Considerações e melhores práticas de análise completa do Antivírus do Microsoft Defender

Aplica-se a:

Plataformas

  • Windows

Este artigo explica as considerações e as melhores práticas para executar análises antivírus completas com o Microsoft Defender para Endpoint. Este artigo descreve fatores que afetam o desempenho da análise e descreve cenários em que o aumento do consumo de recursos resulta numa maior eficácia da proteção.

Descrição geral

A proteção em tempo real no Defender para Endpoint é uma funcionalidade que analisa continuamente o seu computador para ajudar a detetar e parar infeções de software maligno em tempo real. Utiliza métodos de deteção heurísticos e baseados no comportamento para monitorizar a atividade no seu dispositivo e proteger contra ameaças à medida que acontecem. A nossa recomendação para análises agendadas é configurar a análise rápida juntamente com a proteção sempre ativa em tempo real e a proteção da cloud, uma vez que esta combinação fornece uma forte cobertura contra software maligno que começa com o sistema e software maligno ao nível do kernel. Esta configuração é a configuração predefinida. Em geral, não é necessário agendar uma análise completa e a maioria dos utilizadores nunca precisa de executar manualmente análises completas (consulte Comparar análise rápida, análise completa e análise personalizada).

No entanto, poderá ter de executar análises completas para cumprir os requisitos específicos da sua organização. Uma análise completa começa com uma análise rápida e, em seguida, continua com uma análise sequencial de ficheiros de todas as unidades de rede fixas e amovíveis que estão montadas. Uma análise completa pode durar de várias horas a vários dias, consoante o volume de conteúdo, o tipo de conteúdo e os recursos que o Microsoft Defender foi alocado para efetuar a análise (consulte Agendar análises rápidas e completas regulares com o Antivírus do Microsoft Defender). O desempenho da análise não é apenas uma função do tamanho do ficheiro e é determinado principalmente pelo tipo e complexidade do conteúdo.

Impacto na eficiência e no desempenho da proteção

A proteção e a utilização de recursos do sistema implicam compromissos. O desempenho do dispositivo depende muito do seu ambiente. É natural que a execução de uma análise completa num dispositivo com muitos conteúdos complexos leve a um maior tempo de conclusão. A tabela seguinte resume os cenários em que tomámos decisões para utilizar mais recursos do sistema para aumentar a eficiência da nossa proteção.

Definição Predefinição Detalhes
Análise de Arquivo/Contentor (por exemplo, ISOs) Enabled O Antivírus do Microsoft Defender está otimizado para minimizar o tempo de análise de um único objeto. Os contentores podem conter muitos objetos e a sua análise pode demorar mais tempo do que o esperado devido à sobrecarga da extração dos itens no contentor.
Tamanho máximo da análise de arquivo Unlimited
Rede Mapeada (por exemplo, UNC, SMB, CIFS) Enabled Por predefinição, o Antivírus do Microsoft Defender analisa as unidades de rede mapeadas.
Sincronização do OneDrive Enabled Por predefinição, o Antivírus do Microsoft Defender analisa ambientes de trabalho, documentos ou transferências sincronizados através do OneDrive ou da sincronização de pastas.
Cache do lado do cliente/ficheiros offline Enabled Por predefinição, o Defender analisa a cache do lado do cliente.
Analisar Fator de Carga média da CPU 50 Veja a secção Análise e limitação da CPU deste artigo.

Nota

  • Se a proteção em tempo real estiver ativada, os ficheiros são analisados antes de serem acedidos e executados. A análise ocorre independentemente da localização dos ficheiros (consulte Configurar opções de análise para o Antivírus do Microsoft Defender).
  • A utilização real da CPU pode variar consoante o número de núcleos de CPU, o desempenho de E/S, a pressão da memória, etc. A limitação da utilização da CPU pode fazer com que a análise completa demorou mais tempo a ser concluída, pelo que os clientes devem ajustar este valor consoante os valores reais de utilização da CPU obtidos no seu ambiente específico.

Definições e comutadores de otimização do desempenho da análise completa

O desempenho do dispositivo é um fator importante na taxa de processamento de eventos de segurança e na velocidade das atividades de ficheiro, rede e análise. Uma taxa de processamento de eventos mais elevada é igual a um maior impacto no desempenho com o scanner AV. A configuração de software antivírus diferente pode afetar o desempenho e a proteção. Existem definições e comutadores disponíveis que pode configurar para ajustar o desempenho do Antivírus do Microsoft Defender.

Para configurar opções de análise para o Antivírus do Microsoft Defender, pode utilizar várias ferramentas (consulte Configurar opções de análise para o Antivírus do Microsoft Defender). Seguem-se algumas das definições e comutadores disponíveis que pode utilizar para configurar análises completas do Antivírus do Microsoft Defender:

Definição Predefinição Parâmetro e detalhes do PowerShell/WMI
Análise de Arquivo/Contentor (por exemplo, ISOs) Enabled O Antivírus do Microsoft Defender está otimizado para minimizar o tempo de análise de um único objeto. Os contentores podem conter muitos objetos e a sua análise pode demorar mais tempo do que o esperado devido à sobrecarga da extração dos itens no contentor.
Arquivar ficheiros Scanned DisableArchiveScanning

DisableArchiveScanning Ativar exclui os seguintes tipos de arquivo das análises antivírus:
- ZIP
- Ace
- Arc
- Arj
- BZip2
- Cab
- CF
- CPIO
- CPT
- GZip
- Hap
- ISO
- Lharc
- PSF
- Quantum
- Rar
- Stuffit
- Zoo
- ZCompress
- Compress
- VC4
- RPM
- BGA
- BH
- Universal Disk Format
- 7z

Para obter mais informações, veja DisableArchiveScanning
Nível de subpastas numa pasta de arquivo a analisar 0 0 significa ilimitado.
Tamanho máximo do arquivo para análise 0 0 significa ilimitado.
Unidades de rede mapeadas Scanned DisableScanningMappedNetworkDrivesForFullScan

Veja DisableScanningMappedNetworkDrivesForFullScan
Ficheiros de rede Scanned DisableScanningNetworkFiles
% de carga máxima da CPU durante a análise 50 ScanAvgCPULoadFactor

Veja a secção Análise e limitação da CPU deste artigo.
Desativar a limitação da CPU em análises inativas Unthrottled DisableCpuThrottleOnIdleScans

Veja a secção Análise e limitação da CPU deste artigo.
Verificações de assinatura antes da análise Disabled CheckForSignaturesBeforeRunningScan

O Antivírus do Microsoft Defender verifica periodicamente a existência de atualizações de assinatura e efetua análises agendadas automaticamente. Por predefinição, a análise começa com as definições existentes. Esta definição aplica-se apenas a análises agendadas.
Unidades amovíveis durante análises completas Scanned DisableRemovableDriveScanning

Indica se pretende analisar unidades amovíveis, como pens, durante uma análise completa.
E-mail Scanned DisableEmailScanning

Indica se o Windows Defender analisa a caixa de correio e os ficheiros de correio, de acordo com o respetivo formato específico, para analisar os corpos de correio e anexos.
Script Scanned DisableScriptScanning

Especifica se pretende desativar a análise de ficheiros de script.

Melhores práticas e considerações

Seguem-se as recomendações da Microsoft:

Análises completas

  • Executar uma análise completa uma vez depois de ter ativado ou instalado o Antivírus do Microsoft Defender pode ser útil para analisar sistemas para detetar ameaças existentes.

  • Recomendamos que configure políticas de análise com base no tipo e na função do dispositivo, por exemplo, Coleção do SQL Server, Coleção de Servidores IIS, Coleção de Estação de Trabalho Restrita, Coleção de Estação de Trabalho Standard.

  • Evite utilizar controladores de domínio numa função de servidor de ficheiros. Isto reduz as atividades de análise de antivírus em partilhas de ficheiros e minimiza a sobrecarga de desempenho.

  • O Antivírus do Microsoft Defender tem a funcionalidade de computação de hash de ficheiros que calcula os hashes de ficheiros para cada ficheiro executável que é analisado se não tiver sido calculado anteriormente. Isto tem um custo de desempenho especialmente ao copiar ficheiros grandes de uma partilha de rede. Veja Configurar a Computação hash de ficheiros para saber mais sobre o impacto nos indicadores.

  • O desempenho completo da análise pode ser afetado pela limitação da CPU. A nossa recomendação é deixar as definições de limite da CPU na predefinição.

Nota

  • Por predefinição, o Antivírus do Microsoft Defender inspeciona o tipo de conteúdo interno, uma vez que as extensões de ficheiro são muitas vezes enganosas e podem ser facilmente falsificadas por atacantes.
  • O desempenho da análise depende bastante do tipo de conteúdo real que está a ser analisado. Em geral, os tipos de ficheiro mais complexos requerem mais tempo e ciclo, enquanto os tipos de conteúdo mais invulgares requerem ainda mais tempo (por exemplo, ficheiros JavaScript).
  • A ferramenta analisador de desempenho do Antivírus do Microsoft Defender ajuda a determinar ficheiros, extensões de ficheiros e processos que possam estar a causar problemas de desempenho em pontos finais individuais durante análises antivírus. Se estiver a executar o Antivírus do Microsoft Defender e a ter problemas de desempenho, pode utilizar o analisador de desempenho para otimizar o desempenho (consulte Analisador de desempenho do Antivírus do Microsoft Defender).
  • Um identificador de imagem fidedigno para o Antivírus do Microsoft Defender pode ajudar a melhorar o desempenho dos seus dispositivos. Veja Configurar um Identificador de Imagem Fidedigno para o Microsoft Defender.

Análise e limitação da CPU

O limite de utilização da CPU, também conhecido como limitação da CPU, é utilizado para definir a utilização máxima da CPU para análises a pedido do Microsoft Defender. A definição de limitação da CPU está ativada por predefinição e aplica-se apenas às análises agendadas e, opcionalmente, também às análises personalizadas. Recomenda-se que ajuste esta definição (veja a ScanAverageCPULoadFactor definição em Set-MpPreference (Defender)), consoante os valores reais de utilização da CPU obtidos no seu ambiente específico.

O fator de carga da CPU para o Antivírus do Microsoft Defender não é um limite rígido, mas sim uma orientação para que o motor de análise não exceda este máximo. Para esta definição de política de análise, pode especificar um valor como percentagem da utilização máxima da CPU durante a análise. O valor de 0 ou 100 indica que não há limitação. Por exemplo, se este valor for reduzido para 20, significa que o motor de análise tem como objetivo manter a carga média da CPU do sistema abaixo dos 20% durante a análise e demora mais tempo a ser concluída.

  • Se definir o valor percentual como 0 ou 100, a limitação da CPU será desativada e o Windows Defender poderá utilizar até 100% da CPU durante as análises agendadas e personalizadas. Isto não é recomendado, uma vez que pode levar a aplicações sem resposta e até ao sobreaquecimento, por isso, proceda com extrema cautela.

  • Alterar o valor tem prós e contras. Valores mais elevados significam que as análises têm um desempenho mais rápido; No entanto, pode abrandar o sistema durante a análise, enquanto os valores mais baixos significam que a análise demora mais tempo a ser concluída, mas tem mais recursos de CPU disponíveis para o seu sistema durante a análise. Por exemplo, se estiver a executar cargas de trabalho críticas num servidor, esta definição deve ser definida para um valor que não interfira com o funcionamento das cargas de trabalho.

  • As análises manuais ignoram a definição de limitação da CPU e são executadas sem limites de CPU. No entanto, existe uma definição de política de análise (veja a ThrottleForScheduledScanOnly definição em Set-MpPreference (Defender)) que, se estiver desativada, as análises manuais cumprem os mesmos limites de CPU que uma análise agendada.

  • A limitação da CPU em análises inativas controla se a CPU está limitada para análises agendadas enquanto o dispositivo está inativo. Esta definição está desativada por predefinição para garantir que a CPU não está limitada para análises agendadas quando o dispositivo está inativo, independentemente da limitação da CPU definida. Para obter mais informações, veja a DisableCpuThrottleOnIdleScans definição em Set-MpPreference (Defender).

    Nota

    Veja os critérios de estado inativo em Condições de inatividade da tarefa – aplicações Win32.

Análise e exclusões

O Antivírus do Microsoft Defender tem as seguintes funcionalidades que ajudam a melhorar o desempenho e a eficiência da análise:

  • Os contentores/arquivos podem demorar muito tempo a analisar, uma vez que determinadas otimizações (por exemplo, análises paralelas) não são possíveis nestas situações. Sempre que possível, recomendamos a extração do conteúdo destes contentores que permita que a análise completa processe itens em paralelo.

  • Analise exclusões em que pode excluir contentores da análise, se esta opção for permitida pelos seus requisitos de conformidade.

  • A ferramenta analisador de desempenho do Antivírus do Microsoft Defender pode ser utilizada para determinar exclusões que ajudam a otimizar o desempenho. Consulte Analisador de desempenho para o Antivírus do Microsoft Defender.

O Antivírus do Microsoft Defender tem uma otimização incorporada para conteúdos altamente respeitáveis (por exemplo, assinados por origens fidedignas). Quando encontra esses conteúdos, simplesmente afasta-se da análise do conteúdo para validar a assinatura para garantir que o ficheiro não foi adulterado.

Recomendações de exclusões de antivírus

Excluir determinadas localizações da análise pode encurtar o tempo de análise. Existem dois tipos de exclusões: exclusões de processos e exclusões de ficheiros/pastas. Apenas as exclusões de ficheiros/pastas se aplicam à análise completa. As exclusões de análise devem ser cuidadosamente desenvolvidas para reduzir o tempo de análise e minimizar o risco.

  • Não exclua ficheiros comprimidos se não for permitido pelos seus requisitos de conformidade.

  • Não exclua a pasta temp do Perfil de Utilizador ou a pasta Temp do sistema, normalmente utilizada por software maligno:

    • C:\Users<UserProfileName>\AppData\Local\Temp\
    • C:\Users<UserProfileName>\AppData\LocalLow\Temp\
    • C:\Users<UserProfileName>\AppData\Roaming\Temp\
    • %Windir%\Prefetch
    • %Windir%\System32\Spool
    • C:\Windows\System32\CatRoot2
    • %Windir%\Temp
  • A utilização de variáveis de ambiente como caráter universal em listas de exclusão está limitada apenas a variáveis de sistema. Não utilize variáveis de ambiente com âmbito de utilizador ao adicionar a pasta do Antivírus do Microsoft Defender e as exclusões de processos.