Prestatieproblemen met betrekking tot realtime beveiliging oplossen
Van toepassing op:
- Microsoft Defender voor Eindpunt Abonnement 1 en 2
- Microsoft Defender Antivirus
Platforms
- Windows
- Windows Server
Als uw systeem een hoog CPU-gebruik of prestatieproblemen heeft met betrekking tot de Microsoft Defender Antivirus (Antimalware Service Executable, MsMpEng.exe, Microsoft Defender Antivirus).
Als beheerder kunt u deze problemen ook zelf oplossen.
Eerst kunt u controleren of het probleem wordt veroorzaakt door andere software. Lees Neem contact op met de leverancier voor bekende problemen met antivirusuitsluitingen.
Veelvoorkomende redenen voor een hoger CPU-gebruik door Microsoft Defender Antivirus
| Reden | Oplossing |
|---|---|
1: Binaire bestanden die niet zijn ondertekend (.exe, .dll, .ps1enzovoort)Telkens wanneer een binair bestand (zoals .exe, .dll, .ps1, enzovoort) wordt gestart of gestart, wordt Microsoft Defender Antivirus een realtime beveiligingsscan, geplande scan en/of scan op aanvraag gestart als deze niet digitaal is ondertekend. |
U moet allemaal overwegen om de binaire bestanden te ondertekenen (uitgebreide codevalidatie(EV)-codeondertekening of het gebruik van interne PKI). En/of contact opnemen met de leverancier zodat deze het binaire bestand (EV-codeondertekening) kan ondertekenen. We raden softwareleveranciers aan de verschillende richtlijnen in Partnering with the industry te volgen om fout-positieven te minimaliseren. De leverancier of softwareontwikkelaar kan de toepassing, service of het script indienen in de Microsoft-beveiligingsinformatie portal. U kunt de volgende stappen uitvoeren: 1. (Voorkeur) Gebruik indicatoren voor .exe en dll's : Bestands-hash - toestaan of Indicatoren - Certificaat - toestaan 2. (Alternatief) Antivirusuitsluitingen toevoegen (process+path). |
| 2. HTA's, CHM's en verschillende bestanden gebruiken als databases. Wanneer Microsoft Defender Antivirus complexe bestandsindelingen moet extraheren en/of scannen, kan er een hoger CPU-gebruik optreden. |
Overweeg om over te schakelen naar het gebruik van werkelijke databases als u gegevens wilt opslaan en er query's op wilt uitvoeren. Als tijdelijke oplossing voegt u antivirusuitsluitingen (process+path) toe. |
| 3. Gebruik van verdoezelingen voor scripts. Als u scripts verdoezelt, Microsoft Defender Antivirus om te controleren of het script schadelijke nettoladingen bevat, kan het meer CPU-gebruik gebruiken tijdens het scannen. |
Gebruik alleen script-verdoezeling wanneer dat nodig is. Als tijdelijke oplossing voegt u antivirusuitsluitingen (process+path) toe. |
| 4. De Microsoft Defender Antivirus-cache wordt niet voltooid voordat de installatiekopieën worden verzegeld. | Als u een VDI-installatiekopieën maakt, zoals voor een niet-permanente installatiekopieën, moet u ervoor zorgen dat het cacheonderhoud is voltooid voordat de installatiekopieën worden verzegeld. Zie Microsoft Defender Antivirus configureren op een extern bureaublad of een infrastructuuromgeving voor virtuele bureaubladen voor meer informatie. |
| 5. De verkeerde paduitsluiting(en) vanwege spelfouten. Als u verkeerd gespelde uitsluitingspaden toevoegt, kan dit leiden tot prestatieproblemen. |
Gebruik MpCmdRun.exe -CheckExclusion -Path dit om uitsluitingen op basis van paden te valideren. |
| 6. Wanneer een paduitsluiting wordt toegevoegd, werkt dit voor het scannen van stromen. Gedragscontrole (BM) en NRI (Network Real-time Inspection) kunnen nog steeds prestatieproblemen veroorzaken. |
Voer als tijdelijke oplossing de volgende stappen uit: 1. (Voorkeur) Gebruik indicatoren voor .exe en dll's : Bestands-hash - toestaan of Indicatoren - Certificaat - toestaan 2. (Alternatief) Antivirusuitsluitingen toevoegen (process+path). |
| 7. Hash-berekening van bestand. Als u bestands-hashberekening inschakelt, die wordt gebruikt voor bestandsindicatoren, is er meer prestatieoverhead. Het kopiëren van grote bestanden van een netwerkshare naar uw lokale apparaat, met name via een VPN-verbinding, kan bijvoorbeeld van invloed zijn op de prestaties van het apparaat. |
Dit is waar u en uw leiderschapsteam een beslissing moeten nemen over meer beveiliging of minder CPU-gebruik. Een mogelijke oplossing is het uitschakelen van de functie Bestands-hashberekening. Ga naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Antivirus>MpEngine en schakel vervolgens bestands-hashberekeningsfuncties in. |
Om te bepalen welk onderdeel kan bijdragen aan een hoger CPU-gebruik
| Component | Oplossing |
|---|---|
| Realtime beveiliging (RTP) scannen | U kunt de probleemoplossingsmodus gebruiken om Manipulatiebeveiliging uit te schakelen. Zodra Manipulatiebeveiliging is uitgeschakeld, kunt u de 'Realtime-beveiliging' tijdelijk uitschakelen om dit uit te sluiten. Zie de vorige sectie, Veelvoorkomende redenen voor een hoger CPU-gebruik door Microsoft Defender Antivirus. |
| Gepland scannen | De standaardinstellingen voor geplande scan controleren Algemene geplande scaninstellingen. - Lage CPU-prioriteit configureren voor geplande scans (Gebruik een lage CPU-prioriteit voor geplande scans). De threadprioriteit in Windows voor normale scans heeft twee waarden: 8 (lager) en 9 (hoger). Door dit in te stellen op enabled, verlaagt u de geplande scanthreadprior van 9 naar 8, waardoor andere toepassingsthreads met een hogere prioriteit kunnen worden uitgevoerd, waardoor meer CPU-tijd wordt gebruikt dan Microsoft Defender Antivirus. - Geef het maximumpercentage van het CPU-gebruik tijdens een scan op (CPU-gebruikslimiet per scan). 50 is de standaardinstelling; U kunt deze verlagen tot 20 of 30. Als u een wijzigingsbeheervenster hebt door de hoeveelheid CPU te wijzigen die kan worden gebruikt, duurt de scan langer. - Start de geplande scan alleen wanneer de computer is ingeschakeld, maar niet wordt gebruikt door in te stellen ScanOnlyIfIdle op Not configured (deze is standaard ingeschakeld). Hiervoor moet de machine inactief zijn, wat betekent dat het TOTALE CPU-gebruik van het apparaat lager moet zijn dan 80%. Instellingen voor dagelijkse snelle scan - Ingesteld Specify the interval to run quick scans per day op Not configured (hoeveel uren zijn verstreken, voordat de volgende snelle scan wordt uitgevoerd - 0 tot 24 uur)- Stel in Specify the time for a daily quick scan (Run daily quick scan at) op 12 PM. Een wekelijks geplande scan uitvoeren (snelle of volledige) instellingen - Geef het scantype op dat moet worden gebruikt voor een geplande scan (ingesteld Scan type op Not configured). - Geef het tijdstip op waarop een geplande scan moet worden uitgevoerd (ingesteld Day of week to run scheduled scan op Not configured). - Geef de dag van de week op om een geplande scan uit te voeren (ingesteld Time of day to run a scheduled scan op Not configured). |
| Scannen na een update van beveiligingsinformatie. | Standaard scant Microsoft Defender Antivirus na een update van beveiligingsinformatie voor optimale beveiligingsdoeleinden. Als geplande scans zijn ingeschakeld, denkt u misschien dat er scans zijn die buiten de planning worden uitgevoerd. Dit is waar u en uw leiderschapsteam een beslissing moeten nemen over meer beveiliging of minder CPU-gebruik. Als tijdelijke oplossing gaat u in groepsbeleid (of een ander beheerprogramma, zoals MDM), naar Computerconfiguratie>Beheersjablonen>Microsoft Defender Antivirus>Security Intelligence-Updates en stelt u Scannen na update van beveiligingsinformatie inschakelen in op Disabled. |
| Conflicten met andere beveiligingssoftware | Als u niet-Microsoft-beveiligingssoftware hebt, zoals antivirus, EDR, DLP, eindpuntbevoegdhedenbeheer, VPN, enzovoort, voegt u de software die toe aan de Microsoft Defender Antivirus-uitsluitingen (pad + processen) en vice versa. Zie Uw netwerkomgeving configureren om connectiviteit met de Defender for Endpoint-service te garanderen voor de lijst met de binaire Microsoft Defender Antivirus-bestanden. |
| Een groot aantal bestanden of mappen scannen | Als u een groot bestand hebt, zoals een .iso, .vhdx, enzovoort, in uw gebruikersprofiel (bureaublad, downloads, documenten, enzovoort) en dat profiel wordt omgeleid naar netwerkshares, zoals offlinebestanden (COSEC) of OneDrive (of vergelijkbare producten), kan het uitvoeren van scans langer duren. Dit komt doordat u een netwerk scant, waarbij er meer latentie is in vergelijking met bestanden die lokaal op een apparaat zijn opgeslagen. Als u de .iso/.vhd/.vhdx, enzovoort niet nodig hebt... in uw profiel, verplaatst u het naar een andere map waar het zich niet op een netwerkshare bevindt (toegewezen station, unc-share, smb-share). |
Wat activeert en veroorzaakt een hoger CPU-gebruik in Microsoft Defender Antivirus
Nadat de proa\ctive-stappen zijn voltooid, kunt u bepalen wat het hogere CPU-gebruik activeert en veroorzaakt:
| # | Hulpprogramma's om te bepalen wat het hoge CPU-gebruik activeert | Opmerkingen |
|---|---|---|
| 1 | Diagnostische gegevens van Microsoft Defender Antivirus verzamelen | Microsoft Defender diagnostische gegevens van Antivirus die u wilt opnemen wanneer u een probleem met Microsoft Defender Antivirus wilt oplossen. |
| 2 | Performance Analyzer voor Microsoft Defender Antivirus | Zie Prestatieanalyse voor Microsoft Defender Antivirus voor prestatiespecifieke problemen met betrekking tot Microsoft Defender Antivirus. Hiermee kunt u de gegevensverzameling uitvoeren en de gegevens parseren, waar ze gemakkelijk te begrijpen zijn. Opmerking: zorg ervoor dat het probleem wordt gereproduceert wanneer u deze gegevens verzamelt. |
| 3 | Prestatieproblemen met Microsoft Defender Antivirus oplossen met Procesmonitor | Als de Microsoft Defender Antivirus Performance Analyzer om een of andere reden niet de details bevat die u nodig hebt om te bepalen wat het hoge CPU-gebruik activeert, kunt u Process Monitor (ProcMon) gebruiken. Tip: U kunt 5-10 minuten verzamelen. Opmerking: zorg ervoor dat het probleem wordt gereproduceert wanneer u deze gegevens verzamelt. |
| 4 | Prestatieproblemen met Microsoft Defender Antivirus met WPRUI oplossen | Voor geavanceerdere probleemoplossing kunt u de Windows Performance Recorder UI (WPRUI) of Windows Performance Recorder (WPR) gebruiken. Houd er rekening mee dat deze vanwege de uitgebreidheid van deze tracering moet worden beperkt tot maximaal 3 tot 5 minuten. Zorg ervoor dat het probleem actief optreedt wanneer u deze gegevens verzamelt. |
Neem contact op met de leverancier voor bekende problemen met antivirusproducten
Als u gemakkelijk kunt vaststellen welke software van invloed is op de systeemprestaties, gaat u naar het Knowledge Base of het ondersteuningscentrum van de softwareleverancier. Controleer of er bekende problemen zijn met antivirusproducten. Indien nodig kunt u een ondersteuningsticket met hen openen en hen vragen er een te publiceren.
We raden softwareleveranciers aan de verschillende richtlijnen in Partnering with the industry te volgen om fout-positieven te minimaliseren. De leverancier kan de software indienen via de Microsoft-beveiligingsinformatie portal.
Wat moet ik doen als ik nog steeds een probleem heb?
U kunt een ticket indienen bij Microsoft-ondersteuning.
Volg de stappen in Diagnostische gegevens van Microsoft Defender Antivirus verzamelen.
Zie ook
- Diagnostische gegevens van Microsoft Defender Antivirus verzamelen
- Uitsluitingen voor Microsoft Defender Antivirusscans configureren en valideren
- Performance Analyzer voor Microsoft Defender Antivirus
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.