مشاركة عبر

استكشاف مشاكل الأداء المتعلقة بالحماية في الوقت الحقيقي وإصلاحها

  • مقالة

ينطبق على:

الأنظمة الأساسية

  • بالنسبة لنظام التشغيل
  • Windows Server

إذا كان النظام الخاص بك لديه مشكلات عالية في استخدام وحدة المعالجة المركزية أو الأداء المتعلقة ب برنامج الحماية من الفيروسات Microsoft Defender (خدمة مكافحة البرامج الضارة القابلة للتنفيذ، MsMpEng.exe، Microsoft Defender مكافحة الفيروسات).

بصفتك مسؤولا، يمكنك أيضا استكشاف هذه المشكلات وإصلاحها بنفسك.

أولا، قد ترغب في التحقق مما إذا كانت البرامج الأخرى تسبب المشكلة. اقرأ تحقق مع المورد لمعرفة المشكلات المعروفة مع استثناءات مكافحة الفيروسات.

الأسباب الشائعة لأعلى استخدام وحدة المعالجة المركزية من قبل برنامج الحماية من الفيروسات Microsoft Defender

سبب الحل
1. الثنائيات غير موقعة (.exe، .dllوهكذا)
في أي وقت يتم فيه تشغيل/بدء تشغيل ثنائي (مثل .exe،.dll وما إلى ذلك)، إذا لم يتم توقيعه رقميا، يبدأ برنامج الحماية من الفيروسات Microsoft Defender فحص الحماية في الوقت الحقيقي أو عند تشغيل فحص مجدول و/أو فحص عند الطلب.		 يجب أن تفكر في توقيع الثنائيات باستخدام PKI داخلي. و/أو التواصل مع المورد حتى يتمكنوا من توقيع الثنائي. وإضافة الشهادة إلى المؤشرات – الشهادة - السماح

نوصي بموردي البرامج باتباع الإرشادات المختلفة في الشراكة مع الصناعة لتقليل الإيجابيات الكاذبة. يمكن لمورد البرامج أو مطور البرامج إرسال التطبيق أو الخدمة أو البرنامج النصي في مدخل التحليل الذكي لمخاطر الأمان من Microsoft.

كحل بديل، يمكنك اتباع الخطوات التالية:
1. (مفضل) لمؤشرات استخدام .exe وdll – تجزئة الملف - السماح
2. (بديل) إضافة استثناءات مكافحة الفيروسات (process+path).
2. استخدام ملفات HTA و CHM وملفات مختلفة كقاعدة بيانات.
في أي وقت يجب فيه Microsoft Defender Antivirus استخراج و/أو مسح تنسيقات الملفات المعقدة، يمكن أن يحدث استخدام أعلى لوحدة المعالجة المركزية.		 ضع في اعتبارك التبديل إلى استخدام قواعد البيانات الفعلية إذا كنت بحاجة إلى حفظ المعلومات والاستعلام عنها.

كحل بديل، أضف استثناءات مكافحة الفيروسات (process+path).
3. استخدام التعتيمات على البرامج النصية.
إذا قمت بتشويش البرامج النصية، Microsoft Defender مكافحة الفيروسات للتحقق مما إذا كان البرنامج النصي يحتوي على حمولات ضارة، فيمكنه استخدام المزيد من استخدام وحدة المعالجة المركزية أثناء الفحص.		 استخدم تعتيم البرنامج النصي فقط عند الضرورة.

كحل بديل، أضف استثناءات مكافحة الفيروسات (process+path).
4. عدم السماح لذاكرة التخزين المؤقت Microsoft Defender مكافحة الفيروسات بالانتهاء قبل إغلاق الصورة. إذا كنت تقوم بإنشاء صورة VDI مثل صورة غير ثابتة، فتأكد من اكتمال صيانة ذاكرة التخزين المؤقت قبل إغلاق الصورة.
لمزيد من المعلومات، راجع تكوين Microsoft Defender مكافحة الفيروسات على سطح مكتب بعيد أو بيئة بنية أساسية لسطح المكتب الظاهري.
5. وجود استبعاد (مسارات) مسار خاطئ بسبب الأخطاء الإملائية.
إذا أضفت مسارات استبعاد بها أخطاء إملائية، فقد يؤدي ذلك إلى مشكلات في الأداء.		 استخدم MpCmdRun.exe -CheckExclusion -Path للتحقق من صحة الاستثناءات المستندة إلى المسار.
6. عند إضافة استبعاد مسار، فإنه يعمل لمسح التدفقات ضوئيا.
لا يزال من الممكن أن تتسبب مراقبة السلوك (BM) وفحص الشبكة في الوقت الحقيقي (NRI) في حدوث مشكلات في الأداء.		 كحل بديل، اتبع الخطوات التالية:
1. (مفضل) لمؤشرات استخدام .exe وdll – تجزئة الملف - السماح أو المؤشرات – الشهادة - السماح
2. (بديل) إضافة استثناءات مكافحة الفيروسات (process+path).
7. حساب تجزئة الملف.
إذا قمت بتمكين حساب تجزئة الملف، والذي يستخدم لمؤشرات الملفات، فهناك المزيد من النفقات العامة للأداء. على سبيل المثال، قد يكون لنسخ الملفات الكبيرة من مشاركة شبكة على جهازك المحلي، خاصة عبر اتصال VPN، تأثير على أداء الجهاز.		 هذا هو المكان الذي سيتعين عليك أنت وفريق القيادة الخاص بك اتخاذ قرار، من الحصول على مزيد من الأمان أو استخدام أقل لوحدة المعالجة المركزية.

أحد الحلول الممكنة هو تعطيل ميزة حساب تجزئة الملف. انتقل إلى Computer Configuration>Administrative TemplatesWindows Components>>Microsoft Defender Antivirus>MpEngine، ثم قم بتمكين ميزات حساب تجزئة الملف.
ملاحظة: لتمكين المؤشرات - وظيفة تجزئة الملف، يجب تنشيط هذه الميزة.

للمساعدة في تحديد المكون الذي قد يساهم في زيادة استخدام وحدة المعالجة المركزية

مكون الحل
فحص الحماية في الوقت الحقيقي (RTP) يمكنك استخدام وضع استكشاف الأخطاء وإصلاحها لإيقاف تشغيل الحماية من العبث. بمجرد إيقاف تشغيل الحماية من العبث، يمكنك إيقاف تشغيل "الحماية في الوقت الحقيقي" مؤقتا، من أجل استبعادها.

راجع القسم السابق، الأسباب الشائعة لاستخدام أعلى لوحدة المعالجة المركزية بواسطة برنامج الحماية من الفيروسات Microsoft Defender.
المسح المجدول التحقق من إعدادات الفحص المجدولة الافتراضية

إعدادات الفحص المجدولة العامة.

- تكوين أولوية وحدة المعالجة المركزية المنخفضة للمسح المجدول (استخدم أولوية وحدة المعالجة المركزية المنخفضة لإجراء عمليات الفحص المجدولة).
تحتوي أولوية مؤشر الترابط في Windows لإجراء عمليات الفحص العادية على قيمتين: 8 (أقل) و 9 (أعلى). من خلال تعيين هذا إلى enabled، فإنك تقلل أولوية مؤشر ترابط الفحص المجدول من 9 إلى 8، مما يمكن مؤشرات ترابط التطبيقات الأخرى من التشغيل بأولوية أعلى، وبالتالي الحصول على وقت وحدة المعالجة المركزية أكثر من Microsoft Defender مكافحة الفيروسات.

- حدد النسبة المئوية القصوى لاستخدام وحدة المعالجة المركزية أثناء الفحص (حد استخدام وحدة المعالجة المركزية لكل فحص). 50 هو الإعداد الافتراضي؛ يمكنك خفضه إلى 20 أو 30.
إذا كان لديك نافذة تحكم في التغيير، عن طريق تعديل مقدار وحدة المعالجة المركزية التي يمكن استخدامها، يتسبب في أن يستغرق الفحص وقتا أطول.

- ابدأ الفحص المجدول فقط عندما يكون الكمبيوتر قيد التشغيل ولكن ليس قيد الاستخدام عن طريق الإعداد ScanOnlyIfIdle إلى Not configured (يتم تمكينه افتراضيا).
يتطلب أن يكون الجهاز الخاما، ما يعني أن استخدام وحدة المعالجة المركزية بشكل عام للجهاز يجب أن يكون أقل من 80٪.

إعدادات الفحص السريع اليومية

- اضبط Specify the interval to run quick scans per day على Not configured (كم ساعة انقضت، قبل تشغيل الفحص السريع التالي - من 0 إلى 24 ساعة)

- تعيين Specify the time for a daily quick scan (Run daily quick scan at) إلى 12 PM.

تشغيل إعدادات الفحص الأسبوعي المجدول (سريع أو كامل)

- حدد نوع الفحص المراد استخدامه للمسح الضوئي المجدول (تعيين Scan type إلى Not configured).

- حدد الوقت من اليوم لتشغيل فحص مجدول (تعيين Day of week to run scheduled scan إلى Not configured).

- حدد يوم الأسبوع لتشغيل فحص مجدول (تعيين Time of day to run a scheduled scan إلى Not configured).
المسح الضوئي بعد تحديث معلومات الأمان. بشكل افتراضي، Microsoft Defender يقوم برنامج الحماية من الفيروسات بالمسح الضوئي بعد تحديث التحليل الذكي للأمان لأغراض الحماية المثلى. إذا تم تمكين عمليات الفحص المجدولة، فقد تعتقد أن هناك عمليات فحص يتم تشغيلها خارج الجدول الزمني. هذا هو المكان الذي سيتعين عليك أنت وفريق القيادة الخاص بك اتخاذ قرار، من الحصول على مزيد من الأمان أو استخدام أقل لوحدة المعالجة المركزية.

كحل بديل، في نهج المجموعة (أو أداة إدارة أخرى، مثل MDM)، انتقل إلىقوالب>إدارة تكوين> الكمبيوتر Microsoft Defenderالتحديثات التحليل الذكي لأمانمكافحة الفيروسات>، وقم بتعيين تشغيل الفحص بعد تحديث التحليل الذكي للأمان إلى Disabled.
تعارضات مع برامج الأمان الأخرى إذا كان لديك برنامج أمان غير تابع ل Microsoft، مثل مكافحة الفيروسات وEDR وDLP وإدارة امتيازات نقطة النهاية وVPN وما إلى ذلك، فأضف هذا البرنامج إلى استثناءات برنامج الحماية من الفيروسات Microsoft Defender (المسار + العمليات)، والعكس صحيح.

للحصول على قائمة ثنائيات برنامج الحماية من الفيروسات Microsoft Defender، راجع تكوين بيئة الشبكة لضمان الاتصال بخدمة Defender لنقطة النهاية.
فحص عدد كبير من الملفات أو المجلدات إذا كان لديك ملف كبير مثل .iso و.vhdx وما إلى ذلك، فيمكنك الجلوس في ملف تعريف المستخدم (سطح المكتب والتنزيلات والمستندات وما إلى ذلك) ويتم إعادة توجيه ملف التعريف هذا إلى مشاركات الشبكة، مثل ملفات غير متصلة (CSC) أو OneDrive (أو منتجات مشابهة)، فقد تستغرق عمليات الفحص وقتا أطول للتشغيل. وذلك لأنك تقوم بمسح شبكة ضوئيا، حيث يوجد زمن انتقال أكبر مقارنة بالملفات المخزنة محليا على جهاز.

إذا لم تكن بحاجة إلى .iso/.vhd/.vhdx، وما إلى ذلك الموجود على ملف التعريف الخاص بك، فانقله إلى مجلد آخر حيث لا يكون موجودا على مشاركة شبكة (محرك أقراص معين ومشاركة غير متزامنة ومشاركة smb).

ما الذي يؤدي إلى زيادة استخدام وحدة المعالجة المركزية في برنامج الحماية من الفيروسات Microsoft Defender والتسبب في ذلك

بعد اكتمال الخطوات proa\ctive، يمكنك تحديد ما يتم تشغيله والتسبب في زيادة استخدام وحدة المعالجة المركزية:

# أدوات للمساعدة في تضييق نطاق ما يؤدي إلى الاستخدام العالي لوحدة المعالجة المركزية التعليقات
1 جمع Microsoft Defender بيانات تشخيص مكافحة الفيروسات Microsoft Defender بيانات تشخيص مكافحة الفيروسات التي تريد تضمينها عند استكشاف مشكلة في برنامج الحماية من الفيروسات Microsoft Defender وإصلاحها.
2 محلل الأداء لبرنامج الحماية من الفيروسات Microsoft Defender للحصول على المشكلات الخاصة بالأداء المتعلقة Microsoft Defender مكافحة الفيروسات، راجع محلل الأداء Microsoft Defender مكافحة الفيروسات. يسمح لك هذا بتشغيل جمع البيانات وتحليل البيانات، حيث من السهل فهمها.
ملاحظة: تأكد من إعادة إنتاج المشكلة عند جمع هذه البيانات.
3 استكشاف مشكلات أداء برنامج الحماية من الفيروسات Microsoft Defender وإصلاحها باستخدام "مراقبة العمليات" إذا لم يوفر محلل أداء برنامج الحماية من الفيروسات Microsoft Defender، لسبب ما، التفاصيل التي تحتاجها لتضييق نطاق ما يؤدي إلى الاستخدام العالي لوحدة المعالجة المركزية، يمكنك استخدام Process Monitor (ProcMon). تلميح: يمكنك الجمع لمدة 5-10 دقائق.
ملاحظة: تأكد من إعادة إنتاج المشكلة عند جمع هذه البيانات.
4 استكشاف مشكلات أداء برنامج الحماية من الفيروسات Microsoft Defender وإصلاحها باستخدام WPRUI لاستكشاف الأخطاء وإصلاحها بشكل أكثر تقدما، يمكنك استخدام واجهة مستخدم مسجل أداء Windows (WPRUI) أو مسجل أداء Windows (WPR). ضع في اعتبارك أنه نظرا لإسهاب هذا التتبع، يجب أن يقتصر على 3 إلى 5 دقائق كحد أقصى. تأكد من حدوث المشكلة بشكل نشط عند جمع هذه البيانات.

تحقق مع المورد من المشكلات المعروفة في منتجات مكافحة الفيروسات

إذا كان بإمكانك بسهولة تحديد البرنامج الذي يؤثر على أداء النظام، فانتقل إلى قاعدة معارف مورد البرنامج أو مركز الدعم. تحقق لمعرفة ما إذا كانت هناك أي مشكلات معروفة في منتجات مكافحة الفيروسات. إذا لزم الأمر، يمكنك فتح تذكرة دعم معهم ومطالبتهم بنشر تذكرة دعم.

نوصي بموردي البرامج باتباع الإرشادات المختلفة في الشراكة مع الصناعة لتقليل الإيجابيات الكاذبة. يمكن للمورد إرسال برامجه من خلال مدخل التحليل الذكي لمخاطر الأمان من Microsoft.

ماذا لو كان لا يزال لدي مشكلة؟

يمكنك إرسال تذكرة إلى دعم Microsoft.

اتبع الخطوات الواردة في جمع بيانات تشخيص برنامج الحماية من الفيروسات Microsoft Defender.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.