技術論文:エンドポイントセキュリティ、ウイルス対策、およびマルウェア対策のベストプラクティス

概要

この記事では、Citrix DaaSおよびCitrix Virtual Apps and Desktops環境でウイルス対策ソフトウェアを構成するためのガイドラインを提供します。また、他のCitrix テクノロジや機能(Cloud Connector、Provisioning Services など)でウイルス対策ソフトウェアを構成するためのリソースも含まれています。ウイルス対策の構成が正しくないことは、Citrix Consultingが現場で目にする最も一般的な問題の1つです。その結果、パフォーマンスの問題やユーザーエクスペリエンスの低下から、さまざまなコンポーネントのタイムアウトや障害に至るまで、さまざまな問題が発生する可能性があります。

この Tech Paper では、仮想環境における最適なウイルス対策展開に関連するいくつかの主要なトピック (エージェントのプロビジョニングとプロビジョニング解除、シグニチャの更新、推奨される除外とパフォーマンスの最適化) について説明します。これらの推奨事項を正しく実装するには、ウイルス対策ベンダーとセキュリティチームによって異なります。より具体的な推奨事項を入手するには、それらを参照してください。

警告!この資料には、ウイルス対策の除外が含まれています。ウイルス対策の除外と最適化によって、システムの攻撃対象領域が増え、コンピュータがさまざまなセキュリティ脅威にさらされる可能性があることを理解することが重要です。ただし、次のガイドラインは、通常、セキュリティとパフォーマンスの間の最良のトレードオフを表しています。セキュリティとパフォーマンスのトレードオフを徹底的に理解するために、ラボ環境で厳格なテストが行われるまでは、これらの除外または最適化を実装することはお勧めしません。また、組織ではウイルス対策チームとセキュリティチームと協力して、本番環境の展開を進める前に、以下のガイドラインを確認することをお勧めします。

エージェント登録

プロビジョニングされたすべての仮想マシンにインストールされるエージェントソフトウェアは、通常、管理、ステータスのレポート、およびその他のアクティビティのために、中央サイトに登録する必要があります。登録が成功するためには、各エージェントが一意に識別できる必要があります。

Provisioning Services(PVS)やMachine Creation Services(MCS)などのテクノロジーを使用して単一のイメージからプロビジョニングされたマシンでは、各エージェントがどのように識別されるか、および仮想化環境に必要な指示があるかどうかを理解することが重要です。ベンダーによっては、MACアドレスやコンピュータ名などの動的情報をマシン識別に使用するものもあります。他のものは、インストール中に生成されるランダムな文字列の、より伝統的なアプローチを使用します。競合する登録を防ぐために、各マシンは一意の識別子を生成する必要があります。非永続環境での登録は、多くの場合、永続的な場所からマシン識別データを自動的にリストアする起動スクリプトを使用して行われます。

より動的な環境では、クリーンアップが手動操作である場合、またはクリーンアップが自動的に実行されるかどうか、マシンのプロビジョニング解除がどのように動作するかを理解することも重要です。一部のベンダーは、ハイパーバイザーやデリバリーコントローラとの統合を提供しており、プロビジョニング時にマシンを自動的に作成または削除できます。

推奨事項: セキュリティベンダーに、エージェントの登録/登録解除がどのように実装されているかを尋ねてください。単一イメージ管理の環境で、登録手順がさらに必要な場合は、イメージシール手順にこれらの手順を含めて、できれば完全に自動化されたスクリプトとしてください。

署名の更新

タイムリーで一貫して更新される署名は、エンドポイントセキュリティソリューションの最も重要な側面の1つです。ほとんどのベンダーは、保護された各デバイスに保存されている、ローカルにキャッシュされ、増分的に更新された署名を使用します。

非永続的なマシンでは、署名の更新方法と保存場所を理解することが重要です。これにより、マルウェアがマシンに感染する可能性を理解し、最小限に抑えることができます。

特に、更新は増分ではなく、かなりのサイズに達する可能性がある状況では、リセットとイメージの更新の間に更新キャッシュを維持するために、永続的なストレージを非永続的な各マシンに接続した展開を検討できます。この方法を使用すると、商談ウィンドウと定義の更新によるパフォーマンスへの影響を最小限に抑えることができます。

プロビジョニングされた各マシンのシグニチャの更新以外に、マスターイメージを更新するための戦略を定義することも重要です。このプロセスを自動化することをお勧めします。では、マスターイメージを最新のシグニチャで定期的に更新します。これは、各仮想マシンに必要なトラフィック量を最小限に抑える増分更新で特に重要です。

仮想化環境での署名の更新を管理するもう 1 つのアプローチは、分散型シグニチャの性質を一元化されたスキャンエンジンで完全に置き換えることです。これは主にウイルス対策によるパフォーマンスへの影響を最小限に抑えるために行われていますが、シグニチャの更新を一元化するという側面もあります。

推奨事項: ウイルス対策で署名がどのように更新されるかをセキュリティベンダーに問い合わせてください。予想されるサイズと頻度はどれくらいですか。また、更新は増分ですか。非永続的な環境に関する推奨事項はありますか

パフォーマンスの最適化

ウイルス対策は、特に不適切に構成されている場合は、スケーラビリティと全体的なユーザーエクスペリエンスに悪影響を及ぼす可能性があります。したがって、パフォーマンスの影響を理解し、その原因とその最小化方法を判断することが重要です。

利用可能なパフォーマンスの最適化戦略とアプローチは、ウイルス対策ベンダーや実装によって異なります。最も一般的で効果的なアプローチの 1 つは、集中型のオフロードウイルス対策スキャン機能を提供することです。各マシンがサンプル(しばしば同一の)スキャンを担当するのではなく、スキャンは集中管理され、1回だけ実行されます。このアプローチは仮想化環境に最適化されていますが、高可用性への影響を理解してください。

ウイルス対策オフロード専用アプライアンスへのスキャンのオフロードは 、仮想環境で非常に効果的です

もう 1 つのアプローチは、プロビジョニング前にマスターイメージに対して実行される、ディスクの読み取り専用部分の事前スキャンに基づいています。これがオポチュニティウィンドウにどのように影響するかを理解することが重要です (たとえば、ディスクにすでに感染ファイルが含まれているが、事前スキャン段階で署名を使用できない場合はどうなりますか)。この最適化は、多くの場合、書き込み専用イベントのスキャンと組み合わされます。これは、すべての読み取りは、事前にスキャンされたディスク部分から、または書き込み操作中にすでにスキャンされたセッション固有の書き込みキャッシュ/差分ディスクから実行されます。多くの場合、リアルタイムスキャン(最適化)と定時スキャン(システムのフルスキャン)を組み合わせることが、適切な妥協点となります。

ウイルス対策書き込みスキャン最も一般的なスキャンの最適化は 、仮想マシン間の相違点のみに焦点を当てることです

推奨事項: パフォーマンスの最適化により、ユーザーエクスペリエンスを大幅に向上させることができます。しかし、彼らはまた、セキュリティ上のリスクとみなすことができます。したがって、ベンダーおよびセキュリティチームとの相談をお勧めします。仮想化環境向けのソリューションを提供するほとんどのウイルス対策ベンダーは、最適化されたスキャンエンジンを提供しています。

ウイルス対策の除外

ウイルス対策の最も一般的な (そして最も重要な) 最適化は、すべてのコンポーネントのウイルス対策除外を適切に定義することです。一部のベンダーでは、Citrixコンポーネントを自動的に検出して除外を適用できますが、ほとんどの環境では、管理コンソールでウイルス対策用に構成する必要がある手動タスクです。

通常、リアルタイムスキャンでは除外が推奨されます。ただし、Citrix では、スケジュール検索を使用して、除外されたファイルとフォルダーを定期的にスキャンすることをお勧めします。パフォーマンスへの影響を軽減するには、業務時間外またはピーク時以外の時間帯に定時スキャンを実行することをお勧めします。

除外されたファイルとフォルダの整合性は、常に維持する必要があります。組織では、市販のファイル整合性監視またはホスト侵入防止ソリューションを使用して、リアルタイムスキャンまたはオンアクセススキャンから除外されたファイルとフォルダの整合性を保護することを検討できます。データベースファイルとログファイルは、変更されることが予想されるため、このタイプのデータ整合性監視では除外されます。フォルダー全体をリアルタイムスキャンまたはオンアクセススキャンから除外する必要がある場合は、除外フォルダーに新しいファイルの作成を注意深く監視することをお勧めします。

ローカルドライブのみをスキャンするか、ネットワークスキャンを無効にします。ユーザープロファイルとリダイレクトされたフォルダーをホストするファイルサーバーを含むすべてのリモートロケーションが、ウイルス対策およびデータ整合性ソリューションによって監視されることを前提としています。そうでない場合は、プロビジョニングされたすべてのマシンがアクセスするネットワーク共有を除外することをお勧めします。たとえば、リダイレクトされたフォルダーまたはユーザープロファイルをホストする共有が含まれます。

もう 1 つの重要な考慮事項は、プロセスの除外です。プロセスの除外が推奨される場合、その目的は、exeファイルのスキャンを防ぐのではなく、そのようなプロセスによって実行されるアクティビティのスキャンを防ぐことです。一部のセキュリティソリューションでは、これは信頼できるプロセスの定義と呼ばれます。

推奨事項: ベンダーおよびセキュリティチームに、これらの推奨事項を確認します。

  • 除外ポリシーを作成する前に、すべてのファイル、フォルダ、およびプロセスの除外を確認し、それらが存在することを確認します。
  • すべてのコンポーネントに対して 1 つの大きなポリシーを作成する代わりに、異なるコンポーネントに対して複数の除外ポリシーを実装します。
  • オポチュニティのウィンドウを最小化するには、リアルタイムスキャンと定時スキャンの組み合わせを実装します。

Virtual Apps and Desktops

Delivery Controller

ファイル:

  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf (7.12+)

フォルダ:

  • %ProgramData%\Citrix\Broker\Cache (7.6+)

プロセス:

  • %ProgramFiles%\Citrix\Broker\Service\BrokerService.exe
  • %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe (7.12+)
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe (7.12+)
  • %ProgramFiles%\Microsoft SQL Server\150\LocalDB\Binn\sqlservr.exe

Virtual Delivery Agent

ファイル:

  • %SystemRoot%\System32\drivers\CtxUvi.sys
  • %UserProfile%\AppData\Local\Temp\Citrix\HDXRTConnector\*\*.txt

プロセス:

  • %ProgramFiles%\Citrix\User Profile Manager\UserProfileManager.exe
  • %ProgramFiles%\Citrix\Virtual Desktop Agent\BrokerAgent.exe
  • CVAD 1912 LTSR %ProgramFiles(x86)%\Citrix\ICAService\CtxSvcHost.exe -%ProgramFiles%\Citrix\HDX\bin\ctxgfx.exe%ProgramFiles%\Citrix\ICAService\picaSvc2.exe (シングルセッションVDAのみ) -%ProgramFiles%\Citrix\ICAService\CpSvc.exe (シングルセッションVDAのみ)
  • CVAD 2112+ -%ProgramFiles\Citrix\HDX\bin\CtxSvcHost.exe %ProgramFiles%\Citrix\HDX\bin\ctxgfx.exe -%ProgramFiles%\Citrix\HDX\bin\picaSvc2.exe (シングルセッションVDAのみ) -%ProgramFiles%\Citrix\HDX\bin\CpSvc.exe (シングルセッションVDAのみ)

WebSocketService.exe ファイルは、さまざまな CVAD バージョンの異なる場所で見ることができます。以下は、サポートされているLTSRリリースと最新のCRリリースのリストです。他のバージョンの CVAD を実行している場合は、まずファイルの場所を確認することをお勧めします。

  • %ProgramFiles%\Citrix\HTML5 Video Redirection\WebSocketService.exe (CVAD 7.15 LTSR-デスクトップとサーバーOSの両方)
  • %ProgramFiles(x86)%\Citrix\System32\WebSocketService.exe (CVAD 1912 LTSR-マルチセッションVDAのみ)
  • %ProgramFiles%\Citrix\ICAService\WebSocketService.exe (CVAD 1912 LTSR-シングルセッションVDAのみ)
  • %ProgramFiles(x86)%\Citrix\HDX\bin\WebSocketService.exe (CVAD 2003+-シングルセッションおよびマルチセッションVDA)

仮想配信エージェント-HDX RealTime Optimization Pack

ファイル:

  • %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs*\*.txt

プロセス:

  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\AudioTranscoder.exe
  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngine.Net.Service.exe
  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngineService.exe

Workspaceアプリ

ファイル:

  • %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs\*\*.txt

プロセス:

  • %ProgramFiles(x86)%\Citrix\ICA Client\MediaEngineService.exe (HDX RealTime Optimization Pack)
  • %ProgramFiles(x86)%\Citrix\ICA Client\CDViewer.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\concentr.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\wfica32.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\bgblursvc.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\AuthManager\AuthManSvr.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfService.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfServicePlugin.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\HdxTeams.exe (Microsoft Teams の Workspace アプリ 2009.5 以前の最適化)
  • %ProgramFiles(x86)%\Citrix\ICA Client\HdxRtcEngine.exe (Microsoft Teams の Workspace アプリ 2009.6 以降の最適化)

    注:

    Citrix Workspaceアプリでは、通常、これらの除外は必須ではありません。これらのニーズは、ウイルス対策が通常よりも厳しいポリシーで構成されている環境、または複数のビジネスセキュリティエージェントが同時に使用されている状況 (AV、DLP、HIP など) でのみ必要となります。

    Virtual Delivery Agentインストーラーを使用してCitrix Workspace アプリをインストールすると、インストールパスに次のような「オンラインプラグイン」フォルダーが表示されます。 %ProgramFiles(x86)%\Citrix\online plugin\ICA Client\

プロビジョニング

Citrix Provisioning(PVS)

ファイル:

  • *.vhd
  • *.avhd
  • *.vhdx
  • *.avhdx
  • *.pvp
  • *.lok
  • %SystemRoot%\System32\drivers\CvhdBusP6.sys (Windows Server 2008 R2)
  • %SystemRoot%\System32\drivers\CVhdMp.sys (Windows Server 2012 R2)
  • %SystemRoot%\System32\drivers\CfsDep2.sys
  • %ProgramData%\Citrix\Provisioning Services\Tftpboot\ARDBP32.BIN

プロセス:

  • %ProgramFiles%\Citrix\Provisioning Services\BNTFTP.EXE
  • %ProgramFiles%\Citrix\Provisioning Services\PVSTSB.EXE
  • %ProgramFiles%\Citrix\Provisioning Services\StreamService.exe
  • %ProgramFiles%\Citrix\Provisioning Services\StreamProcess.exe
  • %ProgramFiles%\Citrix\Provisioning Services\soapserver.exe
  • %ProgramFiles%\Citrix\Provisioning Services\Inventory.exe
  • %ProgramFiles%\Citrix\Provisioning Services\Notifier.exe
  • %ProgramFiles%\Citrix\Provisioning Services\MgmtDaemon.exe
  • %ProgramFiles%\Citrix\Provisioning Services\BNPXE.exe (PXE が使用されている場合のみ)
  • %ProgramFiles%\Citrix\Provisioning Services\CdfSvc.exe
  • %ProgramFiles%\Citrix\Provisioning Services\BNAbsService.exe

ターゲットデバイスのプロビジョニング

ファイル:

  • .vdiskcache
  • vdiskdif.vhdx (オーバーフローありの RAM キャッシュ使用時は 7.x以降)
  • %SystemRoot%\System32\drivers\bnistack6.sys
  • %SystemRoot%\System32\drivers\CfsDep2.sys
  • %SystemRoot%\System32\drivers\CVhdBusP6.sys
  • %SystemRoot%\System32\drivers\cnicteam.sys
  • %SystemRoot%\System32\drivers\CVhdMp.sys (7.x のみ)

プロセス:

  • %ProgramFiles%\Citrix\Provisioning Services\BNDevice.exe
  • %ProgramFiles%\Citrix\Provisioning Services\BNIstack6.sys
  • %ProgramFiles%\Citrix\Provisioning Services\CNicTeam.sys
  • %ProgramFiles%\Citrix\Provisioning Services\CFsDep2.sys
  • %ProgramFiles%\Citrix\Provisioning Services\CVhdMp.sys

StoreFront

ファイル:

  • %SystemRoot%\ServiceProfiles\NetworkService\AppData\Roaming\Citrix\SubscriptionsStore\**\PersistentDictionary.edb

プロセス:

  • %ProgramFiles%\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe
  • %ProgramFiles%\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe

Cloud Connector

ファイル:

  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf

フォルダ:

  • %SystemDrive%\Logs\CDF
  • %ProgramData%\Citrix\WorkspaceCloud\Logs

プロセス:

  • %ProgramFiles%\Citrix\XaXdCloudProxy\XaXdCloudProxy.exe
  • %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncRun.exe
  • %ProgramFiles%\Microsoft SQL Server\150\LocalDB\Binn\sqlservr.exe

Workspace Environment Management-サーバー

プロセス:

  • Norskale Broker Service.exe
  • Norskale Broker Service Configuration Utility.exe
  • Norskale Database Management Utility.exe

Workspace Environment Management-エージェント

プロセス:

  • AgentGroupPolicyUtility.exe
  • Citrix.Wem.Agent.LogonService.exe
  • Citrix.Wem.Agent.Service.exe (オンプレミスリリース 1909 およびクラウドリリース 1903 以前では、このプロセスはNorskale Agent Host Service.exeと呼ばれていました)
  • VUEMCmdAgent.exe
  • VUEMUIAgent.exe

Session Recording-サーバー

プロセス:

  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecStorageManager.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecAnalyticsService.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecWebSocketServer.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\icldb.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\iclstat.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecServerConsole.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\TestPolicyAdmin.exe

ファイル:

  • %ProgramFiles%\Citrix\SessionRecording\Server\App_Data*.xml

フォルダ:

  • C:\SessionRecordings
  • C:\SessionRecordingsRestored
  • %SystemRoot%\System32\msmq
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\log

Session Recording-エージェント

プロセス:

  • %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecAgent.exe
  • %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecAgentWrapper.exe
  • %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecEventMonitorService.exe
  • %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecSRGraphics.exe

ファイル:

  • %SystemRoot%\System32\drivers\ssrecdrv.sys
  • %SystemRoot%\System32\drivers\srminifilterdrv.sys

フォルダ:

  • %SystemRoot%\System32\msmq

Session Recording-プレーヤー

プロセス:

  • %ProgramFiles(x86)%\Citrix\SessionRecording\Player\Bin\SsRecPlayer.exe

フォルダ:

  • %UserProfile%\AppData\Local\Citrix\SessionRecording\Player\Cache

ウイルス対策ベンダー

Bitdefender-仮想データセンターでのセキュリティのベストプラクティスの実装

Microsoft-VDI環境におけるWindows Defender

Microsoft-FSLogix ウイルス対策の除外

Trend Micro –セキュリティに関する推奨除外事項

その他のリソース

Citrix Ready ワークスペースセキュリティプログラム

ウイルス対策ソフトウェアの構成に関するCitrixガイドライン

Provisioning Servicesアンチウイルスのベストプラクティス

Citrix App Layeringを使用したウイルス対策レイヤー化

Microsoft SQL Server ファイルの場所

技術論文:エンドポイントセキュリティ、ウイルス対策、およびマルウェア対策のベストプラクティス