Řešení potíží s výkonem souvisejících s ochranou v reálném čase
Platí pro:
- Microsoft Defender for Endpoint Plán 1 a 2
- Antivirová ochrana v Microsoft Defenderu
Platformy
- Windows
- Windows Server
Pokud má váš systém vysoké využití procesoru nebo problémy s výkonem související s Microsoft Defender Antivirus (spustitelný soubor antimalwarové služby, MsMpEng.exe, Microsoft Defender antivirus).
Jako správce můžete tyto problémy řešit i sami.
Nejprve můžete zkontrolovat, jestli problém nezpůsobuje jiný software. Přečtěte si téma Kontrola známých problémů s vyloučeními antivirového softwaru u dodavatele.
Běžné důvody vyššího využití procesoru službou Microsoft Defender Antivirus
| Důvod | Řešení |
|---|---|
1: Binární soubory nejsou podepsané (.exe, .dll, .ps1atd.)Kdykoli se spustí nebo spustí binární soubor (například .exe, .dll, .ps1atd.), pokud není digitálně podepsaný, Microsoft Defender Antivirus spustí kontrolu ochrany v reálném čase, plánovanou kontrolu nebo kontrolu na vyžádání. |
Všichni byste měli zvážit podepsání binárních souborů (podepisování kódu rozšířeného ověřování kódu (EV) nebo použití interní infrastruktury veřejných klíčů (PKI). A/nebo se s dodavatelem obtěžovat, aby mohl podepsat binární soubor (podepisování kódu EV). Doporučujeme, aby dodavatelé softwaru dodržovali různé pokyny v tématu Partnerství s odvětvím, aby minimalizovali falešně pozitivní výsledky. Dodavatel nebo vývojář softwaru může odeslat aplikaci, službu nebo skript na portálu Microsoft Bezpečnostní analýza. Jako alternativní řešení můžete postupovat takto: 1. (Preferované) Pro použití .exe a knihovny DLL Indikátory – hodnota hash souboru – allow nebo Indicators – Certifikát – povolit 2. (Alternativní) Přidání vyloučení antivirové ochrany (proces +cesta). |
| 2. Použití HTA, CHM a různých souborů jako databází. Kdykoli, když Microsoft Defender Antivirus musí extrahovat nebo kontrolovat složité formáty souborů, může dojít k vyššímu využití procesoru. |
Pokud potřebujete ukládat informace a dotazovat se na něj, zvažte přechod na skutečné databáze. Jako alternativní řešení přidejte vyloučení antivirové ochrany (proces+cesta). |
| 3. Použití obfuskací ve skriptech. Pokud obfuscate skripty, Microsoft Defender Antivirus, abyste zkontrolovali, jestli skript neobsahuje škodlivé datové části, může při prohledávání využívat více procesoru. |
Obfuskaci skriptu používejte pouze v případě potřeby. Jako alternativní řešení přidejte vyloučení antivirové ochrany (proces+cesta). |
| 4. Nenechá Microsoft Defender antivirovou mezipaměť dokončit před zapečetěním image. | Pokud vytváříte image VDI, například pro trvalou image, ujistěte se, že se před zapečetěním image dokončí údržba mezipaměti. Další informace najdete v tématu Konfigurace Microsoft Defender antivirové ochrany v prostředí infrastruktury vzdálené plochy nebo virtuálních klientských počítačů. |
| 5. Nesprávná vyloučení cest kvůli překlepu. Pokud přidáte chybně napsané cesty vyloučení, může to vést k problémům s výkonem. |
Slouží MpCmdRun.exe -CheckExclusion -Path k ověření vyloučení na základě cesty. |
| 6. Když je přidáno vyloučení cesty, funguje to pro kontrolu toků. Problémy s výkonem můžou stále způsobovat monitorování chování (BM) a kontrola sítě v reálném čase (NRI). |
Jako alternativní řešení proveďte tyto kroky: 1. (Preferované) Pro použití .exe a knihovny DLL Indikátory – hodnota hash souboru – allow nebo Indicators – Certifikát – povolit 2. (Alternativní) Přidání vyloučení antivirové ochrany (proces +cesta). |
| 7. Výpočet hodnoty hash souboru. Pokud povolíte výpočet hodnoty hash souboru, který se používá pro indikátory souborů, je vyšší režie na výkon. Například kopírování velkých souborů ze sdílené síťové složky do místního zařízení, zejména přes připojení VPN, může mít vliv na výkon zařízení. |
Tady se vy a váš vedoucí tým budete muset rozhodnout o větším zabezpečení nebo menším využití procesoru. Jedním z možných řešení je zakázat funkci výpočtu hodnoty hash souboru. Přejděte na Konfigurace> počítačeŠablony pro správu>Součásti systému> Windows Microsoft Defender Antivirus>MpEngine a povolte funkce výpočtu hodnoty hash souborů. |
Pomoc s určením, která komponenta může přispívat k vyššímu využití procesoru
| Součást | Řešení |
|---|---|
| Kontrola ochrany v reálném čase (RTP) | Režim řešení potíží můžete použít k vypnutí ochrany před falšováním. Po vypnutí ochrany před falšováním můžete ochranu v reálném čase dočasně vypnout, abyste ji vyloučili. Viz předchozí část Běžné důvody vyššího využití procesoru Microsoft Defender Antivirovou sadou. |
| Naplánovaná kontrola | Zkontrolujte výchozí nastavení naplánované kontroly. Obecné nastavení naplánované kontroly. – Nakonfigurujte nízkou prioritu procesoru pro plánované kontroly (pro plánované kontroly použijte nízkou prioritu procesoru). Priorita vlákna pro normální kontroly ve Windows má dvě hodnoty: 8 (nižší) a 9 (vyšší). Když tuto hodnotu nastavíte na enabled, snížíte prioritu naplánovaného vlákna kontroly z 9 na 8, což umožní spouštění dalších vláken aplikací s vyšší prioritou, čímž se získá více času procesoru než Microsoft Defender Antivirová ochrana. – Zadejte maximální procento využití procesoru během kontroly (limit využití procesoru na kontrolu). 50 je výchozí nastavení; můžete ho snížit na 20 nebo 30. Pokud máte okno řízení změn, změnou množství procesoru, které lze použít, způsobí, že kontrola bude trvat déle. - Naplánovanou kontrolu spusťte pouze v případech, kdy je počítač zapnutý, ale nepoužívá se, a to nastavením ScanOnlyIfIdle na Not configured (ve výchozím nastavení je povolená). Vyžaduje, aby byl počítač nečinný, což znamená, že celkové využití procesoru zařízení musí být nižší než 80 %. Nastavení denní rychlé kontroly - Nastavte Specify the interval to run quick scans per day na Not configured (Kolik hodin uplynulo, než se spustí další rychlá kontrola – 0 až 24 hodin)- Nastavte Specify the time for a daily quick scan (Run daily quick scan at) na 12 PM. Spuštění týdenní naplánované kontroly (rychlé nebo úplné) nastavení – Zadejte typ kontroly, který se má použít pro naplánovanou kontrolu (nastaveno Scan type na Not configuredhodnotu ). – Zadejte denní dobu spuštění naplánované kontroly (nastavte Day of week to run scheduled scan na Not configured). – Zadejte den v týdnu pro spuštění naplánované kontroly (nastavte Time of day to run a scheduled scan na Not configured). |
| Kontrola po aktualizaci bezpečnostních informací | Ve výchozím nastavení Microsoft Defender Antivirus kontroluje po aktualizaci bezpečnostních informací za účelem optimální ochrany. Pokud jsou naplánované kontroly povolené, můžete si myslet, že existují kontroly, které se spouští mimo plán. Tady se vy a váš vedoucí tým budete muset rozhodnout o větším zabezpečení nebo menším využití procesoru. Jako alternativní řešení přejděte v Zásady skupiny (nebo jiném nástroji pro správu, například MDM), na Konfigurace počítače>Šablony> pro správu Microsoft Defender Antivirus>Security Intelligence Aktualizace a nastavte Zapnout kontrolu po aktualizaci bezpečnostních funkcí na Disabled. |
| Konflikty s jiným bezpečnostním softwarem | Pokud máte jiný software zabezpečení než Microsoft, jako je antivirový software, EDR, ochrana před únikem informací, správa oprávnění koncového bodu, SÍŤ VPN atd., přidejte tento software do vyloučení Microsoft Defender Antivirové ochrany (cesta + procesy) a naopak. Seznam binárních souborů Microsoft Defender Antivirus najdete v tématu Konfigurace síťového prostředí pro zajištění připojení ke službě Defender for Endpoint. |
| Kontrola velkého počtu souborů nebo složek | Pokud máte ve svém profilu uživatele velký soubor, například .iso, .vhdx atd., a tento profil se přesměrovává do sdílených síťových složek, jako jsou offline soubory (CSC) nebo OneDrive (nebo podobné produkty), může trvat déle. Je to proto, že prohledáte síť, kde je větší latence v porovnání se soubory uloženými místně na zařízení. Pokud nepotřebujete .iso/.vhd/.vhdx atd... přesuňte ho do jiné složky, kde není ve sdílené síťové složce (namapovaná jednotka, sdílená složka unc, sdílená složka smb). |
Co spouští a způsobuje vyšší využití procesoru v Microsoft Defender Antivirus
Po dokončení kroků proa\ctive můžete zjistit, co spouští a způsobuje vyšší využití procesoru:
| # | Nástroje, které vám pomůžou zúžit, co spouští vysoké využití procesoru | Komentáře |
|---|---|---|
| 1 | Shromažďování diagnostických dat antivirové ochrany Microsoft Defender | Microsoft Defender diagnostická data antivirové ochrany, která chcete zahrnout při každém řešení potíží s Microsoft Defender Antivirovou sadou. |
| 2 | Analyzátor výkonu pro Microsoft Defender Antivirus | Informace o problémech souvisejících s výkonem související s Microsoft Defender Antivirovou sadou najdete v tématu Analyzátor výkonu pro Microsoft Defender Antivirus. To vám umožní spustit shromažďování dat a parsovat data tam, kde jsou snadno pochopitelná. Poznámka: Při shromažďování těchto dat se ujistěte, že se problém reprodukuje. |
| 3 | Řešení potíží s výkonem Microsoft Defender antivirové ochrany pomocí sledování procesů | Pokud Microsoft Defender Antivirový analyzátor výkonu z nějakého důvodu neposkytuje podrobnosti, které potřebujete zúžit na to, co spouští vysoké využití procesoru, můžete použít monitorování procesů (ProcMon). Tip: Můžete shromažďovat po dobu 5 až 10 minut. Poznámka: Při shromažďování těchto dat se ujistěte, že se problém reprodukuje. |
| 4 | Řešení potíží s výkonem Microsoft Defender Antivirové ochrany s WPRUI | Pro pokročilejší řešení potíží můžete využít uživatelské rozhraní WPRUI (Windows Performance Recorder UI) nebo WPR (Windows Performance Recorder). Mějte na paměti, že vzhledem k podrobnostem tohoto trasování by mělo být omezeno na maximálně 3 až 5 minut. Ujistěte se, že při shromažďování těchto dat k problému aktivně dochází. |
Zjistěte u dodavatele známé problémy s antivirovými produkty.
Pokud můžete snadno identifikovat software, který má vliv na výkon systému, přejděte na znalostní báze nebo centrum podpory dodavatele softwaru. Zkontrolujte, jestli nejsou známé problémy s antivirovými produkty. V případě potřeby s nimi můžete otevřít lístek podpory a požádat je, aby ho publikovali.
Doporučujeme, aby dodavatelé softwaru dodržovali různé pokyny v tématu Partnerství s odvětvím, aby minimalizovali falešně pozitivní výsledky. Dodavatel může svůj software odeslat prostřednictvím portálu Microsoft Bezpečnostní analýza.
Co když problém přetrvává?
Můžete odeslat lístek podpory Microsoftu.
Postupujte podle pokynů v tématu Shromažďování diagnostických dat Microsoft Defender antivirové ochrany.
Viz také
- Shromažďování diagnostických dat antivirové ochrany Microsoft Defender
- Konfigurace a ověření vyloučení pro kontroly antivirové ochrany Microsoft Defender
- Analyzátor výkonu pro Microsoft Defender Antivirus
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.