Comment configurer «Anti-Virus à l'accès» pour un démarrage plus rapide?

10

Je suis en train d'essayer d'optimiser le processus de démarrage de nos 700 postes de travail Windows XP, nous nous plaignons régulièrement des heures de démarrage et de connexion sur les postes de travail du site.

En regardant cela en deux parties, la première partie utilise BootVis pour surveiller et inspecter le processus de démarrage; deuxième partie à l'aide de Process Monitor pour surveiller le processus de connexion. En utilisant le point de cheminement "Boot Done" de BootVis comme métrique, j'ai utilisé une machine virtuelle de poste de travail VMWare qui a été utilisée pendant environ 18 mois comme machine de test à usage général (donc assez typique des machines sur site). J'ai utilisé un instantané pour remettre la machine virtuelle dans son état initial avant chaque test.

D'après les journaux et le rapport que BootVis a créé, le retard le plus évident provenait de Sophos Anti-Virus sur le scanner d'accès, suivi à une certaine distance par mrxsmb. J'ai modifié les politiques de la machine (en veillant à forcer Sophos à mettre à jour deux fois à chaque fois) et j'ai trouvé les chiffres suivants:

  • Analyser tous les fichiers, en lecture : 260 secondes
  • Analyser tous les fichiers, en écriture : 160 secondes
  • Numériser les exécutables, en lecture et en écriture : 111 secondes
  • Numéros exécutables, en lecture : 99 secondes
  • Numéros exécutables, en écriture : 95 secondes
  • Analyse à l'accès désactivée : 102 secondes

Ce qui précède tend à suggérer que l'analyse de tous les fichiers, à la lecture est de loin l'opération la plus coûteuse (et probablement totalement inutile). Je ne comprends pas très bien pourquoi la désactivation de l'analyse à l'accès ralentit réellement la séquence de démarrage, mais de manière fractionnaire. Les trois derniers résultats sont à peu près les mêmes, ce qui signifie que je dois utiliser d'autres facteurs pour influencer ma décision quant à la sélection des exécutables de numérisation, en lecture ou en écriture.

Mettre à jour:

J'ai fait quelques tests supplémentaires, sur la même machine virtuelle (à une heure différente de la journée, donc ils ne peuvent pas être comparés directement avec les résultats ci-dessus:

  • Sophos non installé : 67,4 secondes (moyenne sur 5 tests)
  • Scan Executables, en lecture : 84,5 secondes (moyenne sur 5 tests)
  • Scan Executables, On Write : 85 secondes (moyenne sur 5 tests)

La moyenne fait converger davantage les valeurs En lecture et En écriture, il est intéressant de voir que l'utilisation de Sophos scan Executable Files ajoute seulement 21% de surcharge de performance par rapport à Sophos non installé.

Quelles autres considérations dois-je prendre lors de la configuration de l'analyse à l'accès pour améliorer le temps de démarrage?

windows-xp boot anti-virus sophos Richard Slater
la source
Je m'intéresse aussi à cela. Nous utilisons Eset NOD32 (anciennement Trendmicro Officescan) et constatons des temps de démarrage et de connexion médiocres. Cela est particulièrement douloureux sur les ordinateurs portables (Thinkpads) avec des disques plus lents.
Doug Luxem
Attendre? voulez-vous dire que vous utilisiez Trend Micro OfficeScan et que vous utilisez maintenant ESET NOD32? ou ESET NOD32 s'appelait autrefois Trendmicro Officescan? J'utilise NOD32 sur des postes de travail d'administrateur, je peux probablement l'installer dans une machine virtuelle et faire des tests avec BootViz demain. Bien sûr, ce n'est pas seulement le temps de démarrage qui peut être affecté par un anti-virus agressif à l'accès.
Richard Slater
NOD32 et Trend Micro OfficeScan ne sont pas liés. Je pense qu'il voulait dire l'interprétation «nous avons utilisé» de ce qu'il a dit.
Evan Anderson
Désolé, nous sommes passés de Trend à NOD32.
Doug Luxem

Réponses:

6

Nous étudions actuellement les problèmes de vitesse de SOPHOS et j'ai proposé les suggestions suivantes qui, dans notre environnement winxp sp3, ont fait une bonne différence:

  1. Excluez ces fichiers dans la section On-Access:

    • c: \ windows \ system32 \ authz.dll
    • c: \ windows \ system32 \ drivers \ srv.sys
    • c: \ windows \ system32 \ es.dll
    • c: \ windows \ system32 \ netman.dll
    • c: \ windows \ system32 \ oakley.dll
    • c: \ windows \ system32 \ pstorsvc.dll
    • c: \ windows \ system32 \ rasadhlp.dll
    • c: \ windows \ system32 \ regsvc.dll
    • c: \ windows \ system32 \ winipsec.dll Ce sont des fichiers de démarrage et aussi longtemps que vous avez des analyses complètes du système en cours d'exécution à un moment donné, vous devriez être bien.

  2. La deuxième chose à faire est de désactiver la vérification des mises à jour au démarrage. C'est un tout petit peu risqué car c'est un point clé pour les nouveaux virus qui peuvent attaquer, mais vous pouvez le combattre en vérifiant régulièrement les mises à jour pendant 30 minutes, ce qui signifie que vous n'êtes jamais à plus d'une demi-heure. Pour désactiver la vérification des mises à jour, procédez comme suit:

texte alternatif http://www.sophos.com/images/common/misc/27646.gif

Après la mise en œuvre de ces modifications, il y a eu une augmentation notable de la vitesse de la mise sous tension au bureau.

J'espère que ça aide.

Kip

Kip
la source
1
J'ai même trouvé un modèle de stratégie de groupe pour faire le travail: social.technet.microsoft.com/Forums/en-US/winserverGP/thread/…
Richard Slater
Impressionnant! C'est une section que je n'avais pas encore abordée. Super trouvaille.
Kip
2

Je n'ai pas utilisé Sophos donc je ne sais pas s'il y a quelque chose de similaire, mais dans Symantec il y a un changement de registre que vous pouvez faire qui désactive l'analyse complète du système au démarrage. Sans cela, Symantec analysera tout lorsque le système démarrera pour la première fois, ce qui pourrait ralentir les choses pour la première fois après le démarrage du système. Il peut y avoir un paramètre similaire dans Sophos.

Bien sûr, la désactivation de cette option peut potentiellement entraîner une légère dégradation de la sécurité. Il y a une raison pour laquelle ils ont une analyse de démarrage.

AudioDan
la source
Sophos ne fait pas d'analyse complète du système au démarrage, dans mon cas, j'ai prévu que Sophos effectue une analyse complète du système assez agressive à 15 h 30 un lundi, ce qui fonctionne bien dans notre cas d'utilisation particulier.
Richard Slater
2

Nous avons eu le même problème avec McAfee sur nos anciennes machines. Ces machines n'ont pas accès à Internet, j'ai donc écrit un script de démarrage pour retarder le démarrage des services de quelques minutes.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Cela peut ne pas être pratique pour votre situation, mais la solution a bien fonctionné pour nous.

KevinH
la source
En supposant que ces processus vous offrent une protection à l'accès, vos ordinateurs ne démarrent pas sans protection. Dans une école, ce n'est probablement pas un compromis acceptable car nous avons des utilisateurs malveillants qui l'utiliseraient à leur avantage. C'est cependant une bonne solution pour un environnement de confiance. Merci pour votre contribution.
Richard Slater
1
Je soupçonnais que cela pourrait être le cas, mais il vaut mieux offrir les informations que détenir la solution et ne pas les partager.
KevinH