疑難排解即時保護相關的效能問題
適用於:
- 適用於端點的 Microsoft Defender方案 1 和 2
- Microsoft Defender 防毒軟體
平台
- Windows
- Windows 伺服器
如果您的系統有與 Microsoft Defender 防病毒軟體 (反惡意代碼服務可執行檔相關的高 CPU 使用量或效能問題,MsMpEng.exe Microsoft Defender 防病毒軟體) 。
身為系統管理員,您也可以自行針對這些問題進行疑難解答。
首先,您可能想要檢查是否有其他軟體造成問題。 如需 防病毒軟體排除專案的已知問題,請參閱洽詢廠商。
Microsoft Defender 防病毒軟體提高CPU使用率的常見原因
| 原因 | 解決方案 |
|---|---|
1. 二進位檔未簽署 (.exe、 .dll等) 每當啟動/啟動、等 .exe.dll二進位 () 時,如果未以數位方式簽署,Microsoft Defender 防病毒軟體就會啟動即時保護掃描,或當您執行排程掃描時,以及/或隨選掃描。 |
您應該考慮使用內部 PKI 簽署二進位檔。 和/或連絡廠商,讓他們可以簽署二進位檔。 將憑證新增至 指標 - 憑證 - 允許 建議軟體廠商遵循與業界合作中的各種指導方針 ,將誤判降至最低。 軟體廠商或軟體開發人員可以在 Microsoft 安全情報 入口網站中提交應用程式、服務或腳本。 作為因應措施,您可以遵循下列步驟: 1. (慣用) 針對 .exe 和 dll 的使用 指標 – 檔案哈希 - 允許 2. (替代) (process+path) 新增防病毒軟體排除 專案。 |
| 2. 使用 HTA、CHM 和不同的檔案作為資料庫。 每當 Microsoft Defender 防病毒軟體必須擷取及/或掃描複雜的檔格式時,就會發生較高的 CPU 使用率。 |
如果您需要儲存資訊並加以查詢,請考慮切換為使用實際的資料庫。 因應措施是將 防病毒軟體排除專案新 (process+path) 。 |
| 3. 在腳本上使用混淆。 如果您混淆腳本,Microsoft Defender 防病毒軟體來檢查腳本是否包含惡意承載,則可以在掃描時使用更多的 CPU 使用率。 |
只有在必要時才使用腳本模糊化。 因應措施是將 防病毒軟體排除專案新 (process+path) 。 |
| 4.在密封影像之前,不允許 Microsoft Defender 防病毒軟體快取完成。 | 如果您要建立 VDI 映射,例如非持續性映像,請確定快取維護會在映像密封之前完成。 如需詳細資訊,請參閱在遠端桌面或虛擬桌面基礎結構環境中設定 Microsoft Defender 防病毒軟體。 |
| 5. 因為拼字錯誤, (錯誤的路徑排除) 。 如果您新增拼錯的排除路徑,可能會導致效能問題。 |
使用 MpCmdRun.exe -CheckExclusion -Path 來驗證路徑型排除專案。 |
| 6. 新增路徑排除時,它適用於掃描流程。 行為監視 (BM) 和網路即時檢查 (NRI) 仍可能造成效能問題。 |
因應措施是採取下列步驟: 1. (慣用) 針對 .exe 和 dll 的使用 指標 - 檔案哈希 - 允許 或 指標 - 憑證 - 允許 2. (替代) (process+path) 新增防病毒軟體排除專案 。 |
| 7. 檔案哈希計算。 如果您啟用用於 檔案指標的檔案哈希計算,則會有更多效能額外負荷。 例如,將大型檔案從網路共享複製到本機裝置,特別是透過 VPN 連線,可能會影響裝置效能。 |
這是您和領導團隊必須做出決策的地方,就是擁有更多安全性或更少的CPU使用率。 其中一個可能的解決方案是停用檔案哈希計算功能。 移至 [計算機設定>] [系統管理範>本] [Windows 元件>Microsoft Defender [防病毒軟體>MpEngine],然後啟用檔案哈希計算功能。 注意:若要啟用指標 - 檔案哈希功能,必須啟用此功能。 |
協助判斷哪些元件可能造成較高的CPU使用率
| 元件 | 解決方案 |
|---|---|
| RTP) 掃描 (實時保護 | 您可以使用 疑難解答模式 來關閉 竄改保護。 一旦關閉竄改保護,您可以暫時關閉「即時保護」,以將其排除。 請參閱上一節,Microsoft Defender 防病毒軟體提高CPU使用率的常見原因。 |
| 排程掃描 | 檢查預設排程掃描設定 一般排程掃描設定。 - 設定排程掃描的低 CPU 優先順序 (針對排程掃描) 使用低 CPU 優先順序。 Windows 中一般掃描的線程優先順序有兩個值: 8 (較低的) 和 9 (較高的) 。 藉由將此設定為 enabled,您會將排定的掃描線程優先順序從 9 降低為 8,這可讓其他應用程式線程以較高的優先順序執行,因而取得比防病毒軟體 Microsoft Defender 更多的 CPU 時間。 - 指定掃描期間 CPU 使用率的最大百分比 (每個掃描) 的 CPU 使用量限制。 50 是預設設定;您可以將它降低至 20 或 30。 如果您有變更控制視窗,藉由修改可使用的CPU數量,會使掃描花費較長的時間。 - 只在計算機開啟但未使用時啟動排程掃描,方法是將 設定 ScanOnlyIfIdleNot configured 為 (默認會啟用) 。 計算機必須閑置,這表示裝置的整體CPU使用量必須低於80%。 每日快速掃描設定 - 設定 Specify the interval to run quick scans per day 為 Not configured (在下一次快速掃描執行之前已耗用多少小時 - 0 到 24 小時) - 設定 Specify the time for a daily quick scan (Run daily quick scan at) 為 12 PM。 執行每周排程掃描 (快速或完整) 設定 - 指定要用於排程掃描的掃描類型 (設定 Scan type 為 Not configured) 。 - 指定一天中執行排程掃描的時間 (設定 Day of week to run scheduled scan 為 Not configured) 。 - 指定一周中執行排程掃描的日期 (設定 Time of day to run a scheduled scan 為 Not configured) 。 |
| 在安全性情報更新之後進行掃描。 | 根據預設,Microsoft Defender 防病毒軟體會在安全性情報更新之後進行掃描,以達到最佳的保護目的。 如果已啟用排程掃描,您可能會認為有在排程之外執行的掃描。 這是您和領導團隊必須做出決策的地方,就是擁有更多安全性或更少的CPU使用率。 因應措施是,在 群組原則 (或其他管理工具中,例如 MDM) ,移至 [計算機>設定系統管理範>本 Microsoft Defender 防病毒軟體>安全情報 匯報],並將 [在安全性情報更新之後開啟掃描] 設定為 Disabled。 |
| 與其他安全性軟體發生衝突 | 如果您有非Microsoft安全性軟體,例如防病毒軟體、EDR、DLP、端點許可權管理、VPN 等等,請將該軟體新增至 Microsoft Defender 防病毒軟體排除專案 (路徑 + 進程) ,反之亦然。 若要取得 Microsoft Defender 防病毒軟體二進位檔的清單,請參閱設定網路環境以確保與適用於端點的 Defender 服務連線。 |
| 掃描大量檔案或資料夾 | 如果您有大型檔案,例如 .iso、.vhdx 等等,請將使用者配置檔 (桌面、下載、檔等) ,而該配置檔會重新導向至網路共用,例如離線檔案 (CSC) 或 OneDrive (或類似的產品) ,掃描可能需要較長的時間才能執行。 這是因為您正在掃描網路,相較於儲存在本機裝置上的檔案,網路會有更多延遲。 如果您不需要配置檔上的 .iso/.vhd/.vhdx 等專案,請將它移至不同的資料夾,其中它不位於網路共用 (對應的磁碟驅動器、unc 共用、smb 共用) 。 |
在 Microsoft Defender 防病毒軟體中觸發和提高 CPU 使用率的因素
proa\ctive 步驟完成之後,您可以識別觸發的原因,並導致較高的 CPU 使用率:
| # | 可協助縮小觸發高 CPU 使用率的工具 | Comments |
|---|---|---|
| 1 | 收集 Microsoft Defender 防病毒軟體診斷數據 | Microsoft Defender 每次針對 Microsoft Defender 防病毒軟體問題進行疑難解答時,您想要包含的防病毒軟體診斷數據。 |
| 2 | Microsoft Defender 防病毒軟體的效能分析器 | 如需與 Microsoft Defender 防病毒軟體相關的效能特定問題,請參閱 Microsoft Defender 防病毒軟體的效能分析器。 這可讓您執行資料收集並剖析數據,以方便您瞭解。 注意:當您收集此數據時,請確定問題正在重現。 |
| 3 | 針對行程監視器 Microsoft Defender 防病毒軟體效能問題進行疑難解答 | 如果基於某些原因,Microsoft Defender 防病毒軟體效能分析器未提供觸發高 CPU 使用率所需縮小的詳細數據,您可以使用進程監視器 (ProcMon) 。 提示:您可以收集 5-10 分鐘。 注意:當您收集此數據時,請確定問題正在重現。 |
| 4 | 針對 WPRUI Microsoft Defender 防病毒軟體效能問題進行疑難解答 | 如需更進階的疑難解答,您可以使用 Windows Performance Recorder UI (WPRUI) 或 Windows Performance Recorder (WPR) 。 請記住,由於此追蹤的詳細資訊,應該限製為最多 3 到 5 分鐘。 請確定當您收集此數據時,問題正在主動發生。 |
請洽詢廠商防病毒軟體產品的已知問題
如果您可以立即識別影響系統效能的軟體,請移至軟體廠商的 知識庫 或支援中心。 檢查防病毒軟體產品是否有任何已知問題。 如有必要,您可以與他們開啟支援票證,並要求他們發佈票證。
建議軟體廠商遵循與業界合作中的各種指導方針 ,將誤判降至最低。 廠商可以透過 Microsoft 安全情報 入口網站提交其軟體。
如果我仍有問題,該怎麼辦?
您可以提交票證給 Microsoft支援。
請遵循收集 Microsoft Defender 防病毒軟體診斷數據中的步驟。
另請參閱
- 收集 Microsoft Defender 防病毒軟體診斷數據
- 設定及驗證 Microsoft Defender 防病毒軟體掃描的排除專案
- Microsoft Defender 防病毒軟體的效能分析器
提示
想要深入了解? 在我們的技術社群中 Engage Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。