Aspekty úplné kontroly a osvědčené postupy pro Antivirovou ochranu v programu Microsoft Defender
Platí pro:
- Plán 1 a 2 pro Microsoft Defender for Endpoint
- Antivirová ochrana v Microsoft Defenderu
Platformy
- Windows
Tento článek vysvětluje důležité informace a osvědčené postupy pro spouštění úplných antivirových kontrol v programu Microsoft Defender for Endpoint. Tento článek popisuje faktory, které mají vliv na výkon kontroly, a popisuje scénáře, kdy vyšší spotřeba prostředků vede ke zvýšení účinnosti ochrany.
Přehled
Ochrana v reálném čase v Defenderu for Endpoint je funkce, která nepřetržitě kontroluje počítač, aby v reálném čase pomáhala detekovat a zastavit malwarové infekce. Používá heuristické metody detekce založené na chování k monitorování aktivity na vašem zařízení a k ochraně před hrozbami, když k nim dojde. Pro plánované kontroly doporučujeme nakonfigurovat rychlou kontrolu společně s nepřetržitou ochranou v reálném čase a cloudovou ochranou, protože tato kombinace poskytuje silné pokrytí proti malwaru, který začíná systémem a malwarem na úrovni jádra. Tato konfigurace je výchozí konfigurací. Obecně platí, že nemusíte plánovat úplnou kontrolu a většina uživatelů nemusí úplné kontroly spouštět ručně (viz Porovnání rychlé kontroly, úplné kontroly a vlastní kontroly).
Možná ale budete muset spustit úplné kontroly, abyste splnili specifické požadavky vaší organizace. Úplná kontrola začíná rychlou kontrolou a pokračuje sekvenční kontrolou souborů všech připojených pevných a vyměnitelných síťových jednotek. Úplná kontrola může trvat několik hodin až několik dní v závislosti na objemu obsahu, typu obsahu a prostředcích, které microsoft Defender přidělil k provedení kontroly (viz Plánování pravidelných rychlých a úplných kontrol pomocí Antivirové ochrany v programu Microsoft Defender). Výkon procházení není pouze funkcí velikosti souboru a je většinou určen typem a složitostí obsahu.
Efektivita ochrany a dopad na výkon
Ochrana a využití systémových prostředků přináší kompromisy. Výkon zařízení je do značné míry závislý na vašem prostředí. Je přirozené, že spuštění úplné kontroly na zařízení s velkým množstvím složitého obsahu by vedlo k delšímu času dokončení. Následující tabulka shrnuje scénáře, ve kterých jsme se rozhodli použít více systémových prostředků ke zvýšení efektivity ochrany.
| Nastavení | Výchozí | Podrobnosti |
|---|---|---|
| Skenování archivu nebo kontejneru (například ISO) | Enabled |
Antivirová ochrana v programu Microsoft Defender je optimalizovaná tak, aby minimalizovala dobu procházení jednoho objektu. Kontejnery můžou obsahovat mnoho objektů a jejich kontrola může trvat déle, než se čekalo kvůli režii extrahování položek v kontejneru. |
| Maximální velikost skenování archivu | Unlimited |
|
| Mapovaná síť (například UNC, SMB, CIFS) | Enabled |
Antivirová ochrana v programu Microsoft Defender ve výchozím nastavení kontroluje namapované síťové jednotky. |
| Synchronizace OneDrivu | Enabled |
Antivirová ochrana v programu Microsoft Defender ve výchozím nastavení kontroluje plochy, dokumenty nebo stažené soubory, které se synchronizují přes OneDrive nebo synchronizaci složek. |
| Mezipaměť na straně klienta / offline soubory | Enabled |
Ve výchozím nastavení Defender prohledá mezipaměť na straně klienta. |
| Kontrola průměrného faktoru zatížení procesoru | 50 |
Projděte si část Skenování a omezování procesoru v tomto článku. |
Poznámka
- Pokud je zapnutá ochrana v reálném čase, soubory se před přístupem k nim a spuštěním zkontrolují. Kontrola se provádí bez ohledu na to, kde se soubory nacházejí (viz Konfigurace možností kontroly pro Antivirovou ochranu v programu Microsoft Defender).
- Skutečné využití procesoru se může lišit v závislosti na počtu jader procesoru, výkonu vstupně-výstupních operací, zatížení paměti atd. Omezení využití procesoru může způsobit, že úplná kontrola bude trvat déle, takže zákazníci by měli tuto hodnotu vyladit v závislosti na skutečných hodnotách využití procesoru získaných v konkrétním prostředí.
Nastavení a přepínače optimalizace výkonu úplné kontroly
Výkon zařízení je důležitým faktorem v rychlosti zpracování událostí zabezpečení a rychlosti souborových, síťových a skenovacích aktivit. Vyšší rychlost zpracování událostí odpovídá vyššímu dopadu skeneru AV na výkon. Různá konfigurace antivirového softwaru může mít vliv na výkon a ochranu. K dispozici jsou nastavení a přepínače, které můžete nakonfigurovat tak, aby upravily výkon Antivirové ochrany v programu Microsoft Defender.
Pokud chcete nakonfigurovat možnosti kontroly pro Antivirovou ochranu v programu Microsoft Defender, můžete použít různé nástroje (viz Konfigurace možností kontroly pro Antivirovou ochranu v programu Microsoft Defender). Tady jsou některá z dostupných nastavení a přepínačů, které můžete použít ke konfiguraci úplných kontrol Antivirové ochrany v programu Microsoft Defender:
| Nastavení | Výchozí | Podrobnosti o parametru PowerShellu nebo rozhraní WMI |
|---|---|---|
| Skenování archivu nebo kontejneru (například ISO) | Enabled |
Antivirová ochrana v programu Microsoft Defender je optimalizovaná tak, aby minimalizovala dobu procházení jednoho objektu. Kontejnery můžou obsahovat mnoho objektů a jejich kontrola může trvat déle, než se čekalo kvůli režii extrahování položek v kontejneru. |
| Archivovat soubory | Scanned |
DisableArchiveScanningDisableArchiveScanning Zapnutím se z antivirových kontrol vyloučí následující typy archivu:- ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z Další informace najdete v tématu DisableArchiveScanning. |
| Úroveň podsložek ve složce archivu ke kontrole | 0 |
0 znamená neomezenou. |
| Maximální velikost archivu pro skenování | 0 |
0 znamená neomezenou. |
| Namapované síťové jednotky | Scanned |
DisableScanningMappedNetworkDrivesForFullScanViz DisableScanningMappedNetworkDrivesForFullScan. |
| Síťové soubory | Scanned |
DisableScanningNetworkFiles |
| Maximální procento zatížení procesoru během kontroly | 50 |
ScanAvgCPULoadFactorProjděte si část Skenování a omezování procesoru v tomto článku. |
| Zakázání omezování procesoru při kontrolách nečinnosti | Unthrottled |
DisableCpuThrottleOnIdleScansProjděte si část Skenování a omezování procesoru v tomto článku. |
| Kontroly podpisu před skenováním | Disabled |
CheckForSignaturesBeforeRunningScanAntivirová ochrana v programu Microsoft Defender pravidelně kontroluje aktualizace podpisů a automaticky provádí naplánované kontroly. Kontrola ve výchozím nastavení začíná existujícími definicemi. Toto nastavení platí jenom pro naplánované kontroly. |
| Vyměnitelné jednotky během úplných kontrol | Scanned |
DisableRemovableDriveScanningUrčuje, zda se mají během úplné kontroly kontrolovat vyměnitelné jednotky, jako jsou flash disky. |
Scanned |
DisableEmailScanningUrčuje, jestli program Windows Defender analyzuje soubory poštovní schránky a pošty podle jejich konkrétního formátu, aby mohl analyzovat těla pošty a přílohy. |
|
| Skript | Scanned |
DisableScriptScanningUrčuje, zda se má zakázat prohledávání souborů skriptů. |
Osvědčené postupy a důležité informace
Tady jsou doporučení Microsoftu:
Úplné kontroly
Spuštění úplné kontroly jednou po povolení nebo instalaci antivirové ochrany v programu Microsoft Defender může být užitečné pro kontrolu systémů a zjišťování existujících hrozeb.
Doporučujeme nakonfigurovat zásady kontroly na základě typu a role zařízení, například kolekce SQL Serveru, kolekce serverů služby IIS, kolekce omezených pracovních stanic nebo kolekce standardních pracovních stanic.
Nepoužívejte řadiče domény v roli souborového serveru. Tím se snižují aktivity antivirové kontroly sdílených složek a minimalizují se režijní náklady na výkon.
Antivirová ochrana v programu Microsoft Defender má funkci výpočtu hodnoty hash souboru, která vypočítá hodnoty hash pro každý spustitelný soubor, který se kontroluje, pokud nebyl dříve vypočten. To má vysoké náklady na výkon, zejména při kopírování velkých souborů ze sdílené síťové složky. Další informace o dopadu na indikátory najdete v tématu Konfigurace výpočtu hodnoty hash souboru.
Výkon úplné kontroly může být ovlivněn omezováním procesoru. Doporučujeme ponechat nastavení limitu procesoru na výchozím nastavení.
Poznámka
- Antivirová ochrana v programu Microsoft Defender záměrně kontroluje interní typ obsahu, protože přípony souborů jsou často zavádějící a útočníci je můžou snadno zfalšovat.
- Výkon kontroly je do značné míry závislý na skutečném typu obsahu, který se kontroluje. Obecně platí, že složitější typy souborů vyžadují více času a cyklu, zatímco neobvyklé typy obsahu vyžadují ještě více času (např. soubory JavaScriptu).
- Nástroj analyzátoru výkonu pro Antivirovou ochranu v programu Microsoft Defender pomáhá určit soubory, přípony souborů a procesy, které můžou způsobovat problémy s výkonem v jednotlivých koncových bodech během antivirových kontrol. Pokud používáte Antivirovou ochranu v programu Microsoft Defender a dochází k problémům s výkonem, můžete k optimalizaci výkonu použít Analyzátor výkonu (viz Analyzátor výkonu pro Antivirovou ochranu v programu Microsoft Defender).
- Důvěryhodný identifikátor obrázku pro Antivirovou ochranu v programu Microsoft Defender může pomoct zlepšit výkon vašich zařízení. Viz Konfigurace identifikátoru důvěryhodného obrázku pro Microsoft Defender.
Skenování a omezování procesoru
Nastavení limitu využití procesoru, označované také jako omezování procesoru, se používá k nastavení maximálního využití procesoru pro kontroly microsoft defenderu na vyžádání. Nastavení omezování procesoru je ve výchozím nastavení povolené a vztahuje se pouze na naplánované kontroly a volitelně také na vlastní kontroly. Toto nastavení doporučujeme vyladit (viz ScanAverageCPULoadFactor nastavení v části Set-MpPreference (Defender)) v závislosti na skutečných hodnotách využití procesoru získaných v konkrétním prostředí.
Faktor zatížení procesoru pro Antivirovou ochranu v programu Microsoft Defender není pevný limit, ale spíše pokyny pro skenovací modul, aby toto maximum nepřekročil. Pro toto nastavení zásad kontroly můžete zadat hodnotu jako procento maximálního využití procesoru během kontroly. Hodnota 0 nebo 100 značí žádné omezování. Pokud je například tato hodnota snížena na 20, znamená to, že cílem skenovacího modulu je udržet průměrné zatížení procesoru systému pod 20 % během kontroly a dokončení trvá déle.
Pokud nastavíte procentuální hodnotu na 0 nebo 100, omezení procesoru je zakázané a Windows Defender může během plánovaných a vlastních kontrol využívat až 100 % procesoru. To se nedoporučuje, protože to může vést k nereagování aplikací a dokonce k přehřátí, takže pokračujte s velkou opatrností.
Změna hodnoty má výhody i nevýhody. Vyšší hodnoty znamenají rychlejší provádění kontrol; může to ale zpomalit systém během kontroly, zatímco nižší hodnoty znamenají, že dokončení kontroly trvá déle, ale během kontroly máte pro systém k dispozici více prostředků procesoru. Pokud například spouštíte kritické úlohy na serveru, mělo by být toto nastavení nastaveno na hodnotu, která nenarušuje fungování úloh.
Ruční kontroly ignorují nastavení omezování procesoru a spouští se bez omezení procesoru. Existuje ale nastavení zásad kontroly (viz
ThrottleForScheduledScanOnlynastavení v části Set-MpPreference (Defender)), že pokud je tato možnost zakázaná, ruční kontroly dodržují stejné limity procesoru jako naplánovaná kontrola.Omezování procesoru při nečinných kontrolách určuje, jestli je procesor omezený při plánovaných kontrolách, když je zařízení nečinné. Toto nastavení je ve výchozím nastavení zakázané, aby se zajistilo, že při nečinných kontrolách není procesor omezený, a to bez ohledu na to, na jaké omezení procesoru je nastavené. Další informace najdete v
DisableCpuThrottleOnIdleScansnastavení v tématu Set-MpPreference (Defender).Poznámka
Projděte si kritéria stavu nečinnosti v tématu Podmínky nečinnosti úloh – aplikace Win32.
Kontrola a vyloučení
Antivirová ochrana v programu Microsoft Defender má následující funkce, které pomáhají zvýšit výkon a efektivitu kontroly:
Prohledávání kontejnerů nebo archivů může trvat dlouho, protože určité optimalizace (například paralelní kontroly) nejsou v těchto situacích možné. Kdykoli je to možné, doporučujeme extrahovat obsah těchto kontejnerů, který by umožnil úplné prohledávání zpracovávat položky paralelně.
Kontrola vyloučení, kde můžete vyloučit kontejnery z kontroly, pokud je tato možnost povolená vašimi požadavky na dodržování předpisů.
Nástroj analyzátoru výkonu pro Antivirovou ochranu v programu Microsoft Defender můžete použít k určení vyloučení, která pomáhají optimalizovat výkon. Viz Analyzátor výkonu pro Antivirovou ochranu v programu Microsoft Defender.
Antivirová ochrana v programu Microsoft Defender má integrovanou optimalizaci obsahu, který je vysoce důvěryhodný (například podepsaný důvěryhodnými zdroji). Když na takový obsah narazí, jednoduše se přesune od skenování obsahu k ověření podpisu, aby se zajistilo, že se souborem nechybělo manipulace.
Doporučení k vyloučení antivirové ochrany
Vyloučení určitých umístění z prohledávání může zkrátit dobu kontroly. Existují dva typy vyloučení: vyloučení procesů a vyloučení souborů nebo složek. Pro úplnou kontrolu platí jenom vyloučení souborů nebo složek. Vyloučení kontrol by měla být pečlivě vyvinuta tak, aby se zkrátila doba procházení a současně minimalizovala rizika.
Nevylučujte komprimované soubory, pokud to vaše požadavky na dodržování předpisů nepovolují.
Nevylučujte dočasnou složku profilu uživatele ani složku System temp, kterou běžně používá malware:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
Použití proměnných prostředí jako zástupných znaků v seznamech vyloučení je omezeno pouze na systémové proměnné. Při přidávání složky Antivirová ochrana v programu Microsoft Defender a vyloučení procesů nepoužívejte proměnné prostředí vymezené uživatelem.