Fejlfinding af problemer med ydeevnen i forbindelse med beskyttelse i realtid
Gælder for:
- Microsoft Defender for Endpoint plan 1 og 2
- Microsoft Defender Antivirus
Platforme
- Windows
- Windows Server
Hvis dit system har et højt CPU-forbrug eller ydeevneproblemer, der er relateret til Microsoft Defender Antivirus (Eksekverbar antimalwaretjeneste, MsMpEng.exe, Microsoft Defender Antivirus).
Som administrator kan du også selv foretage fejlfinding af disse problemer.
Først kan det være en god idé at kontrollere, om anden software er årsag til problemet. Læs Kontakt forhandleren for at få oplysninger om kendte problemer med antivirusudeladelser.
Almindelige årsager til højere CPU-udnyttelse af Microsoft Defender Antivirus
| Årsag | Opløsning |
|---|---|
1. Binære filer, der ikke er signeret (.exe, .dllosv.)Hver gang en binær fil (f.eks. , .dll osv..exe) startes/startes, hvis den ikke er digitalt signeret, starter Microsoft Defender Antivirus en scanning i realtid, eller når du kører en planlagt scanning og/eller on-demand-scanning. |
Du bør overveje at signere de binære filer ved hjælp af en intern PKI. Og/eller kontakte leverandøren, så vedkommende kan signere den binære fil. Og tilføjelse af certifikatet til Indikatorer – Certifikat - tillad Vi anbefaler, at softwareleverandører følger de forskellige retningslinjer i Partnering med branchen for at minimere falske positiver. Softwareleverandøren eller softwareudvikleren kan indsende programmet, tjenesten eller scriptet på Microsoft Sikkerhedsviden-portalen. Som en løsning kan du følge disse trin: 1. (Foretrukket) Til brug af indikatorer for .exe og dll'er – filhash – tillad 2. (Alternativt) Tilføj antivirusudeladelser (proces+sti). |
| 2. Brug af MTV'er, CHM'er og forskellige filer som databaser. Når Microsoft Defender Antivirus skal udtrække og/eller scanne komplekse filformater, kan der forekomme en højere CPU-udnyttelse. |
Overvej at skifte til at bruge faktiske databaser, hvis du har brug for at gemme oplysninger og forespørge på dem. Du kan løse problemet ved at tilføje antivirusudeladelser (proces+sti).. |
| 3. Brug af tilsløring på scripts. Hvis du tilslør scripts, Microsoft Defender Antivirus for at kontrollere, om scriptet indeholder skadelige nyttedata, kan det bruge mere CPU-udnyttelse under scanning. |
Brug kun til obfuscation af scripts, når det er nødvendigt. Du kan løse problemet ved at tilføje antivirusudeladelser (proces+sti).. |
| 4. Lad ikke Microsoft Defender Antivirus cachen slutte, før forsegling billedet. | Hvis du opretter et VDI-billede, f.eks. til et ikke-vedvarende billede, skal du sørge for, at vedligeholdelsen af cachen fuldføres, før billedet forsegles. Du kan få flere oplysninger under Konfigurer Microsoft Defender Antivirus på et fjernskrivebord eller et virtuelt skrivebordsinfrastrukturmiljø. |
| 5. At have den eller de forkerte stier pga. stavefejl. Hvis du tilføjer forkert stavede udeladelsesstier, kan det medføre problemer med ydeevnen. |
Bruges MpCmdRun.exe -CheckExclusion -Path til at validere stibaserede udeladelser. |
| 6. Når der tilføjes en udeladelse af en sti, fungerer den til scanning af flow. BM (Behavior Monitoring) og NRI (Network Real-time Inspection) kan stadig medføre problemer med ydeevnen. |
Du kan løse problemet ved at benytte følgende fremgangsmåde: 1. (Foretrukket) Til brug af indikatorer for .exe og DLL'er – filhash – tillad eller indikatorer – Certifikat – tillad 2. (Alternativt) Tilføj antivirusudeladelser (proces+sti). |
| 7. Beregning af filhash. Hvis du aktiverer beregning af filhash, som bruges til filindikatorer, er der større ydeevne. Hvis du f.eks. kopierer store filer fra et netværksshare til din lokale enhed, især via en VPN-forbindelse, kan det påvirke enhedens ydeevne. |
Det er her, du og dit ledelsesteam skal træffe en beslutning om at have mere sikkerhed eller mindre CPU-udnyttelse. En mulig løsning er at deaktivere funktionen Filhash-beregning. Gå til Computerkonfiguration>Administrative skabeloner>Windows-komponenter>Microsoft Defender Antivirus>MpEngine, og aktivér derefter funktionerne til beregning af filhash. Bemærk! Hvis du vil aktivere indikatorer – filhashfunktionalitet, skal denne funktion aktiveres. |
Som en hjælp til at finde ud af, hvilken komponent der kan bidrage til højere CPU-udnyttelse
| Komponent | Opløsning |
|---|---|
| Scanning i realtid (RTP) | Du kan bruge fejlfindingstilstand til at slå Tamper Protection fra. Når Tamper Protection er slået fra, kan du midlertidigt deaktivere "beskyttelse i realtid" for at udelukke det. Se forrige afsnit Almindelige årsager til højere CPU-udnyttelse af Microsoft Defender Antivirus. |
| Planlagt scanning | Kontrollér dine standardindstillinger for planlagt scanning Generelle indstillinger for planlagt scanning. – Konfigurer lav CPU-prioritet for planlagte scanninger (Brug lav CPU-prioritet ved planlagte scanninger). Trådprioriteten i Windows til normale scanninger har to værdier: 8 (lavere) og 9 (højere). Ved at angive dette til enabledsænker du prioriteten for den planlagte scanningstråd fra 9 til 8, hvilket gør det muligt for andre programtråde at køre med en højere prioritet og dermed få mere CPU-tid end Microsoft Defender Antivirus. – Angiv den maksimale procentdel af CPU-forbruget under en scanning (grænse for CPU-forbrug pr. scanning). 50 er standardindstillingen. du kan sænke den til 20 eller 30. Hvis du har et ændringskontrolvindue ved at ændre den mængde CPU, der kan bruges, tager scanningen længere tid. – Start kun den planlagte scanning, når computeren er tændt, men ikke er i brug, ved at angive ScanOnlyIfIdle til Not configured (den er aktiveret som standard). Det kræver, at computeren er inaktiv, hvilket betyder, at den samlede CPU-forbrug for enheden skal være mindre end 80 %. Indstillinger for daglig hurtig scanning – Indstillet Specify the interval to run quick scans per day til Not configured (hvor mange timer der er gået, før den næste hurtige scanning kører – 0 til 24 timer)- Angiv Specify the time for a daily quick scan (Run daily quick scan at) som 12 PM. Kør en ugentlig planlagt scanning (hurtig eller fuld) – Angiv den scanningstype, der skal bruges til en planlagt scanning (Indstillet Scan type til Not configured). – Angiv det tidspunkt på dagen, hvor en planlagt scanning skal køres (Angivet Day of week to run scheduled scan til Not configured). – Angiv den ugedag, hvor en planlagt scanning skal køres (Indstillet Time of day to run a scheduled scan til Not configured). |
| Scan efter en sikkerhedsintelligensopdatering. | Som standard scanner Microsoft Defender Antivirus efter en sikkerhedsintelligensopdatering for at opnå optimal beskyttelse. Hvis planlagte scanninger er aktiveret, tror du måske, at der er scanninger, der kører uden for tidsplanen. Det er her, du og dit ledelsesteam skal træffe en beslutning om at have mere sikkerhed eller mindre CPU-udnyttelse. I Gruppepolitik (eller et andet administrationsværktøj, f.eks. MDM) kan du løse problemet ved at gå til Computerkonfiguration>Administrative skabeloner>Microsoft Defender Antivirus>Security Intelligence-Opdateringer og indstille Slå scanning efter sikkerhedsintelligensopdatering til Disabled. |
| Konflikter med anden sikkerhedssoftware | Hvis du har sikkerhedssoftware, der ikke er fra Microsoft, f.eks. antivirus, EDR, DLP, administration af slutpunktsrettigheder, VPN osv., skal du føje den pågældende software til Microsoft Defender Antivirus-udelukkelser (sti + processer) og omvendt. Hvis du vil hente listen over de binære Microsoft Defender Antivirus, skal du se Konfigurer dit netværksmiljø for at sikre, at der er forbindelse til Defender for Endpoint-tjenesten. |
| Scanning af et stort antal filer eller mapper | Hvis du har en stor fil, f.eks. et .iso, .vhdx osv., der sidder i din brugerprofil (desktop, downloads, dokumenter osv.), og denne profil omdirigeres til netværksshares, f.eks. Offlinefiler (CSC) eller OneDrive (eller lignende produkter), kan scanninger tage længere tid at køre. Det skyldes, at du scanner et netværk, hvor der er mere ventetid sammenlignet med filer, der er gemt lokalt på en enhed. Hvis du ikke har brug for .iso/.vhd/.vhdx osv., der sidder på din profil, skal du flytte den til en anden mappe, hvor den ikke sidder på et netværksshare (tilknyttet drev, unc-deling, smb-deling). |
Hvad udløser og forårsager højere CPU-udnyttelse i Microsoft Defender Antivirus
Når de proa\ctive trin er fuldført, kan du identificere, hvad der udløses og forårsager den højere CPU-udnyttelse:
| # | Værktøjer, der hjælper med at indsnævre det, der udløser den høje CPU-udnyttelse | Kommentarer |
|---|---|---|
| 1 | Indsaml Microsoft Defender antivirusdiagnosticeringsdata | Microsoft Defender Antivirus diagnosticeringsdata, som du vil medtage, når du foretager fejlfinding af et problem med Microsoft Defender Antivirus. |
| 2 | Effektivitetsanalyse for Microsoft Defender Antivirus | Hvis du vil have mere at vide om ydeevnespecifikke problemer, der er relateret til Microsoft Defender Antivirus, skal du se Effektivitetsanalyse for Microsoft Defender Antivirus. Det giver dig mulighed for at køre dataindsamlingen og fortolke dataene, hvor det er nemt at forstå. Bemærk! Sørg for, at problemet gengives, når du indsamler disse data. |
| 3 | Foretag fejlfinding af problemer med ydeevnen Microsoft Defender Antivirus med Procesovervågning | Hvis effektivitetsanalysen for Microsoft Defender Antivirus af en eller anden grund ikke indeholder de oplysninger, du skal bruge for at indsnævre, hvad der udløser den høje CPU-udnyttelse, kan du bruge Procesovervågning (ProcMon). Tip! Du kan indsamle i 5-10 minutter. Bemærk! Sørg for, at problemet gengives, når du indsamler disse data. |
| 4 | Foretag fejlfinding af problemer med ydeevnen for Microsoft Defender Antivirus med WPRUI | Hvis du vil foretage mere avanceret fejlfinding, kan du bruge Windows Performance Recorder UI (WPRUI) eller Windows Performance Recorder (WPR). Vær opmærksom på, at på grund af denne sporings verbositet skal den begrænses til maksimalt 3 til 5 minutter. Sørg for, at problemet aktivt opstår, når du indsamler disse data. |
Kontakt forhandleren for at få oplysninger om kendte problemer med antivirusprodukter
Hvis du nemt kan identificere den software, der påvirker systemets ydeevne, skal du gå til softwareleverandørens videnbase eller supportcenter. Kontrollér, om der er kendte problemer med antivirusprodukter. Hvis det er nødvendigt, kan du åbne en supportanmodning sammen med dem og bede dem om at publicere en.
Vi anbefaler, at softwareleverandører følger de forskellige retningslinjer i Partnering med branchen for at minimere falske positiver. Leverandøren kan indsende sin software via Microsoft Sikkerhedsviden-portalen.
Hvad nu, hvis jeg stadig har et problem?
Du kan sende en billet til Microsoft Support.
Følg trinnene i Indsaml Microsoft Defender Antivirus diagnosticeringsdata.
Se også
- Indsaml Microsoft Defender antivirusdiagnosticeringsdata
- Konfigurer og valider udeladelser for Microsoft Defender Antivirus-scanninger
- Effektivitetsanalyse for Microsoft Defender Antivirus
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.