Wie konfiguriere ich "On-Access Anti-Virus" für einen schnelleren Start?

10

Ich bin gerade dabei, den Startvorgang unserer 700 Windows XP-Workstations zu optimieren. Wir haben regelmäßig Beschwerden über die Start- und Anmeldezeiten auf den Workstations vor Ort.

Betrachten Sie dies in zwei Teilen, Teil eins, in dem BootVis zur Überwachung und Überprüfung des Startvorgangs verwendet wird. Teil zwei Verwenden von Process Monitor zur Überwachung des Anmeldevorgangs. Unter Verwendung des Wegpunkts "Boot Done" von BootVis als Metrik habe ich eine virtuelle VMWare-Workstation-Maschine verwendet, die seit etwa 18 Monaten als Allzweck-Testmaschine verwendet wird (daher ziemlich typisch für Maschinen vor Ort). Ich habe einen Snapshot verwendet, um die virtuelle Maschine vor jedem Test in den Ausgangszustand zurückzusetzen.

Aus den Protokollen und dem Bericht, dass BootVis die offensichtlichste Verzögerung verursachte, stammte von Sophos Anti-Virus auf dem Zugriffsscanner, gefolgt von mrxsmb in einiger Entfernung. Ich habe die Richtlinien für den Computer optimiert (um sicherzustellen, dass Sophos jedes Mal zweimal aktualisiert werden muss) und die folgenden Zahlen gefunden:

  • Alle Dateien scannen, beim Lesen : 260 Sekunden
  • Alle Dateien scannen, beim Schreiben : 160 Sekunden
  • Scan Executables, On Read und On Write : 111 Sekunden
  • Scan Executables, On Read : 99 Sekunden
  • Scan Executables, On Write : 95 Sekunden
  • On-Access-Scan deaktiviert : 102 Sekunden

Das oben Gesagte deutet darauf hin, dass das Scannen aller Dateien beim Lesen bei weitem der teuerste Vorgang ist (und wahrscheinlich völlig unnötig ist). Ich kann nicht ganz verstehen, warum das Deaktivieren des On-Access-Scannens die Startsequenz tatsächlich verlangsamt, jedoch nur geringfügig. Die letzten drei Ergebnisse sind ziemlich gleich, was bedeutet, dass ich andere Faktoren verwenden muss, um meine Entscheidung bei der Auswahl von Scan Executables, On Read oder On Write zu beeinflussen.


Aktualisieren:

Ich habe einige weitere Tests auf derselben virtuellen Maschine durchgeführt (zu einer anderen Tageszeit, sodass sie nicht direkt mit den oben genannten Ergebnissen verglichen werden können:

  • Sophos nicht installiert : 67,4 Sekunden (Durchschnitt über 5 Tests)
  • Scan Executables, On Read : 84,5 Sekunden (Durchschnitt über 5 Tests)
  • Scan Executables, On Write : 85 Sekunden (Durchschnitt über 5 Tests)

Durch die Mittelwertbildung konvergieren die Werte für On Read und On Write weiter. Es ist interessant zu sehen, dass die Verwendung von ausführbaren Dateien für Sophos Scan nur einen Leistungsaufwand von 21% gegenüber Sophos verursacht, das nicht installiert ist.


Welche weiteren Überlegungen sollte ich bei der Konfiguration des On-Access-Scannens anstellen, um die Startzeit zu verbessern?

Richard Slater
quelle
Das interessiert mich auch. Wir verwenden Eset NOD32 (früher Trendmicro Officescan) und sehen schlechte Start- und Anmeldezeiten. Dies ist besonders schmerzhaft bei Laptops (Thinkpads) mit langsameren Festplatten.
Doug Luxem
Abwarten? Meinen Sie, Sie haben früher Trend Micro OfficeScan verwendet und jetzt ESET NOD32? oder ESET NOD32 hieß früher Trendmicro Officescan? Ich verwende NOD32 auf Administrator-Workstations. Ich kann es wahrscheinlich in einer virtuellen Maschine installieren und morgen einige Tests mit BootViz durchführen. Natürlich kann nicht nur die Startzeit durch überaggressives On-Access-Antivirenprogramm beeinflusst werden.
Richard Slater
NOD32 und Trend Micro OfficeScan sind nicht verwandt. Ich denke, er meinte die Interpretation dessen, was er sagte.
Evan Anderson
Entschuldigung, wir haben von Trend zu NOD32 gewechselt.
Doug Luxem

Antworten:

6

Wir untersuchen derzeit Probleme mit der Geschwindigkeit von SOPHOS und ich habe die folgenden Vorschläge gemacht, die in unserer WinXP SP3-Umgebung einen großen Unterschied gemacht haben:

  1. Schließen Sie diese Dateien im Abschnitt On-Access aus:

    • c: \ windows \ system32 \ authz.dll
    • c: \ windows \ system32 \ drivers \ srv.sys
    • c: \ windows \ system32 \ es.dll
    • c: \ windows \ system32 \ netman.dll
    • c: \ windows \ system32 \ oakley.dll
    • c: \ windows \ system32 \ pstorsvc.dll
    • c: \ windows \ system32 \ rasadhlp.dll
    • c: \ windows \ system32 \ regsvc.dll
    • c: \ windows \ system32 \ winipsec.dll Es handelt sich um Startdateien. Solange Sie irgendwann vollständige System-Scans ausführen, sollten Sie in Ordnung sein.
  2. Als zweites müssen Sie die Suche nach Updates beim Start deaktivieren. Dies ist ein kleines bisschen riskant, da dies ein wichtiger Punkt für neue Viren ist, die angegriffen werden können. Sie können dies jedoch bekämpfen, indem Sie regelmäßig 30 Minuten lang nach Updates suchen, was bedeutet, dass Sie nie länger als eine halbe Stunde unterwegs sind. Gehen Sie folgendermaßen vor, um nach Updates zu suchen:

Alternativtext http://www.sophos.com/images/common/misc/27646.gif

Nach der Implementierung dieser Änderungen war eine deutliche Geschwindigkeitssteigerung vom Einschalten auf den Desktop zu verzeichnen.

Ich hoffe das hilft.

Pennen

Pennen
quelle
1
Ich habe sogar eine Vorlage für Gruppenrichtlinien
Richard Slater
Genial! Das war ein Abschnitt, den ich mir nicht angesehen hatte. Genialer Fund.
Kip
2

Ich habe Sophos nicht verwendet, daher bin ich mir nicht sicher, ob es etwas Ähnliches gibt, aber in Symantec können Sie eine Registrierungsänderung vornehmen, die den vollständigen System-Scan beim Start deaktiviert. Ohne dies scannt Symantec alles, wenn das System zum ersten Mal startet, und macht die Dinge möglicherweise in der ersten Zeit nach dem Systemstart sehr langsam. Möglicherweise gibt es in Sophos eine ähnliche Einstellung.

Das Deaktivieren ist natürlich möglicherweise eine leichte Verschlechterung der Sicherheit. Es gibt einen Grund, warum sie einen Startscan haben.

AudioDan
quelle
Sophos führt beim Start keinen vollständigen System-Scan durch. In meinem Fall habe ich geplant, dass Sophos an einem Montag um 15:30 Uhr einen ziemlich aggressiven vollständigen System-Scan durchführt, was in unserem speziellen Anwendungsfall gut funktioniert.
Richard Slater
2

Wir hatten das gleiche Problem mit McAfee auf unseren älteren Computern. Diese Maschinen haben keinen Zugang zum Internet, daher habe ich ein Boot-Skript geschrieben, um den Start der Dienste um einige Minuten zu verzögern.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Dies ist möglicherweise nicht praktisch für Ihre Situation, aber die Lösung hat für uns gut funktioniert.

KevinH
quelle
Vorausgesetzt, diese Prozesse bieten Ihnen einen Zugriffsschutz, sind Ihre Computer beim Starten ungeschützt. In einer Schule ist dies wahrscheinlich kein akzeptabler Kompromiss, da wir böswillige Benutzer haben, die ihn zu ihrem Vorteil nutzen würden. Es ist jedoch eine gute Lösung für eine vertrauenswürdige Umgebung. Danke für deinen Beitrag.
Richard Slater
1
Ich vermutete, dass dies der Fall sein könnte, aber es ist besser, die Informationen anzubieten, als die Lösung zu halten und nicht zu teilen.
KevinH