Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Performance-Probleme bei Einsatz von SAFEGUARD LANCrypt am XP-Client

Frage Microsoft Windows XP

Mitglied: stackebrandt

stackebrandt (Level 1) - Jetzt verbinden

24.08.2011 um 11:04 Uhr, 8178 Aufrufe, 14 Kommentare

Domäne Win 2003 Server; Clients Win XP, SafeGuard LANCrypt 3.61.0.25, Symantec Endpoint Protection 11.0.6200.754 und einige Applikationen

Sehr geehrter Leser,

nach Einführung von LANCrypt (heute: FA. Sophos) ist auf unseren Client-PCs ein auffälliger Perfomance-Verlust festzustellen. Das Browsen mit dem Windows-Explorer durch Verzeichnisse des File-Servers stellt die Nutzer vor eine Geduldsprobe. Die lokale Last des Rechners ist sehr gering, aber beim Öffnen von relativ umfangreichen Ordnern (ca 100 Elemente - egal ob verschlüsselt oder nicht) tritt eine signifikante Verzögerung ein.

Wer konnte solche Probleme ebenfalls feststellen? Was hat dagegen wirklich geholfen?


Bin dankbar für jeden Vorschlag zur Verbesserung der Lage.

Dirk Stackebrandt
Mitglied: DeSiato
26.08.2011 um 07:46 Uhr
Hallo Dirk,

ich habe leider dasselbe Problem, nutze allerdings LANCrypt 3.71 und habe Trendmicro Officescan als Virenscanner installiert. Da hier noch keiner geantwortet hat können wir vielleicht das Problem eingrenzen.
Folgende Dinge habe ich bereits ausprobiert die alle nix gebracht haben:
- Client-Virenscanner stoppen
- andere "Hintergrund"-Software beenden (wie Telefonmonitor (Xphone), Outlook, Ticketsystem, etc.)
- anderen PC genutzt
- Laufwerk C: in die Ignore-Liste getan
- Festplatte aufgeräumt, Scandisk+Defrag

Welche Aktionen hast du denn bislang vollzogen?

Gruß Micha
Bitte warten ..
Mitglied: stackebrandt
29.08.2011 um 11:04 Uhr
Hallo Micha,

als Client benutzen wir auch LANCrypt 3.71 (Die andere Versionsnummer ist der Server bei uns.)

Unsere Versuche:
- Erweiterung Hauptspeicher
- Eintrag "*" als Default Ignore Regel
- Einspielen von SAVCE_KSTACKMinFree.reg (gegen System-Freeze bei Symantec Endpoint 11.0)
- Unhandled Apllikations: winlogon.exe, niagnt32.exe
- Unhandled Drives: C, D, J, usw. (haben viele Netz-LW's)

Wir benutzen eine rel. freie Regel zum Verschlüsseln: _Ordnername_\*.*
Bitte warten ..
Mitglied: stackebrandt
29.08.2011 um 11:04 Uhr
ja, dort treibe ich michauch rum und versuche eine Lösung zu erhalten....
Bitte warten ..
Mitglied: Kummerkasten
25.01.2012 um 22:49 Uhr
Mal eine Frage wie schaut es bei Euch aus läuft nun alles?

Zudem welche genau Client und Server Version ist im Einsatz.

Für die 3.71 gibt es ja bereits Patch's zudem sollte die AV in die GPO aufgenommen werden. Da hier 2 Filtertreiber sich um die Dateien streiten
Bitte warten ..
Mitglied: stackebrandt
26.01.2012 um 09:17 Uhr
Hallo Kummerkasten,

Patche scheinen ein guter Tip zu sein: werde sie installieren und dann Bescheid geben später (bin aber erst einmal für 5Wochen in Mexico, kann deshalb erst Anfang März umsetzen.
Bis Später
Bitte warten ..
Mitglied: Kummerkasten
26.01.2012 um 22:34 Uhr
Ok dann viel Spaß

Was aber ggf. noch wichtig ist wann ist die Performance schlecht wenn Windows gestartet wird oder wenn der SGLC Schlüssel auf grün gesprungen ist und das Profil geladen ist oder beim arbeiten am PC?

Kannst das mal verifizieren?

Zudem wurde ich.............

Vordem Profilladen eine Default Ignore Rule auf *.* setzen die ist nur gültig solange kein Profil geladen wird.

Die AV eintrage in die GPO welche verwendet wird weiter Info dazu im Handbuch Admin

Ich würde auch immer absolute Regel verwenden zum verschlüsselten......

Wenn z.B C:\ nicht verschlüsselt wird dann ausnehmen als Ignore Rule c:\*.*


Hier mal den KB warum der patch verwendet werden sollte:

SafeGuard LAN Crypt 3.71: Performance issue with SafeGuard LAN Crypt

Issue
In some cases it has been noticed that when SafeGuard LAN Crypt Client 3.71.0.19 has been installed on a PC it can cause performance issues, for example when opening a new tab on the internet or starting an application e.g. Office.

Known to apply to the following Sophos product(s) and version(s)
SafeGuard LAN Crypt 3.71.0.19

Operating System
Windows 7
Windows XP
Windows Vista
What To Do

This issue has been solved with the release of patch (3.71.1.2) for SafeGuard LAN Crypt client 3.71.0.19. Please install the patch to solve this issue.
Bitte warten ..
Mitglied: DeSiato
27.01.2012 um 08:57 Uhr
Hallo Kummerkasten,

den Patch habe ich installiert, es läuft aber meines erachtens immer noch genauso langsam, es gab also keine Veränderung.

Ich habe in der Ignore-Regel alle lokalen Laufwerke drin, nur wirklich das was verschlüsselt werden soll nicht. Als Antivirensoftware habe ich NTRtScan.exe und tmfilter.sys eingetragen.

Ich habe das Gefühl das der Rechner so langsam ist weil permanent die Festplatte angesprochen wird. Die rödelt sich hier ganz schön ab Das weist m.e. auf ein Problem zwischen Virenscanner und Sophos hin, aber sonst hab ich leider noch keine weiteren Ideen/Hinweise...
Bitte warten ..
Mitglied: Kummerkasten
29.01.2012 um 16:59 Uhr
Hi DeSiato,

kannst Du mir mal Deine Verschlüsselungsregel übersicht senden und auch welche Einstellung in der Registry stehen. Das heißt die Einstellungen welche von der SafeGuard Admin kommen.

Zudem würde ich gerne mal wissen ob du auch local verschlüsselt möchtest oder nur im Netz?

Danke
Bitte warten ..
Mitglied: DeSiato
30.01.2012 um 08:02 Uhr
Aktive Verschlüsselungsregeln (stehen in dieser Reihenfolge im Client:
Pfad / Unterordner / Ausgenommen / Ignorieren
C:\WINDOWS\*.* / Ja / Nein / Ja
C:\Programme\Sophos\Safeguard LAN Crypt\*.* / Ja / Nein / Ja
C:\Dokumente und Einstellungen\[...]\*.* / Ja / Nein / Ja (Policy-Cache-Ordner)
\\192.168.1.235\SECURITY\EDV\*.* / Ja / Nein / Nein
\\192.168.1.235\SECURITY\MIW\*.* / Ja / Nein / Nein
Z:\*.* / Ja / Nein / Ja
T:\*.* / Ja / Nein / Ja
G:\*.* / Ja / Nein / Ja
E:\*.* / Ja / Nein / Ja
K:\*.* / Ja / Nein / Ja
I:\*.* / Ja / Nein / Ja
H:\*.* / Ja / Nein / Ja
D:\*.* / Ja / Nein / Ja
C:\*.* / Ja / Nein / Ja

Es sollen derzeit nur Netzlaufwerke verschlüsselt werden, diese liegen auf dem mit IP angegebenen Server. Wenn ich hier den richigen Namen des Servers angebe gibt es keine Veränderung.
Welche Registry-Keys willst du denn genau haben?

Gruß
Bitte warten ..
Mitglied: Kummerkasten
30.01.2012 um 22:37 Uhr
Hallo DeSiato,

Was genau ist die Performanceproblematik. Kannst Du das ggf. nähr beschreiben.
Was heißt eigendlich Langsam in Deine Augen ich meine Du verschlüsselt .....!


Liegt das Problem vor dem Profil laden?
Liegt das Problem erst wenn das Profil geladen ist?

Oder das Profil ist geladen und Du arbeitest mit verschieden Applikationen?

Versuch bitte mal genau zu analysieren wann das Performance Problem vorliegt.

Zur Registry:

Posten mal alles zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UTIMACO

Ich hoffe Ihr habt nur GPO Einstellung auf Computer Basis gesetzt?


Hier mal eine Beschreibung zu:

Standard ’Ignorieren Regel’

Da beim Booten einer Arbeitsstation der SafeGuard LAN Crypt Treiber geladen wird, werden bereits alle
Dateien auf eine mögliche Verschlüsselung und damit auf die entsprechenden Zugriffsrechte geprüft,
auch wenn noch kein benutzerspezifisches Verschlüsselungsprofil geladen ist. Dies kann zu
Performance-Einbußen in dieser Phase führen.
Mit Hilfe einer maschinenspezifischen Einstellung in der SafeGuard LAN Crypt Konfiguration kann der
SafeGuard LAN Crypt Treiber angewiesen werden, bestimmte Verzeichnisse zu ignorieren, bis das
Verschlüsselungsprofil des Benutzers geladen ist.
Durch einen Doppelklick auf Standard „Ignorieren Regel“ unter Client- Einstellungen wird ein Dialog
geöffnet, in dem Verzeichnisse (z. B. c:\*.*;d:\*.*) angegeben werden können, die vom SafeGuard
LAN Crypt Treiber ignoriert werden.
Werden mehrere Pfade angegeben, müssen diese durch einen Strichpunkt getrennt werden.
Bei der Verwendung von solchen Regeln muss aber berücksichtigt werden, dass dadurch die SafeGuard
LAN Crypt spezifische Zugriffskontrolle entfällt, bis das Verschlüsselungsprofil des Benutzers geladen
ist.

Beispiel:
Wird als Standard „Ignorieren Regel“ c:\*.*;d:\*.* angegeben, wird der Treiber angewiesen, alle
Verzeichnisse auf den Laufwerken C und D, zu ignorieren, bis das Verschlüsselungsprofil des Benutzers
geladen wird.
Auch beim Einsatz von SafeGuard LAN Crypt auf einem Terminal Server kann der Einsatz von Standard
„Ignorieren Regel“ zu einem Performance-Gewinn führen. Arbeiten auf dem Terminal Server z. B.
mehrere Benutzer, von denen nur einer SafeGuard LAN Crypt verwendet, kann der Treiber so
angewiesen werden, die Sessions der anderen Benutzer zu ignorieren. Da diese kein
Verschlüsselungsprofil geladen haben, gilt für sie nur die Standard „Ignorieren Regel“.

*
PS: Sag mir mal welche Admin Ihr habt..... Bitte eine genaue Angaben 3.61.x.x ist nicht gut


Ach ja, sag mir mal wenn Du Dateien auf c:\ liegen hast die haben aber kein graues Icon oder?
Bitte warten ..
Mitglied: DeSiato
01.02.2012 um 10:00 Uhr
Moinmoin,

ich tu mich mal von hinten nach vorne durcharbeiten:

Graues Icon:
Was meinst du mit "graues Icon"? Ich habe natürlich auf C:\ einige teilweise versteckte Systemdateien, die im Explorer grau dargestellt werden. Was Du aber vermutlich meinst: Schlüsselsymbole jeglicher Farbe von SafeGuard habe ich auf Laufwerk C: noch keine beobachten können.

Versionen:
Admin-Oberfläche: 3.60.1.7
Client: 3.71.1.2

Langsam:
Ich kann es bei uns recht eindeutig sagen: Wenn LanCrypt installiert ist ist der Rechner langsam, nach Deinstallation wieder schnell. Es ist unabhängig davon ob ein Profil geladen ist oder nicht.
Das "Langsame" äussert sich darin, das alleine das öffnen des Explorers ein Denksekündchen dauert, genauso wie das herumklicken in verzeichnissen. Das öffnen von Anwendungen dauert ebenfalls etwas länger. Der Rechner arbeitet auch permanent auf der Festplatte, was er nach Deinstallation von LanCrypt nicht mehr macht. (Defrag+Scandisk hab ich schon probiert, keine verbesserung). Im Endeffekt dauert alles, was die Festplatte benötigt etwas länger. Sind Anwendungen erstmal geladen, ist das Arbeiten damit normal.

Ich verschlüssele momentan übrigens garnix, meine Verschlüsselungsordner sind leer. Ein Arbeiten mit den verschlüsselten Daten darf langsamer sein, das ist auch ok. Aber den Rest darf es doch nicht betreffen, oder??

Registry:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt]
"P12SearchLocation"="\\\\DATIX\\LANCrypt$\\Cert\\"
"SOCertLocation"="\\\\DATIX\\LANCrypt$\\Cert\\"
"PolicyFileLocation"="\\\\DATIX\\LANCrypt$\\Policy\\"
"RemoveDomainFromRules"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt\LCShellx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Utimaco\SGLANCrypt\LCUser]
"LoadProfAllowed"=dword:00000001
"ClearProfAllowed"=dword:00000001
"DeactivateAllowed"=dword:00000000
"ShowProfileAllowed"=dword:00000001
"ClientStatusAllowed"=dword:00000001
"InitialEncryptionAllowed"=dword:00000001
"CloseAllowed"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG]
"Algorithms"="XOR IDEA DES3 DES AES256 AES"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\AES]
"DriverName"="CEAES"
"AlgID"=dword:0000000e
"AlgFriendlyName"="AES"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\AES256]
"DriverName"="CEAES2"
"AlgFriendlyName"="AES256"
"AlgID"=dword:0000000f

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\DES]
"DriverName"="CEDES"
"AlgFriendlyName"="DES"
"AlgID"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\DES3]
"DriverName"="CEDES3"
"AlgID"=dword:0000000a
"AlgFriendlyName"="3DES"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\IDEA]
"DriverName"="CEIDE"
"AlgFriendlyName"="IDEA"
"AlgID"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\CRYPTENG\XOR]
"DriverName"="CEXOR"
"AlgID"=dword:00000001
"AlgFriendlyName"="XOR"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Utimaco\SGLCENC]
"ExcludedDevices"="C:"
"DirSizeCorrection"="PROFILES"
"SystemRoot"="C:\\WINDOWS"
"DriverName"="LCENCM"
"RecyclePath"=":\\RECYCLE"
"TrustedPrograms"="NiAgnt32.exe"
"TrustedProgramMethod"=dword:00000002


Gruß
Bitte warten ..
Mitglied: Kummerkasten
01.02.2012 um 22:48 Uhr
Danke für das posten....

Du verwendest den Client 3.71.1.2

Bitte mal folgendes wegen der Performance testen:

Änderung mal die DirSizeCorrection von PROFILES auf NONE / Falls der unter Key nicht da ist bitte anlegen.

HKLM\SYSTEM\CurrentControlSet\Control\Utimaco\SGLCENC

REG_SZ
DirSizeCorrection
Wert=NONE

Damit wird das Verhalten vom SGLC Treiber verändert. Schau mal bitte ob es ein Unterschied macht

Ach ja Du hast die Admin 3.60.1.7 es gibt aber bereits SafeGuard LAN Crypt Administration 3.61.4.3 dazu mehr auf der Herstellerseite etc.

Zusatz für deine Umgebung:

1)
Fehlt: DefaultIgnoreRules

Wert = *.*

Diese Regel ist vor dem Laden des Profils gedacht. Wenn das Profil geladen ist dann muss Du eine Ignore Rule im Profil bereitstellen, da die DefaultIgnoreRules nicht mehr greift.


2)
"ExcludedDevices"="C:"


Das solltest Du wegnehmen, da hier immer noch der Treiber prüft, aber nicht neu verschlüsselt. Es aber immer noch verschlüsselt Dateien vorliegen können die geprüft werden..... Das heißt der Treiber ist aktiv auf C:\

Zudem hast Du ja eine IgnoreRule also warum 2 mal .....


3)

"TrustedProgramMethod"=dword:00000002

Der Wert 2 sollte nicht verwendet werden bitte mal auf 1 ändern und testen. Der Wert 2 hat das Problem das alle Child Process auch mitgezogen werden daher kann es nebeneffekt haben. Oder habt Ihr mit dem Wert 1 problem beim Netinstaller?


4)
"TrustedPrograms"="NiAgnt32.exe"


Dein Antivirus SW finde ich nicht schau mal in die Relase Notes der 3.71.0 und in Admin Handbuch wie Du die Einstellung vornimmst.....
Bitte warten ..
Mitglied: AchimK
07.05.2013 um 12:46 Uhr
Ich grab' den alten Thread mal aus, vllt. hilft das ja noch irgendjemandem

LAN Crypt prüft beim Öffnen von Verzeichnissen grundsätlzich den Verschlüsselungsstatus vom Inhalt der geöffneten Odner.
Heißt, er schaut den geöffneten Verzeichissen in die Headder der Dateien um daraufhin die LAN Crypt Overlay-Icons an den Dateien darzustellen (für den Fall, dass sich verschlüsselte Dateien in dem anzuzeigenden Ordner befinden).

Die Prüfung des Verschlüsselungsstatus findet unabhängig davon ab, ob für das Verzeichnis eine Verschlüsselungsregel besteht oder auch nicht. Das gleiche gilt, wenn die Laufwerke, in denen sich die Verzeichnisse befinden, von der Verschlüsselung ausgeschlossen sind (Default Ignore-Rule, etc...) oder auch Ausschlussregeln existieren. LanCrypt prüft immer!
Im ProcessExplorer kann man gut nachvollziehen, welche Verzögerungen beim Prüfen zwischen den einzelnen Dateien auftreten, was sich natürlich aufaddiert und damit irgendwann mal ganz deutlich zu spüren ist.

Man kann die LAN Crypt Overlay-Icons deaktivieren, um diesem Problem aus dem Weg zu gehen.
Allerdings bekommt man dann nicht mehr auf Anhieb dargestellt, welche Daten verschlüsselt sind. Das geht dann nur noch über das Kontext-Menü / Verschlüsselungsstatus...

Abschalten geht auf die Schnelle per Explorer / Extras / Registerkarte 'Ansicht'
-> Dort ganz runter scrollen und "Show Ecryption Status of Files" abwählen und neu anmelden.

Oder per Policy:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\LCSettings]
"ShowFileEncState"=dword:00000000


Danach sollte der Zugriff auf die Problem-Ordner deutlich schneller funzen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Proxy Performance-Probleme Testmöglichkeiten (4)

Frage von clubmate zum Thema LAN, WAN, Wireless ...

Windows Server
Sporadische Performance-Probleme auf RDS-Server (13)

Frage von Datenreise zum Thema Windows Server ...

Hyper-V
Hyper-V mit iSCSI SAN, Performance-Probleme in den VMs (2)

Frage von hijacker99 zum Thema Hyper-V ...

Windows Installation
gelöst Probleme mit SATA Treibern unter Windows XP (5)

Frage von bestelitt zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...