10 votos

¿Cómo configurar el "antivirus en acceso" para un arranque más rápido?

Estoy tratando de optimizar el proceso de arranque de nuestras 700 estaciones de trabajo con Windows XP, regularmente tenemos quejas sobre los tiempos de arranque e inicio de sesión en las estaciones de trabajo del sitio.

Mirando esto en dos partes, la primera parte usando BootVis para supervisar e inspeccionar el proceso de arranque; segunda parte utilizando Monitor de procesos para supervisar el proceso de inicio de sesión. Utilizando el punto de inicio de BootVis como métrica, utilicé una máquina virtual de estación de trabajo VMWare que se ha utilizado durante unos 18 meses como máquina de pruebas de propósito general (por lo tanto, bastante típica de las máquinas in situ). Utilicé una instantánea para devolver la máquina virtual al estado inicial antes de cada prueba.

A partir de los registros y el informe que BootVis creó el retraso más obvio fue de Sophos Anti-Virus en el escáner de acceso, seguido a cierta distancia por mrxsmb. He ajustado las políticas de la máquina (asegurándome de forzar a Sophos a actualizar dos veces cada vez) y he obtenido los siguientes números:

  • Escanear todos los archivos, en lectura : 260 segundos
  • Escanear todos los archivos, al escribir : 160 segundos
  • Escanear ejecutables, en lectura y en escritura : 111 segundos
  • Escanear ejecutables, en lectura : 99 segundos
  • Escanear ejecutables, al escribir 95 segundos
  • Escaneo en acceso deshabilitado : 102 segundos

Lo anterior tiende a sugerir que el escaneo de todos los archivos, en lectura es, con mucho, la operación más cara (y probablemente totalmente innecesaria). No puedo comprender por qué deshabilitar el escaneo en acceso realmente ralentiza la secuencia de arranque aunque sea fraccionadamente. Los tres resultados finales son prácticamente iguales, lo que significa que debo utilizar otros factores para influir en mi decisión de seleccionar Escanear ejecutables, en lectura o en escritura.


Actualización:

Hice algunas pruebas más, en la misma máquina virtual (a una hora diferente del día, por lo que no se pueden comparar directamente con los resultados anteriores:

  • Sophos no está instalado 67,4 segundos (media de 5 pruebas)
  • Escanear ejecutables, en lectura 84,5 segundos (media de 5 pruebas)
  • Escanear ejecutables, al escribir 85 segundos (media de 5 pruebas)

El promedio hace que los valores de On Read y On Write converjan más, es interesante ver que el uso de Sophos scan Executable Files sólo añade un 21% de sobrecarga de rendimiento respecto a Sophos no instalado.


¿Qué otras consideraciones debo tener en cuenta a la hora de configurar la exploración en tiempo real para mejorar el tiempo de arranque?

6voto

Sargun Dhillon Puntos 831

Actualmente estamos investigando los problemas de velocidad de SOPHOS y he llegado a las siguientes sugerencias que en nuestro entorno winxp sp3 ha hecho un poco de diferencia:

  1. Excluya estos archivos en la sección de acceso:

    • c: \windows\system32\authz.dll
    • c: \windows\system32\drivers\srv.sys
    • c: \windows\system32\es.dll
    • c: \windows\system32\netman.dll
    • c: \windows\system32\oakley.dll
    • c: \windows\system32\pstorsvc.dll
    • c: \windows\system32\rasadhlp.dll
    • c: \windows\system32\regsvc.dll
    • c: \windows\system32\winipsec.dll Son archivos de inicio y mientras tengas escaneos completos del sistema ejecutados en algún momento, deberías estar bien.
  2. Lo segundo que hay que hacer es desactivar la comprobación de actualizaciones al inicio. Esto es un poco arriesgado, ya que es un punto clave para que los nuevos virus puedan atacar, pero puede combatirlo haciendo comprobaciones regulares de 30 minutos para las actualizaciones, lo que significa que nunca está más de media hora fuera. Para desactivar la búsqueda de actualizaciones haga lo siguiente:

texto alternativo http://www.sophos.com/images/common/misc/27646.gif

Después de aplicar estos cambios se produjo un notable aumento de la velocidad desde el encendido hasta el escritorio.

Espero que esto ayude.

Kip

2voto

Jiaaro Puntos 14379

Tuvimos el mismo problema con McAfee en nuestras máquinas más antiguas. Estas máquinas no tienen acceso a internet, así que escribí un boot script para retrasar el inicio de los servicios unos minutos.

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

Puede que esto no sea práctico para tu situación, pero la solución nos ha funcionado bien.

0voto

AudioDan Puntos 293

No he utilizado Sophos, así que no estoy seguro de si hay algo similar, pero en Symantec hay un cambio en el registro que puede hacer que desactiva el escaneo completo del sistema en el inicio. Sin esto, Symantec escaneará todo cuando el sistema se inicie por primera vez, lo que puede hacer que las cosas sean muy lentas durante el primer tiempo después de que el sistema se inicie. Es posible que haya un ajuste similar en Sophos.

Por supuesto, desactivar esto es potencialmente un ligero descenso en la seguridad. Hay una razón por la que tienen un análisis de inicio.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: