アップロードされたファイルのウイルス対策スキャンの構成
重要:
StorageZones 4.2 のアプリケーションコードの更新により、一部のお客様は、ローカル管理者からシステムネットワークサービスにツールを実行する権限レベルを更新する必要があります。アクセス許可の更新に失敗すると、ウイルス対策スキャンの開始に失敗します。
要件/概要
- StorageZones Controller 4.2以降を使用するユーザー
- SFAntivirusは、PSExec を使用してネットワークサービスとして実行する必要があります。
- 更新ログファイルの場所
PSExec を使用して SFAntivirus をネットワークサービスとして実行します。
SZ 4.2 以降にアップデートするクライアントは、SF Antivirus にリンクする既存のスケジュールされたタスクを使用して、ツールを実行するユーザーレベルをローカル管理者からシステムネットワークサービスに変更する必要があります。
ネットワークサービス権限を取得するには、PSExec を使用してStorage Zone Controller と同じユーザーコンテキストで PowerShell (x86) を起動し、次のコマンドを使用してネットワークサービス権限を取得します。
PsExec.exe -i -u "NT AUTHORITY\\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell
更新ログファイルの場所
管理者は、log4net.config エントリを編集して、デフォルトの SZC ログディレクトリ以外のディレクトリにログインしている場合は、次の行を変更して、ログファイルの場所を変更する必要があります。
\<file value="..\\..\\SC\\logs\\avscantool-" /\>
Storage Zone Controllerのインストールには、ウイルス対策スキャンをサポートするいくつかのファイルが含まれています。ファイルは、デフォルトで C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. にインストールされます。
次の手順で説明するように、構成ファイルをカスタマイズし、Windows タスクスケジューラを使用してスキャンをスケジュールした後、ファイルのアップロード要求ごとに、Storage Zone Controller がファイルをウイルス対策スキャン用にキューに入れます。スキャンしたファイルの問題が報告された場合、[フォルダ] ビューにはファイルの警告アイコンが表示されます。ユーザーがファイルをダウンロードしようとすると、警告メッセージが表示されます。
StorageZones Controller 4.0 では、ウイルス対策ログファイルの場所を構成できます。ログの場所を変更するには、C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus. にある SFAntivirus.exe.config ファイルを編集します。
ウイルス対策スキャンでは、ファイルは削除されません。
ICAP の RFC 標準に準拠したウイルス対策スキャンプラットフォームでの ICAP プロトコルの使用は、StorageZones Controller 4.2 以降でサポートされています。ICAP AV の設定に関する情報は、この記事でさらに詳しく説明します。
前提条件
- Storage Zone Controllerでウイルススキャン (SfAntivirus.exe) を実行する場合は、Controller で暗号化が無効になっていることを確認します。ストレージゾーンコンソールの構成ページで、[Enable Encryption] チェックボックスがオフになっていることを確認します。
注:
ゾーンでウイルス対策を構成すると、新しくアップロードされたアイテムがスキャンされます。ウイルス対策の設定は遡及的ではありません。このファイルを構成しても、ゾーンにすでに存在するファイルやアイテムはスキャンされません。
ロケーションの設定を準備するには
-
Storage Zone Controller 以外のサーバーでウイルススキャンを実行するには、以下の手順に従ってください。
-
フォルダー C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus を別のサーバーにコピーします。
-
Storage Zone Controller で、C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config を開き、QueueSDKRestricted を 0 に設定します。
<add key="QueueSDKRestricted" value="0" />
-
-
ウイルススキャンを実行するサーバーで、sfAntivirus.exe.config をStorage Zone Controller の設定の値で編集します。
-
CommandFile の場合:ウイルス対策ソフトウェアのフルパスを指定します。このソフトウェアは、ShareFile ウイルス対策フォルダと同じサーバ上に存在する必要があります。
-
CommandOptions とリターンコードの場合:構成ファイルに用意されているコマンドライン設定の例です。ウイルス対策ソフトウェアと環境に適した設定を指定します。
-
ScanFileTimeout の場合:ファイルのサイズが大きくなると、スキャンに時間がかかることがあります。ストレージに期待されるファイルサイズに応じて、この設定を調整します。そうしないと、大きなファイルがスキャンされないリスクが高くなります。
-
-
コマンドラインウィンドウで、次のコマンドを実行してウイルススキャンを設定します。
SFAntiVirus.exe -register SFusername SFpassword
コマンドラインツールの代わりに ICAP を AV スキャンに使用する
StorageZones Controller 4.2 以降では、ICAP の RFC 標準に準拠したウイルス対策スキャンプラットフォームでの ICAP プロトコルの使用がサポートされています。お客様は、必要に応じて CLI メソッドを使用できます。この機能は、SZ 5.0.1 以降のテナントゾーンでサポートされています。
Storage Zone Controllerで ICAP AV スキャナーを有効にするには、Storage Zone Controllerの設定ページに移動します。
[ ウイルス対策統合を有効にする ] チェックボックスをオンにし、[ ICAP RESPMOD URL ] フィールドにウイルス対策サーバーのアドレスを入力します。ICAP 応答変更サービスの URLです。ICAP://SERVER/RESPMOD
[ 接続のテスト ] をクリックして設定を確認します。
ウイルススキャンのタスクを作成してスケジュールするには
注:
ウイルススキャンのスケジュールされたタスクの作成は、コマンドラインツールを使用する場合にのみ必要です。ICAP を利用する場合、これは必須ではありません。
-
Windows タスクスケジューラを起動し、[ 操作 ] ウィンドウで [ タスクの作成] をクリックします。
-
[ 全般 ] タブで、次の操作を行います。
-
タスクに意味のある名前を指定します。
-
[セキュリティ] オプション で [ユーザーまたはグループの変更] をクリックし、タスクを実行する Windows ユーザーを指定します。ユーザーは、ストレージの場所に対するフルアクセス権を持っている必要があります。
-
[ユーザーがログオンしているかどうかにかかわらず実行する] を選択します。[ パスワードを保存しない ] チェックボックスはオフのままにします。
-
[ 最も高い権限で実行する] を選択します。
-
[Configure for ]メニューから、タスクを実行するサーバーのオペレーティングシステムを選択します。
-
-
トリガーを作成するには、[トリガー] タブで、[新規] をクリックします。次に、[タスクの開始]で [スケジュールに従って] を選択し、スケジュールを指定します。
-
アクションを作成するには:[ アクション ] タブで、[ 新規] をクリックします。
-
[アクション] で、プログラムの [開始] を選択し、プログラムのフルパスを指定します。次に例を示します:
C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe
-
[開始場所] で、SFAntivirus.exe の場所を指定します。
C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus
-
-
[設定] タブの、 [タスクが既に実行されている場合] では、次の規則が適用され、[新しいインスタンスを開始しない] を選択します。
スキャンサービスへのAVコマンドライン統合
前提条件
- Storage Zone Controller 5.2 をインストールまたはアップグレードする前に、既存のコマンドライン AV がスケジュールされたタスクまたは cron として実行されている場合は、必ず停止または削除してください。
- .NET 4.6.2 以降をホストマシンにインストールします。
オンプレミスのStorage Zone Controller の Scan Service には、Symantec コマンドラインの AV スキャンなどのコマンドラインの AV ツールの使用がサポートされています。さらに、スキャンサービスは、ICAP がサポートするウイルス対策製品を使用してスキャンを行います。
この機能を有効にするには、AntiVirus/OnPrem/AVScanService/AVScanService/appSettings.configに次の構成キーと値を追加します。
<add key="use-command-line-av" value="true" />
コマンドラインツール固有の構成
Storage Zone Controller 5.2 のアップグレードまたは新規インストールには、新しい設定ファイルが含まれています。
AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json
このファイルは、AVコマンドラインに必要な設定を処理します。
設定キーの値については、例の値を含めて説明します。
-
このポイントをコマンドラインアプリに設定します。
"command-file": "c:\\\\vscan\\\\scan.exe"
-
コマンドラインアプリのドキュメントを参照して、サポートされているオプションまたはスイッチを確認し、この場所に追加します。
"command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",
-
クリーンスキャンを示す出力値を含めます。
"scanner-codes-for-clean-file": "0, 19",
-
感染ファイルを示す出力値を含めます。
"scanner-codes-for-infected-file": "12, 13",
-
スキャンされていないファイルを示す出力値を含めます。
"scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"
最大ファイルサイズの強制に関する注意事項(拡張子を除く)
バージョン 5.2 より前のバージョンでは、拡張機能の除外または最大ファイルサイズの強制をコマンドライン AV で強制できませんでした。ICAP スキャンサービスでのみ実行できます。バージョン 5.2 では、除外された拡張子と最大ファイルサイズ(バイト単位)に関する ICAP スキャンサービスに適用したのと同じ設定が AV コマンドラインサービスに適用されます。
これらの設定は次のように命名されました。
<add key="icap-exclude-extensions" value="" />
<add key="icap-max-file-size-bytes" value="0" />
Storage Zone Controller 5.2 を新規インストールすると、これらの設定の名前が次のように変更されます。名前が変更された設定は、ICAP ベースの AV とコマンドライン AV の両方に適用可能であるという事実を反映しています。
<add key="exclude-extensions" value="" />
<add key="max-file-size-bytes" value="0" />
アップグレード時に、これらの設定の名前は変更されません。手動で名前を変更することはできますが、ICAP に加えて AV コマンドラインでも同じ設定を使用できます。
<add key="icap-exclude-extensions" value="" />
<add key="icap-max-file-size-bytes" value="0" />