Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica as considerações e as melhores práticas para executar análises antivírus completas com Microsoft Defender para Endpoint. Este artigo descreve fatores que afetam o desempenho da análise e descreve cenários em que o aumento do consumo de recursos resulta numa maior eficácia da proteção.
Descrição geral
A proteção em tempo real no Defender para Endpoint é uma funcionalidade que analisa continuamente o seu computador para ajudar a detetar e parar infeções de software maligno em tempo real. Utiliza métodos de deteção heurísticos e baseados no comportamento para monitorizar a atividade no seu dispositivo e proteger contra ameaças à medida que acontecem. A nossa recomendação para análises agendadas é configurar a análise rápida juntamente com a proteção sempre ativa em tempo real e a proteção da cloud, uma vez que esta combinação fornece uma forte cobertura contra software maligno que começa com o sistema e software maligno ao nível do kernel. Esta configuração é a configuração predefinida. Em geral, não é necessário agendar uma análise completa e a maioria dos utilizadores nunca precisa de executar manualmente análises completas (consulte Comparar análise rápida, análise completa e análise personalizada).
No entanto, poderá ter de executar análises completas para cumprir os requisitos específicos da sua organização. Uma análise completa começa com uma análise rápida e, em seguida, continua com uma análise sequencial de ficheiros de todas as unidades de rede fixas e amovíveis que estão montadas. Uma análise completa pode durar de várias horas a vários dias, consoante o volume de conteúdo, o tipo de conteúdo e os recursos que Microsoft Defender foram alocados para efetuar a análise (consulte Acerca de análises agendadas rápidas ou completas Microsoft Defender Antivírus). O desempenho da análise não é apenas uma função do tamanho do ficheiro e é determinado principalmente pelo tipo e complexidade do conteúdo.
Pré-requisitos
Sistemas operativos suportados
- Windows
Impacto na eficiência e no desempenho da proteção
A proteção e a utilização de recursos do sistema implicam compromissos. O desempenho do dispositivo depende muito do seu ambiente. É natural que a execução de uma análise completa num dispositivo com muitos conteúdos complexos leve a um maior tempo de conclusão. A tabela seguinte resume os cenários em que tomámos decisões para utilizar mais recursos do sistema para aumentar a eficiência da nossa proteção.
| Definição | Predefinição | Detalhes |
|---|---|---|
| análise de Arquivo/Contentor (por exemplo, ISOs) | Enabled |
Microsoft Defender o Antivírus está otimizado para minimizar o tempo de análise de um único objeto. Os contentores podem conter muitos objetos e a sua análise pode demorar mais tempo do que o esperado devido à sobrecarga da extração dos itens no contentor. |
| Tamanho máximo da análise de arquivo | Unlimited |
|
| Rede Mapeada (por exemplo, UNC, SMB, CIFS) | Enabled |
Por predefinição, Microsoft Defender Antivírus analisa unidades de rede mapeadas. |
| Sincronização do OneDrive | Enabled |
Por predefinição, Microsoft Defender Antivírus analisa ambientes de trabalho, documentos ou transferências sincronizados através do OneDrive ou da sincronização de pastas. |
| Cache do lado do cliente/ficheiros offline | Enabled |
Por predefinição, o Defender analisa a cache do lado do cliente. |
| Analisar Fator de Carga média da CPU | 50 |
Veja a secção Análise e limitação da CPU deste artigo. |
Nota
- Se a proteção em tempo real estiver ativada, os ficheiros são analisados antes de serem acedidos e executados. A análise ocorre independentemente da localização dos ficheiros (veja Configurar opções de análise para Microsoft Defender Antivírus).
- A utilização real da CPU pode variar consoante o número de núcleos de CPU, o desempenho de E/S, a pressão da memória, etc. A limitação da utilização da CPU pode fazer com que a análise completa demorou mais tempo a ser concluída, pelo que os clientes devem ajustar este valor consoante os valores reais de utilização da CPU obtidos no seu ambiente específico.
Definições e comutadores de otimização do desempenho da análise completa
O desempenho do dispositivo é um fator importante na taxa de processamento de eventos de segurança e na velocidade das atividades de ficheiro, rede e análise. Uma taxa de processamento de eventos mais elevada é igual a um maior impacto no desempenho com o scanner AV. A configuração de software antivírus diferente pode afetar o desempenho e a proteção. Existem definições e comutadores disponíveis que pode configurar para ajustar o desempenho do Antivírus Microsoft Defender.
Para configurar opções de análise para Microsoft Defender Antivírus, pode utilizar várias ferramentas (consulte Configurar opções de análise para o Antivírus Microsoft Defender). Seguem-se algumas das definições e comutadores disponíveis que pode utilizar para configurar Microsoft Defender análises completas do Antivírus:
| Definição | Predefinição | Parâmetro e detalhes do PowerShell/WMI |
|---|---|---|
| análise de Arquivo/Contentor (por exemplo, ISOs) | Enabled |
Microsoft Defender o Antivírus está otimizado para minimizar o tempo de análise de um único objeto. Os contentores podem conter muitos objetos e a sua análise pode demorar mais tempo do que o esperado devido à sobrecarga da extração dos itens no contentor. |
| Arquivo ficheiros | Scanned |
DisableArchiveScanningDisableArchiveScanning Ativar exclui os seguintes tipos de arquivo das análises antivírus: - ZIP- Ace- Arc- Arj- BZip2- Cab- CF- CPIO- CPT- GZip- Hap- ISO- Lharc- PSF- Quantum- Rar- Stuffit- Zoo- ZCompress- Compress- VC4- RPM- BGA- BH- Universal Disk Format- 7z Para obter mais informações, veja DisableArchiveScanning |
| Nível de subpastas numa pasta de arquivo a analisar | 0 |
0 significa ilimitado. |
| Tamanho máximo do arquivo para análise | 0 |
0 significa ilimitado. |
| Unidades de rede mapeadas | Scanned |
DisableScanningMappedNetworkDrivesForFullScanVeja DisableScanningMappedNetworkDrivesForFullScan |
| Ficheiros de rede | Scanned |
DisableScanningNetworkFiles |
| % de carga máxima da CPU durante a análise | 50 |
ScanAvgCPULoadFactorVeja a secção Análise e limitação da CPU deste artigo. |
| Desativar a limitação da CPU em análises inativas | Unthrottled |
DisableCpuThrottleOnIdleScansVeja a secção Análise e limitação da CPU deste artigo. |
| Verificações de assinatura antes da análise | Disabled |
CheckForSignaturesBeforeRunningScanMicrosoft Defender o Antivírus verifica periodicamente a existência de atualizações de assinatura e efetua análises agendadas automaticamente. Por predefinição, a análise começa com as definições existentes. Esta definição aplica-se apenas a análises agendadas. |
| Unidades amovíveis durante análises completas | Scanned |
DisableRemovableDriveScanningIndica se pretende analisar unidades amovíveis, como pens, durante uma análise completa. |
Scanned |
DisableEmailScanningIndica se o Windows Defender analisa a caixa de correio e os ficheiros de correio, de acordo com o respetivo formato específico, para analisar os corpos de correio e anexos. |
|
| Script | Scanned |
DisableScriptScanningEspecifica se pretende desativar a análise de ficheiros de script. |
Melhores práticas e considerações
Seguem-se as recomendações da Microsoft:
Análises completas
Executar uma análise completa uma vez depois de ter ativado ou instalado Microsoft Defender o Antivírus pode ser útil para analisar sistemas para detetar ameaças existentes.
Recomendamos que configure políticas de análise com base no tipo e na função do dispositivo, por exemplo, SQL Server Coleção, Coleção de Servidores IIS, Coleção de Estação de Trabalho Restrita, Coleção de Estação de Trabalho Standard.
Evite utilizar controladores de domínio numa função de servidor de ficheiros. Isto reduz as atividades de análise de antivírus em partilhas de ficheiros e minimiza a sobrecarga de desempenho.
Microsoft Defender Antivírus tem a funcionalidade de computação hash de ficheiros que calcula os hashes de ficheiros para cada ficheiro executável que é analisado se não tiver sido calculado anteriormente. Isto tem um custo de desempenho especialmente ao copiar ficheiros grandes de uma partilha de rede. Veja Configurar a Computação hash de ficheiros para saber mais sobre o impacto nos indicadores.
O desempenho completo da análise pode ser afetado pela limitação da CPU. A nossa recomendação é deixar as definições de limite da CPU na predefinição.
Nota
- Por predefinição, Microsoft Defender Antivírus inspeciona o tipo de conteúdo interno, uma vez que as extensões de ficheiro são muitas vezes enganosas e podem ser facilmente falsificadas por atacantes.
- O desempenho da análise depende bastante do tipo de conteúdo real que está a ser analisado. Em geral, os tipos de ficheiro mais complexos requerem mais tempo e ciclo, enquanto os tipos de conteúdo mais invulgares requerem ainda mais tempo (por exemplo, ficheiros JavaScript).
- A ferramenta analisador de desempenho do Antivírus do Microsoft Defender ajuda a determinar ficheiros, extensões de ficheiros e processos que possam estar a causar problemas de desempenho em pontos finais individuais durante análises antivírus. Se estiver a executar Microsoft Defender Antivírus e a ter problemas de desempenho, pode utilizar o analisador de desempenho para otimizar o desempenho (veja Analisador de desempenho para Microsoft Defender Antivírus).
- Um identificador de imagem fidedigno para Microsoft Defender Antivírus pode ajudar a melhorar o desempenho dos seus dispositivos. Veja Configurar um Identificador de Imagem Fidedigno para Microsoft Defender.
Análise e limitação da CPU
O limite de utilização da CPU, também conhecido como limitação da CPU, é utilizado para definir a utilização máxima da CPU para Microsoft Defender análises a pedido. A definição de limitação da CPU está ativada por predefinição e aplica-se apenas às análises agendadas e, opcionalmente, também às análises personalizadas. Recomenda-se que ajuste esta definição (veja a ScanAverageCPULoadFactor definição em Set-MpPreference (Defender)), consoante os valores reais de utilização da CPU obtidos no seu ambiente específico.
O fator de carga da CPU para Microsoft Defender Antivírus não é um limite rígido, mas sim uma orientação para que o motor de análise não exceda este máximo. Para esta definição de política de análise, pode especificar um valor como percentagem da utilização máxima da CPU durante a análise. O valor de 0 ou 100 indica que não há limitação. Por exemplo, se este valor for reduzido para 20, significa que o motor de análise tem como objetivo manter a carga média da CPU do sistema abaixo dos 20% durante a análise e demora mais tempo a ser concluída.
Se definir o valor percentual como 0 ou 100, a limitação da CPU será desativada e o Windows Defender poderá utilizar até 100% da CPU durante as análises agendadas e personalizadas. Isto não é recomendado, uma vez que pode levar a aplicações sem resposta e até ao sobreaquecimento, por isso, proceda com extrema cautela.
Alterar o valor tem prós e contras. Valores mais elevados significam que as análises têm um desempenho mais rápido; No entanto, pode abrandar o sistema durante a análise, enquanto os valores mais baixos significam que a análise demora mais tempo a ser concluída, mas tem mais recursos de CPU disponíveis para o seu sistema durante a análise. Por exemplo, se estiver a executar cargas de trabalho críticas num servidor, esta definição deve ser definida para um valor que não interfira com o funcionamento das cargas de trabalho.
As análises manuais ignoram a definição de limitação da CPU e são executadas sem limites de CPU. No entanto, existe uma definição de política de análise (veja a
ThrottleForScheduledScanOnlydefinição em Set-MpPreference (Defender)) que, se estiver desativada, as análises manuais cumprem os mesmos limites de CPU que uma análise agendada.A limitação da CPU em análises inativas controla se a CPU está limitada para análises agendadas enquanto o dispositivo está inativo. Esta definição está desativada por predefinição para garantir que a CPU não está limitada para análises agendadas quando o dispositivo está inativo, independentemente da limitação da CPU definida. Para obter mais informações, veja a
DisableCpuThrottleOnIdleScansdefinição em Set-MpPreference (Defender).Nota
Veja os critérios de estado inativo em Condições de inatividade da tarefa – aplicações Win32.
Análise e exclusões
Microsoft Defender Antivírus tem as seguintes funcionalidades que ajudam a melhorar o desempenho e a eficiência da análise:
Os contentores/arquivos podem demorar muito tempo a analisar, uma vez que determinadas otimizações (por exemplo, análises paralelas) não são possíveis nestas situações. Sempre que possível, recomendamos a extração do conteúdo destes contentores que permita que a análise completa processe itens em paralelo.
Analise exclusões em que pode excluir contentores da análise, se esta opção for permitida pelos seus requisitos de conformidade.
A ferramenta analisador de desempenho para Microsoft Defender Antivírus pode ser utilizada para determinar exclusões que ajudam a otimizar o desempenho. Consulte Analisador de desempenho para o Antivírus do Microsoft Defender.
Microsoft Defender Antivírus tem uma otimização incorporada para conteúdo altamente respeitável (por exemplo, assinado por origens fidedignas). Quando encontra esses conteúdos, simplesmente afasta-se da análise do conteúdo para validar a assinatura para garantir que o ficheiro não foi adulterado.
Recomendações de exclusões de antivírus
Excluir determinadas localizações da análise pode encurtar o tempo de análise. Existem dois tipos de exclusões: exclusões de processos e exclusões de ficheiros/pastas. Apenas as exclusões de ficheiros/pastas se aplicam à análise completa. As exclusões de análise devem ser cuidadosamente desenvolvidas para reduzir o tempo de análise e minimizar o risco.
Não exclua ficheiros comprimidos se não for permitido pelos seus requisitos de conformidade.
Não exclua a pasta temp do Perfil de Utilizador ou a pasta Temp do sistema, normalmente utilizada por software maligno:
C:\Users<UserProfileName>\AppData\Local\Temp\C:\Users<UserProfileName>\AppData\LocalLow\Temp\C:\Users<UserProfileName>\AppData\Roaming\Temp\%Windir%\Prefetch%Windir%\System32\SpoolC:\Windows\System32\CatRoot2%Windir%\Temp
A utilização de variáveis de ambiente como caráter universal em listas de exclusão está limitada apenas a variáveis de sistema. Não utilize variáveis de ambiente com âmbito de utilizador ao adicionar Microsoft Defender pasta Antivírus e exclusões de processos.