アップロードされたファイルのウイルス対策スキャンの設定

重要:

StorageZones 4.2のアプリケーション・コードの更新により、一部のお客様は、ツールを実行する権限レベルをローカル管理者からシステム・ネットワーク・サービスに更新する必要があります。アクセス許可の更新に失敗すると、ウイルス対策スキャンが開始されません。

要件/概要

• StorageZones Controller 4.2以降を使用しているユーザー
• SFAntivirusは、PSExecを使用してネットワークサービスとして実行する必要があります
• 更新ログファイルの場所

PSExec を使用してネットワークサービスとして SFAntivirus を実行します。

SFAntivirusにリンクされている既存のスケジュールされたタスクを使用してSZ 4.2以降にアップデートするクライアントは、ツールを実行するユーザーレベルをローカル管理者からシステムネットワークサービスに変更する必要があります。

ネットワークサービス権限を取得するには、PSExec を使用して、ストレージゾーンController と同じユーザーコンテキストで PowerShell (x86) を起動し、次のコマンドを使用してネットワークサービス権限を取得します。

PsExec.exe -i -u "NT AUTHORITY\\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

更新ログファイルの場所

管理者は、log4net.config エントリを編集して、デフォルトの SZC ログディレクトリ以外のディレクトリにロギングする場合は、次の行を変更して、ログファイルの場所を変更する必要があります。

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

ストレージゾーン Controller インストールには、ウイルス対策スキャンをサポートする複数のファイルが含まれています。ファイルはデフォルトで C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. にインストールされます。

構成ファイルをカスタマイズし、Windows タスクスケジューラを使用してスキャンをスケジュールした後、次の手順で説明するように、各ファイルアップロード要求により、ストレージゾーン Controller がファイルをウイルス対策スキャン用にキューに入れます。スキャンしたファイルの問題が報告された場合、「フォルダ」ビューにはファイルの警告アイコンが表示されます。ユーザーがファイルをダウンロードしようとすると、警告メッセージが表示されます。

StorageZones Controller 4.0では、ウイルス対策ログ・ファイルの場所を構成できます。ログの場所を変更するには、C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus. で SFAntivirus.exe.config ファイルを編集します。

ウイルス対策スキャンでは、ファイルは削除されません。

ICAP 用の RFC 標準にコード化されたウイルス対策スキャンプラットフォームでの ICAP プロトコルの使用は、StorageZones Controller 4.2 以降でサポートされています。ICAP AVの設定に関する情報は、この記事の後半で確認できます。

前提条件

• ストレージゾーンコントローラーでウイルススキャン (SFAntiVirus.exe) を実行する場合は、Controller で暗号化が無効になっていることを確認します。ストレージゾーンコンソールの構成ページで、[暗号化を有効にする] チェックボックスがオフになっていることを確認します。

注：

ゾーンでアンチウイルスを構成すると、新しくアップロードされたアイテムがすべてスキャンされます。ウイルス対策の設定は遡及的ではありません。この構成では、ゾーンにすでに存在するファイルおよびアイテムはスキャンされません。

場所の設定を準備するには

1. ストレージゾーン Controller 以外のサーバでウイルススキャンを実行するには、次の手順を実行します。

   1. C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus フォルダを別のサーバーにコピーします。

   2. ストレージゾーン Controller で C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config を開き、QueueSDKRestricted を 0 に設定します。<add key="QueueSDKRestricted" value="0" />

2. ウイルススキャンを実行するサーバーで、SFAntiVirus.exe.config をストレージゾーンController 設定の値で編集します。

   1. CommandFile の場合:ウイルス対策ソフトウェアへのフルパスを指定します。このソフトウェアは、ShareFileアンチウイルスフォルダと同じサーバ上に存在する必要があります。

   2. CommandOptions とリターンコードの場合:設定ファイルに用意されているコマンドラインの設定が例です。ウイルス対策ソフトウェアと環境に適した設定を指定します。

   3. ScanFileTimeout の場合:ファイルのサイズが大きいほど、スキャンに時間がかかることがあります。ストレージで予想されるファイルサイズに応じて、この設定を調整します。そうしないと、大きなファイルがスキャンされないリスクが高くなります。

3. コマンドラインウィンドウで、次のコマンドを実行してウイルススキャンを設定します。SFAntiVirus.exe -register SFusername SFpassword

コマンドラインツールではなく、AVスキャンにICAP を使用する

StorageZones Controller 4.2 以降では、ICAP の RFC 標準にコード化されたアンチウイルススキャンプラットフォームでの ICAP プロトコルの使用がサポートされています。お客様は、必要に応じて CLI 方式を使用することもできます。この機能は、SZ 5.0.1 以降のテナントゾーンでサポートされています。

ストレージゾーンController で ICAP AV スキャナーを有効にするには、ストレージゾーンコントローラー設定ページに移動します。

[ ウイルス対策統合を有効にする ] チェックボックスをオンにし、[ ICAP RESPMOD URL ] フィールドにウイルス対策サーバーのアドレスを入力します。ICAP 応答変更サービスの URLです。ICAP://SERVER/RESPMOD

[ 接続のテスト ] をクリックして、設定を確認します。

ウイルススキャンのタスクを作成してスケジュールするには

注：

ウイルススキャンのスケジュールされたタスクの作成は、コマンドラインツールを使用する場合にのみ必要です。ICAPを利用する場合、これは必須ではありません。

1. Windows タスクスケジューラを起動し、[ 操作 ] ウィンドウで [ タスクの作成 ] をクリックします。

2. [ 全般 ] タブで、次の操作を行います。

   1. タスクにわかりやすい名前を指定します。

   2. [ セキュリティ オプション] で、[ ユーザーまたはグループの変更 ] をクリックし、タスクを実行する Windows ユーザーを指定します。ユーザーは、ストレージの場所に対するフルアクセス権を持っている必要があります。

   3. [ ユーザーがログオンしているかどうかに関係なく実行] を選択します。[ パスワードを保存しない ] チェックボックスをオフのままにします。

   4. [ 最も高い権限で実行する]を選択します。

   5. [ Configure for] メニューから、タスクを実行するサーバのオペレーティングシステムを選択します。

3. トリガーを作成するには、[ トリガー ] タブで [ 新規作成 ] をクリックします。次に、[ タスクの開始] で、[ スケジュール上]を選択し、スケジュールを指定します。

4. アクションを作成するには:[ アクション ] タブで、[ 新規作成 ] をクリックします。

   1. [ アクション] で、[プログラムの 開始]を選択し、プログラムの完全なパスを指定します。たとえば、次のようになります。

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

   2. [開始場所] で、SFAntiVirus.exe の場所を指定します。C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

5. [ 設定 ] タブの [タスクが既に実行されている場合 、次のルールが適用されます。[ 新しいインスタンスを起動しない ] を選択します。

AV コマンドラインのスキャンサービスへの統合

前提条件

• ストレージゾーンController 5.2 をインストールまたはアップグレードする前に、既存のコマンドライン AV がスケジュールされたタスクまたは cron として実行されている場合は、必ず停止または削除してください。
• .NET 4.6.2 (またはそれ以降) をホストマシンにインストールします。

オンプレミスのストレージゾーンController スキャンサービスには、シマンテック社のコマンドラインAVスキャンなどのコマンドラインAVツールの使用のサポートが含まれています。さらに、スキャンサービスでは、ICAP がサポートするウイルス対策製品を使用してスキャンが提供されます。

この機能を有効にするには、アンチウイルス/OnPrem/AVScanサービス/アプリケーション設定.configに次の設定キーと値を追加します。

<add key="use-command-line-av" value="true" />

コマンド・ライン・ツール固有の構成

ストレージゾーンController 5.2 のアップグレードまたは新規インストールには、新しい設定ファイルが含まれています。

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

このファイルでは、AV コマンドラインに必要な設定を処理します。

次に、設定キーの値について説明し、値の例を示します。

• このポイントをコマンドラインアプリに設定します。

  "command-file": "c:\\\\vscan\\\\scan.exe"

• コマンドラインアプリのドキュメントを参照して、サポートするオプションまたはスイッチを確認し、この場所に追加します。

  "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

• クリーンスキャンを示す出力値を含めます。

  "scanner-codes-for-clean-file": "0, 19",

• 感染ファイルを示す出力値を含めます。

  "scanner-codes-for-infected-file": "12, 13",

• スキャンされなかったファイルを示す出力値を含めます。

  "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

拡張子を除く最大ファイルサイズの強制に関する注意事項

バージョン 5.2 より前のバージョンでは、コマンドライン AV で拡張子の除外または最大ファイルサイズの強制を実行できませんでした。この操作は、ICAP Scan サービスでのみ行うことができます。バージョン 5.2 では、除外された拡張子と最大ファイルサイズ (バイト単位) に関する ICAP スキャンサービスに適用される設定と同じ設定が AV コマンドラインサービスに適用されます。

これらの設定は、次のように命名されました。

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

ストレージゾーン Controller 5.2 を新しくインストールすると、これらの設定の名前が次のように変更されます。名前が変更された設定は、ICAP ベースの AV とコマンドライン AV の両方に適用できるという事実を反映しています。

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

アップグレードでは、これらの設定の名前は変更されません。手動の名前変更も可能ですが、ICAP に加えて AV コマンドラインでも同じ設定が機能します。

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />