Bagaimana cara mengkonfigurasi "On-Access Anti-Virus" untuk boot yang lebih cepat?

10

Saya sedang dalam proses mencoba mengoptimalkan proses boot dari 700 workstation Windows XP kami, kami secara teratur memiliki keluhan tentang waktu start-up dan login pada workstation situs.

Melihat ini dalam dua bagian, bagian satu menggunakan BootVis untuk memantau dan memeriksa proses boot; bagian kedua menggunakan Process Monitor untuk memantau proses login. Dengan menggunakan titik jalan "Boot Done" BootVis sebagai metrik, saya menggunakan mesin virtual workstation VMWare yang telah digunakan selama sekitar 18 bulan sebagai mesin pengujian tujuan umum (sehingga cukup khas pada mesin situs). Saya menggunakan snapshot untuk mengembalikan Mesin Virtual ke kondisi awal sebelum setiap tes.

Dari log dan laporan bahwa BootVis menciptakan penundaan yang paling jelas adalah dari Sophos Anti-Virus pada pemindai akses, diikuti agak jauh oleh mrxsmb. Saya mengutak-atik kebijakan untuk mesin (memastikan saya memaksa Sophos untuk memperbarui dua kali setiap kali) dan muncul dengan nomor-nomor berikut:

  • Pindai Semua File, Sedang Dibaca : 260 detik
  • Pindai Semua File, Pada Tulis : 160 detik
  • Scan Executables, On Read dan On Write : 111 detik
  • Pindai yang Dapat Dieksekusi, Sedang Dibaca : 99 detik
  • Scan Executables, On Write : 95 detik
  • Pemindaian Saat Akses Dinonaktifkan : 102 detik

Di atas cenderung menunjukkan bahwa Memindai Semua File, Sedang Dibaca sejauh ini merupakan operasi yang paling mahal (dan mungkin sama sekali tidak perlu). Saya tidak bisa memahami mengapa menonaktifkan pemindaian saat akses sebenarnya memperlambat urutan booting, namun secara fraksional. Tiga hasil akhir hampir sama, yang berarti saya harus menggunakan faktor-faktor lain untuk mempengaruhi keputusan saya untuk memilih Scan Executables, On Read atau On Write.


Memperbarui:

Saya melakukan beberapa tes lagi, pada mesin virtual yang sama (pada waktu yang berbeda, sehingga tidak dapat dibandingkan secara langsung dengan hasil di atas:

  • Sophos Not Installed : 67,4 detik (rata-rata lebih dari 5 tes)
  • Scan Executables, On Read : 84.5 detik (rata-rata lebih dari 5 tes)
  • Scan Executables, On Write : 85 detik (rata-rata lebih dari 5 tes)

Rata-rata menyebabkan nilai-nilai untuk Baca dan Tulis pada konvergen lebih lanjut, sangat menarik untuk melihat bahwa menggunakan Sophos scan File yang Dapat Dilakukan hanya menambah biaya kinerja 21% dari pada Sophos yang tidak diinstal.


Jadi, pertimbangan lain apa yang harus saya buat ketika mengonfigurasi pemindaian Di-Akses untuk meningkatkan waktu boot?

Richard Slater
sumber
Saya tertarik dengan ini juga. Kami menggunakan Eset NOD32 (sebelumnya Trendmicro Officescan) dan melihat waktu startup & login yang buruk. Ini sangat menyakitkan pada laptop (ThinkPad) dengan disk yang lebih lambat.
Doug Luxem
Tunggu sebentar? maksud Anda, Anda dulu menggunakan Trend Micro OfficeScan dan sekarang Anda menggunakan ESET NOD32? atau ESET NOD32 dulu disebut Trendmicro Officescan? Saya menggunakan NOD32 pada workstation administrator, saya mungkin dapat menginstalnya di Mesin Virtual dan melakukan beberapa pengujian dengan BootViz besok. Tentu saja bukan hanya waktu boot yang dapat dipengaruhi oleh anti-virus yang terlalu agresif saat akses.
Richard Slater
NOD32 dan Trend Micro OfficeScan tidak terkait. Saya pikir dia memaksudkan interpretasi "kami dulu menggunakan" dari apa yang dia katakan.
Evan Anderson
Maaf, kami beralih dari Trend ke NOD32.
Doug Luxem

Jawaban:

6

Kami saat ini sedang menyelidiki masalah kecepatan SOPHOS dan saya telah datang dengan saran-saran berikut yang di lingkungan winxp sp3 kami telah membuat sedikit perbedaan:

  1. Kecualikan file-file ini di dalam bagian On-Access:

    • c: \ windows \ system32 \ authz.dll
    • c: \ windows \ system32 \ drivers \ srv.sys
    • c: \ windows \ system32 \ es.dll
    • c: \ windows \ system32 \ netman.dll
    • c: \ windows \ system32 \ oakley.dll
    • c: \ windows \ system32 \ pstorsvc.dll
    • c: \ windows \ system32 \ rasadhlp.dll
    • c: \ windows \ system32 \ regsvc.dll
    • c: \ windows \ system32 \ winipsec.dll Mereka adalah file startup dan selama Anda memiliki pemindaian sistem penuh berjalan di beberapa titik, Anda harus baik-baik saja.
  2. Hal kedua yang harus dilakukan adalah mematikan memeriksa pembaruan saat startup. Ini sedikit berisiko karena itulah titik kunci untuk virus baru dapat menyerang, tetapi Anda dapat memerangi ini dengan melakukan pemeriksaan rutin 30 menit untuk pembaruan yang berarti Anda tidak pernah lebih dari setengah jam keluar. Untuk mematikan memeriksa pembaruan lakukan ini:

alt teks http://www.sophos.com/images/common/misc/27646.gif

Setelah menerapkan perubahan ini, ada peningkatan kecepatan yang nyata dari daya ke desktop.

Saya harap ini membantu.

Tidur

Tidur
sumber
1
Saya bahkan menemukan templat Kebijakan Grup untuk melakukan pekerjaan: social.technet.microsoft.com/Forums/en-US/winserverGP/thread/…
Richard Slater
Luar biasa! Itu satu bagian yang belum sempat saya lihat. Temuan yang brilian.
Kip
2

Saya belum pernah menggunakan Sophos jadi saya tidak yakin apakah ada sesuatu yang serupa, tetapi di Symantec ada perubahan registri yang dapat Anda buat yang menonaktifkan pemindaian sistem penuh saat startup. Tanpa ini, Symantec akan memindai semuanya ketika sistem pertama kali mulai berpotensi membuat segalanya sangat lambat untuk beberapa saat pertama setelah sistem dinyalakan. Mungkin ada pengaturan yang sama di Sophos.

Tentu saja menonaktifkan ini berpotensi sedikit menurunkan tingkat keamanan. Ada alasan mengapa mereka melakukan scan startup.

AudioDan
sumber
Sophos tidak melakukan pemindaian sistem penuh saat start up, dalam kasus saya, saya menjadwalkan Sophos untuk melakukan pemindaian sistem penuh yang cukup agresif pada 1530 pada hari Senin, yang bekerja dengan baik dalam Use Case khusus kami.
Richard Slater
2

Kami memiliki masalah yang sama dengan McAfee di komputer lama kami. Mesin-mesin ini tidak memiliki akses ke internet, jadi saya menulis skrip boot untuk menunda dimulainya layanan beberapa menit.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Ini mungkin tidak praktis untuk situasi Anda, tetapi solusinya bekerja dengan baik untuk kami.

KevinH
sumber
Menganggap proses-proses itu memberi Anda perlindungan saat-akses, komputer Anda tidak terlindungi saat memulai. Di sekolah, ini mungkin bukan kompromi yang dapat diterima karena kami memiliki pengguna jahat yang akan menggunakannya untuk keuntungan mereka. Ini adalah solusi yang baik untuk lingkungan yang tepercaya. Terima kasih atas masukan Anda.
Richard Slater
1
Saya menduga itu mungkin terjadi, tetapi lebih baik menawarkan informasi daripada memegang solusi dan tidak berbagi.
KevinH