如果您的系統存在與 Microsoft Defender Antivirus (Anti-malware Service Executable、MsMpEng.exe Microsoft Defender Antivirus) 相關的高 CPU 使用率或效能問題。
身為管理員,您也可以自行排解這些問題。
首先,您可能需要檢查是否有其他軟體導致該問題。 請閱讀 向 供應商查詢防病毒軟體排除的已知問題。
必要條件
支援的作業系統
- Windows
- Windows 伺服器
Microsoft Defender 防病毒軟體 CPU 使用率較高的常見原因
| 原因 | 解決方案 |
|---|---|
1、 二進位檔未簽名 (.exe、 .dll、等) 每當啟動/啟動二進位 ((例如 .exe,等) .dll) 時,如果未進行數位簽署,Microsoft Defender防毒軟體就會啟動即時保護掃描,或當您執行排程掃描和/或隨選掃描時。 |
您應該考慮使用內部 PKI 簽署二進位檔。 和/或聯繫供應商以便他們簽署二進制文件。 並將證書添加到 指標 - 證書 - 允許 我們建議軟體廠商遵循 與業界合作中的各種指導方針,以將誤判降到最低。 軟體廠商或軟體開發人員可以在 Microsoft 安全情報入口網站中提交應用程式、服務或腳本。 作為因應措施,您可以遵循下列步驟: 1. (首選) 對於 .exe 和 dll 的使用指標 – 文件哈希 - 允許 2. (替代) 新增防 毒排除項 (進程+路徑) 。 |
| 2. 使用 HTA、CHM 和不同的文件作為數據庫。 每當 Microsoft Defender 防病毒軟體必須擷取和/或掃描複雜的檔案格式時,可能會發生更高的 CPU 使用率。 |
如果您需要保存資訊並查詢資訊,請考慮切換到使用實際資料庫。 因應措施是將 防毒排除項目 (process+path) 中新增。 |
| 3. 在腳本上使用混淆。 如果您模糊化腳本,Microsoft Defender 防病毒軟體為了檢查腳本是否包含惡意承載,它可以在掃描時使用更多的 CPU 使用率。 |
只有在必要時才使用腳本模糊化。 因應措施是將 防毒排除項目 (process+path) 中新增。 |
| 4. 在密封映像之前不要讓 Microsoft Defender 防病毒緩存完成。 | 如果您要建立 VDI 映像,例如非持續性映像,請確定快取維護在封存映像之前完成。 如需詳細資訊,請參閱在遠端桌面或虛擬桌面基礎結構環境中設定 Microsoft Defender 防病毒軟體。 |
| 5. 拼寫錯誤的排除。 |
用 MpCmdRun.exe -CheckExclusion -Path 來驗證路徑型排除。 |
| 6. 新增路徑排除時,它適用於掃描流程。 BM) (行為監控和 NRI) (網路即時檢查仍可能導致效能問題。 |
因應措施請採取下列步驟: 1. (首選) 供 .exe 和 dll 使用指示 器 - 文件哈希 - 允許 或 指示器 - 證書 - 允許 2. (替代) 新增防毒排除項 (進程+路徑) 。 |
| 7、 檔案雜湊計算。 如果您啟用用於 檔案指標的檔案雜湊計算,則效能額外負荷會更多。 例如,將大型檔案從網路共用複製到本機裝置,尤其是透過 VPN 連線,可能會影響裝置效能。 |
這是您和您的領導團隊必須做出決定的地方,是提高安全性還是降低 CPU 使用率。 一種可能的解決方案是停用檔案雜湊計算功能。 移至 [電腦設定>系統管理範本>Windows 元件>] Microsoft Defender 防毒軟體>MpEngine,然後啟用檔案雜湊計算功能。 附註:若要啟用指標 - 檔案雜湊功能,必須啟動此功能。 |
協助判斷哪個元件可能導致較高的 CPU 使用率
| 元件 | 解決方案 |
|---|---|
| RTP) 掃描 (即時保護 | 您可以使用 疑難排解模式 來關閉 竄改保護。 關閉篡改保護後,您可以暫時關閉“實時保護”,以排除它。 請參閱上一節 Microsoft Defender 防病毒軟體較高 CPU 使用率的常見原因。 |
| 排程掃描 | 檢查預設排程掃描設定 一般排程掃描設定。 - 配置排程掃描的低 CPU 優先順序 (對排程掃描) 使用低 CPU 優先順序。 Windows 中一般掃描的執行緒優先順序有兩個值: 8 (較低的) 和 9 較高 () 。 藉由將此設定為 enabled,您會將排程掃描執行緒優先順序從 9 降低到 8,這可讓其他應用程式執行緒以更高的優先順序執行,因此獲得比 Microsoft Defender 防病毒軟體更多的 CPU 時間。 - 指定掃描期間的 CPU 使用率百分比上限 (每個掃描) 的 CPU 使用率限制。 50 是預設設定;您可以將其降低至 20 或 30。 如果您有變更控制視窗,藉由修改可以使用的 CPU 數量,會導致掃描花費更長的時間。 - 只有在電腦開啟但未使用時才啟動排程掃描,方法是設定 ScanOnlyIfIdle 為 Not configured 預設啟用 () 。 它要求機器處於閒置狀態,這意味著設備的整體 CPU 使用率必須低於 80%。 每日快速掃描設置 - 設定 Specify the interval to run quick scans per day 為 Not configured (在下一次快速掃描執行之前經過多少小時 - 0 到 24 小時) - 設 Specify the time for a daily quick scan (Run daily quick scan at) 為 12 PM。 執行每週排程掃描 (快速或完整) 設定 - 指定要用於排程掃描的掃描類型 (設定 Scan type 為 Not configured) 。 - 指定一天中執行排程掃描的時間 (設為 Day of week to run scheduled scanNot configured) 。 - 指定要執行排程掃描的星期幾 (設定 Time of day to run a scheduled scan 為 Not configured) 。 |
| 在安全性情報更新之後進行掃描。 | 根據預設,Microsoft Defender 防病毒軟體會在安全性情報更新之後進行掃描,以達到最佳保護目的。 如果已啟用排程掃描,您可能會認為有些掃描在排程之外執行。 這是您和您的領導團隊必須做出決定的地方,是提高安全性還是降低 CPU 使用率。 因應措施是在 群組原則 (或其他管理工具 (例如 MDM) ) 中,移至 [電腦設定>系統管理範本>Microsoft Defender防毒安全性>情報匯報,並將 [安全性情報更新後開啟掃描] 設定為 Disabled。 |
| 與其他安全軟體衝突 | 如果您有非 Microsoft 安全性軟體,例如防毒軟體、EDR、DLP、端點權限管理、VPN 等,請將該軟體新增至Microsoft Defender防毒排除 (路徑 + 進程) ,反之亦然。 若要取得 Microsoft Defender 防病毒軟體二進位檔的清單,請參閱 設定您的網路環境,以確保與適用於端點的 Defender 服務連線。 |
| 掃描大量檔案或資料夾 | 如果您有大型檔案 (例如 .iso、.vhdx 等),位於桌面、下載、檔) 等 (使用者配置檔中,且該配置檔會重新導向至網路共用,例如離線檔案 (CSC) 或 OneDrive (或類似產品) ,則掃描可能需要更長的時間才能執行。 這是因為您正在掃描網路,與儲存在裝置上的檔案相比,網路的延遲更多。 如果您不需要設定檔上的 .iso/.vhd/.vhdx 等,請將其移至其他資料夾,該資料夾不位於網路共用 (對應磁碟機、UNC 共用、SMB 共用) 上。 |
觸發並導致 Microsoft Defender 防病毒軟體中 CPU 使用率較高的原因
程序步驟完成後,您可以識別觸發並導致較高CPU使用率的原因:
| # | 幫助縮小觸發高 CPU 使用率的原因範圍的工具 | Comments |
|---|---|---|
| 1 | 收集 Microsoft Defender 防病毒軟體診斷資料 | 針對 Microsoft Defender 防病毒軟體問題進行疑難排解時想要包含的 Microsoft Defender 防病毒軟體診斷資料。 |
| 2 | 適用於 Microsoft Defender 防病毒軟體的效能分析器 | 如需與 Microsoft Defender 防病毒軟體相關的效能特定問題,請參閱 Microsoft Defender 防病毒軟體的效能分析器。 這可讓您執行資料收集並剖析資料,且易於理解。 注意:當您收集此資料時,請確定問題正在重現。 |
| 3 | 針對進程監視器的 Microsoft Defender 防病毒軟體效能問題進行疑難排解 | 如果由於某些原因,Microsoft Defender防病毒軟體效能分析器未提供您需要的詳細數據,以縮小觸發高 CPU 使用率的原因,您可以使用進程監視器 (ProcMon) 。 提示:您可以收集 5-10 分鐘。 注意:當您收集此資料時,請確定問題正在重現。 |
| 4 | 針對 WPRUI 的 Microsoft Defender 防病毒軟體效能問題進行疑難排解 | 如需更進階的疑難排解,您可以利用 WPRUI) (Windows 效能記錄器 UI 或 WPR) (Windows 效能記錄器。 請記住,由於此痕跡的冗長性,應將其限制為最多 3 到 5 分鐘。 當您收集此資料時,請確定問題正在主動發生。 |
請洽詢廠商,以瞭解防毒產品的已知問題
如果您可以輕鬆識別影響系統效能的軟體,請前往軟體供應商的知識庫或支援中心。 檢查防毒產品是否有任何已知問題。 如有必要,您可以向他們開啟支援票證,並要求他們發佈票證。
我們建議軟體廠商遵循 與業界合作中的各種指導方針,以將誤判降到最低。 廠商可以透過 Microsoft 安全情報入口網站提交其軟體。
另請參閱
- 收集 Microsoft Defender 防病毒軟體診斷資料
- 設定和驗證 Microsoft Defender 防病毒軟體掃描的排除專案
- 適用於 Microsoft Defender 防病毒軟體的效能分析器
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。