如何配置“ On-Access Anti-Virus”以加快启动速度？

10

我正在尝试优化700个Windows XP工作站的启动过程，我们经常抱怨站点工作站的启动和登录时间。

分两部分进行研究，第一部分使用BootVis监视和检查引导过程；第二部分使用BootVis监视和检查引导过程。第二部分使用Process Monitor监视登录过程。我使用BootVis的“ Boot Done”引导点作为度量标准，将VMWare工作站虚拟机用作通用测试计算机已经使用了大约18个月（因此在现场计算机中非常典型）。我使用快照将虚拟机返回到每次测试之前的初始状态。

根据日志和报告，BootVis造成的最明显的延迟是来自访问扫描程序上的Sophos Anti-Virus，随后是mrxsmb。我调整了计算机的策略（确保我强迫Sophos每次更新两次）并得出以下数字：

读取时扫描所有文件：260秒
写入时扫描所有文件：160秒
在读取和写入时扫描可执行文件：111秒
扫描可执行文件，读取时：99秒
扫描可执行文件，写入时：95秒
禁用按访问扫描：102秒

上面的内容往往表明，“读取时扫描所有文件”是迄今为止最昂贵的操作（可能完全没有必要）。我无法完全理解为什么禁用按访问扫描实际上会减慢启动顺序的速度，但是会稍微降低速度。最后三个结果几乎相同，这意味着在选择“扫描可执行文件”，“读取时”或“写入时”时，我必须使用其他因素来影响我的决定。

更新：

我在同一台虚拟机上（在一天中的不同时间）进行了更多测试，因此无法将它们与上述结果直接进行比较：

未安装Sophos：67.4秒（5个测试的平均值）
读取时扫描可执行文件：84.5秒（5次测试的平均值）
写入时扫描可执行文件：85秒（5次测试的平均值）

平均导致“读时”和“写时”的值进一步收敛，有趣的是，使用Sophos scan可执行文件仅比未安装Sophos时增加了21％的性能开销。

因此，在配置按访问扫描以缩短启动时间时，我还应考虑哪些其他因素？

— 理查德·斯莱特
source

我也对此感兴趣。我们正在使用Eset NOD32（以前的趋势科技Officescan），并且看到的启动和登录时间很差。在磁盘速度较慢的笔记本电脑（Thinkpads）上，这尤其令人痛苦。

— Doug Luxem

不挂断？您是说曾经使用趋势科技防毒墙网络版，现在又使用了ESET NOD32？或以前称为ESET NOD32的Trendmicro Officescan？我在管理员工作站上使用NOD32，我可能可以将其安装在虚拟机中，明天使用BootViz进行一些测试。当然，不仅仅启动时间会受到过度攻击性即时访问防病毒的影响。

— 理查德·斯莱特2009年

NOD32和趋势科技防毒墙网络版不相关。我认为他的意思是他所说的“我们曾经使用过”的解释。

— 埃文·安德森

抱歉，我们从趋势切换到NOD32。

— Doug Luxem

6

我们目前正在调查SOPHOS速度问题，我提出了以下建议，这些建议在我们的winxp sp3环境中产生了一些不同：

在“按需访问”部分中排除以下文件：
- c：\ windows \ system32 \ authz.dll
- c：\ windows \ system32 \ drivers \ srv.sys
- c：\ windows \ system32 \ es.dll
- c：\ windows \ system32 \ netman.dll
- c：\ windows \ system32 \ oakley.dll
- c：\ windows \ system32 \ pstorsvc.dll
- c：\ windows \ system32 \ rasadhlp.dll
- c：\ windows \ system32 \ regsvc.dll
- c：\ windows \ system32 \ winipsec.dll它们是启动文件，只要您在某个时候运行了完整的系统扫描，就可以了。
第二件事是在启动时关闭检查更新。这有点冒险，因为这是新病毒可以攻击的关键点，但是您可以通过定期进行30分钟的更新检查来解决此问题，这意味着您永远不会超过半小时。要轮流检查更新，请执行以下操作：

替代文字http://www.sophos.com/images/common/misc/27646.gif

实施这些更改后，从开机到台式机的速度有了显着提高。

我希望这有帮助。

基普

— 基普
source

1

我甚至发现了一个组策略模板做的工作： social.technet.microsoft.com/Forums/en-US/winserverGP/thread/...

— 理查德·斯莱特

太棒了！多数民众赞成在一个部分，我没有四舍五入。辉煌的发现。

— 基普

2

我没有使用过Sophos，所以不确定是否有类似的东西，但是在Symantec中，可以进行注册表更改，从而在启动时禁用整个系统扫描。没有此功能，Symantec（赛门铁克）将在系统首次启动时扫描所有内容，这可能会在系统启动后的头一会儿使一切变得非常缓慢。Sophos中可能有类似的设置。

当然，禁用此功能可能会导致安全性稍有下降。他们进行启动扫描是有原因的。

— 音频丹
source

Sophos在启动时不会进行完整的系统扫描，就我而言，我计划Sophos在星期一的1530进行相当激进的完整系统扫描，这在我们的特定用例中效果很好。

— 理查德·斯莱特

2

我们在较旧的计算机上也遇到了McAfee的相同问题。这些机器无法访问互联网，因此我编写了一个启动脚本，将服务的启动延迟了几分钟。

' Place script in C:\Documents and Settings\All Users\Start Menu\Programs\Startup
' The McShield and McTaskManager services must be set to Manual

Wscript.sleep 12000 'Delay start for 2 minutes

Set objWMIService = GetObject ("winmgmts:{impersonationLevel=impersonate, (Debug)}\\.\root\cimv2")

StartService "McShield"     
StartService "McTaskManager"

Function StartService (strService)
    Dim intStatus, colServices, objService
    Set colServices = objWMIService.ExecQuery ("Select * from Win32_Service Where Name = " & chr(39) & strService & chr(39))
    For Each objService in colServices
        intStatus = objService.StartService
    Next
End Function

这可能不适用于您的情况，但该解决方案对我们来说效果很好。

— 凯文·H
source

假设这些过程为您提供了按访问保护，则您的计算机将不受保护地启动。在学校中，这可能不是一个可以接受的折衷方案，因为我们确实有恶意用户会利用它来获取好处。但是，对于受信任的环境，这是一个很好的解决方案。感谢您的输入。

— 理查德·斯莱特2009年

1

我怀疑可能是这种情况，但是提供信息比保留解决方案而不共享信息更好。

— KevinH