Résoudre les problèmes de performances liés à la protection en temps réel
S’applique à :
- plan Microsoft Defender pour point de terminaison 1 et 2
- Antivirus Microsoft Defender
Plateformes
- Windows
- Windows Server
Si votre système rencontre des problèmes élevés d’utilisation du processeur ou de performances liés à l’antivirus Microsoft Defender (exécutable du service anti-programme malveillant, MsMpEng.exe, antivirus Microsoft Defender).
En tant qu’administrateur, vous pouvez également résoudre ces problèmes par vous-même.
Tout d’abord, vous pouvez case activée si un autre logiciel est à l’origine du problème. Consultez Vérifier auprès du fournisseur les problèmes connus liés aux exclusions d’antivirus.
Raisons courantes d’une utilisation plus élevée du processeur par Microsoft Defender Antivirus
| Reason | Solution |
|---|---|
1. Fichiers binaires non signés (.exe, .dll, etc.)Chaque fois qu’un fichier binaire (tel que .exe,.dll, etc.) est lancé/démarré, s’il n’est pas signé numériquement, Microsoft Defender Antivirus démarre une analyse de protection en temps réel ou lorsque vous exécutez une analyse planifiée et/ou une analyse à la demande. |
Vous devez envisager de signer les fichiers binaires à l’aide d’une infrastructure À clé publique interne. Et/ou en contactant le fournisseur pour qu’il puisse signer le binaire. Et ajout du certificat aux indicateurs – Certificat – autoriser Nous recommandons aux éditeurs de logiciels de suivre les différentes instructions de la section Partenariat avec le secteur pour réduire au minimum les faux positifs. Le fournisseur de logiciels ou le développeur de logiciels peut soumettre l’application, le service ou le script dans le portail Renseignement de sécurité Microsoft. En guise de solution de contournement, vous pouvez suivre les étapes suivantes : 1. (Recommandé) Pour .exe et dll, utilisez indicateurs – Hachage de fichier – autoriser 2. (Alternative) Ajouter des exclusions antivirus (processus+chemin). |
| 2. Utilisation des fichiers HTA, CHM et différents comme bases de données. Chaque fois que Microsoft Defender Antivirus doit extraire et/ou analyser des formats de fichiers complexes, une utilisation plus élevée du processeur peut se produire. |
Envisagez de passer à l’utilisation de bases de données réelles si vous avez besoin d’enregistrer des informations et de les interroger. Pour contourner ce problème, ajoutez des exclusions antivirus (processus+chemin d’accès). |
| 3. Utilisation d’obfuscations sur des scripts. Si vous obfusquez des scripts, Microsoft Defender Antivirus afin de case activée si le script contient des charges utiles malveillantes, il peut utiliser davantage le processeur lors de l’analyse. |
Utilisez l’obfuscation de script uniquement si nécessaire. Pour contourner ce problème, ajoutez des exclusions antivirus (processus+chemin d’accès). |
| 4. Ne pas laisser le cache Microsoft Defender Antivirus terminer avant de sceller l’image. | Si vous créez une image VDI telle que pour une image non persistante, assurez-vous que la maintenance du cache se termine avant que l’image ne soit scellée. Pour plus d’informations, consultez Configurer Microsoft Defender Antivirus sur un environnement d’infrastructure de bureau à distance ou de bureau virtuel. |
| 5. Avoir la ou les exclusions de chemin d’accès incorrectes en raison d’une faute d’orthographe. Si vous ajoutez des chemins d’exclusion mal orthographiés, cela peut entraîner des problèmes de performances. |
Utilisez MpCmdRun.exe -CheckExclusion -Path pour valider les exclusions basées sur le chemin d’accès. |
| 6. Lorsqu’une exclusion de chemin d’accès est ajoutée, elle fonctionne pour les flux d’analyse. La surveillance du comportement (BM) et l’inspection en temps réel du réseau (NRI) peuvent toujours entraîner des problèmes de performances. |
Pour contourner ce problème, procédez comme suit : 1. (Recommandé) Pour les .exe et dll, utilisez Indicateurs – Hachage de fichier – autoriser ou Indicateurs – Certificat – autoriser 2. (Alternative) Ajouter des exclusions antivirus (processus+chemin). |
| 7. Calcul de hachage de fichier. Si vous activez le calcul de hachage de fichier, qui est utilisé pour les indicateurs de fichier, les performances sont plus élevées. Par exemple, la copie de fichiers volumineux à partir d’un partage réseau sur votre appareil local, en particulier via une connexion VPN, peut avoir un effet sur les performances de l’appareil. |
C’est là que vous et votre équipe de direction devrez prendre la décision d’avoir plus de sécurité ou moins d’utilisation du processeur. Une solution possible consiste à désactiver la fonctionnalité de calcul de hachage de fichier. Accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Microsoft Defender Antivirus>MpEngine, puis activez les fonctionnalités de calcul de hachage de fichier. Remarque : Pour activer la fonctionnalité Indicateurs - Hachage de fichier, cette fonctionnalité doit être activée. |
Pour aider à déterminer quel composant peut contribuer à une utilisation plus élevée du processeur
| Composant | Solution |
|---|---|
| Analyse de la protection en temps réel (RTP) | Vous pouvez utiliser le mode Résolution des problèmes pour désactiver la protection contre les falsifications. Une fois la protection contre les falsifications désactivée, vous pouvez désactiver temporairement la « protection en temps réel », afin de l’exclure. Consultez la section précédente, Raisons courantes d’une utilisation plus élevée du processeur par Microsoft Defender Antivirus. |
| Analyse planifiée | Vérifier vos paramètres d’analyse planifiée par défaut Paramètres généraux de l’analyse planifiée. - Configurer une faible priorité processeur pour les analyses planifiées (utilisez une faible priorité processeur pour les analyses planifiées). La priorité de thread dans Windows pour les analyses normales a deux valeurs : 8 (inférieure) et 9 (supérieure). En définissant cette valeur sur enabled, vous réduisez la priorité du thread d’analyse planifiée de 9 à , ce qui permet à 8d’autres threads d’application de s’exécuter avec une priorité plus élevée, ce qui permet d’obtenir plus de temps processeur que Microsoft Defender Antivirus. - Spécifiez le pourcentage maximal d’utilisation du processeur pendant une analyse (limite d’utilisation du processeur par analyse). 50 est le paramètre par défaut ; vous pouvez la réduire à 20 ou 30. Si vous avez une fenêtre de contrôle des modifications, en modifiant la quantité de processeur qui peut être utilisée, l’analyse prend plus de temps. - Démarrez l’analyse planifiée uniquement lorsque l’ordinateur est activé, mais qu’il n’est pas utilisé en définissant ScanOnlyIfIdleNot configured sur (il est activé par défaut). Cela nécessite que la machine soit inactive, ce qui signifie que l’utilisation globale du processeur de l’appareil doit être inférieure à 80 %. Paramètres d’analyse rapide quotidiens - Défini sur Specify the interval to run quick scans per dayNot configured (Nombre d’heures écoulées avant l’exécution de l’analyse rapide suivante - 0 à 24 heures)- Définissez sur Specify the time for a daily quick scan (Run daily quick scan at)12 PM. Exécuter une analyse planifiée hebdomadaire (rapide ou complète) paramètres - Spécifiez le type d’analyse à utiliser pour une analyse planifiée (définissez sur Scan typeNot configured). - Spécifiez l’heure de la journée pour exécuter une analyse planifiée (définissez sur Day of week to run scheduled scanNot configured). - Spécifiez le jour de la semaine pour exécuter une analyse planifiée (définissez sur Time of day to run a scheduled scanNot configured). |
| Analyse après une mise à jour du renseignement de sécurité. | Par défaut, Microsoft Defender Antivirus effectue des analyses après une mise à jour du renseignement de sécurité à des fins de protection optimales. Si les analyses planifiées sont activées, vous pouvez penser que certaines analyses sont exécutées en dehors de la planification. C’est là que vous et votre équipe de direction devrez prendre la décision d’avoir plus de sécurité ou moins d’utilisation du processeur. Pour contourner ce problème, dans stratégie de groupe (ou un autre outil de gestion, tel que GPM), accédez à Configuration> ordinateurModèles>d’administration Microsoft Defender Antivirus>Security Intelligence Mises à jour, puis définissez Activer l’analyse après la mise à jour du renseignement de sécurité sur Disabled. |
| Conflits avec d’autres logiciels de sécurité | Si vous disposez d’un logiciel de sécurité non Microsoft, tel qu’un antivirus, un EDR, un DLP, une gestion des privilèges de point de terminaison, un VPN, etc., ajoutez ce logiciel au Microsoft Defender exclusions antivirus (chemin + processus), et vice versa. Pour obtenir la liste des fichiers binaires antivirus Microsoft Defender, consultez Configurer votre environnement réseau pour garantir la connectivité avec le service Defender pour point de terminaison. |
| Analyse d’un grand nombre de fichiers ou de dossiers | Si vous avez un fichier volumineux, tel qu’un .iso, .vhdx, etc., qui se trouve dans votre profil utilisateur (bureau, téléchargements, documents, etc.) et que ce profil est redirigé vers des partages réseau, tels que fichiers hors connexion (CSC) ou OneDrive (ou produits similaires), l’exécution des analyses peut prendre plus de temps. Cela est dû au fait que vous analysez un réseau, où la latence est plus élevée que les fichiers stockés localement sur un appareil. Si vous n’avez pas besoin du .iso/.vhd/.vhdx, etc. assis sur votre profil, déplacez-le vers un autre dossier où il ne se trouve pas sur un partage réseau (lecteur mappé, partage unc, partage smb). |
Qu’est-ce qui déclenche et provoque une utilisation plus élevée du processeur dans Microsoft Defender Antivirus
Une fois les étapes proa\ctive terminées, vous pouvez identifier ce qui déclenche et provoque l’utilisation plus élevée du processeur :
| # | Outils permettant d’affiner ce qui déclenche une utilisation élevée du processeur | Commentaires |
|---|---|---|
| 1 | Collecter les données de diagnostic de l’antivirus Microsoft Defender | Microsoft Defender données de diagnostic antivirus que vous souhaitez inclure lors de la résolution d’un problème avec Microsoft Defender Antivirus. |
| 2 | Analyseur de performances pour Microsoft Defender Antivirus | Pour les problèmes spécifiques aux performances liés à Microsoft Defender Antivirus, consultez Analyseur de performances pour Microsoft Defender Antivirus. Cela vous permet d’exécuter la collecte de données et d’analyser les données, où elles sont faciles à comprendre. Remarque : assurez-vous que le problème se reproduit lorsque vous collectez ces données. |
| 3 | Résoudre les problèmes de performances de l’antivirus Microsoft Defender avec Process Monitor | Si, pour une raison quelconque, l’analyseur de performances de l’antivirus Microsoft Defender ne fournit pas les détails dont vous avez besoin pour déterminer ce qui déclenche l’utilisation élevée du processeur, vous pouvez utiliser Process Monitor (ProcMon). Conseil : Vous pouvez collecter pendant 5 à 10 minutes. Remarque : assurez-vous que le problème se reproduit lorsque vous collectez ces données. |
| 4 | Résoudre les problèmes de performances de l’antivirus Microsoft Defender avec WPRUI | Pour une résolution plus avancée des problèmes, vous pouvez utiliser l’interface utilisateur de l’Enregistreur de performances Windows (WPRUI) ou l’Enregistreur de performances Windows (WPR). Gardez à l’esprit qu’en raison du détail de cette trace, elle doit être limitée à un maximum de 3 à 5 minutes. Vérifiez que le problème se produit activement lorsque vous collectez ces données. |
Vérifier auprès du fournisseur les problèmes connus liés aux produits antivirus
Si vous pouvez facilement identifier le logiciel qui affecte les performances du système, accédez au base de connaissances ou au centre de support technique du fournisseur de logiciels. Vérifiez s’il existe des problèmes connus avec les produits antivirus. Si nécessaire, vous pouvez ouvrir un ticket de support avec eux et leur demander d’en publier un.
Nous recommandons aux éditeurs de logiciels de suivre les différentes instructions de la section Partenariat avec le secteur pour réduire au minimum les faux positifs. Le fournisseur peut soumettre son logiciel via le portail Renseignement de sécurité Microsoft.
Que se passe-t-il si je rencontre toujours un problème ?
Vous pouvez envoyer un ticket au support Microsoft.
Suivez les étapes décrites dans Collecter les données de diagnostic de l’antivirus Microsoft Defender.
Voir aussi
- Collecter les données de diagnostic de l’antivirus Microsoft Defender
- Configurer et valider des exclusions pour les analyses antivirus Microsoft Defender
- Analyseur de performances pour Microsoft Defender Antivirus
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.