Storage zones controller

Konfigurieren von Antivirenscans hochgeladener Dateien

Wichtig:

Aufgrund von Aktualisierungen des Anwendungscodes in StorageZones 4.2 müssen einige Kunden die Berechtigungsstufe, auf der das Tool ausgeführt wird, vom lokalen Administrator zum Systemnetzwerkdienst aktualisieren. Wenn die Berechtigungen nicht aktualisiert werden, können Antiviren-Scans nicht gestartet werden.

Anforderungen/Zusammenfassung

  • Benutzer, der StorageZones Controller 4.2 oder höher verwendet
  • SFAntivirus muss als Netzwerkdienst mit PsExec ausgeführt werden
  • Speicherort der Protokolldatei aktualisieren

Führen Sie SfAntivirus als Netzwerkdienst mit PsExecaus:

Clients, die auf SZ 4.2 oder höher mit vorhandenen geplanten Aufgaben, die mit SFAntivirus verknüpft sind, aktualisieren, müssen die Benutzerebene, auf der das Tool ausgeführt wird, vom lokalen Administrator zum Systemnetzwerkdienst ändern.

Um Netzwerkdienstrechte zu erhalten, verwenden Sie PsExec, um PowerShell (x86) im gleichen Benutzerkontext wie den StorageZones Controller zu starten und Netzwerkdienstrechte mit dem folgenden Befehl zu erhalten:

PsExec.exe -i -u "NT AUTHORITY\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

Speicherort der Protokolldatei aktualisieren

Administratoren müssen auch den Speicherort der Protokolldatei ändern, indem sie den Eintrag log4net.config bearbeiten, wenn sie sich in einem Verzeichnis außerhalb des standardmäßigen SZC-Protokollverzeichnisses anmelden, indem sie die folgende Zeile ändern:

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

Die Installation des StorageZones Controllers umfasst mehrere Dateien, die Virenscans unterstützen. Die Dateien werden standardmäßig in C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. installiert.

Nachdem Sie die Konfigurationsdatei angepasst und den Windows-Taskplaner verwendet haben, um die Scans zu planen, wie in den folgenden Schritten beschrieben, veranlasst jede Datei-Upload-Anforderung, dass der Storage Zones Controller die Datei für einen Antivirus-Scan in die Warteschlange stellt. Wenn Probleme für eine gescannte Datei gemeldet werden, enthält die Ordneransicht ein Warnsymbol für die Datei. Wenn ein Benutzer versucht, die Datei herunterzuladen, wird eine Warnmeldung angezeigt.

Ab StorageZones Controller 4.0 kann der Speicherort der Antiviren-Protokolldatei konfiguriert werden. Um den Speicherort des Protokolls zu ändern, bearbeiten Sie die Datei Sfantivirus.exe.config unter C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus.

Der Antivirus-Scan entfernt die Datei nicht.

Die Verwendung des ICAP-Protokolls mit Antiviren-Scan-Plattformen, die nach dem RFC-Standard für ICAP codiert wurden, wird auf StorageZones Controller 4.2 oder höher unterstützt. Informationen zur Konfiguration eines ICAP AV finden Sie weiter unten in diesem Artikel.

Hinweis:

Nach der Konfiguration des Virenschutzes in Ihrer Zone werden alle neu hochgeladenen Elemente gescannt. Die Antivirus-Konfiguration ist nicht rückwirkend. Durch die Konfiguration werden keine Dateien und Elemente gescannt, die bereits in der Zone vorhanden sind.

So bereiten Sie die Konfiguration für Ihren Standort vor

  1. So führen Sie Virenscans auf einem anderen Server als dem StorageZones Controller aus:

    1. Kopieren Sie den Ordner C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus auf den anderen Server.

    2. Öffnen Sie auf dem StorageZones Controller C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config und setzen Sie QueueSDKRestricted auf 0: <add key="QueueSDKRestricted" value="0" />

  2. Bearbeiten Sie auf dem Server, auf dem Sie Virenscans ausführen, SFAntiVirus.exe.config mit den Werten für Ihre StorageZones Controller-Konfiguration:

    1. Für CommandFile: Geben Sie den vollständigen Pfad zur Antivirensoftware an. Diese Software muss sich auf demselben Server wie der ShareFile-Antivirus-Ordner befinden.

    2. Für CommandOptions und Rückgabecodes: Die in der Konfigurationsdatei bereitgestellten Befehlszeileneinstellungen sind ein Beispiel. Stellen Sie die entsprechenden Einstellungen für Ihre Antivirensoftware und Umgebung bereit.

    3. Für scanFileTimeout: Das Scannen größerer Dateien kann länger dauern. Passen Sie diese Einstellung an die in Ihrem Speicher erwarteten Dateigrößen an. Andernfalls könnte dies das Risiko erhöhen, dass eine große Datei nicht gescannt wird.

  3. Führen Sie in einem Befehlszeilenfenster den folgenden Befehl aus, um Virenscans einzurichten: SFAntiVirus.exe -register SFusername SFpassword

Verwenden Sie ICAP für AV-Scans anstelle von Befehlszeilen-Tools

StorageZones Controller 5.3 und höher unterstützt die Verwendung des ICAP-Protokolls mit Antiviren-Scan-Plattformen, die nach dem RFC-Standard für ICAP codiert wurden. Kunden können weiterhin die CLI-Methode verwenden, wenn sie möchten. Diese Funktion wird für Mandantenzonen ab Storage Zones Controller 5.0.1 und höher unterstützt.

Um einen ICAP AV-Scanner auf Ihrem StorageZone Controller zu aktivieren, navigieren Sie zur StorageZones Controller-Konfigurationsseite.

Aktivieren Sie das Kontrollkästchen Anti-Virus-Integration aktivieren und geben Sie die Adresse Ihres Antivirus-Servers in das Feld ICAP RESPMOD-URL ein. Dies ist die URL des ICAP-Dienstes zur Änderung von Antworten: ICAP://SERVER/RESPMOD.

Klicken Sie auf Konnektivität testen, um Ihre Einstellung zu bestätigen.

So erstellen und planen Sie eine Aufgabe für Virenscans

Hinweis:

Das Erstellen von geplanten Tasks für Virenscans ist nur erforderlich, wenn Befehlszeilen-Tools verwendet werden. Dies ist bei der Verwendung von ICAP nicht erforderlich.

  1. Starten Sie den Windows-Taskplaner, und klicken Sie im Aktionsbereich auf Task erstellen.

  2. Auf der Registerkarte Allgemein:

    1. Geben Sie einen aussagekräftigen Namen für die Aufgabe an.

    2. Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern, und geben Sie einen Windows-Benutzer an, der die Aufgabe ausführen soll. Der Benutzer muss volle Zugriffsberechtigung für den Speicherort haben.

    3. Wählen Sie Ausführen aus, ob der Benutzer angemeldet ist oder nicht. Lassen Sie das Kontrollkästchen Kennwort nicht speichern deaktiviert.

    4. Wählen Sie Mit den höchsten Rechten ausführenaus.

    5. Wählen Sie im Menü Konfigurieren fürdas Betriebssystem des Servers aus, auf dem die Aufgabe ausgeführt werden soll.

  3. So erstellen Sie einen Trigger: Klicken Sie auf der Registerkarte Auslöser auf Neu. Wählen Sie dann für Aufgabe beginnen dieOption Nach Zeitplan aus, und geben Sie einen Zeitplan an.

  4. So erstellen Sie eine Aktion: Klicken Sie auf der Registerkarte Aktionen auf Neu.

    1. Wählen Sie für Aktiondie Option Programm starten und geben Sie den vollständigen Pfad zum Programm an. Beispiel:

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

    2. Geben Sie für Start in den Speicherort von SFAntiVirus.exe an: C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

  5. Wählen Sie auf der Registerkarte Einstellungen für Wenn die Aufgabe bereits ausgeführt wird, die folgende Regel zutrifft, die Option Keine neue Instanz startenaus.

Integration der AV-Befehlszeile in den Suchdienst

Voraussetzungen

  • Stellen Sie vor der Installation oder dem Upgrade von StorageZones Controller 5.2 sicher, dass Sie das vorhandene Befehlszeilen-AV anhalten oder löschen, wenn es als geplante Aufgabe oder als Cron ausgeführt wird.
  • Installieren Sie .NET 4.6.2 (oder höher) auf einem Hostcomputer.

Der Scan-Service im on-premises StorageZones Controller bietet Unterstützung für die Verwendung eines Befehlszeilen-AV-Tools wie den AV-Scan der Symantec-Befehlszeile. Darüber hinaus bietet der Suchdienst Scans mit ICAP-unterstützten Antivirenprodukten.

Um diese Funktion zu aktivieren, fügen Sie den folgenden Konfigurationsschlüssel und Wert in der Datei AntiVirus/OnPrem/AVScanService/AVScanService/appSettings.config hinzu

<add key="use-command-line-av" value="true" />

Befehlszeilentoolspezifische Konfiguration

Das Upgrade oder die Neuinstallation von Storage Zones Controller 5.2 beinhaltet eine neue Konfigurationsdatei:

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

Diese Datei verarbeitet die notwendigen Einstellungen für die AV-Befehlszeile.

Die Konfigurationsschlüsselwerte werden unten erklärt, wobei Beispielwerte enthalten sind.

  • Setzen Sie diesen Punkt auf Ihre Befehlszeilen-App.

    "command-file": "c:\\\\vscan\\\\scan.exe"

  • Sehen Sie in der Dokumentation der Befehlszeilen-App nach, welche Optionen oder Switches sie unterstützt, und fügen Sie sie dann an dieser Stelle hinzu.

    "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

  • Schließen Sie die Ausgabewerte ein, die auf einen sauberen Scan hinweisen

    "scanner-codes-for-clean-file": "0, 19",

  • Schließt Ausgabewerte ein, die auf infizierte

    "scanner-codes-for-infected-file": "12, 13",

  • Schließt Ausgabewerte ein, die darauf hinweisen, dass

    "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

Hinweise zur Durchsetzung der maximalen Dateigröße, ohne Erweiterungen

Vor Version 5.2 konnten Sie den Ausschluss von Erweiterungen oder die Durchsetzung der maximalen Dateigröße auf dem Befehlszeilen-AV nicht erzwingen. Sie konnten dies nur mit dem ICAP-Scandienst tun. Mit Version 5.2 gelten dieselben Einstellungen, die für den ICAP-Scandienst in Bezug auf ausgeschlossene Erweiterungen und maximale Dateigröße in Byte galten, für den AV-Befehlszeilendienst.

Diese Einstellungen wurden benannt als:

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

Eine neue Installation von Storage Zones Controller 5.2 benennt diese Einstellungen in die folgenden um. Die umbenannten Einstellungen spiegeln die Tatsache wider, dass sie sowohl für ICAP-basierte AV als auch für die Befehlszeilen-AV gelten.

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

Bei einem Upgrade werden diese Einstellungen nicht umbenannt. Obwohl manuelle Umbenennungen funktionieren, würden dieselben Einstellungen zusätzlich zu ICAP auch für die AV-Befehlszeile funktionieren.

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

Konfigurieren von Antivirenscans hochgeladener Dateien