Come configurare "Anti-Virus all'accesso" per un avvio più rapido?

10

Sto tentando di ottimizzare il processo di avvio delle nostre 700 workstation Windows XP, abbiamo regolarmente lamentele sui tempi di avvio e di accesso sulle workstation del sito.

Guardando questo in due parti, la prima parte usando BootVis per monitorare e ispezionare il processo di avvio; seconda parte utilizzando Process Monitor per monitorare il processo di accesso. Usando il waypoint "Boot Done" di BootVis come metrica, ho utilizzato una macchina virtuale di workstation VMWare che è stata utilizzata per circa 18 mesi come una macchina di prova per scopi generici (quindi abbastanza tipica delle macchine in loco). Ho usato un'istantanea per riportare la macchina virtuale allo stato iniziale prima di ogni test.

Dai registri e dai report che BootVis ha creato il ritardo più evidente è stato da Sophos Anti-Virus sullo scanner di accesso, seguito a distanza da mrxsmb. Ho modificato le politiche per la macchina (assicurandomi di dover aggiornare Sophos due volte ogni volta) e ho trovato i seguenti numeri:

  • Scansione di tutti i file, a lettura : 260 secondi
  • Scansione di tutti i file, in scrittura : 160 secondi
  • Scan eseguibili, in lettura e in scrittura : 111 secondi
  • Scan eseguibili, a lettura : 99 secondi
  • Scan eseguibili, in scrittura : 95 secondi
  • Scansione all'accesso disabilitata : 102 secondi

Quanto sopra tende a suggerire che la scansione di tutti i file, in lettura è di gran lunga l'operazione più costosa (e probabilmente del tutto superflua). Non riesco proprio a capire perché la disabilitazione della scansione in accesso rallenta effettivamente la sequenza di avvio, anche se frazionalmente. I tre risultati finali sono più o meno gli stessi, il che significa che devo usare altri fattori per influenzare la mia decisione di selezionare Scan Executables, On Read o On Write.

Aggiornare:

Ho fatto altri test, sulla stessa macchina virtuale (in un'altra ora del giorno, quindi non possono essere confrontati direttamente con i risultati di cui sopra:

  • Sophos non installato : 67,4 secondi (media su 5 test)
  • File eseguibili di scansione, a lettura : 84,5 secondi (media su 5 test)
  • Eseguibili di scansione, in scrittura : 85 secondi (media su 5 test)

La media fa convergere ulteriormente i valori di In lettura e In scrittura, è interessante vedere che l'uso di file eseguibili di scansione di Sophos aggiunge solo un sovraccarico di prestazioni del 21% rispetto a Sophos non installato.

Quindi quali altre considerazioni dovrei fare quando si configura la scansione in accesso per migliorare il tempo di avvio?

windows-xp  boot  anti-virus  sophos 
Richard Slater
fonte
Sono interessato anche a questo. Stiamo utilizzando Eset NOD32 (precedentemente Trendmicro Officescan) e riscontriamo tempi di avvio e accesso scadenti. È particolarmente doloroso su laptop (Thinkpad) con dischi più lenti.
Doug Luxem,
Un attimo? vuoi dire che hai usato Trend Micro OfficeScan e ora usi ESET NOD32? o ESET NOD32 si chiamava Trendmicro Officescan? Uso NOD32 su workstation di amministrazione, probabilmente posso installarlo in una macchina virtuale e domani fare qualche test con BootViz. Ovviamente non è solo il tempo di avvio che può essere influenzato da un antivirus all'accesso aggressivo.
Richard Slater,
NOD32 e Trend Micro OfficeScan non sono correlati. Penso che intendesse l'interpretazione "che usavamo" di ciò che ha detto.
Evan Anderson,
Siamo spiacenti, siamo passati da Trend a NOD32.
Doug Luxem,

Risposte:

6

Stiamo attualmente esaminando i problemi di velocità di SOPHOS e ho trovato i seguenti suggerimenti che nel nostro ambiente winxp sp3 hanno fatto una discreta differenza:

  1. Escludere questi file nella sezione all'accesso:

    • c: \ windows \ system32 \ Authz.dll
    • c: \ windows \ system32 \ drivers \ srv.sys
    • c: \ windows \ system32 \ es.dll
    • c: \ windows \ system32 \ Netman.dll
    • c: \ windows \ system32 \ Oakley.dll
    • c: \ windows \ system32 \ pstorsvc.dll
    • c: \ windows \ system32 \ rasadhlp.dll
    • c: \ windows \ system32 \ regsvc.dll
    • c: \ windows \ system32 \ winipsec.dll Sono file di avvio e finché hai scansioni complete del sistema in esecuzione ad un certo punto, dovresti andare bene.

  2. La seconda cosa da fare è disattivare il controllo degli aggiornamenti all'avvio. Questo è un po 'rischioso in quanto è un punto chiave per i nuovi virus che possono attaccare, ma puoi combatterlo facendo regolari controlli di 30 minuti per gli aggiornamenti, il che significa che non sei mai più di mezz'ora. Per disattivare la verifica degli aggiornamenti, procedere come segue:

testo alternativo http://www.sophos.com/images/common/misc/27646.gif

Dopo aver implementato queste modifiche, si è verificato un notevole aumento della velocità dall'accensione al desktop.

Spero che possa aiutare.

Kip

Kip
fonte
1
Ho anche trovato un modello di criteri di gruppo per fare il lavoro: social.technet.microsoft.com/Forums/en-US/winserverGP/thread/…
Richard Slater,
Eccezionale! Questa è una sezione che non avevo avuto modo di esaminare. Trovare brillante.
Kip
2

Sophos non è stato utilizzato, quindi non sono sicuro che esista qualcosa di simile, ma in Symantec è possibile apportare una modifica al registro che disabilita la scansione completa del sistema all'avvio. Senza questo, Symantec eseguirà la scansione di tutto quando il sistema si avvia per la prima volta potenzialmente rendendo le cose molto lente per il primo poco dopo l'avvio del sistema. Potrebbe esserci un'impostazione simile in Sophos.

Ovviamente disabilitare questo è potenzialmente un leggero declassamento della sicurezza. C'è un motivo per cui hanno una scansione all'avvio.

AudioDan
fonte
Sophos non esegue una scansione completa del sistema all'avvio, nel mio caso ho programmato che Sophos eseguisse una scansione completa del sistema piuttosto aggressiva alle 1530 di lunedì, che funziona bene nel nostro caso d'uso specifico.
Richard Slater,
2

Abbiamo avuto lo stesso problema con McAfee sui nostri vecchi computer. Queste macchine non hanno accesso a Internet, quindi ho scritto uno script di avvio per ritardare alcuni minuti l'avvio dei servizi.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Questo potrebbe non essere pratico per la tua situazione, ma la soluzione ha funzionato bene per noi.

KevinH
fonte
Presumendo che tali processi ti offrano una protezione in accesso, i tuoi computer non sono protetti all'avvio. In una scuola, questo non è probabilmente un compromesso accettabile poiché abbiamo utenti malintenzionati che lo userebbero a loro vantaggio. È comunque una buona soluzione per un ambiente affidabile. Grazie per il tuo contributo.
Richard Slater,
1
Sospettavo che potesse essere così, ma è meglio offrire le informazioni piuttosto che conservare la soluzione e non condividerle.
KevinH,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.