Como configurar o "Antivírus ao acessar" para uma inicialização mais rápida?

10

Estou tentando otimizar o processo de inicialização de nossas 700 estações de trabalho Windows XP, temos regularmente reclamações sobre os horários de inicialização e login nas estações de trabalho do site.

Observando isso em duas partes, a primeira parte usando o BootVis para monitorar e inspecionar o processo de inicialização; parte dois usando o Process Monitor para monitorar o processo de login. Utilizando o ponto de referência "Boot Done" do BootVis como métrica, utilizei uma máquina virtual de estação de trabalho VMWare que foi usada por cerca de 18 meses como uma máquina de teste de uso geral (portanto, bastante típica de máquinas no local). Usei um instantâneo para retornar a Máquina Virtual ao estado inicial antes de cada teste.

A partir dos logs e do relatório de inicialização do BootVis, o atraso mais óbvio foi o do Sophos Anti-Virus no scanner de acesso, seguido a certa distância pelo mrxsmb. Ajustei as políticas da máquina (garantindo que eu forcei o Sophos a atualizar duas vezes a cada vez) e criei os seguintes números:

  • Digitalizar todos os arquivos, na leitura : 260 segundos
  • Digitalizar todos os arquivos, na gravação : 160 segundos
  • Digitalizar executáveis, na leitura e na gravação : 111 segundos
  • Digitalizar executáveis, na leitura : 99 segundos
  • Executáveis ​​de digitalização, na gravação : 95 segundos
  • Verificação ao acessar desativada : 102 segundos

O exposto acima tende a sugerir que Digitalizar todos os arquivos ao ler é de longe a operação mais cara (e provavelmente totalmente desnecessária). Não consigo entender por que a desativação da varredura ao acessar realmente diminui a seqüência de inicialização, embora de maneira fracionária. Os três resultados finais são praticamente os mesmos, o que significa que devo usar outros fatores para influenciar minha decisão quanto à seleção de Digitalizar executáveis, Na leitura ou Na gravação.


Atualizar:

Fiz mais alguns testes, na mesma máquina virtual (em um horário diferente do dia, para que não possam ser comparados diretamente com os resultados acima:

  • Sophos não instalado : 67,4 segundos (média de 5 testes)
  • Executáveis ​​de digitalização, em leitura : 84,5 segundos (média de 5 testes)
  • Executáveis ​​de digitalização, na gravação : 85 segundos (média de 5 testes)

A média faz com que os valores de On Read e On Write convergam ainda mais, é interessante ver que o uso de arquivos executáveis ​​de varredura do Sophos adiciona apenas uma sobrecarga de desempenho de 21% sobre o fato de o Sophos não estar instalado.


Então, que outras considerações devo fazer ao configurar a varredura ao acessar para melhorar o tempo de inicialização?

Richard Slater
fonte
Também estou interessado nisso. Estamos usando o Eset NOD32 (anteriormente Trendmicro Officescan) e vemos tempos ruins de inicialização e login. É especialmente doloroso em laptops (Thinkpads) com discos mais lentos.
Doug Luxem
Espere? quer dizer que você costumava usar o Trend Micro OfficeScan e agora usa o ESET NOD32? ou o ESET NOD32 costumava ser chamado de Trendmicro Officescan? Eu uso o NOD32 em estações de trabalho de administrador, provavelmente posso instalá-lo em uma máquina virtual e fazer alguns testes com o BootViz amanhã. É claro que não é apenas o tempo de inicialização que pode ser afetado por um antivírus agressivo ao acessar.
Richard Slater
O NOD32 e o Trend Micro OfficeScan não estão relacionados. Eu acho que ele quis dizer a interpretação "costumávamos usar" do que ele disse.
Evan Anderson
Desculpe, mudamos de Trend para NOD32.
Doug Luxem

Respostas:

6

No momento, estamos investigando problemas de velocidade do SOPHOS e recebi as seguintes sugestões, que em nosso ambiente winxp sp3 fizeram bastante diferença:

  1. Exclua esses arquivos na seção Ao acessar:

    • c: \ windows \ system32 \ authz.dll
    • c: \ windows \ system32 \ drivers \ srv.sys
    • c: \ windows \ system32 \ es.dll
    • c: \ windows \ system32 \ netman.dll
    • c: \ windows \ system32 \ oakley.dll
    • c: \ windows \ system32 \ pstorsvc.dll
    • c: \ windows \ system32 \ rasadhlp.dll
    • c: \ windows \ system32 \ regsvc.dll
    • c: \ windows \ system32 \ winipsec.dll Eles são arquivos de inicialização e, desde que você tenha verificações completas do sistema em execução em algum momento, você deve ficar bem.
  2. A segunda coisa a fazer é desativar a verificação de atualizações na inicialização. Isso é um pouco arriscado, pois é um ponto-chave para novos vírus poderem atacar, mas você pode combater isso fazendo verificações regulares de 30 minutos para atualizações, o que significa que você nunca fica mais do que meia hora fora. Para desativar a verificação de atualizações, faça o seguinte:

texto alternativo http://www.sophos.com/images/common/misc/27646.gif

Após a implementação dessas alterações, houve um aumento notável da velocidade da inicialização do desktop.

Eu espero que isso ajude.

Kip

Kip
fonte
1
Eu mesmo encontrei um modelo de política de grupo para fazer o trabalho: social.technet.microsoft.com/Forums/en-US/winserverGP/thread/...
Richard Slater
Impressionante! Essa é uma seção que eu não tinha conseguido ver. Achado brilhante.
24410 Kip
2

Como não usei o Sophos, não tenho certeza se há algo semelhante, mas na Symantec há uma alteração no registro que você pode fazer que desativa a verificação completa do sistema na inicialização. Sem isso, a Symantec verificará tudo quando o sistema iniciar, potencialmente tornando as coisas muito lentas nos primeiros momentos após a inicialização do sistema. Pode haver uma configuração semelhante no Sophos.

É claro que desabilitar isso é potencialmente um leve rebaixamento na segurança. Há uma razão pela qual eles têm uma verificação de inicialização.

AudioDan
fonte
O Sophos não faz uma varredura completa do sistema na inicialização, no meu caso, agendei a Sophos para fazer uma varredura completa do sistema bastante agressiva às 15h30 de segunda-feira, o que funciona bem em nosso Caso de Uso específico.
Richard Slater
2

Tivemos o mesmo problema com a McAfee em nossas máquinas mais antigas. Como essas máquinas não têm acesso à Internet, escrevi um script de inicialização para atrasar o início dos serviços por alguns minutos.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Isso pode não ser prático para a sua situação, mas a solução funcionou bem para nós.

KevinH
fonte
Presumindo que esses processos fornecem proteção no acesso, seus computadores estão desprotegidos na inicialização. Em uma escola, esse provavelmente não é um compromisso aceitável, pois temos usuários mal-intencionados que o usariam a seu favor. No entanto, é uma boa solução para um ambiente confiável. Obrigado pela sua contribuição.
Richard Slater
1
Suspeitei que poderia ser o caso, mas é melhor oferecer as informações do que manter a solução e não compartilhar.
KevinH