실시간 보호 관련 성능 문제 해결
적용 대상:
- 엔드포인트용 Microsoft Defender 플랜 1 및 2
- Microsoft Defender 바이러스 백신
플랫폼
- Windows
- Windows Server
시스템에서 Microsoft Defender 바이러스 백신(맬웨어 방지 서비스 실행 파일, MsMpEng.exe Microsoft Defender 바이러스 백신)과 관련된 높은 CPU 사용량 또는 성능 문제가 있는 경우
관리자는 이러한 문제를 직접 해결할 수도 있습니다.
먼저 다른 소프트웨어가 문제를 일으키는 경우 검사 수 있습니다. 바이러스 백신 제외와 관련된 알려진 문제는 공급업체에 확인을 참조하세요.
바이러스 백신을 Microsoft Defender CPU 사용률이 높은 일반적인 이유
| 이유 | 해결 방법 |
|---|---|
1: 서명되지 않은 이진 파일(.exe, .dll, .ps1등)이진 파일(예: .exe, .dll, .ps1등)이 시작/시작될 때마다 디지털 서명되지 않은 경우 Microsoft Defender 바이러스 백신은 실시간 보호 검사, 예약된 검사 및/또는 주문형 검사를 시작합니다. |
모두 이진 파일에 서명(EV(확장 코드 유효성 검사) 코드 서명 또는 내부 PKI 사용)을 고려해야 합니다. 그리고/또는 공급업체에 연락하여 이진(EV 코드 서명)에 서명할 수 있습니다. 소프트웨어 공급업체는 가양성 최소화를 위해 업계와의 파트너관계의 다양한 지침을 따르는 것이 좋습니다. 공급업체 또는 소프트웨어 개발자는 Microsoft 보안 인텔리전스 포털에서 애플리케이션, 서비스 또는 스크립트를 제출할 수 있습니다. 해결 방법에서는 다음 단계를 수행할 수 있습니다. 1. (기본 설정) .exe 및 dll의 사용 표시기 – 파일 해시 - 허용 또는 표시기 – 인증서 - 허용 2. (대안) 바이러스 백신 제외 추가(process+path). |
| 2. HTA, CHM 및 다른 파일을 데이터베이스로 사용합니다. 바이러스 백신을 Microsoft Defender 복잡한 파일 형식을 추출 및/또는 검사해야 하는 경우 CPU 사용률이 높아질 수 있습니다. |
정보를 저장하고 쿼리해야 하는 경우 실제 데이터베이스 사용으로 전환하는 것이 좋습니다. 해결 방법으로 바이러스 백신 제외(process+path)를 추가합니다. |
| 3. 스크립트에 난독 처리를 사용합니다. 스크립트를 난독 처리하고 바이러스 백신을 Microsoft Defender 스크립트에 악의적인 페이로드가 포함된 경우 검사 검사하는 동안 더 많은 CPU 사용률을 사용할 수 있습니다. |
필요한 경우에만 스크립트 난독 처리를 사용합니다. 해결 방법으로 바이러스 백신 제외(process+path)를 추가합니다. |
| 4. 이미지를 봉인하기 전에 Microsoft Defender 바이러스 백신 캐시가 완료되지 않도록 합니다. | 비영구 이미지와 같은 VDI 이미지를 만드는 경우 이미지를 봉인하기 전에 캐시 유지 관리가 완료되었는지 확인합니다. 자세한 내용은 원격 데스크톱 또는 가상 데스크톱 인프라 환경에서 Microsoft Defender 바이러스 백신 구성을 참조하세요. |
| 5. 맞춤법이 잘못 되어 경로가 잘못되었습니다. 철자가 잘못된 제외 경로를 추가하면 성능 문제가 발생할 수 있습니다. |
를 사용하여 MpCmdRun.exe -CheckExclusion -Path 경로 기반 제외의 유효성을 검사합니다. |
| 6. 경로 제외가 추가되면 흐름 검사에 작동합니다. BM(동작 모니터링) 및 NRI(네트워크 실시간 검사)는 여전히 성능 문제를 일으킬 수 있습니다. |
해결 방법으로 다음 단계를 수행합니다. 1. (기본 설정) .exe 및 dll의 사용 표시기 – 파일 해시 - 허용 또는 표시기 – 인증서 - 허용 2. (대안) 바이러스 백신 제외 추가(process+path). |
| 7. 파일 해시 계산. 파일 표시기에서 사용되는 파일 해시 계산을 사용하도록 설정하면 성능 오버헤드가 더 많이 발생합니다. 예를 들어 네트워크 공유에서 로컬 디바이스, 특히 VPN 연결을 통해 큰 파일을 복사하면 디바이스 성능에 영향을 미칠 수 있습니다. |
여기서 사용자와 리더십 팀은 더 많은 보안 또는 CPU 사용률을 줄이는 결정을 내려야 합니다. 한 가지 가능한 해결 방법은 파일 해시 계산 기능을 사용하지 않도록 설정하는 것입니다. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>MpEngine으로 이동한 다음 파일 해시 계산 기능을 사용하도록 설정합니다. |
CPU 사용률 향상에 기여할 수 있는 구성 요소를 결정하는 데 도움이 되도록
| 구성 요소 | 해결 방법 |
|---|---|
| RTP(실시간 보호) 검사 |
문제 해결 모드를 사용하여 변조 방지를 해제할 수 있습니다. 변조 방지가 꺼지면 이를 배제하기 위해 "실시간 보호"를 일시적으로 해제할 수 있습니다. 이전 섹션인 Microsoft Defender 바이러스 백신의 CPU 사용률이 높은 일반적인 이유를 참조하세요. |
| 예약된 검사 | 기본 예약 검사 설정 확인 일반 예약된 검사 설정입니다. - 예약된 검사에 대해 낮은 CPU 우선 순위를 구성합니다(예약된 검사에 낮은 CPU 우선 순위 사용). 일반 검사에 대한 Windows의 스레드 우선 순위에는 (낮게) 및 9 (높아진 값)의 두 가지 값 8 이 있습니다. 이를 enabled로 설정하면 예약된 검사 스레드 우선 순위를 에서 로 98낮추므로 다른 애플리케이션 스레드를 더 높은 우선 순위로 실행할 수 있으므로 Microsoft Defender 바이러스 백신보다 CPU 시간이 늘어나게 됩니다. - 검사 중 CPU 사용률의 최대 백분율을 지정합니다(검사당 CPU 사용량 제한). 50은 기본 설정입니다. 또는 30로 20 낮출 수 있습니다. 변경 제어 창이 있는 경우 사용할 수 있는 CPU 양을 수정하여 검사 시간이 더 오래 걸립니다. - 컴퓨터가 설정되어 있지만 를 로 설정 ScanOnlyIfIdleNot configured 하여 사용하지 않는 경우에만 예약된 검사를 시작합니다(기본적으로 사용하도록 설정됨). 컴퓨터가 유휴 상태여야 합니다. 즉, 전체 디바이스의 CPU 사용량이 80% 미만이어야 합니다. 매일 빠른 검사 설정 - 로 Not configured 설정Specify the interval to run quick scans per day(다음 빠른 검사가 실행되기 전에 경과된 시간 수 - 0~24시간)- 로 12 PM설정합니다Specify the time for a daily quick scan (Run daily quick scan at). 매주 예약된 검사 실행(빠른 또는 전체) 설정 - 예약된 검사에 사용할 검사 유형을 지정합니다(로 설정 Scan typeNot configured). - 예약된 검사를 실행할 시간을 지정합니다(로 설정 Day of week to run scheduled scanNot configured). - 예약된 검사를 실행할 요일을 지정합니다(로 설정 Time of day to run a scheduled scanNot configured). |
| 보안 인텔리전스 업데이트 후 검사합니다. | 기본적으로 Microsoft Defender 바이러스 백신은 최적의 보호를 위해 보안 인텔리전스 업데이트 후 검색합니다. 예약된 검사를 사용하도록 설정한 경우 일정 외에 실행되는 검사가 있다고 생각할 수 있습니다. 여기서 사용자와 리더십 팀은 더 많은 보안 또는 CPU 사용률을 줄이는 결정을 내려야 합니다. 해결 방법으로 그룹 정책(또는 MDM과 같은 다른 관리 도구)에서 컴퓨터 구성>관리 템플릿>Microsoft Defender 바이러스 백신>보안 인텔리전스 업데이트 이동하여 보안 인텔리전스 업데이트 후 검사 켜기를 로 Disabled설정합니다. |
| 다른 보안 소프트웨어와의 충돌 | 바이러스 백신, EDR, DLP, 엔드포인트 권한 관리, VPN 등과 같은 비 Microsoft 보안 소프트웨어가 있는 경우 해당 소프트웨어를 Microsoft Defender 바이러스 백신 제외(경로 + 프로세스)에 추가하고 그 반대의 경우도 마찬가지입니다. Microsoft Defender 바이러스 백신 이진 파일 목록을 보려면 엔드포인트용 Defender 서비스와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요. |
| 많은 수의 파일 또는 폴더 검사 | .iso, .vhdx 등과 같은 대용량 파일이 있는 경우 사용자 프로필(데스크톱, 다운로드, 문서 등)에 앉아 있고 해당 프로필이 오프라인 파일(CSC) 또는 OneDrive(또는 유사한 제품)와 같은 네트워크 공유로 리디렉션되는 경우 검사를 실행하는 데 시간이 더 오래 걸릴 수 있습니다. 디바이스에 로컬로 저장된 파일에 비해 대기 시간이 더 많은 네트워크를 검사하기 때문입니다. .iso/.vhd/.vhdx 등이 필요하지 않은 경우... 프로필에 앉아 네트워크 공유(매핑된 드라이브, 공유 해제, smb 공유)에 있지 않은 다른 폴더로 이동합니다. |
Microsoft Defender 바이러스 백신에서 더 높은 CPU 사용률을 트리거하고 일으키는 원인
proa\ctive 단계가 완료되면 트리거되는 항목을 식별하여 CPU 사용률을 높일 수 있습니다.
| # | 높은 CPU 사용률을 트리거하는 범위를 좁히는 데 도움이 되는 도구 | 설명 |
|---|---|---|
| 1 | Microsoft Defender 바이러스 백신 진단 데이터 수집 | Microsoft Defender 바이러스 백신 문제를 해결할 때마다 포함하려는 바이러스 백신 진단 데이터를 Microsoft Defender. |
| 2 | Microsoft Defender 바이러스 백신에 대한 성능 분석기 | Microsoft Defender 바이러스 백신과 관련된 성능 관련 문제는 Microsoft Defender 바이러스 백신에 대한 성능 분석기를 참조하세요. 이를 통해 데이터 수집을 실행하고 이해하기 쉬운 데이터를 구문 분석할 수 있습니다. 참고: 이 데이터를 수집할 때 문제가 재현되는지 확인합니다. |
| 3 | 프로세스 모니터를 사용하여 Microsoft Defender 바이러스 백신 성능 문제 해결 | 어떤 이유로 Microsoft Defender 바이러스 백신 성능 분석기가 높은 CPU 사용률을 트리거하는 항목을 좁히는 데 필요한 세부 정보를 제공하지 않는 경우 프로세스 모니터(ProcMon)를 사용할 수 있습니다. 팁: 5-10분 동안 수집할 수 있습니다. 참고: 이 데이터를 수집할 때 문제가 재현되는지 확인합니다. |
| 4 | WPRUI를 사용하여 Microsoft Defender 바이러스 백신 성능 문제 해결 | 고급 문제 해결을 위해 WPRUI(Windows Performance Recorder UI) 또는 WPR(Windows Performance Recorder)을 활용할 수 있습니다. 이 추적의 세부 정보 표시로 인해 최대 3~5분으로 제한해야 합니다. 이 데이터를 수집할 때 문제가 적극적으로 발생하는지 확인합니다. |
바이러스 백신 제품에 대한 알려진 문제는 공급업체에 문의하세요.
시스템 성능에 영향을 주는 소프트웨어를 쉽게 식별할 수 있는 경우 소프트웨어 공급업체의 기술 자료 또는 지원 센터로 이동합니다. 바이러스 백신 제품에 알려진 문제가 있는지 확인합니다. 필요한 경우 지원 티켓을 열고 게시하도록 요청할 수 있습니다.
소프트웨어 공급업체는 가양성 최소화를 위해 업계와의 파트너관계의 다양한 지침을 따르는 것이 좋습니다. 공급업체는 Microsoft 보안 인텔리전스 포털을 통해 소프트웨어를 제출할 수 있습니다.
그래도 문제가 발생하면 어떻게 해야 하나요?
Microsoft 지원에 티켓을 제출할 수 있습니다.
Microsoft Defender 바이러스 백신 진단 데이터 수집의 단계를 수행합니다.
참고 항목
- Microsoft Defender 바이러스 백신 진단 데이터 수집
- Microsoft Defender 바이러스 백신 검사에 대한 제외 구성 및 유효성 검사
- Microsoft Defender 바이러스 백신에 대한 성능 분석기
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.