Configurer les analyses antivirus des fichiers chargés

Important :

En raison des mises à jour du code d’application dans StorageZones 4.2, certains clients doivent mettre à jour le niveau d’autorisation auquel l’outil s’exécute depuis l’administrateur local vers le service réseau système. Si vous ne parvenez pas à mettre à jour les autorisations, les analyses antivirus ne démarrent pas.

Exigences/Résumé

  • Utilisateur utilisant StorageZones Controller 4.2 ou version ultérieure
  • SFAntivirus doit être exécuté en tant que service réseau à l’aide de PSExec
  • Mettre à jour l’emplacement du fichier journal

Exécutez SFAntivirus en tant que service réseau à l’aide de PSExec :

Les clients qui mettent à jour vers SZ 4.2 ou version ultérieure avec des tâches planifiées existantes liées à SFAntivirus doivent changer le niveau utilisateur auquel l’outil s’exécute, passant d’administrateur local au service réseau système.

Pour obtenir des droits de service réseau, utilisez PSExec pour lancer PowerShell (x86) sous le même contexte utilisateur que le StorageZones Controller et obtenir des droits de service réseau à l’aide de la commande suivante :

PsExec.exe -i -u "NT AUTHORITY\\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

Mettre à jour l’emplacement du fichier journal

Les administrateurs doivent également modifier l’emplacement du fichier journal en modifiant l’entrée log4net.config, s’ils se connectaient à un répertoire en dehors du répertoire journal SZC par défaut, en modifiant la ligne suivante :

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

L’installation du StorageZones Controller inclut plusieurs fichiers qui prennent en charge les analyses antivirus. Les fichiers sont installés par défaut dans C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus.

Après avoir personnalisé le fichier de configuration et utiliser le Planificateur de tâches Windows pour planifier les analyses, comme décrit dans les étapes suivantes, chaque demande de téléchargement de fichier provoque le StorageZones Controller à mettre en file d’attente le fichier pour une analyse antivirus. Si des problèmes sont signalés pour un fichier analysé, la vue Dossiers inclut une icône d’avertissement pour le fichier. Si un utilisateur tente de télécharger le fichier, un message d’avertissement s’affiche.

À partir de StorageZones Controller 4.0, l’emplacement du fichier journal antivirus peut être configuré. Pour modifier l’emplacement du journal, modifiez le fichier SFAntiVirus.exe.config à l’adresse C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus.

L’analyse antivirus ne supprime pas le fichier.

L’utilisation du protocole ICAP avec des plates-formes d’analyse antivirus codées selon la norme RFC pour ICAP est prise en charge sur StorageZones Controller 4.2 ou version ultérieure. Vous trouverez plus loin dans cet article des informations sur la configuration d’un AV ICAP.

Conditions préalables

  • Si vous exécutez des analyses de virus (SFantiVirus.exe) sur le StorageZones Controller, assurez-vous que le chiffrement est désactivé sur le Controller : sur la page de configuration de la console des zones de stockage, vérifiez que la case à cocher Activer le chiffrement est désactivée.

Remarque :

Après avoir configuré l’antivirus sur votre zone, tous les éléments nouvellement téléchargés sont analysés. La configuration de l’antivirus n’est pas rétroactive. Sa configuration n’analyse pas les fichiers et les éléments qui existent déjà dans la zone.

Pour préparer la configuration de votre emplacement

  1. Pour exécuter des analyses de virus sur un serveur autre que le StorageZones Controller :

    1. Copiez le dossier C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus sur l’autre serveur.

    2. Sur le StorageZones Controller, ouvrez C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config et définissez QueuesDKRestricted sur 0 :<add key="QueueSDKRestricted" value="0" />

  2. Sur le serveur sur lequel vous exécutez des analyses de virus, modifiez Sfantivirus.exe.config avec les valeurs correspondant à la configuration de votre StorageZones Controller :

    1. Pour CommandFile : spécifiez le chemin d’accès complet au logiciel antivirus. Ce logiciel doit résider sur le même serveur que le dossier antivirus ShareFile.

    2. Pour les options CommandOptions et les codes de retour : les paramètres de ligne de commande fournis dans le fichier de configuration sont un exemple. Fournissez les paramètres appropriés pour votre logiciel antivirus et votre environnement.

    3. Pour ScanFileTimeout : les fichiers plus volumineux peuvent prendre plus de temps à analyser. Réglez ce paramètre en fonction des tailles de fichier attendues dans votre stockage. Sinon, cela pourrait augmenter le risque qu’un fichier volumineux ne soit pas analysé.

  3. Dans une fenêtre de ligne de commande, exécutez la commande suivante pour configurer les analyses de virus : SFAntiVirus.exe -register SFusername SFpassword

Utiliser ICAP pour les analyses AV au lieu des outils de ligne de commande

StorageZones Controller 4.2 ou version ultérieure prend en charge l’utilisation du protocole ICAP avec des plates-formes d’analyse antivirus codées selon la norme RFC pour ICAP. Les clients peuvent toujours utiliser la méthode CLI s’ils le souhaitent. Cette fonctionnalité est prise en charge pour les zones locataires à partir de SZ 5.0.1 ou version ultérieure.

Pour activer un analyseur AV ICAP sur votre Controller de zone de stockage, accédez à la page de configuration du StorageZones Controller.

Activez la case à cocher Activer l’intégration antivirus et entrez l’adresse de votre serveur antivirus dans le champ URL RESPMOD ICAP. Il s’agit de l’URL du service de modification de réponse ICAP : ICAP://SERVER/RESPMOD.

Cliquez sur Tester la connectivité pour confirmer votre paramètre.

Pour créer et planifier une tâche pour les analyses antivirus

Remarque :

La création de tâches planifiées pour les analyses antivirus n’est nécessaire que lors de l’utilisation d’outils de ligne de commande. Cela n’est pas nécessaire lors de l’utilisation d’ICAP.

  1. Démarrez le Planificateur de tâches Windows et, dans le volet Actions, cliquez sur Créer une tâche.

  2. Sous l’onglet Général  :

    1. Indiquez un nom significatif pour la tâche.

    2. Sous Options de sécurité, cliquez sur Modifier l’utilisateur ou le groupeet spécifiez un utilisateur Windows pour exécuter la tâche. L’utilisateur doit disposer d’une autorisation d’accès complète sur l’emplacement de stockage.

    3. Sélectionnez Exécuter si l’utilisateur est connecté ou non. Laissez la case à cocher Ne pas stocker le mot de passe désactivée.

    4. Sélectionnez Exécuter avec les privilèges les plus élevés.

    5. Dans le menu Configurer pour, sélectionnez le système d’exploitation du serveur sur lequel la tâche sera exécutée.

  3. Pour créer un déclencheur : sous l’onglet Déclencheurs, cliquez sur Nouveau. Ensuite, pour Commencer la tâche, choisissez Sur une planification et spécifiez une planification.

  4. Pour créer une action : sous l’onglet Actions, cliquez sur Nouveau.

    1. Pour Action, choisissez Démarrer un programme et spécifiez le chemin d’accès complet au programme. Par exemple :

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

    2. Pour Démarrer dans, spécifiez l’emplacement de SFAntiVirus.exe : C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

  5. Sous l’onglet Paramètres, pour Si la tâche est déjà en cours d’exécution, la règle suivante s’applique, choisissez Ne pas démarrer une nouvelle instance.

Intégration de la ligne de commande AV dans le service d’analyse

Conditions préalables

  • Avant d’installer ou de mettre à niveau le Controller de zones de stockage 5.2, assurez-vous d’arrêter ou de supprimer l’AV de ligne de commande existant s’il s’exécute en tant que tâche planifiée ou cron.
  • Installez .NET 4.6.2 (ou version ultérieure) sur une machine hôte.

Le service d’analyse dans le StorageZones Controller sur site inclut la prise en charge de l’utilisation d’un outil AV en ligne de commande, comme Symantec AV Scan en ligne de commande. En outre, le service d’analyse fournit des analyses avec les produits antivirus pris en charge par ICAP.

Pour activer cette fonctionnalité, ajoutez la clé de configuration et la valeur suivantes dans Antivirus/Onprem/AVScanService/AVScanService/AppSettings.config

<add key="use-command-line-av" value="true" />

Configuration spécifique à l’outil de ligne de commande

La mise à niveau ou la nouvelle installation du Controller de zones de stockage 5.2 inclut un nouveau fichier de configuration :

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

Ce fichier gère les paramètres nécessaires pour la ligne de commande AV.

Les valeurs de la clé de configuration sont expliquées ci-dessous avec des exemples de valeurs incluses.

  • Définissez ce point sur votre application en ligne de commande.

    "command-file": "c:\\\\vscan\\\\scan.exe"

  • Consultez la documentation de l’application en ligne de commande pour voir quelles options ou commutateurs elle prend en charge, puis ajoutez-les à cet emplacement.

    "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

  • Incluez les valeurs de sortie qui indiquent une analyse propre.

    "scanner-codes-for-clean-file": "0, 19",

  • Inclure les valeurs de sortie qui indiquent le fichier infecté.

    "scanner-codes-for-infected-file": "12, 13",

  • Inclure les valeurs de sortie qui indiquent les fichiers non analysés.

    "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

Remarques sur l’application de la taille maximale du fichier, à l’exclusion des extensions

Avant la version 5.2, vous ne pouviez pas appliquer l’exclusion d’extension ou l’application de taille maximale de fichier sur l’AV de ligne de commande. Vous ne pouvez le faire que sur le service d’analyse ICAP. Avec la version 5.2, les mêmes paramètres que ceux appliqués au service d’analyse ICAP concernant les extensions exclues et la taille maximale du fichier en octets s’appliquent au service de ligne de commande AV.

Ces paramètres ont été nommés comme suit :

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

Une nouvelle installation du Controller de zones de stockage 5.2 renomme ces paramètres comme suit. Les paramètres renommés reflètent le fait qu’ils sont applicables à la fois à l’AV basé sur ICAP et à l’AV de ligne de commande.

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

Lors d’une mise à niveau, ces paramètres ne sont pas renommés. Bien que le renommage manuel fonctionne, les mêmes paramètres fonctionneraient également pour la ligne de commande AV en plus de l’ICAP.

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />