Tech Paper: Best Practices für Endpunktsicherheit, Virenschutz und Antischadsoftwareschutz

Übersicht

Dieser Artikel enthält Richtlinien für die Konfiguration von Antivirensoftware in Citrix DaaS- und Citrix Virtual Apps and Desktops-Umgebungen. Es enthält auch Ressourcen zum Konfigurieren von Antivirensoftware für andere Technologien und Funktionen von Citrix (z. B. Cloud Connectors, Provisioning Services usw.). Eine falsche Antivirus-Konfiguration ist eines der häufigsten Probleme, die Citrix Consulting vor Ort sieht. Dies kann zu verschiedenen Problemen führen, von Leistungsproblemen oder beeinträchtigten Benutzererfahrungen bis hin zu Timeouts und Ausfällen verschiedener Komponenten.

In diesem Tech Paper behandeln wir einige wichtige Themen, die für optimale Antiviren-Bereitstellungen in virtualisierten Umgebungen relevant sind: Bereitstellung und Aufhebung von Agenten, Signaturaktualisierungen, eine Liste empfohlener Ausschlüsse und Leistungsoptimierungen. Die erfolgreiche Umsetzung dieser Empfehlungen hängt von Ihrem Antivirus-Anbieter und Ihrem Sicherheitsteam ab. Konsultieren Sie sie, um genauere Empfehlungen zu erhalten.

Warnung! Dieser Artikel enthält Virenschutzausschlüsse. Es ist wichtig zu verstehen, dass Ausschlüsse und Optimierungen von Virenschutzprogrammen die Angriffsfläche eines Systems vergrößern und Computer verschiedenen Sicherheitsbedrohungen aussetzen können. Die folgenden Richtlinien stellen jedoch in der Regel den besten Kompromiss zwischen Sicherheit und Leistung dar. Citrix empfiehlt, keine dieser Ausschlüsse oder Optimierungen zu implementieren, bis strenge Tests in einer Laborumgebung durchgeführt wurden, um die Kompromisse zwischen Sicherheit und Leistung genau zu verstehen. Citrix empfiehlt außerdem, dass Unternehmen ihre Antiviren- und Sicherheitsteams beauftragen, die folgenden Richtlinien zu überprüfen, bevor sie mit einer Produktionsbereitstellung fortfahren.

Registrierungen von Agenten

Agentensoftware, die auf jeder bereitgestellten virtuellen Maschine installiert ist, muss in der Regel für die Verwaltung, Statusberichterstattung und andere Aktivitäten bei einem zentralen Standort registriert werden. Damit die Registrierung erfolgreich ist, muss jeder Vertreter eindeutig identifizierbar sein.

Bei Maschinen, die mit Technologien wie Provisioning Services (PVS) oder Machine Creation Services (MCS) aus einem einzigen Image bereitgestellt werden, ist es wichtig zu verstehen, wie die einzelnen Agenten identifiziert werden — und ob für virtualisierte Umgebungen Anweisungen erforderlich sind. Einige Anbieter verwenden dynamische Informationen wie die MAC-Adresse oder den Computernamen zur Geräteidentifikation. Andere verwenden den traditionelleren Ansatz einer zufälligen Zeichenfolge, die während der Installation generiert wird. Um widersprüchliche Registrierungen zu verhindern, muss jeder Computer eine eindeutige Kennung generieren. Die Registrierung in nicht persistenten Umgebungen erfolgt häufig mit einem Startskript, das automatisch Daten zur Computeridentifikation von einem beständigen Standort wiederherstellt.

In dynamischeren Umgebungen ist es auch wichtig zu verstehen, wie sich das De-Provisioning von Maschinen verhält, ob die Bereinigung ein manueller Vorgang ist oder ob sie automatisch durchgeführt wird. Einige Anbieter bieten die Integration mit Hypervisoren oder sogar Delivery Controllern an, bei denen Maschinen bei der Bereitstellung automatisch erstellt oder gelöscht werden können.

Empfehlung: Fragen Sie Ihren Sicherheitsanbieter, wie die Registrierung/Abmeldung seiner Agenten implementiert ist. Wenn die Registrierung mehr Schritte für Umgebungen mit Single-Image-Management erfordert, nehmen Sie diese Schritte in Ihre Anweisungen zur Bildversiegelung auf, vorzugsweise als vollautomatisches Skript.

Signatur-Updates

Zeitnahe, konsistent aktualisierte Signaturen sind einer der wichtigsten Aspekte von Endpunktsicherheitslösungen. Die meisten Anbieter verwenden lokal zwischengespeicherte, inkrementell aktualisierte Signaturen, die auf jedem der geschützten Geräte gespeichert werden.

Bei nicht persistenten Maschinen ist es wichtig zu verstehen, wie Signaturen aktualisiert werden und wo sie gespeichert werden. Auf diese Weise können Sie das Zeitfenster verstehen und minimieren, in dem Malware den Computer infizieren kann.

Insbesondere in einer Situation, in der Updates nicht inkrementell sind und eine beträchtliche Größe erreichen können, sollten Sie eine Bereitstellung in Betracht ziehen, bei der persistenter Speicher an jede der nicht persistenten Maschinen angehängt wird, um den Update-Cache zwischen Resets und Image-Updates intakt zu halten. Mit diesem Ansatz werden das Zeitfenster und die Auswirkungen einer Definitionsupdate auf die Leistung minimiert.

Neben Signaturaktualisierungen für jede der bereitgestellten Maschinen ist es auch wichtig, eine Strategie für die Aktualisierung des Masterimages zu definieren. Es wird empfohlen, diesen Prozess zu automatisieren, ebenso wie die regelmäßige Aktualisierung des Masterimages mit den neuesten Signaturen. Dies ist besonders wichtig für inkrementelle Updates, bei denen Sie den für jede virtuelle Maschine erforderlichen Datenverkehr minimieren.

Ein weiterer Ansatz zur Verwaltung von Signaturaktualisierungen in virtualisierten Umgebungen besteht darin, die Natur der dezentralen Signaturen vollständig durch eine zentrale Scan-Engine zu ersetzen. Dies geschieht zwar in erster Linie, um die Auswirkungen eines Antivirenprogramms auf die Leistung zu minimieren, hat jedoch den Nebenvorteil, dass auch Signaturaktualisierungen zentralisiert werden.

Empfehlung: Fragen Sie Ihren Sicherheitsanbieter, wie Signaturen in Ihrem Antivirenprogramm aktualisiert werden. Was ist die erwartete Größe und Häufigkeit und sind Updates inkrementell? Gibt es Empfehlungen für nicht persistente Umgebungen?

Performance-Optimierungen

Ein Antivirenprogramm kann, insbesondere wenn es falsch konfiguriert ist, negative Auswirkungen auf die Skalierbarkeit und die allgemeine Benutzererfahrung haben. Es ist daher wichtig, die Auswirkungen auf die Leistung zu verstehen, um festzustellen, was sie verursacht und wie sie minimiert werden können.

Die verfügbaren Strategien und Ansätze zur Leistungsoptimierung sind für verschiedene Antiviren-Anbieter und -Implementierungen unterschiedlich. Einer der gebräuchlichsten und effektivsten Ansätze besteht darin, zentralisierte Funktionen zum Scannen von Virenschutzprogrammen bereitzustellen. Anstatt dass jedes Gerät für das Scannen (oft identischer) Proben verantwortlich ist, wird das Scannen zentralisiert und nur einmal durchgeführt. Dieser Ansatz ist für virtualisierte Umgebungen optimiert. Stellen Sie jedoch sicher, dass Sie die Auswirkungen auf die Hochverfügbarkeit verstehen.

Auslagern von Scans auf eine dedizierte Appliance kann in virtualisierten Umgebungen sehr effektivsein

Ein anderer Ansatz basiert auf dem Vorscannen von schreibgeschützten Teilen der Datenträger, die vor der Provisioning auf den Masterimages durchgeführt werden. Es ist wichtig zu verstehen, wie sich dies auf das Zeitfenster auswirkt (was zum Beispiel, wenn ein Datenträger bereits infizierte Dateien enthält, Signaturen jedoch während der Pre-Scan-Phase nicht verfügbar sind?). Diese Optimierung wird häufig mit dem Scannen von schreibgeschützten Ereignissen kombiniert, da alle Lesevorgänge entweder von vorab gescannten Datenträgerteilen oder von einem sitzungsspezifischen Schreibcache/Differentialdatenträger stammen, der bereits während des Schreibvorgangs gescannt wurde. Häufig besteht ein guter Kompromiss darin, Echtzeit-Scans (optimiert) mit geplanten Scans (vollständige Scans des Systems) zu kombinieren.

Die gängigste Suchoptimierung besteht darin, sich nur auf die Unterschiede zwischen virtuellen Maschinen zu konzentrieren.

Empfehlung: Leistungsoptimierungen können die Benutzererfahrung erheblich verbessern. Sie können jedoch auch als Sicherheitsrisiko angesehen werden. Daher wird eine Rücksprache mit Ihrem Anbieter und Ihrem Sicherheitsteam empfohlen. Die meisten Antivirenanbieter mit Lösungen für virtualisierte Umgebungen bieten optimierte Scanengines.

Antivirus Exclusions

Die gebräuchlichste (und oft wichtigste) Optimierung für Antivirenprogramme ist die richtige Definition von Virenschutzausschlüssen für alle Komponenten. Während einige Anbieter Citrix-Komponenten automatisch erkennen und Ausschlüsse anwenden können, ist dies für die meisten Umgebungen eine manuelle Aufgabe, die für das Antivirenprogramm in der Managementkonsole konfiguriert werden muss.

Ausschlüsse werden in der Regel für die Echtzeitsuche empfohlen. Citrix empfiehlt jedoch, die ausgeschlossenen Dateien und Ordner regelmäßig mit zeitabhängigen Scans zu durchsuchen. Um potenzielle Leistungseinbußen zu minimieren, wird empfohlen, zeitgesteuerte Scans außerhalb der Geschäftszeiten oder außerhalb der Spitzenzeiten durchzuführen.

Die Integrität ausgeschlossener Dateien und Ordner muss immer gewahrt werden. Unternehmen können erwägen, eine kommerzielle File Integrity Monitoring- oder Host Intrusion Prevention-Lösung zu verwenden, um die Integrität von Dateien und Ordnern zu schützen, die vom Echtzeit- oder On-Access-Scan Datenbank- und Protokolldateien sind bei dieser Art der Überwachung der Datenintegrität ausgeschlossen, da sich diese Dateien voraussichtlich ändern werden. Wenn ein ganzer Ordner vom Echtzeit- oder On-Access-Scan ausgeschlossen werden muss, empfiehlt Citrix, die Erstellung neuer Dateien in den ausgeschlossenen Ordnern genau zu überwachen.

Nur lokale Laufwerke scannen — oder Netzwerkscans deaktivieren. Es wird davon ausgegangen, dass alle Remote-Standorte, die Dateiserver enthalten könnten, die Benutzerprofile und umgeleitete Ordner hosten, von Antiviren- und Datenintegritätslösungen überwacht werden. Andernfalls wird empfohlen, Netzwerkfreigaben, auf die alle bereitgestellten Maschinen zugreifen, auszuschließen. Ein Beispiel enthält Freigaben, die umgeleitete Ordner oder Benutzerprofile hosten.

Eine weitere wichtige Überlegung ist der Ausschluss von Prozessen. Wenn Prozessausschlüsse empfohlen werden, besteht das Ziel darin, das Scannen von Aktivitäten, die von solchen Prozessen ausgeführt werden, zu verhindern, anstatt das Scannen der EXE-Datei zu verhindern. In einigen Sicherheitslösungen wird dies als Definition vertrauenswürdiger Prozesse bezeichnet.

Empfehlung: Lesen Sie diese Empfehlungen mit Ihrem Anbieter und Sicherheitsteam.

• Überprüfen Sie alle Dateien, Ordner und Prozesse auf Ausschluss und stellen Sie sicher, dass sie vorhanden sind, bevor Sie eine Ausschlussrichtlinie erstellen.
• Implementieren Sie mehrere Ausschlussrichtlinien für verschiedene Komponenten, anstatt eine große Richtlinie für alle zu erstellen.
• Implementieren Sie eine Kombination aus Echtzeit- und zeitgesteuerten Scans, um das Zeitfenster zu minimieren.

Virtual Apps and Desktops

Delivery Controller

Dateien (v7.12+):

• %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf
• %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf
• %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf
• %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf

Ordner (v7.6+):

• %ProgramData%\Citrix\Broker\Cache

Prozesse:

• %ProgramFiles%\Citrix\Broker\Service\BrokerService.exe
• %ProgramFiles%\Microsoft SQL Server\150\LocalDB\Binn\sqlservr.exe

Prozesse (v7.12+):

• %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe
• %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe

Virtual Delivery Agents

Dateien:

• %SystemRoot%\System32\drivers\CtxUvi.sys
• %UserProfile%\AppData\Local\Temp\Citrix\HDXRTConnector\*\*.txt

Prozesse:

• %ProgramFiles%\Citrix\User Profile Manager\UserProfileManager.exe
• %ProgramFiles%\Citrix\Virtual Desktop Agent\BrokerAgent.exe
• CVAD 1912 LTR -%ProgramFiles(x86)%\Citrix\ICAService\CtxSvcHost.exe -%ProgramFiles%\Citrix\HDX\bin\ctxgfx.exe
• CVAD 1912 LTSR - Nur VDA für eine Sitzung -%ProgramFiles%\Citrix\ICAService\picaSvc2.exe -%ProgramFiles%\Citrix\ICAService\CpSvc.exe
• CVAD 2112+ -%ProgramFiles%\Citrix\HDX\bin\CtxSvcHost.exe -%ProgramFiles%\Citrix\HDX\bin\ctxgfx.exe
• CVAD 2112+ - Nur VDA für eine Sitzung -%ProgramFiles%\Citrix\HDX\bin\picaSvc2.exe -%ProgramFiles%\Citrix\HDX\bin\CpSvc.exe

Die Datei WebSocketService.exe kann an verschiedenen Orten in verschiedenen CVAD-Versionen gefunden werden. Im Folgenden finden Sie eine Liste der unterstützten LTSR-Releases und die neueste CR-Release. Wenn Sie eine andere Version von CVAD verwenden, empfehlen wir, zuerst den Speicherort der Datei zu bestätigen.

• %ProgramFiles%\Citrix\HTML5 Video Redirection\WebSocketService.exe (CVAD 7.15 LTSR - sowohl Desktop- als auch Serverbetriebssystem)
• %ProgramFiles(x86)%\Citrix\System32\WebSocketService.exe (CVAD 1912 LTSR — nur Multisitzungs-VDA)
• %ProgramFiles%\Citrix\ICAService\WebSocketService.exe (CVAD 1912 LTSR — nur Einzelsitzungs-VDA)
• %ProgramFiles(x86)%\Citrix\HDX\bin\WebSocketService.exe (CVAD 2003+ — Einzelsitzungs- und Multisitzungs-VDAs)

Agenten für virtuelle Zustellung - HDX RealTime Optimization Pack

Dateien:

• %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs**.txt

Prozesse:

• %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\AudioTranscoder.exe
• %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngine.Net.Service.exe
• %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngineService.exe

Workspace-App

Dateien:

• %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs**.txt

Prozesse:

• %ProgramFiles(x86)%\Citrix\ICA Client\MediaEngineService.exe (HDX RealTime Optimization Pack)
• %ProgramFiles(x86)%\Citrix\ICA Client\CDViewer.exe
• %ProgramFiles(x86)%\Citrix\ICA Client\concentr.exe
• %ProgramFiles(x86)%\Citrix\ICA Client\wfica32.exe
• %ProgramFiles(x86)%\Citrix\ICA Client\bgblursvc.exe
• %ProgramFiles(x86)%\Citrix\ICA Client\AuthManager\AuthManSvr.exe
• %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfService.exe
• %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfServicePlugin.exe
• %ProgramFiles(x86)%\Citrix\ICA Client\HdxTeams.exe (Optimierung für Microsoft Teams für Workspace App 2009.5 oder älter)

• %ProgramFiles(x86)%\Citrix\ICA Client\HdxRtcEngine.exe (Optimierung für Microsoft Teams für Workspace App 2009.6 oder höher)

  Hinweis:

  Diese Ausschlüsse für die Citrix Workspace-App sind normalerweise nicht erforderlich. Wir haben nur in Umgebungen einen Bedarf für diese in Umgebungen gesehen, wenn das Antivirenprogramm mit Richtlinien konfiguriert ist, die strenger als üblich sind, oder in Situationen, in denen mehrere Sicherheitsagenten gleichzeitig verwendet werden (AV, DLP, HIP usw.).

  Bei der Installation der Citrix Workspace-App mit dem Virtual Delivery Agent-Installationsprogramm ist im Installationspfad ein Ordner “Online Plugin” vorhanden, z. B. %ProgramFiles(x86)%\Citrix\online plugin\ICA Client\

Provisioning

Citrix Provisioning (PVS)

Dateien:

• *.vhd
• *.avhd
• *.vhdx
• *.avhdx
• *.pvp
• *.lok
• %SystemRoot%\System32\drivers\CvhdBusP6.sys (Windows Server 2008 R2)
• %SystemRoot%\System32\drivers\CVhdMp.sys (Windows Server 2012 R2)
• %SystemRoot%\System32\drivers\CfsDep2.sys
• %ProgramData%\Citrix\Provisioning Services\Tftpboot\ARDBP32.BIN

Prozesse:

• %ProgramFiles%\Citrix\Provisioning Services\BNTFTP.EXE
• %ProgramFiles%\Citrix\Provisioning Services\PVSTSB.EXE
• %ProgramFiles%\Citrix\Provisioning Services\StreamService.exe
• %ProgramFiles%\Citrix\Provisioning Services\StreamProcess.exe
• %ProgramFiles%\Citrix\Provisioning Services\soapserver.exe
• %ProgramFiles%\Citrix\Provisioning Services\Inventory.exe
• %ProgramFiles%\Citrix\Provisioning Services\Notifier.exe
• %ProgramFiles%\Citrix\Provisioning Services\MgmtDaemon.exe
• %ProgramFiles%\Citrix\Provisioning Services\BNPXE.exe (nur wenn PXE verwendet wird)
• %ProgramFiles%\Citrix\Provisioning Services\CdfSvc.exe
• %ProgramFiles%\Citrix\Provisioning Services\BNAbsService.exe

Provisioning des Zielgeräts

Dateien:

• .vdiskcache
• vdiskdif.vhdx (7.x und höher bei Verwendung des RAM-Cache mit Überlauf)
• %SystemRoot%\System32\drivers\bnistack6.sys
• %SystemRoot%\System32\drivers\CfsDep2.sys
• %SystemRoot%\System32\drivers\CVhdBusP6.sys
• %SystemRoot%\System32\drivers\cnicteam.sys
• %SystemRoot%\System32\drivers\CVhdMp.sys (nur 7.x)

Prozesse:

• %ProgramFiles%\Citrix\Provisioning Services\BNDevice.exe
• %ProgramFiles%\Citrix\Provisioning Services\BNIstack6.sys
• %ProgramFiles%\Citrix\Provisioning Services\CNicTeam.sys
• %ProgramFiles%\Citrix\Provisioning Services\CFsDep2.sys
• %ProgramFiles%\Citrix\Provisioning Services\CVhdMp.sys

StoreFront

Dateien:

• %SystemRoot%\ServiceProfiles\NetworkService\AppData\Roaming\Citrix\SubscriptionsStore\**\PersistentDictionary.edb

Prozesse:

• %ProgramFiles%\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe
• %ProgramFiles%\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe

Cloud Connector

Dateien:

• %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf
• %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf
• %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf
• %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf

Ordner:

• %SystemDrive%\Logs\CDF
• %ProgramData%\Citrix\WorkspaceCloud\Logs

Prozesse:

• %ProgramFiles%\Citrix\XaXdCloudProxy\XaXdCloudProxy.exe
• %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe
• %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe
• %ProgramFiles%\Citrix\ConfigSync\ConfigSyncRun.exe
• %ProgramFiles%\Microsoft SQL Server\150\LocalDB\Binn\sqlservr.exe

Workspace Environment Management

Weitere Informationen finden Sie im Abschnitt WEM Docs Antivirus-Ausschlüsse.

Sitzungsaufzeichnung - Server

Prozesse:

• %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecStorageManager.exe
• %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecAnalyticsService.exe
• %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecWebSocketServer.exe
• %ProgramFiles%\Citrix\SessionRecording\Server\Bin\icldb.exe
• %ProgramFiles%\Citrix\SessionRecording\Server\Bin\iclstat.exe
• %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecServerConsole.exe
• %ProgramFiles%\Citrix\SessionRecording\Server\Bin\TestPolicyAdmin.exe

Dateien:

• %ProgramFiles%\Citrix\SessionRecording\Server\App_Data*.xml

Ordner:

• C:\SessionRecordings
• C:\SessionRecordingsRestored
• %SystemRoot%\System32\msmq
• %ProgramFiles%\Citrix\SessionRecording\Server\Bin\log

Sitzungsaufzeichnung - Agent

Prozesse:

• %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecAgent.exe
• %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecAgentWrapper.exe
• %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecEventMonitorService.exe
• %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecSRGraphics.exe

Dateien:

• %SystemRoot%\System32\drivers\ssrecdrv.sys
• %SystemRoot%\System32\drivers\srminifilterdrv.sys

Ordner:

• %SystemRoot%\System32\msmq

Sitzungsaufzeichnung - Player

Prozesse:

• %ProgramFiles(x86)%\Citrix\SessionRecording\Player\Bin\SsRecPlayer.exe

Ordner:

• %UserProfile%\AppData\Local\Citrix\SessionRecording\Player\Cache

Antivirus-Anbieter

Bitdefender - Implementierung von Best Practices für Sicherheit im virtuellen Rechenzentrum

Microsoft - Windows Defender in VDI-Umgebungen

Microsoft - FSLogix Antivirus-Ausschlüsse

Trend Micro - Empfohlene Deep Security Ausschlüsse

Weitere Ressourcen

Citrix Ready Workspace-Sicherheitsprogramm

Citrix-Richtlinien für die Konfiguration der Antivirensoftware

Bewährte Methoden für Provisioning Services

Antiviren-Layering mit Citrix App Layering

Speicherorte von Microsoft SQL Server-Dateien