Việc quét ổ cứng của các máy tính làm việc hàng ngày là một quy trình đơn giản, tự động và không ảnh hưởng đến người dùng. Tuy nhiên, khi cần thực hiện trên máy chủ – đặc biệt là sau một sự cố bảo mật khi toàn bộ hệ thống lưu trữ của doanh nghiệp (có thể lên tới hàng chục terabyte) phải được quét khẩn cấp thì tình hình trở nên phức tạp hơn rất nhiều. Đồng thời, quá trình này phải đảm bảo tuyệt đối an toàn dữ liệu và không gây sụt giảm hiệu năng đáng kể đối với người dùng.
Dưới đây là danh sách các bước chuẩn bị và lưu ý giúp tiết kiệm thời gian, đồng thời giảm thiểu rủi ro phát sinh. Các nguyên tắc này cũng áp dụng tương tự cho các sản phẩm bảo vệ đầu cuối khác như EPP (Endpoint Protection Platform) hoặc EDR (Endpoint Detection and Response).
1. Kiểm tra sơ bộ trước khi quét
Kiểm tra cấu hình hệ thống thực hiện việc quét. Đảm bảo hệ điều hành đã được cập nhật bản mới nhất, có thể truy xuất toàn bộ đĩa cần quét và xử lý dữ liệu chính xác bao gồm việc đọc các tên tệp Unicode dài, xử lý tệp có dung lượng lớn hoặc nằm trên phân vùng phân biệt chữ hoa/thường.
Sử dụng máy có cấu hình mạnh: CPU đa nhân, RAM dung lượng lớn, và ổ cứng cục bộ tốc độ cao để xử lý các tệp tạm trong quá trình quét.
Tốc độ truy xuất dữ liệu: Máy quét cần truy cập trực tiếp vào kho lưu trữ (trực tiếp hoặc qua mạng tốc độ cao như SAN – Storage Area Network). Việc truy cập chậm sẽ là nút thắt cổ chai ảnh hưởng đến toàn bộ quá trình.
Kiểm tra hệ thống sao lưu: Dù quy trình quét không thay đổi dữ liệu, bạn vẫn cần chuẩn bị cho tình huống xấu như tệp bị nhiễm hoặc hỏng. Xác nhận thời điểm và tính đầy đủ của bản sao lưu gần nhất, đảm bảo việc phục hồi đã được kiểm tra định kỳ. Nếu chưa có bản sao lưu mới, cần đánh giá rủi ro và có thể tiến hành sao lưu dữ liệu quan trọng trước khi quét.
Xác định tính chất dữ liệu và cấu trúc lưu trữ: Ví dụ: dữ liệu có nằm trong RAID? RAID loại nào? Có thể quét từng ổ độc lập hay cần song song? Nếu truy cập ổ đĩa là điểm nghẽn, nên tận dụng quét song song từ nhiều máy để tối ưu tốc độ.
Tính chất dữ liệu ảnh hưởng trực tiếp đến hiệu suất: Nếu là nhiều tệp nhỏ, đa định dạng, đặc biệt là tệp nén hoặc chứa nhiều tệp con — hệ thống sẽ tốn nhiều CPU, RAM và bộ nhớ tạm. Nếu phần lớn là các tệp lớn đã biết rõ và ít rủi ro (ví dụ: video gốc, bảng dữ liệu, bản sao lưu nguyên vẹn), thì mức tiêu tốn tài nguyên sẽ thấp hơn đáng kể.
2. Chuẩn bị trước khi tiến hành quét
Lên lịch quét vào thời điểm phù hợp: Ưu tiên thực hiện vào ban đêm, cuối tuần hoặc khung thời gian ít người dùng truy cập dữ liệu. Tốt nhất nên tạm ngắt truy cập công khai vào máy chủ lưu trữ, hoặc thông báo trước cho người dùng về khả năng hệ thống hoạt động chậm.
Đảm bảo dung lượng trống đủ trên ổ đĩa: Việc quét có thể cần giải nén các tệp lưu trữ hoặc ảnh đĩa, có thể tiêu tốn rất nhiều không gian tạm thời.
Kiểm tra cấu hình vùng cách ly (quarantine): Nếu phát hiện nhiều tệp nhiễm hoặc nghi ngờ, vùng cách ly có thể bị đầy. Nên phân bổ thêm không gian cho vùng này để tránh mất dữ liệu mẫu quan trọng.
Xác định và áp dụng chính sách loại trừ (exclusion policy): Nhằm giảm thời gian quét, nên loại trừ các tài nguyên an toàn có thời gian quét kéo dài — ví dụ: các tệp dung lượng rất lớn (vài trăm MB đến vài GB), bộ cài phần mềm, bản sao lưu không thay đổi, tệp văn bản thuần túy, v.v. Tuy nhiên, cần thận trọng vì mã độc đôi khi có thể ẩn trong tệp văn bản hoặc hình ảnh. Để đảm bảo an toàn tối đa, vẫn nên quét cả hình ảnh và tệp nghi ngờ.
Xóa các tệp và thư mục tạm thời không cần thiết để tránh lãng phí thời gian xử lý.
3. Cấu hình tác vụ quét
Tùy thuộc vào tính chất dữ liệu và cấu hình hệ thống, bạn có thể điều chỉnh linh hoạt, nhưng nên tuân thủ các nguyên tắc sau:
-
Giới hạn mức sử dụng CPU và RAM phù hợp: Nếu máy chủ không phục vụ người dùng trong thời gian quét, có thể dùng tới 80% tài nguyên. Nếu vẫn hoạt động bình thường, nên giữ dưới mức này để tránh giật lag.
-
Bật các công nghệ tối ưu hóa như iChecker và iSwift (trên sản phẩm của Kaspersky), giúp tăng tốc việc quét tệp không thay đổi so với lần trước.
-
Bật các tùy chọn giảm tải: như “Không chạy nhiều tác vụ quét cùng lúc” hoặc “Chỉ quét các tệp mới hoặc đã chỉnh sửa”.
-
Tắt quét tệp lưu trữ có mật khẩu: Tránh bị ngắt tác vụ do không giải mã được.
-
Giới hạn dung lượng tối đa tệp được quét theo chính sách loại trừ ở trên.
-
Đặt mức phân tích heuristic ở mức trung bình: để cân bằng giữa hiệu quả phát hiện và hiệu suất hệ thống.
-
Chọn hành động với tệp nhiễm là đưa vào vùng cách ly.
-
Cấu hình log ghi nhận đầy đủ: chi tiết về các tệp được quét và kết quả phát hiện.
(Chi tiết cấu hình hiệu suất có thể tham khảo thêm trên tài liệu hỗ trợ chính thức cho Windows và Linux.)
4. Tiến hành quét
Bắt đầu với một phân vùng nhỏ hoặc tệp dữ liệu dưới 1 TB. Đánh giá ảnh hưởng đến hiệu năng máy chủ, thời gian xử lý và kiểm tra log. Nếu thời gian quét quá lâu, hãy kiểm tra log để xác định điểm nghẽn và tối ưu lại cấu hình trước khi thực hiện quét quy mô lớn.
Tránh quét toàn bộ kho lưu trữ trong một tác vụ duy nhất. Thay vào đó, hãy chia nhỏ thành nhiều tác vụ, mỗi tác vụ phụ trách một phân vùng cụ thể (ổ đĩa riêng biệt). Điều này giúp giảm nguy cơ thất bại toàn bộ nếu một tác vụ bị lỗi và tránh thời gian quét kéo dài quá mức.
Tận dụng quét song song nếu hệ thống cho phép, đặc biệt khi các ổ đĩa hoạt động độc lập.
Giám sát tiến trình quét và tải hệ thống theo thời gian thực, để có thể can thiệp kịp thời khi phát hiện dấu hiệu bất thường. Sau mỗi tác vụ, cần phân tích kỹ log để đảm bảo quy trình diễn ra chính xác và an toàn.
