SIECIOWY SYSTEM ARCHIWIZACJI I BACKUPU DANYCH
Program do backupu - Ferro Backup System
       
Identyfikator artykułu : FS-FBS-20090421-I01
Ostatnia weryfikacja : 18 luty 2016
Wersja : 1.2


Uwaga antywirus! Wpływ programu antywirusowego na komputer

Uwaga antywirus! Wpływ programów antywirusowych na komputerArtykuł omawia mechanizmy działania monitora antywirusowego, jego wpływ na stacje robocze i serwer backupu. W dalszej części proponowane są sposoby odpowiedniej konfiguracji monitora antywirusowego do pracy w środowisku biznesowym.



Wstęp
UwagaArtykuł dotyczy wszystkich programów antywirusowych, nawet usługi Windows Defender

Oprogramowanie antywirusowe jest często porównywane do lekarstwa - lekarstwa na infekcję wirusową. Kontynuując tę analogię, przed zaaplikowaniem leku powinniśmy się zastanowić jak go stosować i w jakich dawkach. Korzystanie z narzędzi do walki z infekcją wirusową w nieprzemyślany sposób, może bowiem bardziej zaszkodzić niż pomóc.

Skutki uboczne działania programów antywirusowych
  • Spowolnienie backupu (nawet do 6 razy wolniej)
  • Odczuwalny dyskomfort pracy użytkowników na komputerze podczas backupu
  • Błędy odczytu (stacja robocza) i błędy zapisu (serwer backupu) danych na dysku
  • Przerywanie backupu przy zamykaniu systemu



Zasada działania monitora antywirusowego
Monitor antywirusowy jest przeważnie częścią składową pakietu oprogramowania antywirusowego. Działa jako sterownik jądra systemu operacyjnego lub częściej jako ministerownik filtru systemu plików. Jest nazywany programem rezydentnym (ang. TSR - terminate and stay resident) - działa cały czas od włączenia do wyłączenia komputera. Jego zadaniem jest ciągła analiza odczytywanych i zapisywanych danych i odpowiednia reakcja na wykryty złośliwy kod. Działa on na zasadzie filtru, który przepuszcza lub blokuje przepływające dane. Jeżeli aplikacja zapisuje lub odczytuje dane z dysku twardego, monitor antywirusowy przechwytuje te wywołania, dokonuje ich analizy i albo zezwala na dokończenie operacji We/Wy albo w przypadku wykrycia złośliwego kodu, podejmuje wcześniej zdefiniowaną akcję. Akcja taka polega najczęściej na zablokowaniu operacji dyskowej i zgłoszenie alertu lub próbie "wyleczenia" poprzez usunięcie danych zawierających kod wirusa. W przypadku, gdy monitor nie wykryje szkodliwego kodu, dane swobodnie przepływają w obie strony. Termin "swobodnie" służy w tym wypadku do zobrazowania teoretycznego modelu działania monitora antywirusowego i nie należy, o czym przekonamy się za chwilę, brać go dosłownie.


Wpływ monitora antywirusowego na operacje odczytu danych z dysku
Podczas analizy przepływających danych, proces monitora antywirusowego pochłania zasoby komputera. Wykorzystywana jest moc procesora i pamięć RAM. To, ile zasobów jest wykorzystywanych przez monitor, zależy od ustawień programu antywirusowego (analiza heurystyczna, skanowanie archiwów, etc.) oraz od optymalizacji algorytmów detekcji szkodliwego kodu przez producenta programu. Niektóre programy antywirusowe w większym stopniu wykorzystują zasoby komputera inne w mniejszym, jednak nawet te najlepsze mają niekorzystny wpływ na wydajność komputera. Cykle procesora wykorzystane na wyszukiwanie szkodliwego kodu nie mogą być wykorzystane przez aplikację, z której korzysta użytkownik. Przy obecnych, szybkich procesorach, gdy niemal zawsze podczas prac biurowych dysponujemy sporym zapasem mocy, wpływ obciążenia procesora przez monitor antywirusowy może nie być zbyt istotny, jednak innym aspektem tego samego parametru jest czas - czas potrzebny na wykonanie algorytmu filtrowania. Właśnie wydłużenie czasu operacji dyskowych jest najbardziej odczuwalny i uciążliwy dla użytkownika komputera, a także (o czym mowa będzie w dalszej części artykułu) dla administratora sieci komputerowej. Każda operacja IO wymaga czasu. Niezależnie od tego jakim dyskiem dysponujemy (S-ATA, SCSI, SSD) i jaka jest jego szybkość, każda operacja zajmie mniej lub więcej czasu. Zawsze dążymy do tego, aby dysponować jak najszybszym napędem, ponieważ im dysk wolniejszy, tym mniejszy komfort pracy. Jednak instalując monitor antywirusowy trzeba mieć na uwadze to, że jego działanie może zniwelować korzyści płynące ze stosowania nowoczesnych, szybkich dysków twardych. Rezydentna ochrona antywirusowa, przy wyłączonych opcjach heurystycznej analizy kodu (czyli tych najbardziej czasochłonnych), spowalnia operacje odczytu danych od 15% do 100%. Przy włączonych opcjach zaawansowanej analizy, skanowania archiwów i plików poczty, narzut czasowy wzrasta do 250-600%. Oznacza to, że przy włączonym monitorze antywirusowym, operacje dyskowe mogą być wykonywane nawet sześć razy wolniej [1, 2, 4].

O ile w warunkach domowych, czy podczas prostych prac biurowych, to czy dokument zostanie otwarty w ciągu 50 ms czy w ciągu 300 ms, nie ma dużego znaczenia, to w przypadku automatycznych procesów operujących na dużej liczbie plików, takich jak archiwizacja danych, taka różnica ma kolosalne znaczenie.

Przypuśćmy, że chcemy wykonać backup całego dysku twardego komputera biurowego. W przypadku systemu Windows Vista Home Basic samych tylko plików systemowych jest 36 tys. Do tego należy dodać ok. 15 tys. plików użytkownika. Backup 51 tys. plików powinien zostać wykonany w przeciągu ok. 30 minut, nie przeszkadzając przy tym w normalnej pracy użytkownikowi komputera. Po uaktywnieniu rezydentnej ochrony antywirusowej, czas archiwizacji może wzrosnąć do kilku godzin, przy jednoczesnym znacznym zmniejszeniu komfortu pracy użytkownika spowodowanym dużym obciążeniem CPU.

Rys. 1 Obciążenie CPU przez proces monitora antywirusowego w trakcie backupu (serwer plików)

Rys. 1 Obciążenie CPU przez proces monitora antywirusowego w trakcie backupu (serwer plików)

W przypadku serwerów plików, gdzie nierzadko znajduje się ponad 500 tys. plików, pełny backup przy aktywnym monitorze antywirusowym, może zająć nawet kilkadziesiąt godzin. W większości wypadków, z tego powodu, dokończenie backupu w ogóle nie będzie możliwe.

Do wymienionych problemów należy jeszcze dodać możliwość blokowania przez monitor antywirusowy części lub całości plików. Jest to spowodowane tym, że niektóre programy antywirusowe w pewnych sytuacjach starają się sprawdzić (lub "wyleczyć") plik w tym samym czasie, w którym inna aplikacja rozpoczęła już odczyt pliku. Sytuacja taka może prowadzić do pojawiania się błędów systemowych: "Nie można odnaleźć pliku", "Nie można otworzyć pliku" lub "Podana ścieżka jest nieprawidłowa". W przypadku zmapowanych dysków sieciowych lub skompresowanych woluminów może również występować błąd odczytu parametrów pliku. Przykładowo, gdy rzeczywisty rozmiar pliku to 100 kB, zakłócenia spowodowane przez oprogramowanie antywirusowe mogą prowadzić do pojawienia się rozmiaru 0 bajtów lub rozmiaru mierzonego w PB [3]. Pojawienie się jednego z tych błędów spowoduje, że dany plik zostanie pominięty podczas archiwizacji (jednak odpowiednia informacja zostanie zapisana w Dzienniku zdarzeń FBS Server).

Opisane powyżej problemy dotyczą stacji roboczych i mogą powodować odczuwalne zmniejszenie komfortu pracy użytkownika (komputer działa powoli) oraz administratora (kopie wykonują się długo lub nie mogą się zakończyć w przewidzianym czasie) lub skutkować pominięciem archiwizacji pliku z powodu błędu odczytu. Znacznie bardziej poważne problemy mogą wystąpić tam, gdzie monitor antywirusowy oddziałuje na operacje zapisu.


Antywirus na serwerze backupu
Serwer backupu jest odpowiedzialny za odbiór i zapis przesyłanych przez stacje robocze archiwów. Do tego dochodzi zapis i modyfikacja bazy danych oraz dodatkowe operacje na archiwach, wykonywane podczas zwalniania miejsca na dysku i podczas replikacji.

Jak już to było opisane w przypadku stacji roboczych, monitor antywirusowy spowalnia operacje IO lub je blokuje. Spowolnienie operacji zapisu, choć może wydawać się niegroźne, nie wpływa jedynie na zmniejszenie szybkości backupu, przygotowywanie zadań po tronie serwera, czy odzyskiwanie danych. Jeżeli nie archiwizujemy dużej liczby komputerów i szybkość backupu nie ma dla nas istotnego znaczenia, można by przyjąć, że monitor antywirusowy na serwerze backupu, na którym nikt nie pracuje (backup automatyczny na podstawie harmonogramu), nikomu nie będzie przeszkadzał. Problem w tym, że w przypadku baz danych, opóźnienia na poziomie 1-2 sek. oraz brak możliwości zablokowania części pliku bazodanowego przez serwer, mogą przyczyniać się do powstawania błędów typu "transaction timeout" i do zatrzymania serwera bazodanowego lub do naruszenia integralności bazy. Nie dotyczy to tylko bazy danych programu FBS Server, ale także baz danych i systemów pocztowych innych producentów [5, 6, 7, 8].
Rys. 2 Cykliczne skanowanie pliku archiwum przez monitor antywirusowy podczas backupu
Rys. 2 Cykliczne skanowanie pliku archiwum przez monitor antywirusowy podczas backupu


W przypadku Ferro Backup System, baza danych pełni tylko rolę pomocniczą. Zawiera ustawienia programu i logi systemowe. Dane te nie są jednak niezbędne przy odtwarzaniu danych. Wpływ monitora antywirusowego ma zatem większe znaczenie w przypadku operacji zapisu samych kopii zapasowych. Stacje robocze przesyłają do serwera backupu pakiety zawierające fragmenty archiwów ZIP. FBS Server odbiera i zapisuje je na dysku twardym. W tym czasie, monitor antywirusowy wykrywa operacje zapisu i podejmuje próby analizy zapisywanych informacji (rys. 2). Większość programów antywirusowych rozpoznaje, że dany plik jest plikiem w formacie ZIP i stara się przeskanować jego zawartość. Akcja tego typu mocno obciąża procesor i na długo blokuje operację zapisu wykonywaną przez FBS Server. Sytuacja taka może prowadzić do zerwania połączenia ze stacją roboczą oraz próbą retransmisji ostatniego pakietu. W przypadku gdy monitor antywirusowy wykryje, że w przesyłanym archiwum znajduje się plik zawierający szkodliwy kod i podejmie próbę jego "wyleczenia", może to doprowadzić do powstania uszkodzonej kopii zapasowej. Z tego samego powodu uszkodzenie może powstać później - w trakcie replikacji archiwów lub podczas zwalniania miejsca na dysku, kiedy to przenoszone są pliki między archiwami różnicowymi.

Aby nie dopuścić do opisanych powyżej problemów, należy odpowiednio skonfigurować oprogramowanie antywirusowe.


Zalecana konfiguracja monitora antywirusowego na stacjach roboczych
Do dyspozycji mamy przeważnie dwie możliwości:
  1. Wykluczenie procesu FBSWorker.exe w opcjach monitora antywirusowego (w Windows Defender także). Możliwość wykluczenia określonego procesu jest dostępna w większości programów antywirusowych. Po wykluczeniu procesu FBSWorker.exe, program antywirusowy nie będzie śledził dyskowych operacji IO wykonywanych przez ten proces.

  2. Wyłączenie monitora antywirusowego przed archiwizacja i ponowne uruchomienie po archiwizacji. Aby wyłączyć monitor antywirusowy, należy wykonać polecenie NET STOP NAZWA_USLUGI_MONITORA AV. W celu ponownego uruchomienia, trzeba wykonać polecenie NET START NAZWA_USLUGI_MONITORA AV. Oba polecenia mogą być wykonywane automatycznie przez Polecenia zdalne wbudowane w Ferro Backup System.

Zalecana konfiguracja monitora antywirusowego na serwerze backupu
W przypadku serwera archiwizacji należy rozważyć następujące rozwiązania:
  1. Deinstalacja monitora antywirusowego i okresowe sprawdzanie dysków przy pomocy skanera antywirusowego. Sprawdzanie dysków może być uruchamiane automatycznie przez wbudowany w program antywirusowy programator lub przez Harmonogram zadań Windows (polecenie AT).

  2. Wykluczenie procesu FBSServer.exe w opcjach monitora antywirusowego.

  3. Wykluczenie ze skanowania przez monitor antywirusowy bazy danych programu FBS Server (plik FBSDatabase.abs) oraz wszystkich katalogów, do których są zapisywane archiwa.



Podsumowanie
Programy antywirusowe, które na bieżąco śledzą dyskowe operacje IO w celu wykrywania i zabezpieczania przed wirusami, obciążają procesor i prowadzą do spadku szybkości odczytu i zapisu danych. W przypadku użytku domowego lub prac biurowych związanych z przetwarzaniem niewielkiej liczby plików, wpływ monitora antywirusowego jest mało odczuwalny. Przy operacjach na tysiącach plików, lub w przypadku serwera archiwizacji, na którym przechowywana jest baza danych oraz gdzie są zapisywane archiwa o sporych rozmiarach, działanie monitora może znacznie obciążać procesor i zmniejszać szybkość archiwizacji. W niektórych sytuacjach, filtry monitora antywirusowego mogą zakłócać operacje zapisu. Sytuacja taka może doprowadzić zarówno do utraty integralności bazy danych programu, jak i do uszkodzeń struktury plików kopii zapasowych. W środowisku biznesowym monitor antywirusowy musi być zatem poprawnie skonfigurowany, aby nie miał negatywnego wpływu na procesy wykonywane automatycznie. W komputerach dedykowanych do konkretnych zadań, takich jak np. serwery archiwizacji, należy zastanowić się nad całkowitą deinstalacją monitora antywirusowego i okresowym sprawdzaniem dysków przy pomocy skanera antywirusowego, uruchamianego przy pomocy wbudowanego lub zewnętrznego harmonogramu. Jeżeli oprogramowanie antywirusowe dysponuje możliwością wykluczenia z monitorowania wskazanych procesów, należy wykluczyć procesy wchodzące w skład systemu archiwizacji danych.


Literatura
[1] Anti-virus software may impact Visual SourceSafe performance
http://support.microsoft.com/kb/274051

[2] Configuring Antivirus Software
http://technet.microsoft.com/en-us/library/cc161430.aspx

[3] A 0-byte file may be returned when compression is enabled on a server that is running IIS
http://support.microsoft.com/kb/817442/

[4] Performance Tuning Guidelines for Windows Server 2008
http://download.microsoft.com/download/b/b/5/bb50037f-e4ae-40d1-a898-7cdfcf0ee9d8/All-Up/WS08PerformanceTuningGuideFinal_En.docx

[5] Considerations when using antivirus software on ISA Server
http://technet.microsoft.com/en-us/library/cc707727.aspx

[6] Error message when you view a POP3 e-mail account with antivirus software installed: The operation timed out waiting for a response from the receiving (POP) server 0x8004210a
http://support.microsoft.com/kb/813518

[7] Unable to create a new log file because the database cannot write to the log drive
http://technet.microsoft.com/en-us/library/bb218678.aspx

[8] "The information store terminated abnormally" error message and event ID 447 is logged
http://support.microsoft.com/kb/810190

Wpływ programu antywirusowego na szybkość komputera. Antywirus a backup komputera
Wszelkie prawa zastrzeżone. © 2000-2022 FERRO Software