Устранение проблем производительности, связанных с защитой в реальном времени
Область применения:
- Microsoft Defender для конечной точки планы 1 и 2
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
- Windows Server
Если в вашей системе возникают проблемы с высокой загрузкой ЦП или производительностью, связанные с антивирусной программой Microsoft Defender (исполняемый файл службы защиты от вредоносных программ, MsMpEng.exe, антивирусная программа Microsoft Defender).
Администратор также может устранить эти проблемы самостоятельно.
Во-первых, может потребоваться проверка, если проблема вызывается другим программным обеспечением. См . статью Проверка у поставщика на наличие известных проблем с исключениями антивирусной программы.
Распространенные причины более высокой загрузки ЦП антивирусной программой Microsoft Defender
| Reason | Решение |
|---|---|
1: двоичные файлы без подписи (.exe, .dll, .ps1и т. д.)При запуске или запуске двоичного файла (например .exe, .ps1.dllи т. д.), если он не имеет цифровой подписи, антивирусная программа Microsoft Defender запускает проверку защиты в режиме реального времени, запланированную проверку и (или) проверку по запросу. |
Все вы должны рассмотреть возможность подписывания двоичных файлов (подписывание кода с расширенной проверкой (EV) или использование внутренних PKI. И (или) обратитесь к поставщику, чтобы он мог подписать двоичный файл (подписывание кода EV). Мы рекомендуем поставщикам программного обеспечения следовать различным рекомендациям в статье Партнерство с отраслью, чтобы свести к минимуму ложные срабатывания. Поставщик или разработчик программного обеспечения может отправить приложение, службу или скрипт на портале портал для обнаружения угроз (Microsoft). В качестве обхода можно выполнить следующие действия. 1. (Предпочтительно) Для .exe и DLL используйте индикаторы — хэш файлов — разрешить или индикаторы — сертификат — разрешение. 2. (Альтернатива) Добавление исключений антивирусной программы (процесс+путь). |
| 2. Использование HTA, CHM и различных файлов в качестве баз данных. Каждый раз, когда Microsoft Defender антивирусная программа должна извлекать и (или) сканировать сложные форматы файлов, может возникать более высокая загрузка ЦП. |
Если вам нужно сохранить сведения и запросить их, рассмотрите возможность перехода на использование фактических баз данных. В качестве обходного решения добавьте исключения антивирусной программы (процесс и путь). |
| 3. Использование запутывания в скриптах. Если вы запутываете скрипты, Microsoft Defender антивирусная программа, чтобы проверка, если скрипт содержит вредоносные полезные данные, он может использовать большую загрузку ЦП при проверке. |
Используйте запутывание скриптов только при необходимости. В качестве обходного решения добавьте исключения антивирусной программы (процесс и путь). |
| 4. Не разрешать завершению кэша антивирусной программы Microsoft Defender перед запечатыванием образа. | Если вы создаете образ VDI, например для непостоянный образ, убедитесь, что обслуживание кэша завершено до запечатывания образа. Дополнительные сведения см. в статье Настройка антивирусной программы Microsoft Defender на удаленном рабочем столе или инфраструктуре виртуального рабочего стола. |
| 5. Наличие неправильных исключений пути из-за ошибок. Если добавить пути исключения с ошибкой, это может привести к проблемам с производительностью. |
Используйте MpCmdRun.exe -CheckExclusion -Path для проверки исключений на основе пути. |
| 6. При добавлении исключения пути оно работает для потоков сканирования. Мониторинг поведения (BM) и проверка сети в реальном времени (NRI) по-прежнему могут вызывать проблемы с производительностью. |
В качестве обходного решения выполните следующие действия. 1. (Предпочтительно) Для .exe и DLL используйте индикаторы — хэш файлов — разрешить или индикаторы — сертификат — разрешение. 2. (Альтернатива) Добавление исключений антивирусной программы (процесс+путь). |
| 7. Вычисление хэша файла. Если включить вычисление хэша файлов, которое используется для индикаторов файлов, будет больше накладных расходов на производительность. Например, копирование больших файлов из общей сетевой папки на локальное устройство, особенно через VPN-подключение, может влиять на производительность устройства. |
Здесь вам и вашей команде руководителей придется принять решение о большей безопасности или меньшем использовании ЦП. Одним из возможных решений является отключение функции вычисления хэша файлов. Перейдите в раздел Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Microsoft Defender Антивирусная программа>MpEngine, а затем включите функции вычисления хэша файлов. |
Чтобы определить, какой компонент может способствовать более высокой загрузке ЦП
| Компонент | Решение |
|---|---|
| Проверка защиты в режиме реального времени (RTP) | Вы можете использовать режим устранения неполадок , чтобы отключить защиту от незаконного копирования. После отключения защиты от незаконного изменения можно временно отключить "Защиту в режиме реального времени", чтобы исключить ее. См. предыдущий раздел Общие причины более высокой загрузки ЦП Microsoft Defender Антивирусная программа. |
| Запланированное сканирование | Проверьте параметры запланированной проверки по умолчанию Общие запланированные параметры сканирования. — Настройка низкого приоритета ЦП для запланированных проверок (используйте низкий приоритет ЦП для запланированных проверок). Приоритет потока в Windows для обычных проверок имеет два значения: 8 (ниже) и 9 (выше). Установив для этого параметра значение enabled, вы понижаете приоритет потока запланированного сканирования с 9 до 8, что позволяет другим потокам приложений выполняться с более высоким приоритетом, тем самым получая больше времени ЦП, чем Microsoft Defender антивирусной программы. — Укажите максимальный процент использования ЦП во время сканирования (ограничение на загрузку ЦП на сканирование). 50 — это параметр по умолчанию; Его можно уменьшить до 20 или 30. Если у вас есть окно управления изменениями, изменение объема ЦП, который можно использовать, приводит к тому, что проверка займет больше времени. — запуск запланированной проверки только в том случае, если компьютер включен, но не используется, установив для параметра значение ScanOnlyIfIdleNot configured (по умолчанию оно включено). Для этого требуется, чтобы компьютер был в состоянии простоя, то есть загрузка ЦП на устройстве должна быть ниже 80 %. Параметры ежедневной быстрой проверки — задайте значение Specify the interval to run quick scans per dayNot configured (Сколько часов прошло, до следующего быстрого выполнения проверки — от 0 до 24 часов).— задайте значение Specify the time for a daily quick scan (Run daily quick scan at)12 PM. Выполнение еженедельной запланированной проверки (быстрой или полной) — Укажите тип сканирования, который будет использоваться для запланированной проверки (задайте для параметра Not configuredзначение Scan type ). — Укажите время суток для выполнения запланированной проверки (задайте для Not configuredпараметра значение Day of week to run scheduled scan ). — укажите день недели для выполнения запланированной проверки (задайте значение Time of day to run a scheduled scanNot configured). |
| Проверка после обновления аналитики системы безопасности. | По умолчанию антивирусная программа Microsoft Defender сканирует после обновления аналитики безопасности для оптимальной защиты. Если запланированные проверки включены, можно подумать, что существуют проверки, которые выполняются вне расписания. Здесь вам и вашей команде руководителей придется принять решение о большей безопасности или меньшем использовании ЦП. В качестве обходного решения в групповая политика (или другом средстве управления, например MDM), перейдите в раздел Конфигурация компьютера>административные шаблоны>Microsoft Defender антивирусная аналитика>безопасности Обновления и установите для параметра Включить сканирование после обновления аналитики безопасности в значение Disabled. |
| Конфликты с другим программным обеспечением безопасности | Если у вас есть программное обеспечение безопасности сторонних разработчиков, например антивирусная программа, EDR, DLP, управление привилегиями конечных точек, VPN и т. д., добавьте это программное обеспечение в исключения антивирусной программы Microsoft Defender (путь + процессы) и наоборот. Чтобы получить список двоичных файлов Microsoft Defender антивирусной программы, см. статью Настройка сетевой среды для обеспечения подключения к службе Defender для конечной точки. |
| Сканирование большого количества файлов или папок | Если у вас есть большой файл, например .iso, VHDX и т. д., он находится в вашем профиле пользователя (рабочий стол, файлы для скачивания, документы и т. д.) и этот профиль перенаправляется в сетевые общие папки, такие как автономные файлы (CSC) или OneDrive (или аналогичные продукты), сканирование может занять больше времени. Это связано с тем, что вы сканируете сеть, где задержка больше по сравнению с файлами, хранящимися локально на устройстве. Если вам не нужна .iso/.vhd/.vhdx и т. д.... Переместите его в другую папку, где он не находится в общей сетевой папке (сопоставленный диск, общий ресурс unc, общий ресурс smb). |
Что вызывает и вызывает более высокую загрузку ЦП в антивирусной Microsoft Defender
После выполнения шагов proa\ctive можно определить, что вызывает и вызывает более высокую загрузку ЦП:
| # | Средства, помогающие сузить, что вызывает высокую загрузку ЦП | Comments |
|---|---|---|
| 1 | Сбор диагностических данных антивирусной программы Microsoft Defender | Microsoft Defender диагностические данные антивирусной программы, которые необходимо включать при устранении неполадок с антивирусной программой Microsoft Defender. |
| 2 | Анализатор производительности для антивирусной Microsoft Defender | Проблемы с производительностью, связанные с антивирусной программой Microsoft Defender, см. в статье Анализатор производительности для антивирусной Microsoft Defender. Это позволяет запустить сбор данных и проанализировать данные, где это легко понять. Примечание. Убедитесь, что проблема воспроизводится при сборе этих данных. |
| 3 | Устранение неполадок с производительностью антивирусной программы Microsoft Defender с помощью монитора процессов | Если по какой-либо причине анализатор производительности антивирусной программы Microsoft Defender не предоставляет сведения, необходимые для ограничения того, что вызывает высокую загрузку ЦП, можно использовать монитор процессов (ProcMon). Совет. Вы можете собрать за 5–10 минут. Примечание. Убедитесь, что проблема воспроизводится при сборе этих данных. |
| 4 | Устранение проблем с производительностью антивирусной программы Microsoft Defender с помощью WPRUI | Для более сложного устранения неполадок можно использовать пользовательский интерфейс windows Performance Recorder (WPRUI) или Windows Performance Recorder (WPR). Имейте в виду, что из-за детализации этой трассировки она должна быть ограничена не более 3–5 минут. Убедитесь, что проблема активно возникает при сборе этих данных. |
Обратитесь к поставщику за известными проблемами с антивирусными продуктами
Если вы можете легко определить программное обеспечение, влияющее на производительность системы, перейдите в база знаний или центр поддержки поставщика программного обеспечения. Проверьте наличие известных проблем с антивирусными продуктами. При необходимости вы можете открыть запрос в службу поддержки и попросить их опубликовать его.
Мы рекомендуем поставщикам программного обеспечения следовать различным рекомендациям в статье Партнерство с отраслью, чтобы свести к минимуму ложные срабатывания. Поставщик может отправить свое программное обеспечение через портал портал для обнаружения угроз (Microsoft).
Что делать, если у меня по-прежнему проблема?
Вы можете отправить запрос в службу поддержки Майкрософт.
Выполните действия, описанные в разделе Сбор диагностических данных Microsoft Defender антивирусной программы.
См. также
- Сбор диагностических данных антивирусной программы Microsoft Defender
- Настройка и проверка исключений для проверок антивирусной программы Microsoft Defender
- Анализатор производительности для антивирусной Microsoft Defender
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.