¿Cómo configurar el "antivirus en acceso" para un arranque más rápido?

10

Estoy en el proceso de tratar de optimizar el proceso de arranque de nuestras 700 estaciones de trabajo con Windows XP, regularmente tenemos quejas sobre los tiempos de inicio e inicio de sesión en las estaciones de trabajo del sitio.

Mirando esto en dos partes, la primera parte usando BootVis para monitorear e inspeccionar el proceso de arranque; segunda parte usando Process Monitor para monitorear el proceso de inicio de sesión. Utilizando el punto de referencia "Boot Done" de BootVis como la métrica, utilicé una máquina virtual de estación de trabajo VMWare que se ha utilizado durante aproximadamente 18 meses como una máquina de prueba de propósito general (por lo tanto, bastante típica de las máquinas en el sitio). Utilicé una instantánea para devolver la máquina virtual al estado inicial antes de cada prueba.

De los registros e informes de que BootVis creó el retraso más obvio fue de Sophos Anti-Virus en el escáner de acceso, seguido a cierta distancia por mrxsmb. Modifiqué las políticas de la máquina (asegurándome de obligar a Sophos a actualizar dos veces cada vez) y obtuve los siguientes números:

  • Escanear todos los archivos, en lectura : 260 segundos
  • Escanear todos los archivos, al escribir : 160 segundos
  • Escanear ejecutables, al leer y al escribir : 111 segundos
  • Escanear ejecutables, en lectura : 99 segundos
  • Escanear ejecutables, en escritura : 95 segundos
  • Escaneo en acceso deshabilitado : 102 segundos

Lo anterior tiende a sugerir que Escanear todos los archivos, al leer es, con mucho, la operación más costosa (y probablemente totalmente innecesaria). No puedo entender por qué deshabilitar el escaneo en el acceso en realidad ralentiza la secuencia de arranque, aunque sea fraccionalmente. Los tres resultados finales son más o menos los mismos, lo que significa que debo usar otros factores para influir en mi decisión de seleccionar Escanear ejecutables, Al leer o Al escribir.

Actualizar:

Hice algunas pruebas más, en la misma máquina virtual (en un momento diferente del día, por lo que no se pueden comparar directamente con los resultados anteriores:

  • Sophos no instalado : 67,4 segundos (promedio de más de 5 pruebas)
  • Ejecutables de escaneo, en lectura : 84.5 segundos (promedio sobre 5 pruebas)
  • Ejecutables de escaneo, en escritura : 85 segundos (promedio de más de 5 pruebas)

El promedio hace que los valores de On Read y On Write converjan aún más, es interesante ver que el uso de Sophos scan Executable Files solo agrega una sobrecarga de rendimiento del 21% sobre Sophos que no se instala.

Entonces, ¿qué otras consideraciones debo hacer al configurar el análisis en tiempo real para mejorar el tiempo de arranque?

windows-xp boot anti-virus sophos Richard Slater
fuente
Estoy interesado en esto también. Estamos utilizando Eset NOD32 (anteriormente Trendmicro Officescan) y vemos malos tiempos de inicio e inicio de sesión. Es especialmente doloroso en las computadoras portátiles (Thinkpads) con discos más lentos.
Doug Luxem
¿Aférrate? ¿quiere decir que solía usar Trend Micro OfficeScan y ahora usa ESET NOD32? o ESET NOD32 solía llamarse Trendmicro Officescan? Uso NOD32 en estaciones de trabajo de administrador, probablemente pueda instalarlo en una máquina virtual y hacer algunas pruebas con BootViz mañana. Por supuesto, no es solo el tiempo de arranque el que puede verse afectado por un antivirus agresivo en el acceso.
Richard Slater
NOD32 y Trend Micro OfficeScan no están relacionados. Creo que se refería a la interpretación de "lo que solíamos usar" de lo que dijo.
Evan Anderson
Lo sentimos, cambiamos de Tendencia a NOD32.
Doug Luxem

Respuestas:

6

Actualmente estamos investigando problemas de velocidad de SOPHOS y se me han ocurrido las siguientes sugerencias que en nuestro entorno winxp sp3 han marcado una gran diferencia:

  1. Excluya estos archivos en la sección de acceso:

    • c: \ windows \ system32 \ authz.dll
    • c: \ windows \ system32 \ drivers \ srv.sys
    • c: \ windows \ system32 \ es.dll
    • c: \ windows \ system32 \ netman.dll
    • c: \ windows \ system32 \ oakley.dll
    • c: \ windows \ system32 \ pstorsvc.dll
    • c: \ windows \ system32 \ rasadhlp.dll
    • c: \ windows \ system32 \ regsvc.dll
    • c: \ windows \ system32 \ winipsec.dll Son archivos de inicio y siempre que tenga análisis completos del sistema en algún momento, debe estar bien.

  2. Lo segundo que debe hacer es desactivar la búsqueda de actualizaciones al inicio. Esto es un poco arriesgado, ya que ese es un punto clave para que los nuevos virus puedan atacar, pero puede combatir esto haciendo revisiones regulares de 30 minutos para obtener actualizaciones, lo que significa que nunca tiene más de media hora. Para desactivar las actualizaciones, haga esto:

texto alternativo http://www.sophos.com/images/common/misc/27646.gif

Después de implementar estos cambios, hubo un notable aumento de velocidad desde el encendido hasta el escritorio.

Espero que esto ayude.

Dormir

Dormir
fuente
1
Incluso encontré una plantilla de directiva de grupo para hacer el trabajo: social.technet.microsoft.com/Forums/en-US/winserverGP/thread/…
Richard Slater
¡Increíble! Esa es una sección que no había podido mirar. Brillante hallazgo.
Kip
2

No he usado Sophos, así que no estoy seguro de si hay algo similar, pero en Symantec hay un cambio en el registro que puede hacer que deshabilita la exploración completa del sistema al inicio. Sin esto, Symantec escaneará todo cuando el sistema se inicie por primera vez, lo que puede hacer que las cosas sean muy lentas durante el primer momento después de que se inicie el sistema. Puede haber una configuración similar en Sophos.

Por supuesto, deshabilitar esto es potencialmente una ligera baja en la seguridad. Hay una razón por la que tienen un escaneo de inicio.

AudioDan
fuente
Sophos no realiza un escaneo completo del sistema al inicio, en mi caso programé a Sophos para que haga un escaneo bastante agresivo del sistema completo a las 1530 un lunes, lo que funciona bien en nuestro caso de uso particular.
Richard Slater
2

Tuvimos el mismo problema con McAfee en nuestras máquinas más antiguas. Estas máquinas no tienen acceso a Internet, por lo que escribí un script de arranque para retrasar el inicio de los servicios unos minutos.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Puede que esto no sea práctico para su situación, pero la solución funcionó bien para nosotros.

KevinH
fuente
Suponiendo que esos procesos le brinden protección en el acceso, sus computadoras no estarán protegidas al iniciarse. En una escuela, esto probablemente no sea un compromiso aceptable, ya que tenemos usuarios maliciosos que lo usarían para su ventaja. Sin embargo, es una buena solución para un entorno confiable. Gracias por tu contribución.
Richard Slater
1
Sospeché que ese podría ser el caso, pero es mejor ofrecer la información que tener la solución y no compartirla.
KevinH