Solucionar problemas de desempenho relacionados à proteção em tempo real
Aplica-se a:
- Microsoft Defender para Ponto de Extremidade Plano 1 e 2
- Microsoft Defender Antivírus
Plataformas
- Windows
- Windows Server
Se o seu sistema estiver a ter problemas de utilização elevada da CPU ou desempenho relacionados com o Antivírus do Microsoft Defender (Antimalware Service Executable, MsMpEng.exe, Microsoft Defender Antivírus).
Enquanto administrador, também pode resolver estes problemas por conta própria.
Em primeiro lugar, poderá querer marcar se outro software estiver a causar o problema. Leia Consulte o fornecedor para obter problemas conhecidos com exclusões de antivírus.
Motivos comuns para uma maior utilização da CPU pelo Antivírus do Microsoft Defender
| Reason | Solução |
|---|---|
1: Binários não assinados (.exe, .dll, .ps1, etc.)Sempre que um binário (como .exe, .dll, .ps1e assim sucessivamente) for iniciado/iniciado, se não estiver assinado digitalmente, Microsoft Defender Antivírus inicia uma análise de proteção em tempo real, análise agendada e/ou análise a pedido. |
Todos devem considerar assinar (Validação alargada de código (EV) assinatura de código ou utilizar PKI interno) os binários. E/ou contactar o fornecedor para que possa assinar o binário (assinatura de código EV). Recomendamos que os fornecedores de software sigam as várias diretrizes em Parceria com a indústria para minimizar os falsos positivos. O fornecedor ou programador de software pode submeter a aplicação, o serviço ou o script no portal do Inteligência de Segurança da Microsoft. Como solução, pode seguir estes passos: 1. (Preferencial) Para indicadores de utilização de .exe e dll – Hash de ficheiros – permitir ou Indicadores – Certificado – permitir 2. (Alternativa) Adicionar exclusões antivírus (processo+caminho). |
| 2. Utilizar HTA's, CHMs e ficheiros diferentes como bases de dados. Sempre que Microsoft Defender Antivírus tiver de extrair e/ou analisar formatos de ficheiro complexos, pode ocorrer uma maior utilização da CPU. |
Considere mudar para a utilização de bases de dados reais se precisar de guardar informações e de as consultar. Como solução, adicione exclusões antivírus (processo+caminho). |
| 3. Utilizar obfuscations em scripts. Se ocultar scripts, Microsoft Defender Antivírus para marcar se o script contiver payloads maliciosos, poderá utilizar mais utilização da CPU durante a análise. |
Utilize a obfuscation de script apenas quando necessário. Como solução, adicione exclusões antivírus (processo+caminho). |
| 4. Não permitir que o Microsoft Defender cache antivírus termine antes de selar a imagem. | Se estiver a criar uma imagem VDI, como para uma imagem não persistente, certifique-se de que a manutenção da cache é concluída antes de a imagem ser selada. Para obter mais informações, veja Configure Microsoft Defender Antivirus on a remote desktop or virtual desktop infrastructure environment (Configurar o Antivírus do Microsoft Defender num ambiente de trabalho remoto ou num ambiente de infraestrutura de ambiente de trabalho virtual). |
| 5. Tendo as exclusões de caminho incorretas devido a erro ortográfico. Se adicionar caminhos de exclusão com erros ortográficos, este poderá originar problemas de desempenho. |
Utilize MpCmdRun.exe -CheckExclusion -Path para validar exclusões baseadas no caminho. |
| 6. Quando é adicionada uma exclusão de caminho, funciona para a análise de fluxos. A Monitorização de Comportamento (BM) e a Inspeção em Tempo Real de Rede (NRI) ainda podem causar problemas de desempenho. |
Como solução, siga estes passos: 1. (Preferencial) Para indicadores de utilização de .exe e dll – Hash de ficheiros – permitir ou Indicadores – Certificado – permitir 2. (Alternativa) Adicionar exclusões antivírus (processo+caminho). |
| 7. Computação de hash de ficheiros. Se ativar a computação de hash de ficheiros, que é utilizada para indicadores de ficheiros, há mais custos gerais de desempenho. Por exemplo, copiar ficheiros grandes de uma partilha de rede para o seu dispositivo local, especialmente através de uma ligação VPN, pode ter um efeito no desempenho do dispositivo. |
É aqui que você e a sua equipa de liderança terão de tomar uma decisão, de ter mais segurança ou menos utilização da CPU. Uma solução possível é desativar a funcionalidade de computação hash de ficheiros. Aceda a Configuração>do Computador Modelos Administrativos Componentes>> doWindowsMicrosoft Defender MpEngine antivíruse, em seguida, ative as funcionalidades > de computação de hash de ficheiros. |
Para ajudar a determinar que componente pode estar a contribuir para uma maior utilização da CPU
| Componente | Solução |
|---|---|
| Análise da proteção em tempo real (RTP) | Pode utilizar o Modo de resolução de problemas para desativar a Proteção contra Adulteração. Assim que a Proteção contra Adulteração estiver desativada, pode desativar temporariamente a "Proteção em tempo real" para a excluir. Veja a secção anterior, Motivos comuns para uma maior utilização da CPU por Microsoft Defender Antivírus. |
| Análise agendada | Verificar as definições de análise agendada predefinidas Definições gerais de análise agendada. - Configure a baixa prioridade da CPU para análises agendadas (Utilize baixa prioridade de CPU para análises agendadas). A prioridade do thread no Windows para análises normais tem dois valores: 8 (mais baixo) e 9 (superior). Ao defini-lo como enabled, está a reduzir a prioridade do thread de análise agendada de 9 para 8, o que permite que outros threads de aplicação sejam executados com uma prioridade mais alta, obtendo assim mais tempo de CPU do que Microsoft Defender Antivírus. - Especifique a percentagem máxima de utilização da CPU durante uma análise (limite de utilização da CPU por análise). 50 é a predefinição; pode reduzi-lo a 20 ou 30. Se tiver uma janela de controlo de alteração, ao modificar a quantidade de CPU que pode ser utilizada, a análise demora mais tempo. - Inicie a análise agendada apenas quando o computador estiver ativado, mas não estiver a ser utilizado, definindo ScanOnlyIfIdle como Not configured (está ativado por predefinição). Requer que o computador esteja inativo, o que significa que a utilização da CPU no geral do dispositivo tem de ser inferior a 80%. Definições diárias de análise rápida - Definido Specify the interval to run quick scans per day como Not configured (Quantas horas decorreram, antes da próxima análise rápida ser executada - 0 a 24 horas)- Defina Specify the time for a daily quick scan (Run daily quick scan at) como 12 PM. Executar uma análise agendada semanal (rápida ou completa) - Especifique o tipo de análise a utilizar para uma análise agendada (Definir Scan type como Not configured). - Especifique a hora do dia para executar uma análise agendada (Defina Day of week to run scheduled scan como Not configured). - Especifique o dia da semana para executar uma análise agendada (Defina Time of day to run a scheduled scan como Not configured). |
| Analise após uma atualização das informações de segurança. | Por predefinição, Microsoft Defender Análises de antivírus após uma atualização de informações de segurança para fins de proteção ideais. Se as análises agendadas estiverem ativadas, poderá pensar que existem análises que são executadas fora da agenda. É aqui que você e a sua equipa de liderança terão de tomar uma decisão, de ter mais segurança ou menos utilização da CPU. Como solução, no Política de Grupo (ou outra ferramenta de gestão, como a MDM), aceda aConfiguração do Computador Modelos Administrativos> Microsoft DefenderAtualizações de Informações de Segurançaantivírus> e defina Ativar a análise após a atualização> das informações de segurança como . Disabled |
| Conflitos com outro software de segurança | Se tiver software de segurança não Microsoft, como antivírus, EDR, DLP, gestão de privilégios de ponto final, VPN, etc., adicione esse software ao Microsoft Defender exclusões antivírus (caminho + processos) e vice-versa. Para obter a lista dos binários do Antivírus do Microsoft Defender, veja Configurar o ambiente de rede para garantir a conectividade com o serviço Defender para Endpoint. |
| Analisar um grande número de ficheiros ou pastas | Se tiver um ficheiro grande, como um .iso, .vhdx, etc., sentado no seu perfil de utilizador (ambiente de trabalho, transferências, documentos, etc.) e esse perfil estiver a ser redirecionado para partilhas de rede, como Ficheiros Offline (COSEC) ou OneDrive (ou produtos semelhantes), as análises podem demorar mais tempo a ser executadas. Isto deve-se ao facto de estar a analisar uma rede, onde existe mais latência em comparação com os ficheiros armazenados localmente num dispositivo. Se não precisar do .iso/.vhd/.vhdx, etc., sentado no seu perfil, mova-o para uma pasta diferente onde não esteja numa partilha de rede (unidade mapeada, partilha unc, partilha smb). |
O que está a acionar e a causar uma maior utilização da CPU no Antivírus do Microsoft Defender
Após a conclusão dos passos proa\ctive, pode identificar o que está a acionar e a causar a utilização mais elevada da CPU:
| # | Ferramentas para ajudar a restringir o que está a acionar a utilização elevada da CPU | Comments |
|---|---|---|
| 1 | Recolher Microsoft Defender dados de diagnóstico do Antivírus | Microsoft Defender dados de diagnóstico do Antivírus que pretende incluir sempre que resolver um problema com o Antivírus Microsoft Defender. |
| 2 | Analisador de desempenho do Antivírus do Microsoft Defender | Para problemas específicos de desempenho relacionados com o Antivírus Microsoft Defender, veja Analisador de desempenho do Antivírus Microsoft Defender. Isto permite-lhe executar a recolha de dados e analisar os dados, onde é fácil de compreender. Nota: certifique-se de que o problema está a ser reproduzido quando recolhe estes dados. |
| 3 | Resolver problemas de desempenho do Antivírus do Microsoft Defender com o Monitor de Processos | Se, por algum motivo, o analisador de desempenho do Antivírus do Microsoft Defender não fornecer os detalhes necessários para restringir o que está a acionar a utilização elevada da CPU, pode utilizar o Monitor de Processos (ProcMon). Sugestão: pode recolher durante 5 a 10 minutos. Nota: certifique-se de que o problema está a ser reproduzido quando recolhe estes dados. |
| 4 | Resolver problemas de desempenho do Antivírus do Microsoft Defender com o WPRUI | Para uma resolução de problemas mais avançada, pode utilizar a IU do Gravador de Desempenho do Windows (WPRUI) ou o Gravador de Desempenho do Windows (WPR). Tenha em atenção que, devido à verbosidade deste rastreio, este deve ser limitado a um máximo de 3 a 5 minutos. Certifique-se de que o problema está a ocorrer ativamente quando recolhe estes dados. |
Contacte o fornecedor para ver se existem problemas conhecidos com produtos antivírus
Se conseguir identificar facilmente o software que afeta o desempenho do sistema, aceda ao centro de suporte ou base de dados de conhecimento do fornecedor de software. Verifique se existem problemas conhecidos com produtos antivírus. Se necessário, pode abrir um pedido de suporte com eles e pedir-lhes para publicarem um.
Recomendamos que os fornecedores de software sigam as várias diretrizes em Parceria com a indústria para minimizar os falsos positivos. O fornecedor pode submeter o software através do portal Inteligência de Segurança da Microsoft.
E se ainda tiver um problema?
Pode submeter um pedido de suporte à Microsoft.
Siga os passos em Recolher Microsoft Defender dados de diagnóstico do Antivírus.
Confira também
- Recolher Microsoft Defender dados de diagnóstico do Antivírus
- Configurar e validar exclusões para análises de Antivírus Microsoft Defender
- Analisador de desempenho do Antivírus do Microsoft Defender
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.