Reaaliaikaiseen suojaukseen liittyvien suorituskykyongelmien vianmääritys
Koskee seuraavia:
- Microsoft Defender for Endpoint palvelupaketti 1 ja 2
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
- Windows Server
Jos järjestelmässäsi on paljon suoritinkäyttöä tai suorituskykyongelmia, jotka liittyvät Microsoft Defender virustentorjuntaan (haittaohjelmien torjuntapalvelun suoritustiedosto, MsMpEng.exe, Microsoft Defender virustentorjunta).
Järjestelmänvalvojana voit myös tehdä vianmäärityksen itse.
Ensinnäkin haluat ehkä tarkistaa, aiheuttaako ongelman toinen ohjelmisto. Lue lisätietoja virustentorjuntapoikkeamien tunnetuista ongelmista toimittajalta.
Yleiset syyt Microsoft Defender virustentorjuntaohjelman suorittimen suurempaan käyttöön
| Syy | Ratkaisu |
|---|---|
1. Binaarit, jotka eivät ole allekirjoittaneet (.exe, .dll, ja niin edelleen)Aina kun binaari (kuten .exe,.dll ja niin edelleen) käynnistetään tai käynnistetään, jos sitä ei ole allekirjoitettu digitaalisesti, Microsoft Defender virustentorjuntaohjelma aloittaa reaaliaikaisen suojaustarkistuksen tai kun suoritat ajoitetun tarkistuksen ja/tai pyydettäessä suoritettavan tarkistuksen. |
Kannattaa harkita binaaritiedostojen allekirjoittamista sisäisen PKI:n avulla. Ja/tai ottaa yhteyttä toimittajaan, jotta he voivat allekirjoittaa binaarin. Varmenteen lisääminen ilmaisimiin – Varmenne – salli Suosittelemme, että ohjelmistotoimittajat noudattavat eri ohjeita kohdassa Yhteistyö alan kanssa, jotta false-positiiviset voidaan minimoida. Ohjelmistotoimittaja tai ohjelmistokehittäjä voi lähettää sovelluksen, palvelun tai komentosarjan Microsoftin suojaustiedustelu portaalissa. Kiertotapana voit toimia seuraavasti: 1. (Ensisijainen) .exe ja dll:n käyttöilmaisimet – Tiedoston hajautusarvo - salli 2. (Vaihtoehtoinen) Lisää virustentorjunnan poikkeukset (prosessi+polku). |
| 2. Käyttämällä HTA-tiedostoja, CHM:iä ja eri tiedostoja tietokannoissa. Aina kun Microsoft Defender virustentorjuntaohjelman on purettava ja/tai skannattava monimutkaisia tiedostomuotoja, suorittimen käyttöä voidaan suurentaa. |
Harkitse siirtymistä käyttämään todellisia tietokantoja, jos haluat tallentaa tietoja ja tehdä sille kyselyjä. Voit kiertää ongelman lisäämällä virustentorjunnan poissulkemisia (prosessi+polku).. |
| 3. Epäselvyyksien käyttö komentosarjoilta. Jos hämärnät komentosarjoja, Microsoft Defender virustentorjuntaan tarkistaaksesi, sisältääkö komentosarja haitallisia hyötymääriä, se voi käyttää suorittimen lisäkäyttöä skannauksen aikana. |
Käytä komentosarjan obfuscation-toimintoa vain tarvittaessa. Voit kiertää ongelman lisäämällä virustentorjunnan poissulkemisia (prosessi+polku).. |
| 4. Virustentorjuntaohjelman Microsoft Defender välimuistia ei saa lopettaa ennen kuvan sulkemista. | Jos olet luomassa VDI-kuvaa, kuten ei-pysyvälle kuvalle, varmista, että välimuistin ylläpito on valmis, ennen kuin kuva suljetaan. Lisätietoja on kohdassa Microsoft Defender virustentorjunta etätyöpöydän tai näennäistyöpöydän infrastruktuuriympäristössä. |
| 5. Virheellinen polku poissulkeva tai virheellinen kirjoitusvirhe. Jos lisäät väärin kirjoitettuja poissulkemispolkuja, se voi johtaa suorituskykyongelmiin. |
Käytä MpCmdRun.exe -CheckExclusion -Path polkuun perustuvien poissulkemisten vahvistamiseen. |
| 6. Kun polkuun lisätään poikkeus, se toimii työnkulkujen skannaamisessa. Toiminnan valvonta (BM) ja verkon reaaliaikainen tarkastus (NRI) voivat edelleen aiheuttaa suorituskykyongelmia. |
Voit kiertää ongelman seuraavasti: 1. (Ensisijainen) .exe ja dll:n käyttöilmaisimet – Tiedoston hajautusarvo - salli tai Ilmaisimet – Varmenne - salli 2. (Vaihtoehtoinen) Lisää virustentorjunnan poikkeukset (prosessi+polku). |
| 7. Tiedoston hajautusarvon laskenta. Jos otat käyttöön tiedoston hajautusarvon laskemisen, jota käytetään tiedostoilmaisimissa, suorituskyky kasvaa. Esimerkiksi suurten tiedostojen kopioiminen jaettavasta verkkoresurssista paikalliseen laitteeseesi, erityisesti VPN-yhteyden kautta, voi vaikuttaa laitteen suorituskykyyn. |
Tässä sinun ja johtoryhmäsi on tehtävä päätös siitä, että sinulla on enemmän suojausta tai vähemmän suorittimen käyttöä. Yksi mahdollinen ratkaisu on poistaa tiedoston hajautusarvon laskentaominaisuus käytöstä. Siirry kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defender Virustentorjunta>MpEngine ja ota sitten tiedoston hajautustoiminnot käyttöön. Huomautus: Jotta ilmaisimet - Tiedoston hajautustoiminto voidaan ottaa käyttöön, tämä ominaisuus on otettava käyttöön. |
Auttaa määrittämään, mikä osa saattaa vaikuttaa suorittimen suurempaan käyttöön
| Osa | Ratkaisu |
|---|---|
| Reaaliaikaisen suojauksen (RTP) tarkistus | Voit poistaa peukaloinnin suojauksen käytöstä vianmääritystilan avulla. Kun peukaloinnin suojaus on poistettu käytöstä, voit poistaa reaaliaikaisen suojauksen tilapäisesti käytöstä, jos haluat sulkea sen pois käytöstä. Katso edellisestä osiosta Yleisiä syitä sille, miksi Microsoft Defender virustentorjunta on käyttänyt suoritinta enemmän. |
| Ajoitettu tarkistus | Tarkista ajoitetut tarkistuksen oletusasetukset Yleiset ajoitetut tarkistuksen asetukset. - Määritä pieni suoritinprioriteetin määrittäminen ajoitetussa tarkistuksessa (käytä ajoitetussa tarkistuksessa matalaa suoritinprioriteetteja). Windowsin normaalien tarkistusten säikeen prioriteetilla on kaksi arvoa: 8 (pienempi) ja 9 (suurempi). Kun asetat tämän arvoksi enabled, pienennät ajoitetun säikeen prioriteetin asetukseksi 98, mikä mahdollistaa muiden sovellussäikeiden suorittamisen suuremmalla prioriteetilla, mikä saa enemmän suoritinaikaa kuin Microsoft Defender virustentorjunta. - Määrittää suorittimen käytön suurimman prosenttiosuuden tarkistuksen aikana (suorittimen käyttöraja skannausta kohden). 50 on oletusasetus; voit laskea sen arvoon 20 tai 30. Jos sinulla on muutoksenhallintaikkuna muokkaamalla käytettävän suoritinyksikön määrää, tarkistus kestää kauemmin. - Käynnistä ajoitettu tarkistus vain, kun tietokone on käytössä, mutta ei käytössä, määrittämällä ScanOnlyIfIdleNot configured (se on oletusarvoisesti käytössä). Se edellyttää, että kone on käyttämättömänä, mikä tarkoittaa, että laitteen suorittimen kokonaiskäytön on oltava alle 80 %. Päivittäiset pikatarkistusasetukset - asetus Specify the interval to run quick scans per day : Not configured (Kuinka monta tuntia on kulunut, ennen kuin seuraava pikatarkistus suoritetaan - 0 - 24 tuntia)- asetus Specify the time for a daily quick scan (Run daily quick scan at) : 12 PM. Suorita viikoittain ajoitettu tarkistus (nopea tai täysi) asetus - Määrittää ajoitetussa tarkistuksessa käytettävän tarkistustyypin (asetus Scan type : Not configured). - Määritä ajoitetun tarkistuksen suorittamiseen kuluva kellonaika (asetus Day of week to run scheduled scan : Not configured). - Määritä viikonpäivä ajoitetun tarkistuksen suorittamiseksi (asetus Time of day to run a scheduled scan : Not configured). |
| Tarkista tietoturvatietojen päivityksen jälkeen. | Oletusarvoisesti Microsoft Defender virustentorjunta tarkistaa tietoturvatietojen päivityksen jälkeen optimaalisen suojauksen tarkoituksiin. Jos ajoitetut tarkistukset ovat käytössä, saatat ajatella, että tarkistukset suoritetaan aikataulun ulkopuolella. Tässä sinun ja johtoryhmäsi on tehtävä päätös siitä, että sinulla on enemmän suojausta tai vähemmän suorittimen käyttöä. Vaihtoehtoisena menetelmänä voit ryhmäkäytäntö (tai muussa hallintatyökalussa, kuten MDM:ssä), valitsemalla Tietokoneasetukset>Hallintamallit>Microsoft Defender Virustentorjuntatietojen>Päivitykset ja määrittämällä Ota tarkistus käyttöön tietoturvatietojen päivityksen jälkeen -kohtaan Disabled. |
| Ristiriidat muiden suojausohjelmistojen kanssa | Jos sinulla on jokin muu kuin Microsoftin suojausohjelmisto, kuten virustentorjuntaohjelma, EDR, DLP, päätepisteen oikeuksien hallinta, VPN ja niin edelleen, lisää kyseinen ohjelmisto Microsoft Defender virustentorjuntapoikkeukset (polku ja prosessit) ja päinvastoin. Jos haluat luettelon Microsoft Defender virustentorjunnan binaaritiedostoista, katso Verkkoympäristön määrittäminen, jotta voit varmistaa yhteyden Defender for Endpoint -palveluun. |
| Suuren tiedosto- tai kansiomäärän skannaaminen | Jos sinulla on käyttäjäprofiilissasi (työpöytä, lataukset, asiakirjat ja niin edelleen) istunut suuri tiedosto, kuten .iso tai .vhdx, ja kyseinen profiili ohjataan verkkoresurssiin, kuten Offline-tiedostoihin (KOSEK) tai OneDriveen (tai vastaaviin tuotteisiin), tarkistusten suorittaminen voi kestää kauemmin. Tämä johtuu siitä, että tarkistat verkon, jossa on enemmän viivettä kuin laitteessa paikallisesti tallennettuihin tiedostoihin. Jos et tarvitse profiilissasi istuvaa .iso/.vhd/.vhdx-tiedostoa jne. siirrä se toiseen kansioon, jossa se ei istu verkkoresurssissa (yhdistetty asema, unc-jako, jako, jako). |
Mikä käynnistää ja aiheuttaa suuremman suorittimen käytön Microsoft Defender virustentorjuntaohjelmassa
Kun proa\ctive-vaiheet on suoritettu, voit tunnistaa, mikä käynnistää ja aiheuttaa suorittimen suuremman käytön:
| # | Työkalut, joiden avulla voit rajata suorittimen korkean käytön käynnistävää ominaispiirtintä | Kommentit |
|---|---|---|
| 1 | Kerää Microsoft Defender virustentorjunnan diagnostiikkatietoja | Microsoft Defender virustentorjunnan diagnostiikkatietoja, jotka haluat sisällyttää aina, kun suoritat Microsoft Defender virustentorjuntaongelman vianmäärityksen. |
| 2 | Suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten | Jos haluat lisätietoja Microsoft Defender virustentorjuntaan liittyvistä suorituskykyongelmista, katso Microsoft Defender virustentorjunta. Näin voit suorittaa tietojen keräämisen ja jäsentää tiedot helposti ymmärrettävien seikkojen mukaisesti. Huomautus: Varmista, että ongelma toistuu, kun keräät näitä tietoja. |
| 3 | Microsoft Defender virustentorjunnan suorituskykyongelmien vianmääritys prosessin tarkkailun avulla | Jos Microsoft Defender virustentorjunnan suorituskyvyn analysointi ei jostain syystä anna tietoja, joita sinun on rajoitettava suorittimen korkean käytön käynnistymiseen, voit käyttää ProcMon(Process Monitor) -toimintoa. Vihje: Voit kerätä tietoja 5-10 minuuttia. Huomautus: Varmista, että ongelma toistuu, kun keräät näitä tietoja. |
| 4 | Microsoft Defender virustentorjunnan suorituskykyongelmien vianmääritys WPRUI:n avulla | Kehittyneempää vianmääritystä varten voit käyttää Windowsin suorituskyvyn tallentimen käyttöliittymää (WPRUI) tai Windowsin suorituskyvyn tallenninta (WPR). Muista, että tämän jäljityksen verbaalisuuden vuoksi se tulisi rajoittaa enintään 3-5 minuuttiin. Varmista, että ongelma ilmenee aktiivisesti, kun keräät näitä tietoja. |
Tarkista toimittajalta virustentorjuntatuotteiden tunnetut ongelmat
Jos pystyt helposti tunnistamaan järjestelmän suorituskykyyn vaikuttavan ohjelmiston, siirry ohjelmistotoimittajan tietokanta tai tukikeskukseen. Tarkista, onko virustentorjuntatuotteissa tunnettuja ongelmia. Voit tarvittaessa avata tukipalvelupyynnön heidän kanssaan ja pyytää häntä julkaisemaan tukipalvelupyynnön.
Suosittelemme, että ohjelmistotoimittajat noudattavat eri ohjeita kohdassa Yhteistyö alan kanssa, jotta false-positiiviset voidaan minimoida. Toimittaja voi lähettää ohjelmistonsa Microsoftin suojaustiedustelu portaalin kautta.
Entä jos minulla on ongelma?
Voit lähettää palvelupyynnön Microsoftin tukeen.
Noudata ohjeita kohdassa Microsoft Defender virustentorjunnan diagnostiikkatietojen kerääminen.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Kerää Microsoft Defender virustentorjunnan diagnostiikkatietoja
- Määritä ja vahvista poissulkemiset Microsoft Defender virustentorjuntatarkistuksia varten
- Suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.