Рекомендации по полной проверке антивирусной программы в Microsoft Defender

Статья
05/23/2024

Область применения:

Microsoft Defender для конечной точки, планы 1 и 2
Антивирусная программа в Microsoft Defender

Платформы

Windows

В этой статье описываются рекомендации и рекомендации по выполнению полной антивирусной проверки с помощью Microsoft Defender для конечной точки. В этой статье описываются факторы, влияющие на производительность сканирования, и описаны сценарии, в которых увеличение потребления ресурсов приводит к повышению эффективности защиты.

Обзор

Защита в режиме реального времени в Defender для конечной точки — это функция, которая постоянно сканирует компьютер для обнаружения и остановки заражений вредоносными программами в режиме реального времени. Он использует эвристические методы обнаружения и методы обнаружения на основе поведения для мониторинга действий на устройстве и защиты от угроз по мере их создания. Мы рекомендуем для запланированных проверок настроить быструю проверку вместе с постоянной защитой в режиме реального времени и облачной защитой, так как это сочетание обеспечивает надежную защиту от вредоносных программ, которые начинаются с вредоносных программ на уровне системы и ядра. Эта конфигурация является конфигурацией по умолчанию. Как правило, нет необходимости планировать полную проверку, и большинству пользователей никогда не нужно вручную выполнять полные проверки (см. статью Сравнение быстрой проверки, полной проверки и настраиваемой проверки).

Однако в соответствии с конкретными требованиями вашей организации может потребоваться выполнить полное сканирование. Полная проверка начинается с быстрой проверки, а затем продолжается последовательным сканированием файлов всех подключенных фиксированных и съемных сетевых дисков. Полная проверка может длиться от нескольких часов до нескольких дней в зависимости от объема содержимого, типа содержимого и ресурсов, выделенных Microsoft Defender для проверки (см. статью Планирование регулярных быстрых и полных проверок с помощью антивирусной программы Microsoft Defender). Производительность сканирования — это не только функция размера файла, которая в основном определяется типом и сложностью содержимого.

Эффективность защиты и влияние на производительность

Защита и использование системных ресурсов влечет за собой компромиссы. Производительность устройства в значительной степени зависит от вашей среды. Естественно, что выполнение полной проверки на устройстве с большим количеством сложного содержимого приведет к увеличению времени на завершение. В следующей таблице приведены сценарии, в которых мы приняли решение использовать больше системных ресурсов для повышения эффективности защиты.

Параметр	По умолчанию	Сведения
Сканирование архива или контейнера (например, ISOS)	`Enabled`	Антивирусная программа Microsoft Defender оптимизирована для минимизации времени сканирования одного объекта. Контейнеры могут содержать много объектов, и их сканирование может занять больше времени, чем ожидалось, из-за дополнительных затрат на извлечение элементов в контейнере.
Максимальный размер сканирования архива	`Unlimited`
Сопоставленная сеть (например, UNC, SMB, CIFS)	`Enabled`	По умолчанию антивирусная программа Microsoft Defender сканирует сопоставленные сетевые диски.
Синхронизация OneDrive	`Enabled`	По умолчанию антивирусная программа Microsoft Defender сканирует рабочие столы, документы или загрузки, которые синхронизированы с помощью OneDrive или синхронизации папок.
Кэш на стороне клиента или автономные файлы	`Enabled`	По умолчанию Defender сканирует кэш на стороне клиента.
Средний коэффициент загрузки ЦП сканирования	`50`	См. раздел Сканирование и регулирование ЦП этой статьи.

Примечание.

Если включена защита в режиме реального времени, файлы проверяются перед тем, как они будут доступны и выполнены. Сканирование выполняется независимо от расположения файлов (см . раздел Настройка параметров сканирования для антивирусной программы в Microsoft Defender).
Фактическое использование ЦП может зависеть от количества ядер ЦП, производительности операций ввода-вывода, нехватки памяти и т. д. Ограничение использования ЦП может привести к тому, что полная проверка займет больше времени, поэтому клиентам следует точно настроить это значение в зависимости от фактических значений использования ЦП, полученных в конкретной среде.

Параметры и параметры оптимизации производительности полного сканирования

Производительность устройства является важным фактором, определяющим скорость обработки событий безопасности и скорость действий файлов, сети и сканирования. Более высокая скорость обработки событий влияет на производительность сканера av. Различные конфигурации антивирусного программного обеспечения могут повлиять на производительность и защиту. Доступны параметры и параметры, которые можно настроить для настройки производительности антивирусной программы в Microsoft Defender.

Чтобы настроить параметры сканирования для антивирусной программы Microsoft Defender, можно использовать различные средства (см . раздел Настройка параметров сканирования для антивирусной программы в Microsoft Defender). Ниже приведены некоторые из доступных параметров и параметров, которые можно использовать для настройки полной проверки антивирусной программы в Microsoft Defender.

Параметр	По умолчанию	Параметры и сведения о параметрах PowerShell/WMI
Сканирование архива или контейнера (например, ISOS)	`Enabled`	Антивирусная программа Microsoft Defender оптимизирована для минимизации времени сканирования одного объекта. Контейнеры могут содержать много объектов, и их сканирование может занять больше времени, чем ожидалось, из-за дополнительных затрат на извлечение элементов в контейнере.
Архивные файлы	`Scanned`	`DisableArchiveScanning` `DisableArchiveScanning` Включение параметра исключает следующие типы архивов из проверок антивирусной программы: - `ZIP` - `Ace` - `Arc` - `Arj` - `BZip2` - `Cab` - `CF` - `CPIO` - `CPT` - `GZip` - `Hap` - `ISO` - `Lharc` - `PSF` - `Quantum` - `Rar` - `Stuffit` - `Zoo` - `ZCompress` - `Compress` - `VC4` - `RPM` - `BGA` - `BH` - `Universal Disk Format` - `7z` Дополнительные сведения см. в разделе DisableArchiveScanning.
Уровень вложенных папок в архивной папке для сканирования	`0`	`0` означает неограниченный.
Максимальный размер архива для сканирования	`0`	`0` означает неограниченный.
Сопоставленные сетевые диски	`Scanned`	`DisableScanningMappedNetworkDrivesForFullScan` См . раздел DisableScanningMappedNetworkDrivesForFullScan
Сетевые файлы	`Scanned`	`DisableScanningNetworkFiles`
Максимальная загрузка ЦП во время сканирования	`50`	`ScanAvgCPULoadFactor` См. раздел Сканирование и регулирование ЦП этой статьи.
Отключение регулирования ЦП при неактивных сканированиях	`Unthrottled`	`DisableCpuThrottleOnIdleScans` См. раздел Сканирование и регулирование ЦП этой статьи.
Проверка подписи перед сканированием	`Disabled`	`CheckForSignaturesBeforeRunningScan` Антивирусная программа Microsoft Defender периодически проверяет наличие обновлений сигнатур и автоматически выполняет запланированные проверки. По умолчанию сканирование начинается с существующих определений. Этот параметр применяется только к запланированным проверкам.
Съемные диски во время полной проверки	`Scanned`	`DisableRemovableDriveScanning` Указывает, следует ли проверять съемные диски, например флэш-памяти, во время полной проверки.
Электронная почта	`Scanned`	`DisableEmailScanning` Указывает, анализирует ли Защитник Windows почтовый ящик и почтовые файлы в соответствии с их определенным форматом для анализа текста почты и вложений.
Script	`Scanned`	`DisableScriptScanning` Указывает, следует ли отключить сканирование файлов скриптов.

Рекомендации и рекомендации

Ниже приведены рекомендации Корпорации Майкрософт.

Полные проверки

Выполнение полной проверки после включения или установки антивирусной программы Microsoft Defender может быть полезно для сканирования систем для обнаружения существующих угроз.
Рекомендуется настраивать политики сканирования на основе типа устройства и роли, например коллекции SQL Server, коллекции IIS Server, ограниченной коллекции рабочих станций, коллекции стандартных рабочих станций.
Избегайте использования контроллеров домена в роли файлового сервера. Это снижает действия антивирусного сканирования в общих папках и снижает нагрузку на производительность.
Антивирусная программа Microsoft Defender имеет функцию вычисления хэша файлов, которая вычисляет хэши файлов для каждого исполняемого файла, который сканируется, если он не был вычислен ранее. Это влияет на производительность, особенно при копировании больших файлов из общей сетевой папки. Дополнительные сведения о влиянии на индикаторы см. в статье Настройка вычислений хэша файлов .
На производительность полной проверки может повлиять регулирование ЦП. Мы рекомендуем оставить параметры ограничения ЦП по умолчанию.

Примечание.

По умолчанию антивирусная программа Microsoft Defender проверяет внутренний тип контента, так как расширения файлов часто вводят в заблуждение и могут быть легко подделываются злоумышленниками.
Производительность сканирования в значительной степени зависит от фактического типа контента, который проверяется. Как правило, более сложные типы файлов требуют больше времени и цикла, а более необычные типы контента требуют еще больше времени (например, файлы JavaScript).
Средство анализатора производительности для антивирусной программы в Microsoft Defender помогает определять файлы, расширения файлов и процессы, которые могут вызывать проблемы с производительностью на отдельных конечных точках во время антивирусной проверки. Если вы используете антивирусную программу Microsoft Defender и испытываете проблемы с производительностью, вы можете использовать анализатор производительности для оптимизации производительности (см. раздел Анализатор производительности для антивирусной программы Microsoft Defender).
Идентификатор доверенного образа для антивирусной программы Microsoft Defender может помочь повысить производительность устройств. См . раздел Настройка идентификатора доверенного образа для Microsoft Defender.

Сканирование и регулирование ЦП

Параметр ограничения использования ЦП, также известный как регулирование ЦП, используется для установки максимального использования ЦП для проверок по запросу в Microsoft Defender. Параметр регулирования ЦП включен по умолчанию и применяется только к запланированным проверкам, а также при необходимости к пользовательским проверкам. Рекомендуется точно настроить этот параметр (см. ScanAverageCPULoadFactor параметр в разделе Set-MpPreference (Defender)) в зависимости от фактических значений использования ЦП, полученных в конкретной среде.

Коэффициент загрузки ЦП для антивирусной программы в Microsoft Defender не является жестким ограничением, а скорее руководством для обработчика сканирования, чтобы не превысить этот максимум. Для этого параметра политики сканирования можно указать значение в процентах от максимальной загрузки ЦП во время сканирования. Значение 0 или 100 указывает на отсутствие регулирования. Например, если это значение уменьшается до 20, это означает, что подсистема сканирования стремится поддерживать среднюю загрузку ЦП системы ниже 20 % во время сканирования, и это занимает больше времени.

Если для процентного значения задано значение 0 или 100, регулирование ЦП будет отключено, а Защитник Windows может использовать до 100 % ресурсов ЦП во время запланированного и настраиваемого сканирования. Это не рекомендуется, так как это может привести к неответственности приложений и даже перегреву, поэтому продолжайте с особой осторожностью.
Изменение значения имеет как плюсы, так и минусы. Более высокие значения означают, что сканирование выполняется быстрее; однако это может замедлить работу системы во время сканирования, а более низкие значения означают, что сканирование занимает больше времени, но у вас будет больше ресурсов ЦП, доступных для вашей системы во время сканирования. Например, если вы выполняете критически важные рабочие нагрузки на сервере, для этого параметра должно быть задано значение, не влияющее на работу рабочих нагрузок.
Сканирование вручную игнорирует параметр регулирования ЦП и выполняется без ограничений ЦП. Однако существует параметр политики сканирования (см. ThrottleForScheduledScanOnly параметр в разделе Set-MpPreference (Defender)), согласно которому при отключении проверки вручную выполняется те же ограничения ЦП, что и при запланированной проверке.
Регулирование ЦП при неактивных сканированиях определяет, регулируется ли ЦП для запланированных проверок, пока устройство неактивно. Этот параметр отключен по умолчанию, чтобы гарантировать, что ЦП не регулируется для запланированных проверок, когда устройство находится в простое, независимо от того, какое регулирование ЦП задано. Дополнительные сведения см. в DisableCpuThrottleOnIdleScans разделе Set-MpPreference (Defender).

Примечание.

См. критерии состояния простоя в разделе Условия простоя задачи — приложения Win32.

Сканирование и исключения

Антивирусная программа Microsoft Defender имеет следующие функции, которые помогают повысить производительность и эффективность сканирования.

Проверка контейнеров и архивов может занять много времени, так как некоторые оптимизации (например, параллельные проверки) в таких ситуациях невозможна. По возможности рекомендуется извлекать содержимое этих контейнеров, что позволит выполнять полное сканирование для параллельной обработки элементов.
Проверка исключений, в которых контейнеры можно исключить из сканирования, если этот параметр разрешен вашими требованиями к соответствию.
Средство анализатора производительности для антивирусной программы Microsoft Defender можно использовать для определения исключений, помогающих оптимизировать производительность. См. Анализатор производительности для антивирусной программы в Microsoft Defender.

Антивирусная программа Microsoft Defender имеет встроенную оптимизацию для содержимого с высоким уровнем доверия (например, подписанного доверенными источниками). При обнаружении такого содержимого он просто переходит от сканирования содержимого к проверке подписи, чтобы убедиться, что файл не был изменен.

Поделиться через