kan utelate beholdere fra skanning, hvis dette alternativet er tillatt av samsvarskravene dine.
Verktøyet for ytelsesanalyse for Microsoft Defender Antivirus kan brukes til å bestemme utelatelser som bidrar til å optimalisere ytelsen. Se Ytelsesanalyse for Microsoft Defender Antivirus.
Microsoft Defender Antivirus har en innebygd optimalisering for innhold som er svært anerkjent (for eksempel signert av klarerte kilder). Når det støter på slikt innhold, skifter det ganske enkelt bort fra å skanne innholdet til å validere signaturen for å sikre at filen ikke ble manipulert.
Anbefalinger for antivirusutelukkelse
Hvis du utelater bestemte plasseringer fra skanning, kan det forkorte skannetiden. Det finnes to typer utelatelser: prosessutelukkelser og fil-/mappeutelukkelser. Bare fil-/mappeutelukkelser gjelder for fullstendig skanning. Skanneutelukkelser bør utvikles nøye for å redusere skannetiden, samtidig som risikoen minimeres.
Ikke utelat komprimerte filer hvis samsvarskravene ikke er tillatt.
Ikke utelat den midlertidige mappen for brukerprofil eller System temp-mappen, som vanligvis brukes av skadelig programvare:
C:\Users<UserProfileName>\AppData\Local\Temp\
C:\Users<UserProfileName>\AppData\LocalLow\Temp\
C:\Users<UserProfileName>\AppData\Roaming\Temp\
%Windir%\Prefetch
%Windir%\System32\Spool
C:\Windows\System32\CatRoot2
%Windir%\Temp
Bruken av miljøvariabler som jokertegn i utelatelseslister er begrenset til bare systemvariabler. Ikke bruk miljøvariabler med brukeromfang når du legger til Microsoft Defender Antivirus-mappen og prosessutelukkelser.