Dela via


Överväganden och metodtips för fullständig genomsökning i Microsoft Defender Antivirus

Gäller för:

Plattformar

  • Windows

Den här artikeln beskriver överväganden och metodtips för att köra fullständiga antivirusgenomsökningar med Microsoft Defender för Endpoint. Den här artikeln beskriver faktorer som påverkar genomsökningsprestanda och beskriver scenarier där ökad resursförbrukning resulterar i ökad skyddseffekt.

Översikt

Realtidsskydd i Defender för Endpoint är en funktion som kontinuerligt genomsöker datorn för att identifiera och stoppa skadlig kod i realtid. Den använder heuristiska och beteendebaserade identifieringsmetoder för att övervaka aktiviteten på enheten och skydda mot hot när de inträffar. Vår rekommendation för schemalagda genomsökningar är att konfigurera snabbsökning tillsammans med alltid på realtidsskydd och molnskydd, eftersom den här kombinationen ger stark täckning mot skadlig kod som börjar med systemet och skadlig kod på kernelnivå. Den här konfigurationen är standardkonfigurationen. I allmänhet behöver du inte schemalägga en fullständig genomsökning och de flesta användare behöver aldrig köra fullständiga genomsökningar manuellt (se Jämföra snabbsökning, fullständig genomsökning och anpassad genomsökning).

Du kan dock behöva köra fullständiga genomsökningar för att uppfylla organisationens specifika krav. En fullständig genomsökning börjar med en snabbsökning och fortsätter sedan med en sekventiell filgenomsökning av alla fasta och flyttbara nätverksenheter som är monterade. En fullständig genomsökning kan pågå från flera timmar till flera dagar, beroende på innehållsvolym, typ av innehåll och de resurser som Microsoft Defender har allokerats för att utföra genomsökningen (se Schemalägg regelbundna snabba och fullständiga genomsökningar med Microsoft Defender Antivirus). Genomsökningsprestanda är inte bara en funktion av filstorlek och bestäms främst av innehållets typ och komplexitet.

Påverkan på skyddseffektivitet och prestanda

Användning av skydds- och systemresurser medför kompromisser. Enhetens prestanda är mycket beroende av din miljö. Det är naturligt att körning av en fullständig genomsökning på en enhet med mycket komplext innehåll skulle leda till en ökad tid till slutförande. I följande tabell sammanfattas scenarier där vi har fattat beslut om att använda fler systemresurser för att öka vår skyddseffektivitet.

Inställning Standard Information
Genomsökning av arkiv/container (till exempel ISOs) Enabled Microsoft Defender Antivirus är optimerat för att minimera genomsökningstiden för ett enda objekt. Containrar kan innehålla många objekt och genomsökningen kan ta längre tid än förväntat på grund av extrahering av objekten i containern.
Maximal storlek på arkivgenomsökning Unlimited
Mappat nätverk (till exempel UNC, SMB, CIFS) Enabled Som standard söker Microsoft Defender Antivirus igenom mappade nätverksenheter.
OneDrive-synkronisering Enabled Som standard söker Microsoft Defender Antivirus igenom skrivbord, dokument eller nedladdningar som synkroniseras via OneDrive eller mappsynkronisering.
Cache-filer på klientsidan/offlinefiler Enabled Som standard söker Defender igenom cachen på klientsidan.
Genomsöka genomsnittlig CPU-inläsningsfaktor 50 Se avsnittet Genomsökning och CPU-begränsning i den här artikeln.

Obs!

  • Om realtidsskydd är aktiverat genomsöks filerna innan de öppnas och körs. Genomsökningen sker oavsett var filerna finns (se Konfigurera genomsökningsalternativ för Microsoft Defender Antivirus).
  • Den faktiska CPU-användningen kan variera beroende på antalet CPU-kärnor, I/O-prestanda, minnesbelastning osv. Att begränsa CPU-användningen kan göra att fullständig genomsökning tar längre tid att slutföra, så kunderna bör finjustera det här värdet beroende på de faktiska CPU-användningsvärdena som hämtas i deras specifika miljö.

Inställningar och växlar för prestandaoptimering för fullständig genomsökning

Enhetsprestanda är en viktig faktor i frekvensen för bearbetning av säkerhetshändelser och hastigheten för fil-, nätverks- och genomsökningsaktiviteter. En högre händelsebearbetningshastighet är lika med högre prestandapåverkan med AV-skannern. Olika antivirusprogramkonfigurationer kan påverka prestanda och skydd. Det finns inställningar och växlar som du kan konfigurera för att justera prestanda för Microsoft Defender Antivirus.

Om du vill konfigurera genomsökningsalternativ för Microsoft Defender Antivirus kan du använda olika verktyg (se Konfigurera genomsökningsalternativ för Microsoft Defender Antivirus). Här är några av de tillgängliga inställningar och växlar som du kan använda för att konfigurera fullständiga genomsökningar i Microsoft Defender Antivirus:

Inställning Standard PowerShell/WMI-parameter och information
Genomsökning av arkiv/container (till exempel ISOs) Enabled Microsoft Defender Antivirus är optimerat för att minimera genomsökningstiden för ett enda objekt. Containrar kan innehålla många objekt och genomsökningen kan ta längre tid än förväntat på grund av extrahering av objekten i containern.
Arkivera filer Scanned DisableArchiveScanning

Om du aktiverar DisableArchiveScanning exkluderas följande arkivtyper från antivirusgenomsökningar:
- ZIP
- Ace
- Arc
- Arj
- BZip2
- Cab
- CF
- CPIO
- CPT
- GZip
- Hap
- ISO
- Lharc
- PSF
- Quantum
- Rar
- Stuffit
- Zoo
- ZCompress
- Compress
- VC4
- RPM
- BGA
- BH
- Universal Disk Format
- 7z

Mer information finns i DisableArchiveScanning
Nivå av undermappar i en arkivmapp som ska genomsökas 0 0 innebär obegränsat.
Maximal storlek på arkivet för genomsökning 0 0 innebär obegränsat.
Mappade nätverksenheter Scanned DisableScanningMappedNetworkDrivesForFullScan

Se DisableScanningMappedNetworkDrivesForFullScan
Nätverksfiler Scanned DisableScanningNetworkFiles
Maximal CPU-belastning % under genomsökning 50 ScanAvgCPULoadFactor

Se avsnittet Genomsökning och CPU-begränsning i den här artikeln.
Inaktivera CPU-begränsning vid inaktiva genomsökningar Unthrottled DisableCpuThrottleOnIdleScans

Se avsnittet Genomsökning och CPU-begränsning i den här artikeln.
Signaturkontroller före genomsökning Disabled CheckForSignaturesBeforeRunningScan

Microsoft Defender Antivirus söker regelbundet efter signaturuppdateringar och utför schemalagda genomsökningar automatiskt. Som standard börjar genomsökningen med befintliga definitioner. Den här inställningen gäller endast schemalagda genomsökningar.
Flyttbara enheter vid fullständiga genomsökningar Scanned DisableRemovableDriveScanning

Anger om flyttbara enheter ska genomsökas, till exempel flash-enheter, under en fullständig genomsökning.
E-post Scanned DisableEmailScanning

Anger om Windows Defender parsar postlådan och e-postfilerna enligt deras specifika format för att analysera e-postkroppar och bifogade filer.
Skript Scanned DisableScriptScanning

Anger om du vill inaktivera genomsökning av skriptfiler.

Metodtips och överväganden

Följande är Microsofts rekommendationer:

Fullständiga genomsökningar

  • Att köra en fullständig genomsökning en gång efter att du har aktiverat eller installerat Microsoft Defender Antivirus kan vara användbart för att genomsöka system för att identifiera befintliga hot.

  • Vi rekommenderar att du konfigurerar genomsökningsprinciper baserat på enhetstyp och roll, till exempel SQL Server Collection, IIS Server Collection, Restricted Workstation Collection, Standard Workstation Collection.

  • Undvik att använda domänkontrollanter i en filserverroll. Detta sänker antivirusgenomsökningsaktiviteter på filresurser och minimerar prestandakostnaderna.

  • Microsoft Defender Antivirus har funktionen för beräkningen av filhash som beräknar filhashvärden för varje körbar fil som genomsöks om den inte har beräknats tidigare. Detta har en prestandakostnad, särskilt när du kopierar stora filer från en nätverksresurs. Mer information om hur indikatorer påverkas finns i Konfigurera beräkning av filhash .

  • Den fullständiga genomsökningsprestandan kan påverkas av CPU-begränsning. Vår rekommendation är att lämna cpu-gränsinställningarna som standard.

Obs!

  • Microsoft Defender Antivirus inspekterar avsiktligt den interna innehållstypen eftersom filnamnstillägg ofta är vilseledande och enkelt kan förfalskas av angripare.
  • Genomsökningsprestandan är starkt beroende av den faktiska innehållstyp som genomsöks. I allmänhet kräver mer komplexa filtyper mer tid och cykel, medan mer ovanliga innehållstyper kräver ännu mer tid (t.ex. JavaScript-filer).
  • Prestandaanalysverktyget för Microsoft Defender Antivirus hjälper till att fastställa filer, filnamnstillägg och processer som kan orsaka prestandaproblem på enskilda slutpunkter under antivirusgenomsökningar. Om du kör Microsoft Defender Antivirus och har prestandaproblem kan du använda prestandaanalys för att optimera prestanda (se Prestandaanalys för Microsoft Defender Antivirus).
  • En betrodd bildidentifierare för Microsoft Defender Antivirus kan hjälpa dig att förbättra prestanda för dina enheter. Se Konfigurera en betrodd avbildningsidentifierare för Microsoft Defender.

Genomsökning och CPU-begränsning

Cpu-användningsgränsen, även kallad CPU-begränsning, används för att ange maximal CPU-användning för Microsoft Defender-genomsökningar på begäran. Inställningen för CPU-begränsning är aktiverad som standard och gäller endast för schemalagda genomsökningar, och eventuellt även för anpassade genomsökningar. Vi rekommenderar att du finjusterar den ScanAverageCPULoadFactor här inställningen (se inställningen i Set-MpPreference (Defender)), beroende på de faktiska CPU-användningsvärdena som hämtas i din specifika miljö.

Processorbelastningsfaktorn för Microsoft Defender Antivirus är inte en hård gräns, utan snarare vägledning för att skanningsmotorn inte ska överskrida det här maxvärdet. För den här genomsökningsprincipinställningen kan du ange ett värde i procent den maximala CPU-användningen under genomsökningen. Värdet 0 eller 100 anger ingen begränsning. Om det här värdet till exempel minskas till 20 innebär det att skanningsmotorn syftar till att hålla systemets genomsnittliga CPU-belastning under 20 % under genomsökningen och att det tar längre tid att slutföra det.

  • Om du anger procentvärdet till 0 eller 100 inaktiveras CPU-begränsningen och Windows Defender kan använda upp till 100 % cpu under schemalagda och anpassade genomsökningar. Detta rekommenderas inte eftersom det kan leda till att appar inte svarar, och till och med överhettning så fortsätt med extrem försiktighet.

  • Att ändra värdet har både för- och nackdelar. Högre värden innebär att genomsökningarna utförs snabbare. Det kan dock göra systemet långsammare under genomsökningen, medan lägre värden innebär att genomsökningen tar längre tid att slutföra, men du har fler processorresurser tillgängliga för systemet under genomsökningen. Om du till exempel kör kritiska arbetsbelastningar på en server bör den här inställningen anges till ett värde som inte stör arbetsbelastningarnas funktion.

  • Manuella genomsökningar ignorerar inställningen för CPU-begränsning och körs utan cpu-gränser. Det finns dock en principinställning för genomsökning (se ThrottleForScheduledScanOnly inställningen i Set-MpPreference (Defender)) som om den är inaktiverad, så följer manuella genomsökningar samma CPU-gränser som en schemalagd genomsökning.

  • CPU-begränsning vid inaktiva genomsökningar styr om processorn begränsas för schemalagda genomsökningar när enheten är inaktiv. Den här inställningen är inaktiverad som standard för att säkerställa att processorn inte begränsas för schemalagda genomsökningar när enheten är inaktiv, oavsett vad CPU-begränsningen är inställd på. Mer information finns i inställningen DisableCpuThrottleOnIdleScans i Set-MpPreference (Defender).

    Obs!

    Se villkoren för inaktivitetstillstånd i Inaktiva aktivitetsvillkor – Win32-appar.

Genomsökning och undantag

Microsoft Defender Antivirus har följande funktioner som förbättrar genomsökningens prestanda och effektivitet:

  • Containrar/arkiv kan ta lång tid att genomsöka eftersom vissa optimeringar (till exempel parallella genomsökningar) inte är möjliga i dessa situationer. När det är möjligt rekommenderar vi att du extraherar innehållet i dessa containrar så att den fullständiga genomsökningen kan bearbeta objekt parallellt.

  • Genomsök undantag där du kan undanta containrar från genomsökning, om det här alternativet tillåts av dina efterlevnadskrav.

  • Verktyget för prestandaanalys för Microsoft Defender Antivirus kan användas för att fastställa undantag som hjälper till att optimera prestanda. Se Prestandaanalys för Microsoft Defender Antivirus.

Microsoft Defender Antivirus har en inbyggd optimering av innehåll som är mycket välrenommerat (till exempel signerat av betrodda källor). När det påträffar sådant innehåll övergår det helt enkelt från att skanna innehållet till att verifiera signaturen för att säkerställa att filen inte har manipulerats.

Rekommendationer för antivirusundantag

Om vissa platser undantas från genomsökning kan genomsökningstiden förkortas. Det finns två typer av undantag: processundantag och fil-/mappundantag. Endast fil-/mappundantag gäller för fullständig genomsökning. Genomsökningsundantag bör utvecklas noggrant för att minska genomsökningstiden samtidigt som risken minimeras.

  • Exkludera inte komprimerade filer om de inte tillåts av dina efterlevnadskrav.

  • Exkludera inte den temporära mappen för användarprofilen eller mappen System temp, som ofta används av skadlig kod:

    • C:\Users<UserProfileName>\AppData\Local\Temp\
    • C:\Users<UserProfileName>\AppData\LocalLow\Temp\
    • C:\Users<UserProfileName>\AppData\Roaming\Temp\
    • %Windir%\Prefetch
    • %Windir%\System32\Spool
    • C:\Windows\System32\CatRoot2
    • %Windir%\Temp
  • Användningen av miljövariabler som jokertecken i undantagslistor är begränsad till endast systemvariabler. Använd inte miljövariabler med användaromfattning när du lägger till mappen Microsoft Defender Antivirus och processundantag.