On Demand Scans 101

On Demand Scans 101

DearBytesBlogOn Demand Scans 101

On Demand Scans

On Demand Scans met McAfee VirusScan Enterprise (VSE) worden omhangen met wat mythen en onduidelijkheden. Daarnaast is er door McAfee van VSE 8.8 Patch 4 op Patch 5 een verandering doorgevoerd in hoe VirusScan omgaat met de systeembelasting. En die verandering in On Demand Scans geldt dus ook voor VirusScan Enterprise 8.8 Patch 6.

Scan Threads

Klanten die een upgrade uitvoeren van VSE 8.8 Patch 4 naar Patch 6 merken vaak op dat daarna tijdens On Demand Scans meer CPU gebruikt wordt en dat systemen langzamer worden tijdens een ODS dan voorheen. Dit betekent niet noodzakelijk dat er sprake is van incorrecte functionaliteit.

Eigenlijk was er sprake van een issue met VSE 8.8 Patch 4, waardoor er tijdens On Demand Scans maar 1 scan thread gebruikt werd. Hier had natuurlijk niemand last van, omdat systeembelasting tijdens On Demand Scans daardoor laag was, lager dan voorheen. Met de komst van Patch 5 is dat ‘issue’ opgelost, waardoor systeembelasting weer is zoals door McAfee bedacht. VirusScan gebruikt normaal gesproken 6 scan threads.

Maar als de systeembelasting als te hoog wordt ervaren, zijn er dan nog configuratie-opties? En wat is eigenlijk een te hoge systeembelasting? Wat is de definitie?

Systeembelasting

In de configuratie van On Demand Scans kan ingesteld worden wat de ‘System Utilization’ van de scan zal zijn:

System Utilization setting On Demand Scan taak ePO

System Utilization setting On Demand Scan taak ePO

Er zijn drie mogelijkheden: Low, Below Normal en Normal. Deze instelling gaat echter niet over de percentage belasting van de CPU. Het is de prioriteit waarmee het scanproces draait onder Windows.

Het heeft de voorkeur om te kiezen voor Low, waardoor de prioriteit van het scanproces laag is. Dat betekent nog steeds dat tijdens een On Demand Scan het processorgebruik op of tegen de 100% zit. Wanneer een eindgebruiker een andere taak uitvoert, zoals het opstarten van Outlook, dan heeft dat voorrang op de On Demand Scan, waardoor de vertraging van het opstarten van Outlook minimaal is.

Tweaks

In algemene zin wordt aangeraden om de volgende aanpassingen mee te nemen in On Demand Scans om de prestaties te bevorderen:

  • Enable de scan cache (bestanden die reeds gescand zijn met de huidige DAT worden overgeslagen)
  • Voer dagelijkse gerichte scans uit op risicovolle locaties
  • Voer een wekelijkse volledige ODS uit
  • Maak gebruik van uitzonderingen waar nodig, zoals op een Exchange server

Mocht het zo zijn dat systemen ondanks alle instellingen nog steeds als onwerkbaar worden ervaren, dan is er nog de mogelijkheid om zelf het aantal scan threads in te stellen. Dit is echter een setting die niet centraal vanuit ePolicy Orchestrator in te stellen valt, maar dient lokaal op ieder systeem in de registry te worden opgenomen. Het uitrollen van zoiets dergelijks kan uiteraard via een group policy.

Die wijziging kan op de volgende manier worden uitgevoerd:

  1. Stop Access Protection in de console van VirusScan Enterprise

    VSE Console Disable Access Protection

    VSE Console Disable Access Protection

  2. Start de Windows Registry Editor en ga naar de volgende sleutel:
    HKLMSoftwareWow6432NodeMcAfeeDesktopProtectionTasks
  3. Maak één of meerdere van de volgende DWORD waarden aan:
    1. dwMaxThreadsNormal – Voor een ODS met de system utilization op Normal.
    2. dwMaxThreadsBelowNormal – Voor een ODS met de system utilization op Below Normal.
    3. dwMaxThreadsLow – Voor een ODS met de system utilization op Low.
  4. Pas de waarde van de DWORD waarde(n) aan, afhankelijk van hoeveel scan threads er gebruikt moeten worden. Het getal 1 is één scan thread. Het getal 2 zijn twee scan threads, enzovoorts.

Er is getest op een systeem met een Core i5 dual core CPU, een SSD en Windows 8.1. Dit liet zien dat tijdens een ODS met de system utilization op Low en 1 scan thread, het maximale CPU gebruik rond de 35% lag.

Als de McAfee standaardinstellingen ervoor zorgen dat systemen gaan hangen en onwerkbaar worden, dan is het algemene advies om de On Demand Scan op Low te zetten en 1 scan thread per CPU core te configureren. Voor een dual core systeem zijn dat dus bijvoorbeeld 2 scan threads.

Regelmatige On Demand Scans configureren

Een configuratie van een ODS is een process wat bestaat uit twee stappen:

  • De locaties die worden gescand
  • De regelmaat van de scan

De locaties die worden gescand
Regelmatige On Demand Scans zouden (minimaal) de volgende locaties moeten scannen:

  • Memory for rootkits
  • Running processes
  • All local drives
  • Cookies
  • Registry

Daarbij moeten de volgende opties ook geconfigureerd worden:

  • Include subfolders
  • Scan boot sectors

De regelmaat van de scan
Normaal gesproken is het advies om éénmaal per week een ODS uit te voeren. Andere opties zijn:

  • Dagelijks – alleen tijdens virusuitbraak
  • Maandelijks – Redelijke beveiliging met enig risico
  • Per kwartaal – Het absolute minimum, relatief hoog risico

Mocht u nog vragen hebben over de VirusScan On Demand Scan functionaliteit, neem dan contact op met DearBytes Support.