Behandlung von Leistungsproblemen im Zusammenhang mit Echtzeitschutz
Gilt für:
- Microsoft Defender for Endpoint Plan 1 und 2
- Microsoft Defender Antivirus
Plattformen
- Windows
- Windows Server
Wenn ihr System hohe CPU-Auslastung oder Leistungsprobleme im Zusammenhang mit dem Microsoft Defender Antivirus (ausführbare Antimalware Service Executable, MsMpEng.exe, Microsoft Defender Antivirus) aufweist.
Als Administrator können Sie diese Probleme auch selbst beheben.
Zunächst sollten Sie überprüfen, ob das Problem durch andere Software verursacht wird. Lesen Sie Informationen zu bekannten Problemen mit Antivirenausschlüssen unter Überprüfen beim Anbieter.
Häufige Gründe für eine höhere CPU-Auslastung durch Microsoft Defender Antivirus
| Grund | Lösung |
|---|---|
1. Nicht signierte Binärdateien (.exe, .dllusw.)Wenn eine Binärdatei (z .exe. B. ,.dll usw.) gestartet wird, wenn sie nicht digital signiert ist, startet Microsoft Defender Antivirus eine Echtzeit-Schutzüberprüfung oder wenn Sie eine geplante Überprüfung und/oder eine bedarfsgesteuerte Überprüfung ausführen. |
Sie sollten erwägen, die Binärdateien mit einer internen PKI zu signieren. Und/oder sich an den Anbieter zu melden, damit er die Binärdatei signieren kann. Hinzufügen des Zertifikats zu Indikatoren – Zertifikat – zulassen Es wird empfohlen, dass Softwareanbieter die verschiedenen Richtlinien in Partnerschaft mit der Branche befolgen, um falsch positive Ergebnisse zu minimieren. Der Softwarehersteller oder Softwareentwickler kann die Anwendung, den Dienst oder das Skript im Microsoft Security Intelligence-Portal übermitteln. Als Problembehandlung können Sie die folgenden Schritte ausführen: 1. (Bevorzugt) Für .exe und DLLs verwenden Indikatoren – Dateihash – zulassen 2. (Alternative) Hinzufügen von Antivirusausschlüssen (Prozess+Pfad). |
| 2. Verwendung von HTA, CHMs und verschiedenen Dateien als Datenbanken. Wenn Microsoft Defender Antivirus komplexe Dateiformate extrahieren und/oder scannen muss, kann eine höhere CPU-Auslastung auftreten. |
Erwägen Sie den Wechsel zu tatsächlichen Datenbanken, wenn Sie Informationen speichern und abfragen müssen. Fügen Sie als Problemumgehung Antivirenausschlüsse (Prozess+Pfad) hinzu. |
| 3. Verwenden von Obfuskationen für Skripts. Wenn Sie Skripts Microsoft Defender Antivirus verschleiern, um zu überprüfen, ob das Skript schädliche Nutzlasten enthält, kann es beim Scannen eine größere CPU-Auslastung verwenden. |
Verwenden Sie die Skriptverschleierung nur bei Bedarf. Fügen Sie als Problemumgehung Antivirenausschlüsse (Prozess+Pfad) hinzu. |
| 4. Lassen Sie den Microsoft Defender Antivirus-Cache vor dem Versiegeln des Images nicht beenden. | Wenn Sie ein VDI-Image wie für ein nicht persistentes Image erstellen, stellen Sie sicher, dass die Cachewartung abgeschlossen ist, bevor das Image versiegelt wird. Weitere Informationen finden Sie unter Konfigurieren Microsoft Defender Antivirus auf einer Remotedesktop- oder virtuellen Desktopinfrastrukturumgebung. |
| 5. Falsche Pfadausschlüsse aufgrund von Rechtschreibfehlern. Wenn Sie falsch geschriebene Ausschlusspfade hinzufügen, kann dies zu Leistungsproblemen führen. |
Verwenden Sie MpCmdRun.exe -CheckExclusion -Path , um pfadbasierte Ausschlüsse zu überprüfen. |
| 6. Wenn ein Pfadausschluss hinzugefügt wird, funktioniert er für Überprüfungsflows. Die Verhaltensüberwachung (Behavior Monitoring, BM) und die Netzwerk-Echtzeitüberprüfung (Network Real-Time Inspection, NRI) können weiterhin Leistungsprobleme verursachen. |
Führen Sie als Problemumgehung die folgenden Schritte aus: 1. (Bevorzugt) Für .exe und DLLs verwenden Sie Indikatoren – Dateihash – zulassen oder Indikatoren – Zertifikat – zulassen 2. (Alternative) Hinzufügen von Antivirusausschlüssen (Prozess+Pfad). |
| 7. Dateihashberechnung. Wenn Sie die Dateihashberechnung aktivieren, die für Dateiindikatoren verwendet wird, entsteht mehr Leistungsaufwand. Das Kopieren großer Dateien aus einer Netzwerkfreigabe auf Ihr lokales Gerät, insbesondere über eine VPN-Verbindung, kann sich beispielsweise auf die Geräteleistung auswirken. |
Hier müssen Sie und Ihr Führungsteam entscheiden, dass sie mehr Sicherheit oder weniger CPU-Auslastung haben. Eine mögliche Lösung besteht darin, das Feature Dateihashberechnung zu deaktivieren. Wechseln Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>MpEngine, und aktivieren Sie dann Dateihashberechnungsfeatures. Hinweis: Zum Aktivieren der Funktion Indikatoren – Dateihash muss dieses Feature aktiviert werden. |
So können Sie ermitteln, welche Komponente möglicherweise zu einer höheren CPU-Auslastung beiträgt
| Komponente | Lösung |
|---|---|
| RtP-Überprüfung (Echtzeitschutz) | Sie können den Problembehandlungsmodus verwenden, um den Manipulationsschutz zu deaktivieren. Sobald der Manipulationsschutz deaktiviert ist, können Sie den "Echtzeitschutz" vorübergehend deaktivieren, um ihn auszuschließen. Weitere Informationen finden Sie im vorherigen Abschnitt Häufige Gründe für eine höhere CPU-Auslastung durch Microsoft Defender Antivirus. |
| Geplante Überprüfung | Überprüfen Der Standardeinstellungen für geplante Überprüfungen Allgemeine Einstellungen für geplante Überprüfungen. – Konfigurieren einer niedrigen CPU-Priorität für geplante Überprüfungen (Verwenden Sie eine niedrige CPU-Priorität für geplante Überprüfungen). Die Threadpriorität in Windows für normale Scans weist zwei Werte auf: 8 (niedriger) und 9 (höher). Wenn Sie dies auf enabledfestlegen, verringern Sie die Priorität des geplanten Überprüfungsthreads von 9 auf 8, wodurch andere Anwendungsthreads mit einer höheren Priorität ausgeführt werden können und somit mehr CPU-Zeit als Microsoft Defender Antivirus erhalten. – Geben Sie den maximalen Prozentsatz der CPU-Auslastung während einer Überprüfung an (CPU-Auslastungslimit pro Scan). 50ist die Standardeinstellung; sie können auf oder 30gesenkt werden20. Wenn Sie über ein Änderungssteuerungsfenster verfügen, führt das Ändern der CPU-Menge, die verwendet werden kann, dazu, dass die Überprüfung länger dauert. – Starten Sie die geplante Überprüfung nur, wenn der Computer eingeschaltet ist, aber nicht verwendet wird, indem Sie auf Not configured festlegen ScanOnlyIfIdle (standardmäßig aktiviert). Es erfordert, dass sich der Computer im Leerlauf befindet, was bedeutet, dass die CPU-Auslastung des Geräts insgesamt weniger als 80 % betragen muss. Einstellungen für die tägliche Schnellüberprüfung – Auf festgelegt Specify the interval to run quick scans per dayNot configured (Wie viele Stunden verstrichen sind, bevor die nächste Schnellüberprüfung ausgeführt wird - 0 bis 24 Stunden)– Legen Sie auf fest Specify the time for a daily quick scan (Run daily quick scan at)12 PM. Ausführen einer wöchentlichen geplanten Überprüfung (schnell oder vollständig) – Geben Sie den Scantyp an, der für eine geplante Überprüfung verwendet werden soll (auf Not configuredfestgelegtScan type). – Geben Sie die Tageszeit für die Ausführung einer geplanten Überprüfung an (auf Not configuredfestgelegtDay of week to run scheduled scan). – Geben Sie den Wochentag für die Ausführung einer geplanten Überprüfung an (auf Not configuredfestgelegtTime of day to run a scheduled scan). |
| Überprüfung nach einem Security Intelligence-Update. | Standardmäßig Microsoft Defender Antivirus-Scans nach einem Security Intelligence-Update für optimale Schutzzwecke. Wenn geplante Überprüfungen aktiviert sind, denken Sie möglicherweise, dass es Überprüfungen gibt, die außerhalb des Zeitplans ausgeführt werden. Hier müssen Sie und Ihr Führungsteam entscheiden, dass sie mehr Sicherheit oder weniger CPU-Auslastung haben. Zur Problemumgehung wechseln Sie in Gruppenrichtlinie (oder einem anderen Verwaltungstool wie MDM) zu Computerkonfiguration>Administrative Vorlagen>Microsoft Defender Antivirus>Security Intelligence Updates, und legen Sie Überprüfung nach dem Security Intelligence-Update aktivieren auf fest Disabled. |
| Konflikte mit anderer Sicherheitssoftware | Wenn Sie über Nicht-Microsoft-Sicherheitssoftware verfügen, z. B. Antivirensoftware, EDR, DLP, Endpunktberechtigungsverwaltung, VPN usw., fügen Sie diese Software dem Microsoft Defender Antivirusausschlüssen (Pfad + Prozesse) hinzu und umgekehrt. Eine Liste der Microsoft Defender Antivirus-Binärdateien finden Sie unter Konfigurieren Ihrer Netzwerkumgebung zum Sicherstellen der Konnektivität mit dem Defender für Endpunkt-Dienst. |
| Überprüfen einer großen Anzahl von Dateien oder Ordnern | Wenn Sie über eine große Datei wie eine .iso, .vhdx usw. verfügen und sich in Ihrem Benutzerprofil (Desktop, Downloads, Dokumente usw.) befinden und dieses Profil an Netzwerkfreigaben wie Offlinedateien (COSEC) oder OneDrive (oder ähnliche Produkte) umgeleitet wird, kann die Ausführung von Überprüfungen länger dauern. Dies liegt daran, dass Sie ein Netzwerk scannen, in dem im Vergleich zu lokal auf einem Gerät gespeicherten Dateien eine höhere Latenz besteht. Wenn Sie die .iso/.vhd/.vhdx usw. nicht benötigen, die sich in Ihrem Profil befinden, verschieben Sie es in einen anderen Ordner, in dem es sich nicht auf einer Netzwerkfreigabe befindet (zugeordnetes Laufwerk, unc-Freigabe, SMB-Freigabe). |
Auslösen und Verursachen einer höheren CPU-Auslastung in Microsoft Defender Antivirus
Nachdem die Proa\ctive-Schritte abgeschlossen sind, können Sie ermitteln, was ausgelöst und die höhere CPU-Auslastung verursacht:
| # | Tools zum Eingrenzen der Auslöser für die hohe CPU-Auslastung | Kommentare |
|---|---|---|
| 1 | Sammeln von Microsoft Defender Antivirus-Diagnosedaten | Microsoft Defender Antivirus-Diagnosedaten, die Sie bei der Behandlung eines Problems mit Microsoft Defender Antivirus einschließen möchten. |
| 2 | Leistungsanalyse für Microsoft Defender Antivirus | Leistungsspezifische Probleme im Zusammenhang mit Microsoft Defender Antivirus finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus. Auf diese Weise können Sie die Datensammlung ausführen und die Daten analysieren, wo sie leicht zu verstehen sind. Hinweis: Stellen Sie sicher, dass das Problem beim Sammeln dieser Daten reproduziert wird. |
| 3 | Behandeln von Microsoft Defender Antivirus-Leistungsproblemen mit dem Prozessmonitor | Wenn das Microsoft Defender Antivirus-Leistungsanalyse aus irgendeinem Grund nicht die Details bereitstellt, die Sie benötigen, um einzugrenzen, was die hohe CPU-Auslastung auslöst, können Sie Prozessmonitor (ProcMon) verwenden. Tipp: Sie können 5-10 Minuten sammeln. Hinweis: Stellen Sie sicher, dass das Problem beim Sammeln dieser Daten reproduziert wird. |
| 4 | Behandeln von Microsoft Defender Antivirus-Leistungsproblemen mit WPRUI | Für eine erweiterte Problembehandlung können Sie windows Performance Recorder UI (WPRUI) oder Windows Performance Recorder (WPR) verwenden. Beachten Sie, dass sie aufgrund der Ausführlichkeit dieser Ablaufverfolgung auf maximal 3 bis 5 Minuten beschränkt werden sollte. Stellen Sie sicher, dass das Problem aktiv auftritt, wenn Sie diese Daten sammeln. |
Wenden Sie sich an den Anbieter, um bekannte Probleme mit Antivirenprodukten zu erhalten.
Wenn Sie die Software, die sich auf die Systemleistung auswirkt, leicht identifizieren können, wechseln Sie zum Wissensdatenbank oder Supportcenter des Softwareherstellers. Überprüfen Sie, ob bekannte Probleme mit Antivirenprodukten vorliegen. Bei Bedarf können Sie ein Supportticket mit ihnen öffnen und sie bitten, eins zu veröffentlichen.
Es wird empfohlen, dass Softwareanbieter die verschiedenen Richtlinien in Partnerschaft mit der Branche befolgen, um falsch positive Ergebnisse zu minimieren. Der Anbieter kann seine Software über das Microsoft Security Intelligence-Portal übermitteln.
Was geschieht, wenn ich weiterhin ein Problem habe?
Sie können ein Ticket an den Microsoft-Support übermitteln.
Führen Sie die Schritte unter Sammeln von Microsoft Defender Antivirus-Diagnosedaten aus.
Siehe auch
- Sammeln von Microsoft Defender Antivirus-Diagnosedaten
- Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender Antivirusscans
- Leistungsanalyse für Microsoft Defender Antivirus
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.