Make IT Green
In een tijd waarin energie en klimaat belangrijke drijfveren vormen voor vernieuwing, is het tijd voor een groene golf in de IT. In deze blog roep ik de IT-wereld op om bewuster om te gaan met resources; hier valt namelijk nog veel te halen.
Wat is er mis?
Voor de meeste ‘mere mortals’ is het niet inzichtelijk wat er nu precies in een computer gebeurt. Maar geloof me, de meeste processen blinken nou niet bepaald uit in efficiëntie. Hierdoor zijn systemen eigenlijk altijd traag. In 30+ jaar heb ik computers zien groeien van systemen met één kopje geheugen en één CPU (werk-kabouter) naar systemen met volksstammen aan CPU’s en zwembaden aan geheugen. Computers zijn duizenden malen sneller geworden, en nóg zit ik op die krengen te wachten!
De oorzaak zit enerzijds in de software zelf die steeds minder op efficiëntie geschreven wordt, maar ook in zaken als anti-virus scanners en polling. In deze blog vraag ik met name aandacht voor de -in mijn ogen- grootste boosdoener; de anti-virus scanner! Doel is dat u straks zelf kan controleren of deze efficient werkt en eventueel direct op maandagmorgen bij IT kan vragen waarom er eigenlijk geen “anti-virus exclusions” zijn ingericht. Veel plezier alvast :-)
Anti-virus (a/v) producten zijn eigenlijk best bijzondere stukjes software. Je krijgt Microsoft Defender of een andere één-jaar-gratis-en-daarna-blijven-zeuren variant bij je computer en kijkt er eigenlijk verder niet meer naar om. We laten deze producten vervolgens al onze bestanden doorzoeken naar stukjes informatie die bekend staan als malware. Daarnaast sturen deze a/v producten soms ook zg. 'telemetrie-data’ terug naar de a/v leverancier - de natte droom van elke inlichtingendienst. Begrijp me goed, a/v scanners hebben zeker zin en ik roep dus niet op om ze domweg uit te zetten, maar we moeten er toch echt wel eens kritisch naar kijken.
Bij het scannen van onze bestanden wordt er normaal weinig onderscheid gemaakt of het überhaupt nuttig is om een bepaalde bestandstypen te scannen. Het scannen van uitvoerbare programma-bestanden als .exe en .dll is zeker nuttig, maar product-eigen data-bestanden zijn discutabel. Dit soort bestanden hebben meestal een eigen structuur die de a/v scanner niet kent. Zo kunnen HCL Notes/ Domino data-bestanden zelfs encrypted zijn, waardoor ze zonder juiste keys niet eens leesbaar zijn. Outlook gebruikt bijvoorbeeld .pst en .ost bestanden om data in op te slaan, AutoCad gebruikt .dwg en Oracle gebruikt .dbf bestanden. Dit soort data-bestanden kunnen makkelijk GB’s groot zijn, en worden bij de minste wijziging weer volledig opnieuw gescand op duizenden malware-patronen.
Gedurende het scannen heeft jouw programma ‘even’ geen toegang tot de inhoud van het bestand en staat het letterlijk in de wacht; je computer is dan ‘weer eens vreeslijk traag’ – en is het weer tijd om voor een nieuwe computer te gaan klagen.
Vervelende is dat de lijst met bekende malware periodiek wordt bijgewerkt, waarna alle bestanden sowieso opnieuw gecontroleerd moeten worden; het houdt dus niet op! Je systeem is er dus lekker druk mee. Tijdens 'optimale-storm' momenten kan je jouw systeem soms zelfs helemaal niet meer gebruiken.
Inzicht verkrijgen
Grofweg kan je de impact van de a/v scanner mooi zien in de Windows TaskManager (ctrl-shift-esc) > Performance. Klik met je rechter muisknop op de grafiek en selecteer de optie “Show Kernel Times”. Een donkere tint in de grafiek laat daarna zien hoeveel rekenkracht is gebruikt voor zg. “kernel-taken”. De Anti-virus scanner draait normaal gesproken in kernel-mode en zit daarmee in dat donkere deel. Bij slecht geconfigureerde systemen kan de a/v-scanner een significant deel van je CPU-kabouters bezig houden.
Oplossen
Om dit op te lossen helpt het niet om jezelf vast te lijmen aan vloer van de IT afdeling. Wel moet er onderzoek gedaan worden naar welke grote(hoeveelheden) bestanden op het systeem niet gescand hoeven te worden. Denk bijvoorbeeld aan de .pst en .ost .dwg .nsf en .dbf bestanden, maar ook aan afbeeldingen, muziek en filmpjes.
Soms is in de a/v software zelf te zien welke bestanden op een bepaald moment gescand worden. Kijk dan met name kritisch naar de bestanden waar de scan lang duurt/ druk is.
Voor Microsoft Defender kan je gebruik maken van "Performance analyzer for Microsoft Defender Antivirus". Met twee PowerShell commando's kan een beheerder meer inzicht krijgen over het scangedrag van Microsoft Defender. Met name de optie -TopExtensions is handig om te bepalen welke bestandstypes veel/ langdurig gescand worden.
Bij de leverancier van een programma (Autocad, Notes, Oracle, etc) is meestal goed na te gaan welke bestanden uitgesloten moeten worden voor de a/v scanner. Dit noemen we “anti-virus exclusions”. Deze bestandstypes zijn in de instellingen van je anti-virus product op te geven onder ‘Exclusions’. Ons advies is om alleen third-party data-bestanden uit te sluiten. Sluit zeker geen uitvoerbare bestanden, of hele folders uit. En nee, jouw a/v scanner doet het niet automagisch goed.
Vervelende is dat dit niet alleen speelt op je eigen computer, maar ook op fysieke servers én virtuele servers in de cloud. Niet zelden heb ik te maken met IT-beheerders die weigeren om anti-virus exclusions te configureren. Idee is dat er toch voldoende resources zijn, of de a/v scanners zelf wel bepalen welke bestanden wel/ niet gescand moeten worden. Dit is alsof je het hele jaar door blijft rijden met een dakkoffer op je auto. Ja, de auto doet het nog, maar het verbruik is drastisch hoger.
Daarom roep ik mijn collega's in de IT op om meer proactief, bewust bepaalde data-only bestanden uit te gaan sluiten. Zowel op werkplekken als op servers. Controleer ook of de uitgesloten bestanden in een ander merk a/v-oplossing, niet alsnog gescand worden door Microsoft Defender. Vanuit Silverside kunnen wij uiteraard prima adviseren en "anti-virus exclusion" tests uitvoeren om te controleren of de a/v scanner op uw systemen efficient werkt.
Eindgebruikers en afnemers van IT diensten adviseer ik om hun IT staf/ partners te vragen om de a/v-exclusions goed in te richten. Als klant betaal je immers ook mee aan die grotere servers, die x-procent van de tijd nutteloos werk staan te doen.