Felsök prestandaproblem gällande skydd i realtid
Gäller för:
- Microsoft Defender för Endpoint plan 1 och 2
- Microsoft Defender Antivirus
Plattformar
- Windows
- Windows Server
Om systemet har hög CPU-användning eller prestandaproblem som rör Microsoft Defender Antivirus (Körbar programtjänst för program mot skadlig kod, MsMpEng.exe Microsoft Defender Antivirus).
Som administratör kan du också felsöka dessa problem på egen hand.
Först kanske du vill kontrollera om andra program orsakar problemet. Läs Kontrollera med leverantören om det finns kända problem med antivirusundantag.
Vanliga orsaker till högre CPU-användning av Microsoft Defender Antivirus
| Förnuft | Lösning |
|---|---|
1: Binärfiler som inte är signerade (.exe, .dll, .ps1och så vidare)Varje gång som en binär fil (till exempel .exe, .dll.ps1och så vidare) startas/startas, om den inte är digitalt signerad, startar Microsoft Defender Antivirus en genomsökning i realtidsskydd, schemalagd genomsökning och/eller genomsökning på begäran. |
Du bör alla överväga att signera (ev)-kodsignering (extended code validation) eller använda interna PKI) binärfilerna. Och/eller kontakta leverantören så att de kan signera binärfilen (EV-kodsignering). Vi rekommenderar att programvaruleverantörer följer de olika riktlinjerna i Partnering med branschen för att minimera falska positiva identifieringar. Leverantören eller programvaruutvecklaren kan skicka programmet, tjänsten eller skriptet i Microsoft Säkerhetsinsikter-portalen. Som en lösning kan du följa dessa steg: 1. (Föredras) För .exe och dll användning indikatorer - Fil hash - tillåt eller indikatorer - certifikat - tillåt 2. (Alternativ) Lägg till antivirusundantag (process+sökväg). |
| 2. Använda HTA: s, CHM: s och olika filer som databaser. Varje gång som Microsoft Defender Antivirus måste extrahera och/eller genomsöka komplexa filformat kan högre processoranvändning uppstå. |
Överväg att byta till att använda faktiska databaser om du behöver spara information och köra frågor mot den. Lägg till antivirusundantag (process+sökväg) som en tillfällig lösning. |
| 3. Använda fördunklar i skript. Om du fördunklar skript, Microsoft Defender Antivirus för att kontrollera om skriptet innehåller skadliga nyttolaster, kan det använda mer CPU-användning vid genomsökning. |
Använd endast skriptfördunkkning när det behövs. Lägg till antivirusundantag (process+sökväg) som en tillfällig lösning. |
| 4. Inte låta Microsoft Defender Antivirus cache avslutas innan du förseglar bilden. | Om du skapar en VDI-avbildning, till exempel för en icke-beständig avbildning, kontrollerar du att cacheunderhållet slutförs innan avbildningen förseglas. Mer information finns i Konfigurera Microsoft Defender Antivirus på en infrastrukturmiljö för fjärrskrivbord eller virtuellt skrivbord. |
| 5. Fel sökvägsundantag på grund av felstavning. Om du lägger till felstavade undantagssökvägar kan det leda till prestandaproblem. |
Använd MpCmdRun.exe -CheckExclusion -Path för att verifiera sökvägsbaserade undantag. |
| 6. När ett sökvägsundantag läggs till fungerar det för genomsökning av flöden. Beteendeövervakning (BM) och NRI (Network Real-Time Inspection) kan fortfarande orsaka prestandaproblem. |
Som en lösning kan du vidta följande steg: 1. (Föredras) För .exe och dll användning indikatorer - Fil hash - tillåt eller indikatorer - certifikat - tillåt 2. (Alternativ) Lägg till antivirusundantag (process+sökväg). |
| 7. Filhashberäkning. Om du aktiverar beräkningen av filhash, som används för filindikatorer, blir prestandakostnaderna större. Om du till exempel kopierar stora filer från en nätverksresurs till din lokala enhet, särskilt via en VPN-anslutning, kan det påverka enhetens prestanda. |
Det är här du och din ledningsgrupp måste fatta ett beslut om att ha mer säkerhet eller mindre processoranvändning. En möjlig lösning är att inaktivera funktionen för beräkning av filhash. Gå till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Antivirus>MpEngine och aktivera sedan funktioner för beräkningen av filhash. |
För att avgöra vilken komponent som kan bidra till högre CPU-användning
| Komponent | Lösning |
|---|---|
| RTP-genomsökning (Realtidsskydd) | Du kan använda felsökningsläge för att inaktivera manipulationsskydd. När manipulationsskydd har inaktiverats kan du inaktivera realtidsskyddet tillfälligt för att utesluta det. Se föregående avsnitt, Vanliga orsaker till högre CPU-användning av Microsoft Defender Antivirus. |
| Schemalagd genomsökning | Kontrollera standardinställningarna för schemalagd genomsökning Allmänna inställningar för schemalagd genomsökning. – Konfigurera låg CPU-prioritet för schemalagda genomsökningar (Använd låg CPU-prioritet för schemalagda genomsökningar). Trådprioriteten i Windows för normala genomsökningar har två värden: 8 (lägre) och 9 (högre). Genom att ange detta till enabledsänker du trådprioriteten för schemalagd genomsökning från 9 till 8, vilket gör att andra programtrådar kan köras med högre prioritet, vilket ger mer CPU-tid än Microsoft Defender Antivirus. – Ange den maximala procentandelen processoranvändning under en genomsökning (CPU-användningsgräns per genomsökning). 50 är standardinställningen. du kan sänka den till 20 eller 30. Om du har ett fönster för ändringskontroll kan genom att ändra mängden cpu som kan användas göra att genomsökningen tar längre tid. – Starta endast den schemalagda genomsökningen när datorn är på men inte används genom att ange ScanOnlyIfIdle till Not configured (den är aktiverad som standard). Det kräver att datorn är inaktiv, vilket innebär att processoranvändningen för enheten måste vara lägre än 80 %. Inställningar för daglig snabbsökning – Ange Specify the interval to run quick scans per day till Not configured (Hur många timmar har förflutit innan nästa snabbgenomsökning körs – 0 till 24 timmar)– Ange Specify the time for a daily quick scan (Run daily quick scan at) till 12 PM. Köra en schemalagd genomsökning varje vecka (snabb eller fullständig) inställningar – Ange den skanningstyp som ska användas för en schemalagd genomsökning (ange Scan type till Not configured). – Ange tid på dagen för att köra en schemalagd genomsökning (inställd Day of week to run scheduled scan på Not configured). – Ange veckodagen för att köra en schemalagd genomsökning (inställd Time of day to run a scheduled scan på Not configured). |
| Genomsök efter en säkerhetsinformationsuppdatering. | Som standard genomsöker Microsoft Defender Antivirus efter en säkerhetsinformationsuppdatering för optimalt skydd. Om schemalagda genomsökningar är aktiverade kanske du tror att det finns genomsökningar som körs utanför schemat. Det är här du och din ledningsgrupp måste fatta ett beslut om att ha mer säkerhet eller mindre processoranvändning. I grupprincip (eller ett annat hanteringsverktyg, till exempel MDM), går du tillAdministrativa mallar> för datorkonfiguration>Microsoft Defender Antivirus>Security Intelligence-Uppdateringar och ställer in Aktivera genomsökning efter uppdatering av säkerhetsinformation till Disabled. |
| Konflikter med annan säkerhetsprogramvara | Om du har säkerhetsprogram som inte kommer från Microsoft, till exempel antivirusprogram, EDR, DLP, hantering av slutpunktsprivilegier, VPN och så vidare, lägger du till programvaran i Microsoft Defender Antivirus-undantag (sökväg + processer) och vice versa. Information om hur du hämtar listan över binärfiler för Microsoft Defender Antivirus finns i Konfigurera din nätverksmiljö för att säkerställa anslutningen till Defender för Endpoint-tjänsten. |
| Genomsöka ett stort antal filer eller mappar | Om du har en stor fil, till exempel en .iso, .vhdx och så vidare, sitter i din användarprofil (skrivbord, nedladdningar, dokument och så vidare) och profilen omdirigeras till nätverksresurser, till exempel offlinefiler (CSC) eller OneDrive (eller liknande produkter), kan det ta längre tid att köra genomsökningar. Det beror på att du genomsöker ett nätverk, där det finns mer svarstid jämfört med filer som lagras lokalt på en enhet. Om du inte behöver .iso/.vhd/.vhdx osv. sitter på din profil och flyttar den till en annan mapp där den inte sitter på en nätverksresurs (mappad enhet, unc-resurs, smb-resurs). |
Vad utlöser och orsakar högre processoranvändning i Microsoft Defender Antivirus
När de proa\ctive stegen har slutförts kan du identifiera vad som utlöser och orsakar den högre processoranvändningen:
| # | Verktyg för att begränsa vad som utlöser hög CPU-användning | Kommentarer |
|---|---|---|
| 1 | Samla in diagnostikdata för Microsoft Defender antivirusprogram | Microsoft Defender Diagnostikdata för antivirusprogram som du vill inkludera när du felsöker ett problem med Microsoft Defender Antivirus. |
| 2 | Prestandaanalys för Microsoft Defender Antivirus | Prestandaspecifika problem som rör Microsoft Defender Antivirus finns i Prestandaanalys för Microsoft Defender Antivirus. På så sätt kan du köra datainsamlingen och parsa data, där det är lätt att förstå. Obs! Kontrollera att problemet återskapas när du samlar in dessa data. |
| 3 | Felsöka Microsoft Defender problem med antivirusprestanda med Process Monitor | Om prestandaanalysen för Microsoft Defender Antivirus av någon anledning inte innehåller den information som du behöver för att begränsa vad som utlöser den höga CPU-användningen kan du använda Process Monitor (ProcMon). Tips: Du kan samla in i 5-10 minuter. Obs! Kontrollera att problemet återskapas när du samlar in dessa data. |
| 4 | Felsöka Microsoft Defender problem med antivirusprestanda med WPRUI | För mer avancerad felsökning kan du använda Windows Performance Recorder UI (WPRUI) eller Windows Performance Recorder (WPR). Tänk på att på grund av den här spårningens utförlighet bör den begränsas till högst 3 till 5 minuter. Kontrollera att problemet uppstår aktivt när du samlar in dessa data. |
Kontakta leverantören om det finns kända problem med antivirusprodukter
Om du enkelt kan identifiera programvaran som påverkar systemprestanda går du till programvaruleverantörens kunskapsbas eller supportcenter. Kontrollera om det finns några kända problem med antivirusprodukter. Om det behövs kan du öppna ett supportärende med dem och be dem att publicera ett.
Vi rekommenderar att programvaruleverantörer följer de olika riktlinjerna i Partnering med branschen för att minimera falska positiva identifieringar. Leverantören kan skicka in sin programvara via Microsoft Säkerhetsinsikter-portalen.
Vad händer om jag fortfarande har problem?
Du kan skicka ett ärende till Microsofts support.
Följ stegen i Samla in diagnostikdata för Microsoft Defender Antivirus.
Se även
- Samla in diagnostikdata för Microsoft Defender antivirusprogram
- Konfigurera och validera undantag för Microsoft Defender Antivirus-genomsökningar
- Prestandaanalys för Microsoft Defender Antivirus
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.