Rozwiąż problemy z wydajnością związane z ochroną w czasie rzeczywistym
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender plan 1 i 2
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
- Serwer z systemem Windows
Jeśli w systemie występują problemy z wysokim użyciem procesora CPU lub wydajnością związane z programem antywirusowym Microsoft Defender (plik wykonywalny usługi ochrony przed złośliwym kodem, MsMpEng.exe Microsoft Defender program antywirusowy).
Jako administrator możesz również samodzielnie rozwiązywać te problemy.
Najpierw warto sprawdzić, czy przyczyną problemu jest inne oprogramowanie. Przeczytaj artykuł Check with the vendor for known issues with antivirus exclusions (Sprawdzanie u dostawcy znanych problemów z wykluczeniami programu antywirusowego).
Typowe przyczyny wyższego wykorzystania procesora CPU przez program antywirusowy Microsoft Defender
| Powód | Rozwiązanie |
|---|---|
1: Pliki binarne nie są podpisane (.exe, .dll, .ps1i tak dalej)Za każdym razem, gdy plik binarny (taki jak .exe, .dll, .ps1i tak dalej) jest uruchamiany/uruchamiany, jeśli nie jest podpisany cyfrowo, Microsoft Defender Program antywirusowy uruchamia skanowanie ochrony w czasie rzeczywistym, zaplanowane skanowanie i/lub skanowanie na żądanie. |
Wszyscy powinniśmy rozważyć podpisanie plików binarnych (rozszerzonej weryfikacji kodu( EV) lub użycie wewnętrznej infrastruktury kluczy publicznych. I/lub kontaktując się z dostawcą, aby mógł podpisać plik binarny (podpisywanie kodu EV). Zalecamy, aby dostawcy oprogramowania postępowali zgodnie z różnymi wytycznymi w temacie Współpraca z branżą w celu zminimalizowania wyników fałszywie dodatnich. Dostawca lub deweloper oprogramowania może przesłać aplikację, usługę lub skrypt w portalu Microsoft Security Intelligence. Aby obejść ten problem, możesz wykonać następujące kroki: 1. (Preferowane) W przypadku wskaźników użycia .exe i biblioteki dll — skrót pliku — zezwalaj lub wskaźniki — certyfikat — zezwalaj 2. (Alternatywa) Dodawanie wykluczeń programu antywirusowego (proces+ścieżka). |
| 2. Używanie plików HTA, CHM i różnych plików jako baz danych. Za każdym razem, gdy program antywirusowy Microsoft Defender musi wyodrębniać i/lub skanować złożone formaty plików, może wystąpić większe wykorzystanie procesora CPU. |
Rozważ przełączenie się do korzystania z rzeczywistych baz danych, jeśli musisz zapisać informacje i wykonać zapytanie. Aby obejść ten problem, dodaj wykluczenia programu antywirusowego (proces+ścieżka). |
| 3. Używanie zaciemnień w skryptach. Jeśli zaciemnisz skrypty, Microsoft Defender program antywirusowy, aby sprawdzić, czy skrypt zawiera złośliwe ładunki, może użyć większego wykorzystania procesora PODCZAS skanowania. |
Użyj zaciemniania skryptu tylko wtedy, gdy jest to konieczne. Aby obejść ten problem, dodaj wykluczenia programu antywirusowego (proces+ścieżka). |
| 4. Nie zezwalaj na zakończenie pamięci podręcznej programu antywirusowego Microsoft Defender przed uszczelnieniem obrazu. | Jeśli tworzysz obraz VDI, taki jak dla obrazu nietrwałego, upewnij się, że konserwacja pamięci podręcznej została ukończona przed zapieczętowaniem obrazu. Aby uzyskać więcej informacji, zobacz Konfigurowanie programu antywirusowego Microsoft Defender w środowisku infrastruktury pulpitu zdalnego lub pulpitu wirtualnego. |
| 5. Nieprawidłowe wykluczenia ścieżki z powodu błędu pisowni. Jeśli dodasz błędnie napisane ścieżki wykluczeń, może to prowadzić do problemów z wydajnością. |
Służy MpCmdRun.exe -CheckExclusion -Path do weryfikowania wykluczeń opartych na ścieżkach. |
| 6. Po dodaniu wykluczenia ścieżki działa ono na potrzeby skanowania przepływów. Monitorowanie zachowania (BM) i inspekcja sieci w czasie rzeczywistym (NRI) mogą nadal powodować problemy z wydajnością. |
Aby obejść ten problem, wykonaj następujące kroki: 1. (Preferowane) W przypadku wskaźników użycia .exe i biblioteki dll — skrót pliku — zezwalaj lub wskaźniki — certyfikat — zezwalaj 2. (Alternatywa) Dodawanie wykluczeń programu antywirusowego (proces+ścieżka). |
| 7. Obliczanie skrótów plików. Jeśli włączysz obliczanie skrótów plików, które jest używane do obsługi wskaźników plików, występuje większe obciążenie wydajnością. Na przykład kopiowanie dużych plików z udziału sieciowego na urządzenie lokalne, zwłaszcza za pośrednictwem połączenia sieci VPN, może mieć wpływ na wydajność urządzenia. |
W tym miejscu ty i Twój zespół kierowniczy będziecie musieli podjąć decyzję o większym lub mniejszym wykorzystaniu procesora CPU. Jednym z możliwych rozwiązań jest wyłączenie funkcji obliczania skrótów plików. Przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Program antywirusowy>MpEngine, a następnie włącz funkcje obliczeń skrótów plików. |
Aby ułatwić określenie, który składnik może przyczyniać się do wyższego wykorzystania procesora CPU
| Składnik | Rozwiązanie |
|---|---|
| Skanowanie ochrony w czasie rzeczywistym (RTP) | Możesz użyć trybu rozwiązywania problemów , aby wyłączyć ochronę przed naruszeniami. Po wyłączeniu ochrony przed naruszeniami można tymczasowo wyłączyć ochronę w czasie rzeczywistym, aby ją wykluczyć. Zobacz poprzednią sekcję Typowe przyczyny wyższego wykorzystania procesora CPU przez program antywirusowy Microsoft Defender. |
| Zaplanowane skanowanie | Sprawdzanie domyślnych ustawień zaplanowanego skanowania Ogólne ustawienia zaplanowanego skanowania. — Skonfiguruj niski priorytet procesora CPU dla zaplanowanych skanów (użyj niskiego priorytetu procesora CPU w przypadku zaplanowanych skanów). Priorytet wątku w systemie Windows dla skanowania normalnego ma dwie wartości: 8 (niższa) i 9 (wyższa). Ustawiając tę opcję na enabledwartość , obniżasz priorytet zaplanowanego wątku skanowania z 9 do 8, co umożliwia uruchamianie innych wątków aplikacji o wyższym priorytecie, co powoduje zwiększenie czasu procesora CPU niż Microsoft Defender program antywirusowy. — Określ maksymalny procent użycia procesora CPU podczas skanowania (limit użycia procesora CPU na skanowanie). 50 jest ustawieniem domyślnym; można go obniżyć do 20 lub 30. Jeśli masz okno kontroli zmian, modyfikowanie ilości procesora CPU, którego można użyć, powoduje, że skanowanie trwa dłużej. — Rozpocznij zaplanowane skanowanie tylko wtedy, gdy komputer jest włączony, ale nie jest używany, ustawiając ScanOnlyIfIdle wartość Not configured (jest on domyślnie włączony). Wymaga to bezczynności maszyny, co oznacza, że ogólne użycie procesora CPU urządzenia musi być niższe niż 80%. Ustawienia codziennego szybkiego skanowania - Ustaw Specify the interval to run quick scans per day wartość Not configured (ile godzin upłynęło, zanim następne szybkie skanowanie zostanie uruchomione — od 0 do 24 godzin)- Ustaw Specify the time for a daily quick scan (Run daily quick scan at) wartość na 12 PM. Uruchamianie ustawień cotygodniowego zaplanowanego skanowania (szybkiego lub pełnego) — Określ typ skanowania, który ma być używany podczas zaplanowanego skanowania (ustaw Scan type na Not configured). — Określ godzinę uruchomienia zaplanowanego skanowania (ustaw Day of week to run scheduled scan na Not configuredwartość ). — Określ dzień tygodnia, w którym ma zostać uruchomione zaplanowane skanowanie (ustaw Time of day to run a scheduled scan na Not configuredwartość ). |
| Skanowanie po aktualizacji analizy zabezpieczeń. | Domyślnie program antywirusowy Microsoft Defender skanuje po aktualizacji analizy zabezpieczeń w celu uzyskania optymalnej ochrony. Jeśli zaplanowane skanowania są włączone, możesz pomyśleć, że istnieją skany, które są uruchamiane poza harmonogramem. W tym miejscu ty i Twój zespół kierowniczy będziecie musieli podjąć decyzję o większym lub mniejszym wykorzystaniu procesora CPU. Aby obejść ten problem, w zasady grupy (lub innym narzędziu do zarządzania, takim jak MDM), przejdź do pozycjiSzablony> administracyjne konfiguracji> komputera Microsoft Defender Aktualizacje analizy zabezpieczeń antywirusowych> i ustaw opcję Włącz skanowanie po aktualizacji analizy zabezpieczeń na wartość Disabled. |
| Konflikty z innym oprogramowaniem zabezpieczającym | Jeśli masz oprogramowanie zabezpieczające spoza firmy Microsoft, takie jak oprogramowanie antywirusowe, EDR, DLP, zarządzanie uprawnieniami punktu końcowego, sieć VPN itd., dodaj to oprogramowanie do wykluczeń programu antywirusowego Microsoft Defender (ścieżka i procesy) i na odwrót. Aby uzyskać listę plików binarnych programu antywirusowego Microsoft Defender, zobacz Konfigurowanie środowiska sieciowego w celu zapewnienia łączności z usługą Defender for Endpoint. |
| Skanowanie dużej liczby plików lub folderów | Jeśli masz duży plik, taki jak .iso, vhdx itd., znajdujący się w profilu użytkownika (pulpit, pliki do pobrania, dokumenty itd.) i ten profil jest przekierowywany do udziałów sieciowych, takich jak Pliki offline (CSC) lub OneDrive (lub podobne produkty), skanowanie może trwać dłużej. Dzieje się tak dlatego, że skanujesz sieć, w której występuje większe opóźnienie w porównaniu do plików przechowywanych lokalnie na urządzeniu. Jeśli nie potrzebujesz .iso/.vhd/.vhdx itp. Siedząc na swoim profilu, przenieś go do innego folderu, w którym nie znajduje się on w udziale sieciowym (zamapowany dysk, unc share, smb share). |
Co wyzwala i powoduje wyższe wykorzystanie procesora CPU w programie antywirusowym Microsoft Defender
Po wykonaniu kroków proa\ctive można określić, co jest wyzwalane i co powoduje wyższe wykorzystanie procesora CPU:
| # | Narzędzia ułatwiające zawężenie tego, co wyzwala wysokie wykorzystanie procesora CPU | Komentarze |
|---|---|---|
| 1 | Zbieranie danych diagnostycznych programu antywirusowego Microsoft Defender | Microsoft Defender dane diagnostyczne programu antywirusowego, które chcesz uwzględnić za każdym razem, gdy rozwiążesz problem z programem antywirusowym Microsoft Defender. |
| 2 | Analizator wydajności dla programu antywirusowego Microsoft Defender | Problemy związane z wydajnością związane z programem antywirusowym Microsoft Defender można znaleźć w temacie Performance analyzer for Microsoft Defender Antivirus (Analizator wydajności dla programu antywirusowego Microsoft Defender). Umożliwia to uruchamianie zbierania danych i analizowanie danych, gdzie jest to łatwe do zrozumienia. Uwaga: upewnij się, że problem jest odtwarzany podczas zbierania tych danych. |
| 3 | Rozwiązywanie problemów z wydajnością programu antywirusowego Microsoft Defender z monitorem procesów | Jeśli z jakiegoś powodu analizator wydajności programu Microsoft Defender Antivirus nie zawiera szczegółowych informacji, które należy zawęzić, co powoduje wysokie wykorzystanie procesora CPU, możesz użyć monitora procesów (ProcMon). Porada: Możesz zebrać przez 5-10 minut. Uwaga: upewnij się, że problem jest odtwarzany podczas zbierania tych danych. |
| 4 | Rozwiązywanie problemów z wydajnością programu antywirusowego Microsoft Defender WPRUI | Aby uzyskać bardziej zaawansowane rozwiązywanie problemów, możesz użyć interfejsu użytkownika rejestratora wydajności systemu Windows (WPRUI) lub rejestratora wydajności systemu Windows (WPR). Należy pamiętać, że ze względu na pełność tego śledzenia powinno ono być ograniczone do maksymalnie 3 do 5 minut. Upewnij się, że problem jest aktywnie występujący podczas zbierania tych danych. |
Skontaktuj się z dostawcą, aby uzyskać informacje o znanych problemach z produktami antywirusowymi
Jeśli możesz łatwo zidentyfikować oprogramowanie wpływające na wydajność systemu, przejdź do centrum baza wiedzy lub pomocy technicznej dostawcy oprogramowania. Sprawdź, czy występują znane problemy z produktami antywirusowymi. W razie potrzeby możesz otworzyć z nimi bilet pomocy technicznej i poprosić o opublikowanie go.
Zalecamy, aby dostawcy oprogramowania postępowali zgodnie z różnymi wytycznymi w temacie Współpraca z branżą w celu zminimalizowania wyników fałszywie dodatnich. Dostawca może przesłać swoje oprogramowanie za pośrednictwem portalu Microsoft Security Intelligence.
Co zrobić, jeśli nadal mam problem?
Możesz przesłać bilet do pomocy technicznej firmy Microsoft.
Wykonaj kroki opisane w temacie Zbieranie danych diagnostycznych programu antywirusowego Microsoft Defender.
Zobacz też
- Zbieranie danych diagnostycznych programu antywirusowego Microsoft Defender
- Konfigurowanie i weryfikowanie wykluczeń dla skanowania programu antywirusowego Microsoft Defender
- Analizator wydajności dla programu antywirusowego Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.