Performance-Test für den Defender: Was bremst dein System?

Wenn dir der Scan deiner Festplatte mit Microsoft Defender ewig zu dauern scheint, lohnt es sich, den Grund dafür herauszufinden.

Du führst in diesem Tutorial einen Performancetest durch, bei dem du eine Protokolldatei erzeugst, den Virenscan ausführst und danach das Protokoll analysierst, um genau die Dateien, Dateitypen und Prozesse zu finden, die den Scan ausbremsen.

Microsoft nennt dieses Vorgehen Leistungsanalyse beziehungsweise Performance Analyzer für Microsoft Defender Antivirus.

Der Microsoft Defender ist der standardmäßig in Windows integrierte Virenschutz.

Wenn kein anderes Antivirenprogramm installiert und aktiviert ist, schützt dich der Defender vor Viren. Der Defender verfügt über einen Virenwächter, der ständig jede neue Datei analysiert.

Zusätzlich überprüft er regelmäßig alle Dateien auf deinem System. Das Tool versucht, diesen Scan nur dann zu starten, wenn du deinen PC gerade nicht nutzt.

Du kannst prüfen, ob Microsoft Defender bei dir aktiv ist, indem du den Konfigurationsbereich "Windows Sicherheit" öffnest.

Du gehst dazu über die Einstellungen zum Menüpunkt "Datenschutz und Sicherheit". Nun findest du im rechten Fenster den Bereich "Windows Sicherheit", den du auswählst.

Danach öffnest du den "Viren und Bedrohungsschutz".

Dort findest du auf der rechten Seite den Bereich "Wer schützt mich".

In diesem Bereich steht Microsoft Defender Antivirus, wenn der Defender bei dir aktiv ist und du kein anderes Virenschutzprogramm installiert hast.

Anwender, die ihren Computer oft im Leerlauf laufen lassen, bemerken den Scan möglicherweise gar nicht.

Andere Benutzer können durch den Scan gestört werden, weil er sowohl CPU-Leistung als auch Zugriffszeit auf die Festplatte verbraucht.

Besonders auffällig wird das, wenn große Archive, virtuelle Datenträger oder einzelne sehr große Dateien geprüft werden und dabei viel gelesen und entpackt werden muss.

Der Performance Analyzer hilft dir dabei, genau diese Bremsen sichtbar zu machen, indem er die am stärksten ins Gewicht fallenden Scans, Dateien, Dateiendungen und Prozesse auswertet.

Du gehst dabei in drei Schritten vor. Zuerst startest du ein Protokoll des Virenscans, danach startest du den Virenscan selbst und am Ende analysierst du das Protokoll.

Möchtest du für die nächsten Schritt, die jetzt folgen, eine tiefgreifendere Erklärung, dann empfehlen wir dir direkt auf die Hilfeseite von Mikrosoft zu gehen.

Die findest du unter:

learn.microsoft.com/de-de/defender-endpoint/tune-performance-defender-antivirus

Zuerst öffnest du die PowerShell mit Administratorrechten. Dafür klickst du mit der rechten Maustaste auf das Windowssymbol und wählst "Terminal Administrator".

Danach gibst du diesen Befehl ein.

New-MpPerformanceRecording -RecordTo c:\Defenderprotokoll.etl

Der Befehl startet die Protokollierung, also die Aufzeichner der Defender-Prozesse.

Diese Aufzeichnung startet sofort und läuft so lange, bis du im Terminal die Taste Enter drückst.

Danach findest du die Aufzeichnung in der Datei Defenderprotokoll.etl auf dem Laufwerk C.

Den Dateinamen und den Pfad kannst du nach Belieben ändern.

Du solltest die Taste Enter jedoch noch nicht drücken, denn bevor du die Aufzeichnung beendest, musst du einen Virenscan starten.

Der Befehl sammelt also Ereignisse aus der Defender Engine und aus dem Windows Kernel und erfordert deshalb Administratorrechte.

Um einen Virenscan des Defenders zu starten, öffnest du wieder den Windows Sicherheits-Bereich und gehst zu Viren und Bedrohungsschutz.

Hier öffnest du Scanoptionen.

Du wählst du Vollständige Überprüfung aus und startest sie über "Jetzt überprüfen".

Du kannst deinen Computer nun so weiter verwenden, wie du es gewohnt bist.

Natürlich kannst du den Scan aber auch einfach durchlaufen lassen, ohne den PC zu nutzen, wenn du das Verhalten im Leerlauf prüfen willst.

Wenn der Scan fertig ist, wechselst du zurück ins Terminal und drückst die Taste Enter, damit die Protokollaufzeichnung beendet und gespeichert wird.

Du kannst das Protokoll in eine CSV-Datei konvertieren und diese in Excel öffnen.

In der "Spalte Duration" siehst du dann, für welche Dateien der Defender am längsten für den Scan benötigt hat.

Du konvertierst das aufgezeichnete Protokoll mit diesem Befehl.

Get-MpPerformanceReport -Path c:\Defenderprotokoll.etl -Topscans 100 TopScans | ConvertTo-Csv -NoTypeInformation

Der Befehl Get MpPerformanceReport analysiert eine zuvor aufgezeichnete Performance Recording Datei und berichtet die Dateipfade, Dateiendungen und Prozesse mit dem höchsten Einfluss auf Microsoft Defender Antivirus Scans.

Microsoft bietet auch die Möglichkeit, das Protokoll direkt in der PowerShell zu analysieren.

Wenn du dir zum Beispiel die 20 Dateien mit der längsten Scandauer anzeigen lassen willst, gibst du Folgendes ein.

Get-MpPerformanceReport -Path c:\Defenderprotokol.etl -TopScans 20

Du nutzt damit den gleichen Analyse Mechanismus, nur ohne Umweg über Excel.

Ein weiterer Befehl zur Auswertung des Protokolls berücksichtigt lediglich die Top 10 bei Scandauer, Dateierweiterungen, Prozessen und Dateien. Du gibst dafür diesen Befehl ein.

Get-MpPerformanceReport -Path c:\Defenderprotokoll.etl -TopFiles 10 -TopExtensions 10 -TopProcesses 10 -TopScans 10

Diese Sicht ist besonders praktisch, wenn du schnell erkennen willst, ob es eher einzelne Ausreißer sind, bestimmte Dateiendungen wie ISO oder ZIP oder eher ein Prozess, der den Defender in ungünstigen Momenten stark beschäftigt.

Wenn du die Bremsen gefunden hast, geht es um eine sinnvolle Entscheidung. Du kannst Dateien löschen oder verschieben, wenn sie wirklich nicht mehr benötigt werden.

Damit sind wir auch schon am Ende mit unserem Tutorial. Wir hoffen natürlich, dass dieses Tutorial nützlich für dich war und wünschen dir noch viel Spaß mit unseren vielen anderen Tutorials auf Heimnetzwerk-und-Wlan-Hilfe.com.