Jak skonfigurować program „On-Access Anti-Virus” w celu szybszego rozruchu?

10

Próbuję zoptymalizować proces uruchamiania naszych 700 stacji roboczych z systemem Windows XP, regularnie mamy skargi na czas uruchamiania i logowania na stacjach roboczych w witrynie.

Patrząc na to w dwóch częściach, część pierwsza używa BootVis do monitorowania i kontroli procesu rozruchu; część druga za pomocą Monitora procesów do monitorowania procesu logowania. Jako metrykę wykorzystałem punkt startowy BootVis „Boot Done”, wykorzystałem maszynę wirtualną stacji roboczej VMWare, która była używana przez około 18 miesięcy jako maszyna testowa ogólnego przeznaczenia (a więc dość typowa dla maszyn na miejscu). Użyłem migawki, aby przywrócić maszynę wirtualną do stanu początkowego przed każdym testem.

Z dzienników i raportu, że BootVis stworzył najbardziej oczywiste opóźnienie, pochodziło od Sophos Anti-Virus na skanerze dostępu, a następnie z pewnej odległości mrxsmb. Poprawiłem zasady dla tego komputera (upewniając się, że zmuszałem Sophos do aktualizacji dwa razy za każdym razem) i wymyśliłem następujące liczby:

  • Skanuj wszystkie pliki, przy odczycie : 260 sekund
  • Skanuj wszystkie pliki, przy zapisie : 160 sekund
  • Skanuj pliki wykonywalne, przy odczycie i przy zapisie : 111 sekund
  • Skanuj pliki wykonywalne, przy odczycie : 99 sekund
  • Pliki wykonywalne skanowania, przy zapisie : 95 sekund
  • Skanowanie podczas uzyskiwania dostępu wyłączone : 102 sekundy

Powyższe sugeruje, że skanowanie wszystkich plików podczas odczytu jest zdecydowanie najdroższą operacją (i prawdopodobnie całkowicie niepotrzebną). Nie mogę do końca zrozumieć, dlaczego wyłączenie skanowania podczas uzyskiwania dostępu faktycznie spowalnia sekwencję rozruchową, choć ułamkowo ułamkowo. Ostatnie trzy wyniki są prawie takie same, co oznacza, że ​​muszę użyć innych czynników, aby wpłynąć na moją decyzję dotyczącą wyboru plików wykonywalnych skanowania, odczytu lub zapisu.

Aktualizacja:

Zrobiłem jeszcze kilka testów na tej samej maszynie wirtualnej (o innej porze dnia, więc nie można ich bezpośrednio porównać z powyższymi wynikami:

  • Sophos niezainstalowany : 67,4 sekundy (średnio ponad 5 testów)
  • Pliki wykonywalne skanowania, przy odczycie: 84,5 sekundy (średnio ponad 5 testów)
  • Pliki wykonywalne skanowania, przy zapisie : 85 sekund (średnio ponad 5 testów)

Uśrednianie powoduje, że wartości On Read i On Write zbiegają się dalej, interesujące jest to, że użycie plików wykonywalnych skanowania Sophos powoduje jedynie zwiększenie wydajności o 21% w stosunku do niezainstalowania Sophos.

Jakie inne kwestie należy wziąć pod uwagę, konfigurując skanowanie podczas uzyskiwania dostępu, aby skrócić czas uruchamiania?

windows-xp  boot  anti-virus  sophos 
Richard Slater
źródło
Też mnie to interesuje. Używamy Eset NOD32 (wcześniej Trendmicro Officescan) i widzimy kiepskie czasy uruchamiania i logowania. Jest to szczególnie bolesne na laptopach (ThinkPadach) z wolniejszymi dyskami.
Doug Luxem
Wytrzymać? masz na myśli, że korzystałeś z Trend Micro OfficeScan, a teraz używasz ESET NOD32? czy ESET NOD32 był kiedyś nazywany Trendmicro Officescan? Używam NOD32 na stacjach roboczych administratora, prawdopodobnie mogę go zainstalować na maszynie wirtualnej i jutro przetestować za pomocą BootViz. Oczywiście nie tylko na czas uruchamiania może mieć wpływ zbyt agresywny program antywirusowy podczas uzyskiwania dostępu.
Richard Slater
NOD32 i Trend Micro OfficeScan nie są powiązane. Myślę, że miał na myśli interpretację tego, co powiedział „zwykliśmy używać”.
Evan Anderson
Przepraszamy, zmieniliśmy z Trend na NOD32.
Doug Luxem

Odpowiedzi:

6

Obecnie badamy problemy z szybkością SOPHOS i przedstawiłem następujące sugestie, które w naszym środowisku winxp sp3 zrobiły sporą różnicę:

  1. Wyklucz te pliki w sekcji On-Access:

    • c: \ windows \ system32 \ authz.dll
    • c: \ windows \ system32 \ drivers \ srv.sys
    • c: \ windows \ system32 \ es.dll
    • c: \ windows \ system32 \ netman.dll
    • c: \ windows \ system32 \ oakley.dll
    • c: \ windows \ system32 \ pstorsvc.dll
    • c: \ windows \ system32 \ rasadhlp.dll
    • c: \ windows \ system32 \ regsvc.dll
    • c: \ windows \ system32 \ winipsec.dll Są to pliki startowe i jeśli masz pełne skanowanie systemu w pewnym momencie, powinieneś być w porządku.

  2. Drugą rzeczą do zrobienia jest wyłączenie sprawdzania aktualizacji podczas uruchamiania. Jest to trochę ryzykowne, ponieważ jest to kluczowy punkt dla nowych wirusów, które mogą atakować, ale możesz z tym walczyć, przeprowadzając regularne 30-minutowe kontrole aktualizacji, co oznacza, że ​​nigdy nie jesteś więcej niż pół godziny poza domem. Aby wyłączyć sprawdzanie aktualizacji, wykonaj następujące czynności:

alt text http://www.sophos.com/images/common/misc/27646.gif

Po wprowadzeniu tych zmian nastąpił zauważalny wzrost prędkości od włączenia zasilania do pulpitu.

Mam nadzieję, że to pomoże.

Wyrko

Wyrko
źródło
1
Znalazłem nawet szablon zasad grupy do pracy: social.technet.microsoft.com/Forums/en-US/winserverGP/thread/…
Richard Slater
Niesamowite! To jedna sekcja, której nie chciałem oglądać. Genialne znalezisko.
Kip
2

Nie korzystałem z Sophos, więc nie jestem pewien, czy jest coś podobnego, ale w Symantec istnieje zmiana rejestru, którą możesz wprowadzić, która wyłącza pełne skanowanie systemu podczas uruchamiania. Bez tego Symantec przeskanuje wszystko, gdy system po raz pierwszy zacznie potencjalnie spowalniać pracę przez pierwsze chwilę po uruchomieniu systemu. Podobne ustawienia mogą występować w Sophos.

Oczywiście wyłączenie tego jest potencjalnie nieznacznym obniżeniem poziomu bezpieczeństwa. Istnieje powód, dla którego przeprowadzają skanowanie przy uruchamianiu.

AudioDan
źródło
Sophos nie wykonuje pełnego skanowania systemu podczas uruchamiania, w moim przypadku zaplanowałem Sophos, aby przeprowadził dość agresywne pełne skanowanie systemu o 1530 w poniedziałek, co działa dobrze w naszym szczególnym przypadku użycia.
Richard Slater
2

Na naszych starszych komputerach mieliśmy ten sam problem z McAfee. Te maszyny nie mają dostępu do Internetu, więc napisałem skrypt rozruchowy, aby opóźnić uruchomienie usług o kilka minut.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Może to nie być praktyczne w twojej sytuacji, ale rozwiązanie działało dla nas dobrze.

KevinH
źródło
Zakładając, że procesy te zapewniają ochronę podczas uzyskiwania dostępu, Twoje komputery nie są chronione podczas uruchamiania. W szkole prawdopodobnie nie jest to akceptowalny kompromis, ponieważ mamy złośliwych użytkowników, którzy wykorzystaliby to na swoją korzyść. Jest to jednak dobre rozwiązanie dla zaufanego środowiska. Dzięki za wkład.
Richard Slater
1
Podejrzewałem, że może tak być, ale lepiej jest podać informacje niż trzymać rozwiązanie i nie udostępniać.
KevinH
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.