<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>Security on KnightLi的博客</title>
        <link>https://knightli.com/zh-tw/tags/security/</link>
        <description>Recent content in Security on KnightLi的博客</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh-tw</language>
        <lastBuildDate>Sat, 11 Jul 2026 11:50:00 +0800</lastBuildDate><atom:link href="https://knightli.com/zh-tw/tags/security/index.xml" rel="self" type="application/rss+xml" /><item>
        <title>Antimalware Service Executable 高 CPU 怎麼辦：Defender 掃描、排除項目與安全邊界</title>
        <link>https://knightli.com/zh-tw/2026/07/11/antimalware-service-executable-high-cpu-defender-exclusions-safety/</link>
        <pubDate>Sat, 11 Jul 2026 11:50:00 +0800</pubDate>
        
        <guid>https://knightli.com/zh-tw/2026/07/11/antimalware-service-executable-high-cpu-defender-exclusions-safety/</guid>
        <description>&lt;p&gt;&lt;code&gt;Antimalware Service Executable&lt;/code&gt; 是 Microsoft Defender 的核心流程。短時間佔用 CPU，往往是更新、定時掃描或大量檔案變動造成的正常現象；真正需要處理的是它長期影響編譯、虛擬機器、同步或日常使用。&lt;/p&gt;
&lt;h2 id=&#34;先確認掃描觸發源&#34;&gt;先確認掃描觸發源
&lt;/h2&gt;&lt;p&gt;在高佔用發生時，觀察是否正好進行了依賴安裝、建置、解壓縮、大型同步、虛擬機器寫入或安全性更新。若佔用會自行恢復，通常不需要介入。若每次開啟相同可信任項目目錄都會出現，則應記錄該目錄和持續時間。&lt;/p&gt;
&lt;h2 id=&#34;安全的處理順序&#34;&gt;安全的處理順序
&lt;/h2&gt;&lt;ol&gt;
&lt;li&gt;更新 Windows 與 Defender 安全情報，重啟後觀察是否復現。&lt;/li&gt;
&lt;li&gt;調整定時掃描至空閒時段，避免與建置或備份重疊。&lt;/li&gt;
&lt;li&gt;僅為已驗證來源、頻繁讀寫的大型建置快取或虛擬機器映像新增最小範圍排除項。&lt;/li&gt;
&lt;li&gt;排除後重新測試，確認 CPU 降低且沒有遺漏對下載目錄、桌面或系統碟的保護。&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;不要把整個磁碟、下載目錄或暫存目錄加入排除項。它們是惡意檔案常見落點，會用短期效能交換長期風險。&lt;/p&gt;
&lt;h2 id=&#34;為什麼不建議直接關閉-defender&#34;&gt;為什麼不建議直接關閉 Defender
&lt;/h2&gt;&lt;p&gt;關閉即時防護可能會暫時降低 CPU，但會讓瀏覽器下載、腳本運作和行動儲存媒體缺少基礎檢查。如果你確實使用其他安全產品，也應先確認其保護狀態正常，而不是讓系統處於無防護狀態。&lt;/p&gt;
&lt;p&gt;現有文章中有更完整的操作路徑和場景說明：&lt;a class=&#34;link&#34; href=&#34;https://knightli.com/zh-tw/2026/06/10/fix-antimalware-service-executable-high-cpu/&#34; &gt;Antimalware Service Executable CPU 佔用過高怎麼辦&lt;/a&gt;。&lt;/p&gt;
&lt;h2 id=&#34;日文無效化搜尋該怎麼理解&#34;&gt;日文「無效化」搜尋該怎麼理解
&lt;/h2&gt;&lt;p&gt;有些搜尋會直接詢問是否「無效化」該進程。對大多數用戶，正確答案不是永久停用，而是定位掃描任務、安排時間和縮小可信排除項。只有明確了解安全後果並已有替代防護時，才應考慮更改防護策略。&lt;/p&gt;
&lt;h2 id=&#34;總結&#34;&gt;總結
&lt;/h2&gt;&lt;p&gt;高 CPU 的解決目標是減少無意義的重複掃描，而不是移除安全層。先確認觸發源，再調整計畫和最小排除項，通常能兼顧性能與防護。&lt;/p&gt;
&lt;h2 id=&#34;如何確認是不是-defender-在掃描&#34;&gt;如何確認是不是 Defender 在掃描
&lt;/h2&gt;&lt;p&gt;在任務管理器中看到該進程佔用升高後，觀察磁碟活動和發生時間。若恰好在解壓縮依賴、建置專案、下載大量檔案或同步網盤，往往是新檔案即時檢查。也可以在 Windows 安全中心查看最近掃描、更新或保護歷史，確認是否有重複失敗的任務。&lt;/p&gt;
&lt;p&gt;如果高佔用在空閒時隨機出現並持續很久，先完成系統更新、重啟，並執行一次按需掃描。頻繁出現安全性警報、未知進程或異常網路活動時，效能問題應讓位給安全性排查，不緊急於新增排除項。&lt;/p&gt;
&lt;h2 id=&#34;哪些目錄可考慮最小排除&#34;&gt;哪些目錄可考慮最小排除
&lt;/h2&gt;&lt;p&gt;只有同時滿足「來源可信、內容可再生、確實高頻讀寫」時，才考慮排除。例如已知語言包快取、建置輸出、虛擬機器鏡像或由團隊控制的依賴快取。排除前先確認目錄中不會混入下載檔案、郵件附件或第三方腳本。&lt;/p&gt;
&lt;table&gt;
  &lt;thead&gt;
      &lt;tr&gt;
          &lt;th&gt;目錄類型&lt;/th&gt;
          &lt;th&gt;是否可考慮&lt;/th&gt;
          &lt;th&gt;原因&lt;/th&gt;
      &lt;/tr&gt;
  &lt;/thead&gt;
  &lt;tbody&gt;
      &lt;tr&gt;
          &lt;td&gt;明確的建置快取&lt;/td&gt;
          &lt;td&gt;謹慎可以&lt;/td&gt;
          &lt;td&gt;可再生且頻繁變動&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;已驗證的虛擬機器鏡像&lt;/td&gt;
          &lt;td&gt;謹慎可以&lt;/td&gt;
          &lt;td&gt;文件大、掃描成本高&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;下載與桌面&lt;/td&gt;
          &lt;td&gt;不建議&lt;/td&gt;
          &lt;td&gt;外來檔案風險高&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;整個系統盤&lt;/td&gt;
          &lt;td&gt;不建議&lt;/td&gt;
          &lt;td&gt;大幅削弱即時防護&lt;/td&gt;
      &lt;/tr&gt;
      &lt;tr&gt;
          &lt;td&gt;瀏覽器設定檔&lt;/td&gt;
          &lt;td&gt;通常不建議&lt;/td&gt;
          &lt;td&gt;常含新下載與臨時內容&lt;/td&gt;
      &lt;/tr&gt;
  &lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;新增後應在一次真實建置中驗證 CPU 是否改善；沒有效果就撤銷，而非繼續擴大排除範圍。&lt;/p&gt;
&lt;h2 id=&#34;定時掃描與開發負載&#34;&gt;定時掃描與開發負載
&lt;/h2&gt;&lt;p&gt;將計劃掃描安排在不編譯、不備份的時間段。對持續整合、容器或虛擬機器工作負載，優先讓重任務集中在可預測時間，並留出掃描完成視窗。這樣比關閉即時保護更穩定，也能減少「每次工作都卡」的體感。&lt;/p&gt;
&lt;h2 id=&#34;什麼時候需要進一步處理&#34;&gt;什麼時候需要進一步處理
&lt;/h2&gt;&lt;p&gt;如果 Defender 高佔用伴隨更新失敗、頻繁崩潰、無法開啟保護、磁碟錯誤或反覆報告同一個威脅，應該先檢查系統健康和安全日誌，必要時使用官方支援管道。不要下載所謂「Defender 一鍵關閉/修復工具」；這類工具本身可能成為風險來源。&lt;/p&gt;
&lt;h3 id=&#34;faq排除-node_modules-是否安全&#34;&gt;FAQ：排除 Node_modules 是否安全？
&lt;/h3&gt;&lt;p&gt;沒有統一答案。它包含大量文件，確實會影響建置速度，但也可能隨安裝引入新套件。只有在來源、鎖定文件和供應鏈管理都可控時，才考慮對特定可信任項目做最小範圍排除。&lt;/p&gt;
&lt;h3 id=&#34;faqcpu-佔用多少算異常&#34;&gt;FAQ：CPU 佔用多少算異常？
&lt;/h3&gt;&lt;p&gt;短時高佔用不一定異常。更重要的是持續時間、是否每次固定觸發、是否影響工作，以及是否伴隨安全或系統錯誤。&lt;/p&gt;
</description>
        </item>
        
    </channel>
</rss>
