Risolvere i problemi di prestazioni correlati alla protezione in tempo reale
Si applica a:
- Microsoft Defender per endpoint Piano 1 e 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
- Server Windows
Se il sistema presenta un utilizzo elevato della CPU o problemi di prestazioni correlati all'antivirus Microsoft Defender (file eseguibile del servizio Antimalware, MsMpEng.exe Microsoft Defender Antivirus).
Gli amministratori possono anche risolvere questi problemi autonomamente.
In primo luogo, si potrebbe voler verificare se altro software sta causando il problema. Leggere Verificare con il fornitore i problemi noti relativi alle esclusioni antivirus.
Motivi comuni per un utilizzo più elevato della CPU da parte di antivirus Microsoft Defender
| Motivo | Soluzione |
|---|---|
1. File binari non firmati (.exe, .dlle così via)Ogni volta che un file binario (ad .exeesempio ,.dll e così via) viene avviato o avviato, se non è firmato digitalmente, Microsoft Defender Antivirus avvia un'analisi di protezione in tempo reale o quando si esegue un'analisi pianificata e/o un'analisi su richiesta. |
È consigliabile firmare i file binari usando un'infrastruttura a chiave pubblica interna. E/o raggiungere il fornitore in modo che possano firmare il file binario. E l'aggiunta del certificato agli indicatori - Certificato - consenti È consigliabile che i fornitori di software seguano le varie linee guida in Collaborazione con il settore per ridurre al minimo i falsi positivi. Il fornitore o lo sviluppatore di software può inviare l'applicazione, il servizio o lo script nel portale di Intelligence di sicurezza Microsoft. Come soluzione alternativa, è possibile seguire questa procedura: 1. (Preferito) Per gli indicatori di utilizzo di .exe e dll - Hash file - consenti 2. (Alternativa) Aggiungere esclusioni antivirus (processo+percorso).2. |
| 2. Uso di HTA, CHM e file diversi come database. Ogni volta che Microsoft Defender Antivirus deve estrarre e/o analizzare formati di file complessi, può verificarsi un maggiore utilizzo della CPU. |
È consigliabile passare all'uso di database effettivi se è necessario salvare le informazioni ed eseguirne query. Come soluzione alternativa, aggiungere esclusioni antivirus (processo+percorso).As a workaround, add Antivirus exclusions (process+path). |
| 3. Uso di offuscamenti sugli script. Se si offuscano gli script, Microsoft Defender Antivirus per verificare se lo script contiene payload dannosi, può usare un maggiore utilizzo della CPU durante l'analisi. |
Usare l'offuscamento dello script solo quando necessario. Come soluzione alternativa, aggiungere esclusioni antivirus (processo+percorso).As a workaround, add Antivirus exclusions (process+path). |
| 4. Non consentire il completamento della cache Microsoft Defender Antivirus prima di sigillare l'immagine. | Se si sta creando un'immagine VDI, ad esempio per un'immagine non persistente, assicurarsi che la manutenzione della cache venga completata prima che l'immagine venga sealed. Per altre informazioni, vedere Configurare Microsoft Defender Antivirus in un ambiente di infrastruttura desktop remoto o desktop virtuale. |
| 5. L'esclusione o le esclusioni di percorso non sono errate a causa di errori di ortografia. Se si aggiungono percorsi di esclusione con errori di ortografia, possono verificarsi problemi di prestazioni. |
Usare MpCmdRun.exe -CheckExclusion -Path per convalidare le esclusioni basate su percorso. |
| 6. Quando viene aggiunta un'esclusione di percorso, funziona per l'analisi dei flussi. Il monitoraggio del comportamento (BM) e l'ispezione in tempo reale della rete (NRI) possono comunque causare problemi di prestazioni. |
Come soluzione alternativa, seguire questa procedura: 1. (Preferito) Per l'uso di .exe e DLL Indicatori - Hash file - consenti o Indicatori - Certificato - consenti 2. (Alternativa) Aggiungere esclusioni antivirus (processo+percorso).2. |
| 7. Calcolo dell'hash dei file. Se si abilita il calcolo dell'hash dei file, usato per gli indicatori di file, si verifica un sovraccarico delle prestazioni maggiore. Ad esempio, la copia di file di grandi dimensioni da una condivisione di rete nel dispositivo locale, in particolare tramite una connessione VPN, potrebbe avere un effetto sulle prestazioni del dispositivo. |
È qui che l'utente e il team di leadership dovranno prendere una decisione, di avere maggiore sicurezza o meno utilizzo della CPU. Una possibile soluzione consiste nel disabilitare la funzionalità di calcolo dell'hash dei file. Passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft Defender Antivirus>MpEngine e quindi abilitare le funzionalità di calcolo dell'hash dei file. Nota: per abilitare la funzionalità Indicatori - Hash file, questa funzionalità deve essere attivata. |
Per determinare quale componente potrebbe contribuire a un utilizzo più elevato della CPU
| Componente | Soluzione |
|---|---|
| Analisi della protezione in tempo reale (RTP) | È possibile usare la modalità di risoluzione dei problemi per disattivare Protezione antimanomissione. Una volta disattivata la protezione antimanomissione, è possibile disattivare temporaneamente la "protezione in tempo reale", per escluderla. Vedere la sezione precedente, Motivi comuni per un utilizzo più elevato della CPU da parte di Microsoft Defender Antivirus. |
| Analisi pianificata | Controllare le impostazioni predefinite dell'analisi pianificata Impostazioni generali dell'analisi pianificata. - Configurare una priorità bassa della CPU per le analisi pianificate (usare una priorità bassa della CPU per le analisi pianificate). La priorità del thread in Windows per le analisi normali ha due valori: 8 (inferiore) e 9 (superiore). Impostando questo enabledsu , si riduce la priorità pianificata del thread di analisi da 9 a 8, che consente ad altri thread dell'applicazione di essere eseguiti con una priorità più alta, ottenendo così più tempo di CPU rispetto a Microsoft Defender Antivirus. - Specificare la percentuale massima di utilizzo della CPU durante un'analisi (limite di utilizzo della CPU per analisi). 50 è l'impostazione predefinita; è possibile abbassarlo a 20 o 30. Se si dispone di una finestra di controllo delle modifiche, modificando la quantità di CPU che può essere usata, l'analisi richiederà più tempo. - Avviare l'analisi pianificata solo quando il computer è acceso ma non in uso impostando su ScanOnlyIfIdleNot configured (è abilitato per impostazione predefinita). Richiede che il computer sia inattivo, il che significa che l'utilizzo complessivo della CPU del dispositivo deve essere inferiore all'80%. Impostazioni di analisi rapida giornaliere - Impostare su Specify the interval to run quick scans per dayNot configured (Quante ore sono trascorsa, prima dell'esecuzione dell'analisi rapida successiva - da 0 a 24 ore)- Impostato su Specify the time for a daily quick scan (Run daily quick scan at)12 PM. Eseguire un'analisi pianificata settimanale (rapida o completa) - Specificare il tipo di analisi da usare per un'analisi pianificata (impostare su Scan typeNot configured). - Specificare l'ora del giorno per eseguire un'analisi pianificata (impostata su Day of week to run scheduled scanNot configured). - Specificare il giorno della settimana per eseguire un'analisi pianificata (impostare su Time of day to run a scheduled scanNot configured). |
| Eseguire l'analisi dopo un aggiornamento dell'intelligence per la sicurezza. | Per impostazione predefinita, Microsoft Defender Antivirus analizza dopo un aggiornamento dell'intelligence di sicurezza per scopi di protezione ottimali. Se le analisi pianificate sono abilitate, si potrebbe pensare che siano presenti analisi eseguite al di fuori della pianificazione. È qui che l'utente e il team di leadership dovranno prendere una decisione, di avere maggiore sicurezza o meno utilizzo della CPU. Come soluzione alternativa, in Criteri di gruppo (o in un altro strumento di gestione, ad esempio MDM), passare aModelli> amministrativi di configurazione> computer Microsoft Defender Aggiornamenti DiIntelligence per la sicurezza antivirus > e impostare Attiva analisi dopo l'aggiornamento dell'intelligence per Disabledla sicurezza su . |
| Conflitti con altri software di sicurezza | Se si dispone di software di sicurezza non Microsoft, ad esempio antivirus, EDR, DLP, gestione dei privilegi degli endpoint, VPN e così via, aggiungere il software al Microsoft Defender esclusioni antivirus (percorso e processi) e viceversa. Per ottenere l'elenco dei file binari di Microsoft Defender Antivirus, vedere Configurare l'ambiente di rete per garantire la connettività con il servizio Defender per endpoint. |
| Analisi di un numero elevato di file o cartelle | Se si dispone di un file di grandi dimensioni, ad esempio un .iso, vhdx e così via, seduto nel profilo utente (desktop, download, documenti e così via) e tale profilo viene reindirizzato alle condivisioni di rete, ad esempio File offline (CSC) o OneDrive (o prodotti simili), l'esecuzione delle analisi può richiedere più tempo. Ciò è dovuto al fatto che si sta analizzando una rete, in cui è presente una latenza maggiore rispetto ai file archiviati in locale in un dispositivo. Se non è necessario il .iso/.vhd/.vhdx e così via seduto sul profilo, spostarlo in una cartella diversa in cui non si trova in una condivisione di rete (unità mappata, condivisione unc, condivisione smb). |
Cosa attiva e causa un utilizzo più elevato della CPU in Microsoft Defender Antivirus
Dopo aver completato i passaggi proa\ctive, è possibile identificare gli elementi che attivano e causano un utilizzo più elevato della CPU:
| # | Strumenti che consentono di limitare gli elementi che attivano l'utilizzo elevato della CPU | Commenti |
|---|---|---|
| 1 | Raccogliere Microsoft Defender dati di diagnostica antivirus | Microsoft Defender dati di diagnostica antivirus che si desidera includere ogni volta che si risolve un problema con Microsoft Defender Antivirus. |
| 2 | Analizzatore prestazioni per Microsoft Defender Antivirus | Per i problemi specifici delle prestazioni relativi all'antivirus Microsoft Defender, vedere Analizzatore prestazioni per Microsoft Defender Antivirus. In questo modo è possibile eseguire la raccolta dati e analizzarli, dove è facile da comprendere. Nota: assicurarsi che il problema si riproduca quando si raccolgono questi dati. |
| 3 | Risolvere Microsoft Defender problemi di prestazioni dell'antivirus con Monitoraggio processi | Se per qualche motivo l'analizzatore delle prestazioni Microsoft Defender Antivirus non fornisce i dettagli necessari per limitare gli elementi che attivano l'utilizzo elevato della CPU, è possibile usare Monitoraggio processi (ProcMon). Suggerimento: è possibile raccogliere per 5-10 minuti. Nota: assicurarsi che il problema si riproduca quando si raccolgono questi dati. |
| 4 | Risolvere i problemi di prestazioni di Microsoft Defender Antivirus con WPRUI | Per la risoluzione dei problemi più avanzata, è possibile usare l'interfaccia utente di Windows Performance Recorder (WPRUI) o Windows Performance Recorder (WPR). Tenere presente che, a causa della verbosità di questa traccia, deve essere limitata a un massimo di 3-5 minuti. Assicurarsi che il problema si verifichi attivamente quando si raccolgono questi dati. |
Verificare con il fornitore la presenza di problemi noti relativi ai prodotti antivirus
Se è possibile identificare facilmente il software che influisce sulle prestazioni del sistema, passare al centro di knowledge base o supporto tecnico del fornitore del software. Verificare se sono presenti problemi noti con i prodotti antivirus. Se necessario, è possibile aprire un ticket di supporto con loro e chiedere loro di pubblicarne uno.
È consigliabile che i fornitori di software seguano le varie linee guida in Collaborazione con il settore per ridurre al minimo i falsi positivi. Il fornitore può inviare il software tramite il portale di Intelligence di sicurezza Microsoft.
Cosa succede se si verifica ancora un problema?
È possibile inviare un ticket al supporto tecnico Microsoft.
Seguire la procedura descritta in Raccogliere Microsoft Defender dati di diagnostica antivirus.
Vedere anche
- Raccogliere Microsoft Defender dati di diagnostica antivirus
- Configurare e convalidare le esclusioni per le analisi antivirus Microsoft Defender
- Analizzatore prestazioni per Microsoft Defender Antivirus
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.