Documentación de productos
App Layering
Ver PDF

Aplicaciones antivirus de las capas

May 30, 2023
Contribución de: 
C

En este artículo se explica cómo implementar cada uno de los productos antivirus más utilizados en una capa. Puede aplicar capas a cualquier software antivirus, a menos que se indique a continuación como no compatible. Aunque esperamos que las versiones más recientes del software antivirus funcionen correctamente, esto no está garantizado hasta que las hayamos probado. Compruebe este tema para ver si se han probado nuevas versiones de su software antivirus.

Algunos procedimientos de instalación de antivirus requieren que modifique el Registrode Windows.

Advertencia:

Haga una copia de seguridad del Registro antes de modificarlo. Usar el Editor del Registro incorrectamente puede causar problemas graves que requieren que vuelva a instalar el sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Utilice el Editor del Registro bajo su propio riesgo y haga siempre una copia de seguridad del Registro antes de modificarlo.

Puede evitar que los archivos y carpetas del antivirus persistan en el escritorio del usuario. Las exclusiones se crean en la capa y se procesan en la imagen después de su publicación.

Opciones para administrar las actualizaciones del software antivirus

En esta sección se explica cómo crear capas de software antivirus y configurar actualizaciones importantes en función de cómo se implementan las imágenes. Esto solo se aplica a las actualizaciones importantes. Las actualizaciones diarias de las definiciones de virus se realizan independientemente del tipo de imagen que implemente.

Recomendado para todos los programas antivirus

En todos los casos, recomendamos crear una nueva versión de la capa de aplicaciones cuando el software antivirus tenga una actualización importante. Una vez que se haya actualizado la capa, actualice todas las plantillas que utilizan esa aplicación antivirus y vuelva a implementar nuevas imágenes para aprovechar los cambios en el software antivirus.

Capas elásticas NO habilitadas

Si está implementando imágenes sin capas elásticas habilitadas, considere si las imágenes no son persistentes o persistentes:

  • En el caso de las máquinas persistentes, es probable que quiera habilitar las actualizaciones automáticas para mantener actualizado el software antivirus.
  • En el caso de los equipos no persistentes, es posible que no quiera activar las actualizaciones automáticas, ya que las actualizaciones tienen lugar en las imágenes después de cada reinicio. (El equipo no persistente se revierte cada vez que se reinicia.)

Capas elásticas habilitadas, pero sin capas de usuarios

Si está implementando imágenes con capas elásticas pero sin capas de usuarios, borre las actualizaciones automáticas, ya que las máquinas no son persistentes y se revertirán al reiniciar. Además, asigne la capa antivirus que se implementará en la imagen y no se cargará como una capa elástica, ya que los controladores antivirus deben cargarse en el momento del arranque para funcionar correctamente. Cuando las capas se asignan como capas elásticas, solo se cargan una vez que el usuario inicia sesión en la máquina y, por lo tanto, los controladores no estarán presentes en el momento del arranque.

Capas elásticas habilitadas, con capas de usuarios (o capas de personalización de usuario)

Si va a implementar imágenes con capas elásticas y una capa de usuarios completa (o una capa de personalización del usuario), le recomendamos desactivar las actualizaciones automáticas. Las máquinas son escritorios no persistentes, por lo que se revierten cuando el usuario cierra la sesión. También existe la consideración adicional de que si los usuarios permanecen conectados a las máquinas durante varios días, las actualizaciones diarias de los archivos de definición de virus pueden terminar en capas de usuarios. Para la mayoría del software antivirus, esto no es un problema. Sin embargo, si encuentra que el software antivirus tiene algunos problemas en la ejecución, puede que quiera determinar el directorio donde almacenan sus definiciones y considerar agregar una configuración del Registro para forzar a estos archivos a residir en la imagen no persistente, en lugar de en la capa de usuarios. Asegúrese de que esta configuración se realiza en una capa diferente a la de la aplicación antivirus, ya que no quiere que dicha configuración interfiera con las actualizaciones de la capa antivirus.

Antes de comenzar

Al implementar cualquier paquete de software antivirus en App Layering, es posible que se requiera lo siguiente:

  • Inicie el Servicio de registro remoto para cualquiera de las instalaciones remotas.
  • Inhabilite el firewall en el escritorio antes de la instalación para permitir la instalación de los productos.
  • Inhabilitar Windows Defender.
  • Habilite o inhabilite el Control de cuentas de usuario (UAC).
  • Lea las instrucciones de instalación para las implementaciones de infraestructura de escritorio virtual (VDI) en el sitio web del producto que está instalando.

AVG

Puede usar una imagen dorada o una capa de aplicaciones para implementar el software antivirus AVG Business Edition.

Métodos de implementación

Utilice uno de los métodos siguientes para instalar el software antivirus AVG:

  • Instale el software en una imagen dorada del sistema operativo e impórtelo en una nueva capa de SO.
  • Instale el software en una capa de aplicaciones y asigne la capa a escritorios nuevos o existentes.

Citrix solo admite el antivirus AVG Business Edition, versión 13.0.0.x.

Para instalar el software en una imagen dorada

  1. Instale el software AVG en la imagen dorada.

  2. Abra la aplicación AVG y seleccione Administrador de configuración de AVG.

  3. Seleccione Modificar configuración de AVG.

  4. Seleccione Servicios del sistemay inhabilite todos los servicios de AVG.

  5. Seleccione Configuración avanzada de AVG, Antivirus, Servidor de cachéy inhabilite el almacenamiento en caché de archivos.

  6. Eliminar archivos de caché:

    En Windows, elimine los siguientes archivos: C:\ProgramData\AVG2013\Chjw\*.*

  7. Vuelva a habilitar todos los servicios de AVG.

  8. Apague la imagen dorada.

  9. Cree una capa de SO mediante la imagen dorada.

  10. En escritorios recién implementados, vuelva a habilitar la opción Almacenamiento en caché, lo que puede suceder automáticamente mediante la integración con AVG Remote Administrator.

Para instalar el software en una capa de aplicaciones

  1. Instale el software AVG en la capa de aplicaciones.
  2. Implemente la capa de aplicaciones en los escritorios.

Para habilitar la opción Analizar archivos al cerrar

  1. Abra Configuración avanzada (F8).
  2. Seleccione Antivirus > Escudo residente.
  3. Seleccione la opción Analizar archivos al cerrary guarde la configuración.

Kaspersky

En esta sección se explica cómo implementar Kaspersky en una capa. Consulte la documentación de Kaspersky para obtener más instrucciones acerca de la instalación del software en un entorno VDI. Lea la sección Soporte de VDI dinámico en este artículo para obtener información sobre el uso de Kaspersky para escritorios no persistentes en un entorno de VDI.

Citrix ha probado las siguientes versiones del software antivirus de Kaspersky y se ha comprobado que funcionan con App Layering:

  • Versión 10.2.5.3201 de Kaspersky Endpoint Security
  • Versión 10.3.407.0 de Kaspersky Administration
  • Versión 8.0.2163 del Servidor de administración de Kaspersky
  • Versión 6.0.4.1424 de Kaspersky Antivirus for Windows Workstations
  • Versión 3.0 de Kaspersky for VDI Agentless
  • Versión 10.1.0.867 de Kaspersky Endpoint Security (a)
  • Versión 10.2 de Kaspersky Endpoint Security
  • Versión 3.1.0.77 de Kaspersky for VDI Agentless

Nota:

El cifrado con Kaspersky 10.2 no es compatible. Kaspersky 10.2 Encryption utiliza una forma de virtualización de discos que omite la virtualización de App Layering y, como tal, es incompatible con App Layering. Antes de implementar Kaspersky 10.2, inhabilite las opciones de cifrado.

Métodos de implementación

Utilice uno de los siguientes métodos para implementar el software antivirus de Kaspersky:

  • Instale el software en una revisión de capa de aplicaciones o capa de aplicaciones.
  • Instale el software en la imagen dorada que importe en una capa de SO.
  • Instale el software en una revisión de la capa de SO.

Requisitos

  • Si implementa el software de Kaspersky en una nueva capa de SO, instale el software en la imagen dorada antes de instalar App Layering Machine Tools.

  • Si utiliza Kaspersky Administration Server para administrar el escritorio, instale Kaspersky antivirus for Workstations y NetAgent en la máquina de empaquetado o una imagen dorada.

  • Si no planea usar el Servidor de administración de Kaspersky, instale Kaspersky antivirus for Workstations solo en la máquina de empaquetado o en la imagen dorada.

  • Cuando instale Kaspersky NetAgent, desactive la opción de inicio de la aplicación durante la instalación.

  • Cuando instale Kaspersky antivirus for Workstations en una configuración independiente, no habilite la protección por contraseña para ninguna de las opciones administrativas. La contraseña que escriba en la máquina de empaquetado o la imagen dorada no funciona en el escritorio después de implementar el software.

  • Después de instalar el software de Kaspersky en un PackagingMachine (para capas de aplicaciones o revisiones de capas), es necesario reiniciar el sistema (y reconstruir imágenes de escritorio).

Requisito especial de Kaspersky 10.2

Agregue un valor al servicio Unifltr en el registro antes de agregar Kaspersky 10.2 a la imagen dorada o a una capa.

Para modificar el Registro

  1. Haga clic en Inicio, en Ejecutar y, a continuación, escriba regedit.
  2. Vaya a la clave HKLM\System\CurrentControlSet\Services\Unifltr.
  3. En el menú Edición, haga clic en Nuevoy, a continuación, en el valor DWORD (32 bits).
  4. En el panel derecho, haga clic en el valor Nuevo y seleccione Modificar.
  5. En Valor, nombre, escriba el nombre MiniFilterBypass.
  6. En Valor, escriba 1 y, a continuación, haga clic en Aceptar.
  7. Cierre el Editor del Registro.
  8. Reinicie la máquina, ya que la configuración solo se lee en la hora de inicio.

Pasos especiales para instalar el software en una capa de aplicación

Para instalar el software de Kaspersky en una capa de aplicación:

  1. Instale el software Kaspersky en la máquina de empaquetado. Si implementa escritorios no persistentes que ejecutan Kaspersky, marque la imagen como una VDI dinámica. Al marcar la imagen, el Servidor de administración de Kaspersky considera los clones de esta imagen dinámicos. Cuando se inhabilita un clon, su información se elimina automáticamente de la base de datos. Para marcar la imagen de una VDI dinámica, instale Kaspersky Network Agent con el parámetro Habilitar modo dinámico para VDI habilitado. Para obtener más información, consulte la sección de este artículo sobre la compatibilidad con VDI dinámica.

  2. Reinicie la máquina de empaquetado. Cuando reinicie la máquina de empaquetado, puede mostrar el mensaje STOP 0x75640001 varias veces. La máquina de empaquetado se reinicia normalmente. No es necesaria ninguna intervención. Cuando implementa esta capa, los escritorios se reinician normalmente y el mensaje STOP no aparece.

  3. Finalice la capa.

Es posible que Kaspersky NetAgent no se inicie cuando los usuarios inicien sesión en el escritorio por primera vez. Este problema se produce cuando asigna la capa de aplicaciones con el software Kaspersky a un escritorio. Reinicie el escritorio para iniciar el software NetAgent.

Posibles problemas

Los siguientes problemas de interoperabilidad pueden ocurrir en los escritorios de App Layering que tienen instalado el software antivirus Kaspersky.

Inicio de Kaspersky NetAgent: Si utiliza una capa de aplicaciones para implementar el software Kaspersky NetAgent en un escritorio, es posible que el software NetAgent no se inicie cuando se reinicien los escritorios. El Visor de eventos de Windows puede mostrar el siguiente error:

#1266 (0) Transport level error while connection to: authentication failure

Si el software NetAgent no se inicia, reinicie el escritorio. A continuación, el software NetAgent se inicia correctamente.

Kaspersky 10 - La Pausa del usuario final hace que el Bloqueador de ataques de red deje de funcionar: Al usar Kaspersky 10, la Pausa del usuario final hace que el Bloqueador de ataques de red deje de funcionar. Para solucionar este problema, reinicie el software de Kaspersky. El bloqueador de ataques de red continúa ejecutándose.

McAfee

En los procedimientos siguientes se describe cómo utilizar una capa de SO o una capa de aplicaciones para implementar el software antivirus de McAfee.

Método de implementación

Instale el software McAfee en una de las capas siguientes:

  • La capa original del sistema operativo.
  • Una nueva versión de la capa de SO.
  • Una capa de aplicaciones.

Citrix ha probado las siguientes versiones del software de McAfee y se ha verificado que funcionan con App Layering:

  • ePolicy Orchestrator (ePO), versiones 4.6.4, 5.3.1 y 5.3.2
  • McAfee Agent, versiones 4.8.0.1938, 5.0.2.188 y 5.0.4.283
  • VirusScan Enterprise, versiones 8.8.0.1528, 8.8.0.1445 y 8.8.0.1599

Si utiliza el servidor de ePolicy Orchestrator 5.3.1 para crear el paquete de instalación de McAfee Agent, defina la prioridad del método de contacto del agente en la siguiente secuencia:

  • Dirección IP
  • FQDN
  • Nombre NetBIOS para comunicarse correctamente con la mensajería instantánea en el grupo de trabajo e inhabilitar la opción ‘Habilitar la autoprotección’ para la directiva de McAfee Agent.

Requisitos de instalación

Los requisitos de instalación para instalar McAfee antivirus en una imagen dorada o en una capa de aplicaciones son los mismos. También puede encontrar los requisitos para incluir el agente en una imagen en la guía del producto de McAfee ePO.

Importante:

Debe instalar McAfee en modo VDI, mediante el comando framepkg.exe con los conmutadores que se describen en los pasos a continuación. Esto permite al agente anular el registro de ePO al apagarse, lo que a su vez evita que los nombres de host duplicados se rellenen en la consola de ePO. Para obtener más información sobre este requisito, consulte el artículo KB87654 de McAfee.

Dependiendo de la versión de McAfee, es posible que necesite quitar el identificador único global (GUID) del agente de McAfee después de instalarlo. Consulte la documentación de McAfee para obtener más información sobre la versión del software que está usando.

Utilice el siguiente procedimiento si piensa utilizar una capa de SO para implementar el software antivirus de McAfee en los escritorios de App Layering.

Para instalar el software en una imagen dorada

  1. Instale el software McAfee Agent en modo VDI en la imagen dorada mediante el siguiente comando:

    framepkg.exe /Install=agent /enableVDImode

    La imagen dorada se hace visible en la lista de sistemas del árbol de sistemas de ePolicy Orchestrator.

  2. Instale el software McAfee VirusScan Enterprise en la imagen dorada:

    1. Cuando se le pida que elimine Windows Defender, haga clic en .

    2. Permita que McAfee Agent Updater complete la actualización. Este paso puede tardar varios minutos en completarse.

    3. Haga clic en Finalizar para completar la instalación.

  3. Una vez completada la instalación, se inicia un análisis. Permita que se complete el análisis.

  4. Cambie el valor Start de McAfee:

    1. Abra McAfee VirusScan Console y desactive AccessProtection.

    2. Abra el Editor del Registro (regedit), vaya a la clave:

      \[HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\mfehidk\]

    3. Salga del Editor del Registro

    4. En la Consola de McAfee VirusScan, active AccessProtection.

  5. Si McAfee lo requiere para la configuración de VDI, elimine el GUID del agente (compruebe la documentación de McAfee para determinar si este paso es necesario):

    1. Abra el Editor del Registro (regedit).

    2. Elimine las siguientes claves del Registro:

      • 32-bit:

        HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      • 64-bit:

        HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

  6. Cuando se le solicite, reinicie la imagen dorada para permitir que McAfee instale sus controladores.

  7. Apague la imagen dorada e importe a una capa de SO.

Para instalar el software en una capa

Utilice este procedimiento si piensa utilizar una capa para implementar el software antivirus de McAfee en los escritorios de App Layering.

  1. En la consola de administración de App Layering, cree una capa.

  2. Cuando se le solicite instalar el software, instale el software McAfee Agent en modo VDI mediante el siguiente comando.

    framepkg.exe /Install=agent /enableVDImode

    Una vez completada la instalación, la máquina de empaquetado estará visible en la lista de sistemas del árbol de sistemas de ePolicy Orchestrator.

  3. Instale el software McAfee VirusScan Enterprise (VSE) en la máquina de empaquetado.

    1. Si se le pide que quite Windows Defender, haga clic en .

    2. Instale el software VSE en la máquina de empaquetado mediante archivos del servidor McAfee EPO. De lo contrario, permita que McAfee Agent Updater complete una actualización. Este paso puede tardar varios minutos en completarse.

    3. Haga clic en Finalizar para completar la instalación.

  4. Cambie el valor Start de McAfee:

    1. Abra McAfee VirusScan Console y desactive AccessProtection.

    2. Abra el Editor del Registro, vaya a la siguiente clave y cambie el valor Start de 0 a 1:

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mfehidk]

    3. En la Consola de McAfee VirusScan, active AccessProtection.

  5. Si McAfee lo requiere para la configuración de VDI, elimine el GUID del agente (compruebe la documentación de McAfee para determinar si este paso es necesario):

    1. Abra el Editor del Registro.

    2. Elimine las siguientes claves del Registro:

      32-bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      64-bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

  6. Finalice la capa de aplicación e implemente la capa de la forma habitual.

Posibles problemas de interoperabilidad

Los siguientes problemas de interoperabilidad pueden producirse en los escritorios de App Layering con software antivirus McAfee instalado.

Demoras en la apertura de archivos de vídeo

Si configura el software antivirus de McAfee para analizar archivos de script, puede haber largos retrasos al abrir archivos de vídeo en Internet Explorer.

Cuando intenta abrir estos archivos, el software McAfee y App Layering intentan realizar operaciones en estos archivos al mismo tiempo. Este conflicto provoca un retraso en la ejecución del archivo de vídeo. Todas las demás ventanas y aplicaciones siguen funcionando normalmente.

Si encuentra este tipo de retraso, espere a que se ejecute el archivo de vídeo. Eventualmente, la operación de McAfee agota el tiempo de espera y se completa la operación de App Layering.

Este problema no tiene ningún efecto en la capacidad del software antivirus para verificar los archivos de vídeo en busca de virus.

Los escritorios con capa McAfee no son visibles desde ePolicy Orchestrator

Si no puede ver escritorios en la capa de McAfee en ePolicy Orchestrator, solucione el problema siguiendo los pasos del siguiente artículo de la Knowledge Base de McAfee: Cómo restablecer el GUID de McAfee Agent si los equipos no se muestran en el directorio de ePolicy Orchestrator.

MOVE McAfee

Los procedimientos siguientes describen cómo implementar el software antivirus McAfee MOVE en una capa.

Nota:

Estas instrucciones suponen que ha instalado y configurado el software antivirus McAfee MOVE en McAfee ePolicy Orchestrator (ePO).

Para implementar el software antivirus McAfee MOVE, instale el software en una capa de aplicaciones y asigne la capa a los escritorios existentes.

Citrix ha probado las siguientes versiones del software antivirus McAfee MOVE y se ha comprobado que funcionan con App Layering.

  • McAfee Agent para Windows, versión 4.8.0.1938
  • Cliente multiplataforma McAfee AV MOVE, versión 3.6.0.347
  • McAfee VirusScan Enterprise, versión 8.8.0.1247
  • Servidor de análisis de descarga multiplataforma McAfee AV MOVE, versión 3.6.0.347
  • McAfee VirusScan Enterprise, versión 8.8.0.1445 y 8.8.0.1599
  • Servidor de análisis de descarga multiplataforma McAfee AV MOVE, versión 3.6.1.141 y 4.5.0.211

Nota:

McAfee Agent no se inicia para las sesiones de Escritorio remoto.

Requisitos de instalación

Antes de instalar McAfee MOVE, inhabilite Windows Defender.

Para crear una capa de aplicación McAfee Agent MOVE AV Client

  1. En la consola de administración de App Layering, vaya a Capas > Capa de aplicación > Crear capa.

  2. Vea las tareas actuales en la consola de administración de App Layering. Al principio, confirme que hay un estado “En ejecución” en la tarea Crear capa de aplicaciones<layer_name>. Cuando el estado de la tarea Crear capa de aplicaciones <layer_name> cambie a “Acción requerida”, inicie sesión en la máquina de empaquetado como administrador.

  3. Mueva el software McAfee Agent a la máquina de empaquetado mediante McAfee ePolicy Orchestrator. La máquina de empaquetado se hace visible en la lista Árbol de sistemas de ePO y el icono de McAfee aparece en la barra de tareas de la máquina de empaquetado.

  4. Utilice la tarea Implementación de productos en ePO para instalar el cliente McAfee MOVE AV [Multiplataforma] en la máquina de empaquetado.

  5. Reinicie la máquina de empaquetado y, a continuación, inicie sesión como administrador.

  6. En la máquina de empaquetado, elimine el valor de la clave de registro denominada AgentGUID de una de las siguientes ubicaciones:

    • 32 bits: HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent

    • 64 bits: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Network Associates\ePolicy Orchestrator\Agent

  7. Apague la máquina de empaquetado.

  8. Finalice la capa de aplicaciones.

Elementos esenciales de seguridad de Microsoft

Los siguientes procedimientos describen cómo utilizar una capa de SO o una capa de aplicación para implementar el software antivirus de Microsoft Security Essentials en App Layering.

App Layering admite las siguientes versiones del software antivirus Microsoft Security Essentials:

Microsoft Security Essentials 2012 versión 4.10.0209.0

  • Versión del cliente antimalware: 4.2.223.0
  • Versión del motor: 1.1.9901.0
  • Definición de antivirus: 1.159.324.0
  • Definición de antispyware: 1.159.324.0
  • Versión del motor del sistema de inspección de red: 2.1.9900.0
  • Versión de definición del sistema de inspección de red: 108.1.0.0

Método de implementación

Utilice uno de los métodos siguientes para implementar el software antivirus de Microsoft Security Essentials:

  • Instale el software en una imagen dorada que importe en una capa de SO.
  • Instale el software en una versión de capa de SO.
  • Instale el software en una capa de aplicaciones.

Requisitos de instalación

El software antivirus de Microsoft Security Essentials en una imagen dorada de App Layering, versión de capa de SO o capa de aplicaciones.

Habilite el servicio Windows Update, pero no utilice las actualizaciones de Windows. Las actualizaciones deben permanecer inhabilitadas.

Configure Microsoft Security Essentials para Windows en una versión de App Layering Layer.

Siga estos pasos para configurar Microsoft Security Essentials en Windows.

De forma predeterminada, el script de optimización de App Layering inhabilita el servicio de Windows Update. Para implementar Microsoft Security Essentials como capa de sistema operativo o aplicación en Windows, haga lo siguiente:

  1. Cree una versión del SO o de la capa de aplicaciones.
  2. Vaya a C:\windows\setup\scripts y ejecute App Layering Optimization Script Builder. Si el generador de scripts no está disponible, descárguelo de nuevo desde el archivo ZIP de App Layering Machine OS Tools.
  3. En el generador de scripts de optimización de App Layering, inhabilite el servicio de Windows Update.
  4. Finalice la capa.

El tipo de inicio del servicio de actualización cambia de Inhabilitado a Manual. Las actualizaciones de Windows no están habilitadas, lo cual es un requisito de App Layering.

Durante la instalación, compruebe services.msc y asegúrese de que el tipo de inicio del Servicio de actualización de Windows esté establecido en Manual. Si no lo está, cambie el tipo de inicio del Servicio de actualización de Windows a Manual y reinicie Windows.

Solución de problemas con las actualizaciones de Microsoft Windows Essentials

Si la actualización de Microsoft Security Essentials falla en un escritorio porque las actualizaciones de Windows están inhabilitadas, intente lo siguiente.

  • Active las actualizaciones de Windows en el Panel de control. Microsoft Security Essentials puede actualizar automáticamente en el escritorio.
  • Si inhabilitó las actualizaciones de Windows mediante el Editor de directivas de grupo local, modifique el registro para quitar la directiva de grupo local:
  1. Ejecute el Editor del Registro y quite la Directiva de grupo local.
  2. Reinicie la máquina.
  3. Habilitar actualizaciones de Windows desde el Panel de control.

Servidor/dispositivo de punto final de Sophos Central

Antes de empezar, cree y active su cuenta de Sophos Cloud, tal y como se describe aquí.

Para obtener más información sobre la implementación de Sophos Central Endpoint/Server en un entorno de App Layering, consulte la documentación de Sophos.

Opcional: Ajuste el identificador de seguridad

Después de importar la imagen dorada en una capa de SO, es posible que tenga que actualizar los valores del identificador de seguridad (SID). Para ello, cree una versión para la capa de SO para actualizar el SID en uno de los archivos de configuración de Sophos. En el siguiente artículo de la Knowledge Base de Sophos se explica cómo actualizar los valores del identificador de seguridad (SID) en uno de los archivos de configuración de Sophos:

No dispone de privilegios suficientes para ejecutar la aplicación principal de Sophos Endpoint Security and Control. Usted no es miembro de ninguno de los grupos de Sophos.

¿Cuándo ajusto el SID?

Si implementa un escritorio en la capa de SO y los usuarios no pueden abrir la interfaz de usuario de Sophos Endpoint Security and Control, ajuste el SID.

Procedimiento de ajuste del SID

Puede realizar estos pasos antes o después de importar la imagen dorada en una capa. Si ha importado la imagen dorada, puede realizar estos pasos mediante la modificación de la última revisión de la capa de SO. También puede crear una revisión de la capa de SO.

Para ajustar el SID

  1. Descargue el archivo script denominado UpdateSID.vbs del sitio web de Sophos. Coloque este archivo en el archivo C:\Windows\Setup\Scripts directory. Este script es necesario para corregir el ID de la máquina después de implementar un escritorio.

  2. Modifique el archivo C:\Windows\Setup\Scripts\SophosSetup.cmd y agregue las dos líneas siguientes al final del archivo:

    cd \Windows\setup\scripts

    cscript.exe UpdateSID.vbs //B

  3. Si el script es para una versión de capa de SO, finalice la versión.

Ahora puede crear escritorios mediante esta versión de la capa de SO. Asegúrese de que los escritorios pueden conectarse a Enterprise Console, registrarse y actualizarse según la programación.

Protección de Symantec Endpoint

Puede implementar la aplicación Symantec Endpoint Protection mediante cualquiera de los métodos siguientes:

  • Instale la aplicación en una imagen dorada y, a continuación, importe la imagen dorada en una capa de SO.
  • Instale la aplicación como una versión de capa de SO.
  • Instale la aplicación como parte de una capa de aplicación.

Nota:

Citrix recomienda utilizar el análisis en tiempo real en implementaciones de App Layering. Después de marcar los archivos “limpios”, Symantec Shared Insight Cache mejora el rendimiento al no volver a analizar los archivos en una capa.

Citrix ha probado las siguientes versiones de Symantec Endpoint Protection y ha verificado que funcionan con App Layering:

  • 12 y 12.1
  • 12.1.4
  • 12.1.5
  • 12.1.6 (12.1 RU6 MR6) compilación 7004 (12.1.7061.6600)
  • 14 MP 1 (14.0.2332)
  • 14.2

Nota:

Symantec Endpoint Protection 12.1.2 y 12.1.3 no son compatibles debido a un problema de Symantec que impide que App Layering funcione correctamente.

Comportamiento de Symantec Endpoint Protection en escritorios de App Layering

Tipo de escaneo Comportamiento
En tiempo real Microsoft Windows: Los escaneos al acceder funcionan como se esperaba en todos los escritorios de App Layering.
Manual Microsoft Windows: Si desactiva el Control de cuentas de usuario (UAC), un análisis antivirus manual examina únicamente los archivos del volumen de arranque de la máquina virtual. Mantenga el UAC habilitado cuando instale el software.

Para instalar software mediante Symantec Endpoint Protection Manager

Este procedimiento utiliza el Modo de equipo como método de implementación, que aplica directivas a todo el escritorio.

  1. En Symantec Endpoint Protection Manager, busque la imagen del sistema operativo o la máquina de empaquetado de la aplicación e inicie sesión:

    • imagen del sistema operativo, si utiliza la capa del sistema operativo
    • Empaquetar la máquina si utiliza una capa de aplicación o una revisión de capa

    1. Seleccione Clientes > Buscar equipos no administrados.

    2. Escriba los criterios de búsqueda apropiados en la ventana que se abre.

    3. Instale el software.

    Nota:

    Después de instalar el software, se le pedirá que reinicie Symantec Endpoint Protection Manager. Si lo hace en el paso 1, puede causar un problema al iniciar los servicios SEP. Continúe el proceso de instalación y reinicie Symantec Endpoint Protection Manager en el paso 5.

  2. Inicie sesión en la máquina de embalaje y desactive la protección contra manipulaciones.

  3. Inhabilite la entrada del registro para la protección “Stealth”. El análisis funciona incluso si el Control de cuentas de usuario (UAC) está habilitado. Asegúrese de que la configuración siguiente sea correcta en el Registro. Si los valores no existen en el Registro, agréguelos.

    • Para máquinas de 32 bits:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Common]

      "ScanStealthFiles" = (REG_DWORD) 0

    • Para máquinas de 64 bits:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Common]

      "ScanStealthFiles" = (REG_DWORD) 0

  4. Con regedit, cambie los valores de grupo y etiqueta para cada GUID de ccSettings.

    1. Vaya a la siguiente clave:

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ccSettings_{GUID}]

      Si hay más de un ccSettings_{GUID}, empieza por el primero.

    2. Para cada ccSettings_{GUID}, cambie el valor de Grupo de FSFilter Bottom a FSFilter Virtualization.

    3. Cambie el valor de etiqueta a un 8 para el primer GUID y agregue 1 al valor de cada GUID posterior. El siguiente GUID el valor es 9, luego 10, y así sucesivamente.

      Nota:

      Cuando instala Symantec por primera vez, hay un ‘ccSettings_ {GUID} ‘. Cada vez que actualice la aplicación, Symantec agrega otro GUID.

  5. Reinicie la máquina de empaquetado o la imagen dorada. A continuación, reinicie Packaging Machine tantas veces como sea necesario hasta que la solicitud de reinicio posterior a la instalación deje de aparecer en la consola de administración de App Layering.

  6. Habilite la protección contra manipulaciones.

  7. Para SEP 12.1 y versiones posteriores, consulte las instrucciones del siguiente artículo de la Knowledge Base para preparar las máquinas para implementar el software en un entorno de VDI. Para obtener más información, consulte el artículo Cómo preparar un cliente de Endpoint Protection para la clonación.

  8. Finalice la capa de aplicaciones o sistema operativo, o bien cierre e importe la imagen dorada.

  9. Si necesita utilizar la herramienta de excepción de imagen virtual (VIE) de SEP, consulte el artículo Acerca de la herramienta de excepción de imágenes virtuales de Symantec para obtener recomendaciones.

Durante la implementación del software de Symantec, el software de App Layering reconstruye la imagen del escritorio o de la máquina de empaquetado varias veces. El número de veces depende de cómo implemente la aplicación Symantec. Este comportamiento se espera, ya que el software Symantec Endpoint Protection no completa la configuración completa de los componentes de nivel de arranque durante la instalación inicial.

Para implementaciones cliente-servidor

El software Symantec Endpoint Protection:

  • Instala algunos de los controladores necesarios y reinicia el escritorio o la máquina de empaquetado.
  • Actualiza otros componentes y vuelve a reiniciar el escritorio o la máquina de empaquetado.
  • Completa la instalación y reinicia el escritorio o la máquina de empaquetado una vez más.
  • Implementa en escritorios

Si implementa el software de Symantec en escritorios no persistentes, incluya el software cuando cree el escritorio. Si agrega una capa de aplicaciones que contiene Symantec Endpoint Protection a un escritorio no persistente existente, aparecen dos entradas por escritorio en Symantec Endpoint Protection Manager.

En la consola de Symantec Endpoint Protection aparecen dos instancias de la misma máquina con nombres diferentes en los siguientes casos:

  • Crear un escritorio persistente en Windows 2008 R2 con una capa de aplicaciones de Symantec Endpoint Protection
  • Asignar la capa de aplicación a un escritorio existente

Un nombre es correcto. El segundo nombre es un nombre temporal y no se eliminó. Para solucionar este problema, puede eliminar clientes que no se han conectado durante X número de días.

Para eliminar clientes

  1. En la consola de Symantec Endpoint Protection, vaya a la página Admin y seleccione Dominios.
  2. En Tareas, seleccione Modificar propiedades de dominio.
  3. En la ventana Modificar propiedades de dominio, en la ficha General predeterminada, haga clic en Eliminar clientes que no se hayan conectado durante un tiempo específico. Citrix recomienda que el valor para los entornos de grandes empresas sea de 7 a 14 días.
  4. Para obtener más información, consulte la Solución 2 en el artículo Aparecen clientes SEP duplicados en la consola de Symantec Endpoint Protection Manager.

Consideraciones sobre la herramienta de diagnóstico de Symantec Help (SymHelp)

Si implementa Symantec Endpoint Protection en una capa, la herramienta de diagnóstico de la Ayuda de Symantec (SymHelp) requiere que coloque dos archivos en Unified Endpoint Protection. Cree un script con las siguientes líneas y coloque la ruta de acceso a él en una ruta del script cuando aplique la capa de Symantec.

pushd "C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IRON"
copy Iron.db Iron.db.save
copy Iron.db.save Iron.db /y
copy RepuSeed.irn RepuSeed.irn.save
copy RepuSeed.irn.save RepuSeed.irn /y
popd
<!--NeedCopy-->

Trend Micro OfficeScan

Los siguientes procedimientos describen cómo utilizar una capa de SO o una capa de aplicaciones para implementar el software antivirus Trend Micro OfficeScan. Estos procedimientos se basan en la documentación de Trend Micro para implementar escritorios en un entorno VDI.

Citrix App Layering admite la versión de Trend Micro OfficeScan Client y Server 11.0.6054.

Métodos de implementación

Utilice cualquiera de los métodos siguientes para implementar el software antivirus de Trend Micro:

  • Instale el software en una imagen dorada e impórtelo en una nueva capa de SO.
  • Instale el software en una versión de capa de SO.
  • Instale el software en una capa de aplicaciones y asigne la capa a escritorios nuevos o existentes.

Importante:

Si instala Trend Micro OfficeScan en una imagen dorada o en una versión de capa del sistema operativo, ejecute el archivo TCacheGen.exe de OfficeScan en lo siguiente:

  • La imagen dorada o capa de SO.
  • En todas las capas de aplicaciones que utilizan la imagen dorada o la capa del sistema operativo

Cada vez que cree una versión de capa o capa de aplicaciones, ejecute TCacheGen.exe en todas las capas que utilicen la capa del sistema operativo que contiene Trend Micro OfficeScan.

Después de ejecutar TCacheGen.exe, no vuelva a ejecutar la máquina de empaquetado.

Puede copiar TCacheGen.exe desde el servidor de OfficeScan, tal y como se especifica en la documentación de Trend Micro. Normalmente, este archivo se encuentra en la carpeta \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen.

Para instalar Trend Micro en una imagen dorada

Elimine el identificador único global (GUID) del software de Trend Micro antes de importar la imagen dorada a una capa de SO. Al instalar App Layering Machine Tools, el sistema se reinicia y crea un GUID. Por lo tanto, instale primero las máquinas herramientas, permita que la instalación reinicie la máquina y, a continuación, elimine el GUID.

Para obtener más información, consulte el documento de Trend Micro Configuring the OfficeScan (OSCE) Virtual Desktop Infrastructure (VDI) cliente/agente. Es importante comprender las recomendaciones de Trend Micro al instalar el software.

  1. Instale App Layering Machine Tools en la imagen dorada.
  2. Instale el cliente de Trend Micro OfficeScan.

  3. Copie el archivo TCacheGen.exe desde el servidor de OfficeScan, tal y como se documenta en la documentación de Trend Micro. Normalmente, el archivo se encuentra en la carpeta:

    \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen

  4. Ejecute TCacheGen.exe como se describe en la documentación de Trend Micro.
  5. Haga clic en Eliminar GUID de la plantilla y, a continuación, en Aceptar.
  6. Apague la imagen dorada.

  7. Cree una capa de SO mediante la imagen dorada.

    Importante:

    Cada vez que agregue una versión a esta capa, debe ejecutar el TCacheGenarchivo.exe y eliminar el GUID de nuevo. Al realizar estas acciones, se asegura de que los escritorios que utilizan esta capa funcionen correctamente.

Para instalar el software en una capa de aplicaciones

  1. En la consola de administración de App Layering, cree una capa.

  2. Cuando se le solicite, instale el cliente de Trend Micro OfficeScan en la máquina de empaquetado.

    Cuando instala Trend Micro OfficeScan 11 y el estado de la tarea cambia a Acción requerida, inhabilite el servicio Prevención de cambios no autorizados de la siguiente manera:

    1. En el servidor de OfficeScan, haga doble clic en el enlace de OfficeScan Web Console (HTML) en el escritorio para abrir OfficeScan Web Console.

    2. En la consola web de OfficeScan, seleccione Agentes > Administración de agentes.

    3. Haga clic con el botón derecho en OfficeScan Server y seleccione Configuración > Configuración de servicio Se abre la ventana Configuración de servicios adicionales.

    4. En Servicio de prevención de cambios no autorizados, desactive Habilitar servicio en los siguientes sistemas operativos.

    5. En la consola web, seleccione Agentes > Instalación del agente > Remota.

    6. En Buscar puntos finales, escriba la dirección IP de su máquina de embalaje y, a continuación, presione Entrar.

    7. Escriba el nombre de usuario y la contraseña del administrador local para la máquina de empaquetado y haga clic en Iniciar sesión.

    8. Haga clic en Instalar para instalar el agente de OfficeScan en los equipos de destino y, a continuación, en Aceptar en el cuadro de diálogo de confirmación. Un mensaje de confirmación confirma el número de agentes a los que se enviaron notificaciones y el número que verificó la recepción de dichas notificaciones.

    9. En la consola web de OfficeScan, vaya a Agentes > Administración de agentes. Haga clic en Grupo de trabajoy, a continuación, seleccione el nombre de la empaquetadora

    10. Inhabilite el servicio de prevención de cambios no autorizados para los grupos que está utilizando. Haga clic con el botón derecho en la empaquetadora y seleccione Configuración > Configuración de servicio adicional Se abre la ventana Configuración de servicios adicionales.

  3. En Servicio de prevención no autorizada, desactive Habilitar el servicio en los siguientes sistemas operativos.

  4. Si se le solicita, reinicie la máquina de empaquetado para permitir que se reconstruya la imagen de arranque.

  5. Cuando se reinicie la máquina de empaquetado, copie el archivo TCacheGen.exe del servidor de OfficeScan. Para obtener más información, consulte la documentación de Trend Micro. Normalmente, el archivo se encuentra en la carpeta:

    \\TrendServerName\ofcscan\Admin\Utility\TCacheGen

  6. Ejecute TCacheGen.exe. Para obtener más información, consulte la documentación de Trend Micro.

  7. Haga clic en eliminar GUID de la plantilla y, a continuación, en Aceptar.

  8. Finalice la capa.

    Importante

    Cada vez que agregue una versión a esta capa, debe ejecutar TCacheGen.exe y eliminar el GUID nuevamente. Al hacerlo, se garantiza que los escritorios que utilizan esta capa funcionen correctamente.

Aplicaciones antivirus de las capas
May 30, 2023
Contribución de: 
C
May 30, 2023
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.