scancache

Cache-Einstellungen für die Suche

Der OfficeScan Client kann eine digitale Signatur erstellen und bei Bedarf Dateien aus dem Cache durchsuchen, um die Suchleistung zu verbessern. Bei einer bedarfsorientierten Suche überprüft der Client zuerst die Cache-Datei mit den digitalen Signaturen und dann die Cache-Datei nach Dateien, die von der Suche ausgeschlossen werden sollen. Die Suchdauer wird reduziert, wenn viele Dateien von der Suche ausgeschlossen werden.

Digitaler Signatur-Cache

Die Cache-Datei mit den digitalen Signaturen wird während der manuellen Suche, der zeitgesteuerten Suche und der Sofortsuche verwendet. Clients durchsuchen keine Dateien, deren Cache zur Cache-Datei mit den digitalen Signaturen hinzugefügt wurde.

Der OfficeScan Client verwendet das gleiche Pattern für digitale Signaturen, das bei der Verhaltensüberwachung zur Erstellung der Datei mit den digitalen Signaturen verwendet wird. Das Pattern für digitale Signaturen enthält eine Liste von Dateien, die Trend Micro als vertrauenswürdig erachtet und deshalb von der Suche ausschließt.

• Die Verhaltensüberwachung wird auf Windows Server-Plattformen automatisch deaktiviert und kann auf 64-Bit-Plattformen nicht verwendet werden. Wenn der digitale Signature-Cache aktiviert ist, laden Clients auf diesen Plattformen das digitale Signatur-Pattern zur Verwendung im Cache herunter. Die Komponenten der Verhaltensüberwachung werden aber nicht heruntergeladen.

Clients erstellen die Cache-Datei mit den digitalen Signaturen nach einem Zeitplan, der auf der Webkonsole konfiguriert werden kann. Clients tun dies, um:

• Den Cache für neue Dateien hinzuzufügen, die seit der letzten Erstellung der Cache-Datei in das System eingeführt wurden

• Den Cache für Dateien zu entfernen, die verändert oder aus dem System gelöscht wurden

Während der Cache-Erstellung überprüfen die Clients folgende Ordner nach vertrauenswürdigen Dateien und fügen dann den Cache für diese Dateien zur Cache-Datei mit den digitalen Signaturen hinzu:

• %PROGRAMFILES%

• %WINDIR%

Die Cache-Erstellung kann hat keine Auswirkung auf die Leistung eines Computers, da die Clients während dieses Prozesses nur minimale System-Ressourcen benötigen. Clients können auch eine bereits begonnene Cache-Erstellung wieder fortsetzen, wenn dieser Vorgang aus einem bestimmten Grund abgebrochen wurde (zum Beispiel, wenn der Rechner von der Stromquelle getrennt wurde oder wenn der Akku eines drahtlosen Computers abgesteckt wurde).

Cache für die On-Demand-Suche

Die Cache-Datei für die bedarfsgesteuerte Suche wird während der manuellen Suche, der zeitgesteuerten Suche und der Sofortsuche verwendet. Clients durchsuchen keine Dateien, deren Cache zur Cache-Datei für die bedarfsgesteuerte Suche hinzugefügt wurde.

Bei jeder Suche überprüft der Client die Eigenschaften der bedrohungsfreien Dateien. Wenn eine bedrohungsfreie Datei in einem bestimmten (konfigurierbaren) Zeitraum nicht verändert wurde, fügt der Client den Cache der Datei zur Cache-Datei für die bedarfsgesteuerte Suche hinzu. Bei der nächsten Suche wird diese Datei dann nicht durchsucht, wenn ihr Cache nicht abgelaufen ist.

Der Cache einer bedrohungsfreien Datei läuft nach einer bestimmten (ebenfalls konfigurierbaren) Anzahl von Tagen ab. Wird die Suche bei oder nach Ablauf des Caches durchgeführt, entfernt der Client den abgelaufenen Cache und durchsucht die Datei nach Bedrohungen. Ist die Datei bedrohungsfrei und bleibt unverändert, wird der Cache der Datei wieder zur Cache-Datei für die bedarfsgesteuerte Suche hinzugefügt. Ist die Datei bedrohungsfrei, wurde aber vor kurzem verändert, wird der Cache nicht hinzugefügt, und die Datei wird bei der nächsten Suche wieder durchsucht.

Der Cache einer bedrohungsfreien Datei läuft ab, um den Auschluss infizierter Dateien von der Suche, wie in den folgenden Beispielen dargestellt, zu verhindern:

• Es ist möglich, dass eine stark veraltete Pattern-Datei eine infizierte, nicht veränderte Datei als bedrohungsfrei eingestuft hat. Wenn der Cache nicht abläuft, verbleibt die infizierte Datei im System, bis sie verändert und von der Echtzeitsuche entdeckt wird.

• Wenn eine gecachte Datei verändert wurde und die Echtzeitsuche zum Zeitpunkt der Dateiänderung nicht funktionsfähig war, muss der Cache ablaufen, damit die veränderte Datei nach Bedrohungen durchsucht werden kann.

Die Anzahl der Caches, die zur Cache-Datei für die bedarfsgesteuerte Suche hinzugefügt werden können, hängt von der Art der Suche und dem jeweiligen Ziel ab. Zum Beispiel könnte die Anzahl der Caches geringer sein, wenn der Client bei der manuellen Suche nur 200 an Stelle der 1.000 Dateien auf einem Computer durchsucht hat.

Wenn häufig bedarfsgesteuerte Suchen durchgeführt werden, reduziert die Cache-Datei für die bedarfsgesteuerte Suche den Suchzeitaufwand erheblich. Bei einer Aufgabe, bei der kein Cache abgelaufen ist, kann eine durchschnittliche Suchdauer von 12 Minuten auf 1 Minute reduziert werden. Reduziert man die Anzahl von Tagen, die eine Datei unverändert bleiben muss, und verlängert man die Ablaufzeit des Cache, erhöht sich normalerweise die Leistung. Da Dateien nur während einer relativ kurzen Zeitdauer unverändert bleiben müssen, können mehr Caches zur Cache-Datei hinzugefügt werden. Außerdem verlängert sich die Ablaufdauer der Caches, weshalb mehr Dateien von der Suche ausgeschlossen werden können.

Wenn nur selten bedarfsgesteuerte Suchen durchgeführt werden, können sie den Cache dafür deaktivieren, da die Caches ohnehin bis zur nächsten Suche abgelaufen sind.

Cache-Einstellungen für die Suche konfigurieren:

• Netzwerkcomputer > Client-Verwaltung

1. Klicken Sie in der Client-Hierarchie auf das Stammsymbol , um alle Clients einzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.

2. Klicken Sie auf Einstellungen > Berechtigungen und andere Einstellungen.

3. Klicken Sie auf die Registerkarte Andere Einstellungen, und gehen Sie zum Abschnitt Cache-Einstellungen für die Suche.

4. Konfigurieren Sie die Einstellungen für den digitalen Signatur-Cache.

1. Wählen Sie Digitalen Signatur-Cache aktivieren.

2. Unter Den Cache alle __ Tage erstellen geben Sie an, wie oft der Client den Cache erstellen soll.

5. Konfigurieren Sie die Einstellungen für den Cache der bedarfsgesteuerten Suche.

1. Wählen Sie Cache für die bedarfsgesteuerte Suche aktivieren.

2. Unter Cache für sichere Dateien hinzufügen, die unverändert sind seit __ Tagen geben Sie Anzahl von Tagen an, die eine Datei unverändert sein muss, bevor sie gecacht wird.

3. Unter Der Cache für eine sichere Datei läuft ab innerhalb von __ Tagen geben Sie die Anzahl von Tagen an, die ein Cache in der Cache-Datei verbleibt.

• Um zu verhindern, dass alle Caches, die bei einer Suche hinzugefügt wurden, am selben Tag ablaufen, laufen die Caches zufallsgesteuert innerhalb der angegebenen Anzahl von Tagen ab. Wenn zum Beispiel an einem Tag 500 Caches zum Cache hinzugefügt wurden und Sie haben als maximale Ablauffrist 10 Tage angegeben, läuft ein Bruchteil der Caches am nächsten Tag und die Mehrzahl der Caches an den darauffolgenden Tagen ab. Am zehnten Tag laufen dann alle übrigen Caches ab.

6. Klicken Sie bei der Auswahl von Domäne(n) oder Client(s) in der Client-Hierarchie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionen auswählen:

• Auf alle Clients anwenden: Wendet die Einstellungen auf alle vorhandenen Clients und auf neu zu einer vorhandenen / zukünftigen Domäne hinzukommende an. Zukünftige Domänen sind Domänen, die bei der Konfiguration der Einstellungen noch nicht vorhanden waren.

• Nur auf zukünftige Domänen anwenden: Wendet die Einstellungen nur auf Clients an, die zu zukünftigen Domänen hinzukommen. Bei dieser Option werden die Einstellungen nicht auf Clients angewendet, die neu zu einer vorhandenen Domäne hinzukommen.