Overvejelser og bedste praksis for fuld scanning i Microsoft Defender Antivirus
Gælder for:
- Microsoft Defender for Endpoint Plan 1 og 2
- Microsoft Defender Antivirus
Platforme
- Windows
I denne artikel forklares overvejelserne og bedste praksis for kørsel af komplette antivirusscanninger med Microsoft Defender for Endpoint. I denne artikel beskrives faktorer, der påvirker scanningens ydeevne, og beskriver scenarier, hvor øget ressourceforbrug resulterer i øget beskyttelse.
Oversigt
Beskyttelse i realtid i Defender for Endpoint er en funktion, der løbende scanner computeren for at hjælpe med at registrere og stoppe malwareinfektioner i realtid. Den bruger heuristiske og adfærdsbaserede registreringsmetoder til at overvåge aktiviteten på din enhed og beskytte mod trusler, efterhånden som de opstår. Vores anbefaling til planlagte scanninger er at konfigurere hurtig scanning sammen med altid aktiveret beskyttelse i realtid og cloudbeskyttelse, da denne kombination giver stærk dækning mod malware, der starter med systemet og malware på kerneniveau. Denne konfiguration er standardkonfigurationen. Generelt er det ikke nødvendigt at planlægge en fuld scanning, og de fleste brugere behøver aldrig at køre fuld scanning manuelt (se Sammenligning af hurtig scanning, fuld scanning og brugerdefineret scanning).
Det kan dog være nødvendigt at køre komplette scanninger for at opfylde organisationens specifikke krav. En fuld scanning starter med en hurtig scanning og fortsætter derefter med en sekventiel filscanning af alle de faste og flytbare netværksdrev, der er tilsluttet. En fuld scanning kan vare fra flere timer til flere dage, afhængigt af indholdsmængden, typen af indhold og de ressourcer, som Microsoft Defender har fået tildelt til at udføre scanningen (se Planlæg regelmæssige hurtige og komplette scanninger med Microsoft Defender Antivirus). Scanningsydeevnen er ikke kun en funktion af filstørrelsen og bestemmes for det meste af indholdets type og kompleksitet.
Effektivitets- og ydeevnepåvirkning i forbindelse med beskyttelse
Beskyttelse og systemressourceforbrug medfører afvejninger. Enhedens ydeevne afhænger i høj grad af dit miljø. Det er naturligt, at kørsel af en fuld scanning på en enhed med masser af komplekst indhold vil føre til en øget tid til fuldførelse. I følgende tabel opsummeres scenarier, hvor vi har truffet beslutninger om at bruge flere systemressourcer til at øge effektiviteten af beskyttelse.
| Indstilling | Standard | Detaljer |
|---|---|---|
| Arkivering/objektbeholderscanning (f.eks. ISO'er) | Enabled |
Microsoft Defender Antivirus er optimeret til at minimere scanningstiden for et enkelt objekt. Objektbeholdere kan indeholde mange objekter, og det kan tage længere tid end forventet at scanne dem, fordi der er brug for at udtrække elementerne i objektbeholderen. |
| Maksimal størrelse på arkivscanning | Unlimited |
|
| Tilknyttet netværk (f.eks. UNC, SMB, CIFS) | Enabled |
Som standard scanner Microsoft Defender Antivirus tilknyttede netværksdrev. |
| Synkronisering af OneDrive | Enabled |
Som standard scanner Microsoft Defender Antivirus skriveborde, dokumenter eller downloads, der synkroniseres via OneDrive eller mappesynkronisering. |
| Cache-/offlinefiler på klientsiden | Enabled |
Som standard scanner Defender cachen på klientsiden. |
| Scan gennemsnitlig CPU-belastningsfaktor | 50 |
Se afsnittet Scanning og CPU-begrænsning i denne artikel. |
Bemærk!
- Hvis beskyttelse i realtid er slået til, scannes filer, før de tilgås og udføres. Scanningen sker, uanset hvor filerne er placeret (se Konfigurer scanningsindstillinger for Microsoft Defender Antivirus).
- Det faktiske CPU-forbrug kan variere afhængigt af antallet af CPU-kerner, I/O-ydeevne, hukommelsesforbrug osv. Hvis du begrænser CPU-forbruget, kan det tage længere tid at fuldføre fuld scanning, så kunderne bør finjustere denne værdi afhængigt af de faktiske CPU-forbrugsværdier, der er hentet i deres specifikke miljø.
Indstillinger og parametre til optimering af ydeevnen for fuld scanning
Enhedens ydeevne er en vigtig faktor i hastigheden af behandling af sikkerhedshændelser og hastigheden af fil-, netværks- og scanningsaktiviteter. En højere behandlingshastighed for hændelser svarer til en højere påvirkning af ydeevnen med AV-scanneren. Forskellige konfigurationer af antivirusprogrammer kan påvirke ydeevnen og beskyttelsen. Der findes indstillinger og parametre, som du kan konfigurere for at justere ydeevnen for Microsoft Defender Antivirus.
Hvis du vil konfigurere scanningsindstillinger for Microsoft Defender Antivirus, kan du bruge forskellige værktøjer (se Konfigurer scanningsindstillinger for Microsoft Defender Antivirus). Her er nogle af de tilgængelige indstillinger og parametre, som du kan bruge til at konfigurere komplette scanninger i Microsoft Defender Antivirus:
| Indstilling | Standard | PowerShell/WMI-parameter og detaljer |
|---|---|---|
| Arkivering/objektbeholderscanning (f.eks. ISO'er) | Enabled |
Microsoft Defender Antivirus er optimeret til at minimere scanningstiden for et enkelt objekt. Objektbeholdere kan indeholde mange objekter, og det kan tage længere tid end forventet at scanne dem, fordi der er brug for at udtrække elementerne i objektbeholderen. |
| Arkivér filer | Scanned |
DisableArchiveScanningNår du slår DisableArchiveScanning følgende arkivtyper til, udelukkes de fra antivirusscanninger:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z Du kan finde flere oplysninger under DisableArchiveScanning |
| Niveau af undermapper i en arkivmappe, der skal scannes | 0 |
0 betyder ubegrænset. |
| Maksimal størrelse på arkiv til scanning | 0 |
0 betyder ubegrænset. |
| Tilknyttede netværksdrev | Scanned |
DisableScanningMappedNetworkDrivesForFullScanSe DisableScanningMappedNetworkDrivesForFullScan |
| Netværksfiler | Scanned |
DisableScanningNetworkFiles |
| Maks. CPU-belastning i % under scanning | 50 |
ScanAvgCPULoadFactorSe afsnittet Scanning og CPU-begrænsning i denne artikel. |
| Deaktiver CPU-throttle ved inaktive scanninger | Unthrottled |
DisableCpuThrottleOnIdleScansSe afsnittet Scanning og CPU-begrænsning i denne artikel. |
| Signaturkontroller før scanning | Disabled |
CheckForSignaturesBeforeRunningScanMicrosoft Defender Antivirus søger jævnligt efter signaturopdateringer og udfører automatisk planlagte scanninger. Scanningen begynder som standard med eksisterende definitioner. Denne indstilling gælder kun for planlagte scanninger. |
| Flytbare drev under komplette scanninger | Scanned |
DisableRemovableDriveScanningAngiver, om flytbare drev, f.eks. flashdrev, skal scannes under en fuld scanning. |
Scanned |
DisableEmailScanningAngiver, om Windows Defender fortolker postkasse- og postfilerne i henhold til deres specifikke format for at analysere mailbrødkroppe og vedhæftede filer. |
|
| Script | Scanned |
DisableScriptScanningAngiver, om scanning af scriptfiler skal deaktiveres. |
Bedste fremgangsmåder og overvejelser
Følgende er Microsofts anbefalinger:
Komplette scanninger
Det kan være nyttigt at køre en fuld scanning én gang, når du har aktiveret eller installeret Microsoft Defender Antivirus, for at scanne systemer for at registrere eksisterende trusler.
Vi anbefaler, at du konfigurerer scanningspolitikker baseret på enhedstype og rolle, f.eks. SQL Server Collection, IIS Server Collection, Restricted Workstation Collection, Standard Workstation Collection.
Undgå at bruge domænecontrollere i en filserverrolle. Dette reducerer scanningsaktiviteterne for antivirus på filshares og minimerer ydeevnen.
Microsoft Defender Antivirus har funktionen til beregning af filhash, der beregner filhash for hver eksekverbar fil, der scannes, hvis den ikke tidligere blev beregnet. Dette har en ydeevneomkostning, især når du kopierer store filer fra et netværksshare. Se Konfigurer beregning af filhash for at få mere at vide om indvirkningen på indikatorer.
Den fulde scanningsydeevne kan blive påvirket af CPU-begrænsning. Vores anbefaling er at lade indstillinger for CPU-grænser være som standard.
Bemærk!
- Microsoft Defender Antivirus undersøger tilsigtet den interne indholdstype, da filtypenavne ofte er vildledende og nemt kan forfalskes af hackere.
- Scanningsydeevnen afhænger meget af den faktiske indholdstype, der scannes. Mere komplekse filtyper kræver generelt mere tid og cyklus, mens mere usædvanlige indholdstyper kræver endnu mere tid (f.eks. JavaScript-filer).
- Værktøjet til effektivitetsanalyse til Microsoft Defender Antivirus hjælper med at bestemme filer, filtypenavne og processer, der kan forårsage problemer med ydeevnen på individuelle slutpunkter under antivirusscanninger. Hvis du kører Microsoft Defender Antivirus og oplever problemer med ydeevnen, kan du bruge Effektivitetsanalyse til at optimere ydeevnen (se Effektivitetsanalyse for Microsoft Defender Antivirus).
- Et billed-id, der er tillid til, til Microsoft Defender Antivirus kan hjælpe med at forbedre dine enheders ydeevne. Se Konfigurer et billed-id, der er tillid til, for Microsoft Defender.
Scanning og CPU-begrænsning
Indstillingen cpu-forbrugsgrænse, også kendt som CPU-begrænsning, bruges til at angive det maksimale CPU-forbrug for Microsoft Defender-scanninger efter behov. Indstillingen for CPU-begrænsning er aktiveret som standard og gælder kun for planlagte scanninger og eventuelt også for brugerdefinerede scanninger. Det anbefales, at du finjusterer denne indstilling (se ScanAverageCPULoadFactor indstillingen i Set-MpPreference (Defender)), afhængigt af de faktiske CPU-forbrugsværdier, der er hentet i dit specifikke miljø.
CPU-belastningsfaktoren for Microsoft Defender Antivirus er ikke en hård grænse, men snarere en vejledning til scanningsprogrammet om ikke at overskride denne maksimumværdi. For denne politikindstilling for scanning kan du angive en værdi som en procentdel af den maksimale CPU-udnyttelse under scanningen. Værdien 0 eller 100 angiver, at der ikke er nogen begrænsning. Hvis denne værdi f.eks. reduceres til 20, indebærer det, at scanningsprogrammet har til formål at holde systemets gennemsnitlige CPU-belastning under 20 % under scanningen, og det tager længere tid at fuldføre den.
Hvis du angiver procentværdien til 0 eller 100, deaktiveres CPU-begrænsning, og Windows Defender kan bruge op til 100 % af CPU'en under de planlagte og brugerdefinerede scanninger. Dette anbefales ikke, da det kan føre til, at apps, der ikke svarer, og endda overophedning, så fortsæt med ekstrem forsigtighed.
Ændring af værdien har både fordele og ulemper. Højere værdier betyder, at scanningerne udføres hurtigere. Det kan dog gøre systemet langsommere under scanningen, mens lavere værdier betyder, at scanningen tager længere tid at afslutte, men du har flere TILGÆNGELIGE CPU-ressourcer til dit system under scanningen. Hvis du f.eks. kører kritiske arbejdsbelastninger på en server, skal denne indstilling angives til en værdi, der ikke forstyrrer arbejdsbelastningernes funktion.
Manuelle scanninger ignorerer indstillingen for CPU-begrænsning og kører uden NOGEN CPU-grænser. Der er dog en politikindstilling for scanning (se
ThrottleForScheduledScanOnlyindstillingen i Set-MpPreference (Defender)), at hvis den er deaktiveret, overholder manuelle scanninger de samme CPU-grænser som en planlagt scanning.CPU-begrænsning ved inaktive scanninger styrer, om CPU'en er begrænset til planlagte scanninger, mens enheden er inaktiv. Denne indstilling er som standard deaktiveret for at sikre, at CPU'en ikke begrænses for planlagte scanninger, når enheden er inaktiv, uanset hvilken CPU-begrænsning der er angivet til. Du kan få flere oplysninger under
DisableCpuThrottleOnIdleScansindstillingen i Set-MpPreference (Defender).Bemærk!
Se de inaktive tilstandskriterier i Betingelser for inaktivitet for opgaver – Win32-apps.
Scanning og udeladelser
Microsoft Defender Antivirus har følgende funktioner, der hjælper med at forbedre scanningens ydeevne og effektivitet:
Det kan tage lang tid at scanne objektbeholdere/arkiver, da visse optimeringer (f.eks. parallelle scanninger) ikke er mulige i disse situationer. Når det er muligt, anbefaler vi, at du udtrækker indholdet af disse objektbeholdere, så hele scanningen kan behandle elementer parallelt.
Scan udeladelser, hvor du kan udelade objektbeholdere fra scanning, hvis denne indstilling er tilladt i henhold til dine krav til overholdelse af angivne standarder.
Værktøjet til effektivitetsanalyse til Microsoft Defender Antivirus kan bruges til at fastslå undtagelser, der hjælper med at optimere ydeevnen. Se Effektivitetsanalyse til Microsoft Defender Antivirus.
Microsoft Defender Antivirus har en indbygget optimering af indhold, der er velanset (f.eks. signeret af pålidelige kilder). Når der opstår et sådant indhold, skifter det ganske enkelt fra at scanne indholdet til at validere signaturen for at sikre, at filen ikke blev ændret.
Anbefalinger til antivirusudeladelser
Hvis du udelader visse placeringer fra scanning, kan scanningstiden blive kortere. Der er to typer udeladelser: procesudeladelser og filer/mappeudeladelser. Det er kun fil-/mappeudeladelser, der gælder for fuld scanning. Scanningsudeladelser skal udvikles omhyggeligt for at reducere scanningstiden, samtidig med at risikoen minimeres.
Udelad ikke komprimerede filer, hvis det ikke er tilladt af dine krav til overholdelse af angivne standarder.
Udelad ikke mappen Brugerprofil temp eller system temp, der ofte bruges af malware:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
Brugen af miljøvariabler som jokertegn på udeladelseslister er begrænset til kun systemvariabler. Brug ikke brugerdefinerede miljøvariabler, når du tilføjer Microsoft Defender Antivirus-mappe og procesudeladelser.