Rendimiento lento o errores causados por el análisis antivirus

Problema

Después de implementar KONNEKT, los usuarios experimentan uno o más de los siguientes síntomas en las unidades asignadas:

• La navegación por las carpetas es notablemente lenta o supera el tiempo de espera

• Abrir archivos tarda mucho más de lo esperado

• Las cargas de archivos fallan intermitentemente (los errores aparecen bajo Errores en la ventana del Explorador de KONNEKT)

• El icono de KONNEKT en la bandeja cambia brevemente a rojo durante el uso normal

Estos síntomas suelen ser intermitentes, aparecen en determinadas horas del día (normalmente por las mañanas) y se resuelven por sí solos después de un tiempo.

Antecedentes

KONNEKT funciona en línea. Cada lectura de un archivo en una unidad asignada de KONNEKT genera una solicitud a SharePoint Online a través de la API de Microsoft Graph. Microsoft aplica límites de limitación a estas solicitudes. Cuando se supera el límite, SharePoint Online responde con HTTP 429 (Demasiadas solicitudes) y KONNEKT debe esperar antes de volver a intentarlo.

El análisis antivirus (AV) en tiempo real es una de las causas más comunes de una limitación inesperada. Cuando el software AV analiza una letra de unidad de KONNEKT, lee todos los archivos que encuentra. Cada lectura de archivo consume capacidad de la API (llamada Unidades de recurso). Un único análisis AV de una biblioteca con 5.000 archivos puede consumir una capacidad significativa de la API en muy poco tiempo, dejando poco margen para la actividad real del usuario.

Esto afecta a todos los productos AV en tiempo real, incluidos:

• Microsoft Defender for Endpoint

• CrowdStrike Falcon

• SentinelOne

• Sophos

• Otras plataformas de protección de endpoints

Nota: Esto no es un error en KONNEKT ni en su software AV. Es un comportamiento esperado cuando se aplica el análisis en tiempo real a una unidad exclusiva en línea. La solución es excluir las rutas de KONNEKT del análisis en tiempo real.

Solución

Agregue exclusiones para las letras de unidad y los procesos de KONNEKT en su producto AV. Los pasos exactos dependen de su solución AV y del método de administración.

Microsoft Defender mediante Intune (recomendado)

Si Tamper Protection se administra mediante Intune, debe configurar las exclusiones a través de la directiva de Seguridad de endpoints de Intune. Los comandos de PowerShell no funcionarán cuando Tamper Protection esté habilitado.

1. Abra el centro de administración de Microsoft Intune

2. Navega a Seguridad de endpoints > Antivirus

3. Cree o edite una directiva de Microsoft Defender Antivirus directiva

4. Bajo Configuración, agregue lo siguiente:

Exclusiones de ruta: agregue cada letra de unidad de KONNEKT que use su organización, por ejemplo:

Exclusiones de procesos:

1. Asigne la directiva a los grupos de dispositivos o usuarios adecuados

2. Espere a que la directiva se sincronice con los puntos de conexión

Microsoft Defender mediante PowerShell (alternativa)

Si Tamper Protection está no administrado mediante Intune, puede usar PowerShell:

Importante: Reemplace M:\ y S:\ por las letras de unidad reales usadas en su implementación de KONNEKT. Si usa asignación automática de unidades, considere qué letras de unidad se asignan a sus usuarios.

Reglas de Microsoft Defender - Reducción de la superficie de ataque (ASR)

Si usa reglas ASR, consulte también "Acción arriesgada bloqueada" para ver las exclusiones adicionales de KONNEKT requeridas para ASR.

CrowdStrike Falcon

1. Abra el Consola Falcon

2. Navega a Seguridad de endpoints > Directivas de prevención

3. Bajo Machine Learning y / o Exclusiones de visibilidad del sensor, agregue:

Exclusiones de directorio: Las letras de unidad de KONNEKT (por ejemplo M:\, S:\)

Exclusiones de procesos: Konnekt.exe, KonnektStarter.exe

SentinelOne

1. Abra el Consola de administración de SentinelOne

2. Navega a Sentinels > Exclusiones

3. Añadir Exclusiones de ruta para las letras de unidad de KONNEKT

4. Añadir Ruta del proceso exclusiones para:

Otros productos AV

Para cualquier otro producto AV, configure las siguientes exclusiones en su consola de administración de protección de endpoints:

Cómo verificar el problema

Si no está seguro de si el análisis AV está causando el problema, puede comprobarlo siguiendo estos pasos:

1. Abra el KONNEKT Preferencias (haga clic derecho en el icono de KONNEKT en la bandeja)

2. Establezca Nivel de registro a Depuración (véase también Preparación del registro de depuración)

3. Reproduzca el comportamiento lento

4. En el registro de depuración, busque entradas repetidas que indiquen limitación (respuestas HTTP 429 o mensajes de reintento) durante períodos en los que ningún usuario esté trabajando activamente con archivos

Si ve entradas de limitación que ocurren a intervalos regulares o durante momentos en los que están configurados análisis programados de AV, esto indica claramente que el análisis AV es la causa.

Recomendación

Recomendamos configurar exclusiones AV para las letras de unidad y los procesos de KONNEKT antes antes de implementar KONNEKT para los usuarios finales. Esto evita que se produzcan incidentes de limitación durante el despliegue y evita errores visibles para el usuario que pueden generar tickets de soporte innecesarios.

En general, se recomienda implementar estas exclusiones mediante directiva de Intune o GPO para garantizar que se apliquen de forma coherente en todos los dispositivos.

Ver también: Atributo sin conexión, el mecanismo integrado de KONNEKT para reducir el uso de ancho de banda de las vistas previas y la indexación.