HOWTO: 解决 Windows 运行态下 Capture OSImage 过慢问题

        当我们在 Windows 运行态下挂载一个 VHDX 文件，并希望将其捕获为一个 WIM 映像文件时可能会发生进度停滞的问题，此时如果打开任务管理器查看磁盘状态会看到磁盘处于读状态，大概每秒几十兆左右，而写入速度几乎为零，或只有几百字节或几兆字节，最高也就几十兆。

        查看保存 WIM 的目录发现该文件已经生成，但容量仍为零字节。使用资源监视器筛选 DISM 进程，可见正在处理任务，切换至磁盘活动选项卡，并未有实际的读写操作，如果此时按照读写频率进行排列时会发现进程 MsMpEng.exe 正在运行并产生了大量的读操作。说明 Windows Defender 正在后台扫描文件。

        据此，原因找到！如果要捕获的卷数据是可信赖的，尤其对于桌面标准化编制人员来说，挂载操作 WIM 文件是常见的工作，通常会将 WIM 文件做例外，但挂载 WIM 到目录后将遵循 Windows Defender 的扫描策略，此时可以考虑在合规安全按的前提下暂时关闭 Defender。

        但当准备临时关闭 Defender 时却发现实时保护无法关闭，且正受到“防篡改保护”（Tamper Protection），如下图所示。这通常是因为企业 IT 人员下发了安全策略。

        如果继续等待恐怕捕获映像的效率会大大降低，如果单独再搭建 Hyper-V 虚机环境来操作又太过繁琐，当然这是推荐的方案！但也可以考虑其他临时对策，虽然防篡改保护禁止关闭 Windows Defender 的实时保护功能，但安全策略可能未限制用户使用“排除项”，为此可打开“病毒和威胁防护”，找到“病毒和威胁防护设置”，点击“管理设置”，就可以看到“排除项”下的“添加或删除排除项”，然后添加要捕获的卷的盘符号即可，如："E:\"。当完成映像捕获后，再删除该排除项即可。