Microsoft Defender Virüsten Koruma tam tarama konuları ve en iyi yöntemler
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Plan 1 ve 2
- Microsoft Defender Virüsten Koruma
Platform
- Windows
Bu makalede, Uç Nokta için Microsoft Defender ile tam virüsten koruma taramaları çalıştırmak için dikkat edilmesi gerekenler ve en iyi yöntemler açıklanmaktadır. Bu makalede tarama performansını etkileyen faktörler özetlenmiştir ve artan kaynak tüketiminin koruma etkinliğinin artmasına neden olduğu senaryolar açıklanmaktadır.
Genel Bakış
Uç Nokta için Defender'da gerçek zamanlı koruma, kötü amaçlı yazılım bulaşmalarını gerçek zamanlı olarak algılamaya ve durdurmaya yardımcı olmak için bilgisayarınızı sürekli olarak tarar. Cihazınızdaki etkinliği izlemek ve tehditlere karşı koruma sağlamak için buluşsal ve davranışa dayalı algılama yöntemlerini kullanır. Zamanlanmış taramalar için önerimiz, hızlı taramayı her zaman açık gerçek zamanlı koruma ve bulut koruması ile birlikte yapılandırmaktır, bu birleşim sistem ve çekirdek düzeyinde kötü amaçlı yazılımlarla başlayan kötü amaçlı yazılımlara karşı güçlü bir kapsama sağlar. Bu yapılandırma varsayılan yapılandırmadır. Genel olarak, tam tarama zamanlamanıza gerek yoktur ve kullanıcıların çoğunun tam taramaları el ile çalıştırması gerekmez (bkz. Hızlı tarama, tam tarama ve özel taramayı karşılaştırma).
Ancak, kuruluşunuzun özel gereksinimlerini karşılamak için tam taramalar çalıştırmanız gerekebilir. Tam tarama hızlı bir taramayla başlar ve ardından bağlı olan tüm sabit ve çıkarılabilir ağ sürücülerinin sıralı dosya taramasıyla devam eder. Tam tarama, içerik hacmine, içerik türüne ve Microsoft Defender'ın taramayı gerçekleştirmek için ayırdığı kaynaklara bağlı olarak birkaç saatten birkaç güne kadar sürebilir (bkz. Microsoft Defender Virüsten Koruma ile düzenli hızlı ve tam tarama zamanlama). Tarama performansı yalnızca dosya boyutunda bir işlev değildir ve çoğunlukla içeriğin türüne ve karmaşıklığına göre belirlenir.
Koruma verimliliği ve performans etkisi
Koruma ve sistem kaynağı kullanımı, dengeleri gerektirir. Cihaz performansı ortamınıza yüksek oranda bağlıdır. Çok fazla karmaşık içeriğe sahip bir cihazda tam tarama çalıştırmanın tamamlanma süresinin artmasına neden olması doğaldır. Aşağıdaki tabloda, koruma verimliliğimizi artırmak için daha fazla sistem kaynağı kullanma kararı aldığımız senaryolar özetlemektedir.
| Ayar | Varsayılan | Ayrıntılar |
|---|---|---|
| Arşiv/Kapsayıcı (örneğin, ISO'lar) Tarama | Enabled |
Microsoft Defender Virüsten Koruma, tek bir nesnenin tarama süresini en aza indirmek için iyileştirilmiştir. Kapsayıcılar birçok nesne içerebilir ve kapsayıcıdaki öğeleri ayıklama yükü nedeniyle bunları taramak beklenenden daha uzun sürebilir. |
| Maksimum arşiv tarama boyutu | Unlimited |
|
| Eşlenen Ağ (örneğin, UNC, SMB, CIFS) | Enabled |
Varsayılan olarak, Microsoft Defender Virüsten Koruma eşlenmiş ağ sürücülerini tarar. |
| OneDrive eşitleme | Enabled |
Varsayılan olarak, Microsoft Defender Virüsten Koruma, OneDrive veya klasör eşitleme yoluyla eşitlenen masaüstlerini, belgeleri veya indirmeleri tarar. |
| İstemci tarafı önbellek/çevrimdışı dosyalar | Enabled |
Varsayılan olarak, Defender istemci tarafı önbelleğini tarar. |
| Tarama Ortalama CPU Yük Faktörü | 50 |
Bu makalenin Tarama ve CPU azaltma bölümüne bakın. |
Not
- Gerçek zamanlı koruma açıksa dosyalar erişilmeden ve yürütülmeden önce taranır. Tarama, dosyaların bulunduğu konumdan bağımsız olarak gerçekleşir (bkz. Microsoft Defender Virüsten Koruma için tarama seçeneklerini yapılandırma).
- Gerçek CPU kullanımı CPU çekirdeği sayısına, G/Ç performansına, bellek baskısına vb. bağlı olarak değişebilir. CPU kullanımını sınırlamak tam taramanın tamamlanmasının daha uzun sürmesine neden olabilir, bu nedenle müşterilerin kendi ortamlarında elde edilen gerçek CPU kullanım değerlerine bağlı olarak bu değere ince ayar yapması gerekir.
Tam tarama performansı iyileştirme ayarları ve anahtarları
Cihaz performansı, güvenlik olayı işleme hızı ve dosya, ağ ve tarama etkinliklerinin hızı açısından önemli bir faktördür. Daha yüksek bir olay işleme hızı, AV tarayıcısıyla daha yüksek performans etkisine eşittir. Farklı Virüsten Koruma yazılımı yapılandırması performansı ve korumayı etkileyebilir. Microsoft Defender Virüsten Koruma'nın performansını ayarlamak için yapılandırabileceğiniz ayarlar ve anahtarlar vardır.
Microsoft Defender Virüsten Koruma için tarama seçeneklerini yapılandırmak için çeşitli araçlar kullanabilirsiniz (bkz. Microsoft Defender Virüsten Koruma için tarama seçeneklerini yapılandırma). Microsoft Defender Virüsten Koruma tam taramalarını yapılandırmak için kullanabileceğiniz bazı kullanılabilir ayarlar ve anahtarlar şunlardır:
| Ayar | Varsayılan | PowerShell/WMI parametresi ve ayrıntıları |
|---|---|---|
| Arşiv/Kapsayıcı (örneğin, ISO'lar) Tarama | Enabled |
Microsoft Defender Virüsten Koruma, tek bir nesnenin tarama süresini en aza indirmek için iyileştirilmiştir. Kapsayıcılar birçok nesne içerebilir ve kapsayıcıdaki öğeleri ayıklama yükü nedeniyle bunları taramak beklenenden daha uzun sürebilir. |
| Dosyaları arşivle | Scanned |
DisableArchiveScanningBu ayarın etkinleştirilmesi DisableArchiveScanning , aşağıdaki arşiv türlerini virüsten koruma taramalarının dışında tutar:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z Daha fazla bilgi için bkz . DisableArchiveScanning |
| Bir arşiv klasörünün içindeki taranacak alt klasör düzeyi | 0 |
0 sınırsız anlamına gelir. |
| Tarama için maksimum arşiv boyutu | 0 |
0 sınırsız anlamına gelir. |
| Eşlenen ağ sürücüleri | Scanned |
DisableScanningMappedNetworkDrivesForFullScanBkz . DisableScanningMappedNetworkDrivesForFullScan |
| Ağ dosyaları | Scanned |
DisableScanningNetworkFiles |
| Tarama sırasında maksimum CPU yükleme yüzdesi | 50 |
ScanAvgCPULoadFactorBu makalenin Tarama ve CPU azaltma bölümüne bakın. |
| Boşta taramalarda CPU azaltmayı devre dışı bırakma | Unthrottled |
DisableCpuThrottleOnIdleScansBu makalenin Tarama ve CPU azaltma bölümüne bakın. |
| Taramadan önce imza denetimleri | Disabled |
CheckForSignaturesBeforeRunningScanMicrosoft Defender Virüsten Koruma, imza güncelleştirmelerini düzenli aralıklarla denetler ve zamanlanmış taramaları otomatik olarak gerçekleştirir. Tarama varsayılan olarak mevcut tanımlarla başlar. Bu ayar yalnızca zamanlanmış taramalar için geçerlidir. |
| Tam taramalar sırasında çıkarılabilir sürücüler | Scanned |
DisableRemovableDriveScanningTam tarama sırasında flash sürücüler gibi çıkarılabilir sürücülerin taranıp taranmayacağını gösterir. |
| E-posta | Scanned |
DisableEmailScanningWindows Defender'ın posta gövdelerini ve eklerini çözümlemek için posta kutusunu ve posta dosyalarını belirli biçimlerine göre ayrıştırıp ayrıştırmadığını gösterir. |
| Komut dosyası | Scanned |
DisableScriptScanningBetik dosyalarının taranıp devre dışı bırakılmayacağını belirtir. |
En iyi yöntemler ve dikkat edilmesi gerekenler
Microsoft'un önerileri şunlardır:
Tam taramalar
Microsoft Defender Virüsten Koruma'yi etkinleştirdikten veya yükledikten sonra tam tarama çalıştırmak, mevcut tehditleri algılamak için sistemleri taramak için yararlı olabilir.
Tarama ilkelerini cihaz türüne ve rolüne göre yapılandırmanızı öneririz; örneğin SQL Server Koleksiyonu, IIS Sunucu Koleksiyonu, Kısıtlı İş İstasyonu Koleksiyonu, Standart İş İstasyonu Koleksiyonu.
Etki alanı denetleyicilerini dosya sunucusu rolünde kullanmaktan kaçının. Bu, dosya paylaşımlarında virüsten koruma tarama etkinliklerini azaltır ve performans yükünü en aza indirir.
Microsoft Defender Virüsten Koruma, daha önce hesaplanmadıysa taranan her yürütülebilir dosya için dosya karmalarını hesaplayan dosya karması hesaplama özelliğine sahiptir. Bu, özellikle bir ağ paylaşımından büyük dosyaları kopyalarken performans maliyetine sahiptir. Göstergeler üzerindeki etkisi hakkında daha fazla bilgi edinmek için bkz. Dosya Karması Hesaplamasını Yapılandırma .
Tam tarama performansı CPU azaltmadan etkilenebilir. Cpu sınırı ayarlarını varsayılan olarak bırakmamız önerimizdir.
Not
- Tasarım gereği, dosya uzantıları genellikle yanıltıcı olduğundan ve saldırganlar tarafından kolayca yanıltıcı olabileceğinden, Microsoft Defender Virüsten Koruma iç içerik türünü inceler.
- Tarama performansı, taranan gerçek içerik türüne büyük ölçüde bağlıdır. Genel olarak, daha karmaşık dosya türleri daha fazla zaman ve döngü gerektirirken, daha olağan dışı içerik türleri daha da fazla zaman gerektirir (ör. JavaScript dosyaları).
- Microsoft Defender Virüsten Koruma için performans çözümleyici aracı, virüsten koruma taramaları sırasında tek tek uç noktalarda performans sorunlarına neden olabilecek dosyaların, dosya uzantılarının ve işlemlerin belirlenmesine yardımcı olur. Microsoft Defender Virüsten Koruma çalıştırıyorsanız ve performans sorunları yaşıyorsanız performansı iyileştirmek için performans çözümleyicisini kullanabilirsiniz (bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi).
- Microsoft Defender Virüsten Koruma için güvenilir bir görüntü tanımlayıcısı, cihazlarınızın performansını artırmaya yardımcı olabilir. Bkz . Microsoft Defender için Güvenilen Görüntü Tanımlayıcısı Yapılandırma.
Tarama ve CPU azaltma
CPU azaltma olarak da bilinen CPU kullanım sınırı ayarı, Microsoft Defender isteğe bağlı taramaları için en yüksek CPU kullanımını ayarlamak için kullanılır. CPU azaltma ayarı varsayılan olarak etkindir ve yalnızca zamanlanmış taramalara ve isteğe bağlı olarak özel taramalara da uygulanır. Belirli bir ortamda elde edilen gerçek CPU kullanım değerlerine bağlı olarak bu ayara ince ayar (Set-MpPreference (Defender)'daki ayara bakınScanAverageCPULoadFactor) önerilir.
Microsoft Defender Virüsten Koruma için CPU yük faktörü sabit bir sınır değil, tarama altyapısının bu üst sınırı aşmaması için rehberliktir. Bu tarama ilkesi ayarı için, tarama sırasında en fazla CPU kullanımı yüzdesi olarak bir değer belirtebilirsiniz. 0 veya 100 değeri azaltma olmadığını gösterir. Örneğin, bu değer 20'ye düşürüldüyse tarama altyapısının tarama sırasında sistemin ortalama CPU yükünü %20'nin altında tutmayı hedeflediği ve tamamlanmasının daha uzun sürdüğü anlamına gelir.
Yüzde değerini 0 veya 100 olarak ayarlarsanız, CPU azaltma devre dışı bırakılır ve Windows Defender zamanlanan ve özel taramalar sırasında CPU'nun %100'lerine kadar kullanabilir. Yanıt vermeyen uygulamalara ve hatta aşırı ısınmaya yol açabileceğinden bu önerilmez, bu nedenle çok dikkatli olun.
Değeri değiştirmenin hem artıları hem de eksileri vardır. Daha yüksek değerler taramaların daha hızlı performans göstermesini sağlar; Ancak, tarama sırasında sisteminizi yavaşlatabilir, ancak daha düşük değerler taramanın tamamlanmasının daha uzun sürdüğü, ancak tarama sırasında sisteminiz için daha fazla CPU kaynağınız olduğu anlamına gelir. Örneğin, bir sunucuda kritik iş yükleri çalıştırıyorsanız, bu ayar iş yüklerinin çalışmasını engellemeyen bir değere ayarlanmalıdır.
El ile yapılan taramalar CPU azaltma ayarını yoksayar ve HERHANGI bir CPU sınırı olmadan çalışır. Ancak, devre dışı bırakılırsa el ile yapılan taramaların zamanlanmış taramayla aynı CPU sınırlarına uyması için bir tarama ilkesi ayarı vardır (Bkz. Set-MpPreference (Defender)) ayarı.
ThrottleForScheduledScanOnlyBoşta taramalarda CPU azaltma, cihaz boştayken CPU'nın zamanlanmış taramalar için kısıtlanıp kısıtlanmadığını denetler. Bu ayar varsayılan olarak devre dışı bırakılarak, cpu azaltmanın hangi CPU azaltmasına ayarlandığına bakılmaksızın cihaz boştayken zamanlanmış taramalar için CPU'nun kısıtlanmadığından emin olun. Daha fazla bilgi için Bkz
DisableCpuThrottleOnIdleScans. Set-MpPreference (Defender)'daki ayar.Not
Görev boşta kalma koşulları - Win32 uygulamaları'nda boşta durum ölçütlerine bakın.
Tarama ve dışlamalar
Microsoft Defender Virüsten Koruma, tarama performansını ve verimliliğini artırmaya yardımcı olan aşağıdaki özelliklere sahiptir:
Bu gibi durumlarda belirli iyileştirmeler (örneğin paralel taramalar) mümkün olmadığından kapsayıcıların/arşivlerin taranması uzun sürebilir. Mümkün olduğunda, tam taramanın öğeleri paralel olarak işlemesine olanak tanıyacak bu kapsayıcıların içeriğini ayıklamanızı öneririz.
Uyumluluk gereksinimleriniz bu seçeneğe izin verirse kapsayıcıları taramanın dışında tutabileceğiniz tarama dışlamaları.
Microsoft Defender Virüsten Koruma için performans çözümleyici aracı, performansı iyileştirmeye yardımcı olan dışlamaları belirlemek için kullanılabilir. Bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi.
Microsoft Defender Virüsten Koruma, yüksek oranda saygın (örneğin, güvenilir kaynaklar tarafından imzalanan) içerik için yerleşik bir iyileştirmeye sahiptir. Bu tür içerikle karşılaştığında, dosyanın değiştirilmediğinden emin olmak için içeriği taramadan imzayı doğrulamaya geçer.
Virüsten koruma dışlama önerileri
Belirli konumları taramanın dışında tutarak tarama süresini kısaltabilirsiniz. İki tür dışlama vardır: işlem dışlamaları ve dosya/klasör dışlamaları. Tam tarama için yalnızca dosya/klasör dışlamaları geçerlidir. Tarama dışlamaları, tarama süresini kısaltırken riski en aza indirmek için dikkatli bir şekilde geliştirilmelidir.
Uyumluluk gereksinimleriniz tarafından izin verilmiyorsa sıkıştırılmış dosyaları dışlama.
Kötü amaçlı yazılımlar tarafından yaygın olarak kullanılan Kullanıcı Profili geçici klasörünü veya Sistem geçici klasörünü dışlama:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
Dışlama listelerinde ortam değişkenlerinin joker karakter olarak kullanılması yalnızca sistem değişkenleriyle sınırlıdır. Microsoft Defender Virüsten Koruma klasörü ve işlem dışlamaları eklerken kullanıcı kapsamlı ortam değişkenlerini kullanmayın.