Jaa

Microsoft Defenderin virustentorjunnan täydet tarkistukset ja parhaat käytännöt

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Tässä artikkelissa kerrotaan huomioon otettavia seikkoja ja parhaita käytäntöjä täydellisten virustentorjuntatarkistusten suorittamiseen Microsoft Defender for Endpointin avulla. Tässä artikkelissa esitellään skannauksen suorituskykyyn vaikuttavat tekijät ja kuvataan skenaarioita, joissa resurssien kulutuksen lisääntyminen johtaa suojauksen tehon lisääntymiseen.

Yleiskatsaus

Defender for Endpointin reaaliaikainen suojaus on ominaisuus, joka tarkistaa tietokoneesi jatkuvasti haittaohjelmatartuntojen havaitsemiseksi ja lopettamiseksi reaaliaikaisesti. Se käyttää heuristisia ja käyttäytymiseen perustuvia tunnistusmenetelmiä seuratakseen laitteesi toimintaa ja suojautuakseen uhkilta sellaisina kuin ne tapahtuvat. Suosituksemme ajoitetussa tarkistuksessa on määrittää pikatarkistus yhdessä aina käytössä olevan reaaliaikaisen suojauksen ja pilvisuojauksen kanssa, sillä tämä yhdistelmä tarjoaa vahvan suojauksen haittaohjelmia vastaan, joka alkaa järjestelmästä ja ydintason haittaohjelmista. Tämä määritys on oletusmääritys. Yleensä täydellistä tarkistusta ei tarvitse ajoittaa, eikä useimpien käyttäjien tarvitse suorittaa täydellisiä skannauksia manuaalisesti (katso pikatarkistuksen, täyden tarkistuksen ja mukautetun tarkistuksen vertaileminen).

Saatat kuitenkin joutua suorittamaan täydet tarkistukset täyttääksesi organisaatiosi erityiset vaatimukset. Täydellinen tarkistus alkaa nopealla tarkistuksella ja jatkuu sitten järjestyksessä kaikkien käyttöön otettujen kiinteiden ja siirrettävien verkkoasemien järjestyksessä. Täydellinen tarkistus voi kestää useista tunneista useisiin päiviin riippuen sisällön määrästä, sisältötyypistä ja resursseista, jotka Microsoft Defender on myöntänyt tarkistuksen suorittamiseen (katso Ajoita säännölliset nopeat ja täydet tarkistukset Microsoft Defenderin virustentorjuntaohjelmalla). Skannauksen suorituskyky ei ole pelkästään tiedoston kokoinen toiminto, ja se määräytyy enimmäkseen sisällön tyypin ja monimutkaisuuden perusteella.

Suojauksen tehokkuus ja suorituskyky

Suojaus ja järjestelmäresurssien käyttö aiheuttavat kompromisseja. Laitteen suorituskyky on erittäin riippuvainen ympäristöstäsi. On luonnollista, että täydellisen tarkistuksen suorittaminen laitteessa, jossa on paljon monimutkaista sisältöä, johtaisi ajan kasvamiseen. Seuraavassa taulukossa on yhteenveto skenaarioista, joissa olemme tehneet päätöksiä lisätä järjestelmäresursseja suojauksen tehostamiseksi.

Asetus Oletus Tiedot
Arkiston/säilön (esimerkiksi ISO:t) skannaus Enabled Microsoft Defenderin virustentorjunta on optimoitu minimoimaan yksittäisen objektin tarkistusaika. Säilöissä voi olla useita objekteja, ja niiden tarkistaminen voi kestää odotettua enemmän, koska säilön kohteet puretaan.
Arkistoinnin tarkistuksen enimmäiskoko Unlimited
Yhdistetty verkko (esimerkiksi UNC, SMB, CIFS) Enabled Oletusarvoisesti Microsoft Defenderin virustentorjunta tarkistaa yhdistetyt verkkoasemat.
OneDrive-synkronointi Enabled Oletusarvoisesti Microsoft Defenderin virustentorjunta tarkistaa pöytäkoneet, asiakirjat tai lataukset, jotka synkronoidaan OneDriven tai kansioiden synkronoinnin kautta.
Asiakaspuolen välimuisti- tai offline-tiedostot Enabled Defender tarkistaa oletusarvoisesti asiakaspuolen välimuistin.
Skannaa suorittimen keskimääräinen kuormituskerroin 50 Katso tämän artikkelin Skannaaminen ja suoritinrajoitus -osio.

Huomautus

  • Jos reaaliaikainen suojaus on käytössä, tiedostot tarkistetaan ennen niiden käyttöä ja suorittamista. Tarkistus tapahtuu riippumatta siitä, missä tiedostot sijaitsevat (katso Microsoft Defenderin virustentorjuntaohjelman tarkistusasetusten määrittäminen).
  • Suorittimen todellinen käyttö voi vaihdella suorittimen ytimien määrän, I/O-suorituskyvyn, muistipaineen jne. mukaan. Suorittimen käytön rajoittaminen voi aiheuttaa sen, että täyden tarkistuksen suorittaminen kestää kauemmin, joten asiakkaiden tulisi hienosäätää tätä arvoa sen mukaan, mitä suorittimen todellisia käyttöarvoja heidän tietyssä ympäristössään on saatu.

Täyden tarkistuksen suorituskyvyn optimoinnin asetukset ja valitsimet

Laitteen suorituskyky on tärkeä tekijä suojaustapahtumien käsittelyn nopeudessa sekä tiedostojen, verkon ja skannaustoimintojen nopeudessa. Suurempi tapahtumien käsittelynopeus vastaa suurempaa suorituskyvyn vaikutusta AV-skannerilla. Erilaiset virustentorjuntaohjelmiston määritykset voivat vaikuttaa suorituskykyyn ja suojaukseen. Käytettävissä on asetuksia ja valitsimiä, jotka voit määrittää säätämään Microsoft Defenderin virustentorjuntaohjelman suorituskykyä.

Voit määrittää Microsoft Defenderin virustentorjuntaohjelman skannausasetukset eri työkaluilla (katso Microsoft Defenderin virustentorjunnan tarkistusasetusten määrittäminen). Seuraavassa on joitakin käytettävissä olevia asetuksia ja valitsimia, joiden avulla voit määrittää Microsoft Defenderin virustentorjunnan täydet tarkistukset:

Asetus Oletus PowerShell/WMI-parametri ja tiedot
Arkiston/säilön (esimerkiksi ISO:t) skannaus Enabled Microsoft Defenderin virustentorjunta on optimoitu minimoimaan yksittäisen objektin tarkistusaika. Säilöissä voi olla useita objekteja, ja niiden tarkistaminen voi kestää odotettua enemmän, koska säilön kohteet puretaan.
Arkistoi tiedostot Scanned DisableArchiveScanning

Kun otat käyttöön DisableArchiveScanning , seuraavat arkistotyypit jätetään pois virustentorjuntatarkisuksista:
- ZIP
- Ace
- Arc
- Arj
- BZip2
- Cab
- CF
- CPIO
- CPT
- GZip
- Hap
- ISO
- Lharc
- PSF
- Quantum
- Rar
- Stuffit
- Zoo
- ZCompress
- Compress
- VC4
- RPM
- BGA
- BH
- Universal Disk Format
- 7z

Lisätietoja on kohdassa DisableArchiveScanning
Arkistokansion alikansioiden taso tarkistettavaksi 0 0 tarkoittaa rajoittamatonta.
Arkiston enimmäiskoko skannausta varten 0 0 tarkoittaa rajoittamatonta.
Yhdistetyt verkkoasemat Scanned DisableScanningMappedNetworkDrivesForFullScan

Katso DisableScanningMappedNetworkDrivesForFullScan
Verkkotiedostot Scanned DisableScanningNetworkFiles
Suorittimen enimmäiskuormitusprosentti tarkistuksen aikana 50 ScanAvgCPULoadFactor

Katso tämän artikkelin Skannaaminen ja suoritinrajoitus -osio.
Poista suorittimen rajoitus käytöstä käyttämättomissä tarkistuksissa Unthrottled DisableCpuThrottleOnIdleScans

Katso tämän artikkelin Skannaaminen ja suoritinrajoitus -osio.
Allekirjoituksen tarkistukset ennen skannausta Disabled CheckForSignaturesBeforeRunningScan

Microsoft Defenderin virustentorjunta tarkistaa säännöllisesti allekirjoitusten päivitykset ja suorittaa ajoitetut tarkistukset automaattisesti. Oletusarvon mukaan tarkistus alkaa olemassa määritelmillä. Tämä asetus koskee vain ajoitettuja skannauksia.
Siirrettävät asemat täydellisten tarkistusten aikana Scanned DisableRemovableDriveScanning

Ilmaisee, tarkistetaanko siirrettävät asemat, kuten muistiasemat, täyden tarkistuksen aikana.
Sähköposti Scanned DisableEmailScanning

Ilmaisee, jäsentääkö Windows Defender postilaatikon ja postitiedostot niiden tietyn muodon mukaan sähköpostin runkojen ja liitteiden analysoimiseksi.
Kirjoitus Scanned DisableScriptScanning

Määrittää, poistetaanko komentosarjatiedostojen tarkistus käytöstä.

Parhaat käytännöt ja huomioon otettavat seikat

Seuraavat ovat Microsoftin suosituksia:

Täydet tarkistukset

  • Suorittamalla täyden tarkistuksen kerran sen jälkeen, kun olet ottanut käyttöön tai asentanut Microsoft Defenderin virustentorjunnan, voi olla hyödyllistä tarkistaa järjestelmät olemassa olevien uhkien havaitsemiseksi.

  • Suosittelemme määrittämään tarkistuskäytännöt laitteen tyypin ja roolin perusteella, esimerkiksi SQL Server Collection, IIS Server Collection, Restricted Workstation Collection, Standard Workstation Collection.

  • Vältä toimialueen ohjauskoneiden käyttämistä tiedostopalvelinroolissa. Tämä vähentää virustentorjunnan tarkistustoimia tiedostojaetuissa ja vähentää suorituskykykustannuksia.

  • Microsoft Defenderin virustentorjuntaohjelmassa on tiedoston hajautustoiminto, joka laskee tiedoston hajautusarvot jokaisesta suoritettavasta tiedostosta, joka tarkistetaan, jos sitä ei ole laskettu aiemmin. Tämä aiheuttaa suorituskykykustannuksia erityisesti kopioitaessa suuria tiedostoja jaettavasta verkkoresurssista. Lisätietoja vaikutuksista ilmaisimiin on kohdassa Tiedoston hajautusarvon määrittäminen .

  • Suoritinrajoitus voi vaikuttaa täyden tarkistuksen suorituskykyyn. Suosituksemme on jättää suorittimen raja-asetukset oletusarvoon.

Huomautus

  • Microsoft Defenderin virustentorjunta tutkii oletusarvoisesti sisäisen sisältötyypin, sillä tiedostotunnisteet ovat usein harhaanjohtavia ja hyökkääjät voivat helposti huijata niitä.
  • Skannauksen suorituskyky on erittäin riippuvainen todellisesta skannattavasta sisältötyypistä. Yleensä monimutkaisemmat tiedostotyypit vaativat enemmän aikaa ja kiertoa, kun taas epätavalliset sisältötyypit vaativat vielä enemmän aikaa (esimerkiksi JavaScript-tiedostot).
  • Microsoft Defenderin virustentorjuntaohjelman suorituskyvyn analysointityökalu auttaa määrittämään tiedostoja, tiedostotunnisteita ja prosesseja, jotka saattavat aiheuttaa suorituskykyongelmia yksittäisissä päätepisteissä virustentorjuntatarkistusten aikana. Jos käytössäsi on Microsoft Defenderin virustentorjunta ja suorituskykyongelmia, voit optimoida suorituskyvyn suorituskyvyn analysoinnin avulla (katso Microsoft Defenderin virustentorjuntaohjelman suorituskyvyn analysointi).
  • Microsoft Defenderin virustentorjuntaohjelman luotettu kuvatunnus voi auttaa parantamaan laitteidesi suorituskykyä. Katso Luotetun kuvan tunnuksen määrittäminen Microsoft Defenderille.

Skannaaminen ja suorittimen rajoittaminen

Suorittimen käyttörajoitusta, jota kutsutaan myös suorittimen rajoittamiseksi, käytetään määrittämään microsoft Defenderin on-demand-tarkistusten suurin suoritinkäyttö. Suorittimen rajoitusasetus on oletusarvoisesti käytössä, ja se koskee vain ajoitettuja skannauksia ja valinnaisesti myös mukautettuja skannauksia. On suositeltavaa hienosäätää tätä asetusta (katso ScanAverageCPULoadFactor asetus kohdassa Set-MpPreference (Defender)) sen mukaan, mitä suorittimen todellisia käyttöarvoja on saatu tietyssä ympäristössäsi.

Microsoft Defenderin virustentorjunnan suoritinkuormituskerroin ei ole kiinteä, vaan pikemminkin ohjeita sille, että tarkistusmoduuli ei ylitä tätä enimmäiskokoa. Voit määrittää tälle tarkistuskäytännön asetukselle prosenttiarvon suorittimen enimmäiskäyttöasteelle tarkistuksen aikana. Arvo 0 tai 100 ilmaisee, ettei rajoittamista ole. Jos esimerkiksi tämä arvo pienennetään 20:een, se viittaa siihen, että skannausmoduulin tavoitteena on pitää järjestelmän keskimääräinen suoritinkuormitus alle 20 prosentissa tarkistuksen aikana ja sen valmistuminen kestää kauemmin.

  • Jos määrität prosenttiarvoksi 0 tai 100, suorittimen rajoittaminen on poistettu käytöstä ja Windows Defender voi käyttää jopa 100 % suoritinta ajoitettujen ja mukautettujen tarkistusten aikana. Tätä ei suositella, koska se voi johtaa reagoimattomiin sovelluksiin ja jopa ylikuumenemiseen, joten jatka äärimmäisen varovasti.

  • Arvon muuttamisella on sekä etuja että etuja. Suuremmat arvot tarkoittavat sitä, että tarkistukset toimivat nopeammin. Se voi kuitenkin hidastaa järjestelmää tarkistuksen aikana, kun taas pienemmät arvot tarkoittavat, että tarkistuksen valmistuminen kestää kauemmin, mutta järjestelmälläsi on käytettävissä enemmän suoritinresursseja tarkistuksen aikana. Jos esimerkiksi suoritat kriittisiä kuormituksia palvelimessa, tämän asetuksen arvoksi on asetettava arvo, joka ei häiritse kuormitusten toimintaa.

  • Manuaalisissa tarkistuksissa ohitetaan suoritinrajoitusasetus ja suoritetaan ilman suoritinrajoituksia. Kuitenkin on olemassa tarkistuskäytäntöasetus (katso ThrottleForScheduledScanOnlyasetus kohdassa Set-MpPreference (Defender)), että jos se on poistettu käytöstä, manuaaliset tarkistukset noudattavat samoja suoritinrajoituksia kuin ajoitettu tarkistus.

  • Suorittimen rajoittaminen käyttämättömyystarkistuksissa määrittää, rajoitetaanko suoritinta ajoitetussa tarkistuksessa, kun laite on käyttämättömänä. Tämä asetus on oletusarvoisesti poissa käytöstä, jotta suoritinta ei rajoiteta ajoitetussa tarkistuksessa, kun laite on käyttämättömänä, riippumatta siitä, mikä suorittimen rajoitus on määritetty. Lisätietoja DisableCpuThrottleOnIdleScans on kohdassa Set-MpPreference (Defender) -asetus.

    Huomautus

    Katso käyttämättömyystilan ehdot kohdasta Tehtävän käyttämättömyysehdot – Win32-sovellukset.

Skannaus ja poikkeukset

Microsoft Defenderin virustentorjuntaohjelmassa on seuraavat ominaisuudet, jotka parantavat tarkistuksen suorituskykyä ja tehokkuutta:

  • Säilöjen tai arkistojen tarkistaminen voi kestää kauan, koska tietyt optimoinnit (esimerkiksi rinnakkaiset tarkistukset) eivät ole mahdollisia näissä tilanteissa. Suosittelemme poimimaan näiden säilöjen sisällön aina, kun se on mahdollista, jotta täydellinen tarkistus voi käsitellä kohteita rinnakkain.

  • Skannaa poikkeukset, joissa voit jättää säilöjä pois skannauksesta, jos yhteensopivuusvaatimukset sallivat tämän asetuksen.

  • Microsoft Defenderin virustentorjuntaohjelman suorituskyvyn analysointityökalun avulla voidaan määrittää poissulkemisia, jotka auttavat optimoimaan suorituskykyä. Katso Microsoft Defenderin virustentorjunta suorituskyvyn analysointi.

Microsoft Defenderin virustentorjuntaohjelmassa on sisäänrakennettu optimointi sisällölle, joka on erittäin hyvämaineinen (esimerkiksi luotettavien lähteiden allekirjoittama). Kun se kohtaa tällaista sisältöä, se siirtyy sisällön skannaamisesta allekirjoituksen vahvistamiseen, jotta varmistetaan, ettei tiedostoa ole peukaloitu.

Virustentorjunnan poissulkemissuositukset

Jos skannauksesta jätetään pois tietyt sijainnit, skannausaikaa voidaan lyhentää. Poissulkemisia on kahdenlaisia: prosessin poissulkemisia ja tiedosto-/kansiopoikkeuksia. Vain tiedoston/kansion poikkeukset koskevat täyttä tarkistusta. Skannauspoikkeukset tulee kehittää huolellisesti skannausajan lyhentämiseksi ja riskien minimoimiseksi.

  • Älä jätä pois pakattuja tiedostoja, jos yhteensopivuusvaatimukset eivät salli niitä.

  • Älä jätä pois käyttäjäprofiilin tilapäiskansiota tai järjestelmän tilapäiskansiota, jota haittaohjelma käyttää yleisesti:

    • C:\Users<UserProfileName>\AppData\Local\Temp\
    • C:\Users<UserProfileName>\AppData\LocalLow\Temp\
    • C:\Users<UserProfileName>\AppData\Roaming\Temp\
    • %Windir%\Prefetch
    • %Windir%\System32\Spool
    • C:\Windows\System32\CatRoot2
    • %Windir%\Temp

  • Ympäristömuuttujien käyttö yleismerkkinä poissulkemisluetteloissa rajoittuu vain järjestelmämuuttujiin. Älä käytä käyttäjänlaajuisia ympäristömuuttujia lisättäessä Microsoft Defenderin virustentorjuntakansiota ja prosessin poissulkemisia.