Best Practices für Endpoint Security und Virenschutz

Beitrag von

Autor: Martin Zugec

Besonderer Dank: Miguel Contreras , Judong Liao

Übersicht

Dieser Artikel enthält Richtlinien zum Konfigurieren von Antivirensoftware in Citrix Virtual Apps and Desktops umgebungen sowie Ressourcen zum Konfigurieren von Antivirensoftware auf anderen Citrix-Technologien und -Features (z. B. Cloud Connectors, Provisioning Services usw.). Falsche Antivirenkonfiguration ist eines der häufigsten Probleme, die wir im Feld sehen. Es kann zu verschiedenen Problemen führen, von Leistungsproblemen oder beeinträchtigten Benutzererlebnissen bis hin zu Timeouts und Ausfällen verschiedener Komponenten.

In diesem Tech Paper behandeln wir einige wichtige Themen, die für optimale Virenbereitstellungen in virtualisierten Umgebungen relevant sind: Agent-Provisioning und -Aufhebung, Signaturaktualisierungen, eine Liste der empfohlenen Ausschlüsse und Leistungsoptimierungen. Die erfolgreiche Implementierung dieser Empfehlungen hängt von Ihrem Antivirenanbieter und Ihrem Sicherheitsteam ab. Konsultieren Sie sie, um genauere Empfehlungen zu erhalten.

Achtung! Dieser Artikel enthält Antivirenausschlüsse. Es ist wichtig zu verstehen, dass Virenschutzausschlüsse und -optimierungen die Angriffsfläche eines Systems erhöhen und Computer verschiedenen Sicherheitsbedrohungen ausgesetzt sind. Die folgenden Richtlinien stellen jedoch in der Regel den besten Kompromiss zwischen Sicherheit und Leistung dar. Citrix empfiehlt nicht, diese Ausschlüsse oder Optimierungen zu implementieren, bis in einer Laborumgebung strenge Tests durchgeführt wurden, um die Kompromisse zwischen Sicherheit und Leistung gründlich zu verstehen. Citrix empfiehlt außerdem, dass Unternehmen ihre Antiviren- und Sicherheitsteams dazu einsetzen, die folgenden Richtlinien zu überprüfen, bevor sie mit einer beliebigen Produktionsbereitstellung fortfahren.

Agentenregistrierungen

Agent-Software, die auf jeder bereitgestellten virtuellen Maschine installiert ist, muss sich normalerweise bei einem zentralen Standort registrieren, um die Verwaltung, Statusberichte und andere Aktivitäten zu melden. Damit die Registrierung erfolgreich ist, muss jeder Agent eindeutig identifizierbar sein.

Bei Maschinen, die über ein einzelnes Image bereitgestellt werden, wobei Technologien wie Provisioning Services (PVS) oder Maschinenerstellungsdienste (MCS) verwendet werden, ist es wichtig zu verstehen, wie jeder Agent identifiziert wird - und ob für virtualisierte Umgebungen Anweisungen erforderlich sind. Einige Anbieter verwenden dynamische Informationen wie die MAC-Adresse oder Computername zur Maschinenkennung. Andere verwenden den traditionelleren Ansatz einer zufälligen Zeichenfolge, die während der Installation generiert wird. Um Konflikte bei Registrierungen zu vermeiden, muss jeder Computer einen eindeutigen Bezeichner generieren. Dies geschieht häufig mit einem Startskript, das die Maschinenkennungsdaten automatisch von einem persistenten Speicherort wiederherstellt.

In dynamischeren Umgebungen ist es auch wichtig zu verstehen, wie sich die Aufhebung der Bereitstellung von Maschinen verhält, ob die Bereinigung ein manueller Vorgang ist oder ob sie automatisch durchgeführt wird. Einige Anbieter bieten die Integration mit Hypervisoren oder sogar Delivery Controllern, bei denen Maschinen bei der Bereitstellung automatisch erstellt oder gelöscht werden können.

Empfehlung: Fragen Sie Ihren Sicherheitsanbieter, wie die Registrierung/Aufheben der Registrierung mit Ihrem spezifischen Produkt funktioniert. Wenn die Registrierung zusätzliche Schritte für Umgebungen mit Single-Image-Management erfordert, fügen Sie diese Schritte in Ihre Image-Versiegelungsanweisungen ein, vorzugsweise als vollautomatisiertes Skript.

Signaturaktualisierungen

Aktuell konsistent aktualisierte Signaturen sind einer der wichtigsten Aspekte von Endpunktsicherheitslösungen. Die meisten Anbieter verwenden lokal zwischengespeicherte, inkrementell aktualisierte Signaturen, die auf jedem der geschützten Geräte gespeichert sind.

Bei nicht persistenten Maschinen ist es wichtig zu verstehen, wie Signaturen aktualisiert werden und wo sie gespeichert werden. Auf diese Weise können Sie das Fenster verstehen, in dem Malware den Computer infizieren kann. Außerdem hilft es, die Umgebung zu entwerfen, um dieses Fenster zu minimieren.

Insbesondere in Situationen, in denen Updates nicht inkrementell sind und eine signifikante Größe erreichen können, können Sie eine Bereitstellung in Betracht ziehen, in der persistenter Speicher an jeden der nicht persistenten Computer angehängt wird, um den Update-Cache zwischen Zurücksetzen und Image-Updates intakt zu halten. Mit diesem Ansatz werden das Fenster der Verkaufschance und die Auswirkungen einer Definitionsaktualisierung minimiert.

Neben Signaturaktualisierungen für jeden der bereitgestellten Computer ist es auch wichtig, eine Strategie für die Aktualisierung des Masterimages zu definieren. Es wird empfohlen, diesen Prozess zu automatisieren, so dass das Masterimage regelmäßig mit den neuesten Signaturen aktualisiert wird. Dies ist besonders wichtig für inkrementelle Updates, bei denen Sie den für jede virtuelle Maschine erforderlichen Datenverkehr minimieren.

Ein weiterer Ansatz zur Verwaltung von Signaturaktualisierungen in virtualisierten Umgebungen besteht darin, die Natur der dezentralen Signaturen vollständig durch eine zentrale Scan-Engine zu ersetzen. Dies geschieht zwar in erster Linie, um die Leistungsauswirkung eines Antivirenprogramms zu minimieren, hat aber auch den Nebenvorteil der Zentralisierung von Signaturaktualisierungen.

Empfehlung: Fragen Sie Ihren Sicherheitshersteller, wie Signaturen in Ihrem Antivirenprogramm aktualisiert werden. Wie hoch ist die erwartete Größe und Häufigkeit und sind Aktualisierungen inkrementell? Gibt es Empfehlungen für nicht persistente Umgebungen?

Performance-Optimierungen

Ein Antivirenprogramm, insbesondere wenn er nicht ordnungsgemäß konfiguriert ist, kann sich negativ auf die Skalierbarkeit und die allgemeine Benutzererfahrung auswirken. Daher ist es wichtig, die Auswirkungen auf die Leistung zu verstehen, um zu bestimmen, was sie verursacht und wie sie minimiert werden kann.

Die verfügbaren Strategien und Ansätze zur Leistungsoptimierung unterscheiden sich für verschiedene Antivirenanbieter und -implementierungen. Einer der gebräuchlichsten und effektivsten Ansätze ist die zentrale Abladung von Antiviren-Scans. Anstatt jeder Computer für das Scannen (oft identischer) Samples verantwortlich ist, wird das Scannen zentralisiert und nur einmal durchgeführt. Dieser Ansatz ist für virtualisierte Umgebungen optimiert. Vergewissern Sie sich jedoch, dass Sie die Auswirkungen auf die hohe Verfügbarkeit verstehen.

Virenentlastung Das Verschieben von Scans auf eine dedizierte Appliance kann in virtualisierten Umgebungen sehr effektiv sein

Ein anderer Ansatz basiert auf dem Vorscannen von schreibgeschützten Teilen der Festplatten, die vor der Provisioning auf den Masterimages durchgeführt werden. Es ist wichtig zu verstehen, wie sich dies auf das Opportunity-Fenster auswirkt (z. B. was ist, wenn die Festplatte bereits infizierte Dateien enthält, aber während der Pre-Scanphase keine Signaturen verfügbar sind?). Diese Optimierung wird häufig mit dem Scannen von schreibgeschützten Ereignissen kombiniert, da alle Lesevorgänge entweder von vorab gescannten Festplattenteilen oder von einem sitzungsspezifischen Schreibcache/Differentialdatenträger stammen, der bereits während des Schreibvorgangs gescannt wurde. Häufig besteht ein guter Kompromiss darin, Echtzeit-Scans (optimiert) mit geplanten Scans (vollständige Scans des Systems) zu kombinieren.

Virenschutz-Schreibscans Die gängigste Scanoptimierung besteht darin, sich nur auf die Unterschiede zwischen virtuellen Maschinen zu konzentrieren

Empfehlung: Leistungsoptimierungen können die Benutzererfahrung erheblich verbessern. Es sei jedoch darauf hingewiesen, dass sie als Sicherheitsrisiko angesehen werden können. Daher wird eine Konsultation mit Ihrem Anbieter und Ihrem Sicherheitsteam empfohlen. Die meisten Antivirenanbieter mit Lösungen für virtualisierte Umgebungen bieten optimierte Scan-Engines.

Virenschutzausschlüsse

Die häufigste (und oft wichtigste) Optimierung für Antivirenprogramme ist die richtige Definition von Antivirenausschlüssen für alle Komponenten. Obwohl einige Anbieter Citrix Komponenten automatisch erkennen und Ausschlüsse anwenden können, handelt es sich bei den meisten Umgebungen um eine manuelle Aufgabe, die für das Antivirenprogramm in der Verwaltungskonsole konfiguriert werden muss.

Ausschlüsse werden in der Regel für die Echtzeitsuche empfohlen. Citrix empfiehlt jedoch, die ausgeschlossenen Dateien und Ordner regelmäßig mit zeitgesteuerten Scans zu scannen. Um potenzielle Auswirkungen auf die Leistung zu verringern, wird empfohlen, zeitgesteuerte Scans während der Geschäftszeiten oder außerhalb der Spitzenzeiten durchzuführen.

Die Integrität ausgeschlossener Dateien und Ordner sollte jederzeit beibehalten werden. Unternehmen sollten eine kommerzielle Lösung zur Überwachung der Dateiintegrität oder Host Intrusion Prevention verwenden, um die Integrität von Dateien und Ordnern zu schützen, die von der Echtzeit- oder Zugriffsprüfung ausgeschlossen wurden. Es ist bemerkenswert, dass Datenbank- und Protokolldateien nicht in diese Art der Datenintegritätsüberwachung aufgenommen werden sollten, da erwartet wird, dass sich diese Dateien ändern. Wenn ein ganzer Ordner von der Echtzeit- oder Zugriffsprüfung ausgeschlossen werden muss, empfiehlt Citrix, die Erstellung neuer Dateien in den ausgeschlossenen Ordnern genau zu überwachen.

Scannen Sie nur lokale Laufwerke - oder deaktivieren Sie die Netzwerksuche. Die Annahme besteht darin, dass alle Remotestandorte, die Dateiserver enthalten können, die Benutzerprofile und umgeleitete Ordner hosten, von Antiviren- und Datenintegritätslösungen überwacht werden. Andernfalls wird empfohlen, Netzwerkfreigaben, auf die von allen bereitgestellten Maschinen zugegriffen wird, auszuschließen. Ein Beispiel enthält Freigaben, die umgeleitete Ordner oder Benutzerprofile hosten.

Empfehlung: Lesen Sie diese Empfehlungen mit Ihrem Anbieter und Sicherheitsteam.

  • Überprüfen Sie alle Dateien/Ordner auf Ausschluss, und bestätigen Sie, dass sie vorhanden sind, bevor Sie eine Ausschlussrichtlinie erstellen.
  • Implementieren Sie mehrere Ausschlussrichtlinien für verschiedene Komponenten, anstatt eine große Richtlinie für alle zu erstellen.
  • Um das Opportunity-Fenster zu minimieren, implementieren Sie eine Kombination aus Echtzeit- und geplanten Scans.

Virtual Apps and Desktops

Delivery Controller

Dateien:

  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf (7.12+)

Ordner:

  • %ProgramData%\Citrix\Broker\Cache (7.6+)

Prozesse:

  • %ProgramFiles%\Citrix\Broker\Service\BrokerService.exe
  • %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe (7.12+)
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe (7.12+)

Virtual Delivery Agents

Dateien:

  • %UserProfile%\AppData\Local\Temp\Citrix\HDXRTConnector\*\*.txt

Prozesse:

  • %ProgramFiles%\Citrix\User Profile Manager\UserProfileManager.exe
  • %ProgramFiles%\Citrix\Virtual Desktop Agent\BrokerAgent.exe
  • %SystemRoot%\System32\spoolsv.exe
  • %SystemRoot%\System32\winlogon.exe
  • %ProgramFiles%\Citrix\ICAService\picaSvc2.exe (nur Desktopbetriebssysteme)
  • %ProgramFiles%\Citrix\ICAService\CpSvc.exe (nur Desktopbetriebssysteme)

Workspace-App/Receiver für Windows

Dateien:

  • %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs\*\*.txt

Prozesse:

  • %ProgramFiles(x86)%\Citrix\ICA Client\MediaEngineService.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\CDViewer.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\concentr.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\wfica32.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\AuthManager\AuthManSvr.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfService.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfServicePlugin.exe

Bitte beachten Sie, dass diese Ausschlüsse für Receiver normalerweise nicht erforderlich sind. Wir haben diese Anforderungen nur in Umgebungen gesehen, in denen das Antivirenprogramm mit strengeren Richtlinien konfiguriert ist als üblich, oder in Situationen, in denen mehrere Sicherheitsagenten gleichzeitig verwendet werden (AV, DLP, HIP usw.).

Provisioning

Provisioning-Server

Dateien:

  • *.vhd
  • *.avhd
  • *.vhdx
  • *.avhdx
  • *.pvp
  • *.lok
  • %SystemRoot%\System32\drivers\CvhdBusP6.sys (Windows Server 2008 R2)
  • %SystemRoot%\System32\drivers\CVhdMp.sys (Windows Server 2012 R2)
  • %SystemRoot%\System32\drivers\CfsDep2.sys
  • %ProgramData%\Citrix\Provisioning Services\Tftpboot\ARDBP32.BIN

Prozesse:

  • %ProgramFiles%\Citrix\Provisioning Services\BNTFTP.EXE
  • %ProgramFiles%\Citrix\Provisioning Services\PVSTSB.EXE
  • %ProgramFiles%\Citrix\Provisioning Services\StreamService.exe
  • %ProgramFiles%\Citrix\Provisioning Services\StreamProcess.exe
  • %ProgramFiles%\Citrix\Provisioning Services\soapserver.exe
  • %ProgramFiles%\Citrix\Provisioning Services\Inventory.exe
  • %ProgramFiles%\Citrix\Provisioning Services\Notifier.exe
  • %ProgramFiles%\Citrix\Provisioning Services\MgmntDaemon.exe
  • %ProgramFiles%\Citrix\Provisioning Services\BNPXE.exe (nur wenn PXE verwendet wird)

Provisioning des Zielgeräts

Dateien:

  • .vdiskcache
  • vdiskdif.vhdx (7.x und höher bei Verwendung von RAM-Cache mit Überlauf)
  • %SystemRoot%\System32\drivers\bnistack6.sys
  • %SystemRoot%\System32\drivers\CfsDep2.sys
  • %SystemRoot%\System32\drivers\CVhdBusP6.sys
  • %SystemRoot%\System32\drivers\cnicteam.sys
  • %SystemRoot%\System32\drivers\CVhdMp.sys (nur 7.x)

StoreFront

Dateien:

  • %SystemRoot%\ServiceProfiles\NetworkService\AppData\Roaming\Citrix\SubscriptionsStore\**\PersistentDictionary.edb

Prozesse:

  • %ProgramFiles%\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe
  • %ProgramFiles%\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe

Cloud Connector

Dateien:

  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf

Ordner:

  • %SystemDrive%\Logs\CDF
  • %ProgramData%\Citrix\WorkspaceCloud\Logs

Prozesse:

  • %ProgramFiles%\Citrix\XaXdCloudProxy\XaXdCloudProxy.exe
  • %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe

Workspace Environment Management — Server

Prozesse:

  • Norskale Broker Service.exe
  • Norskale Broker Service Configuration Utility.exe
  • Norskale Database Management Utility.exe

Workspace Environment Management — Agent

Prozesse:

  • AgentGroupPolicyUtility.exe
  • Citrix.Wem.Agent.LogonService.exe
  • Citrix.Wem.Agent.Service.exe
  • VUEMCmdAgent.exe
  • VUEMUIAgent.exe

Informationsquellen

Citrix Ready Workspace-Sicherheitsprogramm

Citrix Richtlinien für die Konfiguration von Antivirussoftware

Best Practices für Provisioning Services Virenschutz

Antiviren-Layering mit Citrix App Layering

Best Practices für Endpoint Security und Virenschutz