Performance-Verbesserung für McAfee VirusScan

Aus ITwiki
Version vom 19. Juli 2013, 08:50 Uhr von Flo84 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Ein Virenscanner zwingt grundsätzlich die Leistung eines Rechners in die Knie - manchmal mehr, manchmal weniger, aber die Performance leidet immer ein bischen…“)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Ein Virenscanner zwingt grundsätzlich die Leistung eines Rechners in die Knie - manchmal mehr, manchmal weniger, aber die Performance leidet immer ein bischen darunter. Von McAfee gibt es einen Best Practice Guide für VirusScan 8.8 (und in aller Regel findet man im Web für alle anderen Versionen ähnliche Dokumente). Ich möchte kurz ein paar Optimierungen, die ich im Einsatz habe, erläutern. Ich gehe davon aus, dass in deiner Umgebung der ePO in Version 4.6 zum Einsatz kommt und die Konfigurationsanpassungen hier vorgenommen werden. Ich setze Grundkenntnisse voraus, da ich hier nicht erklären werde, wie man Richtlinien für Workstations bzw. Server konfiguriert, wo diese zu finden sind etc. - das sind Basics, die man wissen muss. Andernfalls bitte den McAfee ePO 4.6 Product Guide lesen (Englisch).

Allgemeine Richtlinien bei Zugriff: Allgemein

Um die Performance zu verbessern, empfiehlt McAfee im Best Practice Guide die Deaktivierung der Einstellung Aktivierte Prozesse - also: Haken raus, Details siehe im BPG!

Richtlinien bei bei Zugriff für Standardvorgänge: Ausschlüsse

Folgende Dateien schließe ich vom Scan auf Server aus:

  1. pagefile.sys
  2. Alle Dateien vom Typ edb
  3. Alle Dateien vom Typ stm
  4. Alle Dateien vom Typ mdb
  5. Alle Dateien vom Typ ldb
  6. Alle Dateien vom Typ mdf
  7. Alle Dateien vom Typ ndf
  8. Alle Dateien vom Typ ldf

Auf Windows Domain Controllers sollte zudem ausgeschlossen werden:

  1.  %windir%\ntds\ntds.dit
  2.  %windir%\ntds\ntds.pat
  3.  %windir%\ntds\edb*.log
  4.  %windir%\ntds\res1.log
  5.  %windir%\ntds\res2.log

Bei einem Exchange 2010 Server macht es sinn, noch folgende Files auszuschließen:

  1. **\Microsoft\Exchange Server\**\*.config
  2. **\Microsoft\Exchange Server\**\*.dia
  3. **\Microsoft\Exchange Server\**\*.wsb
  4. **\Microsoft\Exchange Server\**\*.log
  5. **\Microsoft\Exchange Server\**\*.chk
  6. **\Microsoft\Exchange Server\**\*.jrs
  7. **\Microsoft\Exchange Server\**\*.que
  8. **\Microsoft\Exchange Server\**\*.lzx
  9. **\Microsoft\Exchange Server\**\*.ci
  10. **\Microsoft\Exchange Server\**\*.wid
  11. **\Microsoft\Exchange Server\**\*.dir
  12. **\Microsoft\Exchange Server\**\*.000
  13. **\Microsoft\Exchange Server\**\*.001
  14. **\Microsoft\Exchange Server\**\*.002
  15. **\Microsoft\Exchange Server\**\*.cfg
  16. **\Microsoft\Exchange Server\**\*.grxml
  17. **\Microsoft\Exchange Server\V14\Bin\EdgeTransport.exe

Auf Client-Systemen:

  1. pagefile.sys
  2. Alle Dateien vom Typ ost
  3. hiberfil.sys

Wer mit den Dateiendungen nicht klar kommt: http://www.endungen.de

Ereignisfilterung: Eregnisse mit der ID 1051 und 1059

Beachte hier zu den McAfee VirusScan Best Practice Guide auf Seite 39. Hier wird beschrieben, warum und wie man verhindert, dass die (scheinbar nutzlosen) Ereignisse mit der ID 1051 und 1059 nicht an den ePO geschickt werden sollen / müssen. Einfach lesen :-)

Konfigurieren des täglichen RAM-Scans

McAfee empfiehlt im BPG, einen Client Task zu konfigurieren, welcher täglich ausgeführt wird und den Arbeitsspeicher sowie laufende Prozesse auf Rootkits scannt. Erstelle also einen neuen Client-Task (im Client-Task-Katalog), stelle dabei sicher, dass im Register Speicherorte scannen bei Zu scannende Speicherorte ausschließlich

  1. Speicher für Rootkits
  2. Laufende Prozesse

ausgewählt ist - sonst wird ein vollständiger Rechner-Scan durchgeführt, was lange dauern kann und die Performance der Systeme startk beeinträchtigt. Der Scan vom Speicher und der laufenden Prozesse dauert hingegen max. 5 Minuten. Ich habe für Workstations und Clients zwei separate Tasks eingerichtet: die Server lasse ich vor Arbeitsbeginn prüfen (um ca. 07:00), die Clients eine Stunde nach Arbeitsbeginn, was 09:00 Uhr ist - 1 Stunde deshalb, dass bis dahin auch die aktuellste Virensignatur auf den Rechner geladen wurde.

Richtlinie bei Zugriff für Vorgänge mit geringem Risiko: Prozesse mit geringem Risiko

Folgende Prozesse können dieser Liste hinzugefügt werden:

  1. FrameworkService.exe
  2. McScanCheck.exe
  3. McScript_InUse.exe
  4. mcupdate.exe
  5. vmware.exe
  6. vmware-vmx.exe

Und dies jeweils für Workstations und Server.

Nützliche Links