Feilsøke ytelsesproblemer relatert til sanntidsbeskyttelse
Gjelder for:
- Microsoft Defender for endepunkt plan 1 og 2
- Microsoft Defender Antivirus
Plattformer
- Windows
- Windows Server
Hvis systemet har høy CPU-bruk eller ytelsesproblemer relatert til Microsoft Defender Antivirus (kjørbar tjeneste for beskyttelse mot skadelig programvare, MsMpEng.exe, Microsoft Defender Antivirus).
Som administrator kan du også feilsøke disse problemene på egen hånd.
Først bør du kontrollere om annen programvare forårsaker problemet. Les Kontakt leverandøren for kjente problemer med antivirusutelukkelser.
Vanlige årsaker til høyere prosessorutnyttelse ved Microsoft Defender Antivirus
| Grunn | Løsning |
|---|---|
1. Binærfiler ikke signert (.exe, .dllog så videre)Hver gang en binær (for eksempel .exe,.dll, og så videre) startes/startes, starter Microsoft Defender Antivirus en sanntidsbeskyttelsesskanning eller når du kjører en planlagt skanning, og/eller ved behov-skanning. |
Du bør vurdere å signere binærfilene ved hjelp av en intern PKI. Og/eller ta kontakt med leverandøren slik at de kan signere binærfilen. Og legge til sertifikatet i indikatorene – sertifikat – tillat Vi anbefaler at programvareleverandører følger de ulike retningslinjene i Samarbeid med bransjen for å minimere falske positiver. Programvareleverandøren eller programvareutvikleren kan sende inn programmet, tjenesten eller skriptet i Microsoft Sikkerhetsintelligens-portalen. Som en midlertidig løsning kan du følge disse trinnene: 1. (Foretrukket) For .exe og DLL-er bruker indikatorer – fil-hash – tillat 2. (Alternativ) Legg til antivirusutelukkelser (prosess+bane). |
| 2. Bruke HTA-er, CHM-er og ulike filer som databaser. Når Microsoft Defender Antivirus må trekke ut og/eller skanne komplekse filformater, kan det oppstå høyere prosessorutnyttelse. |
Vurder å bytte til å bruke faktiske databaser hvis du trenger å lagre informasjon og spørre den. Som en midlertidig løsning kan du legge til antivirusutelukkelser (prosess+bane). |
| 3. Bruke obfuscations på skript. Hvis du obfuscate skript, Microsoft Defender Antivirus for å kontrollere om skriptet inneholder skadelige nyttelaster, kan det bruke mer CPU-utnyttelse under skanning. |
Bruk skriptobfuscation bare når det er nødvendig. Som en midlertidig løsning kan du legge til antivirusutelukkelser (prosess+bane). |
| 4. Lar ikke Microsoft Defender antivirusbufferen fullføres før du forsegler bildet. | Hvis du oppretter et VDI-bilde, for eksempel for et ikke-vedvarende bilde, må du kontrollere at vedlikehold av hurtigbufferen fullføres før bildet er forseglet. Hvis du vil ha mer informasjon, kan du se Konfigurere Microsoft Defender Antivirus på et eksternt skrivebord eller et virtuelt skrivebordsinfrastrukturmiljø. |
| 5. Feil baneutelukkelse(er) på grunn av feilstaving. Hvis du legger til feilstavede utelatelsesbaner, kan det føre til ytelsesproblemer. |
Brukes MpCmdRun.exe -CheckExclusion -Path til å validere banebaserte utelatelser. |
| 6. Når en baneutelukkelse legges til, fungerer den for skanning av flyter. Behavior Monitoring (BM) og Network Real-time Inspection (NRI) kan fortsatt forårsake ytelsesproblemer. |
Som en midlertidig løsning gjør du følgende: 1. (Foretrukket) For .exe og DLL-er bruker indikatorer – fil-hash – tillat eller indikatorer – sertifikat – tillat 2. (Alternativ) Legg til antivirusutelukkelser (prosess+bane). |
| 7. Databehandling av hash-fil. Hvis du aktiverer hash-kodeberegning for filer, som brukes for filindikatorer, er det mer ytelseskostnader. Kopiering av store filer fra en delt nettverksressurs til den lokale enheten, spesielt over en VPN-tilkobling, kan for eksempel ha innvirkning på enhetsytelsen. |
Her må du og ledergruppen ta en beslutning om å ha mer sikkerhet eller mindre prosessorutnyttelse. Én mulig løsning er å deaktivere funksjonen for hash-kode for fil. Gå tilWindows-komponenter>> foradministrative malerfor datamaskinkonfigurasjon>Microsoft Defender Antivirus>MpEngine, og aktiver deretter funksjoner for fil-hash-beregning. Obs! Hvis du vil aktivere indikatorer – fil-hash-funksjonalitet, må denne funksjonen være aktivert. |
For å finne ut hvilken komponent som kan bidra til høyere prosessorutnyttelse
| Komponent | Løsning |
|---|---|
| Skanning av sanntidsbeskyttelse (RTP) | Du kan bruke feilsøkingsmodus til å deaktivere Tamper Protection. Når Manipuleringsbeskyttelse er deaktivert, kan du deaktivere «Sanntidsbeskyttelse» midlertidig for å utelukke den. Se den forrige delen, vanlige årsaker til høyere prosessorutnyttelse ved Microsoft Defender Antivirus. |
| Planlagt skanning | Kontroller standardinnstillingene for planlagt skanning Generelle innstillinger for planlagt skanning. – Konfigurer lav CPU-prioritet for planlagte skanninger (bruk lav CPU-prioritet for planlagte skanninger). Trådprioriteten i Windows for normale skanninger har to verdier: 8 (lavere) og 9 (høyere). Når du angir dette, enabledsenker du den planlagte prioriteten for skannetråd fra 9 til 8, noe som gjør at andre programtråder kan kjøre med høyere prioritet, og dermed få mer CPU-tid enn Microsoft Defender Antivirus. – Angi den maksimale prosentandelen av prosessorutnyttelsen under en skanning (prosessorbruksgrense per skanning). 50 er standardinnstillingen. du kan senke den til 20 eller 30. Hvis du har et endringskontrollvindu ved å endre mengden CPU som kan brukes, tar skanningen lengre tid. – Start den planlagte skanningen bare når datamaskinen er på, men ikke er i bruk ved å angi ScanOnlyIfIdle til Not configured (den er aktivert som standard). Det krever at maskinen er inaktiv, noe som betyr at CPU-bruken for enheten må være lavere enn 80 %. Innstillinger for daglig hurtigskanning - Satt Specify the interval to run quick scans per day til Not configured (hvor mange timer har gått, før neste raske skanning kjører - 0 til 24 timer)- Sett Specify the time for a daily quick scan (Run daily quick scan at) til 12 PM. Kjøre en ukentlig planlagt skanning (rask eller fullstendig) innstillinger - Angi skannetypen som skal brukes for en planlagt skanning (sett Scan type til Not configured). - Angi tidspunktet for dagen for å kjøre en planlagt skanning (sett Day of week to run scheduled scan til Not configured). - Angi dagen i uken for å kjøre en planlagt skanning (sett Time of day to run a scheduled scan til Not configured). |
| Skann etter en oppdatering av sikkerhetsintelligens. | Som standard skanner Microsoft Defender Antivirus etter en sikkerhetsintelligensoppdatering for optimale beskyttelsesformål. Hvis planlagte skanninger er aktivert, tror du kanskje at det finnes skanninger som kjøres utenfor tidsplanen. Her må du og ledergruppen ta en beslutning om å ha mer sikkerhet eller mindre prosessorutnyttelse. Som en midlertidig løsning går du til Administrative maler for datamaskinkonfigurasjon> i gruppepolicy (eller et annetadministrasjonsverktøy, for eksempel MDM), Microsoft Defender>antivirussikkerhetsintelligens Oppdateringer og setter Aktiver skanning etter oppdatering av sikkerhetsintelligens til Disabled.> |
| Konflikter med annen sikkerhetsprogramvare | Hvis du har ikke-Microsoft-sikkerhetsprogramvare, for eksempel antivirus, EDR, DLP, behandling av endepunktrettigheter, VPN og så videre, legger du til programvaren i Microsoft Defender Antivirus-utelatelser (bane + prosesser) og omvendt. Hvis du vil ha en liste over Microsoft Defender Antivirus-binærfiler, kan du se Konfigurere nettverksmiljøet for å sikre tilkobling til Defender for Endpoint-tjenesten. |
| Skanne et stort antall filer eller mapper | Hvis du har en stor fil, for eksempel en .iso, .vhdx og så videre, sitter du i brukerprofilen (skrivebordet, nedlastinger, dokumenter og så videre), og profilen omdirigeres til delte nettverksressurser, for eksempel frakoblede filer (CSC) eller OneDrive (eller lignende produkter), kan det ta lengre tid å kjøre skanninger. Dette er fordi du skanner et nettverk, der det er mer ventetid sammenlignet med filer som er lagret lokalt på en enhet. Hvis du ikke trenger .iso/.vhd/.vhdx osv. når du sitter på profilen din, flytter du den til en annen mappe der den ikke sitter på en delt nettverksressurs (tilordnet stasjon, unc share, smb share). |
Hva utløser og forårsaker høyere prosessorutnyttelse i Microsoft Defender Antivirus
Når proa\ctive-trinnene er fullført, kan du identifisere hva som utløser og forårsaker høyere prosessorutnyttelse:
| # | Verktøy for å begrense hva som utløser den høye prosessorutnyttelsen | Kommentarer |
|---|---|---|
| 1 | Samle inn diagnosedata for Microsoft Defender antivirus | Microsoft Defender antivirusdiagnosedata du vil inkludere når du feilsøker et problem med Microsoft Defender Antivirus. |
| 2 | Ytelsesanalyse for Microsoft Defender Antivirus | Hvis du vil ha ytelsesspesifikke problemer relatert til Microsoft Defender Antivirus, kan du se Ytelsesanalyse for Microsoft Defender Antivirus. Dette gjør at du kan kjøre datainnsamlingen og analysere dataene, der det er enkelt å forstå. Obs! Kontroller at problemet reproduseres når du samler inn disse dataene. |
| 3 | Feilsøke Microsoft Defender antivirusytelsesproblemer med Prosessovervåking | Hvis Microsoft Defender antivirusytelsesanalyse av en eller annen grunn ikke inneholder detaljene du trenger for å begrense hva som utløser den høye prosessorutnyttelsen, kan du bruke Prosessovervåking (ProcMon). Tips: Du kan samle inn i 5-10 minutter. Obs! Kontroller at problemet reproduseres når du samler inn disse dataene. |
| 4 | Feilsøke Microsoft Defender antivirusytelsesproblemer med WPRUI | Hvis du vil ha mer avansert feilsøking, kan du bruke brukergrensesnittet for Windows Performance Recorder (WPRUI) eller Windows Performance Recorder (WPR). Husk at på grunn av detaljnivået til denne sporingen, bør den være begrenset til maksimalt 3 til 5 minutter. Sørg for at problemet oppstår aktivt når du samler inn disse dataene. |
Ta kontakt med leverandøren for kjente problemer med antivirusprodukter
Hvis du enkelt kan identifisere programvaren som påvirker systemytelsen, kan du gå til programvareleverandørens kunnskapsbase eller støttesenter. Kontroller om det er kjente problemer med antivirusprodukter. Hvis det er nødvendig, kan du åpne en støtteforespørsel med dem og be dem om å publisere en.
Vi anbefaler at programvareleverandører følger de ulike retningslinjene i Samarbeid med bransjen for å minimere falske positiver. Leverandøren kan sende inn programvaren gjennom Microsoft Sikkerhetsintelligens portalen.
Hva om jeg fortsatt har et problem?
Du kan sende inn en billett til Microsoft Kundestøtte.
Følg trinnene i Innsamling Microsoft Defender Antivirus-diagnosedata.
Se også
- Samle inn diagnosedata for Microsoft Defender antivirus
- Konfigurere og validere utelatelser for antivirusskanninger for Microsoft Defender
- Ytelsesanalyse for Microsoft Defender Antivirus
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.