Layer mit Antiviren-Apps

In diesem Artikel wird erläutert, wie Sie jedes der am häufigsten verwendeten Antivirenprodukte in einem Layer bereitstellen. Sie können Layering für jede Antivirus-Software durchführen, es sei denn, die unten als nicht unterstützt aufgeführt sind. Obwohl wir erwarten, dass neuere Versionen der Antivirus-Software ordnungsgemäß funktionieren, ist dies erst garantiert, wenn wir sie getestet haben. In diesem Thema erfahren Sie, ob neue Versionen Ihrer Antivirensoftware getestet wurden.

Bei einigen Antiviren-Installationsverfahren müssen Sie die Windows-Registrierungändern.

Warnung:

Machen Sie ein Backup der Registrierung, bevor Sie sie bearbeiten. Wenn Sie den Registrierungs-Editor falsch verwenden, können Sie schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigene Gefahr, und sichern Sie die Registrierung immer, bevor Sie sie bearbeiten.

Sie können Antivirus-Dateien und -Ordner von der Persistenz auf dem Desktop des Benutzers ausschließen . Sie erstellen die Ausschlüsse im Layer, und sie werden nach der Veröffentlichung im Image verarbeitet.

Optionen für die Verwaltung von Antivirensoftwareupdates

In diesem Abschnitt wird erläutert, wie Layer mit Antivirensoftware und wichtige Updates basierend auf der Bereitstellung der Images konfiguriert werden. Dies gilt nur für größere Updates. Tägliche Updates für Virendefinitionen werden unabhängig davon durchgeführt, welche Art von Image Sie bereitstellen.

Für alle Antivirensoftware empfohlen

In allen Fällen empfehlen wir, eine neue Version der App-Layer zu erstellen, wenn die Antivirensoftware über ein großes Update verfügt. Nachdem der Layer aktualisiert wurde, aktualisieren Sie alle Vorlagen, die diese Antivirus-App verwenden, und stellen Sie neue Images bereit, um die Änderungen in der Antivirus-Software zu nutzen.

Elastisches Layering NICHT aktiviert

Wenn Sie Images bereitstellen, ohne dass elastisches Layering aktiviert ist, sollten Sie prüfen, ob Ihre Images er nicht persistent oder persistent sind:

• Für persistente Maschinen möchten Sie wahrscheinlich automatische Updates aktivieren, um die Antivirensoftware auf dem neuesten Stand zu halten.
• Für nicht persistente Maschinen möchten Sie möglicherweise keine automatischen Updates aktivieren, da die Updates nach jedem Neustart auf den Images stattfinden. (Die nicht persistente Maschine wird bei jedem Neustart zurückgesetzt.)

Elastisches Layering aktiviert, aber keine Benutzerlayer

Wenn Sie Images mit elastischem Layering bereitstellen, jedoch keine Benutzerlayer haben, deaktivieren Sie automatische Updates, da die Maschinen nicht persistent sind und beim Neustart zurückgesetzt werden würden. Weisen Sie außerdem den Antiviruslayer zu, der im Image bereitgestellt und nicht als elastischen Layer geladen werden soll, da die Antivirus-Treiber beim Booten geladen werden müssen, damit sie ordnungsgemäß funktionieren. Wenn Layer als elastische Layer zugewiesen werden, werden sie erst geladen, wenn sich ein Benutzer am Computer anmeldet. Daher wären die Treiber beim Booten nicht vorhanden.

Elastic Layering aktiviert, mit Benutzerlayern (oder Benutzerpersonalisierungslayer)

Wenn Sie Images mit elastischem Layering und einem vollständigen Benutzerlayer (oder einem Benutzerpersonalisierungslayer) bereitstellen, empfehlen wir, automatische Updates zu deaktivieren. Die Maschinen sind nicht persistente Desktops, sodass sie zurückgesetzt werden, wenn sich der Benutzer abmeldet. Es gibt auch die zusätzliche Überlegung, dass, wenn die Benutzer für mehrere Tage an den Computern angemeldet bleiben, die täglichen Aktualisierungen der Virendefinitionsdateien in Benutzerlayern enden können. Für die meisten Antivirus-Software ist dies kein Problem. Wenn Sie jedoch feststellen, dass die Antivirensoftware einige Probleme beim Ausführen hat, können Sie das Verzeichnis bestimmen, in dem sie ihre Definitionen speichern, und erwägen, eine Registrierungseinstellung hinzuzufügen, um zu erzwingen, dass sich diese Dateien auf dem nicht persistenten Image befinden, anstatt auf dem Benutzerlayer. Stellen Sie sicher, dass diese Einstellungen auf einem anderen Layer als die Antivirus-App ausgeführt werden, da diese Einstellungen nicht mit Aktualisierungen des Antiviruslayers stören sollen.

Vorbereitung

Bei der Bereitstellung eines Antivirus-Softwarepakets in App Layering ist möglicherweise Folgendes erforderlich:

• Starten Sie den Remote-Registrierungsdienst für eine der Remote-Installationen.
• Deaktivieren Sie vor der Installation die Firewall auf dem Desktop, damit die Produkte installiert werden können.
• Deaktivieren Sie Windows Defender.
• Benutzerkontensteuerung (UAC) aktivieren oder deaktivieren.
• Lesen Sie die Installationsanweisungen für Bereitstellungen der virtuellen Desktop-Infrastruktur (VDI) auf der Website des Produkts, das Sie installieren.

AVG

Sie können ein goldenes Image oder einen Andwendungslayer verwenden, um die Antivirensoftware AVG Business Edition bereitzustellen.

Bereitstellungsmethoden

Verwenden Sie eine der folgenden Methoden, um die AVG Antivirensoftware zu installieren:

• Installieren Sie die Software auf einem goldenen Image des Betriebssystems und importieren Sie sie in einen neuen Betriebssystemlayer.
• Installieren Sie die Software auf einem Anwendungslayer und weisen Sie den Layer neuen oder vorhandenen Desktops zu.

Citrix unterstützt nur AVG Antivirus Business Edition Version 13.0.0.x.

So installieren Sie die Software auf einem goldenen Image

1. Installieren Sie die AVG-Software auf dem goldenen Image.

2. Öffnen Sie die AVG-Anwendung und wählen Sie AVG Settings Manager.

3. Wählen Sie AVG-Einstellungen bearbeiten.

4. Wählen Sie Systemdiensteund deaktivieren Sie alle AVG-Dienste.

5. Wählen Sie AVG Advanced Settings, Anti-Virus, Cache-Serverund deaktivieren Sie den Datei-Cache.

6. Cache-Dateien löschen:

   Löschen Sie unter Windows die folgenden Dateien: C:\ProgramData\AVG2013\Chjw\*.*

7. Aktivieren Sie alle AVG Services erneut.

8. Schließen Sie das goldene Image ab.

9. Erstellen Sie einen OS-Layer mit dem goldenen Image.

10. Aktivieren Sie auf neu bereitgestellten Desktops erneut die Caching-Option, was automatisch durch die Integration mit AVG Remote Administrator erfolgen kann.

So installieren Sie die Software auf einem App-Layer

1. Installieren Sie die AVG-Software auf dem App Layer.
2. Stellen Sie den App-Layer auf Desktops bereit.

So aktivieren Sie die Option Dateien beim Schließen scannen

1. Öffnen Sie die erweiterten Einstellungen (F8).
2. Wählen Sie Antivirus > Resident Shield.
3. Wählen Sie die Option Dateien beim Schließen scannen und speichern Sie die Einstellung.

Kaspersky

In diesem Abschnitt wird erläutert, wie Kaspersky in einem Layer bereitgestellt wird. Weitere Anweisungen zur Installation der Software in einer VDI-Umgebung finden Sie in der Kaspersky-Dokumentation. Lesen Sie den Abschnitt Dynamic VDI-Support in diesem Artikel, um mehr über die Verwendung von Kaspersky für nicht persistente Desktops in einer VDI-Umgebung zu erfahren.

Die folgenden Versionen der Kaspersky-Antivirensoftware wurden von Citrix getestet und sind für die Verwendung mit App Layering verifiziert:

• Kaspersky Endpoint Security Version 10.2.5.3201
• Kaspersky Administration Version 10.3.407.0
• Kaspersky Administration Server, Version 8.0.2163
• Kaspersky Antivirus für Windows Workstations Version 6.0.4.1424
• Kaspersky für VDI Agentless Version 3.0
• Kaspersky Endpoint Security Version 10.1.0.867 (a)
• Kaspersky Endpoint Security Version 10.2
• Kaspersky für VDI Agentless Version 3.1.0.77

Hinweis:

Die Verschlüsselung mit Kaspersky 10.2 wird nicht unterstützt. Kaspersky 10.2 Encryption verwendet eine Form der Datenträgervirtualisierung, die die App Layering-Virtualisierung umgeht und daher nicht mit App Layering kompatibel ist. Bevor Sie Kaspersky 10.2 bereitstellen, müssen Sie die Verschlüsselungsoptionen deaktivieren.

Bereitstellungsmethoden

Verwenden Sie eine der folgenden Methoden, um die Antivirensoftware von Kaspersky bereitzustellen:

• Installieren Sie die Software auf einem App-Layer- oder App-Layer-Version.
• Installieren Sie die Software auf dem goldenen Image, das Sie in einen Betriebssystemlayer importieren.
• Installieren Sie die Software auf einer OS-Layer-Version.

Anforderungen

• Wenn Sie die Kaspersky-Software auf einem neuen Betriebssystemlayer bereitstellen, installieren Sie die Software auf dem goldenen Image, bevor Sie App Layering Machine Tools installieren.

• Wenn Sie den Desktop mit dem Administrationsserver von Kaspersky verwalten, installieren Sie Kaspersky Antivirus for Workstations und NetAgent auf der Verpackungsmaschine oder einem goldenen Image.

• Wenn Sie den Administrationsserver von Kaspersky nicht verwenden möchten, installieren Sie Kaspersky Antivirus for Workstations nur auf der Verpackungsmaschine oder dem goldenen Image.

• Wenn Sie Kaspersky NetAgent installieren, deaktivieren Sie die Auswahl für die Startanwendung während der Installation.

• Wenn Sie Kaspersky Antivirus for Workstations in einer eigenständigen Konfiguration installieren, sollten Sie den Kennwortschutz für eine der administrativen Optionen nicht aktivieren. Das Kennwort, das Sie auf der Verpackungmaschine oder goldenen Image eingeben, funktioniert nicht auf dem Desktop, nachdem Sie die Software bereitgestellt haben.

• Nachdem Sie die Kaspersky-Software auf einer PackagingMachine installiert haben (für App-Layer oder Layer-Revisionen), ist ein Neustart des Systems (und Neuerstellung des Desktop-Images) erforderlich.

Spezielle Anforderung für Kaspersky 10.2

Fügen Sie dem Unifltr-Dienst in der Registrierung einen Wert hinzu, bevor Sie Kaspersky 10.2 zum goldenen Image oder zu einem Layer hinzufügen.

So bearbeiten Sie die Registrierung

1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann regedit ein.
2. Navigieren Sie zum Schlüssel HKLM\System\CurrentControlSet\Services\Unifltr.
3. Klicken Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert (32-Bit).
4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Wert New und wählen Sie Ändern aus.
5. Geben Sie im Feld Value, name den Namen “MiniFilterBypass” ein.
6. Geben Sie im Feld Wert 1 ein, und klicken Sie dann auf OK.
7. Schließen Sie den Registrierungs-Editor
8. Starten Sie das Gerät neu, da die Einstellung nur zur Startzeit gelesen wird.

Spezielle Schritte zum Installieren der Software auf einem App-Layer

So installieren Sie Kaspersky-Software auf einem App-Layer:

1. Installieren Sie die Kaspersky Software auf der Verpackungmaschine. Wenn Sie nicht persistente Desktops mit Kaspersky bereitstellen, markieren Sie das Image als dynamischen VDI. Wenn Sie das Image markieren, betrachtet der Kaspersky-Administrationsserver die Klone dieses Images als dynamisch. Wenn ein Klon deaktiviert ist, werden seine Informationen automatisch aus der Datenbank gelöscht. Um das Image eines dynamischen VDI zu markieren, installieren Sie den Kaspersky Administrationsagenten mit aktiviertem Dynamischen Modus für VDI aktivieren . Einzelheiten finden Sie im Abschnitt dieses Artikels zur Unterstützung dynamischer VDI.

2. Starten Sie den Verpackungsmaschine neu. Wenn Sie die Verpackungsmaschine neu starten, wird möglicherweise mehrmals die STOPP-Meldung 0x75640001 angezeigt. Die Verpackungsmaschine wird normal neu gestartet. Es ist kein Eingreifen erforderlich. Wenn Sie diesen Layer bereitstellen, werden die Desktops normal neu gestartet, und die STOPP-Meldung wird nicht angezeigt.

3. Stellen Sie den Layer fertig.

Der Kaspersky NetAgent wird möglicherweise nicht gestartet, wenn sich Benutzer zum ersten Mal am Desktop anmelden. Dieses Problem tritt auf, wenn Sie den App-Layer mit der Kaspersky-Software einem Desktop zuweisen. Starten Sie den Desktop neu, um die NetAgent-Software zu starten.

Mögliche Probleme

Die folgenden Interoperabilitätsprobleme können auf App Layering Desktops auftreten, auf denen Kaspersky-Antivirensoftware installiert ist.

Start von Kaspersky NetAgent — Wenn Sie einen App Layer verwenden, um die Software von Kaspersky NetAgent auf einen Desktop zu verteilen, wird die NetAgent-Software möglicherweise nicht gestartet, wenn die Desktops neu gestartet werden. In der Windows-Ereignisanzeige kann der folgende Fehler angezeigt werden:

#1266 (0) Transport level error while connection to: authentication failure

Wenn die NetAgent-Software nicht gestartet wird, starten Sie den Desktop neu. Dann startet die NetAgent-Software korrekt.

Kaspersky 10 — Pause für Endbenutzer führt dazu, dass der Netzwerkangriffsblocker nicht mehr funktioniert. Bei Verwendung von Kaspersky 10 funktioniert der Netzwerkangriffsblocker aufgrund der Pause des Endbenutzers nicht mehr. Um dieses Problem zu beheben, starten Sie die Kaspersky-Software neu. Der Network Attack Blocker läuft weiter.

McAfee

In den folgenden Verfahren wird beschrieben, wie Sie die McAfee-Antivirensoftware mit einem Betriebssystemlayer oder einem App-Layer bereitstellen.

Bereitstellungsmethode

Installieren Sie die McAfee-Software auf einer der folgenden Layer:

• Der ursprüngliche Betriebssystemlayer.
• Eine neue Version des Betriebssystemlayers.
• Eine App-Layer.

Die folgenden Versionen der McAfee-Software wurden von Citrix getestet und sind für die Verwendung mit App Layering verifiziert:

• ePolicy Orchestrator (ePO), Versionen 4.6.4, 5.3.1 und 5.3.2
• McAfee Agent, Versionen 4.8.0.1938, 5.0.2.188 und 5.0.4.283
• VirusScan Enterprise, Versionen 8.8.0.1528, 8.8.0.1445 und 8.8.0.1599

Wenn Sie den ePolicy Orchestrator 5.3.1-Server verwenden, um das McAfee Agent-Installationspaket zu erstellen, legen Sie die Priorität der Agent-Kontaktmethode in der folgenden Reihenfolge fest:

• IP-Adresse
• FQDN
• NetBIOS-Name, um korrekt mit IM in der Arbeitsgruppe zu kommunizieren und die “Selbstschutz aktivieren” für die McAfee Agent-Richtlinie zu deaktivieren.

Installationsvoraussetzungen

Die Installationsanforderungen für die Installation von McAfee Antivirus auf einem goldenen Image oder App Layer sind identisch. Die Anforderungen für die Aufnahme des Agent in ein Image finden Sie auch im McAfee ePO-Produkthandbuch.

Wichtig:

Sie müssen McAfee im VDI-Modus installieren, indem Sie den Befehl framepkg.exe mit den in den folgenden Schritten beschriebenen Switches verwenden. Auf diese Weise kann der Agent beim Herunterfahren von ePO abmelden, was wiederum verhindert, dass doppelte Hostnamen in der ePO-Konsole ausgefüllt werden. Weitere Informationen zu dieser Anforderung finden Sie im McAfee KB87654.

Abhängig von der McAfee-Version müssen Sie möglicherweise die GUID (Globally Unique Identifier) für den McAfee Agent nach der Installation entfernen. Weitere Informationen finden Sie in der McAfee-Dokumentation zur Version der verwendeten Software.

Gehen Sie folgendermaßen vor, wenn Sie vorhaben, die McAfee-Antivirensoftware auf App Layering-Desktops mit einem Betriebssystemlayer-Layer bereitzustellen.

So installieren Sie die Software auf einem goldenen Image

1. Installieren Sie die McAfee Agent-Software im VDI-Modus mit dem folgenden Befehl auf dem goldenen Image:

   framepkg.exe /Install=agent /enableVDImode

   Das goldene Image wird in der Systemstrukturliste von ePolicy Orchestrator angezeigt.

2. Installieren Sie die McAfee VirusScan Enterprise Software auf dem goldenen Image:

   1. Wenn Sie aufgefordert werden, Windows Defender zu entfernen, klicken Sie auf Ja

   2. Erlauben Sie dem McAfee Agent Updater, das Update abzuschließen. Dieser Schritt kann einige Minuten dauern.

   3. Klicken Sie auf Fertig stellen, um die Installation abzuschließen.

3. Nachdem die Installation abgeschlossen ist, wird ein Scan gestartet. Erlauben Sie den Abschluss des Scans.

4. Ändern Sie den McAfee-Startwert:

   1. Öffnen Sie die McAfee VirusScan-Konsole, und deaktivieren Sie den AccessProtection.

   2. Öffnen Sie den Registrierungs-Editor (regedit), gehen Sie zum Schlüssel:

      \[HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\mfehidk\]

   3. Beenden Sie den Registrierungseditor.

   4. Aktivieren Sie in der McAfee VirusScan-Konsole den AccessProtection.

5. Wenn McAfee dies für Ihr VDI-Setup erfordert, entfernen Sie die GUID für den Agenten (überprüfen Sie die McAfee-Dokumentation, um festzustellen, ob dieser Schritt erforderlich ist):

   1. Öffnen Sie den Registrierungs-Editor (regedit).

   2. Löschen Sie die folgenden Registrierungsschlüssel:

      • 32-bit:

        HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      • 64-bit:

        HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

6. Wenn Sie dazu aufgefordert werden, starten Sie das goldenen Image neu, damit McAfee seine Treiber installieren kann.

7. Fahren Sie das goldene Image herunter und importieren Sie es in einen Betriebssystemlayer.

So installieren Sie die Software auf einem Layer

Gehen Sie wie folgt vor, wenn Sie die McAfee-Antivirensoftware auf App Layering Desktops über einen Layer bereitstellen möchten.

1. Erstellen Sie in der App Layering-Verwaltungskonsole einen Layer.

2. Wenn Sie zur Installation der Software aufgefordert werden, installieren Sie die McAfee Agent-Software mit dem folgenden Befehl im VDI-Modus.

   framepkg.exe /Install=agent /enableVDImode

   Nach Abschluss der Installation wird der Verpackungsmaschine in der Systemstrukturliste von ePolicy Orchestrator angezeigt.

3. Installieren Sie die McAfee VirusScan Enterprise (VSE) -Software auf der Verpackungmaschine.

   1. Wenn Sie aufgefordert werden, Windows Defender zu entfernen, klicken Sie auf Ja.

   2. Installieren Sie die VSE-Software auf der Verpackungsmaschine mithilfe von Dateien vom McAfee EPO-Server. Andernfalls erlauben Sie dem McAfee Agent Updater, ein Update abzuschließen. Dieser Schritt kann einige Minuten dauern.

   3. Klicken Sie auf Fertig stellen, um die Installation abzuschließen.

4. Ändern Sie den McAfee-Startwert:

   1. Öffnen Sie die McAfee VirusScan-Konsole, und deaktivieren Sie den AccessProtection.

   2. Öffnen Sie den Registrierungseditor, rufen Sie den folgenden Schlüssel auf und ändern Sie den Startwert von 0 in 1:

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mfehidk]

   3. Aktivieren Sie in der McAfee VirusScan-Konsole den AccessProtection.

5. Wenn McAfee dies für Ihr VDI-Setup erfordert, entfernen Sie die GUID für den Agenten (überprüfen Sie die McAfee-Dokumentation, um festzustellen, ob dieser Schritt erforderlich ist):

   1. Öffnen Sie den Registrierungseditor.

   2. Löschen Sie die folgenden Registrierungsschlüssel:

      32-bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      64-bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

6. Schließen Sie den App-Layer ab und stellen Sie den Layer auf die übliche Weise bereit.

Mögliche Interoperabilitätsprobleme

Die folgenden Interoperabilitätsprobleme können auf App Layering Desktops auftreten, auf denen McAfee-Antivirensoftware installiert ist.

Verzögerungen beim Öffnen von Videodateien

Wenn Sie die McAfee-Antivirus-Software zum Scannen von Skriptdateien konfigurieren, kann es zu langen Verzögerungen beim Öffnen von Videodateien in Internet Explorer kommen.

Wenn Sie versuchen, diese Dateien zu öffnen, versuchen McAfee-Software und App Layering, Vorgänge für diese Dateien gleichzeitig auszuführen. Dieser Konflikt führt zu einer Verzögerung bei der Ausführung der Videodatei. Alle anderen Fenster und Anwendungen funktionieren weiterhin normal.

Wenn Sie auf diese Art von Verzögerung stoßen, warten Sie, bis die Videodatei ausgeführt wird. Schließlich wird der Vorgang von McAfee beendet, und der App Layering-Vorgang wird abgeschlossen.

Dieses Problem hat keinen Einfluss auf die Fähigkeit der Antivirensoftware, die Videodateien auf Viren zu überprüfen.

Desktops mit McAfee-Layer sind in ePolicy Orchestrator nicht sichtbar

Wenn Sie im McAfee-Layer in ePolicy Orchestrator keine Desktops sehen können, beheben Sie das Problem mithilfe der Schritte im folgenden Artikel der McAffee Knowledge Base: So setzen Sie die McAfee-Agent-GUID zurück, wenn Computer nicht im ePolicy Orchestrator-Verzeichnis angezeigt werden.

McAfee MOVE

In den folgenden Verfahren wird beschrieben, wie Sie die McAfee MOVE Antivirensoftware in einem Layer bereitstellen.

Hinweis:

Bei diesen Anweisungen wird davon ausgegangen, dass Sie die McAfee MOVE Antivirensoftware auf dem McAfee ePolicy Orchestrator (ePO) installiert und konfiguriert haben

Um die McAfee MOVE Antivirensoftware bereitzustellen, installieren Sie die Software auf einem App-Layer und weisen Sie den Layer vorhandenen Desktops zu.

Die folgenden Versionen der McAfee MOVE Antivirensoftware wurden von Citrix getestet und sind für die Verwendung mit App Layering verifiziert.

• McAfee Agent für Windows, Version 4.8.0.1938
• McAfee AV MOVE Multi-Plattform-Client, Version 3.6.0.347
• McAfee VirusScan Enterprise, Version 8.8.0.1247
• McAfee AV MOVE Multi-Plattform-Offload-Scanserver, Version 3.6.0.347
• McAfee VirusScan Enterprise, Version 8.8.0.1445 und 8.8.0.1599
• McAfee AV MOVE Multi-Plattform-Offload-Scanserver, Version 3.6.1.141 und 4.5.0.211

Hinweis:

Der McAfee-Agent startet nicht für Remotedesktop-Sitzungen.

Installationsvoraussetzungen

Bevor Sie McAfee MOVE installieren, deaktivieren Sie Windows Defender.

So erstellen Sie einen McAfee Agent MOVE AV CLIENT App-Layer

1. Navigieren Sie in der App Layering Management Console zu Layers > Application Layer > Create Layer.

2. Zeigen Sie die aktuellen Aufgaben in der App Layering-Verwaltungskonsole an. Vergewissern Sie sich zunächst, dass der Task Create Application Layer<layer_name> den Status “Wird ausgeführt” enthält. Wenn sich der Status des Tasks “Anwendungslayer <layer_name> erstellen” in “Aktion erforderlich” ändert, melden Sie sich als Administrator an der Verpackungsmaschine an.

3. Verschieben Sie die McAfee Agent-Software über den McAfee ePolicy Orchestrator auf die Verpackungmaschine. Die Verpackungsmaschine wird in der Liste der ePO-Systemstruktur angezeigt, und das McAfee-Symbol wird in der Taskleiste der Verpackungmaschine angezeigt.

4. Verwenden Sie die Aufgabe Produktausbringung auf dem ePO, um den McAfee MOVE AV [Multi-Platform] -Client auf der Verpackungsmaschine zu installieren.

5. Starten Sie den Verpackungsmaschine neu, und melden Sie sich dann als Administrator an.

6. Löschen Sie auf der Verpackungsmaschine den Wert für den Registrierungsschlüssel mit dem Namen AgentGUID von einem der folgenden Speicherorte:

   • 32 Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent

   • 64-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Network Associates\ePolicy Orchestrator\Agent

7. Fahren Sie die Verpackungsmaschine herunter.

8. Finalisieren Sie die App-Layer.

Microsoft Security Essentials

In den folgenden Verfahren wird beschrieben, wie Sie die Microsoft Security Essentials-Antivirensoftware in App Layering mithilfe eines Betriebssystemlayers oder eines App-Layers bereitstellen.

App Layering unterstützt die folgenden Versionen von Microsoft Security Essentials Antivirensoftware:

Microsoft Security Essentials 2012 version4.10.0209.0

• Version des Antimalware-Clients: 4.2.223.0
• Motorversion: 1.1.9901.0
• Antivirus-Definition: 1.159.324.0
• Definition von Antispyware: 1.159.324.0
• Engine-Version des Netzwerk-Inspektionssystems: 2.1.9900.0
• Definitionsversion des Netzwerk-Inspektionssystems: 108.1.0.0

Bereitstellungsmethode

Verwenden Sie eine der folgenden Methoden, um die Antivirensoftware von Microsoft Security Essentials bereitzustellen:

• Installieren Sie die Software auf einem goldenen Image, das Sie in einen OS-Layer importieren.
• Installieren Sie die Software auf einer Betriebssystemlayerversion.
• Installieren Sie die Software auf einem App Layer.

Installationsvoraussetzungen

Die Microsoft Security Essentials-Antivirensoftware in einem Goldenimage von App Layering, einer Version des Betriebssystemlayers oder einer App-Layer-Version.

Aktivieren Sie den Windows Update-Dienst, verwenden Sie jedoch keine Windows-Updates. Die Updates müssen deaktiviert bleiben.

Konfigurieren Sie Microsoft Security Essentials für Windows auf einer App Layering Layer-Version.

Gehen Sie wie folgt vor, um Microsoft Security Essentials unter Windows zu konfigurieren.

Standardmäßig deaktiviert das App Layering-Optimierungsskript den Windows Update-Dienst. Gehen Sie wie folgt vor, um Microsoft Security Essentials entweder als Betriebssystem oder App Layer unter Windows bereitzustellen:

1. Erstellen Sie eine OS- oder App Layer-Version.
2. Gehen Sie zu C:\windows\setup\scripts und führen Sie den App Layering Optimization Script Builder aus. Wenn der Script Builder nicht verfügbar ist, laden Sie ihn erneut aus der ZIP-Datei App Layering Machine OS Tools herunter.
3. Deaktivieren Sie im App Layering Optimization Script Builder Windows Update-Dienst deaktivieren.
4. Schließen Sie den Layer ab.

Der Starttyp des Update-Dienstes ändert sich von Deaktiviert zu Manuell. Windows Updates sind nicht aktiviert, was eine App Layering-Anforderung ist.

Überprüfen Sie während der Installation services.msc und stellen Sie sicher, dass der Starttyp des Windows Update-Dienstes auf Manuell festgelegt ist. Wenn dies nicht der Fall ist, ändern Sie den Starttyp des Windows Update-Dienstes in Manuell und starten Sie Windows neu.

Fehlerbehebung bei fehlgeschlagenen Microsoft Windows

Wenn das Microsoft Security Essentials-Update auf einem Desktop fehlschlägt, weil Windows-Updates deaktiviert sind, versuchen Sie Folgendes.

• Windows Updates in der Systemsteuerung aktivieren. Microsoft Security Essentials kann dann automatisch auf dem Desktop aktualisieren.
• Wenn Sie Windows Updates mithilfe des lokalen Gruppenrichtlinien-Editors deaktiviert haben, bearbeiten Sie die Registrierung, um die lokale Gruppenrichtlinie zu entfernen:

1. Führen Sie den Registrierungs-Editor aus und entfernen Sie die lokale Gruppenrichtlinie.
2. Starten Sie die Maschine neu.
3. Aktivieren Sie Windows Updates über die Systemsteuerung.

Sophos Central Endpunkt/Server

Bevor Sie beginnen, erstellen und aktivieren Sie Ihr Sophos Cloud-Konto, wie hier beschrieben.

Weitere Informationen zur Bereitstellung von Sophos Central Endpoint/Server in einer App Layering-Umgebung finden Sie in der Sophos-Dokumentation.

Optional: Passen Sie die Sicherheitskennung an

Nachdem Sie das goldene Image in einen Betriebssystemlayer importiert haben, müssen Sie möglicherweise die Werte der Sicherheitskennung (SID) aktualisieren. Erstellen Sie dazu eine Version für den Betriebssystemlayer, um die SID in einer der Sophos-Konfigurationsdateien zu aktualisieren. Im folgenden Artikel der Sophos Knowledge Base wird erläutert, wie Sie die SID-Werte (Security Identifier) in einer der Sophos-Konfigurationsdateien aktualisieren:

Sie verfügen nicht über ausreichende Berechtigungen, um die Sophos Endpoint Security and Control Hauptanwendung auszuführen. Sie sind kein Mitglied einer Sophos-Gruppe.

Wann passe ich die SID an?

Wenn Sie einen Desktop im Betriebssystemlayer bereitstellen und Benutzer die Sophos Endpoint Security and Control-Benutzeroberfläche nicht öffnen können, passen Sie die SID an.

SID-Anpassungsverfahren

Sie können diese Schritte entweder vor oder nach dem Importieren des goldenen Images in einen Layer ausführen. Wenn Sie das goldene Image importiert haben, können Sie diese Schritte ausführen, indem Sie die neueste Version des Betriebssystemlayers bearbeiten. Sie können auch eine Version des Betriebssystemlayers erstellen.

So passen Sie die SID an

1. Laden Sie die Skriptdatei UpdateSID.vbs von der Sophos-Website herunter. Platzieren Sie diese Datei in C:\Windows\Setup\Scripts directory. Dieses Skript ist erforderlich, um die Computer-ID nach der Bereitstellung eines Desktops zu korrigieren.

2. Bearbeiten Sie die Datei C:\Windows\Setup\Scripts\SophosSetup.cmdund fügen Sie die folgenden zwei Zeilen am Ende der Datei hinzu:

   cd \Windows\setup\scripts

   cscript.exe UpdateSID.vbs //B

3. Wenn das Skript für eine Version des Betriebssystemlayer bestimmt ist, schließen Sie die Version ab.

Sie können jetzt Desktops erstellen, indem Sie diese Version des Betriebssystemlayers verwenden. Stellen Sie sicher, dass die Desktops eine Verbindung zur Enterprise Console herstellen, sich registrieren und gemäß dem Zeitplan aktualisieren können.

Symantec Endpoint Protection

Sie können die Symantec Endpoint Protection-Anwendung mithilfe einer der folgenden Methoden bereitstellen:

• Installieren Sie die Anwendung auf einem goldenen Image und importieren Sie dann das goldene Image in einen Betriebssystemlayer.
• Installieren Sie die Anwendung als OS-Layer-Version.
• Installieren Sie die Anwendung als Teil eines App Layers.

Hinweis:

Citrix empfiehlt die Verwendung von Zugriffsscans in App Layering-Bereitstellungen. Nachdem die Dateien als “sauber” markiert wurden, verbessert der Symantec Shared Insight Cache die Leistung, indem er die Dateien in einem Layer nicht neu scannt.

Die folgenden Versionen von Symantec Endpoint Protection wurden von Citrix getestet und es wurde verifiziert, dass sie mit App Layering funktionieren:

• 12 und 12.1
• 12.1.4
• 12.1.5
• 12.1.6(12.1 RU6 MR6) Build 7004 (12.1.7061.6600)
• 14 MP 1 (14.0.2332)
• 14.2

Hinweis:

Symantec Endpoint Protection 12.1.2 und 12.1.3 werden aufgrund eines Symantec-Problems nicht unterstützt, das App Layering daran hindert, ordnungsgemäß zu funktionieren.

Verhalten von Symantec Endpoint Protection auf App Layering-Desktops

So installieren Sie Software mithilfe von Symantec Endpoint Protection Manager

Bei diesem Verfahren wird der Computermodus als Bereitstellungsmethode verwendet, mit der Richtlinien auf den gesamten Desktop angewendet werden.

1. Suchen Sie im Symantec Endpoint Protection Manager entweder das Betriebssystemimage oder die Verpackungsmaschine für die App, und melden Sie sich an:

   • Betriebssystem-Image, wenn Sie den Betriebssystemlayer verwenden
   • Verpackungsmaschine, wenn Sie einen App-Layer oder Layer-Revision verwenden

   1. Wählen Sie Clients > Nicht verwaltete Computer suchenaus.

   2. Geben Sie die entsprechenden Suchkriterien in das sich öffnende Fenster ein.

   3. Installieren Sie die Software.

   Hinweis:

   Nach der Installation der Software werden Sie aufgefordert, den Symantec Endpoint Protection Manager neu zu starten. Wenn Sie dies in Schritt 1 tun, kann dies zu Problemen beim Starten der SEP-Dienste führen. Setzen Sie den Installationsvorgang fort und starten Sie Symantec Endpoint Protection Manager in Schritt 5 neu.

2. Melden Sie sich an der Verpackungsmaschine an und deaktivieren Sie den Manipulationsschutz.

3. Deaktivieren Sie den Registrierungseintrag für den “Stealth” -Schutz. Das Scannen funktioniert auch dann, wenn die Benutzerkontensteuerung (User Account Control, UAC) aktiviert ist. Stellen Sie sicher, dass die folgenden Einstellungen in der Registrierung korrekt sind. Wenn die Werte in der Registrierung nicht vorhanden sind, fügen Sie sie hinzu.

   • Für 32-Bit-Maschinen:

     [HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Common]

     "ScanStealthFiles" = (REG_DWORD) 0

   • Für 64-Bit-Maschinen:

     [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Common]

     "ScanStealthFiles" = (REG_DWORD) 0

4. Ändern Sie mit regedit die Gruppen- und Tag-Werte für jede ccSettings-GUID.

   1. Gehen Sie zu folgendem Schlüssel:

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ccSettings_{GUID}]

      Wenn es mehr als einen ccSettings_{GUID} gibt, beginnen Sie mit dem ersten.

   2. Ändern Sie für jeden ccSettings_{GUID} den Gruppenwert von FSFilter Bottom in FSFilter Virtualization.

   3. Ändern Sie den Tag-Wert für die erste GUID in 8, und fügen Sie dem Wert für jede nachfolgende GUID 1 hinzu. Die nächste GUID ist der Wert 9, dann 10 und so weiter.

      Hinweis:

      Wenn Sie Symantec zum ersten Mal installieren, gibt es eine ‘ccSettings_ {GUID} ‘. Jedes Mal, wenn Sie die Anwendung aktualisieren, fügt Symantec eine weitere GUID hinzu.

5. Starten Sie die Verpackungsmaschine oder das goldenen Image neu. Starten Sie dann die Verpackungsmaschine so oft wie nötig neu, bis die Anforderung nach der Installation nicht mehr in der App Layering-Verwaltungskonsole angezeigt wird.

6. Aktivieren Sie den Manipulationsschutz.

7. Informationen zu SEP 12.1 und höher finden Sie in den Anweisungen im folgenden Knowledge Base-Artikel, um die Maschinen für die Bereitstellung der Software in einer VDI-Umgebung vorzubereiten. Weitere Informationen finden Sie im Artikel So bereiten Sie einen Endpoint Protection-Client für das Klonenvor.

8. Finalisieren Sie die App- oder OS-Layer oder fahren Sie das Gold-Image herunter und importieren Sie es.

9. Falls Sie das SEP Virtual Image Exception (VIE) Tool verwenden müssen, finden Sie Empfehlungen im Artikel Über das Symantec Virtual Image Exception Tool .

Während der Bereitstellung der Symantec-Software erstellt die App Layering-Software das Desktop- oder Verpackungsmaschinen-Image mehrmals neu. Die Anzahl hängt davon ab, wie Sie die Symantec-Anwendung bereitstellen. Dieses Verhalten ist zu erwarten, da die Symantec Endpoint Protection-Software die Konfiguration der Komponenten auf Boot-Ebene während der Erstinstallation nicht vollständig abschließt.

Für Client-Server-Bereitstellungen

Die Symantec-Endpunkt-Schutz-Software:

• Installiert einige der erforderlichen Treiber und startet den Desktop oder die Verpackungsmaschine neu.
• Aktualisiert andere Komponenten und startet den Desktop oder die Verpackungsmaschine erneut.
• Schließt die Installation ab und startet den Desktop oder die Verpackungsmaschine erneut.
• Wird auf Desktops bereitgestellt

Wenn Sie die Symantec-Software auf nicht persistenten Desktops bereitstellen, fügen Sie die Software bei der Erstellung des Desktops hinzu. Wenn Sie einen App Layer mit Symantec Endpoint Protection zu einem vorhandenen, nicht persistenten Desktop hinzufügen, werden zwei Einträge pro Desktop im Symantec Endpoint Protection Manager angezeigt.

In den folgenden Szenarien werden zwei Instanzen desselben Computers mit unterschiedlichen Namen in der Symantec Endpoint Protection-Konsole angezeigt:

• Erstellen eines persistenten Desktops unter Windows 2008 R2 mit einem App-Layer für Symantec Endpoint Protection
• Weisen Sie den App-Layer einem vorhandenen Desktop zu

Ein Name ist richtig. Der zweite Name ist ein temporärer Name und wurde nicht gelöscht. Um dieses Problem zu beheben, können Sie Clients löschen, die seit X Tagen keine Verbindung hergestellt haben.

So löschen Sie Clients

1. Gehen Sie in der Symantec Endpoint Protection Konsole zur Admin-Seite und wählen Sie Domainsaus.
2. Wählen Sie unter Aufgabendie Option Domäneneigenschaften bearbeiten.
3. Klicken Sie im Fenster Domäneneigenschaften bearbeiten auf der Standardregisterkarte Allgemein auf Clients löschen, die für eine bestimmte Zeit keine Verbindung hergestellt haben. Citrix empfiehlt, dass der Wert für große Unternehmensumgebungen 7 bis 14 Tage beträgt.
4. Weitere Informationen finden Sie unter Lösung 2 im Artikel Doppelte SEP-Clients werden in der Symantec Endpoint Protection Manager-Konsole angezeigt.

Überlegungen zum Symantec-Hilfe-Diagnosetool (SymHelp)

Wenn Sie Symantec Endpoint Protection auf einer Layer bereitstellen, müssen Sie für das Symantec-Hilfe-Diagnosetool (SymHelp) zwei Dateien in Unified Endpoint Protection ablegen. Erstellen Sie ein Skript mit den folgenden Zeilen, und platzieren Sie den Pfad dazu in einem Skriptpfad, wenn Sie den Symantec-Layer anwenden.

pushd "C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IRON"
copy Iron.db Iron.db.save
copy Iron.db.save Iron.db /y
copy RepuSeed.irn RepuSeed.irn.save
copy RepuSeed.irn.save RepuSeed.irn /y
popd
<!--NeedCopy-->

Trend Micro OfficeScan

In den folgenden Verfahren wird beschrieben, wie Sie die Trend Micro OfficeScan Antivirensoftware mit einem Betriebssystemlayer oder einem App-Layer bereitstellen. Diese Verfahren basieren auf der Trend Micro Dokumentation zur Bereitstellung von Desktops in einer VDI-Umgebung.

Citrix App Layering unterstützt Trend Micro OfficeScan Client und Server Version 11.0.6054.

Bereitstellungsmethoden

Verwenden Sie eine der folgenden Methoden, um die Trend Micro Antivirensoftware bereitzustellen:

• Installieren Sie die Software auf einem goldenen Image und importieren Sie sie in einen neuen Betriebssystemlayer.
• Installieren Sie die Software auf einer Betriebssystemlayerversion.
• Installieren Sie die Software auf einem Anwendungslayer und weisen Sie den Layer neuen oder vorhandenen Desktops zu.

Wichtig:

Wenn Sie Trend Micro OfficeScan auf einem goldenen Image oder einer OS-Layer-Version installieren, führen Sie die OfficeScan-Datei TCacheGen.exe auf folgende Maschinen aus:

• Das goldene Image oder der Betriebssystemlayer.
• Auf jedem App-Layer, der das goldene Image oder OS Layer verwendet

Führen Sie jedes Mal, wenn Sie eine App Layer- oder Layer-Version erstellen, TCacheGen.exe auf jedem Layer aus, der den Betriebssystemlayer mit Trend Micro OfficeScan verwendet.

Führen TCacheGen.exeSie die Verpackungsmaschine nach dem Ausführen nicht erneut aus.

Sie können TCacheGen.exe vom OfficeScan Server kopieren, wie in der Trend Micro Dokumentation angegeben. In der Regel ist diese Datei im Ordner \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen.

So installieren Sie Trend Micro auf einem goldenen Image

Löschen Sie den Globally Unique Identifier (GUID) für die Trend Micro Software, bevor Sie das goldenen Image in einen OS-Layer importieren. Wenn Sie die App Layering Machine Tools installieren, wird das System neu gestartet und eine GUID erstellt. Installieren Sie daher zuerst die Werkzeugmaschinen, erlauben Sie der Installation, den Computer neu zu starten, und löschen Sie dann die GUID.

Weitere Informationen finden Sie im Trend Micro Dokument Configuring the OfficeScan (OSCE) Virtual Desktop Infrastructure (VDI) Client/Agent. Es ist wichtig, dass Sie die Empfehlungen von Trend Micro verstehen, wenn Sie die Software installieren.

1. Installieren Sie die App Layering Machine Tools auf dem goldenen Image.
2. Installieren Sie den Trend Micro OfficeScan Client.

3. Kopieren Sie die Datei TCacheGen.exe vom OfficeScan Server, wie in der Trend Micro Dokumentation beschrieben. Normalerweise befindet sich die Datei im Ordner:

   \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen

4. Führen Sie TCacheGen.exe aus, wie in der Trend Micro Dokumentation beschrieben.
5. Klicken Sie auf GUID aus der Vorlage entfernen, und klicken Sie dann auf OK.
6. Schließen Sie das goldene Image ab.

7. Erstellen Sie einen OS-Layer mit dem goldenen Image.

   Wichtig:

   Jedes Mal, wenn Sie diesem Layer eine Version hinzufügen, müssen Sie die TCacheGen.exe ausführen und die GUID erneut löschen. Wenn Sie diese Aktionen ausführen, wird sichergestellt, dass die Desktops, die diesen Layer verwenden, ordnungsgemäß funktionieren.

So installieren Sie die Software auf einem App-Layer

1. Erstellen Sie in der App Layering-Verwaltungskonsole einen Layer.

2. Installieren Sie den Trend Micro OfficeScan Client auf der Verpackungsmaschine, wenn Sie dazu aufgefordert werden.

   Wenn Sie Trend Micro OfficeScan 11 installieren und sich der Status der Aufgabe in Aktion erforderlichändert, deaktivieren Sie den Dienst Unauthorized Change Prevention wie folgt:

   1. Doppelklicken Sie auf dem OfficeScan Server auf den Link OfficeScan Web Console (HTML) auf dem Desktop, um die OfficeScan Webkonsole zu öffnen.

   2. Wählen Sie in der OfficeScan Webkonsole Agents > Agent Management aus.

   3. Klicken Sie mit der rechten Maustaste auf den OfficeScan Server und wählen Sie Einstellungen > Zusätzliche Diensteinstellungen. Das Fenster Zusätzliche Diensteinstellungen wird geöffnet.

   4. Deaktivieren Sie unter Unauthorized Change Prevention Service die Option Enable service on the following operating systems.

   5. Wählen Sie in der Webkonsole Agents > Agent Installation > Remote aus.

   6. Geben Sie in Endpoints suchendie IP-Adresse Ihrer Verpackungsmaschine ein, und drücken Sie dann die EINGABETASTE.

   7. Geben Sie den Benutzernamen und das Kennwort des lokalen Administrators für die Verpackungsmaschine ein und klicken Sie auf Anmelden.

   8. Klicken Sie auf Installieren, um den OfficeScan Agent auf den Zielcomputern zu installieren, und klicken Sie dann im Bestätigungsdialogfeld auf OK . Eine Bestätigungsnachricht bestätigt die Anzahl der Agenten, an die Benachrichtigungen gesendet wurden, und die Nummer, die den Empfang dieser Mitteilungen überprüft haben.

   9. Gehen Sie in der OfficeScan Webkonsole zu Agents > Agent Management. Klicken Sie auf Arbeitsgruppe, und wählen Sie dann den Namen der Verpackungsmaschine aus.

   10. Deaktivieren Sie den Dienst Unauthorized Change Prevention für die Gruppen, die Sie verwenden. Rechtsklicken Sie auf die Verpackungsmaschine und wählen Sie Einstellungen > Zusätzliche Diensteinstellungen aus. Das Fenster Zusätzliche Diensteinstellungen wird geöffnet.

3. Deaktivieren Sie unter Unauthorized Prevention Service die Option Dienst auf den folgenden Betriebssystemen aktivieren.

4. Wenn Sie dazu aufgefordert werden, starten Sie die Verpackungsmaschine neu, damit das Startimage neu erstellt werden kann

5. Kopieren Sie die Datei TCacheGen.exe nach dem Neustart der Verpackungsmaschine vom OfficeScan Server. Weitere Informationen finden Sie in der Trend Micro Dokumentation. Normalerweise befindet sich die Datei im Ordner:

   \\TrendServerName\ofcscan\Admin\Utility\TCacheGen

6. Führen Sie die Datei TCacheGen.exe aus. Weitere Informationen finden Sie in der Trend Micro Dokumentation.

7. Klicken Sie auf GUID aus der Vorlage löschen, und klicken Sie dann auf OK.

8. Stellen Sie den Layer fertig.

   Wichtig

   Jedes Mal, wenn Sie diesem Layer eine Version hinzufügen, müssen Sie TCacheGen.exe ausführen und die GUID neu löschen. Dadurch wird sichergestellt, dass die Desktops, die diesen Layer verwenden, ordnungsgemäß funktionieren.