最近有公司的机械工程师反映,在日常机械设计过程中,电脑经常会卡住,在重启计算机的过程中,赛门铁克SEP的端点会提示正在扫描并询问是否关闭。他们怀疑计算机卡住的原因是由于杀毒软件强行启动扫描病毒,造成的机器变慢卡住。
于是我们在服务器端检查了当前的杀毒计划任务,对比客户端的杀毒日志发现,计算机杀毒的时间并未在我们指定的计划任务时间之内。之后我们我们判断是由于客户端在指定的时间段,当时CPU占用率高或者离线,于是之前的任务未被执行,后续这个任务被重置重新执行了。于是我们修改了策略,限制了扫描时间最长为1小时,并且禁止重试。
但是我们下发了新的策略之后,相关的工程师反映情况并未好转,于是我们联系赛门铁克技术支持热线,8008103992求助symantec工程师,经过咨询我们得知,SEP端点的杀毒任务,除了计划扫描任务之外,还有一种活动扫描。查看客户端的扫描日志我们发现,非计划时间内的扫描确实均为活动扫描如下图(红框内显示为Defwatch的均为活动扫描),其余为调度扫描:
通过和Symantec工程师沟通,我们了解到产生活动扫描的原因是当我们下发一条新的策略给客户端,或者推送新的病毒库到客户端之后,客户端都会自动进行一次“活动扫描”。取消活动扫描的方法如下:
1、登录进入SEPM控制台,选择策略,病毒和软件防护策略
2、选中要编辑的策略,右键选择“编辑”
3、切换到“管理员定义的扫描”,确认“调度扫描”的时间,并点击“高级”标签
4、默认我们可以看到“新的定义到达时运行活动扫描”是默认勾选的
5、我们取消掉这个复选框
6、将新的策略下发给我们要生效的组即可完成整个配置了。