Как настроить «Антивирус при доступе» для более быстрой загрузки?

10

Я пытаюсь оптимизировать процесс загрузки наших 700 рабочих станций Windows XP, у нас регулярно возникают жалобы на время запуска и входа в систему на рабочих станциях сайта.

Рассматривая это в двух частях, первая часть использует BootVis для мониторинга и проверки процесса загрузки; часть вторая с использованием Process Monitor для мониторинга процесса входа в систему. Используя контрольную точку BootVis «Boot Done» в качестве метрики, я использовал виртуальную машину рабочей станции VMWare, которая использовалась около 18 месяцев в качестве универсальной машины для тестирования (таким образом, довольно типичной для машин на площадке). Я использовал снимок, чтобы вернуть виртуальную машину в исходное состояние перед каждым тестом.

Из журналов и отчета о том, что BootVis создал наиболее очевидную задержку, был антивирус Sophos на сканере доступа, за которым на некотором расстоянии следовал mrxsmb. Я настроил политики для машины (гарантируя, что Sophos заставлял обновляться дважды каждый раз) и придумал следующие цифры:

  • Сканирование всех файлов при чтении : 260 секунд
  • Сканирование всех файлов при записи : 160 секунд
  • Сканирование исполняемых файлов, чтение и запись : 111 секунд
  • Сканирование исполняемых файлов, при чтении : 99 секунд
  • Сканирование исполняемых файлов при записи : 95 секунд
  • Сканирование при доступе отключено : 102 секунды

Сказанное выше предполагает, что сканирование всех файлов при чтении является самой дорогой операцией (и, вероятно, совершенно ненужной). Я не могу понять, почему отключение сканирования при доступе на самом деле замедляет последовательность загрузки, хотя и незначительно. Последние три результата в значительной степени совпадают, что означает, что я должен использовать другие факторы, чтобы повлиять на мое решение в отношении выбора исполняемых файлов сканирования, при чтении или при записи.

Обновить:

Я провел еще несколько тестов на той же виртуальной машине (в разное время суток), поэтому их нельзя сравнивать напрямую с приведенными выше результатами:

  • Sophos не установлен : 67,4 секунды (в среднем за 5 тестов)
  • Сканирование исполняемых файлов при чтении : 84,5 секунды (в среднем за 5 тестов)
  • Сканирование исполняемых файлов при записи : 85 секунд (в среднем за 5 тестов)

Усреднение приводит к дальнейшему сближению значений для чтения и записи. Интересно видеть, что использование исполняемых файлов сканирования Sophos только увеличивает накладные расходы на 21% по сравнению с не установленным Sophos.

Итак, какие еще соображения я должен учитывать при настройке сканирования при доступе для улучшения времени загрузки?

windows-xp  boot  anti-virus  sophos 
Ричард Слейтер
источник
Я тоже заинтересован в этом. Мы используем Eset NOD32 (ранее Trendmicro Officescan) и видим плохое время запуска и входа в систему. Это особенно болезненно для ноутбуков (Thinkpads) с более медленными дисками.
Даг Люксем
Подожди? Вы имеете в виду, что использовали Trend Micro OfficeScan, а теперь используете ESET NOD32? или ESET NOD32 раньше назывался Trendmicro Officescan? Я использую NOD32 на рабочих станциях администратора, возможно, я смогу установить его на виртуальной машине и завтра провести тестирование с BootViz. Конечно, это не только время загрузки, которое может быть затронуто чрезмерно активным антивирусом при доступе.
Ричард Слейтер
NOD32 и Trend Micro OfficeScan не связаны. Я думаю, что он имел в виду «мы привыкли использовать» толкование того, что он сказал.
Эван Андерсон
Извините, мы перешли с Trend на NOD32.
Даг Люксем

Ответы:

6

В настоящее время мы изучаем проблемы со скоростью SOPHOS, и я выдвинул следующие предложения, которые в нашей среде winxp sp3 внесли немало изменений:

  1. Исключите эти файлы в разделе «При доступе»:

    • C: \ Windows \ system32 \ authz.dll
    • C: \ Windows \ System32 \ Drivers \ Srv.sys
    • C: \ Windows \ system32 \ es.dll
    • C: \ Windows \ system32 \ netman.dll
    • C: \ Windows \ system32 \ oakley.dll
    • C: \ Windows \ system32 \ pstorsvc.dll
    • C: \ Windows \ system32 \ rasadhlp.dll
    • C: \ Windows \ system32 \ regsvc.dll
    • c: \ windows \ system32 \ winipsec.dll Это файлы запуска, и если в какой-то момент у вас запущено полное сканирование системы, все будет хорошо.

  2. Второе, что нужно сделать, это отключить проверку обновлений при запуске. Это немного рискованно, так как это ключевой момент для новых вирусов, которые можно атаковать, но вы можете бороться с этим, проводя регулярные 30-минутные проверки обновлений, что означает, что вы никогда не пропустите более получаса. Чтобы включить проверку обновлений, выполните следующие действия.

альтернативный текст http://www.sophos.com/images/common/misc/27646.gif

После внесения этих изменений произошло заметное увеличение скорости от включения питания до настольного компьютера.

Надеюсь, это поможет.

койка

койка
источник
1
Я даже нашел шаблон групповой политики для этой работы: social.technet.microsoft.com/Forums/en-US/winserverGP/thread/…
Ричард Слейтер
Потрясающие! Вот один раздел, на который я так и не взглянул. Блестящая находка.
Кип
2

Я не использовал Sophos, поэтому не уверен, что есть что-то подобное, но в Symantec есть изменение реестра, которое вы можете сделать, что отключает полное сканирование системы при запуске. Без этого Symantec будет сканировать все, когда система в первый раз запускается, что может очень замедлить работу в течение первых нескольких минут после загрузки системы. Там может быть аналогичная настройка в Sophos.

Конечно, отключение этого может привести к небольшому снижению безопасности. Есть причина, почему у них есть сканирование при запуске.

AudioDan
источник
Sophos не выполняет полное сканирование системы при запуске, в моем случае я запланировал Sophos провести довольно агрессивное полное сканирование системы в понедельник в 15:30, что хорошо работает в нашем конкретном сценарии использования.
Ричард Слейтер
2

У нас была та же проблема с McAfee на наших старых машинах. Эти машины не имеют доступа к Интернету, поэтому я написал загрузочный скрипт, чтобы отложить запуск служб на несколько минут.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Это может не подходить для вашей ситуации, но решение хорошо сработало для нас.

KevinH
источник
Предполагая, что эти процессы обеспечивают защиту при доступе, ваши компьютеры при запуске не защищены. В школе это, вероятно, неприемлемый компромисс, поскольку у нас есть злоумышленники, которые используют его в своих интересах. Однако это хорошее решение для надежной среды. Спасибо за ваш вклад.
Ричард Слейтер
1
Я подозревал, что это может быть так, но лучше предложить информацию, чем держать решение, а не делиться.
KevinH
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.