We hebben eerder in dit artikel aanbevolen om Microsoft Defender for Endpoint volledige scans als een configuratie “best practice” te gebruiken, aangezien dit de meest veilige optie is. Hoewel volledige scans de meest uitgebreide bescherming bieden, vergen ze aanzienlijke systeembronnen, wat de prestaties kan beïnvloeden. Dit blogartikel onderzoekt de voordelen en nadelen van volledige en snelle scans en biedt “best practices” voor het optimaliseren van uw Microsoft Defender for Endpoint-configuratie.
Volledige Scans versus Snelle Scans: Het Verschil Begrijpen
Voordelen van Volledige Scans
Een volledige scan onderzoekt grondig alle bestanden, aangesloten netwerkstations, archieven, actieve processen en registervermeldingen op malware, zodat verborgen bedreigingen niet onopgemerkt blijven. Belangrijke voordelen zijn onder andere:
- Uitgebreide Dreigingsdetectie – Scant alle systeemgebieden, inclusief gecomprimeerde bestanden en diepere lagen die snelle scans mogelijk over het hoofd zien.
- Detectie van Slapende Malware – Identificeert inactieve malware die mogelijk niet onmiddellijk wordt uitgevoerd.
- Grondige Risicobeoordeling – Nuttig na het installeren van Microsoft Defender Antivirus om bestaande bedreigingen te identificeren.
Beperkingen van Quick Scans
Snelle scans richten zich op systeemkritische gebieden waar malware zich het meest waarschijnlijk bevindt, zoals actieve processen, systeembestanden en het register. Hoewel ze veel sneller en minder belastend voor het systeem zijn, kunnen snelle scans het volgende mogelijk niet detecteren:
- Malware die zich diep in de opslaglocaties bevindt.
- Slapende bedreigingen die niet actief worden uitgevoerd.
- Schadelijke bestanden die zijn opgeslagen in gecomprimeerde archieven of minder toegankelijke mappen.
| Kenmerk | Quick Scan | Volledige Scan |
| Bereik | Scant alleen de meest geïnfecteerde gebieden (geheugen, opstartbestanden, register, systeembestanden, etc.) | Scant alle bestanden, actieve processen en alle stations (inclusief netwerk- en verwijderbare media) |
| Duur | Snel (enkele minuten) | Traag (kan uren duren, afhankelijk van schijfgrootte, aantal bestanden en netwerkstations) |
| CPU/ Geheugenimpact | Laag tot gemiddeld | Hoog |
| Real-time Behavior | Richt zich op actieve malware, rootkits en recente bestandswijzigingen | Uitgebreide controle van alle bestanden, inclusief slapende dreigingen |
| Scanfrequentie | Aanbevolen voor dagelijks/wekelijks gebruik | Na eerste installatie en bij het reageren op een incident |
| Detectiebereik | Richt zich op recente en actieve bedreigingen | Detecteert alles binnen het snelle scanbereik plus slapende dreigingen, diep ingebedde malware en zelden gebruikte bestanden |
| Cloudbescherming | Gebruikt cloud-intelligentie voor real-time detectie | Minder afhankelijk van cloudscanning tijdens het proces |
Clouddetectie en Real-time Bescherming: Beveiliging Efficiënter Maken
Naast geplande scans maakt Microsoft Defender for Endpoint gebruik van cloudgebaseerde dreigingsdetectie en realtime bescherming om risico’s effectiever te verminderen:
- Cloud-gebaseerde Bescherming – Stelt Microsoft Defender in staat om dreigingsinformatie en machine learning te gebruiken om nieuwe malwarevarianten snel te detecteren.
- Realtime Bescherming – Continu scannen van bestanden en processen, waardoor bedreigingen worden geblokkeerd voordat ze worden uitgevoerd.
- Gedragsanalyse – Detecteert afwijkend gedrag en potentiële bedreigingen op basis van activiteitspatronen, zelfs als de handtekening niet wordt herkend.
Met deze functionaliteiten worden volledige scans minder vaak noodzakelijk, omdat moderne bedreigingen vaak al worden geïdentificeerd voordat zij daadwerkelijk voet aan de grond kunnen krijgen.
Best Practices voor het Configureren van Scanbeleid
Om een balans te behouden tussen beveiliging en systeemprestaties, kunt u de volgende best practices overwegen bij het configureren van Microsoft Defender for Endpoint:
- Voer een Initiële Volledige Scan uit – Na het inschakelen of installeren van Microsoft Defender Antivirus, voer een volledige scan uit om bestaande bedreigingen te detecteren.
- Pas Scanbeleid aan op Basis van Apparaatrollen – Stel verschillende scanconfiguraties in op basis van de systeemfunctie zoals:
- SQL Server Collectie: Minimaliseer het scannen van databasebestanden om prestatieproblemen te voorkomen.
- IIS Server Collectie: Zorg voor webserverbeveiliging en optimaliseer het gebruik van systeembronnen.
- Beperkte Werkstation Collectie: Hogere beveiligingsinstellingen vanwege gevoelige operaties.
- Standaard Werkstation Collectie: Balans tussen beveiliging en efficiëntie voor dagelijks gebruik.
- Houd Rekening met de Impact van Bestandshashberekening – Defender berekent bestands-hashes voor elk gescand uitvoerbaar bestand als dit niet eerder is vastgelegd. Dit kan de prestaties beïnvloeden, vooral bij het kopiëren van grote bestanden over het netwerk.
- Bescherm CPU-throttling – Volledige scans kunnen CPU-intensief zijn. Microsoft Defender staat CPU-throttling toe, maar de standaardinstellingen zijn geoptimaliseerd voor prestaties. Onnodige aanpassingen kunnen de scan-efficiëntie verminderen.
Conclusie: Snelle Scans en Cloudbescherming Zijn Vaak Voldoende
Tenzij een organisatie een verhoogd risicoprofiel heeft of specifieke beveiligingsbehoeften die frequente volledige scans vereisen, bieden snelle scans in combinatie met cloudgebaseerde detectie en real-time bescherming voldoende beveiliging en optimale prestaties. Door scanconfiguraties af te stemmen op systeemrollen en gebruik te maken van moderne dreigingsdetectie, kunnen ondernemingen een robuuste beveiligingspositie behouden zonder buitensporig gebruik van systeembronnen.
Wilt u uw endpoint-beveiligingsstrategie optimaliseren? Neem vandaag nog contact met ons op voor op maat gemaakte begeleiding over het beveiligen van uw organisatie met Microsoft Defender for Endpoint.
