none
Защитник Windows RRS feed

  • Вопрос

  • Добрый день, помогите пожалуйста, Защитник Windows сильно загружает процессор, ОС Windows Server 2016, при нормальной его работе загрузка должна быть от 0 до 3 % процессорного времени, у меня она колеблется от 8 до 20% постоянно, из-за этого сильно страдает производительность системы.
    20 сентября 2017 г. 13:47

Все ответы

  • Если ваш процессор не справляется с одной программой, боюсь, тут только пара вариантов - менять процессор или менять программу.

    Защитник делает то, что должен - проверяет систему на угрозы. Посмотреть что он делает, можно через диспетчер задач, procmon и другие подобные утилиты, плюс в нём самом есть журналирование.

    • Изменено webDancer 20 сентября 2017 г. 14:30
    20 сентября 2017 г. 14:18
  • Дело в том что Server 2016 стоит на виртуальной машине, серверу дано 8 ядер по 2,6 MHz, процессор intel xeon E5-2660 v3, я сильно сомневаюсь что проблема в слабом процессоре.
     Менять процессор или программу возможности нет.
    • Изменено Aspirin03 21 сентября 2017 г. 5:44
    21 сентября 2017 г. 5:43
  • Логи защитника? Интересно же, что он делает - может он события генерирует какие, или всё время к неким файлам доступается... Как вообще используется этот сервер? Он файлохранилище и там всё время новые файлы приходят?
    21 сентября 2017 г. 6:50
  • А где можно посмотреть логи защитника? На сервере стоит серверная часть программы электронной очереди и все, на сервере стоит роль IIS и файлового хранилища, но они используются исключительно для программы очереди, эту программу нельзя кидать в исключения защитника.


    • Изменено Aspirin03 21 сентября 2017 г. 7:18
    21 сентября 2017 г. 7:15
  • Журнал дефендера можно посмотреть, используя оснастку "Просмотр событий" Панели управления. Event Viewer >> Applications and Services Logs >> Microsoft >> Windows >> Windows Defender >> Operational

    Список угроз и историю можно посмотреть через морду самого Defender (GUI), либо командлетами psh: https://blogs.technet.microsoft.com/heyscriptingguy/2013/10/25/use-powershell-to-see-what-windows-defender-detected/

    Ну а в Мониторе Ресурсов можно в реальном времени наблюдать, что и где он сканирует, какие файлы проверяет. Ставим галку на процесс Защитника, MsMpEng.exe и смотрим, примерно так:


    • Изменено webDancer 21 сентября 2017 г. 7:40
    21 сентября 2017 г. 7:40
  • На мониторинге ресурсов у меня не так много событий 

    А вот в журнале защитник каждый день меняет свою конфигурацию, запускает и завершает проверку, удаляет журнал вредоносной или другой потенциально нежелательной программы и обновляет версию подписки дважды

    21 сентября 2017 г. 10:19
  • Если вы не меняли его конфиг, то ровно то же самое Защитник делает на любой другой машине, но, по вашим же словам, на других машинах такой загрузки процессора не наблюдается.

    Т.е. что-то явно по-другому. Много мелких файлов, огромные архивы с тремя уровнями вложенности, 200 гигов видеозаписей, злые вирусы, замедляющие работу - куча вариантов. Выяснять это вам, т.к. доступ до целевого компьютера есть только у вас.

    Вообще говоря, на вашем месте я бы не беспокоился. Загрузка проца при активной работе антивируса на боевом серваке, это вполне нормально - данных-то много. Файлы, каталоги, сетевые подключения (да, брандмауэр теперь тоже там), эвристика, облачный анализ и т.д.

    PS: если хотите забавную фишку, поменяйте количество процессоров у виртуалки. Поставите 4 проца, загрузка будет ~25%. При двух - ~50%. Т.е. при проверке он использует только одно ядро, неважно, физика, виртуалка или гипертрединг. У вас ядер 8, соответственно, при загрузке одного нагрузка будет колебаться около 12%, что вы и наблюдаете.


    • Изменено webDancer 21 сентября 2017 г. 12:06
    21 сентября 2017 г. 11:52
  • На счет загрузки процессора все же беспокоюсь, потому что программа очереди и сама грузит процессор, и в дальнейшем сервер будет работать только на 1 процессоре, учитывая что и сам дефендер грузит процессор нормально то будут заметные лаги самой очереди. Может есть какие то способы снизить нагрузку дефендера к минимуму?

    В планировщике задач антивирусу создавал тригеры на то что бы проверка происходила вне рабочего времени и выключал работу дефендера с наивысшим приоритетом, но улучшений не было.

    21 сентября 2017 г. 13:40
  • Есть, разумеется. Его вообще можно выключить - проактивную защиту, сканирование почты, сетевой брандмауэр и прочее - ваще всё нафиг отрубить, оставить только проверки файловой системы по расписанию в 3 часа ночи. Загвоздка в том, что любые способы снижения нагрузки дефендера ослабляют общую защиту всего сервера и, как следствие - всей инфраструктуры компании.

    К примеру, есть у вас на сервере шара, каталог с записями видеоконференций - куча видеоданных. Вы добавляете его в исключения, время сканирования значительно уменьшается, все танцуют. А потом, в один прекрасный момент, какой-нибудь шибко умный зам директора кидает туда архив с кряком от его любимой игрушки. А в кряке - свежий wannacry в комплекте. Так-то эвристика бы его поймала, но вы отключили защиту. Всё, досвидос - все фаерволлы, ASA, политики безопасности, пароли - всё коту под хвост.

    То же самое с приоритетами, проверкой в нерабочее время и прочими ухищрениями. Для нормальной работы сервера и ПО нужны ресурсы, соответствующие обрабатываемым объёмам данных. Не хватает ресурсов - что-то будет работать плохо. У палки всегда два конца, как не извращайся :)




    • Изменено webDancer 22 сентября 2017 г. 8:29
    22 сентября 2017 г. 8:26
  • Тут с Вами согласен, но вот не много странно, на более нагруженых серверах 2016 года дефендер не грузит систему (файловая шара) а на этом грузит. А можно ли посмотреть лог по выбранной программе? Ибо такое чувство что грузит именно прога очереди.

    25 сентября 2017 г. 5:12
  • Насколько я помню, логи дефендер хранит в зашифрованном (.bin) виде, где-то в C:\ProgramData\Microsoft\Windows Defender. Вероятно, как-то можно их открыть, но я не пробовал.

    Относительно вашего ПО очереди, боюсь, что мало что можно порекомендовать. Софт может держать открытыми тысячи заголовков, обращаться к компонентам DCOM, реестру, сети, вполне может работать через самописный драйвер или по своему проприетарному протоколу. Тут есть только один надёжный способ проверки - метод исключения. Т.е. удаляете ПО полностью и проверяете нагрузку на сервер.

    ЗЫ: Вполне вероятно, что программу можно как-то временно отключить, не удаляя. Способ можете уточнить у разработчиков софтины.
    • Изменено webDancer 26 сентября 2017 г. 13:41
    26 сентября 2017 г. 13:41