A valós idejű védelemmel összefüggő problémák hibaelhárítása
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. és 2. csomag
- Microsoft Defender víruskereső
Platformok
- A Windows
- Windows Server
Ha a rendszer magas processzorhasználattal vagy teljesítménnyel kapcsolatos problémákat tapasztal a Microsoft Defender víruskeresővel (kártevőirtó szolgáltatás végrehajtható fájlja, MsMpEng.exe, Microsoft Defender víruskereső).
Rendszergazdaként ezeket a problémákat önállóan is elháríthatja.
Először is érdemes lehet ellenőrizni, hogy más szoftver okozza-e a problémát. Olvassa el A víruskereső kizárásával kapcsolatos ismert problémák keresése a gyártónál című témakört.
A Microsoft Defender Víruskereső magasabb processzorkihasználtságának gyakori okai
| Ok | Megoldás |
|---|---|
1. Nem aláírt bináris fájlok (.exe, .dllés így tovább)Ha egy bináris fájl (például .exe.dll, stb.) elindul/elindul, ha az nincs digitálisan aláírva, Microsoft Defender víruskereső valós idejű védelmi vizsgálatot indít el, vagy ütemezett és/vagy igény szerinti vizsgálatot futtat. |
Fontolja meg a bináris fájlok aláírását egy belső nyilvános kulcsokra épülő infrastruktúra használatával. És/vagy kapcsolatba lép a szállítóval, hogy aláírhassák a bináris fájlt. És a tanúsítvány hozzáadása a mutatókhoz – Tanúsítvány – engedélyezés Javasoljuk, hogy a szoftvergyártók a téves pozitív eredmények minimalizálása érdekében kövessék az iparággal való partneri kapcsolatról szóló cikk különböző irányelveit. A szoftvergyártó vagy a szoftverfejlesztő beküldheti az alkalmazást, a szolgáltatást vagy a szkriptet a Microsoft biztonsági intelligencia portálon. Megkerülő megoldásként kövesse az alábbi lépéseket: 1. (Előnyben részesített) A .exe és a DLL használati mutatóihoz – Fájlkivonat – engedélyezés 2. (Alternatív) Víruskereső kizárások hozzáadása (folyamat+elérési út). |
| 2. A HTA, a CHM és a különböző fájlok használata adatbázisként. Ha Microsoft Defender víruskeresőnek ki kell nyernie és/vagy be kell vizsgálnia az összetett fájlformátumokat, nagyobb processzorkihasználtság fordulhat elő. |
Ha adatokat szeretne menteni és lekérdezni, fontolja meg a tényleges adatbázisok használatára való váltást. Áthidaló megoldásként adjon hozzá víruskereső-kizárásokat (folyamat+elérési út). |
| 3. Rejtjelek használata szkripteken. Ha elrejti a szkripteket, Microsoft Defender víruskeresőt annak ellenőrzéséhez, hogy a szkript tartalmaz-e kártékony hasznos adatokat, a vizsgálat során nagyobb processzorkihasználtságot használhat. |
Csak szükség esetén használjon szkripttömítést. Áthidaló megoldásként adjon hozzá víruskereső-kizárásokat (folyamat+elérési út). |
| 4. Nem hagyja, hogy a Microsoft Defender víruskereső gyorsítótára befejeződjön a kép lezárása előtt. | Ha VDI-lemezképet hoz létre, például nem állandó lemezképhez, győződjön meg arról, hogy a gyorsítótár karbantartása befejeződik a rendszerkép lezárása előtt. További információ: Microsoft Defender víruskereső konfigurálása távoli asztali vagy virtuális asztali infrastruktúra-környezetben. |
| 5. Hibás elérésiút-kizárás(ok) vannak a hibás elírások miatt. Ha hibásan írt kizárási útvonalakat ad hozzá, az teljesítményproblémákhoz vezethet. |
Az elérésiút-alapú kizárások ellenőrzésére használható MpCmdRun.exe -CheckExclusion -Path . |
| 6. Az elérési út kizárásának hozzáadásakor működik a folyamatok vizsgálatához. A viselkedésfigyelés (BM) és a hálózati valós idejű vizsgálat (NRI) továbbra is teljesítményproblémákat okozhat. |
Áthidaló megoldásként hajtsa végre az alábbi lépéseket: 1. (Előnyben részesített) A .exe és a DLL használati mutatói esetében – Fájlkivonat – engedélyezés vagy Mutatók – Tanúsítvány – engedélyezés 2. (Alternatív) Víruskereső kizárások hozzáadása (folyamat+elérési út). |
| 7. Fájlkivonat kiszámítása. Ha engedélyezi a fájlkivonat-számítást, amely a fájljelölőkhöz használatos, nagyobb teljesítménybeli többletterheléssel jár. Ha például nagy méretű fájlokat másol egy hálózati megosztásból a helyi eszközére, különösen VPN-kapcsolaton keresztül, az hatással lehet az eszköz teljesítményére. |
Önnek és a vezetői csapatnak itt kell döntést hoznia arról, hogy nagyobb a biztonság vagy kevesebb a processzorkihasználtság. Az egyik lehetséges megoldás a Fájlkivonat-számítás funkció letiltása. Nyissa meg a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Microsoft Defender víruskereső>MpEngine lehetőséget, majd engedélyezze a fájlkivonat számítási funkcióit. Megjegyzés: A Mutatók – Fájlkivonat funkció engedélyezéséhez aktiválni kell ezt a funkciót. |
Annak meghatározása, hogy melyik összetevő járulhat hozzá a magasabb processzorkihasználtsághoz
| Összetevő | Megoldás |
|---|---|
| Valós idejű védelem (RTP) vizsgálata |
A hibaelhárítási móddal kikapcsolhatja az illetéktelen módosítás elleni védelmet. Ha az Illetéktelen módosítás elleni védelem ki van kapcsolva, ideiglenesen kikapcsolhatja a "valós idejű védelmet" a kizárás érdekében. Lásd az előző szakaszt, amely a Microsoft Defender víruskereső magasabb processzorkihasználtságának gyakori okait ismerteti. |
| Ütemezett vizsgálat | Ellenőrizze az alapértelmezett ütemezett vizsgálati beállításokat Általános ütemezett vizsgálati beállítások. – Konfigurálja az alacsony PROCESSZOR-prioritást az ütemezett vizsgálatokhoz (az ütemezett vizsgálatokhoz használjon alacsony processzorprioritást). A windowsos normál vizsgálatok szálprioritása két értékkel rendelkezik: 8 (alacsonyabb) és 9 (magasabb). Ha ezt értékre enabledállítja, az ütemezett vizsgálati szál prioritását értékről értékre 98csökkenti, ami lehetővé teszi, hogy más alkalmazásszálak magasabb prioritással fussanak, így több processzoridőt kap, mint Microsoft Defender víruskereső. – Adja meg a processzorkihasználtság maximális százalékos arányát a vizsgálat során (vizsgálatonkénti cpu-használati korlát). 50az alapértelmezett beállítás; a vagy 30a-ra csökkentheti.20 Ha változásvezérlési ablaka van, a használható processzor mennyiségének módosításával a vizsgálat hosszabb időt vesz igénybe. – Csak akkor indítsa el az ütemezett vizsgálatot, ha a számítógép be van kapcsolva, de nincs használatban a beállítással ScanOnlyIfIdleNot configured (alapértelmezés szerint engedélyezve van). Ehhez a gépnek tétlennek kell lennie, ami azt jelenti, hogy az eszköz processzorhasználatának 80%-nál alacsonyabbnak kell lennie. Napi gyorsvizsgálati beállítások - Állítsa a következő Specify the interval to run quick scans per day értékre Not configured (Hány óra telt el, mielőtt a következő gyorsvizsgálat lefut – 0–24 óra)- Állítsa a következőre Specify the time for a daily quick scan (Run daily quick scan at) : 12 PM. Heti ütemezett vizsgálat (gyors vagy teljes) beállításainak futtatása – Adja meg az ütemezett vizsgálathoz használni kívánt vizsgálati típust (állítsa értékre Scan type).Not configured – Adja meg az ütemezett vizsgálat futtatásának napját (beállítás Day of week to run scheduled scan : Not configured). – Adja meg a hét napját egy ütemezett vizsgálat futtatásához (beállítás Time of day to run a scheduled scan : Not configured). |
| Biztonságiintelligencia-frissítés utáni vizsgálat. | Alapértelmezés szerint Microsoft Defender víruskereső biztonságiintelligencia-frissítés után ellenőrzi az optimális védelmi célokat. Ha az ütemezett vizsgálatok engedélyezve vannak, előfordulhat, hogy vannak olyan vizsgálatok, amelyek az ütemezésen kívül futnak. Önnek és a vezetői csapatnak itt kell döntést hoznia arról, hogy nagyobb a biztonság vagy kevesebb a processzorkihasználtság. Áthidaló megoldásként a Csoportházirend (vagy egy másik felügyeleti eszköz, például az MDM) területen lépjen a Számítógép konfigurációja>felügyeleti sablonok>Microsoft Defender víruskereső>biztonságiintelligencia-Frissítések, és állítsa a Beolvasás bekapcsolása a biztonságiintelligencia-frissítés után beállítást a következőre Disabled: . |
| Ütközések más biztonsági szoftverekkel | Ha nem Microsoft biztonsági szoftverekkel rendelkezik, például víruskeresővel, EDR-vel, DLP-vel, végponti jogosultságkezeléssel, VPN-sel stb., adja hozzá a szoftvert a Microsoft Defender víruskereső kizárásaihoz (elérési út + folyamatok), és fordítva. A Microsoft Defender víruskereső bináris fájljainak listájáért lásd: A hálózati környezet konfigurálása a Végponthoz készült Defender szolgáltatással való kapcsolat biztosításához. |
| Nagy számú fájl vagy mappa vizsgálata | Ha egy nagy fájl, például egy .iso, .vhdx stb., a felhasználói profiljában ül (asztal, letöltések, dokumentumok stb.), és a profilt hálózati megosztásokra, például offline fájlokra (CSC) vagy OneDrive-ra (vagy hasonló termékekre) irányítja át, a vizsgálatok futtatása tovább tarthat. Ennek az az oka, hogy egy hálózatot vizsgál, ahol nagyobb a késés az eszközön helyileg tárolt fájlokhoz képest. Ha nincs szüksége a profilban található .iso/.vhd/.vhdx stb. mappára, helyezze át egy másik mappába, ahol nem hálózati megosztáson található (csatlakoztatott meghajtó, unc share, smb megosztás). |
Mi váltja ki és okozza a magasabb processzorkihasználtságot Microsoft Defender víruskeresőben?
A proa\ctive lépések elvégzése után azonosíthatja, hogy mi aktiválódik, és mi okozza a magasabb processzorkihasználtságot:
| # | Eszközök a magas processzorkihasználtság kiváltó okának szűkítéséhez | Megjegyzések |
|---|---|---|
| 1 | Microsoft Defender víruskereső diagnosztikai adatainak gyűjtése | Microsoft Defender víruskereső diagnosztikai adatait, amelyeket a Microsoft Defender víruskeresővel kapcsolatos problémák elhárítása során fel szeretne venni. |
| 2 | Teljesítményelemző Microsoft Defender víruskeresőhöz | A Microsoft Defender víruskeresővel kapcsolatos teljesítményspecifikus problémákért lásd: A Microsoft Defender víruskereső teljesítményelemzője. Ez lehetővé teszi az adatgyűjtés futtatását és az adatok elemzését, ahol könnyen érthető. Megjegyzés: Győződjön meg arról, hogy a probléma reprodukálódik az adatok gyűjtésekor. |
| 3 | A Microsoft Defender víruskereső teljesítményproblémáinak elhárítása a Folyamatfigyelővel | Ha valamilyen okból a Microsoft Defender víruskereső teljesítményelemzője nem adja meg azokat a részleteket, amelyeket le kell szűkítenie, hogy mi váltja ki a magas processzorkihasználtságot, használhatja a Folyamatfigyelőt (ProcMon). Tipp: 5–10 percig gyűjthet. Megjegyzés: Győződjön meg arról, hogy a probléma reprodukálódik az adatok gyűjtésekor. |
| 4 | A Microsoft Defender víruskereső teljesítményproblémáinak elhárítása a WPRUI-val | A speciálisabb hibaelhárításhoz használhatja a Windows Teljesítményrögzítő felhasználói felületét (WPRUI) vagy a Windows Teljesítményrögzítőt (WPR). Ne feledje, hogy ennek a nyomkövetésnek a részletessége miatt legfeljebb 3–5 percre kell korlátozni. Győződjön meg arról, hogy a probléma aktívan jelentkezik az adatok gyűjtésekor. |
A víruskereső termékekkel kapcsolatos ismert problémákért érdeklődjön a gyártónál
Ha azonnal azonosítani tudja a rendszer teljesítményét befolyásoló szoftvert, lépjen a szoftvergyártó tudásbázis vagy támogatási központjába. Ellenőrizze, hogy vannak-e ismert problémák a víruskereső termékekkel kapcsolatban. Szükség esetén támogatási jegyet nyithat velük, és megkérheti őket, hogy tegyenek közzé egyet.
Javasoljuk, hogy a szoftvergyártók a téves pozitív eredmények minimalizálása érdekében kövessék az iparággal való partneri kapcsolatról szóló cikk különböző irányelveit. A szállító a Microsoft biztonsági intelligencia portálon keresztül küldheti be a szoftverét.
Mi a teendő, ha továbbra is problémát tapasztalok?
Küldjön egy jegyet a Microsoft ügyfélszolgálatának.
Kövesse az Microsoft Defender víruskereső diagnosztikai adatainak gyűjtésével kapcsolatos lépéseket.
Lásd még
- Microsoft Defender víruskereső diagnosztikai adatainak gyűjtése
- Kizárások konfigurálása és ellenőrzése Microsoft Defender víruskereső vizsgálatokhoz
- Teljesítményelemző Microsoft Defender víruskeresőhöz
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.