Zagadnienia i najlepsze rozwiązania dotyczące pełnego skanowania programu antywirusowego Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender – plan 1 i 2
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
W tym artykule wyjaśniono zagadnienia i najlepsze rozwiązania dotyczące uruchamiania pełnych skanów antywirusowych za pomocą usługi Microsoft Defender for Endpoint. W tym artykule opisano czynniki wpływające na wydajność skanowania i opisano scenariusze, w których zwiększone zużycie zasobów skutkuje zwiększoną skutecznością ochrony.
Omówienie
Ochrona w czasie rzeczywistym w usłudze Defender for Endpoint to funkcja, która stale skanuje komputer w celu wykrywania i zatrzymywania infekcji złośliwym oprogramowaniem w czasie rzeczywistym. Używa heurystycznych i opartych na zachowaniu metod wykrywania do monitorowania aktywności na urządzeniu i ochrony przed zagrożeniami w miarę ich wystąpienia. Zalecamy skonfigurowanie szybkiego skanowania wraz z zawsze włączoną ochroną w czasie rzeczywistym i ochroną w chmurze, ponieważ ta kombinacja zapewnia silne pokrycie złośliwym oprogramowaniem rozpoczynającym się od złośliwego oprogramowania na poziomie systemu i jądra. Ta konfiguracja jest konfiguracją domyślną. Ogólnie rzecz biorąc, nie ma potrzeby planowania pełnego skanowania, a większość użytkowników nigdy nie musi ręcznie uruchamiać pełnych skanów (zobacz Porównanie szybkiego skanowania, pełnego skanowania i skanowania niestandardowego).
Może być jednak konieczne uruchomienie pełnego skanowania w celu spełnienia określonych wymagań organizacji. Pełne skanowanie rozpoczyna się od szybkiego skanowania, a następnie kontynuuje sekwencyjne skanowanie plików wszystkich zainstalowanych stałych i wymiennych dysków sieciowych. Pełne skanowanie może trwać od kilku godzin do kilku dni, w zależności od ilości zawartości, typu zawartości i zasobów przydzielonych do wykonania skanowania w usłudze Microsoft Defender (zobacz Planowanie regularnych szybkich i pełnych skanowań za pomocą programu antywirusowego Microsoft Defender). Wydajność skanowania nie jest wyłącznie funkcją o rozmiarze pliku i zależy głównie od typu i złożoności zawartości.
Wydajność ochrony i wpływ na wydajność
Ochrona i użycie zasobów systemowych pociągają za sobą kompromisy. Wydajność urządzenia jest w dużym stopniu zależna od środowiska. To naturalne, że uruchomienie pełnego skanowania na urządzeniu z dużą ilością złożonej zawartości doprowadziłoby do wydłużenia czasu do ukończenia. Poniższa tabela zawiera podsumowanie scenariuszy, w których podjęliśmy decyzje o wykorzystaniu większej liczby zasobów systemowych w celu zwiększenia wydajności ochrony.
| Ustawienie | Domyślne | Szczegóły |
|---|---|---|
| Skanowanie archiwum/kontenera (na przykład ISO) | Enabled |
Program antywirusowy Microsoft Defender jest zoptymalizowany pod kątem zminimalizowania czasu skanowania pojedynczego obiektu. Kontenery mogą zawierać wiele obiektów, a ich skanowanie może zająć więcej czasu niż oczekiwano ze względu na obciążenie związane z wyodrębnianiem elementów w kontenerze. |
| Maksymalny rozmiar skanowania archiwum | Unlimited |
|
| Zamapowana sieć (na przykład UNC, SMB, CIFS) | Enabled |
Domyślnie program antywirusowy Microsoft Defender skanuje zamapowane dyski sieciowe. |
| Synchronizacja z usługą OneDrive | Enabled |
Domyślnie program antywirusowy Microsoft Defender skanuje pulpity, dokumenty lub pliki do pobrania synchronizowane za pośrednictwem usługi OneDrive lub synchronizacji folderów. |
| Pamięć podręczna po stronie klienta/pliki offline | Enabled |
Domyślnie usługa Defender skanuje pamięć podręczną po stronie klienta. |
| Skanowanie średniego współczynnika obciążenia procesora CPU | 50 |
Zobacz sekcję Skanowanie i ograniczanie przepustowości procesora CPU w tym artykule. |
Uwaga
- Jeśli ochrona w czasie rzeczywistym jest włączona, pliki są skanowane przed uzyskaniem dostępu i wykonaniem. Skanowanie odbywa się niezależnie od tego, gdzie znajdują się pliki (zobacz Konfigurowanie opcji skanowania dla programu antywirusowego Microsoft Defender).
- Rzeczywiste użycie procesora CPU może się różnić w zależności od liczby rdzeni procesora CPU, wydajności operacji we/wy, obciążenia pamięci itp. Ograniczenie użycia procesora CPU może spowodować, że pełne skanowanie będzie trwać dłużej, więc klienci powinni dostosować tę wartość w zależności od rzeczywistych wartości użycia procesora CPU uzyskanych w określonym środowisku.
Ustawienia i przełączniki optymalizacji wydajności pełnego skanowania
Wydajność urządzenia jest ważnym czynnikiem szybkości przetwarzania zdarzeń zabezpieczeń oraz szybkości działań związanych z plikami, siecią i skanowaniem. Wyższa szybkość przetwarzania zdarzeń jest równa wyższemu wpływowi na wydajność skanera AV. Inna konfiguracja oprogramowania antywirusowego może mieć wpływ na wydajność i ochronę. Dostępne są ustawienia i przełączniki, które można skonfigurować w celu dostosowania wydajności programu antywirusowego Microsoft Defender.
Aby skonfigurować opcje skanowania programu antywirusowego Microsoft Defender, możesz użyć różnych narzędzi (zobacz Konfigurowanie opcji skanowania dla programu antywirusowego Microsoft Defender). Poniżej przedstawiono niektóre z dostępnych ustawień i przełączników, których można użyć do skonfigurowania pełnego skanowania programu antywirusowego Microsoft Defender:
| Ustawienie | Domyślne | Parametr i szczegóły programu PowerShell/WMI |
|---|---|---|
| Skanowanie archiwum/kontenera (na przykład ISO) | Enabled |
Program antywirusowy Microsoft Defender jest zoptymalizowany pod kątem zminimalizowania czasu skanowania pojedynczego obiektu. Kontenery mogą zawierać wiele obiektów, a ich skanowanie może zająć więcej czasu niż oczekiwano ze względu na obciążenie związane z wyodrębnianiem elementów w kontenerze. |
| Pliki archiwum | Scanned |
DisableArchiveScanningDisableArchiveScanning Włączenie powoduje wykluczenie następujących typów archiwów ze skanowania antywirusowego:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z Aby uzyskać więcej informacji, zobacz DisableArchiveScanning |
| Poziom podfolderów w folderze archiwum do skanowania | 0 |
0 oznacza nieograniczone. |
| Maksymalny rozmiar archiwum do skanowania | 0 |
0 oznacza nieograniczone. |
| Zamapowane dyski sieciowe | Scanned |
DisableScanningMappedNetworkDrivesForFullScanZobacz DisableScanningMappedNetworkDrivesForFullScan |
| Pliki sieciowe | Scanned |
DisableScanningNetworkFiles |
| Maksymalne obciążenie procesora CPU % podczas skanowania | 50 |
ScanAvgCPULoadFactorZobacz sekcję Skanowanie i ograniczanie przepustowości procesora CPU w tym artykule. |
| Wyłączanie ograniczania wydajności procesora CPU podczas skanowania bezczynnego | Unthrottled |
DisableCpuThrottleOnIdleScansZobacz sekcję Skanowanie i ograniczanie przepustowości procesora CPU w tym artykule. |
| Sprawdzanie podpisu przed skanowaniem | Disabled |
CheckForSignaturesBeforeRunningScanProgram antywirusowy Microsoft Defender okresowo sprawdza dostępność aktualizacji sygnatur i automatycznie wykonuje zaplanowane skanowanie. Domyślnie skanowanie rozpoczyna się od istniejących definicji. To ustawienie dotyczy tylko zaplanowanych skanów. |
| Dyski wymienne podczas pełnego skanowania | Scanned |
DisableRemovableDriveScanningWskazuje, czy skanować dyski wymienne, takie jak dyski flash, podczas pełnego skanowania. |
| Poczta e-mail | Scanned |
DisableEmailScanningWskazuje, czy usługa Windows Defender analizuje skrzynkę pocztową i pliki pocztowe zgodnie z ich określonym formatem w celu analizowania treści i załączników poczty. |
| Skrypt | Scanned |
DisableScriptScanningOkreśla, czy należy wyłączyć skanowanie plików skryptów. |
Najlepsze rozwiązania i zagadnienia
Poniżej przedstawiono zalecenia firmy Microsoft:
Pełne skanowanie
Pełne skanowanie po włączeniu lub zainstalowaniu programu antywirusowego Microsoft Defender może być przydatne do skanowania systemów w celu wykrywania istniejących zagrożeń.
Zalecamy skonfigurowanie zasad skanowania na podstawie typu i roli urządzenia, na przykład kolekcji programu SQL Server, kolekcji serwerów usług IIS, kolekcji ograniczonych stacji roboczych, kolekcji stacji roboczych w warstwie Standardowa.
Unikaj używania kontrolerów domeny w roli serwera plików. Zmniejsza to działania skanowania antywirusowego w udziałach plików i minimalizuje obciążenie wydajnością.
Program antywirusowy Microsoft Defender ma funkcję obliczania skrótów plików, która oblicza skróty plików dla każdego skanowanego pliku wykonywalnego, jeśli nie został wcześniej obliczony. Ma to koszt wydajności szczególnie podczas kopiowania dużych plików z udziału sieciowego. Zobacz Konfigurowanie obliczeń skrótów plików , aby dowiedzieć się więcej o wpływie na wskaźniki.
Na wydajność pełnego skanowania może mieć wpływ ograniczanie procesora CPU. Zalecamy pozostawienie domyślnych ustawień limitu procesora CPU.
Uwaga
- Zgodnie z projektem program antywirusowy Microsoft Defender sprawdza wewnętrzny typ zawartości, ponieważ rozszerzenia plików często wprowadzają w błąd i mogą być łatwo podszywane przez osoby atakujące.
- Wydajność skanowania jest w dużym stopniu zależna od rzeczywistego typu zawartości, który jest skanowany. Ogólnie rzecz biorąc, bardziej złożone typy plików wymagają więcej czasu i cyklu, podczas gdy bardziej nietypowe typy zawartości wymagają jeszcze więcej czasu (np. pliki JavaScript).
- Narzędzie analizatora wydajności dla programu antywirusowego Microsoft Defender pomaga określić pliki, rozszerzenia plików i procesy, które mogą powodować problemy z wydajnością poszczególnych punktów końcowych podczas skanowania antywirusowego. Jeśli korzystasz z programu antywirusowego Microsoft Defender i występują problemy z wydajnością, możesz użyć analizatora wydajności do optymalizacji wydajności (zobacz Analizator wydajności dla programu antywirusowego Microsoft Defender).
- Zaufany identyfikator obrazu programu antywirusowego Microsoft Defender może pomóc zwiększyć wydajność urządzeń. Zobacz Konfigurowanie identyfikatora zaufanego obrazu dla usługi Microsoft Defender.
Skanowanie i ograniczanie przepustowości procesora CPU
Ustawienie limitu użycia procesora CPU, znanego również jako ograniczanie przepustowości procesora CPU, służy do ustawiania maksymalnego użycia procesora CPU dla skanów na żądanie w usłudze Microsoft Defender. Ustawienie ograniczania przepustowości procesora CPU jest domyślnie włączone i ma zastosowanie tylko do zaplanowanych skanów i opcjonalnie również do skanowania niestandardowego. Zaleca się dostrojenie tego ustawienia (zobacz ScanAverageCPULoadFactor ustawienie w temacie Set-MpPreference (Defender)) w zależności od rzeczywistych wartości użycia procesora CPU uzyskanych w określonym środowisku.
Współczynnik obciążenia procesora CPU dla programu antywirusowego Microsoft Defender nie jest twardym limitem, ale raczej wskazówkami dotyczącymi aparatu skanowania, aby nie przekroczyć tego maksimum. Dla tego ustawienia zasad skanowania można określić wartość jako wartość procentową maksymalnego wykorzystania procesora CPU podczas skanowania. Wartość 0 lub 100 wskazuje na brak ograniczania przepustowości. Jeśli na przykład ta wartość zostanie zmniejszona do 20, oznacza to, że aparat skanowania ma na celu utrzymanie średniego obciążenia procesora CPU systemu poniżej 20% podczas skanowania i trwa dłużej.
Jeśli ustawisz wartość procentową na 0 lub 100, ograniczanie procesora CPU zostanie wyłączone, a usługa Windows Defender będzie mogła korzystać z maksymalnie 100% procesora CPU podczas zaplanowanych i niestandardowych skanowania. Nie jest to zalecane, ponieważ może to prowadzić do braku odpowiedzi na aplikacje, a nawet przegrzania, więc zachowaj szczególną ostrożność.
Zmiana wartości ma zarówno zalety, jak i minusy. Wyższe wartości oznaczają, że skany działają szybciej; Jednak może spowolnić system podczas skanowania, podczas gdy niższe wartości oznaczają, że skanowanie trwa dłużej, ale masz więcej zasobów procesora CPU dostępnych dla systemu podczas skanowania. Jeśli na przykład uruchamiasz obciążenia krytyczne na serwerze, to ustawienie powinno być ustawione na wartość, która nie zakłóca funkcjonowania obciążeń.
Skanowanie ręczne ignoruje ustawienie ograniczania przepustowości procesora CPU i działa bez żadnych limitów procesora CPU. Istnieje jednak ustawienie zasad skanowania (zobacz
ThrottleForScheduledScanOnlyustawienie w temacie Set-MpPreference (Defender)), że jeśli jest wyłączone, skanowanie ręczne jest zgodne z tymi samymi limitami procesora CPU co zaplanowane skanowanie.Ograniczanie przepustowości procesora CPU podczas skanowania bezczynnego określa, czy procesor CPU jest ograniczany do zaplanowanych skanów, gdy urządzenie jest bezczynne. To ustawienie jest domyślnie wyłączone, aby upewnić się, że procesor CPU nie jest ograniczany w przypadku zaplanowanych skanów, gdy urządzenie jest bezczynne, niezależnie od tego, na jaką wartość ustawiono ograniczanie przepustowości procesora CPU. Aby uzyskać więcej informacji, zobacz
DisableCpuThrottleOnIdleScansustawienie w temacie Set-MpPreference (Defender).Uwaga
Zobacz kryteria stanu bezczynności w obszarze Warunki bezczynności zadania — aplikacje Win32.
Skanowanie i wykluczenia
Program antywirusowy Microsoft Defender ma następujące funkcje, które pomagają zwiększyć wydajność i wydajność skanowania:
Skanowanie kontenerów/archiwów może zająć dużo czasu, ponieważ niektóre optymalizacje (na przykład skanowanie równoległe) nie są możliwe w takich sytuacjach. Jeśli to możliwe, zalecamy wyodrębnienie zawartości tych kontenerów, co pozwoliłoby na równoległe przetwarzanie elementów w pełnym skanowaniu.
Przeskanuj wykluczenia, w których można wykluczyć kontenery ze skanowania, jeśli ta opcja jest dozwolona przez wymagania dotyczące zgodności.
Narzędzie analizatora wydajności dla programu antywirusowego Microsoft Defender może służyć do określania wykluczeń, które pomagają zoptymalizować wydajność. Zobacz Analizator wydajności dla programu antywirusowego Microsoft Defender.
Program antywirusowy Microsoft Defender ma wbudowaną optymalizację zawartości, która jest wysoce renomowanych (na przykład podpisana przez zaufane źródła). Gdy napotka taką zawartość, po prostu odchodzi od skanowania zawartości do weryfikowania podpisu, aby upewnić się, że plik nie został naruszony.
Zalecenia dotyczące wykluczeń oprogramowania antywirusowego
Wyłączenie niektórych lokalizacji ze skanowania może skrócić czas skanowania. Istnieją dwa typy wykluczeń: wykluczenia procesów i wykluczenia plików/folderów. Tylko wykluczenia plików/folderów mają zastosowanie do pełnego skanowania. Należy starannie opracować wykluczenia skanowania, aby skrócić czas skanowania przy jednoczesnym zminimalizowaniu ryzyka.
Nie wykluczaj skompresowanych plików, jeśli nie są one objęte wymaganiami dotyczącymi zgodności.
Nie wykluczaj folderu tymczasowego profilu użytkownika ani folderu tymczasowego systemu, często używanego przez złośliwe oprogramowanie:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
Użycie zmiennych środowiskowych jako symbolu wieloznacznego na listach wykluczeń jest ograniczone tylko do zmiennych systemowych. Nie używaj zmiennych środowiskowych o zakresie użytkownika podczas dodawania folderu programu antywirusowego Microsoft Defender i wykluczeń procesów.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla