リアルタイム保護に関連するパフォーマンスの問題のトラブルシューティング
適用対象:
- Microsoft Defender for Endpointプラン 1 と 2
- Microsoft Defender ウイルス対策
プラットフォーム
- Windows
- Windows Server
お使いのシステムで、Microsoft Defender ウイルス対策 (マルウェア対策サービスの実行可能ファイル、MsMpEng.exe、Microsoft Defender ウイルス対策) に関連する CPU 使用率またはパフォーマンスの問題が高い場合。
管理者は、これらの問題を自分でトラブルシューティングすることもできます。
まず、他のソフトウェアが問題を引き起こしている場合は、チェックすることをお勧めします。 ウイルス対策の除外に関する既知の問題については、「ベンダーに問い合わせてください」を参照してください。
Microsoft Defender ウイルス対策による CPU 使用率が高くなる一般的な理由
| 理由 | ソリューション |
|---|---|
1. 署名されていないバイナリ (.exe、 .dllなど)バイナリ ( .exe、.dllなど) が起動または開始されるたびに、デジタル署名されていない場合は、リアルタイム保護スキャンを開始 Microsoft Defenderするか、スケジュールされたスキャンやオンデマンド スキャンを実行しているときに、ウイルス対策が開始されます。 |
内部 PKI を使用してバイナリに署名することを検討する必要があります。 バイナリに署名できるように、ベンダーに問い合わせてください。 そして、インジケーターに証明書を追加 する – 証明書 - 許可 ソフトウェア ベンダーは、 誤検知を最小限に抑えるために、業界との提携に関するさまざまなガイドラインに従うことをお勧めします。 ソフトウェア ベンダーまたはソフトウェア開発者は、Microsoft セキュリティ インテリジェンス ポータルでアプリケーション、サービス、またはスクリプトを送信できます。 回避策として、次の手順を実行できます。 1. (推奨) .exe と dll の使用 のインジケーター - ファイル ハッシュ - 許可 2. (代替) ウイルス対策の除外を追加する (プロセス+パス)。 |
| 2. HTA、CHM、およびさまざまなファイルをデータベースとして使用する。 ウイルス対策Microsoft Defender複雑なファイル形式を抽出またはスキャンする必要がある場合は、CPU 使用率が高くなる可能性があります。 |
情報を保存してクエリを実行する必要がある場合は、実際のデータベースの使用に切り替えることを検討してください。 回避策として、 ウイルス対策の除外 (プロセス +パス) を追加します。 |
| 3. スクリプトでの難読化の使用。 スクリプトを難読化する場合は、スクリプトに悪意のあるペイロードが含まれているかどうかをチェックするために、ウイルス対策Microsoft Defender、スキャン中に CPU 使用率を増やすことができます。 |
スクリプトの難読化は、必要な場合にのみ使用します。 回避策として、 ウイルス対策の除外 (プロセス +パス) を追加します。 |
| 4. イメージをシールする前に、Microsoft Defenderウイルス対策キャッシュの終了を許可しません。 | 非永続的イメージの場合など、VDI イメージを作成する場合は、イメージがシールされる前にキャッシュメンテナンスが完了していることを確認してください。 詳細については、「リモート デスクトップまたは仮想デスクトップ インフラストラクチャ環境でMicrosoft Defenderウイルス対策を構成する」を参照してください。 |
| 5. スペルミスが原因でパスの除外が間違っていること。 スペルミスの除外パスを追加すると、パフォーマンスの問題が発生する可能性があります。 |
パスベースの除外を検証するには、 MpCmdRun.exe -CheckExclusion -Path を使用します。 |
| 6. パス除外が追加されると、フローのスキャンに機能します。 動作監視 (BM) とネットワーク リアルタイム検査 (NRI) は、引き続きパフォーマンスの問題を引き起こす可能性があります。 |
回避策として、次の手順を実行します。 1. (推奨) .exe とdllの使用 の指標 - ファイルハッシュ - 許可 または インジケータ - 証明書 - 許可 2. (代替) ウイルス対策の除外を追加する (プロセス+パス)。 |
| 7. ファイル ハッシュ計算。 ファイル インジケーターに使用されるファイル ハッシュ計算を有効にすると、パフォーマンスのオーバーヘッドが増えます。 たとえば、ネットワーク共有からローカル デバイス (特に VPN 接続経由) に大きなファイルをコピーすると、デバイスのパフォーマンスに影響する可能性があります。 |
ここで、セキュリティを強化するか、CPU 使用率を減らすかをリーダーシップ チームが決定する必要があります。 考えられる解決策の 1 つは、ファイル ハッシュ計算機能を無効にすることです。 コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defenderウイルス対策>MpEngine に移動し、ファイル ハッシュ計算機能を有効にします。 注: インジケーター - ファイル ハッシュ機能を有効にするには、この機能をアクティブにする必要があります。 |
どのコンポーネントが CPU 使用率の向上に寄与している可能性があるかを判断するのに役立ちます
| コンポーネント | ソリューション |
|---|---|
| リアルタイム保護 (RTP) スキャン |
トラブルシューティング モードを使用して、改ざん防止をオフにすることができます。 改ざん防止がオフになると、"リアルタイム保護" を一時的にオフにして除外することができます。 前のセクション「Microsoft Defender ウイルス対策による CPU 使用率が向上する一般的な理由」を参照してください。 |
| スケジュールされたスキャン | 既定のスケジュールされたスキャン設定を確認する 一般的なスケジュールされたスキャン設定。 - スケジュールされたスキャンの CPU 優先度を低く構成します (スケジュールされたスキャンに低い CPU 優先度を使用します)。 通常のスキャンの Windows のスレッド優先度には、 8 (下位) と 9 (高) の 2 つの値があります。 これを enabled に設定すると、スケジュールされたスキャン スレッドの優先順位を 9 から 8 に下げ、他のアプリケーション スレッドをより高い優先順位で実行できるため、ウイルス対策Microsoft Defenderよりも CPU 時間が長くなります。 - スキャン中の CPU 使用率の最大割合 (スキャンあたりの CPU 使用率の制限) を指定します。 50 は既定の設定です。 20 または 30に下げることが可能です。 変更制御ウィンドウがある場合、使用できる CPU の量を変更すると、スキャンに時間がかかります。 - スケジュールされたスキャンは、コンピューターがオンになっているが、 ScanOnlyIfIdle を Not configured に設定して使用していない場合にのみ開始します (既定で有効になっています)。 マシンがアイドル状態である必要があります。つまり、デバイス全体の CPU 使用率が 80% を下回る必要があります。 毎日のクイック スキャン設定 - Specify the interval to run quick scans per day を Not configured に設定します (次のクイック スキャンが実行されるまでの経過時間 - 0 から 24 時間)- Specify the time for a daily quick scan (Run daily quick scan at) を 12 PMに設定します。 週単位のスケジュールされたスキャン (クイックまたはフル) 設定を実行する - スケジュールされたスキャンに使用するスキャンの種類を指定します ( Scan type を Not configuredに設定します)。 - スケジュールされたスキャンを実行する時刻を指定します ( Day of week to run scheduled scan を Not configuredに設定します)。 - スケジュールされたスキャンを実行する曜日を指定します ( Time of day to run a scheduled scan を Not configuredに設定します)。 |
| セキュリティ インテリジェンスの更新後にスキャンします。 | 既定では、Microsoft Defenderウイルス対策は、最適な保護のためにセキュリティ インテリジェンスの更新後にスキャンされます。 スケジュールされたスキャンが有効になっている場合は、スケジュール外で実行されるスキャンがあると考える場合があります。 ここで、セキュリティを強化するか、CPU 使用率を減らすかをリーダーシップ チームが決定する必要があります。 回避策として、グループ ポリシー (または MDM などの別の管理ツール) で、[コンピューターの構成>管理用テンプレート>ウイルス対策>セキュリティ インテリジェンス Updates Microsoft Defenderに移動し、[セキュリティ インテリジェンスの更新後にスキャンを有効にする] を [ Disabled] に設定します。 |
| 他のセキュリティ ソフトウェアとの競合 | ウイルス対策、EDR、DLP、エンドポイント特権管理、VPN などの Microsoft 以外のセキュリティ ソフトウェアがある場合は、そのソフトウェアを Microsoft Defender ウイルス対策の除外 (パス + プロセス) に追加します。その逆も同様です。 Microsoft Defenderウイルス対策バイナリの一覧を取得するには、「Defender for Endpoint サービスとの接続を確保するようにネットワーク環境を構成する」を参照してください。 |
| 多数のファイルまたはフォルダーをスキャンする | .iso、.vhdx などの大きなファイルがあり、ユーザー プロファイル (デスクトップ、ダウンロード、ドキュメントなど) に配置されていて、そのプロファイルがオフライン ファイル (CSC) や OneDrive (または同様の製品) などのネットワーク共有にリダイレクトされている場合、スキャンの実行に時間がかかる場合があります。 これは、デバイスにローカルに保存されているファイルよりも待機時間が長いネットワークをスキャンしているためです。 プロファイルに.iso/.vhd/.vhdx などが必要ない場合は、ネットワーク共有 (マップされたドライブ、UNC 共有、smb 共有) に配置されていない別のフォルダーに移動します。 |
Microsoft Defender ウイルス対策で CPU 使用率が高くなる原因
proa\ctive の手順が完了したら、何がトリガーされ、CPU 使用率が高くなっているかを特定できます。
| # | CPU 使用率の高いトリガーとなるものを絞り込むのに役立つツール | 注釈 |
|---|---|---|
| 1 | ウイルス対策診断データMicrosoft Defender収集する | Microsoft Defenderウイルス対策に関する問題のトラブルシューティングを行うたびに含めるウイルス対策診断データMicrosoft Defenderします。 |
| 2 | Microsoft Defender ウイルス対策のパフォーマンス アナライザー | Microsoft Defenderウイルス対策に関連するパフォーマンス固有の問題については、「Microsoft Defender ウイルス対策のパフォーマンス アナライザー」を参照してください。 これにより、データ収集を実行し、データを解析することができます。この場合は理解が容易です。 注: このデータを収集するときに、問題が再現されていることを確認してください。 |
| 3 | プロセス モニター Microsoft Defenderウイルス対策のパフォーマンスに関する問題のトラブルシューティング | 何らかの理由で、Microsoft Defenderウイルス対策パフォーマンス アナライザーで CPU 使用率が高くなる原因を絞り込む必要がある詳細が提供されない場合は、Process Monitor (ProcMon) を使用できます。 ヒント: 5 ~ 10 分間収集できます。 注: このデータを収集するときに、問題が再現されていることを確認してください。 |
| 4 | WPRUI Microsoft Defenderウイルス対策のパフォーマンスに関する問題のトラブルシューティング | より高度なトラブルシューティングを行うには、Windows パフォーマンス レコーダー UI (WPRUI) または Windows パフォーマンス レコーダー (WPR) を利用できます。 このトレースの詳細のため、最大 3 分から 5 分に制限する必要があることに注意してください。 このデータを収集するときに、問題がアクティブに発生していることを確認します。 |
ウイルス対策製品に関する既知の問題をベンダーに確認する
システムのパフォーマンスに影響を与えるソフトウェアを簡単に特定できる場合は、ソフトウェア ベンダーのサポート情報またはサポート センターにアクセスしてください。 ウイルス対策製品に関する既知の問題があるかどうかを確認します。 必要に応じて、サポート チケットを開き、発行するように依頼できます。
ソフトウェア ベンダーは、 誤検知を最小限に抑えるために、業界との提携に関するさまざまなガイドラインに従うことをお勧めします。 ベンダーは、Microsoft セキュリティ インテリジェンス ポータルからソフトウェアを送信できます。
それでも問題が発生した場合はどうすればよいですか?
Microsoft サポートにチケットを送信できます。
「Microsoft Defenderウイルス対策診断データを収集する」の手順に従います。
関連項目
- ウイルス対策診断データMicrosoft Defender収集する
- Microsoft Defenderウイルス対策スキャンの除外を構成して検証する
- Microsoft Defender ウイルス対策のパフォーマンス アナライザー
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。