Considérations relatives à l’analyse complète de l’Antivirus Microsoft Defender et meilleures pratiques

S’applique à :

Plateformes

  • Windows

Cet article décrit les considérations et les meilleures pratiques pour exécuter des analyses antivirus complètes avec Microsoft Defender pour point de terminaison. Cet article décrit les facteurs qui ont un impact sur les performances d’analyse et décrit les scénarios dans lesquels une consommation accrue des ressources entraîne une efficacité accrue de la protection.

Vue d’ensemble

La protection en temps réel dans Defender pour point de terminaison est une fonctionnalité qui analyse en permanence votre ordinateur pour détecter et arrêter les infections de programmes malveillants en temps réel. Il utilise des méthodes de détection heuristiques et basées sur le comportement pour surveiller l’activité sur votre appareil et vous protéger contre les menaces à mesure qu’elles se produisent. Notre recommandation pour les analyses planifiées est de configurer l’analyse rapide avec une protection en temps réel et une protection cloud en permanence, car cette combinaison offre une forte couverture contre les programmes malveillants qui commencent par le système et les logiciels malveillants au niveau du noyau. Cette configuration est la configuration par défaut. En général, il n’est pas nécessaire de planifier une analyse complète, et la plupart des utilisateurs n’ont jamais besoin d’exécuter manuellement des analyses complètes (voir Comparaison de l’analyse rapide, de l’analyse complète et de l’analyse personnalisée).

Toutefois, vous devrez peut-être exécuter des analyses complètes pour répondre aux exigences spécifiques de votre organisation. Une analyse complète commence par une analyse rapide, puis se poursuit par une analyse séquentielle de tous les lecteurs réseau fixes et amovibles montés. Une analyse complète peut durer de plusieurs heures à plusieurs jours, en fonction du volume de contenu, du type de contenu et des ressources allouées à Microsoft Defender pour effectuer l’analyse (voir Planifier des analyses rapides et complètes régulières avec l’antivirus Microsoft Defender). Les performances d’analyse ne sont pas uniquement une fonction de taille de fichier et sont principalement déterminées par le type et la complexité du contenu.

Efficacité de la protection et impact sur les performances

La protection et l’utilisation des ressources système impliquent des compromis. Les performances de l’appareil dépendent fortement de votre environnement. Il est naturel que l’exécution d’une analyse complète sur un appareil avec un grand nombre de contenus complexes entraîne un délai d’exécution plus long. Le tableau suivant récapitule les scénarios dans lesquels nous avons pris la décision d’utiliser davantage de ressources système pour améliorer l’efficacité de notre protection.

Paramètre Par défaut Détails
Archivage/Analyse de conteneur (par exemple, isos) Enabled Antivirus Microsoft Defender est optimisé pour réduire le temps d’analyse d’un seul objet. Les conteneurs peuvent contenir de nombreux objets et leur analyse peut prendre plus de temps que prévu en raison de la surcharge liée à l’extraction des éléments dans le conteneur.
Taille maximale de l’analyse des archives Unlimited
Réseau mappé (par exemple, UNC, SMB, CIFS) Enabled Par défaut, Antivirus Microsoft Defender analyse les lecteurs réseau mappés.
Synchronisation OneDrive Enabled Par défaut, l’Antivirus Microsoft Defender analyse les bureaux, les documents ou les téléchargements qui sont synchronisés via OneDrive ou la synchronisation de dossiers.
Cache côté client/fichiers hors connexion Enabled Par défaut, Defender analyse le cache côté client.
Analyser le facteur de charge moyenne du processeur 50 Consultez la section Analyse et limitation du processeur de cet article.

Remarque

  • Si la protection en temps réel est activée, les fichiers sont analysés avant d’être consultés et exécutés. L’analyse se produit quel que soit l’emplacement des fichiers (voir Configurer les options d’analyse de l’Antivirus Microsoft Defender).
  • L’utilisation réelle du processeur peut varier en fonction du nombre de cœurs du processeur, des performances d’E/S, de la sollicitation de la mémoire, etc. La limitation de l’utilisation du processeur peut entraîner une analyse complète plus longue. Les clients doivent donc ajuster cette valeur en fonction des valeurs réelles d’utilisation du processeur obtenues dans leur environnement spécifique.

Paramètres et commutateurs d’optimisation des performances de l’analyse complète

Les performances de l’appareil sont un facteur important dans le taux de traitement des événements de sécurité et la vitesse des activités de fichier, de réseau et d’analyse. Un taux de traitement d’événements plus élevé équivaut à un impact plus élevé sur les performances avec le scanneur AV. Une configuration logicielle antivirus différente peut avoir un impact sur les performances et la protection. Vous pouvez configurer des paramètres et des commutateurs pour ajuster les performances de l’Antivirus Microsoft Defender.

Pour configurer les options d’analyse de l’Antivirus Microsoft Defender, vous pouvez utiliser différents outils (voir Configurer les options d’analyse de l’Antivirus Microsoft Defender). Voici quelques-uns des paramètres et commutateurs disponibles que vous pouvez utiliser pour configurer les analyses complètes de l’Antivirus Microsoft Defender :

Paramètre Par défaut Paramètres powerShell/WMI et détails
Archivage/Analyse de conteneur (par exemple, isos) Enabled Antivirus Microsoft Defender est optimisé pour réduire le temps d’analyse d’un seul objet. Les conteneurs peuvent contenir de nombreux objets et leur analyse peut prendre plus de temps que prévu en raison de la surcharge liée à l’extraction des éléments dans le conteneur.
Archiver les fichiers Scanned DisableArchiveScanning

L’activation DisableArchiveScanning exclut les types d’archive suivants des analyses antivirus :
- ZIP
- Ace
- Arc
- Arj
- BZip2
- Cab
- CF
- CPIO
- CPT
- GZip
- Hap
- ISO
- Lharc
- PSF
- Quantum
- Rar
- Stuffit
- Zoo
- ZCompress
- Compress
- VC4
- RPM
- BGA
- BH
- Universal Disk Format
- 7z

Pour plus d’informations, consultez DisableArchiveScanning.
Niveau de sous-dossiers dans un dossier d’archivage à analyser 0 0 signifie illimité.
Taille maximale de l’archive pour l’analyse 0 0 signifie illimité.
Lecteurs réseau mappés Scanned DisableScanningMappedNetworkDrivesForFullScan

Voir DisableScanningMappedNetworkDrivesForFullScan
Fichiers réseau Scanned DisableScanningNetworkFiles
% de charge processeur maximale pendant l’analyse 50 ScanAvgCPULoadFactor

Consultez la section Analyse et limitation du processeur de cet article.
Désactiver la limitation du processeur lors des analyses inactives Unthrottled DisableCpuThrottleOnIdleScans

Consultez la section Analyse et limitation du processeur de cet article.
Vérifications de signature avant l’analyse Disabled CheckForSignaturesBeforeRunningScan

Antivirus Microsoft Defender recherche régulièrement les mises à jour de signature et effectue automatiquement des analyses planifiées. Par défaut, l’analyse commence par les définitions existantes. Ce paramètre s’applique uniquement aux analyses planifiées.
Lecteurs amovibles pendant les analyses complètes Scanned DisableRemovableDriveScanning

Indique s’il faut analyser les lecteurs amovibles, tels que les lecteurs flash, pendant une analyse complète.
E-mail Scanned DisableEmailScanning

Indique si Windows Defender analyse la boîte aux lettres et les fichiers de messagerie, selon leur format spécifique, afin d’analyser les corps de courrier et les pièces jointes.
Script Scanned DisableScriptScanning

Spécifie s’il faut désactiver l’analyse des fichiers de script.

Bonnes pratiques et considérations

Voici les recommandations de Microsoft :

Analyses complètes

  • L’exécution d’une analyse complète une fois que vous avez activé ou installé Antivirus Microsoft Defender peut être utile pour analyser les systèmes afin de détecter les menaces existantes.

  • Nous vous recommandons de configurer des stratégies d’analyse basées sur le type et le rôle d’appareil, par exemple, regroupement de serveurs SQL Server, collection de serveurs IIS, regroupement de stations de travail restreintes, collection de stations de travail standard.

  • Évitez d’utiliser des contrôleurs de domaine dans un rôle de serveur de fichiers. Cela réduit les activités d’analyse antivirus sur les partages de fichiers et réduit la surcharge des performances.

  • Antivirus Microsoft Defender dispose de la fonctionnalité de calcul de hachage de fichier qui calcule les hachages de fichier pour chaque fichier exécutable analysé s’il n’a pas été précédemment calculé. Cela a un coût de performances, en particulier lors de la copie de fichiers volumineux à partir d’un partage réseau. Consultez Configurer le calcul de hachage de fichier pour en savoir plus sur l’impact sur les indicateurs.

  • Les performances d’analyse complètes peuvent être affectées par la limitation du processeur. Nous vous recommandons de conserver les paramètres de limite de processeur par défaut.

Remarque

  • Par conception, Antivirus Microsoft Defender inspecte le type de contenu interne, car les extensions de fichier sont souvent trompeuses et peuvent être facilement usurpées par des attaquants.
  • Les performances d’analyse dépendent fortement du type de contenu réel analysé. En général, les types de fichiers plus complexes nécessitent plus de temps et de cycle, tandis que les types de contenu plus inhabituels nécessitent encore plus de temps (par exemple, les fichiers JavaScript).
  • L’outil Analyseur de performances pour l’Antivirus Microsoft Defender permet de déterminer les fichiers, les extensions de fichier et les processus susceptibles de provoquer des problèmes de performances sur des points de terminaison individuels pendant les analyses antivirus. Si vous exécutez l’Antivirus Microsoft Defender et que vous rencontrez des problèmes de performances, vous pouvez utiliser l’analyseur de performances pour optimiser les performances (voir Analyseur de performances pour Antivirus Microsoft Defender).
  • Un identificateur d’image approuvé pour l’Antivirus Microsoft Defender peut vous aider à améliorer les performances de vos appareils. Consultez Configurer un identificateur d’image approuvé pour Microsoft Defender.

Analyse et limitation du processeur

Le paramètre limite d’utilisation du processeur, également appelé limitation du processeur, est utilisé pour définir l’utilisation maximale du processeur pour les analyses à la demande de Microsoft Defender. Le paramètre de limitation du processeur est activé par défaut et s’applique uniquement aux analyses planifiées et éventuellement aux analyses personnalisées. Il est recommandé d’affiner ce paramètre (voir le ScanAverageCPULoadFactor paramètre dans Set-MpPreference (Defender)), en fonction des valeurs d’utilisation réelles du processeur obtenues dans votre environnement spécifique.

Le facteur de charge processeur pour l’Antivirus Microsoft Defender n’est pas une limite stricte, mais plutôt des conseils pour que le moteur d’analyse ne dépasse pas ce maximum. Pour ce paramètre de stratégie d’analyse, vous pouvez spécifier une valeur sous forme de pourcentage de l’utilisation maximale du processeur pendant l’analyse. La valeur 0 ou 100 indique aucune limitation. Par exemple, si cette valeur est réduite à 20, cela signifie que le moteur d’analyse vise à maintenir la charge moyenne du processeur du système en dessous de 20 % pendant l’analyse et qu’elle prend plus de temps.

  • Si vous définissez la valeur de pourcentage sur 0 ou 100, la limitation du processeur est désactivée et Windows Defender peut utiliser jusqu’à 100 % du processeur pendant les analyses planifiées et personnalisées. Cela n’est pas recommandé, car cela peut entraîner des applications qui ne répondent pas et même une surchauffe. Procédez donc avec une extrême prudence.

  • La modification de la valeur a à la fois des avantages et des inconvénients. Des valeurs plus élevées signifient que les analyses s’exécutent plus rapidement ; Toutefois, cela peut ralentir votre système pendant l’analyse, tandis que des valeurs inférieures signifient que l’analyse prend plus de temps à se terminer, mais que vous disposez de davantage de ressources processeur pour votre système pendant l’analyse. Par exemple, si vous exécutez des charges de travail critiques sur un serveur, ce paramètre doit être défini sur une valeur qui n’interfère pas avec le fonctionnement des charges de travail.

  • Les analyses manuelles ignorent le paramètre de limitation du processeur et s’exécutent sans limites de processeur. Toutefois, il existe un paramètre de stratégie d’analyse (voir le ThrottleForScheduledScanOnly paramètre dans Set-MpPreference (Defender)) qui, s’il est désactivé, les analyses manuelles respectent les mêmes limites de processeur qu’une analyse planifiée.

  • La limitation du processeur sur les analyses inactives contrôle si le processeur est limité pour les analyses planifiées pendant que l’appareil est inactif. Ce paramètre est désactivé par défaut pour garantir que le processeur n’est pas limité pour les analyses planifiées lorsque l’appareil est inactif, quelle que soit la limitation du processeur. Pour plus d’informations, consultez le DisableCpuThrottleOnIdleScans paramètre dans Set-MpPreference (Defender).

    Remarque

    Consultez les critères d’état d’inactivité dans Conditions d’inactivité des tâches - Applications Win32.

Analyse et exclusions

Antivirus Microsoft Defender dispose des fonctionnalités suivantes qui permettent d’améliorer les performances et l’efficacité de l’analyse :

  • L’analyse des conteneurs/archives peut prendre beaucoup de temps, car certaines optimisations (par exemple, les analyses parallèles) ne sont pas possibles dans ces situations. Dans la mesure du possible, nous vous recommandons d’extraire le contenu de ces conteneurs pour permettre à l’analyse complète de traiter des éléments en parallèle.

  • Analysez les exclusions où vous pouvez exclure les conteneurs de l’analyse, si cette option est autorisée par vos exigences de conformité.

  • L’outil Analyseur de performances pour Antivirus Microsoft Defender peut être utilisé pour déterminer les exclusions qui aident à optimiser les performances. Consultez Analyseur de performances pour Antivirus Microsoft Defender.

Antivirus Microsoft Defender dispose d’une optimisation intégrée pour le contenu hautement fiable (par exemple, signé par des sources approuvées). Lorsqu’il rencontre un tel contenu, il passe simplement de l’analyse du contenu à la validation de la signature pour s’assurer que le fichier n’a pas été falsifié.

Recommandations relatives aux exclusions d’antivirus

L’exclusion de certains emplacements de l’analyse peut raccourcir le temps d’analyse. Il existe deux types d’exclusions : les exclusions de processus et les exclusions de fichiers/dossiers. Seules les exclusions de fichiers/dossiers s’appliquent à l’analyse complète. Les exclusions d’analyse doivent être soigneusement développées pour réduire le temps d’analyse tout en minimisant les risques.

  • N’excluez pas les fichiers compressés s’ils ne sont pas autorisés par vos exigences de conformité.

  • N’excluez pas le dossier temporaire profil utilisateur ou le dossier temporaire système, couramment utilisé par les programmes malveillants :

    • C:\Users<UserProfileName>\AppData\Local\Temp\
    • C:\Users<UserProfileName>\AppData\LocalLow\Temp\
    • C:\Users<UserProfileName>\AppData\Roaming\Temp\
    • %Windir%\Prefetch
    • %Windir%\System32\Spool
    • C:\Windows\System32\CatRoot2
    • %Windir%\Temp
  • L’utilisation de variables d’environnement comme caractères génériques dans les listes d’exclusion est limitée aux variables système uniquement. N’utilisez pas de variables d’environnement d’étendue utilisateur lors de l’ajout d’exclusions de dossier et de processus antivirus Microsoft Defender.