最近有公司的機械工程師反映,在日常機械設計過程中,電腦經常會卡住,在重啓計算機的過程中,賽門鐵克SEP的端點會提示正在掃描並詢問是否關閉。他們懷疑計算機卡住的原因是由於殺毒軟件強行啓動掃描病毒,造成的機器變慢卡住。
於是我們在服務器端檢查了當前的殺毒計劃任務,對比客戶端的殺毒日誌發現,計算機殺毒的時間並未在我們指定的計劃任務時間之內。之後我們我們判斷是由於客戶端在指定的時間段,當時CPU佔用率高或者離線,於是之前的任務未被執行,後續這個任務被重置重新執行了。於是我們修改了策略,限制了掃描時間最長爲1小時,並且禁止重試。
但是我們下發了新的策略之後,相關的工程師反映情況並未好轉,於是我們聯繫賽門鐵克技術支持熱線,8008103992求助symantec工程師,經過諮詢我們得知,SEP端點的殺毒任務,除了計劃掃描任務之外,還有一種活動掃描。查看客戶端的掃描日誌我們發現,非計劃時間內的掃描確實均爲活動掃描如下圖(紅框內顯示爲Defwatch的均爲活動掃描),其餘爲調度掃描:
通過和Symantec工程師溝通,我們瞭解到產生活動掃描的原因是當我們下發一條新的策略給客戶端,或者推送新的病毒庫到客戶端之後,客戶端都會自動進行一次“活動掃描”。取消活動掃描的方法如下:
1、登錄進入SEPM控制檯,選擇策略,病毒和軟件防護策略
2、選中要編輯的策略,右鍵選擇“編輯”
3、切換到“管理員定義的掃描”,確認“調度掃描”的時間,並點擊“高級”標籤
4、默認我們可以看到“新的定義到達時運行活動掃描”是默認勾選的
5、我們取消掉這個複選框
6、將新的策略下發給我們要生效的組即可完成整個配置了。
新的策略下發生效之後,我們發現客戶端盡在我們制定的計劃掃描時間段內纔開始掃描動作了,至此問題解決,和各位遇到同樣問題的朋友分享:)