App Layering

Layer mit Antiviren-Apps

In diesem Artikel wird erläutert, wie Sie jedes der am häufigsten verwendeten Antivirenprodukte in einem Layer bereitstellen. Sie können Layering für jede Antivirus-Software durchführen, es sei denn, die unten als nicht unterstützt aufgeführt sind. Obwohl wir erwarten, dass neuere Versionen der Antivirus-Software ordnungsgemäß funktionieren, ist dies erst garantiert, wenn wir sie getestet haben. In diesem Thema erfahren Sie, ob neue Versionen Ihrer Antivirensoftware getestet wurden.

Bei einigen Antiviren-Installationsverfahren müssen Sie die Windows-Registrierungändern.

Warnung:

Machen Sie ein Backup der Registrierung, bevor Sie sie bearbeiten. Wenn Sie den Registrierungs-Editor falsch verwenden, können Sie schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erfordern. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigene Gefahr, und sichern Sie die Registrierung immer, bevor Sie sie bearbeiten.

Sie können Antivirus-Dateien und -Ordner von der Persistenz auf dem Desktop des Benutzers ausschließen . Sie erstellen die Ausschlüsse im Layer, und sie werden nach der Veröffentlichung im Image verarbeitet.

Optionen für die Verwaltung von Antivirensoftwareupdates

In diesem Abschnitt wird erläutert, wie Antivirensoftware überlagert und wichtige Updates basierend auf der Bereitstellung der Images konfiguriert werden. Dies gilt nur für größere Updates. Tägliche Updates für Virendefinitionen werden unabhängig davon durchgeführt, welche Art von Image Sie bereitstellen.

Für alle Antivirensoftware empfohlen

In allen Fällen empfehlen wir, eine neue Version der App-Layer zu erstellen, wenn die Antivirensoftware über ein großes Update verfügt. Nachdem der Layer aktualisiert wurde, aktualisieren Sie alle Vorlagen, die diese Antivirus-App verwenden, und stellen Sie neue Images bereit, um die Änderungen in der Antivirus-Software zu nutzen.

Elastisches Layering NICHT aktiviert

Wenn Sie Images bereitstellen, ohne dass elastisches Layering aktiviert ist, sollten Sie prüfen, ob Ihre Images er nicht persistent oder persistent sind:

  • Für persistente Maschinen möchten Sie wahrscheinlich automatische Updates aktivieren, um die Antivirensoftware auf dem neuesten Stand zu halten.
  • Für nicht persistente Maschinen möchten Sie möglicherweise keine automatischen Updates aktivieren, da die Updates nach jedem Neustart auf den Images stattfinden. (Die nicht persistente Maschine wird bei jedem Neustart zurückgesetzt.)

Elastisches Layering aktiviert, aber keine Benutzerlayer

Wenn Sie Images mit elastischem Layering bereitstellen, jedoch keine Benutzerlayer haben, deaktivieren Sie automatische Updates, da die Maschinen nicht persistent sind und beim Neustart zurückgesetzt werden würden. Weisen Sie außerdem den Antiviruslayer zu, der im Image bereitgestellt und nicht als elastischen Layer geladen werden soll, da die Antivirus-Treiber beim Booten geladen werden müssen, damit sie ordnungsgemäß funktionieren. Wenn Layer als elastische Layer zugewiesen werden, werden sie erst geladen, wenn sich ein Benutzer am Computer anmeldet. Daher wären die Treiber beim Booten nicht vorhanden.

Elastic Layering aktiviert, mit Benutzerlayern (oder Benutzerpersonalisierungslayer)

Wenn Sie Images mit elastischem Layering und einem vollständigen Benutzerlayer (oder einem Benutzerpersonalisierungslayer) bereitstellen, empfehlen wir, automatische Updates zu deaktivieren. Die Maschinen sind nicht persistente Desktops, sodass sie zurückgesetzt werden, wenn sich der Benutzer abmeldet. Es gibt auch die zusätzliche Überlegung, dass, wenn die Benutzer für mehrere Tage an den Computern angemeldet bleiben, die täglichen Aktualisierungen der Virendefinitionsdateien in Benutzerlayern enden können. Für die meisten Antivirus-Software ist dies kein Problem. Wenn Sie jedoch feststellen, dass die Antivirensoftware einige Probleme beim Ausführen hat, können Sie das Verzeichnis bestimmen, in dem sie ihre Definitionen speichern, und erwägen, eine Registrierungseinstellung hinzuzufügen, um zu erzwingen, dass sich diese Dateien auf dem nicht persistenten Image befinden, anstatt auf dem Benutzerlayer. Stellen Sie sicher, dass diese Einstellungen auf einem anderen Layer als die Antivirus-App ausgeführt werden, da diese Einstellungen nicht mit Aktualisierungen des Antiviruslayers stören sollen.

Vorbereitung

Bei der Bereitstellung eines Antivirus-Softwarepakets in App Layering ist möglicherweise Folgendes erforderlich:

  • Starten Sie den Remote-Registrierungsdienst für eine der Remote-Installationen.
  • Deaktivieren Sie vor der Installation die Firewall auf dem Desktop, damit die Produkte installiert werden können.
  • Deaktivieren Sie Windows Defender.
  • Benutzerkontensteuerung (UAC) aktivieren oder deaktivieren.
  • Lesen Sie die Installationsanweisungen für Bereitstellungen der virtuellen Desktop-Infrastruktur (VDI) auf der Website des Produkts, das Sie installieren.

AVG

Sie können ein goldenes Image oder einen Andwendungslayer verwenden, um die Antivirensoftware AVG Business Edition bereitzustellen.

Bereitstellungsmethoden

Verwenden Sie eine der folgenden Methoden, um die AVG Antivirensoftware zu installieren:

  • Installieren Sie die Software auf einem goldenen Image des Betriebssystems und importieren Sie sie in einen neuen Betriebssystemlayer.
  • Installieren Sie die Software auf einem Anwendungslayer und weisen Sie den Layer neuen oder vorhandenen Desktops zu.

Citrix unterstützt nur AVG Antivirus Business Edition Version 13.0.0.x.

So installieren Sie die Software auf einem goldenen Image

  1. Installieren Sie die AVG-Software auf dem goldenen Image.

  2. Öffnen Sie die AVG-Anwendung und wählen Sie AVG Settings Manager.

  3. Wählen Sie AVG-Einstellungen bearbeiten.

  4. Wählen Sie Systemdiensteund deaktivieren Sie alle AVG-Dienste.

  5. Wählen Sie AVG Advanced Settings, Anti-Virus, Cache-Serverund deaktivieren Sie den Datei-Cache.

  6. Cache-Dateien löschen:

    Löschen Sie unter Windows 7 die folgenden Dateien: C:\ProgramData\AVG2013\Chjw\*.*

  7. Aktivieren Sie alle AVG Services erneut.

  8. Schließen Sie das goldene Image ab.

  9. Erstellen Sie einen OS-Layer mit dem goldenen Image.

  10. Aktivieren Sie auf neu bereitgestellten Desktops erneut die Caching-Option, was automatisch durch die Integration mit AVG Remote Administrator erfolgen kann.

So installieren Sie die Software auf einem App-Layer

  1. Installieren Sie die AVG-Software auf dem App Layer.
  2. Stellen Sie den App-Layer auf Desktops bereit.

So aktivieren Sie die Option Dateien beim Schließen scannen

  1. Öffnen Sie die erweiterten Einstellungen (F8).
  2. Wählen Sie Antivirus > Resident Shield
  3. Wählen Sie die Option Dateien beim Schließen scannen und speichern Sie die Einstellung.

Kaspersky

In diesem Abschnitt wird erläutert, wie Kaspersky in einem Layer bereitgestellt wird. Weitere Anweisungen zur Installation der Software in einer VDI-Umgebung finden Sie in der Kaspersky-Dokumentation. Lesen Sie den Abschnitt Dynamic VDI-Support in diesem Artikel, um mehr über die Verwendung von Kaspersky für nicht persistente Desktops in einer VDI-Umgebung zu erfahren.

Die folgenden Versionen der Kaspersky-Antivirensoftware wurden von Citrix getestet und sind für die Verwendung mit App Layering verifiziert:

  • Kaspersky Endpoint Security Version 10.2.5.3201
  • Kaspersky-Verwaltung version 10.3.407.0
  • Kaspersky Administration Server, Version 8.0.2163
  • Kaspersky Antivirus für Windows Workstations Version 6.0.4.1424
  • Kaspersky für VDI Agentless Version 3.0
  • Kaspersky Endpoint Security Version 10.1.0.867 (a)
  • Kaspersky Endpoint Security Version 10.2
  • Kaspersky für VDI Agentless Version 3.1.0.77

Hinweis:

Die Verschlüsselung mit Kaspersky 10.2 wird nicht unterstützt. Kaspersky 10.2 Encryption verwendet eine Form der Datenträgervirtualisierung, die die App Layering-Virtualisierung umgeht und daher nicht mit App Layering kompatibel ist. Bevor Sie Kaspersky 10.2 bereitstellen, müssen Sie die Verschlüsselungsoptionen deaktivieren.

Bereitstellungsmethoden

Verwenden Sie eine der folgenden Methoden, um die Antivirensoftware von Kaspersky bereitzustellen:

  • Installieren Sie die Software auf einem App-Layer- oder App-Layer-Version.
  • Installieren Sie die Software auf dem goldenen Image, das Sie in einen Betriebssystemlayer importieren.
  • Installieren Sie die Software auf einer OS-Layer-Version.

Anforderungen

  • Wenn Sie die Kaspersky-Software auf einem neuen Betriebssystemlayer bereitstellen, installieren Sie die Software auf dem goldenen Image, bevor Sie App Layering Machine Tools installieren.

  • Wenn Sie den Desktop mit dem Administrationsserver von Kaspersky verwalten, installieren Sie Kaspersky Antivirus for Workstations und NetAgent auf der Verpackungsmaschine oder einem goldenen Image.

  • Wenn Sie den Administrationsserver von Kaspersky nicht verwenden möchten, installieren Sie Kaspersky Antivirus for Workstations nur auf der Verpackungsmaschine oder dem goldenen Image.

  • Wenn Sie Kaspersky NetAgent installieren, deaktivieren Sie die Auswahl für die Startanwendung während der Installation.

  • Wenn Sie Kaspersky Antivirus for Workstations in einer eigenständigen Konfiguration installieren, sollten Sie den Kennwortschutz für eine der administrativen Optionen nicht aktivieren. Das Kennwort, das Sie auf der Verpackungmaschine oder goldenen Image eingeben, funktioniert nicht auf dem Desktop, nachdem Sie die Software bereitgestellt haben.

  • Nachdem Sie die Kaspersky-Software auf einer PackagingMachine installiert haben (für App-Layer oder Layer-Revisionen), ist ein Neustart des Systems (und Neuerstellung des Desktop-Images) erforderlich.

Spezielle Anforderung für Kaspersky 10.2

Fügen Sie dem Unifltr-Dienst in der Registrierung einen Wert hinzu, bevor Sie Kaspersky 10.2 zum goldenen Image oder zu einem Layer hinzufügen.

So bearbeiten Sie die Registrierung

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann regedit ein.
  2. Navigieren Sie zum HKLM\System\CurrentControlSet\Services\Unifltr Schlüssel.
  3. Klicken Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert (32-Bit).
  4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Wert New und wählen Sie Ändernaus.
  5. Geben Sie im Feld Value, nameden Namen MinifilterBypass ein.
  6. Geben Sie im Feld Wert1 ein, und klicken Sie dann auf OK.
  7. Schließen Sie den Registrierungs-Editor
  8. Starten Sie das Gerät neu, da die Einstellung nur zur Startzeit gelesen wird.

    Hinweis:

    Versuche, Kaspersky for Virtualization Light Agent 3.0 auf Windows 7 32-Bit- und Windows 7 64-Bit-Verpackungsmaschinen abzuschließen, schlagen fehl. Der Fehler tritt auf, wenn die Layerintegrität einen Neustart versucht.

Spezielle Schritte zum Installieren der Software auf einem App-Layer

So installieren Sie Kaspersky-Software auf einem App-Layer:

  1. Installieren Sie die Kaspersky Software auf der Verpackungmaschine. Wenn Sie nicht persistente Desktops mit Kaspersky bereitstellen, markieren Sie das Image als dynamischen VDI. Wenn Sie das Image markieren, betrachtet der Kaspersky-Administrationsserver die Klone dieses Images als dynamisch. Wenn ein Klon deaktiviert ist, werden seine Informationen automatisch aus der Datenbank gelöscht. Um das Image eines dynamischen VDI zu markieren, installieren Sie den Kaspersky Administrationsagenten mit aktiviertem Dynamischen Modus für VDI aktivieren . Einzelheiten finden Sie im Abschnitt dieses Artikels zur Unterstützung dynamischer VDI.

  2. Starten Sie den Verpackungsmaschine neu. Wenn Sie die Verpackungsmaschine neu starten, wird möglicherweise mehrmals die STOPP-Meldung 0x75640001 angezeigt. Die Verpackungsmaschine wird normal neu gestartet. Es ist kein Eingreifen erforderlich. Wenn Sie diesen Layer bereitstellen, werden die Desktops normal neu gestartet, und die STOPP-Meldung wird nicht angezeigt.

  3. Stellen Sie den Layer fertig.

Der Kaspersky NetAgent wird möglicherweise nicht gestartet, wenn sich Benutzer zum ersten Mal am Desktop anmelden. Dieses Problem tritt auf, wenn Sie den App-Layer mit der Kaspersky-Software einem Desktop zuweisen. Starten Sie den Desktop neu, um die NetAgent-Software zu starten.

Mögliche Probleme

Die folgenden Interoperabilitätsprobleme können auf App Layering Desktops auftreten, auf denen Kaspersky-Antivirensoftware installiert ist.

Start von Kaspersky NetAgent — Wenn Sie einen App Layer verwenden, um die Software von Kaspersky NetAgent auf einen Desktop zu verteilen, wird die NetAgent-Software möglicherweise nicht gestartet, wenn die Desktops neu gestartet werden. In der Windows-Ereignisanzeige kann der folgende Fehler angezeigt werden:

#1266 (0) Transport level error while connection to: authentication failure

Wenn die NetAgent-Software nicht gestartet wird, starten Sie den Desktop neu. Dann startet die NetAgent-Software korrekt.

Kaspersky 10 — Pause für Endbenutzer führt dazu, dass der Netzwerkangriffsblocker nicht mehr funktioniert. Bei Verwendung von Kaspersky 10 funktioniert der Netzwerkangriffsblocker aufgrund der Pause des Endbenutzers nicht mehr. Um dieses Problem zu beheben, starten Sie die Kaspersky-Software neu. Der Network Attack Blocker läuft weiter.

McAfee

In den folgenden Verfahren wird beschrieben, wie Sie die McAfee-Antivirensoftware mit einem Betriebssystemlayer oder einem App-Layer bereitstellen.

Bereitstellungsmethode

Installieren Sie die McAfee-Software auf einer der folgenden Layer:

  • Der ursprüngliche Betriebssystemlayer.
  • Eine neue Version des Betriebssystemlayers.
  • Eine App-Layer.

Die folgenden Versionen der McAfee-Software wurden von Citrix getestet und sind für die Verwendung mit App Layering verifiziert:

  • ePolicy Orchestrator (ePO), Versionen 4.6.4, 5.3.1 und 5.3.2
  • McAfee Agent, Versionen 4.8.0.1938, 5.0.2.188 und 5.0.4.283
  • VirusScan Enterprise, Versionen 8.8.0.1528, 8.8.0.1445 und 8.8.0.1599

Wenn Sie den ePolicy Orchestrator 5.3.1-Server verwenden, um das McAfee Agent-Installationspaket zu erstellen, legen Sie die Priorität der Agent-Kontaktmethode in der folgenden Reihenfolge fest:

  • IP-Adresse
  • FQDN
  • NetBIOS-Name, um korrekt mit IM in der Arbeitsgruppe zu kommunizieren und die “Selbstschutz aktivieren” für die McAfee Agent-Richtlinie zu deaktivieren.

Installationsvoraussetzungen

Die Installationsanforderungen für die Installation von McAfee Antivirus auf einem goldenen Image oder App Layer sind identisch. Die Anforderungen für die Aufnahme des Agent in ein Image finden Sie auch im McAfee ePO-Produkthandbuch.

Wichtig:

Sie müssen McAfee im VDI-Modus installieren, indem Sie den Befehl framepkg.exe mit den in den folgenden Schritten beschriebenen Switches verwenden. Auf diese Weise kann der Agent beim Herunterfahren von ePO abmelden, was wiederum verhindert, dass doppelte Hostnamen in der ePO-Konsole ausgefüllt werden. Weitere Informationen zu dieser Anforderung finden Sie im McAfee KB87654.

Abhängig von der McAfee-Version müssen Sie möglicherweise die GUID (Globally Unique Identifier) für den McAfee Agent nach der Installation entfernen. Weitere Informationen finden Sie in der McAfee-Dokumentation zur Version der verwendeten Software.

Gehen Sie folgendermaßen vor, wenn Sie vorhaben, die McAfee-Antivirensoftware auf App Layering-Desktops mit einem Betriebssystemlayer-Layer bereitzustellen.

So installieren Sie die Software auf einem goldenen Image

  1. Installieren Sie die McAfee Agent-Software im VDI-Modus mit dem folgenden Befehl auf dem goldenen Image:

    framepkg.exe /Install=agent /enableVDImode

    Das goldene Image wird in der Systemstrukturliste von ePolicy Orchestrator angezeigt.

  2. Installieren Sie die McAfee VirusScan Enterprise Software auf dem goldenen Image:

    1. Wenn Sie aufgefordert werden, Windows Defender zu entfernen, klicken Sie auf Ja

    2. Erlauben Sie dem McAfee Agent Updater, das Update abzuschließen. Dieser Schritt kann einige Minuten dauern.

    3. Klicken Sie auf Fertig stellen, um die Installation abzuschließen.

  3. Nachdem die Installation abgeschlossen ist, wird ein Scan gestartet. Erlauben Sie den Abschluss des Scans.

  4. Ändern Sie den McAfee-Startwert:

    1. Öffnen Sie die McAfee VirusScan-Konsole, und deaktivieren Sie den AccessProtection.

    2. Öffnen Sie den Registrierungs-Editor (regedit), gehen Sie zum Schlüssel:

      \[HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\mfehidk\]

    3. Beenden Sie den Registrierungseditor.

    4. Aktivieren Sie in der McAfee VirusScan-Konsole den AccessProtection.

  5. Wenn McAfee dies für Ihr VDI-Setup erfordert, entfernen Sie die GUID für den Agenten (überprüfen Sie die McAfee-Dokumentation, um festzustellen, ob dieser Schritt erforderlich ist):

    1. Öffnen Sie den Registrierungs-Editor (regedit).

    2. Löschen Sie die folgenden Registrierungsschlüssel:

      • 32-bit:

        HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      • 64-bit:

        HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

  6. Wenn Sie dazu aufgefordert werden, starten Sie das goldenen Image neu, damit McAfee seine Treiber installieren kann.

  7. Fahren Sie das goldene Image herunter und importieren Sie es in einen Betriebssystemlayer.

So installieren Sie die Software auf einem Layer

Gehen Sie wie folgt vor, wenn Sie die McAfee-Antivirensoftware auf App Layering Desktops über einen Layer bereitstellen möchten.

  1. Schließen Sie in der App Layering-Verwaltungskonsole den Assistenten zum Erstellen von Layer ab.

  2. Wenn Sie zur Installation der Software aufgefordert werden, installieren Sie die McAfee Agent-Software mit dem folgenden Befehl im VDI-Modus.

    framepkg.exe /Install=agent /enableVDImode

    Nach Abschluss der Installation wird der Verpackungsmaschine in der Systemstrukturliste von ePolicy Orchestrator angezeigt.

  3. Installieren Sie die McAfee VirusScan Enterprise (VSE) -Software auf der Verpackungmaschine.

    1. Wenn Sie aufgefordert werden, Windows Defender zu entfernen, klicken Sie auf Ja.

    2. Installieren Sie die VSE-Software auf der Verpackungsmaschine mithilfe von Dateien vom McAfee EPO-Server. Andernfalls erlauben Sie dem McAfee Agent Updater, ein Update abzuschließen. Dieser Schritt kann einige Minuten dauern.

    3. Klicken Sie auf Fertig stellen, um die Installation abzuschließen.

  4. Ändern Sie den McAfee-Startwert:

    1. Öffnen Sie die McAfee VirusScan-Konsole, und deaktivieren Sie den AccessProtection.

    2. Öffnen Sie den Registrierungseditor, rufen Sie den folgenden Schlüssel auf und ändern Sie den Startwert von 0 in 1:

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mfehidk]

    3. Aktivieren Sie in der McAfee VirusScan-Konsole den AccessProtection.

  5. Wenn McAfee dies für Ihr VDI-Setup erfordert, entfernen Sie die GUID für den Agenten (überprüfen Sie die McAfee-Dokumentation, um festzustellen, ob dieser Schritt erforderlich ist):

    1. Öffnen Sie den Registrierungseditor.

    2. Löschen Sie die folgenden Registrierungsschlüssel:

      32-bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      64-bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

  6. Schließen Sie den App-Layer ab und stellen Sie den Layer auf die übliche Weise bereit.

Mögliche Interoperabilitätsprobleme

Die folgenden Interoperabilitätsprobleme können auf App Layering Desktops auftreten, auf denen McAfee-Antivirensoftware installiert ist.

Verzögerungen beim Öffnen von Videodateien

Wenn Sie die McAfee-Antivirus-Software zum Scannen von Skriptdateien konfigurieren, kann es zu langen Verzögerungen beim Öffnen von Videodateien in Internet Explorer kommen.

Wenn Sie versuchen, diese Dateien zu öffnen, versuchen McAfee-Software und App Layering, Vorgänge für diese Dateien gleichzeitig auszuführen. Dieser Konflikt führt zu einer Verzögerung bei der Ausführung der Videodatei. Alle anderen Fenster und Anwendungen funktionieren weiterhin normal.

Wenn Sie auf diese Art von Verzögerung stoßen, warten Sie, bis die Videodatei ausgeführt wird. Schließlich wird der Vorgang von McAfee beendet, und der App Layering-Vorgang wird abgeschlossen.

Dieses Problem hat keinen Einfluss auf die Fähigkeit der Antivirensoftware, die Videodateien auf Viren zu überprüfen.

Desktops mit McAfee-Layer sind in ePolicy Orchestrator nicht sichtbar

Wenn Sie im McAfee-Layer in ePolicy Orchestrator keine Desktops sehen können, beheben Sie das Problem mithilfe der Schritte im folgenden Artikel der McAffee Knowledge Base: So setzen Sie die McAfee-Agent-GUID zurück, wenn Computer nicht im ePolicy Orchestrator-Verzeichnis angezeigt werden.

McAfee MOVE

In den folgenden Verfahren wird beschrieben, wie Sie die McAfee MOVE Antivirensoftware in einem Layer bereitstellen.

Hinweis:

Bei diesen Anweisungen wird davon ausgegangen, dass Sie die McAfee MOVE Antivirensoftware auf dem McAfee ePolicy Orchestrator (ePO) installiert und konfiguriert haben

Um die McAfee MOVE Antivirensoftware bereitzustellen, installieren Sie die Software auf einem App-Layer und weisen Sie den Layer vorhandenen Desktops zu.

Die folgenden Versionen der McAfee MOVE Antivirensoftware wurden von Citrix getestet und sind für die Verwendung mit App Layering verifiziert.

  • McAfee Agent für Windows, Version 4.8.0.1938
  • McAfee AV MOVE Multi-Plattform-Client, Version 3.6.0.347
  • McAfee VirusScan Enterprise, Version 8.8.0.1247
  • McAfee AV MOVE Multi-Plattform-Offload-Scanserver, Version 3.6.0.347
  • McAfee VirusScan Enterprise, Version 8.8.0.1445 und 8.8.0.1599
  • McAfee AV MOVE Multi-Plattform-Offload-Scanserver, Version 3.6.1.141 und 4.5.0.211

Hinweis:

Der McAfee-Agent startet nicht für Remotedesktop-Sitzungen.

Installationsvoraussetzungen

Bevor Sie McAfee MOVE installieren, deaktivieren Sie Windows Defender in Windows 7.

So erstellen Sie einen McAfee Agent MOVE AV CLIENT App-Layer

  1. Navigieren Sie in der App Layering-Verwaltungskonsole zu Ebenen > Anwendungsschicht > Layer erstellen. Der Assistent zum Erstellen von Layern wird geöffnet.

  2. Schließen Sie den Assistenten zum Erstellen von Layern ab und klicken Sie auf der Registerkarte Bestätigen und abschließen auf Layer erstellen

  3. Zeigen Sie die aktuellen Aufgaben in der App Layering-Verwaltungskonsole an. Vergewissern Sie sich zunächst, dass der Task Create Application Layer<layer_name> den Status “Wird ausgeführt” enthält. Wenn sich der Status des Tasks “Anwendungslayer <layer_name> erstellen” in “Aktion erforderlich” ändert, melden Sie sich als Administrator an der Verpackungsmaschine an.

  4. Verschieben Sie die McAfee Agent-Software über den McAfee ePolicy Orchestrator auf die Verpackungmaschine. Die Verpackungsmaschine wird in der Liste der ePO-Systemstruktur angezeigt, und das McAfee-Symbol wird in der Taskleiste der Verpackungmaschine angezeigt.

  5. Verwenden Sie die Aufgabe Produktausbringung auf dem ePO, um den McAfee MOVE AV [Multi-Plattform-Client] auf der Verpackungsmaschine zu installieren.

  6. Starten Sie den Verpackungsmaschine neu, und melden Sie sich dann als Administrator an.

  7. Löschen Sie auf der Verpackungsmaschine den Wert für den Registrierungsschlüssel mit dem Namen AgentGuid von einem der folgenden Speicherorte:

    • 32 Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent

    • 64-Bit: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Network Associates\ePolicy Orchestrator\Agent

  8. Fahren Sie die Verpackungsmaschine herunter.

  9. Finalisieren Sie die App-Layer.

Microsoft Security Essentials

In den folgenden Verfahren wird beschrieben, wie Sie die Microsoft Security Essentials-Antivirensoftware in App Layering mithilfe eines Betriebssystemlayers oder eines App-Layers bereitstellen.

App Layering unterstützt die folgenden Versionen von Microsoft Security Essentials Antivirensoftware:

Microsoft Security Essentials 2012 version4.10.0209.0

  • Version des Antimalware-Clients: 4.2.223.0
  • Motorversion: 1.1.9901.0
  • Antivirus-Definition: 1.159.324.0
  • Definition von Antispyware: 1.159.324.0
  • Engine-Version des Netzwerk-Inspektionssystems: 2.1.9900.0
  • Definitionsversion des Netzwerk-Inspektionssystems: 108.1.0.0

Bereitstellungsmethode

Verwenden Sie eine der folgenden Methoden, um die Antivirensoftware von Microsoft Security Essentials bereitzustellen:

  • Installieren Sie die Software auf einem goldenen Image, das Sie in einen OS-Layer importieren.
  • Installieren Sie die Software auf einer Betriebssystemlayerversion.
  • Installieren Sie die Software auf einem App Layer.

Installationsvoraussetzungen

Die Microsoft Security Essentials-Antivirensoftware in einem Goldenimage von App Layering, einer Version des Betriebssystemlayers oder einer App-Layer-Version.

Aktivieren Sie den Windows Update-Dienst, verwenden Sie jedoch keine Windows-Updates. Die Updates müssen deaktiviert bleiben.

Konfigurieren Sie Microsoft Security Essentials für Windows 7 auf einer App Layering Layer-Version.

Gehen Sie wie folgt vor, um Microsoft Security Essentials unter Windows 7 (32 Bit oder 64 Bit) zu konfigurieren.

Standardmäßig deaktiviert das App Layering-Optimierungsskript den Windows Update-Dienst. Gehen Sie wie folgt vor, um Microsoft Security Essentials entweder als Betriebssystem oder App Layer unter Windows 7 bereitzustellen:

  1. Erstellen Sie eine OS- oder App Layer-Version.
  2. Gehen Sie zu C:\windows\setup\scripts und führen Sie den App Layering Optimization Script Builder aus. Wenn der Script Builder nicht verfügbar ist, laden Sie ihn erneut aus der ZIP-Datei App Layering Machine OS Tools herunter.
  3. Deaktivieren Sie im App Layering Optimization Script Builder Windows Update-Dienst deaktivieren.
  4. Schließen Sie den Layer ab.

Der Starttyp des Update-Dienstes ändert sich von Deaktiviert zu Manuell. Windows Updates sind nicht aktiviert, was eine App Layering-Anforderung ist.

Überprüfen Sie während der Installation services.msc und stellen Sie sicher, dass der Starttyp des Windows Update-Dienstes auf Manuell festgelegt ist. Wenn dies nicht der Fall ist, ändern Sie den Starttyp des Windows Update-Dienstes in Manuell und starten Sie Windows neu.

Fehlerbehebung bei fehlgeschlagenen Microsoft Windows

Wenn das Microsoft Security Essentials-Update auf einem Desktop fehlschlägt, weil Windows-Updates deaktiviert sind, versuchen Sie Folgendes.

  • Windows Updates in der Systemsteuerung aktivieren. Microsoft Security Essentials kann dann automatisch auf dem Desktop aktualisieren.
  • Wenn Sie Windows Updates mithilfe des lokalen Gruppenrichtlinien-Editors deaktiviert haben, bearbeiten Sie die Registrierung, um die lokale Gruppenrichtlinie zu entfernen:
  1. Führen Sie den Registrierungs-Editor aus und entfernen Sie die lokale Gruppenrichtlinie.
  2. Starten Sie die Maschine neu.
  3. Aktivieren Sie Windows Updates über die Systemsteuerung.

Sophos Cloud (alle unterstützten Betriebssysteme)

App Layering unterstützt die folgenden Versionen:

  • Sophos Enterprise Console 5.4
  • Sophos Endpoint Sicherheit und Kontrolle 10.6.3.537
  • Sophos Endpoint Security und Control 11.5.2 Cloud

Bevor Sie beginnen, erstellen und aktivieren Sie Ihr Sophos Cloud-Konto, wie in der Sophos-Dokumentationbeschrieben.

So installieren Sie die Sophos Cloud-Software auf einer neuen Version von OS Layer

  1. Wählen Sie in der App Layering-Verwaltungskonsole Layer > Betriebssystemlayer > Version hinzufügenaus.

  2. Wenn sich der Aufgabenstatus in Aktion erforderlich ändert, bereiten Sie Ihre Verpackungsmaschine gemäß den Allgemeinen Richtlinien für die Bereitstellung von Antivirensoftwarevor. Diese Informationen finden Sie am Anfang dieses Artikels.

  3. Treten Sie der Verpackungsmaschine der Domäne bei.

    Hinweis:

    Das Sophos-Installationsprogramm erstellt Gruppen und setzt Benutzer in sie ein. Stellen Sie sicher, dass sich die Verpackungsmaschine in der Domäne befindet.

  4. Melden Sie sich auf der Verpackungsmaschine bei Ihrer Sophos Cloud-Konsole an.

  5. Laden Sie SophosInstall.exe von Ihrem Sophos Cloud-Konto herunter.

    Wichtig:

    Verwenden Sie für diese Installation nicht das per E-Mail gesendete Installationsprogramm.

  6. Installieren Sie die Sophos Cloud-Software auf der Verpackungsmaschine.

  7. Wenn die Aufgabe zur Installation von Sophos abgeschlossen ist (oder anzeigt, dass eine Aktion erforderlich ist), starten Sie die Verpackungsmaschine neu.

  8. Klicken Sie in Ihrer Sophos Cloud-Konsole auf Berichte > Ereignisse. Stellen Sie sicher, dass Sophos Cloud den Computer verwaltet und dass er aktuell ist, bevor Sie fortfahren.

  9. Beenden und deaktivieren Sie die folgenden Windows-Dienste:

    • Sophos Machine Creation Client
    • Sophos Maschinenerstellungs-Agent
  10. Löschen Sie die folgenden Dateien:

    • C:\ProgramData\Sophos\AutoUpdate\cache\rms_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\savxp_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\ntp64_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\sau_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\ssp_cache
    • C:\Windows\Temp\sophos_autoupdate1.dir
    **Unter Windows 7 Windows Server 2008 R2:**
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist\Credentials
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist\EndpointIdentity.txt
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist*.xml
    • C:\ProgramData\Sophos\AutoUpdate\data\machine_ID
  11. Die Sophos Konfiguration bearbeiten:

    1. Navigieren Sie zum Sophos-Konfigurationsordner für Ihr Betriebssystem:

      Windows 7 Windows Server 2008 R

      C:\ProgramData\Sophos\Management Communications System\Endpoint\Config\

    2. Erstellen oder öffnen Sie eine Datei mit dem Namen registration.txtund fügen Sie dieser Datei die folgenden Zeilen hinzu:

      [McsClient]

      Token=value_of_MCS_REGISTRATION_TOKEN woher

      value_of_MCS_REGISTRATION_TOKEN ist der Wert des MCS_REGISTRATION_TOKEN, der Ihr Sophos Cloud-Konto identifiziert. Extrahieren Sie den Wert dieses Tokens aus SophosInstall.exe.

  12. Die Sophos-Setupdatei bearbeiten:

    1. Erstellen Sie in den folgenden Ordnern eine Datei mit dem Namen SophosSetup.cmd.

      Windows 7 Windows 2008 R2-Rechenzentrum

      C:\Windows\Setup\scripts\kmsdir

    2. Fügen Sie dieser Datei die folgenden Zeilen hinzu, einschließlich der doppelten Anführungszeichen:

      sc config "Sophos MCS Client" start= auto

      sc config "Sophos MCS Agent" start= auto

      net start "Sophos MCS Client"

      net start "Sophos MCS Agent"

  13. Bearbeiten Sie die Befehle, die bei jedem Start von Sophos ausgeführt werden sollen:

    1. Bearbeiten Sie die Datei c:\Windows\Setup\scripts\kmsdir\kmssetup.cmd.

    2. Fügen Sie das folgende Skript zu dem Abschnitt Commands to run every boot hinzu. Dieses Skript führt die Datei SophosSetup.cmd aus. Skriptdetails:

      REM Change Sophos Service to Automatic - once

      If EXIST SophosSetup.cmd (

      echo !date!-!time!-kmssetup.cmd:Call

      SophosSetup.cmd >> SophosSetuplog.txt

      Call SophosSetup.cmd >> SophosSetuplog.txt

      Copy SophosSetup.cmd SophosSetupCMD.txt >> SophosSetuplog.txt

      Del SophosSetup.cmd >> SophosSetuplog.txt

      )

  14. Treten Sie der Verpackungsmaschine wieder der Arbeitsgruppe bei.

  15. Stellen Sie den Betriebssystemlayer fertig.

Sophos Antivirus - Windows 7- und Windows 2008 R2-Desktops

In diesem Abschnitt wird erläutert, wie Sophos Antivirus auf neuen oder vorhandenen Desktops bereitgestellt wird. Sie können Sophos Antivirus entweder dem goldenen Image oder einer Version von OS Layer hinzufügen.

Diese Verfahren basieren auf dem Sophos-Wissensdatenbank-Artikel Sophos Antivirus für Windows 2000: Einbeziehen aktueller Versionen in ein Disk-Image, einschließlich zur Verwendung mit geklonten virtuellen Maschinen.

Hinweis:

Wenn Sophos das Modul Sophos Auto Update nicht aktualisieren kann, schlägt auch das Aktualisieren der Virussignaturaktualisierungen fehl. Damit Sophos seinen eigenen Updater aktualisieren kann, bearbeiten Sie Ihren Betriebssystemlayer und löschen Sie dieses Verzeichnis:

C:\ProgramData\Sophos\AutoUpdate\Cache\sau

Bereitstellungsmethode

Verwenden Sie ein goldenes Image oder eine Betriebssystemlayer-Version, um Sophos-Software bereitzustellen. Sie können Sophos-Software nicht als App-Layer bereitstellen. Sophos erstellt ein Benutzerkonto, das es für Updates auf den von ihm verwalteten Desktops verwendet. App Layering unterstützt diese Benutzerkonten im goldenen Image oder in OS-LayerVersion.

So konfigurieren Sie das goldene Image oder die OS-Layer-Version

  1. Installieren Sie die Sophos-Software auf dem goldenen Image oder der Betriebssystemlayer-Version.

  2. Wenn Sie ein goldenes Image verwenden, installieren Sie die App Layering Tools auf dem Image. Wenn Sie eine OS-Layer-Version verwenden, überspringen Sie diesen Schritt.

    Wenn Sie dazu aufgefordert werden, lassen Sie das System neu starten, aber fahren Sie das goldene Image nach Abschluss der Installation nicht herunter. Schließen Sie zuerst den Rest dieses Vorgangs ab.

  3. Stoppen und deaktivieren Sie nur die folgenden Sophos-Dienste. Wenn Sie die Desktops bereitstellen, wird ein Mini-Setup ausgeführt. Durch Deaktivieren der angegebenen Dienste wird sichergestellt, dass die Sophos-Dienste erst gestartet werden, wenn das Mini-Setup abgeschlossen ist.

    • Sophos Agent
    • Sophos AutoUpdate-Dienst
    • Sophos-Nachrichtenrouter
  4. Öffnen Sie den Registrierungs-Editor und löschen Sie die pkc - und pkp-Werte für die folgenden Schlüssel:

    Windows 32-Bit-Systeme

    HKLM\Software\Sophos\Messaging System\Router\Private\ HKLM\Software\Sophos\Remote Management System\ManagementAgent\Private\

    Windows 64-Bit-Systeme

    HKLM\Software\Wow6432Node\Sophos\Messaging System\Router\Private\ HKLM\Software\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private\

  5. Löschen Sie die folgenden Dateien:

    C:\ProgramData\Sophos\AutoUpdate\data\machine_ID.txt C:\ProgramData\Sophos\AutoUpdate\data\status\status.xml

  6. Benennen Sie die folgenden Verzeichnisse um:

    Von: C:\ProgramData\Sophos\AutoUpdate\Cache\savxp

    An: C:\ProgramData\Sophos\AutoUpdate\Cache\savxp.copy

    Von: C:\ProgramData\Sophos\AutoUpdate\Cache\rms

    An: C:\ProgramData\Sophos\AutoUpdate\Cache\rms.copy

    Das Umbenennen der Verzeichnisse ist erforderlich, da App Layering Versuche blockiert, Verzeichnisse umzubenennen, die auf einem goldenen Image vorhanden sind. Für das Sophos-Update muss es diese Verzeichnisse umbenennen.

  7. Erstellen Sie eine Datei mit dem Namen SophosSetup.cmd und legen Sie sie im Ordner C:\Windows\Setup\scripts\kmsdir ab. (Wenn der Ordner nicht existiert, erstellen Sie ihn).

  8. Fügen Sie die folgenden Zeilen zu SophosSetup.cmd hinzu. Fügen Sie die doppelten Anführungszeichen wie gezeigt ein.

     pushd "c:\ProgramData\Sophos\AutoUpdate\Cache"
     xcopy savxp.copy*.* savxp*.* /s/y
     xcopy rms.copy*.* rms*.* /s/y
     sc config "Sophos Agent" start= auto
     sc config "Sophos AutoUpdate Service" start= auto
     sc config "Sophos Message Router" start= auto
     net start "Sophos Agent"
     net start "Sophos AutoUpdate Service"
     net start "Sophos Message Router"
     cd "c:\Windows\Setup\scripts\kmsdir"
     popd
     <!--NeedCopy-->
    
  9. Bearbeiten Sie die Datei c:\Windows\Setup\scripts\kmsdir\kmssetup.cmd und fügen Sie dem Abschnitt ‘Commands to run every boot das folgende Skript hinzu. Dieses Skript führt die Datei SophosSetup.cmd aus.

    Beispiel für kmssetup.cmd mit Sophos Skript:

     REM Change Sophos Service to Automatic - once
     If EXIST SophosSetup.cmd (
     echo !date!-!time!-kmssetup.cmd:Call SophosSetup.cmd >> SophosSetuplog.txt
     Call SophosSetup.cmd >> SophosSetuplog.txt
     Del SophosSetupCMD.txt >> SophosSetuplog.txt
     Copy SophosSetup.cmd SophosSetupCMD.txt >> SophosSetuplog.txt
     Del SophosSetup.cmd >> SophosSetuplog.txt
     )
     <!--NeedCopy-->
    
  10. Wenn Sie ein goldenen Image verwenden, fahren Sie das goldenen Image herunter und erstellen Sie mithilfe der App Layering-Verwaltungskonsole einen OS-Layer. Das goldene Image wird in den neuen Betriebssystemlayer importiert.

    Wenn Sie eine Betriebssystemlayer-Version verwenden, schließen Sie die Version ab.

  11. Um geschützt zu werden, starten Sie persistente Desktops eine zusätzliche Zeit neu. Verwenden Sie die App Layering-Verwaltungskonsole, um den Desktop neu zu starten.

Optional: Passen Sie die Sicherheitskennung an

Nachdem Sie das goldene Image in einen Betriebssystemlayer importiert haben, müssen Sie möglicherweise die Werte der Sicherheitskennung (SID) aktualisieren. Erstellen Sie dazu eine Version für den Betriebssystemlayer, um die SID in einer der Sophos-Konfigurationsdateien zu aktualisieren. Im folgenden Artikel der Sophos Knowledge Base wird erläutert, wie Sie die SID-Werte (Security Identifier) in einer der Sophos-Konfigurationsdateien aktualisieren:

Sie verfügen nicht über ausreichende Berechtigungen, um die Sophos Endpoint Security and Control Hauptanwendung auszuführen. Sie sind kein Mitglied einer Sophos-Gruppe.

Wann passe ich die SID an?

Wenn Sie einen Desktop im Betriebssystemlayer bereitstellen und Benutzer die Sophos Endpoint Security and Control-Benutzeroberfläche nicht öffnen können, passen Sie die SID an.

SID-Anpassungsverfahren

Sie können diese Schritte entweder vor oder nach dem Importieren des goldenen Images in einen Layer ausführen. Wenn Sie das goldene Image importiert haben, können Sie diese Schritte ausführen, indem Sie die neueste Version des Betriebssystemlayers bearbeiten. Sie können auch eine Version des Betriebssystemlayers erstellen.

So passen Sie die SID an

  1. Laden Sie die Skriptdatei UpdateSID.vbs von der Sophos-Website herunter. Platzieren Sie diese Datei in C:\Windows\Setup\Scripts directory. Dieses Skript ist erforderlich, um die Computer-ID nach der Bereitstellung eines Desktops zu korrigieren.

  2. Bearbeiten Sie die Datei C:\Windows\Setup\Scripts\SophosSetup.cmdund fügen Sie die folgenden zwei Zeilen am Ende der Datei hinzu:

    cd \Windows\setup\scripts

    cscript.exe UpdateSID.vbs //B

  3. Wenn das Skript für eine Version des Betriebssystemlayer bestimmt ist, schließen Sie die Version ab.

Sie können jetzt Desktops erstellen, indem Sie diese Version des Betriebssystemlayers verwenden. Stellen Sie sicher, dass die Desktops eine Verbindung zur Enterprise Console herstellen, sich registrieren und gemäß dem Zeitplan aktualisieren können.

Symantec Endpoint Protection

Sie können die Symantec Endpoint Protection-Anwendung mithilfe einer der folgenden Methoden bereitstellen:

  • Installieren Sie die Anwendung auf einem goldenen Image und importieren Sie dann das goldene Image in einen Betriebssystemlayer.
  • Installieren Sie die Anwendung als OS-Layer-Version.
  • Installieren Sie die Anwendung als Teil eines App Layers.

Hinweis:

Citrix empfiehlt die Verwendung von Zugriffsscans in App Layering-Bereitstellungen. Nachdem die Dateien als “sauber” markiert wurden, verbessert der Symantec Shared Insight Cache die Leistung, indem er die Dateien in einem Layer nicht neu scannt.

Citrix unterstützt die folgenden Symantec Endpoint Protection-Versionen für den Client und Manager:

  • 12 und 12.1
  • 12.1.4
  • 12.1.5
  • 12.1.6(12.1 RU6 MR6) Build 7004 (12.1.7061.6600)
  • 14 MP 1 (14.0.2332)
  • 14.2

Hinweis:

Symantec Endpoint Protection 12.1.2 und 12.1.3 werden aufgrund eines Symantec-Problems nicht unterstützt, das App Layering daran hindert, ordnungsgemäß zu funktionieren.

Verhalten von Symantec Endpoint Protection auf App Layering-Desktops

Scan-Typ Ergebnis
Bei Zugriff Microsoft Windows 7: Zugriffsscans funktionieren wie erwartet auf allen App Layering-Desktops.
Manual Microsoft Windows 7: Wenn Sie die Benutzerkontensteuerung (UAC) deaktivieren, werden bei einer manuellen Virensuche nur die Dateien auf dem Startvolume der virtuellen Maschine untersucht. Lassen Sie die Benutzerkontensteuerung aktiviert, wenn Sie die Software installieren.

So installieren Sie Software mithilfe von Symantec Endpoint Protection Manager

Bei diesem Verfahren wird der Computermodus als Bereitstellungsmethode verwendet, mit der Richtlinien auf den gesamten Desktop angewendet werden.

  1. Suchen Sie im Symantec Endpoint Protection Manager entweder das Betriebssystemimage oder die Verpackungsmaschine für die App, und melden Sie sich an:

    • Betriebssystem-Image, wenn Sie den Betriebssystemlayer verwenden
    • Verpackungsmaschine, wenn Sie einen App-Layer oder Layer-Revision verwenden
    1. Wählen Sie Clients > Nicht verwaltete Computer suchenaus.

    2. Geben Sie die entsprechenden Suchkriterien in das sich öffnende Fenster ein.

    3. Installieren Sie die Software.

    Hinweis:

    Nach der Installation der Software werden Sie aufgefordert, den Symantec Endpoint Protection Manager neu zu starten. Wenn Sie dies in Schritt 1 tun, kann dies zu Problemen beim Starten der SEP-Dienste führen. Setzen Sie den Installationsvorgang fort und starten Sie Symantec Endpoint Protection Manager in Schritt 5 neu.

  2. Melden Sie sich an der Verpackungsmaschine an und deaktivieren Sie den Manipulationsschutz.

  3. Deaktivieren Sie den Registrierungseintrag für den “Stealth” -Schutz. Das Scannen funktioniert auch dann, wenn die Benutzerkontensteuerung (User Account Control, UAC) aktiviert ist. Stellen Sie sicher, dass die folgenden Einstellungen in der Registrierung korrekt sind. Wenn die Werte in der Registrierung nicht vorhanden sind, fügen Sie sie hinzu.

    • Für 32-Bit-Maschinen:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Common]

      "ScanStealthFiles" = (REG_DWORD) 0

    • Für 64-Bit-Maschinen:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Common]

      "ScanStealthFiles" = (REG_DWORD) 0

  4. Ändern Sie mit regedit die Gruppen- und Tag-Werte für jede CCSettings-GUID.

    1. Gehen Sie zu folgendem Schlüssel:

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ccSettings_{GUID}]

      Wenn es mehr als einen gibt ccSettings_{GUID}, beginnen Sie mit dem ersten.

    2. Ändern Sie für jeden ccSettings_{GUID}den Gruppenwert von FSFilter Bottom in FSFilter Virtualization.

    3. Ändern Sie den Tag-Wert für die erste GUID in 8, und fügen Sie dem Wert für jede nachfolgende GUID 1 hinzu. Die nächste GUID ist der Wert 9, dann 10 und so weiter.

      Hinweis:

      Wenn Sie Symantec zum ersten Mal installieren, gibt es eine ‘ccSettings_ {GUID} ‘. Jedes Mal, wenn Sie die Anwendung aktualisieren, fügt Symantec eine weitere GUID hinzu.

  5. Starten Sie die Verpackungsmaschine oder das goldenen Image neu. Starten Sie dann die Verpackungsmaschine so oft wie nötig neu, bis die Anforderung nach der Installation nicht mehr in der App Layering-Verwaltungskonsole angezeigt wird.

  6. Aktivieren Sie den Manipulationsschutz.

  7. Informationen zu SEP 12.1 und höher finden Sie in den Anweisungen im folgenden Knowledge Base-Artikel, um die Maschinen für die Bereitstellung der Software in einer VDI-Umgebung vorzubereiten. Weitere Informationen finden Sie im Artikel So bereiten Sie einen Endpoint Protection-Client für das Klonenvor.

  8. Fahren Sie das goldenen Image herunter und importieren Sie es in einen OS-Layer oder schließen Sie die Verpackungsmaschine ab.

  9. Wenn Sie das SEP Virtual Image Exception (VIE) -Tool verwenden müssen, lesen Sie den Artikel Verwendung des Tools SEP Virtual Image Exception (VIE) für Empfehlungen.

Während der Bereitstellung der Symantec-Software erstellt die App Layering-Software das Desktop- oder Verpackungsmaschinen-Image mehrmals neu. Die Anzahl hängt davon ab, wie Sie die Symantec-Anwendung bereitstellen. Dieses Verhalten ist zu erwarten, da die Symantec Endpoint Protection-Software die Konfiguration der Komponenten auf Boot-Ebene während der Erstinstallation nicht vollständig abschließt.

Für Client-Server-Bereitstellungen

Die Symantec-Endpunkt-Schutz-Software:

  • Installiert einige der erforderlichen Treiber und startet den Desktop oder die Verpackungsmaschine neu.
  • Aktualisiert andere Komponenten und startet den Desktop oder die Verpackungsmaschine erneut.
  • Schließt die Installation ab und startet den Desktop oder die Verpackungsmaschine erneut.
  • Wird auf Desktops bereitgestellt

Wenn Sie die Symantec-Software auf nicht persistenten Desktops bereitstellen, fügen Sie die Software bei der Erstellung des Desktops hinzu. Wenn Sie einen App Layer mit Symantec Endpoint Protection zu einem vorhandenen, nicht persistenten Desktop hinzufügen, werden zwei Einträge pro Desktop im Symantec Endpoint Protection Manager angezeigt.

In den folgenden Szenarien werden zwei Instanzen desselben Computers mit unterschiedlichen Namen in der Symantec Endpoint Protection-Konsole angezeigt:

  • Erstellen eines persistenten Desktops unter Windows 2008 R2 mit einem App-Layer für Symantec Endpoint Protection
  • Weisen Sie den App-Layer einem vorhandenen Desktop zu

Ein Name ist richtig. Der zweite Name ist ein temporärer Name und wurde nicht gelöscht. Um dieses Problem zu beheben, können Sie Clients löschen, die seit X Tagen keine Verbindung hergestellt haben.

So löschen Sie Clients

  1. Gehen Sie in der Symantec Endpoint Protection Konsole zur Admin-Seite und wählen Sie Domainsaus.
  2. Wählen Sie unter Aufgabendie Option Domäneneigenschaften bearbeiten.
  3. Klicken Sie im Fenster Domäneneigenschaften bearbeiten auf der Standardregisterkarte Allgemein auf Clients löschen, die für eine bestimmte Zeit keine Verbindung hergestellt haben. Citrix empfiehlt, dass der Wert für große Unternehmensumgebungen 7 bis 14 Tage beträgt.
  4. Weitere Informationen finden Sie unter Lösung 2 im Artikel Doppelte SEP-Clients werden in der Symantec Endpoint Protection Manager-Konsole angezeigt.

Überlegungen zum Symantec-Hilfe-Diagnosetool (SymHelp)

Wenn Sie Symantec Endpoint Protection auf einer Layer bereitstellen, müssen Sie für das Symantec-Hilfe-Diagnosetool (SymHelp) zwei Dateien in Unified Endpoint Protection ablegen. Erstellen Sie ein Skript mit den folgenden Zeilen, und platzieren Sie den Pfad dazu in einem Skriptpfad, wenn Sie den Symantec-Layer anwenden.

pushd "C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IRON"
copy Iron.db Iron.db.save
copy Iron.db.save Iron.db /y
copy RepuSeed.irn RepuSeed.irn.save
copy RepuSeed.irn.save RepuSeed.irn /y
popd
<!--NeedCopy-->

Trend Micro OfficeScan

In den folgenden Verfahren wird beschrieben, wie Sie die Trend Micro OfficeScan Antivirensoftware mit einem Betriebssystemlayer oder einem App-Layer bereitstellen. Diese Verfahren basieren auf der Trend Micro Dokumentation zur Bereitstellung von Desktops in einer VDI-Umgebung.

Citrix App Layering unterstützt Trend Micro OfficeScan Client und Server Version 11.0.6054.

Bereitstellungsmethoden

Verwenden Sie eine der folgenden Methoden, um die Trend Micro Antivirensoftware bereitzustellen:

  • Installieren Sie die Software auf einem goldenen Image und importieren Sie sie in einen neuen Betriebssystemlayer.
  • Installieren Sie die Software auf einer Betriebssystemlayerversion.
  • Installieren Sie die Software auf einem Anwendungslayer und weisen Sie den Layer neuen oder vorhandenen Desktops zu.

Wichtig:

Wenn Sie Trend Micro OfficeScan auf einem goldenen Image oder einer OS-Layer-Version installieren, führen Sie die OfficeScan-Datei TCacheGen.exe auf folgende Maschinen aus:

  • Das goldene Image oder der Betriebssystemlayer.
  • Auf jedem App-Layer, der das goldene Image oder OS Layer verwendet

Führen Sie jedes Mal, wenn Sie eine App Layer- oder Layer-Version erstellen, TCacheGen.exe auf jedem Layer aus, der den Betriebssystemlayer mit Trend Micro OfficeScan verwendet.

Führen TCacheGen.exeSie die Verpackungsmaschine nach dem Ausführen nicht erneut aus.

Sie können TCacheGen.exe vom OfficeScan Server kopieren, wie in der Trend Micro Dokumentation angegeben. In der Regel befindet sich diese Datei im \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen Ordner.

So installieren Sie Trend Micro auf einem goldenen Image

Löschen Sie den Globally Unique Identifier (GUID) für die Trend Micro Software, bevor Sie das goldenen Image in einen OS-Layer importieren. Wenn Sie die App Layering Machine Tools installieren, wird das System neu gestartet und eine GUID erstellt. Installieren Sie daher zuerst die Werkzeugmaschinen, erlauben Sie der Installation, den Computer neu zu starten, und löschen Sie dann die GUID.

Weitere Informationen finden Sie im Trend Micro Dokument Configuring the OfficeScan (OSCE) Virtual Desktop Infrastructure (VDI) Client/Agent. Es ist wichtig, dass Sie die Empfehlungen von Trend Micro verstehen, wenn Sie die Software installieren.

  1. Installieren Sie die App Layering Machine Tools auf dem goldenen Image.
  2. Installieren Sie den Trend Micro OfficeScan Client.
  3. Kopieren Sie die Datei TCacheGen.exe vom OfficeScan Server, wie in der Trend Micro Dokumentation beschrieben. Normalerweise befindet sich die Datei im Ordner:

    \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen

  4. Führen Sie den aus, TCacheGen.exe wie in der Trend Micro Dokumentation beschrieben.
  5. Klicken Sie auf GUID aus der Vorlage entfernen, und klicken Sie dann auf OK.
  6. Schließen Sie das goldene Image ab.
  7. Erstellen Sie einen OS-Layer mit dem goldenen Image.

    Wichtig:

    Jedes Mal, wenn Sie diesem Layer eine Version hinzufügen, müssen Sie die TCacheGen.exe ausführen und die GUID erneut löschen. Wenn Sie diese Aktionen ausführen, wird sichergestellt, dass die Desktops, die diesen Layer verwenden, ordnungsgemäß funktionieren.

So installieren Sie die Software auf einem App-Layer

  1. Schließen Sie in der App Layering-Verwaltungskonsole den Assistenten zum Erstellen von Layern ab.

  2. Installieren Sie den Trend Micro OfficeScan Client auf der Verpackungsmaschine, wenn Sie dazu aufgefordert werden.

    Wenn Sie Trend Micro OfficeScan 11 installieren und sich der Status der Aufgabe in Aktion erforderlichändert, deaktivieren Sie den Dienst Unauthorized Change Prevention wie folgt:

    1. Doppelklicken Sie auf dem OfficeScan Server auf den Link OfficeScan Web Console (HTML) auf dem Desktop, um die OfficeScan Webkonsole zu öffnen.

    2. Wählen Sie in der OfficeScan Webkonsole Agents > Agent-Verwaltungaus.

    3. Rechtsklicken Sie auf OfficeScan Server und wählen Sie Einstellungen > Zusätzliche Diensteinstellungenaus. Das Fenster Zusätzliche Diensteinstellungen wird geöffnet.

    4. Deaktivieren Sie unter Unauthorized Change Prevention Serviceauf den folgenden Betriebssystemen aktivieren.

    5. Wählen Sie in der Webkonsole Agents > Agent-Installation > Remoteaus.

    6. Geben Sie in Endpoints suchendie IP-Adresse Ihrer Verpackungsmaschine ein, und drücken Sie dann die EINGABETASTE.

    7. Geben Sie den Benutzernamen und das Kennwort des lokalen Administrators für die Verpackungsmaschine ein und klicken Sie auf Anmelden.

    8. Klicken Sie auf Installieren, um den OfficeScan Agent auf den Zielcomputern zu installieren, und klicken Sie dann im Bestätigungsdialogfeld auf OK . Eine Bestätigungsnachricht bestätigt die Anzahl der Agenten, an die Benachrichtigungen gesendet wurden, und die Nummer, die den Empfang dieser Mitteilungen überprüft haben.

    9. Gehen Sie in der OfficeScan Webkonsole zu Agents > Agent-Verwaltung. Klicken Sie auf Arbeitsgruppe, und wählen Sie dann den Namen der Verpackungsmaschine aus.

    10. Deaktivieren Sie den Dienst Unauthorized Change Prevention für die Gruppen, die Sie verwenden. Rechtsklicken Sie auf die Verpackungsmaschine und wählen Sie Einstellungen > Zusätzliche Diensteinstellungen aus. Das Fenster Zusätzliche Diensteinstellungen wird geöffnet.

  3. Deaktivieren Sie unter Unauthorized Prevention Service die Option Dienst auf den folgenden Betriebssystemen aktivieren.

  4. Wenn Sie dazu aufgefordert werden, starten Sie die Verpackungsmaschine neu, damit das Startimage neu erstellt werden kann

  5. Kopieren Sie die Datei TCacheGen.exe nach dem Neustart der Verpackungsmaschine vom OfficeScan Server. Weitere Informationen finden Sie in der Trend Micro Dokumentation. Normalerweise befindet sich die Datei im Ordner:

    \\TrendServerName\ofcscan\Admin\Utility\TCacheGen

  6. Führen Sie die Datei TCacheGen.exe aus. Weitere Informationen finden Sie in der Trend Micro Dokumentation.

  7. Klicken Sie auf GUID aus der Vorlage löschen, und klicken Sie dann auf OK.

  8. Stellen Sie den Layer fertig.

    Wichtig

    Jedes Mal, wenn Sie diesem Layer eine Version hinzufügen, müssen Sie die ausführen TCacheGen.exe und die GUID erneut löschen. Dadurch wird sichergestellt, dass die Desktops, die diesen Layer verwenden, ordnungsgemäß funktionieren.