Lenteur des performances ou erreurs causées par l’analyse antivirus

Problème

Après le déploiement de KONNEKT, les utilisateurs rencontrent un ou plusieurs des symptômes suivants sur les lecteurs mappés :

• La navigation dans les dossiers est sensiblement lente ou expire

• L’ouverture des fichiers prend beaucoup plus de temps que prévu

• Les téléversements de fichiers échouent par intermittence (des erreurs apparaissent sous Erreurs dans la fenêtre de l’Explorateur KONNEKT)

• L’icône de la barre d’état système KONNEKT devient brièvement rouge pendant une utilisation normale

Ces symptômes sont souvent intermittents, ils apparaissent à certains moments de la journée (généralement le matin) et se résolvent d’eux-mêmes après un certain temps.

Contexte

KONNEKT fonctionne en ligne. Chaque lecture de fichier sur un lecteur mappé KONNEKT entraîne une requête vers SharePoint Online via l’API Microsoft Graph. Microsoft applique des limites de limitation à ces requêtes. Lorsque la limite est dépassée, SharePoint Online répond avec HTTP 429 (Trop de requêtes) et KONNEKT doit attendre avant de réessayer.

L’analyse antivirus (AV) en temps réel est l’une des causes les plus fréquentes de limitation inattendue. Lorsqu’un logiciel AV analyse une lettre de lecteur KONNEKT, il lit chaque fichier qu’il rencontre. Chaque lecture de fichier consomme de la capacité API (appelée Unités de ressource). Un seul balayage AV d’une bibliothèque contenant 5 000 fichiers peut consommer une capacité API importante en très peu de temps, laissant peu de marge pour l’activité réelle des utilisateurs.

Cela affecte tous les produits AV en temps réel, notamment :

• Microsoft Defender for Endpoint

• CrowdStrike Falcon

• SentinelOne

• Sophos

• Autres plateformes de protection des terminaux

Remarque : Il ne s’agit pas d’un bug de KONNEKT ni de votre logiciel AV. Il s’agit d’un comportement attendu lorsqu’une analyse en temps réel est appliquée à un lecteur uniquement en ligne. La solution consiste à exclure les chemins KONNEKT de l’analyse en temps réel.

Solution

Ajoutez des exclusions pour les lettres de lecteur et les processus KONNEKT dans votre produit AV. Les étapes exactes dépendent de votre solution AV et de votre méthode de gestion.

Microsoft Defender via Intune (recommandé)

Si Protection contre les falsifications est gérée via Intune, vous devez configurer les exclusions via la stratégie de sécurité des points de terminaison Intune. Les commandes PowerShell ne fonctionneront pas lorsque la protection contre les falsifications est activée.

1. Ouvrez le centre d’administration Microsoft Intune

2. Accédez à Sécurité des points de terminaison > Antivirus

3. Créez ou modifiez une Microsoft Defender Antivirus stratégie

4. Sous Paramètres de configuration, ajoutez les éléments suivants :

Exclusions de chemin : ajoutez chaque lettre de lecteur KONNEKT utilisée par votre organisation, par ex. :

Exclusions de processus :

1. Attribuez la stratégie aux groupes d’appareils ou d’utilisateurs appropriés

2. Laissez le temps à la stratégie de se synchroniser avec les points de terminaison

Microsoft Defender via PowerShell (solution de secours)

Si la protection contre les falsifications n’est pas gérée via Intune, vous pouvez utiliser PowerShell :

Important : Remplacez M:\ et S:\ par les lettres de lecteur réellement utilisées dans votre déploiement KONNEKT. Si vous utilisez le mappage automatique, tenez compte des lettres de lecteur attribuées à vos utilisateurs.

Microsoft Defender - Règles de réduction de la surface d’attaque (ASR)

Si vous utilisez des règles ASR, consultez également "Action risquée bloquée" pour les exclusions KONNEKT supplémentaires requises pour ASR.

CrowdStrike Falcon

1. Ouvrez le Console Falcon

2. Accédez à Sécurité des points de terminaison > Stratégies de prévention

3. Sous Apprentissage automatique et / ou Exclusions de visibilité du capteur, ajoutez :

Exclusions de répertoire : Vos lettres de lecteur KONNEKT (par ex. M:\, S:\)

Exclusions de processus : Konnekt.exe, KonnektStarter.exe

SentinelOne

1. Ouvrez le Console de gestion SentinelOne

2. Accédez à Sentinels > Exclusions

3. Ajouter Exclusions de chemin pour vos lettres de lecteur KONNEKT

4. Ajouter Chemin du processus exclusions pour :

Autres produits AV

Pour tout autre produit AV, configurez les exclusions suivantes dans votre console de gestion de la protection des terminaux :

Comment vérifier le problème

Si vous n’êtes pas sûr que l’analyse AV soit à l’origine du problème, vous pouvez vérifier en suivant les étapes suivantes :

1. Ouvrez les Préférences de KONNEKT (clic droit sur l’icône KONNEKT dans la barre d’état système)

2. Réglez Niveau de journalisation sur Débogage (voir aussi Préparation du journal de débogage)

3. Reproduisez le comportement lent

4. Dans le journal de débogage, recherchez des entrées répétées indiquant une limitation (réponses HTTP 429 ou messages de nouvelle tentative) pendant des périodes où aucun utilisateur ne travaille activement avec des fichiers

Si vous voyez des entrées de limitation se produire à intervalles réguliers ou à des moments où des analyses AV planifiées sont configurées, cela indique fortement que l’analyse AV en est la cause.

Recommandation

Nous recommandons de configurer des exclusions AV pour les lettres de lecteur et les processus KONNEKT avant de déployer KONNEKT aux utilisateurs finaux. Cela empêche les incidents de limitation de se produire pendant le déploiement et évite les erreurs visibles par les utilisateurs qui peuvent générer des tickets de support inutiles.

Il est généralement recommandé de déployer ces exclusions via une stratégie Intune ou GPO afin de garantir qu’elles soient appliquées de manière cohérente sur tous les appareils.

Voir aussi : Attribut hors ligne, le mécanisme intégré de KONNEKT pour réduire l’utilisation de la bande passante due aux aperçus et à l’indexation.