stackebrandt
Goto Top

Performance-Probleme bei Einsatz von SAFEGUARD LANCrypt am XP-Client

Domäne Win 2003 Server; Clients Win XP, SafeGuard LANCrypt 3.61.0.25, Symantec Endpoint Protection 11.0.6200.754 und einige Applikationen

Sehr geehrter Leser,

nach Einführung von LANCrypt (heute: FA. Sophos) ist auf unseren Client-PCs ein auffälliger Perfomance-Verlust festzustellen. Das Browsen mit dem Windows-Explorer durch Verzeichnisse des File-Servers stellt die Nutzer vor eine Geduldsprobe. Die lokale Last des Rechners ist sehr gering, aber beim Öffnen von relativ umfangreichen Ordnern (ca 100 Elemente - egal ob verschlüsselt oder nicht) tritt eine signifikante Verzögerung ein.

Wer konnte solche Probleme ebenfalls feststellen? Was hat dagegen wirklich geholfen?


Bin dankbar für jeden Vorschlag zur Verbesserung der Lage.

Dirk Stackebrandt

Content-ID: 171984

Url: https://administrator.de/contentid/171984

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

DeSiato
DeSiato 26.08.2011 um 07:46:27 Uhr
Goto Top
Hallo Dirk,

ich habe leider dasselbe Problem, nutze allerdings LANCrypt 3.71 und habe Trendmicro Officescan als Virenscanner installiert. Da hier noch keiner geantwortet hat können wir vielleicht das Problem eingrenzen.
Folgende Dinge habe ich bereits ausprobiert die alle nix gebracht haben:
- Client-Virenscanner stoppen
- andere "Hintergrund"-Software beenden (wie Telefonmonitor (Xphone), Outlook, Ticketsystem, etc.)
- anderen PC genutzt
- Laufwerk C: in die Ignore-Liste getan
- Festplatte aufgeräumt, Scandisk+Defrag

Welche Aktionen hast du denn bislang vollzogen?

Gruß Micha
DeSiato
DeSiato 26.08.2011 um 07:58:20 Uhr
Goto Top
stackebrandt
stackebrandt 29.08.2011 um 11:04:08 Uhr
Goto Top
Hallo Micha,

als Client benutzen wir auch LANCrypt 3.71 (Die andere Versionsnummer ist der Server bei uns.)

Unsere Versuche:
- Erweiterung Hauptspeicher
- Eintrag "*" als Default Ignore Regel
- Einspielen von SAVCE_KSTACKMinFree.reg (gegen System-Freeze bei Symantec Endpoint 11.0)
- Unhandled Apllikations: winlogon.exe, niagnt32.exe
- Unhandled Drives: C, D, J, usw. (haben viele Netz-LW's)

Wir benutzen eine rel. freie Regel zum Verschlüsseln: _Ordnername_\*.*
stackebrandt
stackebrandt 29.08.2011 um 11:04:41 Uhr
Goto Top
ja, dort treibe ich michauch rum und versuche eine Lösung zu erhalten....
Kummerkasten
Kummerkasten 25.01.2012 um 22:49:06 Uhr
Goto Top
Mal eine Frage wie schaut es bei Euch aus läuft nun alles?

Zudem welche genau Client und Server Version ist im Einsatz.

Für die 3.71 gibt es ja bereits Patch's zudem sollte die AV in die GPO aufgenommen werden. Da hier 2 Filtertreiber sich um die Dateien streiten face-wink
stackebrandt
stackebrandt 26.01.2012 um 09:17:27 Uhr
Goto Top
Hallo Kummerkasten,

Patche scheinen ein guter Tip zu sein: werde sie installieren und dann Bescheid geben später (bin aber erst einmal für 5Wochen in Mexico, kann deshalb erst Anfang März umsetzen.
Bis Später
Kummerkasten
Kummerkasten 26.01.2012 um 22:34:45 Uhr
Goto Top
Ok dann viel Spaß

Was aber ggf. noch wichtig ist wann ist die Performance schlecht wenn Windows gestartet wird oder wenn der SGLC Schlüssel auf grün gesprungen ist und das Profil geladen ist oder beim arbeiten am PC?

Kannst das mal verifizieren?

Zudem wurde ich.............

Vordem Profilladen eine Default Ignore Rule auf *.* setzen die ist nur gültig solange kein Profil geladen wird.

Die AV eintrage in die GPO welche verwendet wird weiter Info dazu im Handbuch Admin face-wink

Ich würde auch immer absolute Regel verwenden zum verschlüsselten......

Wenn z.B C:\ nicht verschlüsselt wird dann ausnehmen als Ignore Rule c:\*.*


Hier mal den KB warum der patch verwendet werden sollte:

SafeGuard LAN Crypt 3.71: Performance issue with SafeGuard LAN Crypt

Issue
In some cases it has been noticed that when SafeGuard LAN Crypt Client 3.71.0.19 has been installed on a PC it can cause performance issues, for example when opening a new tab on the internet or starting an application e.g. Office.

Known to apply to the following Sophos product(s) and version(s)
SafeGuard LAN Crypt 3.71.0.19

Operating System
Windows 7
Windows XP
Windows Vista
What To Do

This issue has been solved with the release of patch (3.71.1.2) for SafeGuard LAN Crypt client 3.71.0.19. Please install the patch to solve this issue.
DeSiato
DeSiato 27.01.2012 um 08:57:00 Uhr
Goto Top
Hallo Kummerkasten,

den Patch habe ich installiert, es läuft aber meines erachtens immer noch genauso langsam, es gab also keine Veränderung.

Ich habe in der Ignore-Regel alle lokalen Laufwerke drin, nur wirklich das was verschlüsselt werden soll nicht. Als Antivirensoftware habe ich NTRtScan.exe und tmfilter.sys eingetragen.

Ich habe das Gefühl das der Rechner so langsam ist weil permanent die Festplatte angesprochen wird. Die rödelt sich hier ganz schön ab face-smile Das weist m.e. auf ein Problem zwischen Virenscanner und Sophos hin, aber sonst hab ich leider noch keine weiteren Ideen/Hinweise...
Kummerkasten
Kummerkasten 29.01.2012 um 16:59:02 Uhr
Goto Top
Hi DeSiato,

kannst Du mir mal Deine Verschlüsselungsregel übersicht senden und auch welche Einstellung in der Registry stehen. Das heißt die Einstellungen welche von der SafeGuard Admin kommen.

Zudem würde ich gerne mal wissen ob du auch local verschlüsselt möchtest oder nur im Netz?

Danke
DeSiato
DeSiato 30.01.2012 um 08:02:05 Uhr
Goto Top
Aktive Verschlüsselungsregeln (stehen in dieser Reihenfolge im Client:
Pfad / Unterordner / Ausgenommen / Ignorieren
C:\WINDOWS\*.* / Ja / Nein / Ja
C:\Programme\Sophos\Safeguard LAN Crypt\*.* / Ja / Nein / Ja
C:\Dokumente und Einstellungen\[...]\*.* / Ja / Nein / Ja (Policy-Cache-Ordner)
\\192.168.1.235\SECURITY\EDV\*.* / Ja / Nein / Nein
\\192.168.1.235\SECURITY\MIW\*.* / Ja / Nein / Nein
Z:\*.* / Ja / Nein / Ja
T:\*.* / Ja / Nein / Ja
G:\*.* / Ja / Nein / Ja
E:\*.* / Ja / Nein / Ja
K:\*.* / Ja / Nein / Ja
I:\*.* / Ja / Nein / Ja
H:\*.* / Ja / Nein / Ja
D:\*.* / Ja / Nein / Ja
C:\*.* / Ja / Nein / Ja

Es sollen derzeit nur Netzlaufwerke verschlüsselt werden, diese liegen auf dem mit IP angegebenen Server. Wenn ich hier den richigen Namen des Servers angebe gibt es keine Veränderung.
Welche Registry-Keys willst du denn genau haben?

Gruß
Kummerkasten
Kummerkasten 30.01.2012 um 22:37:59 Uhr
Goto Top
Hallo DeSiato,

Was genau ist die Performanceproblematik. Kannst Du das ggf. nähr beschreiben.
Was heißt eigendlich Langsam in Deine Augen ich meine Du verschlüsselt .....!


Liegt das Problem vor dem Profil laden?
Liegt das Problem erst wenn das Profil geladen ist?

Oder das Profil ist geladen und Du arbeitest mit verschieden Applikationen?

Versuch bitte mal genau zu analysieren wann das Performance Problem vorliegt.

Zur Registry:

Posten mal alles zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO

Ich hoffe Ihr habt nur GPO Einstellung auf Computer Basis gesetzt?


Hier mal eine Beschreibung zu:

Standard ’Ignorieren Regel’

Da beim Booten einer Arbeitsstation der SafeGuard LAN Crypt Treiber geladen wird, werden bereits alle
Dateien auf eine mögliche Verschlüsselung und damit auf die entsprechenden Zugriffsrechte geprüft,
auch wenn noch kein benutzerspezifisches Verschlüsselungsprofil geladen ist. Dies kann zu
Performance-Einbußen in dieser Phase führen.
Mit Hilfe einer maschinenspezifischen Einstellung in der SafeGuard LAN Crypt Konfiguration kann der
SafeGuard LAN Crypt Treiber angewiesen werden, bestimmte Verzeichnisse zu ignorieren, bis das
Verschlüsselungsprofil des Benutzers geladen ist.
Durch einen Doppelklick auf Standard „Ignorieren Regel“ unter Client- Einstellungen wird ein Dialog
geöffnet, in dem Verzeichnisse (z. B. c:\*.*;d:\*.*) angegeben werden können, die vom SafeGuard
LAN Crypt Treiber ignoriert werden.
Werden mehrere Pfade angegeben, müssen diese durch einen Strichpunkt getrennt werden.
Bei der Verwendung von solchen Regeln muss aber berücksichtigt werden, dass dadurch die SafeGuard
LAN Crypt spezifische Zugriffskontrolle entfällt, bis das Verschlüsselungsprofil des Benutzers geladen
ist.

Beispiel:
Wird als Standard „Ignorieren Regel“ c:\*.*;d:\*.* angegeben, wird der Treiber angewiesen, alle
Verzeichnisse auf den Laufwerken C und D, zu ignorieren, bis das Verschlüsselungsprofil des Benutzers
geladen wird.
Auch beim Einsatz von SafeGuard LAN Crypt auf einem Terminal Server kann der Einsatz von Standard
„Ignorieren Regel“ zu einem Performance-Gewinn führen. Arbeiten auf dem Terminal Server z. B.
mehrere Benutzer, von denen nur einer SafeGuard LAN Crypt verwendet, kann der Treiber so
angewiesen werden, die Sessions der anderen Benutzer zu ignorieren. Da diese kein
Verschlüsselungsprofil geladen haben, gilt für sie nur die Standard „Ignorieren Regel“.

*
PS: Sag mir mal welche Admin Ihr habt..... Bitte eine genaue Angaben 3.61.x.x ist nicht gut face-wink


Ach ja, sag mir mal wenn Du Dateien auf c:\ liegen hast die haben aber kein graues Icon oder?
DeSiato
DeSiato 01.02.2012 um 10:00:58 Uhr
Goto Top
Moinmoin,

ich tu mich mal von hinten nach vorne durcharbeiten:

Graues Icon:
Was meinst du mit "graues Icon"? Ich habe natürlich auf C:\ einige teilweise versteckte Systemdateien, die im Explorer grau dargestellt werden. Was Du aber vermutlich meinst: Schlüsselsymbole jeglicher Farbe von SafeGuard habe ich auf Laufwerk C: noch keine beobachten können.

Versionen:
Admin-Oberfläche: 3.60.1.7
Client: 3.71.1.2

Langsam:
Ich kann es bei uns recht eindeutig sagen: Wenn LanCrypt installiert ist ist der Rechner langsam, nach Deinstallation wieder schnell. Es ist unabhängig davon ob ein Profil geladen ist oder nicht.
Das "Langsame" äussert sich darin, das alleine das öffnen des Explorers ein Denksekündchen dauert, genauso wie das herumklicken in verzeichnissen. Das öffnen von Anwendungen dauert ebenfalls etwas länger. Der Rechner arbeitet auch permanent auf der Festplatte, was er nach Deinstallation von LanCrypt nicht mehr macht. (Defrag+Scandisk hab ich schon probiert, keine verbesserung). Im Endeffekt dauert alles, was die Festplatte benötigt etwas länger. Sind Anwendungen erstmal geladen, ist das Arbeiten damit normal.

Ich verschlüssele momentan übrigens garnix, meine Verschlüsselungsordner sind leer. Ein Arbeiten mit den verschlüsselten Daten darf langsamer sein, das ist auch ok. Aber den Rest darf es doch nicht betreffen, oder??

Registry:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt]
"P12SearchLocation"="\\\\DATIX\\LANCrypt$\\Cert\\"
"SOCertLocation"="\\\\DATIX\\LANCrypt$\\Cert\\"
"PolicyFileLocation"="\\\\DATIX\\LANCrypt$\\Policy\\"
"RemoveDomainFromRules"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt\LCShellx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt\LCUser]
"LoadProfAllowed"=dword:00000001
"ClearProfAllowed"=dword:00000001
"DeactivateAllowed"=dword:00000000
"ShowProfileAllowed"=dword:00000001
"ClientStatusAllowed"=dword:00000001
"InitialEncryptionAllowed"=dword:00000001
"CloseAllowed"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG]
"Algorithms"="XOR IDEA DES3 DES AES256 AES"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\AES]
"DriverName"="CEAES"
"AlgID"=dword:0000000e
"AlgFriendlyName"="AES"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\AES256]
"DriverName"="CEAES2"
"AlgFriendlyName"="AES256"
"AlgID"=dword:0000000f

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\DES]
"DriverName"="CEDES"
"AlgFriendlyName"="DES"
"AlgID"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\DES3]
"DriverName"="CEDES3"
"AlgID"=dword:0000000a
"AlgFriendlyName"="3DES"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\IDEA]
"DriverName"="CEIDE"
"AlgFriendlyName"="IDEA"
"AlgID"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\XOR]
"DriverName"="CEXOR"
"AlgID"=dword:00000001
"AlgFriendlyName"="XOR"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\SGLCENC]
"ExcludedDevices"="C:"
"DirSizeCorrection"="PROFILES"
"SystemRoot"="C:\\WINDOWS"
"DriverName"="LCENCM"
"RecyclePath"=":\\RECYCLE"
"TrustedPrograms"="NiAgnt32.exe"
"TrustedProgramMethod"=dword:00000002


Gruß
Kummerkasten
Kummerkasten 01.02.2012 um 22:48:27 Uhr
Goto Top
Danke für das posten....

Du verwendest den Client 3.71.1.2

Bitte mal folgendes wegen der Performance testen:

Änderung mal die DirSizeCorrection von PROFILES auf NONE / Falls der unter Key nicht da ist bitte anlegen.

HKLM\SYSTEM\CurrentControlSet\Control\Utimaco\SGLCENC

REG_SZ
DirSizeCorrection
Wert=NONE

Damit wird das Verhalten vom SGLC Treiber verändert. Schau mal bitte ob es ein Unterschied macht

Ach ja Du hast die Admin 3.60.1.7 es gibt aber bereits SafeGuard LAN Crypt Administration 3.61.4.3 dazu mehr auf der Herstellerseite etc.

Zusatz für deine Umgebung:

1)
Fehlt: DefaultIgnoreRules

Wert = *.*

Diese Regel ist vor dem Laden des Profils gedacht. Wenn das Profil geladen ist dann muss Du eine Ignore Rule im Profil bereitstellen, da die DefaultIgnoreRules nicht mehr greift.


2)
"ExcludedDevices"="C:"


Das solltest Du wegnehmen, da hier immer noch der Treiber prüft, aber nicht neu verschlüsselt. Es aber immer noch verschlüsselt Dateien vorliegen können die geprüft werden..... Das heißt der Treiber ist aktiv auf C:\

Zudem hast Du ja eine IgnoreRule also warum 2 mal .....


3)

"TrustedProgramMethod"=dword:00000002

Der Wert 2 sollte nicht verwendet werden bitte mal auf 1 ändern und testen. Der Wert 2 hat das Problem das alle Child Process auch mitgezogen werden daher kann es nebeneffekt haben. Oder habt Ihr mit dem Wert 1 problem beim Netinstaller?


4)
"TrustedPrograms"="NiAgnt32.exe"


Dein Antivirus SW finde ich nicht schau mal in die Relase Notes der 3.71.0 und in Admin Handbuch wie Du die Einstellung vornimmst.....
AchimK
AchimK 07.05.2013 um 12:46:16 Uhr
Goto Top
Ich grab' den alten Thread mal aus, vllt. hilft das ja noch irgendjemandem face-wink

LAN Crypt prüft beim Öffnen von Verzeichnissen grundsätlzich den Verschlüsselungsstatus vom Inhalt der geöffneten Odner.
Heißt, er schaut den geöffneten Verzeichissen in die Headder der Dateien um daraufhin die LAN Crypt Overlay-Icons an den Dateien darzustellen (für den Fall, dass sich verschlüsselte Dateien in dem anzuzeigenden Ordner befinden).

Die Prüfung des Verschlüsselungsstatus findet unabhängig davon ab, ob für das Verzeichnis eine Verschlüsselungsregel besteht oder auch nicht. Das gleiche gilt, wenn die Laufwerke, in denen sich die Verzeichnisse befinden, von der Verschlüsselung ausgeschlossen sind (Default Ignore-Rule, etc...) oder auch Ausschlussregeln existieren. LanCrypt prüft immer!
Im ProcessExplorer kann man gut nachvollziehen, welche Verzögerungen beim Prüfen zwischen den einzelnen Dateien auftreten, was sich natürlich aufaddiert und damit irgendwann mal ganz deutlich zu spüren ist.

Man kann die LAN Crypt Overlay-Icons deaktivieren, um diesem Problem aus dem Weg zu gehen.
Allerdings bekommt man dann nicht mehr auf Anhieb dargestellt, welche Daten verschlüsselt sind. Das geht dann nur noch über das Kontext-Menü / Verschlüsselungsstatus...

Abschalten geht auf die Schnelle per Explorer / Extras / Registerkarte 'Ansicht'
-> Dort ganz runter scrollen und "Show Ecryption Status of Files" abwählen und neu anmelden.

Oder per Policy:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\LCSettings]
"ShowFileEncState"=dword:00000000


Danach sollte der Zugriff auf die Problem-Ordner deutlich schneller funzen.