Desempenho lento ou erros causados pela verificação do antivírus

Problema

Após a implementação do KONNEKT, os utilizadores experienciam um ou mais dos seguintes sintomas nas unidades mapeadas:

• A navegação nas pastas é visivelmente lenta ou expira

• A abertura de ficheiros demora muito mais do que o esperado

• Os carregamentos de ficheiros falham intermitentemente (os erros aparecem em Erros na janela do KONNEKT Explorer)

• O ícone do KONNEKT na bandeja fica brevemente vermelho durante a utilização normal

Estes sintomas são frequentemente intermitentes, aparecem durante certas horas do dia (normalmente de manhã) e resolvem-se por si próprios passado algum tempo.

Contexto

O KONNEKT funciona online. Cada leitura de ficheiro numa unidade mapeada do KONNEKT resulta num pedido ao SharePoint Online através da API Microsoft Graph. A Microsoft aplica limites de limitação a estes pedidos. Quando o limite é excedido, o SharePoint Online responde com HTTP 429 (Demasiados Pedidos) e o KONNEKT tem de esperar antes de tentar novamente.

A análise em tempo real do antivírus (AV) é uma das causas mais comuns de limitação inesperada. Quando o software AV analisa uma letra de unidade do KONNEKT, lê todos os ficheiros que encontra. Cada leitura de ficheiro consome capacidade da API (denominada Unidades de Recurso). Uma única análise AV de uma biblioteca com 5.000 ficheiros pode consumir capacidade significativa da API num período muito curto, deixando pouca margem para a atividade real do utilizador.

Isto afeta todos os produtos AV em tempo real, incluindo:

• Microsoft Defender for Endpoint

• CrowdStrike Falcon

• SentinelOne

• Sophos

• Outras plataformas de proteção de endpoints

Nota: Isto não é um erro no KONNEKT nem no seu software AV. É o comportamento esperado quando a análise em tempo real é aplicada a uma unidade apenas online. A solução é excluir os caminhos do KONNEKT da análise em tempo real.

Solução

Adicione exclusões para as letras de unidade e processos do KONNEKT no seu produto AV. Os passos exatos dependem da sua solução AV e do método de gestão.

Microsoft Defender via Intune (recomendado)

Se Proteção contra adulteração for gerida através do Intune, tem de configurar exclusões através da política de Segurança de Endpoint do Intune. Os comandos PowerShell não funcionarão quando a Proteção contra adulteração estiver ativada.

1. Abra o centro de administração do Microsoft Intune

2. Navegue para Segurança de endpoint > Antivírus

3. Crie ou edite uma política do Microsoft Defender Antivirus política

4. Em Definições de configuração, adicione o seguinte:

Exclusões de caminho: adicione cada letra de unidade do KONNEKT que a sua organização utiliza, por exemplo:

Exclusões de processo:

1. Atribua a política aos grupos de dispositivos ou utilizadores apropriados

2. Aguarde algum tempo para que a política sincronize com os endpoints

Microsoft Defender via PowerShell (alternativa)

Se a Proteção contra adulteração não for gerida através do Intune, pode utilizar o PowerShell:

Importante: Substitua M:\ e S:\ pelas letras de unidade reais utilizadas na sua implementação do KONNEKT. Se utilizar mapeamento automático, considere quais as letras de unidade atribuídas aos seus utilizadores.

Microsoft Defender - regras de Redução da Superfície de Ataque (ASR)

Se utilizar regras ASR, consulte também "Ação arriscada bloqueada" para exclusões adicionais do KONNEKT necessárias para ASR.

CrowdStrike Falcon

1. Abra o Consola Falcon

2. Navegue para Segurança de endpoint > Políticas de prevenção

3. Em Aprendizagem automática e / ou Exclusões de visibilidade do sensor, adicione:

Exclusões de diretório: As suas letras de unidade do KONNEKT (por ex. M:\, S:\)

Exclusões de processo: Konnekt.exe, KonnektStarter.exe

SentinelOne

1. Abra o Consola de Gestão SentinelOne

2. Navegue para Sentinels > Exclusões

3. Adicione Exclusões de caminho para as suas letras de unidade do KONNEKT

4. Adicione Caminho do processo exclusões para:

Outros produtos AV

Para qualquer outro produto AV, configure as seguintes exclusões na consola de gestão da proteção de endpoints:

Como verificar o problema

Se não tiver a certeza de que a análise AV está a causar o problema, pode verificar utilizando os seguintes passos:

1. Abra as Preferências do KONNEKT (clique com o botão direito no ícone do KONNEKT na bandeja)

2. Defina Nível de registo para Depuração (consulte também Preparação do registo de depuração)

3. Reproduza o comportamento lento

4. No registo de depuração, procure entradas repetidas que indiquem limitação (respostas HTTP 429 ou mensagens de repetição) durante períodos em que nenhum utilizador está a trabalhar ativamente com ficheiros

Se vir entradas de limitação a ocorrer em intervalos regulares ou durante horas em que as análises agendadas do AV estão configuradas, isso indica fortemente a análise AV como causa.

Recomendação

Recomendamos configurar exclusões AV para letras de unidade e processos do KONNEKT antes de implementar o KONNEKT para os utilizadores finais. Isto evita que ocorram incidentes de limitação durante a implementação e evita erros visíveis para o utilizador que possam gerar pedidos de suporte desnecessários.

Geralmente, recomenda-se implementar estas exclusões através de política do Intune ou GPO para garantir que são aplicadas de forma consistente em todos os dispositivos.

Consulte também: Atributo offline, o mecanismo incorporado do KONNEKT para reduzir o uso de largura de banda de pré-visualizações e indexação.