Konfigurieren von Antiviren-Scans hochgeladener Dateien

Wichtig:

Aufgrund von Aktualisierungen des Anwendungscodes in StorageZones 4.2 müssen einige Kunden die Berechtigungsstufe, auf der das Tool ausgeführt wird, vom lokalen Administrator auf den Systemnetzwerkdienst aktualisieren. Wenn Sie Berechtigungen nicht aktualisieren, können Antiviren-Scans nicht gestartet werden.

Anforderungen/Zusammenfassung

  • Benutzer, der StorageZones Controller 4.2 oder höher nutzt
  • sfanVirus muss als Netzwerkdienst mit PSExec ausgeführt werden
  • Speicherort der Protokolldatei aktualisieren

Führen Sie sfanVirus als Netzwerkdienst mit PSExecaus:

Clients, die auf SZ 4.2 oder höher aktualisieren und vorhandene geplante Tasks mit SfanVirus verknüpfen, müssen die Benutzerebene ändern, auf der das Tool ausgeführt wird, vom lokalen Administrator zum Systemnetzwerkdienst.

Um Netzwerkdienstrechte abzurufen, starten Sie PowerShell (x86) mit PSExec unter demselben Benutzerkontext wie der StorageZones Controller und beziehen Sie Netzwerkdienstrechte mit dem folgenden Befehl:

PsExec.exe -i -u "NT AUTHORITY\\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

Speicherort der Protokolldatei aktualisieren

Administratoren müssen auch den Speicherort der Protokolldatei ändern, indem sie den Eintrag log4net.config bearbeiten, wenn sie sich in einem Verzeichnis außerhalb des standardmäßigen SZC-Protokollverzeichnisses protokollieren, indem sie die folgende Zeile ändern:

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

Die Installation des StorageZones Controller umfasst mehrere Dateien, die Antiviren-Scans unterstützen. Die Dateien werden standardmäßig in C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. installiert.

Nachdem Sie die Konfigurationsdatei angepasst und mit dem Windows-Taskplaner die Scans planen, wie in den folgenden Schritten beschrieben, bewirkt jede Dateiuploadanforderung, dass der StorageZones Controller die Datei für einen Antiviren-Scan in die Warteschlange stellt. Wenn Probleme für eine gescannte Datei gemeldet werden, enthält die Ordneransicht ein Warnsymbol für die Datei. Wenn ein Benutzer versucht, die Datei herunterzuladen, wird eine Warnmeldung angezeigt.

Ab StorageZones Controller 4.0 kann der Speicherort der Antivirus-Protokolldatei konfiguriert werden. Um den Speicherort des Protokolls zu ändern, bearbeiten Sie die Datei Sfantivirus.exe.config unter C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus.

Die Antivirensuche entfernt die Datei nicht.

Die Verwendung des ICAP-Protokolls mit Antivirus-Scan-Plattformen, die mit dem RFC-Standard für ICAP codiert wurden, wird auf StorageZones Controller 4.2 oder höher unterstützt. Informationen zur Konfiguration eines ICAP AV finden Sie weiter unten in diesem Artikel.

Voraussetzung

  • Wenn Sie Viren-Scans (Sfantivirus.exe) auf dem StorageZones Controller ausführen, stellen Sie sicher, dass die Verschlüsselung auf dem Controller deaktiviert ist: Überprüfen Sie auf der Konfigurationsseite der Storage Zones Konsole, ob das Kontrollkästchen Verschlüsselung aktivieren deaktiviert ist.

Hinweis:

Nachdem Sie Antivirus in Ihrer Zone konfiguriert haben, werden alle neu hochgeladenen Elemente gescannt. Die Antiviruskonfiguration ist nicht rückwirkend. Durch die Konfiguration werden keine Dateien und Elemente überprüft, die bereits in der Zone vorhanden sind.

So bereiten Sie die Konfiguration für Ihren Standort vor

  1. So führen Sie Virenscans auf einem anderen Server als dem Storage Zones Controller aus:

    1. Kopieren Sie den Ordner C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus auf den anderen Server.

    2. Öffnen Sie auf dem StorageZones Controller C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config, und legen Sie QueuesDKRestricted auf 0 fest:<add key="QueueSDKRestricted" value="0" />

  2. Bearbeiten Sie auf dem Server, auf dem Sie Virenscans ausführen, Sfantivirus.exe.config mit den Werten für die Konfiguration der Storage Zones Controller:

    1. Für CommandFile: Geben Sie den vollständigen Pfad zur Antivirensoftware an. Diese Software muss sich auf demselben Server wie der ShareFile e-Antivirus-Ordner befinden.

    2. Für CommandOptions und Return-Codes: Die in der Konfigurationsdatei bereitgestellten Befehlszeileneinstellungen sind ein Beispiel. Geben Sie die entsprechenden Einstellungen für Ihre Antivirensoftware und -umgebung an.

    3. Für ScanFileTimeout: Größere Dateien können länger dauern. Optimieren Sie diese Einstellung entsprechend den in Ihrem Speicher erwarteten Dateigrößen. Andernfalls könnte dies das Risiko erhöhen, dass eine große Datei nicht gescannt wird.

  3. Führen Sie in einem Befehlszeilenfenster den folgenden Befehl aus, um Virenscans einzurichten:SFAntiVirus.exe -register SFusername SFpassword

Verwenden von ICAP für AV-Scans anstelle von Befehlszeilentools

StorageZones Controller 4.2 oder höher unterstützt die Verwendung des ICAP-Protokolls mit Antivirus-Scan-Plattformen, die mit dem RFC-Standard für ICAP codiert wurden. Kunden können weiterhin die CLI-Methode verwenden, wenn sie möchten. Diese Funktion wird für Mandantenzonen ab SZ 5.0.1 oder höher unterstützt.

Um einen ICAP AV-Scanner auf dem SpeicherzonenController zu aktivieren, navigieren Sie zur Konfigurationsseite des Storage Zones Controllers.

Aktivieren Sie das Kontrollkästchen Antivirus-Integration aktivieren , und geben Sie die Adresse Ihres Antivirus-Servers in das Feld ICAP RESPMOD-URL ein. Dies ist die URL des ICAP-Antwortmodifizierungsdienstes:ICAP://SERVER/RESPMOD.

Klicken Sie auf Konnektivität testen , um Ihre Einstellung zu bestätigen.

So erstellen und planen Sie einen Task für Viren-Scans

Hinweis:

Das Erstellen geplanter Tasks für Virenscans ist nur bei Verwendung von Befehlszeilentools erforderlich. Dies ist bei der Verwendung von ICAP nicht erforderlich.

  1. Starten Sie den Windows-Taskplaner, und klicken Sie im Aktionsbereich auf Task erstellen .

  2. Auf der Registerkarte Allgemein :

    1. Geben Sie einen aussagekräftigen Namen für die Aufgabe an.

    2. Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern , und geben Sie einen Windows-Benutzer an, um die Aufgabe auszuführen. Der Benutzer muss über die vollständige Zugriffsberechtigung für den Speicherort verfügen.

    3. Wählen Sie Ausführen, ob der Benutzer angemeldet ist oder nicht. Lassen Sie das Kontrollkästchen Kennwort nicht speichern deaktiviert.

    4. Wählen Sie Ausführen mit höchsten Berechtigungen aus.

    5. Wählen Sie im Menü Konfigurieren fürdas Betriebssystem des Servers aus, auf dem der Task ausgeführt werden soll.

  3. So erstellen Sie einen Trigger: Klicken Sie auf der Registerkarte Trigger auf Neu . Wählen Sie dann unter Vorgang starten dieOption Nach einem Zeitplanund geben Sie einen Zeitplan an.

  4. So erstellen Sie eine Aktion: Klicken Sie auf der Registerkarte Aktionen auf Neu .

    1. Wählen Sie unter Aktiondie Option Programm startenund geben Sie den vollständigen Pfad zum Programm an. Zum Beispiel:

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

    2. Geben Sie unter Start in den Speicherort von SfanVirus.exe an:C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

  5. Wählen Sie auf der Registerkarte Einstellungen für Wenn der Task bereits ausgeführt wird , die folgende Regel gilt, die Option Keine neue Instanz starten aus.

AV-Befehlszeilenintegration in den Scandienst

Voraussetzungen

  • Stellen Sie vor der Installation oder Aktualisierung des StorageZones Controller 5.2 sicher, dass Sie den vorhandenen Befehlszeilen-AV beenden oder löschen, wenn er als geplanter Task oder Cron ausgeführt wird.
  • Installieren Sie .NET 4.6.2 (oder höher) auf einem Hostcomputer.

Der Scan-Dienst im lokalen StorageZones Controller unterstützt die Verwendung eines Befehlszeilen-AV-Tool wie der Symantec-Befehlszeilen-AV-Scan. Darüber hinaus bietet der Suchdienst Scans mit ICAP unterstützten Antivirenprodukten.

Um diese Funktion zu aktivieren, fügen Sie den folgenden Konfigurationsschlüssel und den folgenden Wert in der Datei AntiVirus/OnPrem/AVScanService/AVScanService/appSettings.config hinzu.

<add key="use-command-line-av" value="true" />

Befehlszeilentool-spezifische Konfiguration

Das Upgrade oder die Neuinstallation von Storage Zones Controller 5.2 enthält eine neue Konfigurationsdatei:

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

Diese Datei behandelt die notwendigen Einstellungen für die AV-Befehlszeile.

Die Konfigurationsschlüsselwerte werden unten mit Beispielwerten erläutert.

  • Legen Sie diesen Punkt auf Ihre Befehlszeilenanwendung fest.

    "command-file": "c:\\\\vscan\\\\scan.exe"

  • Überprüfen Sie die Dokumentation für die Befehlszeilenanwendung, um zu sehen, welche Optionen oder Switches sie unterstützt, und fügen Sie sie dann an diesem Speicherort hinzu.

    "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

  • Fügen Sie die Ausgabewerte ein, die auf einen sauberen Scan hinweisen.

    "scanner-codes-for-clean-file": "0, 19",

  • Geben Sie Ausgabewerte ein, die auf eine infizierte Datei hinweisen.

    "scanner-codes-for-infected-file": "12, 13",

  • Geben Sie Ausgabewerte ein, die nicht gescannte Dateien anzeigen.

    "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

Hinweise zur Erzwingung der maximalen Dateigröße, ausgenommen Erweiterungen

Vor Version 5.2 konnten Sie den Erweiterungsausschluss oder die Erzwingung der maximalen Dateigröße auf der Befehlszeilen-AV nicht erzwingen. Sie können dies nur für den ICAP-Scan-Dienst tun. In Version 5.2 gelten für den AV-Befehlszeilendienst dieselben Einstellungen, die für den ICAP-Scandienst bezüglich ausgeschlossener Erweiterungen und maximaler Dateigröße in Bytes gelten.

Diese Einstellungen wurden folgendermaßen benannt:

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

Eine neue Installation von Storage Zones Controller 5.2 benennt diese Einstellungen in die folgenden um. Die umbenannten Einstellungen spiegeln die Tatsache wider, dass sie sowohl für ICAP-basierte AV als auch für die BefehlszeilenAV gelten.

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

Bei einem Upgrade werden diese Einstellungen nicht umbenannt. Obwohl manuelle Umbenennungen funktionieren, funktionieren dieselben Einstellungen zusätzlich zu ICAP auch für die AV-Befehlszeile.

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />