Overwegingen en best practices voor volledige scan van Microsoft Defender Antivirus
Van toepassing op:
- Microsoft Defender voor eindpuntabonnementen 1 en 2
- Microsoft Defender Antivirus
Platforms
- Windows
In dit artikel worden de overwegingen en aanbevolen procedures voor het uitvoeren van volledige antivirusscans met Microsoft Defender voor Eindpunt uitgelegd. In dit artikel worden de factoren beschreven die van invloed zijn op de scanprestaties en worden scenario's beschreven waarbij een verhoogd resourceverbruik resulteert in een betere beveiliging.
Overzicht
Realtime-beveiliging in Defender voor Eindpunt is een functie waarmee uw computer continu wordt gescand om malware-infecties in realtime te detecteren en te stoppen. Het maakt gebruik van heuristische en op gedrag gebaseerde detectiemethoden om de activiteit op uw apparaat te bewaken en bescherming te bieden tegen bedreigingen wanneer deze zich voordoen. Onze aanbeveling voor geplande scans is om snelle scan te configureren in combinatie met always-on realtime-beveiliging en cloudbeveiliging, omdat deze combinatie een sterke dekking biedt tegen malware die begint met het systeem en malware op kernelniveau. Deze configuratie is de standaardconfiguratie. Over het algemeen hoeft u geen volledige scan te plannen en hoeven de meeste gebruikers nooit handmatig volledige scans uit te voeren (zie Snelle scan, volledige scan en aangepaste scan vergelijken).
Mogelijk moet u echter volledige scans uitvoeren om te voldoen aan de specifieke vereisten van uw organisatie. Een volledige scan begint met een snelle scan en gaat vervolgens verder met een sequentiële bestandsscan van alle vaste en verwisselbare netwerkstations die zijn gekoppeld. Een volledige scan kan enkele uren tot meerdere dagen duren, afhankelijk van het inhoudsvolume, het type inhoud en de resources die Microsoft Defender heeft toegewezen om de scan uit te voeren (zie Regelmatige snelle en volledige scans plannen met Microsoft Defender Antivirus). Scanprestaties zijn niet alleen een functie van bestandsgrootte en worden voornamelijk bepaald door het type en de complexiteit van de inhoud.
Beveiligingsefficiëntie en invloed op prestaties
Beveiliging en systeemresourcegebruik brengen compromissen met zich mee. De prestaties van het apparaat zijn sterk afhankelijk van uw omgeving. Het is normaal dat het uitvoeren van een volledige scan op een apparaat met veel complexe inhoud zou leiden tot een langere tijd tot voltooiing. De volgende tabel bevat een overzicht van scenario's waarin we beslissingen hebben genomen om meer systeemresources te gebruiken om onze beveiligingsefficiëntie te verhogen.
| Instelling | Standaard | Details |
|---|---|---|
| Archiveren/container (bijvoorbeeld ISO's) scannen | Enabled |
Microsoft Defender Antivirus is geoptimaliseerd om de scantijd van één object te minimaliseren. Containers kunnen veel objecten bevatten en het scannen ervan kan langer duren dan verwacht vanwege de overhead van het extraheren van de items in de container. |
| Maximale grootte van archiefscans | Unlimited |
|
| Toegewezen netwerk (bijvoorbeeld UNC, SMB, CIFS) | Enabled |
Standaard scant Microsoft Defender Antivirus toegewezen netwerkstations. |
| OneDrive-synchronisatie | Enabled |
Standaard scant Microsoft Defender Antivirus bureaubladen, documenten of downloads die worden gesynchroniseerd via OneDrive of mappensynchronisatie. |
| Cache-/offlinebestanden aan clientzijde | Enabled |
Standaard scant Defender de cache aan de clientzijde. |
| Gemiddelde CPU-belastingfactor scannen | 50 |
Zie de sectie Scannen en CPU-beperking van dit artikel. |
Opmerking
- Als realtime-beveiliging is ingeschakeld, worden bestanden gescand voordat ze worden geopend en uitgevoerd. Scannen vindt plaats ongeacht waar de bestanden zich bevinden (zie Scanopties configureren voor Microsoft Defender Antivirus).
- Het werkelijke CPU-gebruik kan variëren, afhankelijk van het aantal CPU-kernen, I/O-prestaties, geheugenbelasting, enzovoort. Als u het CPU-gebruik beperkt, kan het langer duren voordat een volledige scan is voltooid, dus klanten moeten deze waarde aanpassen, afhankelijk van de werkelijke CPU-gebruikswaarden die in hun specifieke omgeving zijn verkregen.
Instellingen en schakelopties voor optimalisatie van volledige scanprestaties
Apparaatprestaties zijn een belangrijke factor in de snelheid waarmee beveiligingsincidenten worden verwerkt en de snelheid van bestands-, netwerk- en scanactiviteiten. Een hogere verwerkingssnelheid van gebeurtenissen is gelijk aan een hogere impact op de prestaties van de AV-scanner. Verschillende antivirussoftwareconfiguraties kunnen van invloed zijn op de prestaties en beveiliging. Er zijn instellingen en schakelopties beschikbaar die u kunt configureren om de prestaties van Microsoft Defender Antivirus aan te passen.
Als u scanopties voor Microsoft Defender Antivirus wilt configureren, kunt u verschillende hulpprogramma's gebruiken (zie Scanopties configureren voor Microsoft Defender Antivirus). Hier volgen enkele van de beschikbare instellingen en schakelopties die u kunt gebruiken om volledige scans van Microsoft Defender Antivirus te configureren:
| Instelling | Standaard | PowerShell/WMI-parameter en details |
|---|---|---|
| Archiveren/container (bijvoorbeeld ISO's) scannen | Enabled |
Microsoft Defender Antivirus is geoptimaliseerd om de scantijd van één object te minimaliseren. Containers kunnen veel objecten bevatten en het scannen ervan kan langer duren dan verwacht vanwege de overhead van het extraheren van de items in de container. |
| Bestanden archiveren | Scanned |
DisableArchiveScanningAls DisableArchiveScanning u inschakelt, worden de volgende archieftypen uitgesloten van antivirusscans:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z Zie DisableArchiveScanning voor meer informatie |
| Niveau van submappen in een archiefmap om te scannen | 0 |
0 betekent onbeperkt. |
| Maximale grootte van het archief voor scannen | 0 |
0 betekent onbeperkt. |
| Toegewezen netwerkstations | Scanned |
DisableScanningMappedNetworkDrivesForFullScanZie DisableScanningMappedNetworkDrivesForFullScan |
| Netwerkbestanden | Scanned |
DisableScanningNetworkFiles |
| Maximumpercentage CPU-belasting tijdens scan | 50 |
ScanAvgCPULoadFactorZie de sectie Scannen en CPU-beperking van dit artikel. |
| CPU-beperking bij niet-actieve scans uitschakelen | Unthrottled |
DisableCpuThrottleOnIdleScansZie de sectie Scannen en CPU-beperking van dit artikel. |
| Handtekeningcontroles voor scannen | Disabled |
CheckForSignaturesBeforeRunningScanMicrosoft Defender Antivirus controleert periodiek op handtekeningupdates en voert geplande scans automatisch uit. Scannen begint standaard met bestaande definities. Deze instelling is alleen van toepassing op geplande scans. |
| Verwisselbare stations tijdens volledige scans | Scanned |
DisableRemovableDriveScanningGeeft aan of verwisselbare stations, zoals flashstations, moeten worden gescand tijdens een volledige scan. |
Scanned |
DisableEmailScanningHiermee wordt aangegeven of Windows Defender het postvak en de e-mailbestanden parseert op basis van hun specifieke indeling om de hoofdteksten en bijlagen van e-mail te analyseren. |
|
| Script | Scanned |
DisableScriptScanningHiermee geeft u op of het scannen van scriptbestanden moet worden uitgeschakeld. |
Aanbevolen procedures en overwegingen
Hier volgen de aanbevelingen van Microsoft:
Volledige scans
Het uitvoeren van een volledige scan nadat u Microsoft Defender Antivirus hebt ingeschakeld of geïnstalleerd, kan handig zijn om systemen te scannen om bestaande bedreigingen te detecteren.
U wordt aangeraden scanbeleid te configureren op basis van apparaattype en rol, bijvoorbeeld SQL Server Collection, IIS Server Collection, Restricted Workstation Collection, Standard Workstation Collection.
Vermijd het gebruik van domeincontrollers in een bestandsserverfunctie. Dit vermindert antivirusscanactiviteiten op bestandsshares en minimaliseert prestatieoverhead.
Microsoft Defender Antivirus heeft de functie voor bestands-hashberekening waarmee bestandshashes worden berekend voor elk uitvoerbaar bestand dat wordt gescand als dit niet eerder is berekend. Dit heeft prestatiekosten, met name bij het kopiëren van grote bestanden van een netwerkshare. Zie File Hash Computation configureren voor meer informatie over de impact op indicatoren.
De volledige scanprestaties kunnen worden beïnvloed door CPU-beperking. We raden u aan om de cpu-limietinstellingen op de standaardinstelling te laten staan.
Opmerking
- Standaard inspecteert Microsoft Defender Antivirus het interne inhoudstype omdat bestandsextensies vaak misleidend zijn en gemakkelijk kunnen worden vervalst door aanvallers.
- De scanprestaties zijn sterk afhankelijk van het werkelijke inhoudstype dat wordt gescand. Over het algemeen vereisen complexere bestandstypen meer tijd en cyclus, terwijl meer ongebruikelijke inhoudstypen nog meer tijd vereisen (bijvoorbeeld JavaScript-bestanden).
- Het hulpprogramma prestatieanalyse voor Microsoft Defender Antivirus helpt bij het bepalen van bestanden, bestandsextensies en processen die prestatieproblemen kunnen veroorzaken op afzonderlijke eindpunten tijdens antivirusscans. Als u Microsoft Defender Antivirus uitvoert en prestatieproblemen ondervindt, kunt u Performance Analyzer gebruiken om de prestaties te optimaliseren (zie Prestatieanalyse voor Microsoft Defender Antivirus).
- Een vertrouwde afbeeldings-id voor Microsoft Defender Antivirus kan helpen de prestaties van uw apparaten te verbeteren. Zie Een vertrouwde installatiekopieën-id configureren voor Microsoft Defender.
Scannen en CPU-beperking
De instelling CPU-gebruikslimiet, ook wel CPU-beperking genoemd, wordt gebruikt om het maximale CPU-gebruik voor scans op aanvraag van Microsoft Defender in te stellen. De instelling CPU-beperking is standaard ingeschakeld en is alleen van toepassing op geplande scans en optioneel ook op aangepaste scans. Het is raadzaam om deze instelling af te stemmen (zie de ScanAverageCPULoadFactor instelling in Set-MpPreference (Defender)), afhankelijk van de werkelijke CPU-gebruikswaarden die in uw specifieke omgeving zijn verkregen.
De CPU-belastingsfactor voor Microsoft Defender Antivirus is geen harde limiet, maar richtlijnen voor de scanengine om dit maximum niet te overschrijden. Voor deze scanbeleidsinstelling kunt u een waarde opgeven als percentage van het maximale CPU-gebruik tijdens de scan. De waarde van 0 of 100 geeft geen beperking aan. Als deze waarde bijvoorbeeld wordt verlaagd tot 20, betekent dit dat de scanengine de gemiddelde CPU-belasting van het systeem tijdens de scan onder de 20% wil houden en dat het langer duurt om te worden voltooid.
Als u de percentagewaarde instelt op 0 of 100, wordt CPU-beperking uitgeschakeld en kan Windows Defender maximaal 100% van de CPU gebruiken tijdens de geplande en aangepaste scans. Dit wordt niet aanbevolen, omdat dit kan leiden tot niet-reagerende apps en zelfs tot oververhitting, dus wees uiterst voorzichtig.
Het wijzigen van de waarde heeft zowel voor- als nadelen. Hogere waarden betekenen dat de scans sneller worden uitgevoerd; Het kan echter uw systeem vertragen tijdens de scan, terwijl lagere waarden betekenen dat de scan langer duurt, maar u meer CPU-resources beschikbaar hebt voor uw systeem tijdens de scan. Als u bijvoorbeeld kritieke workloads uitvoert op een server, moet deze instelling worden ingesteld op een waarde die de werking van de workloads niet beïnvloedt.
Handmatige scans negeren de instelling voor CPU-beperking en worden uitgevoerd zonder CPU-limieten. Er is echter een scanbeleidsinstelling (zie de
ThrottleForScheduledScanOnlyinstelling in Set-MpPreference (Defender)) die, als deze is uitgeschakeld, handmatige scans voldoen aan dezelfde CPU-limieten als een geplande scan.CPU-beperking bij niet-actieve scans bepaalt of de CPU wordt beperkt voor geplande scans terwijl het apparaat inactief is. Deze instelling is standaard uitgeschakeld om ervoor te zorgen dat de CPU niet wordt beperkt voor geplande scans wanneer het apparaat niet actief is, ongeacht op welke CPU-beperking is ingesteld. Zie de
DisableCpuThrottleOnIdleScansinstelling in Set-MpPreference (Defender) voor meer informatie.Opmerking
Zie de criteria voor niet-actieve status in Niet-actieve taakvoorwaarden - Win32-apps.
Scannen en uitsluitingen
Microsoft Defender Antivirus heeft de volgende functies waarmee u de scanprestaties en -efficiëntie kunt verbeteren:
Het scannen van containers/archieven kan lang duren, omdat bepaalde optimalisaties (bijvoorbeeld parallelle scans) in deze situaties niet mogelijk zijn. Waar mogelijk raden we u aan de inhoud van deze containers te extraheren, zodat de volledige scan items parallel kan verwerken.
Scan uitsluitingen waarbij u containers kunt uitsluiten van scannen, als deze optie is toegestaan door uw nalevingsvereisten.
Het hulpprogramma prestatieanalyse voor Microsoft Defender Antivirus kan worden gebruikt om uitsluitingen te bepalen die de prestaties helpen optimaliseren. Zie Performance Analyzer voor Microsoft Defender Antivirus.
Microsoft Defender Antivirus heeft een ingebouwde optimalisatie voor inhoud die zeer betrouwbaar is (bijvoorbeeld ondertekend door vertrouwde bronnen). Wanneer dergelijke inhoud wordt gevonden, wordt de inhoud niet meer gescand naar de handtekening valideren om ervoor te zorgen dat er niet met het bestand is geknoeid.
Aanbevelingen voor antivirusuitsluitingen
Het uitsluiten van bepaalde locaties van scannen kan de scantijd verkorten. Er zijn twee typen uitsluitingen: procesuitsluitingen en bestands-/mapuitsluitingen. Alleen bestands-/mapuitsluitingen zijn van toepassing op volledige scan. Scanuitsluitingen moeten zorgvuldig worden ontwikkeld om de scantijd te verkorten en het risico te minimaliseren.
Sluit gecomprimeerde bestanden niet uit als deze niet zijn toegestaan door uw nalevingsvereisten.
Sluit de tijdelijke map van het gebruikersprofiel of de tijdelijke map Systeem, die vaak door malware wordt gebruikt, niet uit:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
Het gebruik van omgevingsvariabelen als jokerteken in uitsluitingslijsten is beperkt tot alleen systeemvariabelen. Gebruik geen omgevingsvariabelen in gebruikersbereik bij het toevoegen van microsoft Defender Antivirus-mappen en procesuitsluitingen.