[English]Im heutigen Beitrag möchte ich mal ein leidiges Thema aufgreifen. Es geht um die Performance- und Stabilitätsprobleme, die von Virenscannern sowohl auf Windows 10-Clients als auch auf Server-Umgebungen hervorgerufen werden. Was ist die Ursache und was kann ich tun?
Anzeige
Der Hintergrund des Ganzen: Ich bin jetzt im Monat März 2020 zwei Mal von Blog-Lesern auf das Problem Windows Defender als Performance-Bremse bei Windows Server 2016/2019 hingewiesen worden. Die Blog-Leser haben den Windows Defender auf Windows Server 2016/2019 deaktiviert, um mit vernünftiger Performance arbeiten zu können. Das Ganze ist in den beiden am Artikelende verlinkten Beiträgen thematisiert worden.
Microsoft weiß um die Probleme
Als ich dann für den letzten Artikel Lösung für langsamen Start von Windows Server 2016? nach alternativen Virenscannern recherchiert habe, bin ich auf den Microsoft-Artikel Empfehlungen zum Virenscan auf Unternehmenscomputern, auf denen unterstützte Windows-Versionen ausgeführt werden gestoßen. Der Beitrag ist Anfang März 2020 letztmalig aktualisiert worden. Da hatte ich dann mein Aha-Erlebnis, denn Redmond kennt das Problem.
Problem ist, dass für den Windows Defender wohl keine Ausschlusslisten definiert werden, welche Dateien von einem Scan auszunehmen sind. Dann kommt es beispielsweise bei der Update-Installation zum Effekt, das in Benutzung befindliche Dateien gescannt werden müssten, der Defender das aber nicht kann. Das Ergebnis sind Stabiliäts- und Performance-Probleme. Windows Server 2016 braucht beim Neustart während der Installation von Updates dann ggf. irre lange.
Statt den Defender zu deaktivieren gibt es von Microsoft im verlinkten Support-Artikel Empfehlungen, was man bei Stabilitäts- und Performance-Problemen in Windows testen kann. Die Hinweise aus diesem Artikel gelten für:
Anzeige
- Windows Server 2012, alle Editionen
- Windows Server 2012 R2, alle Editionen
- Windows Server 2016, alle Editionen
- Windows Server 2019, alle Editionen
- Windows 7, alle Editionen
- Windows 8.1, alle Editionen
- Windows 10, alle Editionen
und sollten für alle Virenscanner, nicht nur den Windows Defender, zutreffen. Allerding scheinen einige Anbieter von Fremdvirenscannern ihre Hausaufgaben zu machen und pflegen Ausschlusslisten von Dateien, um solche Probleme zu vermeiden. Microsoft ist sich wohl bewusst, das es ein Performance-Problem mit dem Scan von Dateien, speziell von Updates, geben kann. Das Unternehmen schreibt dazu:
Dieser Artikel enthält Empfehlungen, die einem Administrator helfen können, die Ursache möglicher Instabilitäten auf einem Computer zu ermitteln, auf dem eine unterstützte Version von Microsoft Windows ausgeführt wird, wenn dieser zusammen mit einer Antivirensoftware in einer Active Directory-Domänenumgebung oder in einer verwalteten Unternehmensumgebung verwendet wird.
Hinweis Wir empfehlen, diese Einstellungen vorübergehend anzuwenden, um das Verhalten des Systems zu überprüfen. Wenn die Systemleistung oder -stabilität sich durch die in diesem Artikel beschriebenen Empfehlungen verbessert, wenden Sie sich an den Hersteller Ihrer Antivirensoftware, um Anweisungen oder eine aktualisierte Version der Antivirensoftware zu erhalten.
Wichtig Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfeatures auf einem Computer vorübergehend deaktivieren. Anhand dieser Änderungen können Sie ermitteln, welcher Art ein bestimmtes Problem ist. Wir raten Ihnen jedoch, zunächst die Risiken dieser Problemumgehung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diese Problemumgehung einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihren Computer zu schützen.
Es ist daher ganz interessant, was von Microsoft im Artikel ausgeführt und Administratoren zum Testen empfohlen wird.
- Beim Scannen bestimmter Dateien können aufgrund von Dateisperren Probleme mit der Leistung und Zuverlässigkeit des Betriebssystems auftreten.
- Daher empfiehlt Microsoft bestimmte Dateien, speziell im Zusammenhang mit Updates, von einem Virenscan auszuschließen.
So wird empfohlen, das Scannen der Datenbankdatei von Windows Update oder automatischen Updates (Datastore.edb) im Ordner:
%windir%\SoftwareDistribution\Datastore
von einem Scan auszunehmen. Deaktivieren Sie das Scannen der Protokolldateien im folgenden Ordner:
%windir%\SoftwareDistribution\Datastore\Logs
Deaktivieren Sie auch das Scannen von Windows-Sicherheitsdateien im Ordner:
%windir%\Security\Database
An dieser Stelle kürze ich den Vorgang ab, denn es gibt weitere Dateien (Gruppenrichtliniendateien, Profildateien), die beim Virenscan ggf. auszusparen sind. Der Supportbeitrag Empfehlungen zum Virenscan auf Unternehmenscomputern, auf denen unterstützte Windows-Versionen ausgeführt werden führt eine ganze Liste an Ordnern und Dateien an, die vom Virenscan ausgenommen werden sollen. Es gibt auch konkrete Empfehlungen, wie dies zu tun ist (z.B. nicht global einen Ausschluss auf Basis einer Dateinamenerweiterung vorzunehmen). Zudem empfiehlt Microsoft einen Test, ob einzelne Maßnahmen eine Verbesserung bringen oder nicht.
Aber es gibt noch mehr
Im Vorfeld zu diesem Beitrag hatte ich noch einen kurzen Mail-Austausch mit Blog-Leser Alexander F., der mich mit Hinweisen für den Artikel Windows Server 2019 und Defender-Performance-Probleme versorgte. Alexander schrieb mir, dass 'so gut wie jeder Enterprise Antivirus-Softwarehersteller eine sogenannte "Default Exclusion List" in seine Produkte integriert. Die Liste legt fest, dass bestimmte Verzeichnisse und/oder Dateien des Betriebssystems von einem Virus-Scan ausgenommen werden. Dazu gehören die in obigem Supportbeitrag angegebenen Dateien.
Für Windows Server 2016/2019 hat Microsoft dieses Dokument veröffentlicht, welches auf die Ausschlusskriterien für den Echtzeitschutz bei Verwendung von Microsoft Defender ATP eingeht.
Blog-Leser Karl hat als Reaktion auf meinen englischsprachigen Artikel zum langsamen Start von Windows Server 2016 bei der Update-Installation noch folgenden Tweet als Antwort gepostet. Er gibt weitere Ausschlüsse an, die man festlegen sollte.
We all know how often 3rd party security solution trouble things.
Rather put these exclusions
Dism.exe
Tiworker.exe
Windows\Winsxs
Windows\SoftwareDistributionI just upgraded my lab with 2020-03
2019 and core servers are your best friends.— al Qamar (Karl Wester-Ebbinghaus) (@tweet_alqamar) March 28, 2020
Alexander F. wies mich in seiner Mail noch darauf hin, dass je nach verwendetem Produkt weitere Dateien auf die "Default Exclusion List" gehören. Hier einige Fundstellen, wo man bei Bedarf nachsehen kann.
Vielleicht helfen diese Quellen dabei, die Stabilitäts- und Performance-Probleme im Zusammenhang mit dem Defender zu reduzieren oder zu beseitigen, so dass eine Defender-Deaktivierung nicht erforderlich wird.
Alexander F. schreibt noch, dass es ein weiteres Problem gibt, wenn eine alternative Antivirussoftware eingesetzt wird. Normalerweise sollte sich der Defender komplett abschalten sobald eine Dritthersteller AV-Lösung installiert wird. Das geschieht noch den Beobachtungen von Alexander F. (der setzt bei Kunden AV Produkte von Sophos ein) nicht vollständig. Ich kann das Thema mal bei Gelegenheit hier im Blog aufbereiten. Diese unvollständige Deaktivierung ist der Grund, warum Alexander F.r auf Windows Server den Defender (wie in den nachfolgenden Artikel gezeigt) deinstalliert.
Ähnliche Artikel:
Windows Server 2019 und Defender-Performance-Probleme
Lösung für langsamen Start von Windows Server 2016?
Windows-Virenscanner: Performance- & Stabilitätsprobleme
Anzeige