Endpoint Security and Antivirus Best Practices

Übersicht

Dieser Artikel enthält Richtlinien zum Konfigurieren von Antivirensoftware in Citrix Virtual Apps and Desktops-Umgebungen sowie Ressourcen zum Konfigurieren von Antivirensoftware auf anderen Citrix-Technologien und -Features (z. B. Cloud Connectors, Provisioning Services usw.). Falsche Antivirenkonfiguration ist eines der häufigsten Probleme, die wir im Feld sehen. Es kann zu verschiedenen Problemen führen, von Leistungsproblemen oder beeinträchtigten Benutzererlebnissen bis hin zu Timeouts und Ausfällen verschiedener Komponenten.

In diesem Tech Paper behandeln wir einige wichtige Themen, die für optimale Virenbereitstellungen in virtualisierten Umgebungen relevant sind: Agent-Provisioning und -Aufhebung, Signaturaktualisierungen, eine Liste der empfohlenen Ausschlüsse und Leistungsoptimierungen. Die erfolgreiche Implementierung dieser Empfehlungen hängt von Ihrem Antivirenanbieter und Ihrem Sicherheitsteam ab. Konsultieren Sie sie, um genauere Empfehlungen zu erhalten.

Achtung! Dieser Artikel enthält Antivirenausschlüsse. Es ist wichtig zu verstehen, dass Virenschutzausschlüsse und -optimierungen die Angriffsfläche eines Systems erhöhen und Computer verschiedenen Sicherheitsbedrohungen ausgesetzt sind. Die folgenden Richtlinien stellen jedoch in der Regel den besten Kompromiss zwischen Sicherheit und Leistung dar. Citrix empfiehlt nicht, diese Ausschlüsse oder Optimierungen zu implementieren, bis in einer Laborumgebung strenge Tests durchgeführt wurden, um die Kompromisse zwischen Sicherheit und Leistung gründlich zu verstehen. Citrix empfiehlt außerdem, dass Unternehmen ihre Antiviren- und Sicherheitsteams dazu einsetzen, die folgenden Richtlinien zu überprüfen, bevor sie mit einer beliebigen Produktionsbereitstellung fortfahren.

Agentenregistrierungen

Agent-Software, die auf jeder bereitgestellten virtuellen Maschine installiert ist, muss sich normalerweise bei einem zentralen Standort registrieren, um die Verwaltung, Statusberichte und andere Aktivitäten zu melden. Damit die Registrierung erfolgreich ist, muss jeder Agent eindeutig identifizierbar sein.

Bei Maschinen, die über ein einzelnes Image bereitgestellt werden, wobei Technologien wie Provisioning Services (PVS) oder Maschinenerstellungsdienste (MCS) verwendet werden, ist es wichtig zu verstehen, wie jeder Agent identifiziert wird - und ob für virtualisierte Umgebungen Anweisungen erforderlich sind. Einige Anbieter verwenden dynamische Informationen wie die MAC-Adresse oder Computername zur Maschinenkennung. Andere verwenden den traditionelleren Ansatz einer zufälligen Zeichenfolge, die während der Installation generiert wird. Um Konflikte bei Registrierungen zu vermeiden, muss jeder Computer einen eindeutigen Bezeichner generieren. Die Registrierung in nicht persistenten Umgebungen erfolgt häufig mit einem Startskript, das automatisch Daten zur Computeridentifikation von einem beständigen Standort wiederherstellt.

In dynamischeren Umgebungen ist es auch wichtig zu verstehen, wie sich die Aufhebung der Bereitstellung von Maschinen verhält, ob die Bereinigung ein manueller Vorgang ist oder ob sie automatisch durchgeführt wird. Einige Anbieter bieten die Integration mit Hypervisoren oder sogar Delivery Controllern, bei denen Maschinen bei der Bereitstellung automatisch erstellt oder gelöscht werden können.

Empfehlung: Fragen Sie Ihren Sicherheitsanbieter, wie wird die Registrierung/Abbuerung seiner Agenten implementiert. Wenn die Registrierung mehr Schritte für Umgebungen mit Single-Image-Management erfordert, nehmen Sie diese Schritte in Ihre Anweisungen zur Bildversiegelung auf, vorzugsweise als vollautomatisches Skript.

Signaturaktualisierungen

Aktuell konsistent aktualisierte Signaturen sind einer der wichtigsten Aspekte von Endpunktsicherheitslösungen. Die meisten Anbieter verwenden lokal zwischengespeicherte, inkrementell aktualisierte Signaturen, die auf jedem der geschützten Geräte gespeichert sind.

Bei nicht persistenten Maschinen ist es wichtig zu verstehen, wie Signaturen aktualisiert werden und wo sie gespeichert werden. Auf diese Weise können Sie das Zeitfenster verstehen und minimieren, in dem Malware den Computer infizieren kann.

Insbesondere in Situationen, in denen Updates nicht inkrementell sind und eine signifikante Größe erreichen können, können Sie eine Bereitstellung in Betracht ziehen, in der persistenter Speicher an jeden der nicht persistenten Computer angehängt wird, um den Update-Cache zwischen Zurücksetzen und Image-Updates intakt zu halten. Mit diesem Ansatz werden das Fenster der Verkaufschance und die Auswirkungen einer Definitionsaktualisierung minimiert.

Neben Signaturaktualisierungen für jeden der bereitgestellten Computer ist es auch wichtig, eine Strategie für die Aktualisierung des Masterimages zu definieren. Es wird empfohlen, diesen Prozess zu automatisieren, ebenso wie die regelmäßige Aktualisierung des Masterimages mit den neuesten Signaturen. Dies ist besonders wichtig für inkrementelle Updates, bei denen Sie den für jede virtuelle Maschine erforderlichen Datenverkehr minimieren.

Ein weiterer Ansatz zur Verwaltung von Signaturaktualisierungen in virtualisierten Umgebungen besteht darin, die Natur der dezentralen Signaturen vollständig durch eine zentrale Scan-Engine zu ersetzen. Dies geschieht zwar in erster Linie, um die Leistungsauswirkung eines Antivirenprogramms zu minimieren, hat aber auch den Nebenvorteil der Zentralisierung von Signaturaktualisierungen.

Empfehlung: Fragen Sie Ihren Sicherheitshersteller, wie Signaturen in Ihrem Antivirenprogramm aktualisiert werden. Wie hoch ist die erwartete Größe und Häufigkeit und sind Aktualisierungen inkrementell? Gibt es Empfehlungen für nicht persistente Umgebungen?

Performance-Optimierungen

Ein Antivirenprogramm, insbesondere wenn er nicht ordnungsgemäß konfiguriert ist, kann sich negativ auf die Skalierbarkeit und die allgemeine Benutzererfahrung auswirken. Daher ist es wichtig, die Auswirkungen auf die Leistung zu verstehen, um zu bestimmen, was sie verursacht und wie sie minimiert werden kann.

Die verfügbaren Strategien und Ansätze zur Leistungsoptimierung unterscheiden sich für verschiedene Antivirenanbieter und -implementierungen. Einer der gebräuchlichsten und effektivsten Ansätze ist die zentrale Abladung von Antiviren-Scans. Anstatt jeder Computer für das Scannen (oft identischer) Samples verantwortlich ist, wird das Scannen zentralisiert und nur einmal durchgeführt. Dieser Ansatz ist für virtualisierte Umgebungen optimiert. Stellen Sie jedoch sicher, dass Sie die Auswirkungen auf die Hochverfügbarkeit verstehen.

Virenentlastung Das Verschieben von Scans auf eine dedizierte Appliance kann in virtualisierten Umgebungen sehr effektiv sein

Ein anderer Ansatz basiert auf dem Vorscannen von schreibgeschützten Teilen der Datenträger, die vor der Provisioning auf den Masterimages durchgeführt werden. Es ist wichtig zu verstehen, wie sich dies auf das Zeitfenster auswirkt (was zum Beispiel, wenn ein Datenträger bereits infizierte Dateien enthält, Signaturen jedoch während der Pre-Scan-Phase nicht verfügbar sind?). Diese Optimierung wird häufig mit dem Scannen von schreibgeschützten Ereignissen kombiniert, da alle Lesevorgänge entweder von vorab gescannten Datenträgerteilen oder von einem sitzungsspezifischen Schreibcache/Differentialdatenträger stammen, der bereits während des Schreibvorgangs gescannt wurde. Häufig besteht ein guter Kompromiss darin, Echtzeit-Scans (optimiert) mit geplanten Scans (vollständige Scans des Systems) zu kombinieren.

Virenschutz-Schreibscans Die gängigste Scanoptimierung besteht darin, sich nur auf die Unterschiede zwischen virtuellen Maschinen zu konzentrieren

Empfehlung: Leistungsoptimierungen können die Benutzererfahrung erheblich verbessern. Sie können jedoch auch als Sicherheitsrisiko angesehen werden. Daher wird eine Konsultation mit Ihrem Anbieter und Ihrem Sicherheitsteam empfohlen. Die meisten Antivirenanbieter mit Lösungen für virtualisierte Umgebungen bieten optimierte Scan-Engines.

Antivirus Exclusions

Die gebräuchlichste (und oft wichtigste) Optimierung für Antivirenprogramme ist die richtige Definition von Virenschutzausschlüssen für alle Komponenten. Obwohl einige Anbieter Citrix Komponenten automatisch erkennen und Ausschlüsse anwenden können, handelt es sich bei den meisten Umgebungen um eine manuelle Aufgabe, die für das Antivirenprogramm in der Verwaltungskonsole konfiguriert werden muss.

Ausschlüsse werden in der Regel für die Echtzeitsuche empfohlen. Citrix empfiehlt jedoch, die ausgeschlossenen Dateien und Ordner regelmäßig mit zeitgesteuerten Scans zu scannen. Um potenzielle Auswirkungen auf die Leistung zu verringern, wird empfohlen, zeitgesteuerte Scans während der Geschäftszeiten oder außerhalb der Spitzenzeiten durchzuführen.

Die Integrität ausgeschlossener Dateien und Ordner muss immer gewahrt werden. Unternehmen können erwägen, eine kommerzielle File Integrity Monitoring- oder Host Intrusion Prevention-Lösung zu verwenden, um die Integrität von Dateien und Ordnern zu schützen, die vom Echtzeit- oder On-Access-Scan Datenbank- und Protokolldateien sind bei dieser Art der Überwachung der Datenintegrität ausgeschlossen, da sich diese Dateien voraussichtlich ändern werden. Wenn ein ganzer Ordner von der Echtzeit- oder Zugriffsprüfung ausgeschlossen werden muss, empfiehlt Citrix, die Erstellung neuer Dateien in den ausgeschlossenen Ordnern genau zu überwachen.

Scannen Sie nur lokale Laufwerke - oder deaktivieren Sie die Netzwerksuche. Die Annahme besteht darin, dass alle Remotestandorte, die Dateiserver enthalten können, die Benutzerprofile und umgeleitete Ordner hosten, von Antiviren- und Datenintegritätslösungen überwacht werden. Andernfalls wird empfohlen, Netzwerkfreigaben, auf die von allen bereitgestellten Maschinen zugegriffen wird, auszuschließen. Ein Beispiel enthält Freigaben, die umgeleitete Ordner oder Benutzerprofile hosten.

Empfehlung: Lesen Sie diese Empfehlungen mit Ihrem Anbieter und Sicherheitsteam.

  • Überprüfen Sie alle Dateien/Ordner auf Ausschluss, und bestätigen Sie, dass sie vorhanden sind, bevor Sie eine Ausschlussrichtlinie erstellen.
  • Implementieren Sie mehrere Ausschlussrichtlinien für verschiedene Komponenten, anstatt eine große Richtlinie für alle zu erstellen.
  • Um das Opportunity-Fenster zu minimieren, implementieren Sie eine Kombination aus Echtzeit- und geplanten Scans.

Virtual Apps and Desktops

Delivery Controller

Dateien:

  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf (7.12+)

Ordner:

  • %ProgramData%\Citrix\Broker\Cache (7.6+)

Prozesse:

  • %ProgramFiles%\Citrix\Broker\Service\BrokerService.exe
  • %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe (7.12+)
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe (7.12+)

Virtual Delivery Agents

Dateien:

  • %UserProfile%\AppData\Local\Temp\Citrix\HDXRTConnector\*\*.txt

Prozesse:

  • %ProgramFiles%\Citrix\User Profile Manager\UserProfileManager.exe
  • %ProgramFiles%\Citrix\Virtual Desktop Agent\BrokerAgent.exe
  • %SystemRoot%\System32\spoolsv.exe
  • %SystemRoot%\System32\winlogon.exe
  • %ProgramFiles%\Citrix\ICAService\picaSvc2.exe (nur Desktopbetriebssysteme)
  • %ProgramFiles%\Citrix\ICAService\CpSvc.exe (nur Desktopbetriebssysteme)

Die Datei WebSocketService.exe kann an verschiedenen Orten in verschiedenen CVAD-Versionen gefunden werden. Im Folgenden finden Sie eine Liste der unterstützten LTSR-Releases und die neueste CR-Release. Wenn Sie eine andere Version von CVAD verwenden, empfehlen wir, zuerst den Speicherort der Datei zu bestätigen.

  • %ProgramFiles%\Citrix\HTML5 Video Redirection\WebSocketService.exe (CVAD 7.15 LTSR - sowohl Desktop- als auch Serverbetriebssystem)
  • %ProgramFiles(x86)%\Citrix\System32\WebSocketService.exe (CVAD 1912 LTSR - nur Serverbetriebssystem)
  • %ProgramFiles%\Citrix\ICAService\WebSocketService.exe (CVAD 1912 LTSR - Nur Desktop-OS)
  • %ProgramFiles(x86)%\Citrix\HDX\bin\WebSocketService.exe (CVAD 2003+ - sowohl Desktop- als auch Serverbetriebssystem)

Agenten für virtuelle Zustellung - HDX RealTime Optimization Pack

Dateien:

  • %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs**.txt

Prozesse:

  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\AudioTranscoder.exe
  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngine.Net.Service.exe
  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngineService.exe

Workspace-App/Receiver für Windows

Dateien:

  • %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs\*\*.txt

Prozesse:

  • %ProgramFiles(x86)%\Citrix\ICA Client\MediaEngineService.exe (HDX RealTime Optimization Pack)
  • %ProgramFiles(x86)%\Citrix\ICA Client\CDViewer.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\concentr.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\wfica32.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\AuthManager\AuthManSvr.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfService.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfServicePlugin.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\HdxTeams.exe (Optimierung für Microsoft Teams für Workspace App 2009.5 oder älter)
  • %ProgramFiles(x86)%\Citrix\ICA Client\HdxRtcEngine.exe (Optimierung für Microsoft Teams für Workspace App 2009.6 oder höher)

    Hinweis:

    Diese Ausschlüsse für die Citrix Workspace-App sind normalerweise nicht erforderlich. Wir haben nur in Umgebungen einen Bedarf für diese in Umgebungen gesehen, wenn das Antivirenprogramm mit Richtlinien konfiguriert ist, die strenger als üblich sind, oder in Situationen, in denen mehrere Sicherheitsagenten gleichzeitig verwendet werden (AV, DLP, HIP usw.).

Provisioning

Provisioning-Server

Dateien:

  • *.vhd
  • *.avhd
  • *.vhdx
  • *.avhdx
  • *.pvp
  • *.lok
  • %SystemRoot%\System32\drivers\CvhdBusP6.sys (Windows Server 2008 R2)
  • %SystemRoot%\System32\drivers\CVhdMp.sys (Windows Server 2012 R2)
  • %SystemRoot%\System32\drivers\CfsDep2.sys
  • %ProgramData%\Citrix\Provisioning Services\Tftpboot\ARDBP32.BIN

Prozesse:

  • %ProgramFiles%\Citrix\Provisioning Services\BNTFTP.EXE
  • %ProgramFiles%\Citrix\Provisioning Services\PVSTSB.EXE
  • %ProgramFiles%\Citrix\Provisioning Services\StreamService.exe
  • %ProgramFiles%\Citrix\Provisioning Services\StreamProcess.exe
  • %ProgramFiles%\Citrix\Provisioning Services\soapserver.exe
  • %ProgramFiles%\Citrix\Provisioning Services\Inventory.exe
  • %ProgramFiles%\Citrix\Provisioning Services\Notifier.exe
  • %ProgramFiles%\Citrix\Provisioning Services\MgmntDaemon.exe
  • %ProgramFiles%\Citrix\Provisioning Services\BNPXE.exe (nur wenn PXE verwendet wird)

Provisioning des Zielgeräts

Dateien:

  • .vdiskcache
  • vdiskdif.vhdx (7.x und höher bei Verwendung von RAM-Cache mit Überlauf)
  • %SystemRoot%\System32\drivers\bnistack6.sys
  • %SystemRoot%\System32\drivers\CfsDep2.sys
  • %SystemRoot%\System32\drivers\CVhdBusP6.sys
  • %SystemRoot%\System32\drivers\cnicteam.sys
  • %SystemRoot%\System32\drivers\CVhdMp.sys (nur 7.x)

Prozesse:

  • %ProgramFiles%\Citrix\Provisioning Services\BNDevice.exe

StoreFront

Dateien:

  • %SystemRoot%\ServiceProfiles\NetworkService\AppData\Roaming\Citrix\SubscriptionsStore\**\PersistentDictionary.edb

Prozesse:

  • %ProgramFiles%\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe
  • %ProgramFiles%\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe

Cloud Connector

Dateien:

  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf

Ordner:

  • %SystemDrive%\Logs\CDF
  • %ProgramData%\Citrix\WorkspaceCloud\Logs

Prozesse:

  • %ProgramFiles%\Citrix\XaXdCloudProxy\XaXdCloudProxy.exe
  • %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe

Workspace Environment Management — Server

Prozesse:

  • Norskale Broker Service.exe
  • Norskale Broker Service Configuration Utility.exe
  • Norskale Database Management Utility.exe

Workspace Environment Management — Agent

Prozesse:

  • AgentGroupPolicyUtility.exe
  • Citrix.Wem.Agent.LogonService.exe
  • Citrix.Wem.Agent.Service.exe ( Vor der on-premises Version 1909 und der Cloud-Version 1903 wurde dieser Prozess aufgerufen Norskale Agent Host Service.exe)
  • VUEMCmdAgent.exe
  • VUEMUIAgent.exe

Sitzungsaufzeichnung - Server

Prozesse:

  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecStorageManager.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecAnalyticsService.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecWebSocketServer.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\icldb.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\iclstat.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecServerConsole.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\TestPolicyAdmin.exe

Dateien:

  • %ProgramFiles%\Citrix\SessionRecording\Server\App_Data*.xml

Ordner:

  • C:\SessionRecordings
  • C:\SessionRecordingsRestored
  • %SystemRoot%\System32\msmq
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\log

Sitzungsaufzeichnung - Agent

Prozesse:

  • %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecAgent.exe
  • %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecAgentWrapper.exe

Dateien:

  • %SystemRoot%\System32\drivers\ssrecdrv.sys
  • %SystemRoot%\System32\drivers\srminifilterdrv.sys

Ordner:

  • %SystemRoot%\System32\msmq

Sitzungsaufzeichnung - Spieler

Prozesse:

  • %ProgramFiles(x86)%\Citrix\SessionRecording\Player\Bin\SsRecPlayer.exe

Ordner:

  • %UserProfile%\AppData\Local\Citrix\SessionRecording\Player\Cache

Antivirus-Anbieter

Bitdefender - Implementierung von Best Practices für Sicherheit im virtuellen Rechenzentrum

Microsoft - Windows Defender in VDI-Umgebungen

Microsoft - FSLogix Antivirus-Ausschlüsse

Trend Micro - Empfohlene Deep Security Ausschlüsse

Informationsquellen

Citrix Ready Workspace-Sicherheitsprogramm

Citrix Richtlinien für die Konfiguration von Antivirussoftware

Best Practices für Provisioning Services Virenschutz

Antiviren-Layering mit Citrix App Layering

Endpoint Security and Antivirus Best Practices