运维

Antimalware Service Executable CPU 占用过高怎么办?先别急着关 Defender

整理 Antimalware Service Executable 高 CPU 占用的排查思路:确认触发原因、调整扫描计划、谨慎添加排除项,以及关闭 Windows Defender 的风险。

Antimalware Service Executable 是 Windows Defender 的核心进程,进程名通常是 MsMpEng.exe。它负责实时防护、文件扫描和定期安全检查。CPU 占用偶尔升高很正常,但如果长时间占满 CPU,就会明显拖慢开机、游戏、编译、解压和视频剪辑。

遇到这个问题,不建议第一步就永久关闭 Windows Defender。更稳妥的做法,是先判断它为什么高占用,再针对触发场景处理。真正需要关闭防护的情况很少,而且关闭后必须有替代安全方案。

先确认是不是正常扫描

打开任务管理器,如果看到 Antimalware Service Executable 短时间占用 CPU,可以先观察几分钟。下面几种情况通常会触发扫描:

  • 刚开机;
  • Windows 更新后;
  • 下载或解压大量文件;
  • 打开大型代码仓库;
  • 编译项目或生成大量临时文件;
  • 游戏、剪辑软件、虚拟机频繁读写缓存;
  • Defender 正在执行定期扫描。

如果 CPU 占用只持续一小段时间,然后自动恢复,通常不用处理。真正需要优化的是长时间高占用,或者每次打开某个目录、某个软件都会卡住。

方法一:调整 Windows Defender 的定时扫描

如果高占用经常出现在固定时间,例如开机后一段时间、午休时、电脑空闲时,可能是定时扫描触发。

可以这样调整:

  1. Win + S,搜索并打开“任务计划程序”。
  2. 展开“任务计划程序库 > Microsoft > Windows > Windows Defender”。
  3. 找到 Windows Defender Scheduled Scan
  4. 右键打开“属性”。
  5. 在“触发器”里把扫描时间调整到不常使用电脑的时段。
  6. 在“条件”里取消不需要的唤醒或空闲触发条件。

不建议直接删除 Defender 的计划任务。更好的做法是把扫描安排到你不用电脑的时间段,既减少卡顿,也保留基础安全检查。

方法二:给高频读写目录添加排除项

如果 Defender 每次都在你打开某个项目、游戏、虚拟机或剪辑缓存时高占用,可以考虑添加排除项。

适合排除的通常是这类目录:

  • 本地代码仓库,例如大型 node_modules、构建目录、缓存目录;
  • 游戏安装目录或着色器缓存;
  • 视频剪辑缓存、代理文件、导出缓存;
  • 虚拟机磁盘文件目录;
  • 已知可信的大型数据集目录。

操作路径:

  1. Win + I 打开“设置”。
  2. 进入“隐私和安全性 > Windows 安全中心”。
  3. 点击“打开 Windows 安全中心”。
  4. 进入“病毒和威胁防护”。
  5. 在“病毒和威胁防护设置”下点击“管理设置”。
  6. 滑到底部,进入“添加或删除排除项”。
  7. 点击“添加排除项”,选择文件夹或文件类型。

这里要注意:排除项不是越多越好。只排除你确认可信、来源明确、频繁读写的大目录。下载目录、桌面、浏览器缓存、临时文件夹不建议随便排除,因为这些地方更容易混入未知文件。

也不建议把整个系统盘加入排除项。这等于大幅削弱实时防护,风险很高。

方法三:排除 Defender 自己的循环扫描

有时 Defender 可能反复扫描自己的活动或安全软件日志,造成循环占用。相比关闭整个防护,更安全的做法是只添加必要的进程或目录排除。

常见思路是检查高占用时它正在扫描什么。如果你能从资源监视器、事件日志或安全中心提示里看到具体路径,就只排除那个确认可信的目录。

不要盲目照抄网上的长排除列表。很多列表会把关键系统目录、下载目录、脚本目录都排除掉,虽然短期可能降 CPU,但会明显降低防护质量。

方法四:更新、修复或重置 Defender 状态

如果高占用不是某个目录触发,而是持续异常,可以先做基础修复:

  • 检查 Windows Update,安装最新安全情报和系统补丁;
  • 重启电脑,排除扫描任务卡住;
  • 在 Windows 安全中心里运行一次快速扫描;
  • 检查是否安装了多个杀毒软件,避免互相扫描;
  • 清理异常大的临时文件和构建缓存;
  • 检查磁盘是否接近满盘或存在坏块。

很多时候,Defender 高占用不是 Defender 本身坏了,而是某个目录正在持续产生大量新文件。比如编译缓存、日志文件、虚拟机镜像、同步盘冲突,都可能让实时防护不断重新扫描。

不推荐:直接永久关闭 Windows Defender

通过组策略关闭 Windows Defender 确实能让 Antimalware Service Executable 不再占 CPU,但这不是推荐的常规解决方案。

原因很简单:它解决了 CPU 问题,也同时拿掉了系统的基础防护。对普通用户来说,风险通常大于收益。尤其是经常下载软件、打开压缩包、使用浏览器插件、运行脚本或接收陌生文件的电脑,不应该裸奔。

只有在下面几种情况下,才考虑关闭内置防护:

  • 你已经安装并启用了可靠的第三方安全软件;
  • 这台电脑处在受控环境中,例如离线测试机、虚拟机、临时构建机;
  • 你明确知道关闭后带来的风险;
  • 关闭只是短期排障,而不是长期默认状态。

如果只是为了减少 CPU 占用,更建议先调整扫描时间和排除特定可信目录,而不是直接关闭整个防护。

实用排查顺序

可以按下面顺序处理:

  1. 观察是否只是短时间正常扫描。
  2. 回忆高占用是否和开机、更新、编译、游戏、剪辑、解压有关。
  3. 调整 Windows Defender Scheduled Scan 的触发时间。
  4. 只给可信的大型项目目录或缓存目录添加排除项。
  5. 更新 Windows 和 Defender 安全情报。
  6. 检查是否有多个杀毒软件互相扫描。
  7. 仍然异常时,再考虑系统修复或临时关闭防护做对比测试。

结论

Antimalware Service Executable 高 CPU 占用,最常见原因是 Defender 正在扫描大量文件、构建缓存、虚拟机镜像或定时任务。真正稳妥的解决方法不是立刻关掉 Windows Defender,而是找到触发路径,调整扫描计划,并为可信的高频读写目录添加排除项。

如果你只是想让电脑不卡,优先做排除项和计划任务调整;如果你确实要关闭 Defender,至少先准备替代安全软件,并明确这会降低系统防护能力。

© 2022 - 2026 KnightLi的博客
记录并分享
使用 Hugo 构建
主题 StackJimmy 设计