Última verificación : 18 de febrero de 2016
Versión : 1.2
¡Atención, antivirus! Influencia del programa antivirus en la computadora
El artículo trata el mecanismo de funcionamiento del monitor de antivirus, su influencia en las estaciones de trabajo y en el servidor de respaldo. En la parte posterior, se proponen métodos de configuración adecuada del monitor antivirus para trabajar en un entorno empresarial.
Introducción
Este artículo se aplica a todos los programas antivirus, incluso Windows DefenderEl software antivirus a menudo se compara con una cura: una cura para una infección de virus. Continuando con la analogía, antes de administrar un medicamento, debemos considerar cómo usarlo y en qué dosis. El uso de herramientas para combatir una infección viral de una manera imprudente puede hacer más daño que bien.
Efectos secundarios de los programas antivirus
- Ralentización de la copia de seguridad (hasta 6 veces más lenta)
- Incomodidad perceptible del trabajo de los usuarios en la computadora durante la copia de seguridad
- Errores de lectura (estación de trabajo) y errores de escritura (servidor de respaldo) de datos en el disco
- Cancelación de la copia de seguridad al apagar el sistema
Principio de funcionamiento del monitor antivirus
El monitor antivirus suele formar parte del paquete de software antivirus. Actúa como un controlador del núcleo del sistema operativo o, más comúnmente, como un ministro de filtro del sistema de archivos. Se suele llamar como programa residente (en inglés, TSR - terminate and stay resident) - se ejecuta todo el tiempo desde que se enciende hasta que se apaga la computadora. Su tarea es analizar constantemente los datos leídos y escritos y reaccionar adecuadamente al código malicioso detectado. Funciona como un filtro que permite o bloquea el flujo de datos. Si la aplicación escribe o lee datos del disco duro, el monitor antivirus intercepta estas llamadas, las analiza y permite que se complete la operación de E/S o, si detecta un código malicioso, realiza una acción predefinida. Tal acción generalmente consiste en bloquear la operación del disco y reportar una alerta o en un intento de "curar" borrando los datos que contienen el código del virus. Si el monitor no detecta ningún código malicioso, los datos fluyen libremente en ambas direcciones. El término "libremente" se usa en este caso para ilustrar el modelo teórico de la operación del monitor antivirus y, como veremos en un momento, no debe tomarse literalmente.Influencia del monitor antivirus en las operaciones de lectura de datos del disco
Mientras analiza los datos que fluyen, el proceso del monitor antivirus consume recursos de la computadora. Se utilizan la potencia del procesador y la memoria RAM. La cantidad de recursos utilizados por el monitor depende de la configuración del programa antivirus (análisis heurístico, escaneo de archivos, etc.) y de la optimización de los algoritmos de detección de códigos maliciosos por parte del fabricante del programa. Algunos programas antivirus usan más recursos de su computadora que otros, pero incluso los mejores programas antivirus tienen un impacto negativo en el rendimiento de su computadora. Los ciclos de CPU utilizados para buscar código malicioso no pueden ser utilizados por la aplicación del usuario. Con los procesadores rápidos de hoy en día, cuando casi siempre tenemos mucha energía de sobra durante el trabajo de oficina, el impacto de la carga en el procesador por parte del monitor antivirus puede no ser demasiado significativo, pero otro aspecto del mismo parámetro es el tiempo. - el tiempo necesario para ejecutar el algoritmo de filtrado. Es la prolongación del tiempo de operación del disco lo que es más notorio y oneroso para el usuario de la computadora, y también (que se discutirá más adelante en el artículo) para el administrador de la red informática. Cada operación de E/S lleva tiempo. Independientemente del tipo de disco que tengamos (S-ATA, SCSI, SSD) y su velocidad, cada operación llevará más o menos tiempo. Siempre nos esforzamos por tener la conducción más rápida posible, porque cuanto más lenta es la conducción, menos cómodo es trabajar. Sin embargo, al instalar un monitor antivirus, debe tener en cuenta que su funcionamiento puede anular los beneficios del uso de discos duros modernos y rápidos. La protección antivirus residente, con las opciones de análisis de código heurístico desactivadas (es decir, las que consumen más tiempo), ralentiza las operaciones de lectura de datos entre un 15 % y un 100 %. Con las opciones de análisis avanzado, archivado y escaneo de archivos de correo habilitados, la sobrecarga de tiempo aumenta a 250-600%. Esto significa que con el monitor antivirus activado, las operaciones del disco se pueden realizar incluso seis veces más lento [1, 2, 4].Ya sea en casa o durante un simple trabajo de oficina, si un documento se abre dentro de los 50 ms o dentro de los 300 ms tiene poca importancia, en el caso de procesos automáticos que operan en una gran cantidad de archivos, como el archivo de datos, tal diferencia es de gran importancia.
Asumamos que deseamos realizar la copia de seguridad de todo el disco duro de la computadora de oficina. En el caso de Windows Vista Home Basic, existen unos 36.000 archivos del sistema. A esto, se debe añadir, aproximadamente, otros 15.000 archivos de usuario. La copia de seguridad de 51.000 archivos debería realizarse en unos 30 minutos, sin interferir en el trabajo del usuario de la computadora. Después de activar la protección antivirus residente, el tiempo de la copia de seguridad puede aumentar a varias horas, al tiempo que reduce significativamente la comodidad de trabajo del usuario debido a la alta carga de la CPU.
Dibujo 1. Carga de la CPU por parte del proceso del monitor antivirus durante la copia de seguridad (servidor de archivos)
A los problemas enumerados, se debe agregar la posibilidad de bloquear algunos o todos los archivos por parte del monitor antivirus. Esto se debe a que, en determinadas situaciones, algunos programas antivirus intentan comprobar (o "curar") un archivo al mismo tiempo que otra aplicación ya ha comenzado a leer el archivo. Esto puede provocar errores del sistema como "No se puede encontrar el archivo", "No se puede abrir el archivo" o "La ruta dada no es válida". Las unidades de red asignadas o los volúmenes comprimidos también pueden fallar al leer los parámetros del archivo. Por ejemplo, cuando el tamaño real del archivo es de 100 kB, la interferencia del software antivirus puede dar como resultado un tamaño de 0 bytes o un tamaño medido en PB [3]. La aparición de alguno de esos errores causará la omisión de ese archivo durante la copia de seguridad (sin embargo, la información adecuada sobre esto será registrada en el Registro de eventos de FBS Server).
Los problemas descritos anteriormente se refieren a las estaciones de trabajo y pueden influir en la comodidad del trabajo del usuario (la computadora funciona lentamente) y del administrador (las copias de seguridad de realizan lentamente o no pueden terminar en el tiempo previsto) u ocasionar la omisión de algunos archivos debido a los errores de lectura. Pueden ocurrir problemas mucho más serios cuando el monitor antivirus interfiere con las operaciones de escritura.
Antivirus en el servidor de respaldo
Servidor de respaldo es el responsable de recibir y guardar las copias de seguridad enviadas por las estaciones de trabajo. A esto se suma el guardado y modificación de la base de datos y operaciones adicionales en archivos, realizadas al liberar espacio en el disco y durante la replicación.Como ya se ha descrito en el caso de las estaciones de trabajo, el monitor antivirus ralentiza las operaciones de E/S o las bloquea. Ralentizar la operación de escritura, aunque pueda parecer inofensivo, no afecta únicamente a la reducción de la velocidad de la copia de seguridad si no también a la preparación de tareas del lado del servidor o la recuperación de datos. Si no archivamos una gran cantidad de computadoras y la velocidad de la copia de seguridad no es importante para nosotros, se puede suponer que el monitor antivirus en el servidor de copia de seguridad donde nadie está trabajando (copia de seguridad automática basada en un cronograma) no molestará a nadie. El problema es que en el caso de las bases de datos, los retrasos de 1-2 segundos y la incapacidad de bloquear una parte del archivo de la base de datos por parte del servidor puede contribuir a errores de "tiempo de espera de transacción" y detener el servidor de la base de datos o violar la integridad de la base de datos. Esto no se aplica solo a la base de datos del programa FBS Server, sino también a las bases de datos y sistemas de correo electrónico de otros fabricantes [5, 6, 7, 8].
Dibujo 2. Escaneo cíclico de archivos por parte del monitor antivirus durante la copia de seguridad |
En el caso de Ferro Backup System, la base de datos juega solo un papel auxiliar. Contiene la configuración del programa y los registros del sistema. Sin embargo, estos datos no son necesarios para la recuperación de datos. Por lo tanto, la influencia del monitor antivirus es más importante en el caso de operaciones de escritura de solo copia de seguridad. Las estaciones de trabajo envían paquetes que contienen fragmentos de archivos ZIP al servidor de respaldo. FBS Server los recibe y los guarda en el disco duro. Durante este tiempo, el monitor antivirus detecta operaciones de escritura e intenta analizar la información guardada (Dibujo 2). La mayoría de los programas antivirus reconocen que un archivo determinado es un archivo ZIP e intentan escanear su contenido. Este tipo de acción supone una gran carga para el procesador y bloquea la operación de escritura realizada por FBS Server durante mucho tiempo. Tal situación puede provocar la ruptura de la conexión con la estación de trabajo y un intento de retransmitir el último paquete. Si el monitor antivirus detecta que la copia de respaldo cargada contiene un archivo que contiene un código malicioso e intenta "curarlo", puede generar una copia de seguridad dañada. Por la misma razón, la corrupción puede ocurrir más tarde: durante la replicación de copias de seguridad comprimidas o mientras se libera espacio en el disco cuando las copias de seguridad se mueven entre archivos diferenciales.
Para evitar los problemas descritos anteriormente, debe configurar correctamente su software antivirus.
Configuración recomendada del monitor antivirus en estaciones de trabajo
Por lo general, hay dos opciones disponibles:- Exclusión del proceso FBSWorker.exe en las opciones del monitor antivirus (también en Windows Defender). La capacidad de excluir un proceso específico está disponible en la mayoría de los programas antivirus. Después de excluir el proceso FBSWorker.exe, el programa antivirus no rastreará las operaciones de E/S del disco realizadas por este proceso.
- Apagar el monitor antivirus antes de la copia de seguridad y reiniciarlo después del archivado. Para apagar el monitor antivirus, debe ejecutarse el comando NET STOP NOMBRE_DEL_SERVICIO_DEL_MONITOR AV. Para reiniciar el servicio, se debe ejecutar el siguiente comando NET START NOMBRE_DEL_SERVICIO_DEL_MONITOR AV. Ambos comandos pueden ser ejecutados automáticamente por Comandos a distancia integrados en Ferro Backup System.
Configuración recomendada del monitor antivirus en el servidor de respaldo
Para el servidor de archivos, considere las siguientes soluciones:- Desinstalar el monitor antivirus y verificar periódicamente los discos con un escáner de virus. La verificación del disco puede ser ejecutada automáticamente por el programador integrado en el programa antivirus o por el Programador de tareas de Windows (comando AT).
- Exclusión del proceso FBSServer.exe en las opciones del monitor antivirus.
- Excluyendo la base de datos del servidor FBS (archivo FBSDatabase.abs) y todos los directorios en los que se guardan las copias de seguridad para que no sean escaneadas por el monitor antivirus.
Resumen
Los programas antivirus que supervisan continuamente las operaciones de E/S del disco para detectar y proteger contra virus, cargan el procesador y reducen la velocidad de lectura y escritura de datos. En el caso de un uso doméstico o trabajo de oficina relacionado con el procesamiento de una pequeña cantidad de archivos, el impacto del monitor antivirus no es notorio. Cuando se trabaja con miles de archivos, o en el caso de un servidor de archivo donde se almacenan las bases de datos y donde se almacenan archivos grandes, las operaciones del monitor pueden cargar significativamente el procesador y reducir la velocidad de la copia de seguridad. En algunas situaciones, los filtros del monitor de virus pueden interferir con las operaciones de escritura. Tal situación puede llevar tanto a la pérdida de la integridad de la base de datos del programa como a daños en la estructura del archivo de copia de seguridad. Por lo tanto, en un entorno empresarial, el monitor antivirus debe configurarse correctamente para que no afecte negativamente a los procesos ejecutados automáticamente. En computadoras dedicadas a tareas específicas, como servidores de respaldo, debe considerar desinstalar completamente el monitor antivirus y verificar periódicamente los discos con un escáner antivirus, activado por un programador incorporado o externo. Si el software antivirus tiene la opción de excluir los procesos indicados del monitoreo, los procesos incluidos en el sistema de archivo de datos deben ser excluidos.Literatura
[1] Anti-virus software may impact Visual SourceSafe performance
http://support.microsoft.com/kb/274051
[2] Configuring Antivirus Software
http://technet.microsoft.com/en-us/library/cc161430.aspx
[3] A 0-byte file may be returned when compression is enabled on a server that is running IIS
http://support.microsoft.com/kb/817442/
[4] Performance Tuning Guidelines for Windows Server 2008
http://download.microsoft.com/download/b/b/5/bb50037f-e4ae-40d1-a898-7cdfcf0ee9d8/All-Up/WS08PerformanceTuningGuideFinal_En.docx
[5] Considerations when using antivirus software on ISA Server
http://technet.microsoft.com/en-us/library/cc707727.aspx
[6] Error message when you view a POP3 e-mail account with antivirus software installed: The operation timed out waiting for a response from the receiving (POP) server 0x8004210a
http://support.microsoft.com/kb/813518
[7] Unable to create a new log file because the database cannot write to the log drive
http://technet.microsoft.com/en-us/library/bb218678.aspx
[8] "The information store terminated abnormally" error message and event ID 447 is logged
http://support.microsoft.com/kb/810190
http://support.microsoft.com/kb/274051
[2] Configuring Antivirus Software
http://technet.microsoft.com/en-us/library/cc161430.aspx
[3] A 0-byte file may be returned when compression is enabled on a server that is running IIS
http://support.microsoft.com/kb/817442/
[4] Performance Tuning Guidelines for Windows Server 2008
http://download.microsoft.com/download/b/b/5/bb50037f-e4ae-40d1-a898-7cdfcf0ee9d8/All-Up/WS08PerformanceTuningGuideFinal_En.docx
[5] Considerations when using antivirus software on ISA Server
http://technet.microsoft.com/en-us/library/cc707727.aspx
[6] Error message when you view a POP3 e-mail account with antivirus software installed: The operation timed out waiting for a response from the receiving (POP) server 0x8004210a
http://support.microsoft.com/kb/813518
[7] Unable to create a new log file because the database cannot write to the log drive
http://technet.microsoft.com/en-us/library/bb218678.aspx
[8] "The information store terminated abnormally" error message and event ID 447 is logged
http://support.microsoft.com/kb/810190