Cách cải thiện hiệu suất với Bảo mật đầu cuối

  • Created:
  • / Author: PACISOFT Help 7
Lượt xem: 664

Môi trường dữ liệu

  • McAfee Endpoint Security Adaptive Threat Protection (ATP) 10.x
  • McAfee Endpoint Security Threat Prevention 10.x

Tóm tắt

Sử dụng bài viết này để cải thiện hiệu suất và giải quyết các sự cố có thể xảy ra sau khi bạn cài đặt Endpoint Security 10.x. Bài viết được cập nhật khi thu thập thêm thông tin về các vấn đề hiệu suất. Vì vậy, hãy kiểm tra ở đây trước, để được hỗ trợ nếu bạn gặp phải các triệu chứng về hiệu suất.

Để nhận thông báo qua email khi bài viết này được cập nhật, hãy nhấp vào Đăng ký ở phía bên phải của trang.

McShield.exe

Quá trình McShield.exe trong Endpoint Security là quá trình thực hiện quét các tệp. Khi các tệp được quét khi chúng được truy cập, đó là quét khi truy cập. Khi các tệp được quét như chúng được chỉ định, đó là quét theo yêu cầu. Rất dễ nhầm lẫn tính năng nào đang góp phần gây ra hiện tượng hiệu suất, nếu bạn chỉ nhìn vào quá trình này và mức tiêu thụ CPU của nó.

Để xác định xem máy quét theo yêu cầu có đang góp phần gây ra hiện tượng hiệu suất cho McShield.exe hay không, hãy kiểm tra OnDemandScan_Activity.log. Nếu hiện tượng trùng khớp với hoạt động từ OnDemandScan_Activity.log, thì có khả năng máy quét theo yêu cầu có liên quan. Nếu không, có khả năng là máy quét đang truy cập có liên quan. Tiếp theo, hãy theo dõi việc cải thiện hiệu suất cho máy quét khi truy cập, máy quét theo yêu cầu hoặc cả hai, trong các phần bên dưới.

LƯU Ý: OnDemandScan_Activity.log ở% ProgramData% \ McAfee \ Endpoint Security \ Logs.

Máy quét khi truy cập

Máy quét khi truy cập là máy quét thời gian thực và nó chỉ sử dụng CPU khi các quy trình đang chạy khác, truy cập tệp trên đĩa. Quét đọc xảy ra trước khi tệp được đọc, quét ghi xảy ra sau khi tệp được ghi vào đĩa. Việc sử dụng CPU xảy ra tỷ lệ thuận với số lượng hoạt động tệp đang diễn ra đối với tính năng Đọc hoặc Ghi.

Nếu bạn cho rằng máy quét khi truy cập đang sử dụng quá nhiều CPU, hãy liên hệ với bộ phận Hỗ trợ kỹ thuật để điều tra thêm về hành vi. Một số cách tiếp cận có thể cải thiện hiệu suất cho máy quét khi truy cập, cho dù đó là quét Đọc hay quét Ghi.

Máy quét theo yêu cầu

Máy quét theo yêu cầu chỉ chạy khi bạn nhấp vào Quét ngay, từ bảng điều khiển Bảo mật đầu cuối hoặc dưới dạng tác vụ đã lên lịch (được định cấu hình từ Bảng điều khiển Bảo mật đầu cuối hoặc thông qua chính sách ePolicy Orchestrator). Máy quét theo yêu cầu chỉ sử dụng CPU khi nó đã được gọi, thông qua các phương pháp này. Quét theo yêu cầu có thể sử dụng hơn 90% CPU khả dụng khi chạy.

Nếu bạn sử dụng Quét khi không hoạt động làm tùy chọn lập lịch của một tác vụ, máy quét theo yêu cầu sẽ chạy khi trạng thái không hoạt động được phát hiện. Phải mất một phút Endpoint Security, để phát hiện trạng thái không hoạt động. Với Endpoint Security 10.6.1 trở về trước, máy quét theo yêu cầu sử dụng nhiều CPU nhất có thể, khi hệ thống không hoạt động. Endpoint Security 10.7 cho phép điều chỉnh CPU trong quá trình quét theo yêu cầu.

Cách tốt nhất để tránh ảnh hưởng đến các quy trình khác là đặt tùy chọn Sử dụng hệ thống thành Thấp hoặc Dưới bình thường (Dưới Bình thường là cài đặt hiệu quả nhất). Các cài đặt này sử dụng mức độ ưu tiên của luồng, để đảm bảo rằng các luồng có mức ưu tiên cao hơn sẽ được cung cấp các chu kỳ CPU khi cần thiết. Định cấu hình sử dụng Hệ thống trong mỗi tác vụ quét theo yêu cầu được định cấu hình, trong phần Hiệu suất. Bạn có thể đặt việc sử dụng Hệ thống cho các chính sách Quét toàn bộ, Quét nhanh và Quét Rt-Click. Các cài đặt quét theo yêu cầu này nằm trong trang chính sách Ngăn chặn đe dọa bảo mật đầu cuối.

Ngoài ra, tránh quét các tệp lưu trữ vì những tệp này không gây ra mối đe dọa ngay lập tức cho môi trường. Nội dung của tài liệu lưu trữ được quét khi giải nén.

Loại trừ không phải là cách hiệu quả nhất để cải thiện hiệu suất

Khi một tệp được truy cập, có nhiều điểm quyết định trong logic quét hoặc quy trình quét. Quyết định tránh quét tệp và nội dung của tệp càng sớm thì hiệu suất càng cao. Loại trừ được xử lý ở cuối quy trình quét, điều này làm cho chúng trở thành cách kém hiệu quả nhất, để cải thiện hiệu suất. (Thực tế này cũng đúng với VirusScan Enterprise.)

Loại trừ là một phương tiện đơn giản, để cải thiện hiệu suất vì các tùy chọn loại trừ tệp rất linh hoạt và bạn có thể định cấu hình bất kỳ số lượng nào trong số chúng. Tuy nhiên, nếu bạn có nhiều loại trừ hoặc nhiều tệp duy nhất yêu cầu loại trừ, thì thời gian và nỗ lực của quy trình quét để xử lý loại trừ, có thể cản trở hiệu suất. Phương pháp tốt nhất là sử dụng loại trừ như một phương tiện, để cải thiện hiệu suất quét khi:

  • Cần một giải pháp nhanh chóng và đơn giản
  • Bạn chưa có quá nhiều loại trừ
  • Bạn chưa có một số lượng lớn các tệp duy nhất, đang được truy cập yêu cầu loại trừ

LƯU Ý: Nếu bạn đang xem xét loại trừ một thư mục, đặc biệt nếu bạn cũng đang loại trừ các thư mục con của nó, thì một tùy chọn tốt hơn là sử dụng chức năng Quét hồ sơ với loại trừ, để cải thiện đáng kể bảo mật. Quét hồ sơ được giải thích bên dưới. Tùy chọn này tốt hơn so với việc tạo loại trừ thư mục đầy đủ.

Sử dụng tính năng Quét hồ sơ để cải thiện hiệu suất

Nền:

Máy quét khi truy cập được trang bị ba hồ sơ quét, được đặt tên là Tiêu chuẩn, Rủi ro cao và Rủi ro thấp. Theo mặc định, chỉ cấu hình chuẩn được sử dụng. Thực tế này có nghĩa là, cấu hình cho tiêu chuẩn được áp dụng cho tất cả các quy trình. Và khi một tiến trình truy cập tệp trên đĩa, cấu hình chuẩn được sử dụng, để xác định xem có nên quét hay không. Phần trước về loại trừ cũng áp dụng ở đây, vì loại trừ được xác định cho mỗi cấu hình quét.

Để bật cấu hình quét bổ sung, hãy chọn Định cấu hình cài đặt khác nhau, cho các quy trình Rủi ro cao và Rủi ro thấp trong Cài đặt quy trình. Lựa chọn này giúp bạn linh hoạt hơn trong việc kiểm soát những gì được quét hoặc không được quét, bởi vì bạn xác định các loại trừ theo cấu hình. Nếu bạn muốn các loại trừ chỉ áp dụng cho các quy trình nhất định thay vì tất cả các quy trình, hãy thêm các loại trừ vào hồ sơ Rủi ro cao hoặc Rủi ro thấp và chỉ ra các quy trình mà bạn muốn xác định cho hồ sơ đó.

Ví dụ: Giả sử MyApp.exe là quá trình duy nhất ghi hàng chục nghìn tệp tạm thời vào thư mục C: \ Windows \ Temp. Ngoài ra, giả sử rằng bạn biết những tệp đó không cần phải được quét vì bạn biết hành vi MyApp.exe, nhưng bạn không muốn loại trừ \ Windows \ Temp cho tất cả các quy trình.

Để sử dụng tùy chọn Định cấu hình các cài đặt khác nhau, cho các quy trình Rủi ro cao và Rủi ro thấp, bạn xác định ** \ Windows \ Temp \ * như một kiểu loại trừ trong cấu hình Rủi ro thấp. Ngoài ra, bạn xác định MyApp.exe như một quy trình, để sử dụng cấu hình Rủi ro thấp. Giờ đây, tất cả các quy trình khác truy cập vào \ Windows \ Temp đều đã được quét các hoạt động của chúng. Tuy nhiên, các hoạt động của MyApp.exe bị loại trừ khỏi quá trình quét, vì nó nằm trong cấu hình Rủi ro thấp với loại trừ.

Phương pháp từ ví dụ có thể được thực hiện một bước xa hơn và bước này là nơi bạn có thể cải thiện hiệu suất, bằng cách sử dụng Quét hồ sơ. Đối với các quy trình mà bạn xác định, để sử dụng cấu hình Rủi ro thấp, thay vì chỉ loại trừ, bạn có thể đặt tính năng không quét khi đọc từ hoặc ghi vào đĩa. Cài đặt này tránh hoạt động quét tệp được tạo bởi MyApp.exe và bất kỳ quy trình nào khác trong cấu hình đó và là điểm quyết định đạt được sớm hơn nhiều trong quy trình quét. Thực tế này là lý do tại sao phương pháp này mang lại cải thiện hiệu suất đáng kể, so với phương pháp loại trừ.

Bạn có thể định nghĩa quy trình hệ thống là quy trình Rủi ro thấp, nếu cần. Định nghĩa này có thể áp dụng khi việc đọc và ghi tệp trên đĩa diễn ra từ một hệ thống khác.

Cho phép tệp qua công cụ GetClean

Sử dụng công cụ McAfee có tên GetClean, để cải thiện hiệu suất quét. Công cụ này cung cấp mẫu hoặc thông tin tệp cho McAfee và được sử dụng để cập nhật lên đám mây Global Threat Intelligence (GTI) của chúng tôi. Sau khi đám mây được cập nhật, khi quá trình quét xảy ra và thực hiện tra cứu GTI, phản hồi “tốt đã biết” thường có thể được trả lại nhanh hơn, so với quá trình quét hoàn tất. Thực tế này phủ nhận sự cần thiết phải kiểm tra thêm hồ sơ.

GetClean cũng được sử dụng để lấy thông tin chứng chỉ của các tệp được ký điện tử. Định kỳ, nhóm McAfee nhận dữ liệu này sẽ xem xét dữ liệu đã gửi, để có thể đưa vào Trust DATs của chúng tôi (chỉ được sử dụng bởi Endpoint Security). Khi chúng tôi đã chỉ định một chữ ký điện tử là tin cậy thông qua DAT, nó cho phép tất cả các hệ thống trên toàn thế giới tận dụng thông tin này. Chúng tận dụng lợi thế của công nghệ tránh quét được tích hợp trong máy quét và được giải thích bên dưới.

Sử dụng tính năng Tránh quét là cách hiệu quả nhất để cải thiện hiệu suất

Tính năng này của máy quét tận dụng độ tin cậy của chúng tôi, để giúp nhận biết khi nào không cần quét. Cơ chế này giúp tăng hiệu suất lớn nhất vì nó không chỉ cho biết liệu có cần quét sớm trong quy trình quét hay không. Nó cũng có mức độ liên quan lâu dài hơn, vì kết quả “Tin cậy + Sạch” được lưu trong bộ nhớ cache tồn tại sau bản cập nhật DAT, trong khi chỉ riêng kết quả sạch thì không. Việc sử dụng tiện ích GetClean cung cấp các cải tiến nội dung áp dụng cho tính năng tránh quét.

Threat Protection adaptive (ATP)

Người sử dụng ATP có thể mang lại cải tiến hiệu suất, khi quá trình và tập tin đóng vai trò các đối tượng được ký điện tử bởi một nhà cung cấp đáng tin cậy và chứng chỉ. Một đối tượng được tin cậy sẽ tránh được việc ra quyết định nhiều hơn từ ATP. Ví dụ: nó tránh tra cứu danh tiếng từ đám mây và kiểm tra sự tin cậy của người quét đối với đối tượng. Endpoint Security có thể nhập thủ công các chứng chỉ của ứng dụng bên thứ ba, như một quy trình đáng tin cậy thông qua ePolicy Orchestrator.

Trân trọng cám ơn quý độc giả.

Biên dịch Lê Toản – Help.pacisoft.com

Tagged: