アップロードされたファイルのウイルス対策スキャンの構成

重要：

StorageZones 4.2 のアプリケーションコードを更新するため、一部のお客様は、ローカル管理者からシステムネットワークサービスに、ツールを実行する権限レベルを更新する必要があります。アクセス許可の更新に失敗すると、ウイルス対策スキャンの開始に失敗します。

要件/要約

• StorageZones Controller 4.2以降を使用しているユーザー
• SFAntivirusは、PSExec を使用してネットワークサービスとして実行する必要があります。
• ログファイルの場所を更新する

PSExec を使用して SFAntivirus をネットワークサービスとして実行します。

SFAntivirus にリンクしている既存のスケジュールされたタスクを使用して SZ 4.2 以降に更新するクライアントは、ツールを実行するユーザーレベルをローカル管理者からシステムネットワークサービスに変更する必要があります。

ネットワークサービス権限を取得するには、PSExec を使用してStorage Zone Controller と同じユーザーコンテキストで PowerShell (x86) を起動し、次のコマンドを使用してネットワークサービス権限を取得します。

PsExec.exe -i -u "NT AUTHORITY\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

ログファイルの場所を更新する

管理者は、次の行を変更して、デフォルトの SZC ログディレクトリ以外のディレクトリにログインしている場合は、log4net.config エントリを編集してログファイルの場所を変更する必要もあります。

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

Storage Zone Controllerのインストールには、ウイルス対策スキャンをサポートするいくつかのファイルが含まれています。ファイルは C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. にデフォルトでインストールされます

次の手順で説明するように、構成ファイルをカスタマイズし、Windows タスクスケジューラを使用してスキャンをスケジュールすると、ファイルアップロード要求ごとにストレージゾーンコントローラがファイルをウイルス対策スキャン用にキューイングします。スキャンされたファイルに関する問題が報告された場合、フォルダビューにはファイルの警告アイコンが表示されます。ユーザーがファイルをダウンロードしようとすると、警告メッセージが表示されます。

StorageZones Controller 4.0 以降では、ウイルス対策ログファイルの場所を構成できます。ログの場所を変更するには、C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus. で SFAntivirus.exe.config ファイルを編集します。

ウイルス対策スキャンでは、ファイルは削除されません。

StorageZones Controller 4.2 以降では、ICAP の RFC 標準にコード化されたウイルス対策スキャンプラットフォームで ICAP プロトコルを使用することがサポートされます。ICAP AV の設定に関する情報は、この記事のさらに下にあります。

前提条件

• ストレージゾーンコントローラでウイルススキャン (SFAntiVirus.exe) を実行する場合は、コントローラの暗号化が無効になっていることを確認します。ストレージゾーンのコンソール構成ページで、[ 暗号化を有効にする ] チェックボックスがオフになっていることを確認します。

注：

ゾーンでウイルス対策を構成すると、新しくアップロードされたアイテムがスキャンされます。ウイルス対策の設定は遡及的ではありません。ゾーンにすでに存在するファイルおよびアイテムはスキャンされません。

場所の設定を準備するには

1. Storage Zone Controller 以外のサーバーでウイルススキャンを実行するには、以下の手順に従ってください。

   1. フォルダー C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus を別のサーバーにコピーします。

   2. Storage Zone Controller で、C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config を開き、QueueSDKRestricted を 0 に設定します。 <add key="QueueSDKRestricted" value="0" />

2. ウイルススキャンを実行するサーバーで、sfAntivirus.exe.config をStorage Zone Controller の設定の値で編集します。

   1. CommandFile: ウイルス対策ソフトウェアのフルパスを指定します。このソフトウェアは、ShareFileウイルス対策フォルダと同じサーバー上に存在する必要があります。

   2. CommandOptions とリターンコードの場合:設定ファイルに提供されるコマンドライン設定の例を示します。ウイルス対策ソフトウェアおよび環境に適した設定を指定します。

   3. ScanFileTimeout の場合:大きいファイルのスキャンに時間がかかる場合があります。ストレージで予想されるファイルサイズに応じて、この設定を調整します。そうしないと、大きなファイルがスキャンされないリスクが高くなります。

3. コマンドラインウィンドウで、次のコマンドを実行して、ウイルススキャンを設定します。 SFAntiVirus.exe -register SFusername SFpassword

コマンドラインツールの代わりに ICAP を AV スキャンで使用する

ストレージゾーンコントローラ 5.3 以降では、ICAP の RFC 標準にコード化されたウイルス対策スキャンプラットフォームでの ICAP プロトコルの使用がサポートされています。お客様は、必要に応じて CLI メソッドを使用できます。この機能は、ストレージゾーンコントローラ 5.0.1 以降では、テナントゾーンでサポートされています。

Storage Zone Controllerで ICAP AV スキャナーを有効にするには、Storage Zone Controllerの設定ページに移動します。

[ ウイルス対策統合を有効にする ] チェックボックスをオンにし、[ ICAP RESPMOD URL ] フィールドにウイルス対策サーバのアドレスを入力します。ICAP 応答変更サービスの URLです。ICAP://SERVER/RESPMOD

[ 接続のテスト ] をクリックして設定を確認します。

ウイルススキャンのタスクを作成してスケジュールするには

注：

ウイルススキャンのスケジュールされたタスクの作成は、コマンドラインツールを使用する場合にのみ必要です。ICAP を利用する場合、これは必須ではありません。

1. Windows タスクスケジューラを起動し、[ 操作 ] ウィンドウで [ タスクの作成] をクリックします。

2. [ 全般 ] タブで、次の操作を行います。

   1. タスクにわかりやすい名前を指定します。

   2. [セキュリティ] オプション で [ユーザーまたはグループの変更] をクリックし、タスクを実行する Windows ユーザーを指定します。ユーザーは、格納場所に対するフルアクセス権を持っている必要があります。

   3. [ユーザーがログオンしているかどうかにかかわらず実行する] を選択します。[ パスワードを保存しない ] チェックボックスはオフのままにします。

   4. [ 最高の権限で実行する] を選択します。

   5. ［Configure for ］メニューから、タスクを実行するサーバーのオペレーティングシステムを選択します。

3. トリガーを作成するには、[トリガー] タブで、[新規] をクリックします。次に、[タスクの開始]で [スケジュールに従って] を選択し、スケジュールを指定します。

4. アクションを作成するには:[ アクション ] タブで、[ 新規作成] をクリックします。

   1. [ 操作] で、[ プログラムの開始 ] を選択し、プログラムへのフルパスを指定します。例：

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

   2. [開始場所] で、SFAntiVirus.exe の場所を指定します。 C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

5. ［設定］ タブの、 ［タスクが既に実行されている場合］ では、次の規則が適用され、［新しいインスタンスを開始しない］ を選択します。

スキャンサービスへのAVコマンドライン統合

前提条件

• Storage Zone Controller 5.2 をインストールまたはアップグレードする前に、既存のコマンドライン AV がスケジュールされたタスクまたは cron として実行されている場合は、必ず停止または削除してください。
• ホストマシンに.NET 4.6.2 (またはそれ以降) をインストールします。

オンプレミスのストレージゾーンコントローラのスキャンサービスには、Symantec コマンドライン AV スキャンなどのコマンドラインの AV ツールの使用がサポートされています。さらに、スキャンサービスは、ICAP がサポートするウイルス対策製品を使用してスキャンを提供します。

この機能を有効にするには、AntiVirus/OnPrem/AVScanService/AVScanService/appSettings.configに次の構成キーと値を追加します。

<add key="use-command-line-av" value="true" />

コマンドラインツール固有の構成

Storage Zone Controller 5.2 のアップグレードまたは新規インストールには、新しい設定ファイルが含まれています。

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

このファイルは、AVコマンドラインに必要な設定を処理します。

次に、設定キーの値について説明し、値の例を挙げます。

• このポイントをコマンドラインアプリに設定します。

  "command-file": "c:\\\\vscan\\\\scan.exe"

• コマンドラインアプリのマニュアルを参照して、サポートされているオプションまたはスイッチを確認し、この場所にそれらを追加します。

  "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

• クリーンスキャンを示す出力値を含めます。

  "scanner-codes-for-clean-file": "0, 19",

• 感染ファイルを示す出力値を含めます。

  "scanner-codes-for-infected-file": "12, 13",

• スキャンされていないファイルを示す出力値を含めます。

  "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

拡張子の除く最大ファイルサイズの強制に関する注意事項

バージョン 5.2 より前のバージョンでは、コマンドライン AV で拡張子の除外または最大ファイルサイズの強制を実行できませんでした。この操作は、ICAP スキャンサービスでのみ実行できます。バージョン 5.2 では、除外された拡張子および最大ファイルサイズ (バイト単位) に関する ICAP スキャンサービスに適用したのと同じ設定が AV コマンドラインサービスに適用されます。

これらの設定の名前は次のとおりです。

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

Storage Zone Controller 5.2 を新規インストールすると、これらの設定の名前が次のように変更されます。名前が変更された設定は、ICAP ベースの AV とコマンドライン AV の両方に適用できるという事実を反映しています。

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

アップグレードでは、これらの設定の名前は変更されません。手動による名前の変更も機能しますが、ICAP に加えて AV コマンドラインでも同じ設定が機能します。

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />