Microsoft Defender ウイルス対策(以下MDAV)のウイルススキャン時のCPU使用率をGPOで制限することがあったため、
備忘録で記事にします。(2023年7月現在)
○結論
以下のGPOでウイルススキャン時のCPU使用率制限は可能です。
コンピューターの構成 - 管理用テンプレート - Windows コンポーネント - Microsoft Defender ウイルス対策 - スキャン
A:スキャン中の最大CPU使用率を指定する:有効
B:CPU調整の種類:無効
※BはWindows11用のADMXにのみ存在するGPO
・Windows11用ADMXのダウンロードURL
https://www.microsoft.com/en-us/download/details.aspx?id=104593
・対象ADMXファイル
「WindowsDefender.admx」
○注意点
AのGPOのみではスケジュールスキャン(自動スキャン)時のみCPU使用率制限がされるため、
オンデマンドスキャン(手動スキャン)時にもCPU使用率制限をかけたい場合は、A、BのGPOをどちらも設定する必要があります。
※タスクスケジューラーでウイルススキャンのバッチを実行する際もオンデマンドスキャンと判断されます。
○検証
※コマンドでのウイルススキャン方法は以下を参照ください。
https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/command-line-arguments-microsoft-defender-antivirus?view=o365-21vianet
①GPO設定前
(1)ディレクトリの移動
(2)ウイルススキャン(フルスキャン)の開始
(3)CPU使用率が上昇
※100%近くに張り付いた状態が続くこともあります。
②GPOの設定-1(AのGPOのみ設定)
(1)A:スキャン中の最大CPU使用率を指定する:有効
(2)B:CPU調整の種類:未構成
(3)GPO適用確認
「MDAV_GPO」が適用されていることを確認。
(4)ウイルススキャン(フルスキャン)開始、CPU使用率確認
AのGPOを設定しただけではオンデマンドスキャン(手動スキャン)時にはCPU使用率制限はされないことを確認。
③GPOの設定-2(BのGPOも設定)
(1)A:スキャン中の最大CPU使用率を指定する:有効
B:CPU調整の種類:無効
(2)GPOの適用を更新し、ウイルススキャン(フルスキャン)開始
AのGPOで設定したCPU使用率30%以下で動作していることを確認。
p.s.
初めての記事のため、読みにくい点などもあるかもしれませんが、参考になりましたら幸いです。
今後も参考になりそうなものがありましたら、記事に残そうと思います。