Microsoft Defender 防病毒軟體完整掃描考慮和最佳做法
適用於:
- 適用於端點的 Microsoft Defender 方案 1 和 方案 2
- Microsoft Defender 防毒軟體
平台
- Windows
本文說明使用適用於端點的 Microsoft Defender 執行完整防病毒軟體掃描的考慮和最佳做法。 本文概述影響掃描效能的因素,並說明資源耗用量增加會導致保護效力提升的案例。
概觀
適用於端點的 Defender 中的即時保護功能會持續掃描您的電腦,以協助即時偵測和停止惡意代碼感染。 它會使用啟發學習法和行為型偵測方法來監視裝置上的活動,並在威脅發生時防範威脅。 我們對於排程掃描的建議是設定快速掃描,以及一律開啟即時保護和 雲端保護,因為此組合提供針對以系統和核心層級惡意代碼開頭之惡意代碼的強式涵蓋範圍。 此組態是預設組態。 一般而言,不需要排程完整掃描,而且大部分的用戶永遠不需要手動執行完整掃描 (請參閱 比較快速掃描、完整掃描和自定義掃描) 。
不過,您可能必須執行完整掃描,以符合組織的特定需求。 完整掃描會從快速掃描開始,然後繼續進行所有已掛接之固定和卸除式網路驅動器機的循序檔案掃描。 完整掃描可以持續數小時到數天,視內容量、內容類型,以及 Microsoft Defender 已配置來執行掃描的資源而定 (請參閱使用 Microsoft Defender 防病毒軟體) 排程定期快速和完整掃描 。 掃描效能不只是檔案大小的函式,主要取決於內容的類型和複雜度。
保護效率和效能影響
保護和系統資源使用量需要取捨。 裝置效能與您的環境高度相依。 在具有大量複雜內容的裝置上執行完整掃描,自然會導致完成時間增加。 下表摘要說明我們決定使用更多系統資源來提高保護效率的案例。
| 設定 | 預設 | 詳細資料 |
|---|---|---|
| 封存/容器 (例如 ISO) 掃描 | Enabled |
Microsoft Defender 防病毒軟體已優化,可將單一對象的掃描時間降至最低。 容器可能包含許多物件,而且掃描它們可能需要比預期更多的時間,因為擷取容器中的專案會產生額外負荷。 |
| 封存掃描的大小上限 | Unlimited |
|
| 對應的網路 (例如 UNC、SMB、CIFS) | Enabled |
根據預設,Microsoft Defender 防病毒軟體會掃描對應的網路驅動器機。 |
| OneDrive 同步處理 | Enabled |
根據預設,Microsoft Defender 防病毒軟體會掃描透過 OneDrive 或資料夾同步處理的桌面電腦、檔或下載。 |
| 用戶端快取/離線檔案 | Enabled |
根據預設,Defender 會掃描用戶端快取。 |
| 掃描平均 CPU 載入因數 | 50 |
請參閱本文的 掃描和CPU節流 一節。 |
注意事項
- 如果開啟即時保護,檔案會在存取和執行之前進行掃描。 不論檔案位於何處,都會進行掃描 (請參閱設定 Microsoft Defender 防病毒軟體) 的掃描選項 。
- 實際 CPU 使用量可能會因 CPU 核心數目、I/O 效能、記憶體壓力等而有所不同。 限制 CPU 使用量可能會導致完整掃描需要較長的時間才能完成,因此客戶應該根據在其特定環境中取得的實際 CPU 使用量值來微調此值。
完整掃描效能優化設定和參數
裝置效能是安全性事件處理速率以及檔案、網路和掃描活動速度的重要因素。 較高的事件處理速率等於對AV掃描器的較高效能影響。 不同的防病毒軟體設定可能會影響效能和保護。 您可以設定一些設定和參數來調整 Microsoft Defender 防病毒軟體的效能。
若要設定 Microsoft Defender 防病毒軟體的掃描選項,您可以使用各種工具 (請參閱設定 Microsoft Defender 防病毒軟體) 的掃描選項 。 以下是一些可用的設定和參數,可用來設定 Microsoft Defender 防病毒軟體完整掃描:
| 設定 | 預設 | PowerShell/WMI 參數和詳細數據 |
|---|---|---|
| 封存/容器 (例如 ISO) 掃描 | Enabled |
Microsoft Defender 防病毒軟體已優化,可將單一對象的掃描時間降至最低。 容器可能包含許多物件,而且掃描它們可能需要比預期更多的時間,因為擷取容器中的專案會產生額外負荷。 |
| 封存盤案 | Scanned |
DisableArchiveScanning開啟 DisableArchiveScanning 會從防病毒軟體掃描排除下列封存類型:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z 如需詳細資訊, 請參閱 DisableArchiveScanning |
| 要掃描之封存資料夾內的子資料夾層級 | 0 |
0 表示無限制。 |
| 掃描的封存大小上限 | 0 |
0 表示無限制。 |
| 對應的網路驅動器機 | Scanned |
DisableScanningMappedNetworkDrivesForFullScan請參閱 DisableScanningMappedNetworkDrivesForFullScan |
| 網路檔案 | Scanned |
DisableScanningNetworkFiles |
| 掃描期間的 CPU 負載上限 % | 50 |
ScanAvgCPULoadFactor請參閱本文的 掃描和CPU節流 一節。 |
| 停用閑置掃描的CPU節流 | Unthrottled |
DisableCpuThrottleOnIdleScans請參閱本文的 掃描和CPU節流 一節。 |
| 掃描前籤章檢查 | Disabled |
CheckForSignaturesBeforeRunningScanMicrosoft Defender 防病毒軟體會定期檢查簽章更新,並自動執行排程掃描。 根據預設,掃描會從現有的定義開始。 此設定僅適用於排程掃描。 |
| 完整掃描期間的卸載式磁碟驅動器 | Scanned |
DisableRemovableDriveScanning指出是否要在完整掃描期間掃描抽取式磁碟驅動器,例如快閃磁碟驅動器。 |
| 電子郵件 | Scanned |
DisableEmailScanning指出 Windows Defender 是否根據其特定格式剖析信箱和郵件檔案,以分析郵件本文和附件。 |
| 指令碼 | Scanned |
DisableScriptScanning指定是否停用文稿檔案的掃描。 |
最佳做法和考慮
以下是 Microsoft 的建議:
完整掃描
在您啟用或安裝 Microsoft Defender 防病毒軟體之後執行一次完整掃描,對於掃描系統以偵測現有威脅非常有用。
建議您根據裝置類型和角色設定掃描原則,例如 SQL Server 集合、IIS 伺服器集合、限制工作站集合、標準工作站集合。
避免在檔案伺服器角色中使用域控制器。 這可降低檔案共用上的防病毒軟體掃描活動,並將效能額外負荷降到最低。
Microsoft Defender 防病毒軟體具有檔案哈希計算功能,可計算先前未計算過的每個可執行檔的檔案哈希。 這會產生效能成本,特別是在從網路共享複製大型檔案時。 若要深入瞭解對指標的影響,請參閱設定 檔案哈希計算 。
完整的掃描效能可能會受到 CPU 節流的影響。 我們的建議是將 CPU 限制設定保留為預設值。
注意事項
- 根據設計,Microsoft Defender 防病毒軟體會檢查內部內容類型,因為擴展名通常會產生誤導,而且很容易遭到攻擊者詐騙。
- 掃描效能高度取決於正在掃描的實際內容類型。 一般而言,更複雜的檔類型需要更多時間和週期,而更不尋常的內容類型則需要更多時間 (例如 JavaScript 檔案) 。
- Microsoft Defender 防病毒軟體的效能分析器工具可協助判斷在防病毒軟體掃描期間,可能會造成個別端點效能問題的檔案、擴展名和程式。 如果您正在執行 Microsoft Defender 防病毒軟體並遇到效能問題,您可以使用效能分析器來優化效能 (請參閱 適用於 Microsoft Defender 防病毒軟體 的效能分析器) 。
- Microsoft Defender 防病毒軟體的信任映像標識碼可協助改善裝置的效能。 請 參閱設定 Microsoft Defender 的信任映像標識碼。
掃描和CPU節流
CPU 使用量限制也稱為CPU節流設定,可用來設定 Microsoft Defender 隨選掃描的最大 CPU 使用量。 默認會啟用 CPU 節流設定,而且只會套用至排程掃描,也可以選擇性地套用至自訂掃描。 建議您微調此設定, (ScanAverageCPULoadFactor 視您特定環境中取得的實際 CPU 使用量值而定,查看 Set-MpPreference (Defender) ) 中的設定。
Microsoft Defender 防病毒軟體的 CPU 載入因數不是硬性限制,而是掃描引擎不超過此上限的指引。 針對此掃描原則設定,您可以將值指定為掃描期間的最大 CPU 使用率百分比。 值 0 或 100 表示沒有節流。 例如,如果此值縮減為 20,表示掃描引擎的目標是在掃描期間將系統的平均 CPU 負載保持在低於 20%,而且需要較長的時間才能完成。
如果您將百分比值設定為 0 或 100,則會停用 CPU 節流,而 Windows Defender 在排程和自定義掃描期間最多可以使用 100% 的 CPU。 不建議這麼做,因為這可能會導致應用程式沒有回應,甚至過熱,因此請特別小心地繼續進行。
變更值具有優點和缺點。 較高的值表示掃描的執行速度更快;不過,掃描期間您的系統速度可能會變慢,而較低的值表示掃描需要較長的時間才能完成,但您在掃描期間有更多 CPU 資源可供系統使用。 例如,如果您在伺服器上執行重要工作負載,此設定應該設定為不會干擾工作負載運作的值。
手動掃描會忽略 CPU 節流設定,並在沒有任何 CPU 限制的情況下執行。 不過,有一個掃描原則設定 (請參閱
ThrottleForScheduledScanOnlySet-MpPreference (Defender 中的設定) ) 如果已停用,則手動掃描會遵守與排程掃描相同的 CPU 限制。閑置掃描上的 CPU 節流可控制在裝置閒置時,CPU 是否會針對排程掃描進行節流。 默認會停用此設定,以確保在裝置閑置時,CPU 不會針對排程掃描進行節流,而不論設定的 CPU 節流為何。 如需詳細資訊,請參閱
DisableCpuThrottleOnIdleScansSet-MpPreference (Defender) 中的設定。注意事項
掃描和排除
Microsoft Defender 防病毒軟體具有下列功能,可協助增強掃描效能和效率:
容器/封存可能需要很長的時間才能進行掃描,因為某些優化 (例如,在這些情況下不可能進行平行掃描) 。 我們建議盡可能擷取這些容器的內容,以允許完整掃描平行處理專案。
如果合規性需求允許此選項,則掃描可從掃描中排除容器的排除專案。
Microsoft Defender 防病毒軟體的效能分析器工具可用來判斷有助於優化效能的排除專案。 請參閱 Microsoft Defender 防毒軟體的效能分析器。
Microsoft Defender 防病毒軟體針對具有高度信譽的內容具有內建優化,例如,由受信任的來源) 簽署 (。 當它遇到這類內容時,只會從掃描內容轉移到驗證簽章,以確保檔案不會遭到竄改。
防病毒軟體排除建議
從掃描排除特定位置可以縮短掃描時間。 有兩種類型的排除:進程排除專案和檔案/資料夾排除。 只有檔案/資料夾排除專案適用於完整掃描。 應謹慎開發掃描排除專案,以減少掃描時間,同時將風險降至最低。
如果您的合規性需求不允許,請勿排除壓縮的檔案。
請勿排除惡意代碼常用的使用者設定檔暫存資料夾或系統暫存資料夾:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
在排除清單中使用環境變數做為通配符,僅限於系統變數。 新增 Microsoft Defender 防病毒軟體資料夾和進程排除專案時,請勿使用使用者範圍的環境變數。