Performances lentes ou erreurs causées par l’analyse antivirus

Problème

Après le déploiement de KONNEKT, les utilisateurs rencontrent un ou plusieurs des symptômes suivants sur les lecteurs mappés :

• La navigation dans les dossiers est nettement lente ou expire

• L’ouverture des fichiers prend beaucoup plus de temps que prévu

• Les téléversements de fichiers échouent de manière intermittente (des erreurs apparaissent sous Erreurs dans la fenêtre de l’Explorateur KONNEKT)

• L’icône de la zone de notification KONNEKT devient brièvement rouge pendant l’utilisation normale

Ces symptômes sont souvent intermittents, ils apparaissent à certaines heures de la journée (généralement le matin) et se résolvent d’eux-mêmes après un certain temps.

Contexte

KONNEKT fonctionne en ligne. Chaque lecture de fichier sur un lecteur mappé KONNEKT entraîne une requête vers SharePoint Online via l’API Microsoft Graph. Microsoft applique des limites de limitation de débit à ces requêtes. Lorsque la limite est dépassée, SharePoint Online répond avec HTTP 429 (Trop de requêtes) et KONNEKT doit attendre avant de réessayer.

L’analyse antivirus (AV) en temps réel est l’une des causes les plus courantes de limitation de débit inattendue. Lorsque le logiciel AV analyse une lettre de lecteur KONNEKT, il lit chaque fichier qu’il rencontre. Chaque lecture de fichier consomme de la capacité de l’API (appelée Unités de ressources). Une seule analyse AV d’une bibliothèque de 5 000 fichiers peut consommer une capacité API importante en très peu de temps, laissant peu de marge pour l’activité réelle des utilisateurs.

Cela affecte tous les produits antivirus en temps réel, y compris :

• Microsoft Defender for Endpoint

• CrowdStrike Falcon

• SentinelOne

• Sophos

• Autres plateformes de protection des terminaux

Remarque : Il ne s’agit pas d’un bug dans KONNEKT ni dans votre logiciel antivirus. Ce comportement est attendu lorsque l’analyse en temps réel est appliquée à un lecteur uniquement en ligne. La solution consiste à exclure les chemins KONNEKT de l’analyse en temps réel.

Solution

Ajoutez des exclusions pour les lettres de lecteur KONNEKT et les processus dans votre produit antivirus. Les étapes exactes dépendent de votre solution AV et de votre méthode de gestion.

Microsoft Defender via Intune (recommandé)

Si Tamper Protection est géré via Intune, vous devez configurer les exclusions via la stratégie de sécurité des terminaux Intune. Les commandes PowerShell ne fonctionneront pas lorsque Tamper Protection est activé.

1. Ouvrez le centre d’administration Microsoft Intune

2. Accédez à Sécurité des terminaux > Antivirus

3. Créez ou modifiez une stratégie Microsoft Defender Antivirus stratégie

4. Sous Paramètres de configuration, ajoutez les éléments suivants :

Exclusions de chemins : ajoutez chaque lettre de lecteur KONNEKT utilisée par votre organisation, par ex. :

Exclusions de processus :

1. Attribuez la stratégie aux groupes d’appareils ou d’utilisateurs appropriés

2. Laissez le temps à la stratégie de se synchroniser avec les terminaux

Microsoft Defender via PowerShell (solution de secours)

Si Tamper Protection est non géré via Intune, vous pouvez utiliser PowerShell :

Important : Remplacez M:\ et S:\ par les lettres de lecteur réelles utilisées dans votre déploiement KONNEKT. Si vous utilisez le mappage automatique, tenez compte des lettres de lecteur attribuées à vos utilisateurs.

Règles Microsoft Defender - Réduction de la surface d’attaque (ASR)

Si vous utilisez des règles ASR, consultez également «Action à risque bloquée» pour connaître les exclusions KONNEKT supplémentaires requises pour ASR.

CrowdStrike Falcon

1. Ouvrez le Console Falcon

2. Accédez à Sécurité des terminaux > Stratégies de prévention

3. Sous Apprentissage automatique et / ou Exclusions de visibilité des capteurs, ajoutez :

Exclusions de répertoire : Vos lettres de lecteur KONNEKT (par ex. M:\, S:\)

Exclusions de processus : Konnekt.exe, KonnektStarter.exe

SentinelOne

1. Ouvrez le Console de gestion SentinelOne

2. Accédez à Sentinels > Exclusions

3. Ajouter Exclusions de chemin pour vos lettres de lecteur KONNEKT

4. Ajouter Chemin du processus exclusions pour :

Autres produits antivirus

Pour tout autre produit antivirus, configurez les exclusions suivantes dans la console de gestion de votre protection des terminaux :

Comment vérifier le problème

Si vous n’êtes pas sûr que l’analyse antivirus soit à l’origine du problème, vous pouvez le vérifier en suivant les étapes ci-dessous :

1. Ouvrez le KONNEKT Préférences (cliquez avec le bouton droit sur l’icône KONNEKT dans la zone de notification)

2. Définissez Niveau de journalisation sur Débogage (voir aussi Préparation du journal de débogage)

3. Reproduisez le comportement lent

4. Dans le journal de débogage, recherchez des entrées répétées indiquant une limitation de débit (réponses HTTP 429 ou messages de nouvelle tentative) pendant les périodes où aucun utilisateur ne travaille activement sur des fichiers

Si vous voyez des entrées de limitation de débit se produire à intervalles réguliers ou pendant les périodes où des analyses planifiées de l’antivirus sont configurées, cela indique fortement que l’analyse antivirus en est la cause.

Recommandation

Nous recommandons de configurer des exclusions antivirus pour les lettres de lecteur KONNEKT et les processus avant avant de déployer KONNEKT auprès des utilisateurs finaux. Cela évite que des incidents de limitation de débit ne surviennent pendant le déploiement et évite les erreurs visibles par les utilisateurs, qui peuvent générer des tickets de support inutiles.

Il est généralement recommandé de déployer ces exclusions via une stratégie Intune ou une GPO afin de garantir qu’elles soient appliquées de manière cohérente sur tous les appareils.

Voir aussi : Attribut hors ligne, le mécanisme intégré de KONNEKT pour réduire l’utilisation de la bande passante liée aux aperçus et à l’indexation.