「オンアクセスアンチウイルス」を高速ブート用に構成する方法


10

私は700のWindows XPワークステーションの起動プロセスを最適化しようとしている最中ですが、サイトワークステーションの起動時間とログイン時間について定期的に苦情があります。

これを2つの部分で見てください。1つはBootVisを使用してブートプロセスを監視および検査します。パート2 プロセスモニターを使用してログインプロセスを監視する。メトリックとしてBootVisの「Boot Done」ウェイポイントを使用して、汎用のテストマシンとして約18か月間使用されているVMWareワークステーション仮想マシンを使用しました(このため、オンサイトマシンではかなり典型的です)。各テストの前に、スナップショットを使用して仮想マシンを初期状態に戻しました。

ログから、BootVisが最も明らかな遅延を引き起こしたという報告は、アクセススキャナーでのSophos Anti-Virusによるもので、その後にmrxsmbが続きました。マシンのポリシーを微調整し(ソフォスに毎回2回更新を強制するようにしました)、次の数値を導き出しました。

  • すべてのファイルをスキャン、読み取り時:260秒
  • すべてのファイルをスキャン、書き込み時:160秒
  • 実行可能ファイルのスキャン、読み取り時および書き込み時:111秒
  • スキャン実行可能ファイル、読み取り時:99秒
  • スキャン実行可能ファイル、書き込み時:95秒
  • オンアクセススキャン無効:102秒

上記は、[すべてのファイルをスキャン、読み取り時]が断然最もコストのかかる操作であることを示唆する傾向があります(おそらく完全に不要です)。オンアクセススキャンを無効にすると、実際にはブートシーケンスの速度が遅くなるのに、ほんの少しの時間がかかる理由がよくわかりません。最後の3つの結果はほとんど同じです。つまり、他の要因を使用して、スキャン実行可能ファイル、読み取り時または書き込み時の選択を決定する必要があります。


更新:

同じ仮想マシンで別の時間帯にテストを行ったため、上記の結果と直接比較することはできません。

  • ソフォスがインストールされていません:67.4秒(平均5回のテスト)
  • スキャン実行可能ファイル、読み取り時:84.5秒(5回のテストで平均)
  • スキャン実行可能ファイル、書き込み時:85秒(5回のテストで平均)

平均化すると、読み取り時と書き込み時の値がさらに収束します。興味深いのは、ソフォスのスキャン実行可能ファイルを使用しても、インストールされていないソフォスに対して21%のパフォーマンスオーバーヘッドしか追加されないことです。


では、起動時間を短縮するためにオンアクセススキャンを構成する場合、他にどのような考慮事項を検討する必要がありますか?


私もこれに興味があります。Eset NOD32(以前はTrendmicro Officescan)を使用しており、起動とログインに時間がかかります。遅いディスクを搭載したラップトップ(Thinkpads)では特に痛いです。
Doug Luxem

待って?以前はトレンドマイクロOfficeScanを使用していて、現在はESET NOD32を使用しているということですか?またはESET NOD32はTrendmicro Officescanと呼ばれていましたか?私は管理者ワークステーションでNOD32を使用しています。それを仮想マシンにインストールして、明日BootVizでいくつかのテストを行うことができます。もちろん、攻撃的なオンアクセスアンチウイルスの影響を受ける可能性があるのは、起動時だけではありません。
Richard Slater、

NOD32とTrend Micro OfficeScanは関連していません。彼は彼が言ったことの「私たちは以前使用していた」解釈を意味したと思います。
エヴァンアンダーソン、

申し訳ありませんが、トレンドからNOD32に切り替えました。
Doug Luxem 2009年

回答:


6

現在、SOPHOSの速度の問題を調査しており、winxp sp3環境でかなりの違いをもたらした次の提案を思いつきました。

  1. オンアクセスセクション内でこれらのファイルを除外します。

    • c:\ windows \ system32 \ authz.dll
    • c:\ windows \ system32 \ drivers \ srv.sys
    • c:\ windows \ system32 \ es.dll
    • c:\ windows \ system32 \ netman.dll
    • c:\ windows \ system32 \ oakley.dll
    • c:\ windows \ system32 \ pstorsvc.dll
    • c:\ windows \ system32 \ rasadhlp.dll
    • c:\ windows \ system32 \ regsvc.dll
    • c:\ windows \ system32 \ winipsec.dllこれらはスタートアップファイルであり、ある時点でフルシステムスキャンを実行している限り、問題はありません。
  2. 2番目に行うことは、起動時に更新のチェックをオフにすることです。これは新しいウイルスの重要なポイントが攻撃する可能性があるため、少し危険ですが、更新を定期的に30分間チェックすることでこれに対抗できます。更新のチェックをオフにするには、次のようにします。

代替テキストhttp://www.sophos.com/images/common/misc/27646.gif

これらの変更を実装した後、電源オンからデスクトップへの顕著な速度の増加がありました。

これがお役に立てば幸いです。

キップ


1
仕事をするためのグループポリシーテンプレートを見つけました。social.technet.microsoft.com
Richard Slater

驚くばかり!それは私が見ていて丸くなかった1つのセクションです。素晴らしい発見。
Kip

2

ソフォスを使用したことがないので、同様のものがあるかどうかはわかりませんが、Symantecではレジストリを変更して、起動時にシステム全体のスキャンを無効にすることができます。これがないと、システムが最初に起動したときにシマンテックがすべてをスキャンし、システムの起動後の最初の少しの間、物事が非常に遅くなる可能性があります。ソフォスにも同様の設定がある可能性があります。

もちろん、これを無効にすると、セキュリティが若干低下する可能性があります。スタートアップスキャンがあるのには理由があります。


ソフォスは起動時にシステム全体のスキャンを実行しません。私の場合、ソフォスは月曜日の1530にかなり積極的なシステム全体のスキャンを実行するようにスケジュールしました。
Richard Slater、

2

以前のマシンのMcAfeeでも同じ問題が発生しました。これらのマシンはインターネットにアクセスできないため、サービスの開始を数分遅らせるブートスクリプトを作成しました。

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

これはあなたの状況では実用的ではないかもしれませんが、解決策は私たちにとってうまくいきました。


これらのプロセスがオンアクセス保護を提供すると想定すると、コンピュータは保護されずに起動します。学校では、悪意のあるユーザーが悪用して悪用しているため、これはおそらく許容できる妥協案ではありません。ただし、これは信頼できる環境に適したソリューションです。ご入力いただきありがとうございます。
Richard Slater

1
私はそれが事実であるかもしれないと思ったが、解決策を保持するよりも情報を提供することは共有しない方が良い。
KevinH 2009年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.