Storage zones controller

Konfigurieren von Antivirus-Scans von hochgeladenen Dateien

Wichtig:

Aufgrund von Aktualisierungen des Anwendungscodes in StorageZones 4.2 müssen einige Kunden die Berechtigungsstufe, auf der das Tool ausgeführt wird, vom lokalen Administrator auf den Systemnetzwerkdienst aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, können Antivirus-Scans nicht gestartet werden.

Anforderungen/Zusammenfassung

  • Benutzer mit StorageZones Controller 4.2 oder höher
  • SFAntivirus muss als Netzwerkdienst mit PSExec ausgeführt werden
  • Speicherort der Protokolldatei aktualisieren

Führen Sie SFAntivirus als Netzwerkdienst mit PSExecaus:

Clients, die auf SZ 4.2 oder höher mit vorhandenen geplanten Aufgaben, die mit SFAntivirus verknüpft werden, aktualisieren, müssen die Benutzerebene, auf der das Tool ausgeführt wird, vom lokalen Administrator zum Systemnetzwerkdienst ändern.

Um Netzwerkdienstrechte abzurufen, starten Sie PowerShell (x86) mit PSExec unter demselben Benutzerkontext wie der StorageZones Controller und beziehen Sie Netzwerkdienstrechte mit dem folgenden Befehl:

PsExec.exe -i -u "NT AUTHORITY\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

Speicherort der Protokolldatei aktualisieren

Administratoren müssen außerdem den Speicherort der Protokolldatei ändern, indem sie den Eintrag log4net.config bearbeiten, wenn sie sich in einem Verzeichnis außerhalb des standardmäßigen SZC-Protokollverzeichnisses anmelden, indem sie die folgende Zeile ändern:

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

Die Installation des StorageZones Controller umfasst mehrere Dateien, die Antiviren-Scans unterstützen. Die Dateien werden standardmäßig in C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. installiert.

Nachdem Sie die Konfigurationsdatei angepasst und mit dem Windows-Taskplaner die Scans planen, wie in den folgenden Schritten beschrieben, bewirkt jede Dateiuploadanforderung, dass der StorageZones Controller die Datei für einen Antiviren-Scan in die Warteschlange stellt. Wenn Probleme für eine gescannte Datei gemeldet werden, enthält die Ordneransicht ein Warnsymbol für die Datei. Wenn ein Benutzer versucht, die Datei herunterzuladen, wird eine Warnmeldung angezeigt.

Ab StorageZones Controller 4.0 kann der Speicherort der Antiviren-Protokolldatei konfiguriert werden. Um den Speicherort des Protokolls zu ändern, bearbeiten Sie die Datei SFAntivirus.exe.config unter C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus.

Die Antivirus-Scan entfernt die Datei nicht.

Die Verwendung des ICAP-Protokolls mit Antivirus-Scanplattformen, die nach dem RFC-Standard für ICAP codiert wurden, wird auf StorageZones Controller 4.2 oder höher unterstützt. Informationen zur Konfiguration eines ICAP AV finden Sie weiter unten in diesem Artikel.

Voraussetzung

  • Wenn Sie Viren-Scans (SFAntiVirus.exe) auf dem StorageZones Controller ausführen, stellen Sie sicher, dass die Verschlüsselung auf dem Controller deaktiviert ist: Überprüfen Sie auf der Konfigurationsseite der Storage Zones Konsole, ob das Kontrollkästchen Verschlüsselung aktivieren deaktiviert ist.

Hinweis:

Nach der Konfiguration des Antivirenprogramms in Ihrer Zone werden alle neu hochgeladenen Elemente gescannt. Die Antivirus-Konfiguration ist nicht rückwirkend. Durch die Konfiguration werden keine Dateien und Elemente gescannt, die bereits in der Zone vorhanden sind.

So bereiten Sie die Konfiguration für Ihren Standort vor

  1. So führen Sie Virenscans auf einem anderen Server als dem Storage Zones Controller aus:

    1. Kopieren Sie den Ordner C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus auf den anderen Server.

    2. Öffnen Sie auf dem StorageZones Controller C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config, und legen Sie QueueSDKRestricted auf 0 fest:<add key="QueueSDKRestricted" value="0" />

  2. Bearbeiten Sie auf dem Server, auf dem Sie Virenscans ausführen, SFAntiVirus.exe.config mit den Werten für die Controller Konfiguration Ihrer Speicherzonen:

    1. Für CommandFile: Geben Sie den vollständigen Pfad zur Antivirensoftware an. Diese Software muss sich auf demselben Server wie der ShareFile-Antivirenordner befinden.

    2. Für CommandOptions und Rückgabecodes: Die Befehlszeileneinstellungen in der Konfigurationsdatei sind ein Beispiel. Geben Sie die entsprechenden Einstellungen für Ihre Antivirensoftware und -umgebung an.

    3. Für ScanFileTimeout: Größere Dateien können länger durchsucht werden. Passen Sie diese Einstellung entsprechend den in Ihrem Speicher erwarteten Dateigrößen an. Andernfalls könnte dies das Risiko erhöhen, dass eine große Datei nicht gescannt wird.

  3. Führen Sie in einem Befehlszeilenfenster den folgenden Befehl aus, um Virenscans einzurichten: SFAntiVirus.exe -register SFusername SFpassword

Verwenden Sie ICAP für AV-Scans anstelle von Befehlszeilen-Tools

Storage Zones Controller 5.3 und höher unterstützen die Verwendung des ICAP-Protokolls mit Antiviren-Scanplattformen, die nach dem RFC-Standard für ICAP codiert wurden. Kunden können weiterhin die CLI-Methode verwenden, wenn sie möchten. Diese Funktion wird für Mandantenzonen ab StorageZones Controller 5.0.1 und höher unterstützt.

Um einen ICAP-AV-Scanner auf Ihrem StorageZones Controller zu aktivieren, navigieren Sie zur Konfigurationsseite des Storage Zones Controllers.

Aktivieren Sie das Kontrollkästchen Antivirenintegration aktivieren, und geben Sie die Adresse des Antivirus-Servers in das Feld ICAP RESPMOD-URL ein. Dies ist die URL des ICAP-Antwortänderungsdiensts: ICAP://SERVER/RESPMOD.

Klicken Sie auf Konnektivität testen, um Ihre Einstellung zu bestätigen.

So erstellen und planen Sie eine Aufgabe für Virenscans

Hinweis:

Das Erstellen geplanter Tasks für Virenscans ist nur bei Verwendung von Befehlszeilentools erforderlich. Dies ist bei der Verwendung von ICAP nicht erforderlich.

  1. Starten Sie den Windows-Taskplaner, und klicken Sie im Aktionsbereich auf Task erstellen.

  2. Auf der Registerkarte Allgemein:

    1. Geben Sie einen aussagekräftigen Namen für die Aufgabe an.

    2. Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern, und geben Sie einen Windows-Benutzer an, der die Aufgabe ausführen soll. Der Benutzer muss über die vollständige Zugriffsberechtigung für den Speicherort verfügen.

    3. Wählen Sie Ausführen aus, ob der Benutzer angemeldet ist oder nicht. Lassen Sie das Kontrollkästchen Kennwort nicht speichern deaktiviert.

    4. Wählen Sie Ausführen mit höchsten Berechtigungenaus.

    5. Wählen Sie im Menü Konfigurieren fürdas Betriebssystem des Servers aus, auf dem der Task ausgeführt werden soll.

  3. So erstellen Sie einen Trigger: Klicken Sie auf der Registerkarte Trigger auf Neu. Wählen Sie dann unter Task beginnen dieOption Nach einem Zeitplan aus, und geben Sie einen Zeitplan an.

  4. So erstellen Sie eine Aktion: Klicken Sie auf der Registerkarte Aktionen auf Neu.

    1. Wählen Sie unter Aktion die Option Programm starten aus, und geben Sie den vollständigen Pfad zum Programm an. Beispiel:

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

    2. Geben Sie unter Start in den Speicherort von SFAntiVirus.exe an: C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

  5. Wählen Sie auf der Registerkarte Einstellungen unter Wenn der Task bereits ausgeführt wird, die folgende Regel gilt, keine neue Instanz starten.

AV-Befehlszeilenintegration in Scan Service

Voraussetzungen

  • Stellen Sie vor der Installation oder Aktualisierung des StorageZones Controller 5.2 sicher, dass Sie den vorhandenen Befehlszeilen-AV beenden oder löschen, wenn er als geplanter Task oder Cron ausgeführt wird.
  • Installieren Sie .NET 4.6.2 (oder höher) auf einem Hostcomputer.

Der Scan-Dienst im lokalen StorageZones Controller unterstützt die Verwendung eines Befehlszeilen-AV-Tool wie der Symantec-Befehlszeilen-AV-Scan. Darüber hinaus bietet der Suchdienst Scans mit ICAP-unterstützten Antivirenprodukten.

Um diese Funktion zu aktivieren, fügen Sie den folgenden Konfigurationsschlüssel und den folgenden Wert in der Datei AntiVirus/OnPrem/AVScanService/AVScanService/appSettings.config hinzu.

<add key="use-command-line-av" value="true" />

Befehlszeilen-Toolspezifische Konfiguration

Das Upgrade oder die Neuinstallation von Storage Zones Controller 5.2 enthält eine neue Konfigurationsdatei:

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

Diese Datei verarbeitet die notwendigen Einstellungen für die AV-Befehlszeile.

Die Konfigurationsschlüsselwerte werden unten mit Beispielwerten erläutert.

  • Setzen Sie diesen Punkt auf Ihre Befehlszeilenanwendung.

    "command-file": "c:\\\\vscan\\\\scan.exe"

  • Überprüfen Sie die Dokumentation für die Befehlszeilenanwendung, um zu sehen, welche Optionen oder Switches von der Befehlszeilenanwendung unterstützt werden, und fügen Sie sie dann an diesem Speicherort hinzu.

    "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

  • Geben Sie die Ausgabewerte ein, die auf einen sauberen Scan hinweisen.

    "scanner-codes-for-clean-file": "0, 19",

  • Geben Sie Ausgabewerte ein, die auf infizierte Datei hinweisen.

    "scanner-codes-for-infected-file": "12, 13",

  • Geben Sie Ausgabewerte ein, die auf nicht gescannte Dateien hinweisen.

    "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

Hinweise zur Erzwingung der maximalen Dateigröße, ausgenommen Erweiterungen

Vor Version 5.2 konnten Sie den Erweiterungsausschluss oder die maximale Dateigrößenerzwingung auf der Befehlszeilen-AV nicht erzwingen. Sie konnten dies nur auf dem ICAP-Scan-Dienst tun. Mit Version 5.2 gelten dieselben Einstellungen, die für den ICAP-Scandienst bezüglich ausgeschlossener Erweiterungen und maximaler Dateigröße in Byte angewendet wurden, für den AV-Befehlszeilendienst.

Diese Einstellungen wurden wie folgt benannt:

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

Bei einer neuen Installation von Storage Zones Controller 5.2 werden diese Einstellungen wie folgt umbenannt. Die umbenannten Einstellungen spiegeln die Tatsache wider, dass sie sowohl für ICAP-basierte AV als auch für die Befehlszeilen-AV gelten.

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

Bei einem Upgrade werden diese Einstellungen nicht umbenannt. Obwohl manuelle Umbenennungen funktionieren, funktionieren dieselben Einstellungen zusätzlich zu ICAP auch für die AV-Befehlszeile.

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />