Solucionar problemas de rendimiento relacionados con la protección en tiempo real
Se aplica a:
- Microsoft Defender para punto de conexión plan 1 y 2
- Antivirus de Microsoft Defender
Plataformas
- Windows
- Windows Server
Si el sistema tiene problemas elevados de uso de CPU o rendimiento relacionados con el antivirus de Microsoft Defender (ejecutable del servicio Antimalware, MsMpEng.exe, Microsoft Defender Antivirus).
Como administrador, también puede solucionar estos problemas por su cuenta.
En primer lugar, es posible que quiera comprobar si otro software está causando el problema. Lea Comprobar con el proveedor si hay problemas conocidos con las exclusiones de antivirus.
Motivos comunes para un mayor uso de la CPU por Microsoft Defender Antivirus
| Reason | Solución |
|---|---|
1: Archivos binarios no firmados (.exe, .dll, .ps1, etc.)Cada vez que se inicia o inicia un archivo binario (como .exe, .dll, .ps1, etc.), si no está firmado digitalmente, Microsoft Defender Antivirus inicia un examen de protección en tiempo real, un examen programado o un examen a petición. |
Todos deben considerar la posibilidad de firmar (validación de código extendida (EV) la firma de código o usar PKI interno) los archivos binarios. O ponerse en contacto con el proveedor para que pueda firmar el archivo binario (firma de código EV). Se recomienda que los proveedores de software sigan las distintas directrices de Asociación con el sector para minimizar los falsos positivos. El proveedor o desarrollador de software puede enviar la aplicación, el servicio o el script en el portal de Inteligencia de seguridad de Microsoft. Como solución alternativa, puede seguir estos pasos: 1. (Preferido) Para los indicadores de uso de .exe y dll – Hash de archivo - permitir o Indicadores – Certificado - permitir 2. (Alternativa) Agregar exclusiones antivirus (proceso+ruta de acceso).. |
| 2. Usar HTA, CHM y diferentes archivos como bases de datos. Cada vez que Microsoft Defender Antivirus debe extraer o examinar formatos de archivo complejos, puede producirse un mayor uso de la CPU. |
Considere la posibilidad de cambiar al uso de bases de datos reales si necesita guardar información y consultarla. Como solución alternativa, agregue exclusiones antivirus (proceso y ruta de acceso). |
| 3. Usar ofuscaciones en scripts. Si ofusca scripts, Microsoft Defender Antivirus para comprobar si el script contiene cargas malintencionadas, puede usar más uso de CPU durante el examen. |
Use la ofuscación del script solo cuando sea necesario. Como solución alternativa, agregue exclusiones antivirus (proceso y ruta de acceso). |
| 4. No dejar que la memoria caché Microsoft Defender Antivirus finalice antes de sellar la imagen. | Si va a crear una imagen VDI, como para una imagen no persistente, asegúrese de que el mantenimiento de la memoria caché se complete antes de que se cierre la imagen. Para obtener más información, consulte Configuración de Microsoft Defender Antivirus en un entorno de infraestructura de escritorio remoto o de escritorio virtual. |
| 5. Tener la o las exclusiones de ruta de acceso incorrectas debido a errores ortográficos. Si agrega rutas de exclusión mal escritas, puede provocar problemas de rendimiento. |
Use MpCmdRun.exe -CheckExclusion -Path para validar exclusiones basadas en rutas de acceso. |
| 6. Cuando se agrega una exclusión de ruta de acceso, funciona para los flujos de examen. La supervisión del comportamiento (BM) y la inspección en tiempo real de red (NRI) todavía pueden causar problemas de rendimiento. |
Como solución alternativa, siga estos pasos: 1. (Preferido) Para los indicadores de uso de .exe y dll – Hash de archivo - permitir o Indicadores – Certificado - permitir 2. (Alternativa) Agregar exclusiones antivirus (proceso+ruta de acceso).. |
| 7. Cálculo de hash de archivos. Si habilita el cálculo de hash de archivos, que se usa para los indicadores de archivo, hay más sobrecarga de rendimiento. Por ejemplo, la copia de archivos grandes de un recurso compartido de red en el dispositivo local, especialmente a través de una conexión VPN, podría tener un efecto en el rendimiento del dispositivo. |
Aquí es donde usted y su equipo directivo tendrán que tomar una decisión de tener más seguridad o menos uso de CPU. Una posible solución es deshabilitar la característica de cálculo hash de archivos. Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus>MpEngine y, a continuación, habilite las características de cálculo de hash de archivos. |
Para ayudar a determinar qué componente podría contribuir a un mayor uso de la CPU
| Componente | Solución |
|---|---|
| Examen de protección en tiempo real (RTP) | Puede usar el modo de solución de problemas para desactivar la protección contra alteraciones. Una vez desactivada la protección contra alteraciones, puede desactivar temporalmente la "Protección en tiempo real" para descartarla. Consulte la sección anterior, Common reasons for higher CPU utilization by Microsoft Defender Antivirus (Motivos comunes para un mayor uso de la CPU por Microsoft Defender Antivirus). |
| Examen programado | Comprobación de la configuración de examen programada predeterminada Configuración general del examen programado. - Configurar la prioridad de CPU baja para los exámenes programados (use prioridad de CPU baja para los exámenes programados). La prioridad del subproceso en Windows para exámenes normales tiene dos valores: 8 (inferior) y 9 (superior). Al establecer esta opción en enabled, se reduce la prioridad del subproceso de examen programado de 9 a 8, lo que permite que otros subprocesos de aplicación se ejecuten con una prioridad más alta, lo que aumenta el tiempo de CPU que Microsoft Defender Antivirus. : especifique el porcentaje máximo de uso de CPU durante un examen (límite de uso de CPU por examen). 50 es la configuración predeterminada; puede reducirlo a 20 o 30. Si tiene una ventana de control de cambios, al modificar la cantidad de CPU que se puede usar, el examen tardará más tiempo. - Inicie el examen programado solo cuando el equipo está encendido pero no en uso; para ello, establezca ScanOnlyIfIdleNot configured en (está habilitado de forma predeterminada). Requiere que la máquina esté inactiva, lo que significa que el uso de CPU general del dispositivo debe ser inferior al 80 %. Configuración diaria del examen rápido - Establecer en Specify the interval to run quick scans per dayNot configured (Cuántas horas han transcurrido, antes de que se ejecute el siguiente examen rápido: de 0 a 24 horas)- Establezca en Specify the time for a daily quick scan (Run daily quick scan at)12 PM. Ejecución de una configuración de examen programado semanal (rápida o completa) : especifique el tipo de examen que se va a usar para un examen programado (establecer Scan type en Not configured). : especifique la hora del día para ejecutar un examen programado (establecer en Day of week to run scheduled scanNot configured). : especifique el día de la semana para ejecutar un examen programado (establecer en Time of day to run a scheduled scanNot configured). |
| Examine después de una actualización de inteligencia de seguridad. | De forma predeterminada, Microsoft Defender Antivirus examina después de una actualización de inteligencia de seguridad para obtener una protección óptima. Si los exámenes programados están habilitados, es posible que piense que hay exámenes que se ejecutan fuera de la programación. Aquí es donde usted y su equipo directivo tendrán que tomar una decisión de tener más seguridad o menos uso de CPU. Como solución alternativa, en directiva de grupo (u otra herramienta de administración, como MDM), vaya aPlantillas> administrativas de configuración> del equipo Microsoft Defender Antivirus>Security Intelligence Novedades y establezca Activar examen después de la actualización Disabledde inteligencia de seguridad en . |
| Conflictos con otro software de seguridad | Si tiene software de seguridad que no es de Microsoft, como antivirus, EDR, DLP, administración de privilegios de punto de conexión, VPN, etc., agregue ese software a las exclusiones de antivirus de Microsoft Defender (ruta de acceso y procesos) y viceversa. Para obtener la lista de los archivos binarios Microsoft Defender Antivirus, consulte Configuración del entorno de red para garantizar la conectividad con el servicio Defender para punto de conexión. |
| Examen de un gran número de archivos o carpetas | Si tiene un archivo grande, como un .iso, .vhdx, etc., sentado en el perfil de usuario (escritorio, descargas, documentos, etc.) y ese perfil se redirige a recursos compartidos de red, como archivos sin conexión (CSC) o OneDrive (o productos similares), los exámenes pueden tardar más en ejecutarse. Esto se debe a que está examinando una red, donde hay más latencia en comparación con los archivos almacenados localmente en un dispositivo. Si no necesita el .iso/.vhd/.vhdx, etc. sentado en el perfil, muévalo a una carpeta diferente donde no esté sentado en un recurso compartido de red (unidad asignada, recurso compartido unc, recurso compartido smb). |
¿Qué desencadena y provoca un mayor uso de CPU en Microsoft Defender Antivirus?
Ahora, si ha pasado por los pasos proactivos, a continuación, encontrará lo que desencadena y provoca el mayor uso de la CPU:
| # | Herramientas para ayudar a reducir lo que desencadena un uso elevado de la CPU | Comentarios |
|---|---|---|
| 1 | Recopilación de datos de diagnóstico Microsoft Defender Antivirus | Microsoft Defender los datos de diagnóstico del Antivirus que desea incluir siempre que se solucione un problema con Microsoft Defender Antivirus. |
| 2 | Analizador de rendimiento para Microsoft Defender Antivirus | Para ver problemas específicos del rendimiento relacionados con Microsoft Defender Antivirus, consulte Analizador de rendimiento para Microsoft Defender Antivirus. Esto le permite ejecutar la recopilación de datos y analizar los datos, donde es fácil de entender. Nota: Asegúrese de que el problema se reproduce al recopilar estos datos. |
| 3 | Solución de problemas de rendimiento de Microsoft Defender Antivirus con Process Monitor | Si por alguna razón el analizador de rendimiento de Microsoft Defender Antivirus no proporciona los detalles que necesita para restringir lo que desencadena el uso elevado de CPU, puede usar El Monitor de procesos (ProcMon). Sugerencia: Puede recopilar entre 5 y 10 minutos. Nota: Asegúrese de que el problema se reproduce al recopilar estos datos. |
| 4 | [Solución de problemas de rendimiento de Microsoft Defender Antivirus con WPRUI](Solución de problemas de rendimiento de Microsoft Defender Antivirus con WPRUI) | En los casos de que se necesite una solución de problemas más avanzada, puedes usar la interfaz de usuario de La grabadora de rendimiento de Windows (WPRUI) o la Grabadora de rendimiento de Windows (WPR). Sugerencia: Debido a la verbosidad de este seguimiento, guárdelo a un máximo de 3 a 5 minutos. Nota: Asegúrese de que el problema se reproduce al recopilar estos datos. |
Consulte con el proveedor si hay problemas conocidos con los productos antivirus.
Si puede identificar fácilmente el software que afecta al rendimiento del sistema, vaya al centro de soporte técnico o knowledge base del proveedor de software. Compruebe si hay problemas conocidos con los productos antivirus. Si es necesario, puede abrir una incidencia de soporte técnico con ellos y pedirles que publiquen una.
Se recomienda que los proveedores de software sigan las distintas directrices de Asociación con el sector para minimizar los falsos positivos. El proveedor puede enviar su software a través del portal de Inteligencia de seguridad de Microsoft.
P: ¿Debo usar "EstimatedImpact" en el registro de protección de Microsoft C:\ProgramData\Microsoft\Windows Defender\Support\MPLog-xxxxxxxx-xxxxxx.log?
R: No, no se admite la búsqueda de nada en el MPLog.log. Use las herramientas mencionadas en la sección ¿Qué desencadena y provoca un mayor uso de cpu en Microsoft Defender Antivirus?
¿Qué ocurre si todavía tengo un problema?
Puede enviar una incidencia al soporte técnico de Microsoft.
Siga los pasos descritos en Recopilación de datos de diagnóstico Microsoft Defender Antivirus. Siga los pasos descritos en Recopilación de datos de diagnóstico Microsoft Defender Antivirus.
Recursos adicionales
- Recopilación de datos de diagnóstico Microsoft Defender Antivirus
- Configuración y validación de exclusiones para exámenes de antivirus de Microsoft Defender
- Analizador de rendimiento para Microsoft Defender Antivirus
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.