https://knightli.com/tags/windows-defender/ Recent content in Windows Defender on KnightLi的博客 Hugo -- gohugo.io zh-cn Wed, 10 Jun 2026 14:05:15 +0800 https://knightli.com/2026/06/10/fix-antimalware-service-executable-high-cpu/ Wed, 10 Jun 2026 14:05:15 +0800 https://knightli.com/2026/06/10/fix-antimalware-service-executable-high-cpu/ <p>Antimalware Service Executable 是 Windows Defender 的核心进程，进程名通常是 <code>MsMpEng.exe</code>。它负责实时防护、文件扫描和定期安全检查。CPU 占用偶尔升高很正常，但如果长时间占满 CPU，就会明显拖慢开机、游戏、编译、解压和视频剪辑。</p> <p>遇到这个问题，不建议第一步就永久关闭 Windows Defender。更稳妥的做法，是先判断它为什么高占用，再针对触发场景处理。真正需要关闭防护的情况很少，而且关闭后必须有替代安全方案。</p> <h2 id="先确认是不是正常扫描">先确认是不是正常扫描 </h2><p>打开任务管理器，如果看到 <code>Antimalware Service Executable</code> 短时间占用 CPU，可以先观察几分钟。下面几种情况通常会触发扫描：</p> <ul> <li>刚开机；</li> <li>Windows 更新后；</li> <li>下载或解压大量文件；</li> <li>打开大型代码仓库；</li> <li>编译项目或生成大量临时文件；</li> <li>游戏、剪辑软件、虚拟机频繁读写缓存；</li> <li>Defender 正在执行定期扫描。</li> </ul> <p>如果 CPU 占用只持续一小段时间，然后自动恢复，通常不用处理。真正需要优化的是长时间高占用，或者每次打开某个目录、某个软件都会卡住。</p> <h2 id="方法一调整-windows-defender-的定时扫描">方法一：调整 Windows Defender 的定时扫描 </h2><p>如果高占用经常出现在固定时间，例如开机后一段时间、午休时、电脑空闲时，可能是定时扫描触发。</p> <p>可以这样调整：</p> <ol> <li>按 <code>Win + S</code>，搜索并打开“任务计划程序”。</li> <li>展开“任务计划程序库 &gt; Microsoft &gt; Windows &gt; Windows Defender”。</li> <li>找到 <code>Windows Defender Scheduled Scan</code>。</li> <li>右键打开“属性”。</li> <li>在“触发器”里把扫描时间调整到不常使用电脑的时段。</li> <li>在“条件”里取消不需要的唤醒或空闲触发条件。</li> </ol> <p>不建议直接删除 Defender 的计划任务。更好的做法是把扫描安排到你不用电脑的时间段，既减少卡顿，也保留基础安全检查。</p> <h2 id="方法二给高频读写目录添加排除项">方法二：给高频读写目录添加排除项 </h2><p>如果 Defender 每次都在你打开某个项目、游戏、虚拟机或剪辑缓存时高占用，可以考虑添加排除项。</p> <p>适合排除的通常是这类目录：</p> <ul> <li>本地代码仓库，例如大型 <code>node_modules</code>、构建目录、缓存目录；</li> <li>游戏安装目录或着色器缓存；</li> <li>视频剪辑缓存、代理文件、导出缓存；</li> <li>虚拟机磁盘文件目录；</li> <li>已知可信的大型数据集目录。</li> </ul> <p>操作路径：</p> <ol> <li>按 <code>Win + I</code> 打开“设置”。</li> <li>进入“隐私和安全性 &gt; Windows 安全中心”。</li> <li>点击“打开 Windows 安全中心”。</li> <li>进入“病毒和威胁防护”。</li> <li>在“病毒和威胁防护设置”下点击“管理设置”。</li> <li>滑到底部，进入“添加或删除排除项”。</li> <li>点击“添加排除项”，选择文件夹或文件类型。</li> </ol> <p>这里要注意：排除项不是越多越好。只排除你确认可信、来源明确、频繁读写的大目录。下载目录、桌面、浏览器缓存、临时文件夹不建议随便排除，因为这些地方更容易混入未知文件。</p> <p>也不建议把整个系统盘加入排除项。这等于大幅削弱实时防护，风险很高。</p> <h2 id="方法三排除-defender-自己的循环扫描">方法三：排除 Defender 自己的循环扫描 </h2><p>有时 Defender 可能反复扫描自己的活动或安全软件日志，造成循环占用。相比关闭整个防护，更安全的做法是只添加必要的进程或目录排除。</p> <p>常见思路是检查高占用时它正在扫描什么。如果你能从资源监视器、事件日志或安全中心提示里看到具体路径，就只排除那个确认可信的目录。</p> <p>不要盲目照抄网上的长排除列表。很多列表会把关键系统目录、下载目录、脚本目录都排除掉，虽然短期可能降 CPU，但会明显降低防护质量。</p> <h2 id="方法四更新修复或重置-defender-状态">方法四：更新、修复或重置 Defender 状态 </h2><p>如果高占用不是某个目录触发，而是持续异常，可以先做基础修复：</p> <ul> <li>检查 Windows Update，安装最新安全情报和系统补丁；</li> <li>重启电脑，排除扫描任务卡住；</li> <li>在 Windows 安全中心里运行一次快速扫描；</li> <li>检查是否安装了多个杀毒软件，避免互相扫描；</li> <li>清理异常大的临时文件和构建缓存；</li> <li>检查磁盘是否接近满盘或存在坏块。</li> </ul> <p>很多时候，Defender 高占用不是 Defender 本身坏了，而是某个目录正在持续产生大量新文件。比如编译缓存、日志文件、虚拟机镜像、同步盘冲突，都可能让实时防护不断重新扫描。</p> <h2 id="不推荐直接永久关闭-windows-defender">不推荐：直接永久关闭 Windows Defender </h2><p>通过组策略关闭 Windows Defender 确实能让 <code>Antimalware Service Executable</code> 不再占 CPU，但这不是推荐的常规解决方案。</p> <p>原因很简单：它解决了 CPU 问题，也同时拿掉了系统的基础防护。对普通用户来说，风险通常大于收益。尤其是经常下载软件、打开压缩包、使用浏览器插件、运行脚本或接收陌生文件的电脑，不应该裸奔。</p> <p>只有在下面几种情况下，才考虑关闭内置防护：</p> <ul> <li>你已经安装并启用了可靠的第三方安全软件；</li> <li>这台电脑处在受控环境中，例如离线测试机、虚拟机、临时构建机；</li> <li>你明确知道关闭后带来的风险；</li> <li>关闭只是短期排障，而不是长期默认状态。</li> </ul> <p>如果只是为了减少 CPU 占用，更建议先调整扫描时间和排除特定可信目录，而不是直接关闭整个防护。</p> <h2 id="实用排查顺序">实用排查顺序 </h2><p>可以按下面顺序处理：</p> <ol> <li>观察是否只是短时间正常扫描。</li> <li>回忆高占用是否和开机、更新、编译、游戏、剪辑、解压有关。</li> <li>调整 <code>Windows Defender Scheduled Scan</code> 的触发时间。</li> <li>只给可信的大型项目目录或缓存目录添加排除项。</li> <li>更新 Windows 和 Defender 安全情报。</li> <li>检查是否有多个杀毒软件互相扫描。</li> <li>仍然异常时，再考虑系统修复或临时关闭防护做对比测试。</li> </ol> <h2 id="结论">结论 </h2><p>Antimalware Service Executable 高 CPU 占用，最常见原因是 Defender 正在扫描大量文件、构建缓存、虚拟机镜像或定时任务。真正稳妥的解决方法不是立刻关掉 Windows Defender，而是找到触发路径，调整扫描计划，并为可信的高频读写目录添加排除项。</p> <p>如果你只是想让电脑不卡，优先做排除项和计划任务调整；如果你确实要关闭 Defender，至少先准备替代安全软件，并明确这会降低系统防护能力。</p>