App Layering

层防病毒应用程序

本文介绍了如何在层中部署每个最常用的防病毒产品。您可以对任何防病毒软件进行分层,除非下面列出为不受支持。虽然我们希望新版本的防病毒软件能够正常运行,但是在我们测试它们之前,这并不能保证。请查看此主题以查看是否已测试过新版本的防病毒软件。

某些防病毒安装过程要求您修改 Windows 注册表

警告:

在编辑注册表之前,请务必进行备份。注册表编辑器使用不当可能会导致严重问题,需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器自担风险,并在编辑注册表之前始终备份注册表。

您可以排除防病毒文件和文件夹保留在用户的桌面上。您可以在层中创建排除项,并在图像发布后在图像中对其进行处理。

用于管理防病毒软件更新的选项

本节介绍如何分层防病毒软件以及如何根据映像的部署方式配置主要更新。这仅适用于主要更新。无论部署哪种类型的映像,病毒定义的每日更新都会完成。

推荐用于所有防病毒软件

在所有情况下,我们建议在防病毒软件进行重大更新时创建新版本的应用程序层。更新层后,请更新使用该防病毒应用程序的所有模板,然后重新部署新映像以利用防病毒软件中的更改。

未启用弹性分层

如果您在部署映像时未启用弹性分层,请考虑您的映像是非持久性还是持久性映像:

  • 对于持久性计算机,您可能希望启用自动更新以保持防病毒软件的最新状态。
  • 对于非持久性计算机,您可能不希望打开自动更新,因为每次重新启动后都会在映像上进行更新。(无论何时重新启动,都会恢复非持久性计算机。)

启用弹性分层,但没有用户层

如果要部署具有弹性分层但没有用户层的映像,请清除自动更新,因为这些计算机是非持久性的,并且会在重新启动时恢复。此外,请将防病毒层分配到映像中部署而不作为弹性层加载,因为必须在启动时加载防病毒驱动程序才能正常工作。当层被指定为弹性层时,只有在用户登录到计算机后才会加载这些层,因此在启动时不会出现驱动程序。

启用弹性分层,具有用户层(或用户个性化层)

如果您要部署具有弹性分层和完整用户层(或用户个性化层)的图像,我们建议您关闭自动更新。这些计算机是非持久性桌面,因此它们会在用户注销时恢复。还有一个额外的考虑因素是,如果用户保持登录到计算机数天,病毒定义文件的每日更新可能会在用户层中结束。对于大多数防病毒软件来说,这不是一个问题。但是,如果您发现防病毒软件在运行时遇到一些问题,您可能需要确定它们存储其定义的目录,并考虑添加注册表设置,以强制这些文件驻留在非持久映像上,而不是在用户层。请确保这些设置在与防病毒应用程序不同的层中完成,因为您不希望这些设置干扰防病毒层的更新。

开始之前的准备工作

在 App Layering 中部署任何防病毒软件包时,可能需要以下内容:

  • 为任何 远程安装启动远程注册表服务
  • 在安装之前,请先禁用桌面上的防火墙,以允许安装产品。
  • 禁用 Windows 防御者。
  • 启用或禁 用用户帐户控制 (UAC)
  • 阅读要安装的产品网站上的虚拟桌面基础架构 (VDI) 部署的安装说明。

平均

您可以使用黄金映像或应用层来部署 AVG Business Edition 防病毒软件。

部署方法

使用以下方法之一安装 AVG 防病毒软件:

  • 在操作系统的黄金映像上安装软件,并将其导入到新的操作系统层。
  • 在应用程序层上安装软件,并将该层分配给新桌面或现有桌面。

Citrix 仅支持 AVG 防病毒商业版 13.0.0.x 版。

在金色映像上安装软件

  1. 在黄金映像上安装 AVG 软件。

  2. 打开 AVG 应用程序,然后选择 AVG 设置管理器

  3. 选择 编辑 AVG 设置

  4. 选择 系统服务,然后禁用所有 AVG 服务。

  5. 选择 AVG 高级设置、防病毒、缓存服务器,然后禁用文件缓存。

  6. 删除缓存文件:

    在 Windows 7 上,删除以下文件: C:\ProgramData\AVG2013\Chjw\*.*

  7. 再次启用所有 AVG 服务。

  8. 关闭金色图像。

  9. 使用金色映像创建操作系统层。

  10. 在新部署的桌面上,再次启用 缓存 选项,该选项可以通过与 AVG Remote Administrator 的集成自动执行。

在应用程序层上安装软件

  1. 在应用层上安装 AVG 软件。
  2. 将应用程序层部署到桌面。

启用关闭时扫描文件选项

  1. 打开 高级设置 (F8)。
  2. 选择防病毒 > 驻留护盾
  3. 选择 关闭时扫描文件选项,然后保存设置。

Kaspersky

本节介绍如何在层中部署 Kaspersky。有关在 VDI 环境中安装软件的更多说明,请参阅 Kaspersky 文档。阅读本文章中的动态 VDI 支持部分,了解如何在 VDI 环境中将 Kaspersky 用于非持久性桌面。

以下版本的卡巴斯基防病毒软件已经过 Citrix 测试,并经验证可与 App Layering 结合使用:

  • Kaspersky Endpoint Security 版本 10.2.5.3201
  • Kaspersky Administration 10.3.407.0
  • Kaspersky Administration Server 版本 8.0.2163
  • 适用于 Windows 工作站的卡巴斯基防病毒软件版本 6.0.4.1424
  • Kaspersky for VDI Agentless 版本 3.0
  • Kaspersky Endpoint Security 10.1.0.867(a)
  • Kaspersky Endpoint Security 版本 10.2
  • Kaspersky for VDI Agentless 版本 3.1.0.77

注意:

不支持使用 Kaspersky 10.2 进行加密。Kaspersky 10.2 加密使用绕过 App Layering 虚拟化的一种磁盘虚拟化形式,因此与 App Layering 不兼容。在部署 Kaspersky 10.2 之前,请禁用加密选项。

部署方法

使用下列方法之一来部署卡巴斯基防病毒软件:

  • 在应用层或应用层修订版本上安装软件。
  • 在导入操作系统层的黄金映像上安装软件。
  • 在操作系统层修订版本上安装软件。

要求

  • 如果您在新的操作系统层上部署 Kaspersky 软件,请在安装 App Layering Machine Tools 之前在黄金映像上安装该软件。

  • 如果您使用卡巴斯基管理服务器来管理桌面,请在打包计算机或金色映像上安装工作站的卡巴斯基防病毒软件和 NetAgent。

  • 如果您不打算使用卡巴斯基管理服务器,请仅在打包机或金色映像上安装工作站的卡巴斯基防病毒软件。

  • 安装 Kaspersky NetAgent 时,请在安装过程中清除启动应用程序的选择。

  • 在独立配置中安装工作站的卡巴斯基防病毒软件时,不要启用任何管理选项的密码保护。部署软件后,您在打包计算机或金色映像上键入的密码在桌面上不起作用。

  • 在 PackagingMachine 上安装 Kaspersky 软件后(对于应用程序层或层修订版),需要重新启动系统(并重建桌面映像)。

Kaspersky 10.2 特殊要求

在将 Kaspersky 10.2 添加到黄金映像或层之前,请先向注册表中的 Unifltr 服务添加值。

编辑注册表

  1. 单击 “ 开始”,单击 “ 运行”, 然后键入 regedit。
  2. 导航到 HKLM\System\CurrentControlSet\Services\Unifltr 密钥。
  3. 编辑菜单上,单击新建,然后单击“DWORD (32 位)”值。
  4. 在右窗格中,右键单击“新建”值,然后选择修改
  5. 值,名称中,键入名称 MiniFilterBypass。
  6. 中,键入 1,然后单击确定
  7. 关闭注册表编辑器。
  8. 重新启动计算机,因为该设置只在启动时读取。

    注意:

    尝试在 Windows 7 32 位和 Windows 7 64 位打包机上最终确定 Kaspersky for Virtualization Light Agent 3.0 失败。层完整性尝试重新启动时会出现故障。

在应用层上安装软件的特殊步骤

要在应用层上安装卡巴斯基软件,请执行以下操作:

  1. 在打包计算机上安装 Kaspersky 软件。 如果部署运行 Kaspersky 的非持久桌面,请将映像标记为动态 VDI。标记映像时,Kaspersky 管理服务器会将此映像的克隆视为动态克隆。禁用克隆后,其信息将从数据库中自动删除。要标记动态 VDI 的映像,请在启用 VDI 的动态模式 参数的情况下安装 Kaspersky Network Agent。有关详细信息,请参阅本文中有关动态 VDI 支持的部分。

  2. 重新启动打包计算机。 重新启动包装机时,它可能会多次显示“停止”消息 0x75640001。包装机正常重启。没有必要进行干预。部署此层时,桌面将正常重新启动,并且不会显示 STOP 消息。

  3. 完成层。

用户首次登录桌面时,Kaspersky NetAgent 可能无法启动。将带有 Kaspersky 软件的 App Layer 分配给桌面时,会出现此问题。重新启动桌面以启动 NetAgent 软件。

可能的问题

安装了卡巴斯基防病毒软件的 App Layering 桌面上可能会出现以下互操作性问题。

Kaspersky NetAgent 启动 - 如果使用应用层将 Kaspersky NetAgent 软件部署到桌面,则桌面重新启动时 NetAgent 软件可能无法启动。Windows 事件查看器可能会显示以下错误:

#1266 (0) Transport level error while connection to: authentication failure

如果 NetAgent 软件未启动,请重新启动桌面。然后,NetAgent 软件正确启动。

Kaspersky 10 - 最终用户暂停导致网络攻击拦截器停止工作 - 使用 Kaspersky 10时,最终用户暂停会导致网络攻击拦截器停止工作。要修复此问题,请重新启动 Kaspersky 软件。网络攻击拦截程序继续运行。

McAfee

以下过程介绍了如何使用操作系统层或应用程序层部署 McAfee 防病毒软件。

部署方法

在以下层之一上安装 McAfee 软件:

  • 原始操作系统层。
  • 操作系统层的新版本。
  • 应用程序层。

以下版本的 McAfee 软件已经过 Citrix 测试,并经验证可与 App Layering 配合使用:

  • ePolicy Orchestrator (ePO),版本 4.6.4、5.3.1 和 5.3.2
  • McAfee Agent,版本 4.8.0.1938、5.0.2.188 和 5.0.4.283
  • VirusScan Enterprise,版本 8.8.0.1528、8.8.0.1445 和 8.8.0.1599

如果使用 ePolicy Orchestrator 5.3.1 服务器创建 McAfee Agent 安装软件包,请按以下顺序设置 代理联系方法 优先级:

  • IP 地址
  • FQDN
  • NetBIOS 名称,用于与工作组中的 IM 正确通信,并禁用 McAfee Agent 策略的“启用自我保护”。

安装要求

在金映像或应用层上安装 McAfee 防病毒软件的安装要求相同。您还可以在 McAfee ePO 产品指南中找到映像中包含代理的要求。

重要提示:

必须使用 framepkg.exe 命令在 VDI 模式下安装 McAfee,并使用以下步骤中所述的开关。这允许代理在关闭时从 ePO 中取消注册,从而防止在 ePO 控制台中填充重复的主机名。有关此要求的更多信息,请参阅 McAfee KB87654

根据 McAfee 版本的不同,您可能需要在安装 McAfee Agent 后删除其全局唯一标识符 (GUID)。有关您正在使用的软件版本的 McAfee 文档,以了解更多信息。

如果您计划使用操作系统层在 App Layering 桌面上部署 McAfee 防病毒软件,请使用以下过程。

在金色映像上安装软件

  1. 使用以下命令将 McAfee 代理软件以 VDI 模式安装到金映像上:

    framepkg.exe /Install=agent /enableVDImode

    黄金映像在 ePolicy Orchestrator 系统树系统列表中可见。

  2. 在黄金映像上安装 McAfee VirusScan Enterprise 软件。

    1. 当系统提示您删除 Windows Defender 时,单击 “ ”。

    2. 允许 McAfee 代理更新程序完成更新。此步骤可能需要几分钟时间才能完成。

    3. 单击完成以完成安装。

  3. 安装完成后,将开始扫描。允许扫描完成。

  4. 更改 McAfee 起始值:

    1. 打开 McAfee VirusScan Console,并禁用访问保护。

    2. 打开注册表编辑器(注册表编辑器),转到键:

      \[HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\mfehidk\]

    3. 退出注册表编辑器。

    4. 在 McAfee VirusScan Console 中,启用访问保护。

  5. 如果 McAfee 在 VDI 设置中需要它,请删除代理的 GUID(请查看 McAfee 文档以确定是否需要执行此步骤):

    1. 打开注册表编辑器(注册表编辑器)。

    2. 删除以下注册表项:

      • 32 位:

        HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      • 64 位:

        HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

  6. 出现提示时,重新启动黄金映像以允许 McAfee 安装其驱动程序。

  7. 关闭金映像并将其导入操作系统层。

在层上安装软件

如果您计划使用层在 App Layering 桌面上部署 McAfee 防病毒软件,请使用此过程。

  1. 在 App Layering 管理控制台中,创建层。

  2. 当系统提示安装软件时,请使用以下命令在 VDI 模式下安装 McAfee Agent 软件。

    framepkg.exe /Install=agent /enableVDImode

    完成安装后,打包计算机将显示在 ePolicy Orchestrator 系统树系统列表中。

  3. 在打包计算机上安装 McAfee VirusScan Enterprise (VSE) 软件。

    1. 如果系统提示您删除 Windows Defender,请单击

    2. 使用 McAfee EPO 服务器中的文件在打包计算机上安装 VSE 软件。否则,允许 McAfee 代理更新程序完成更新。此步骤可能需要几分钟时间才能完成。

    3. 单击完成以完成安装。

  4. 更改 McAfee 起始值:

    1. 打开 McAfee VirusScan Console,并禁用访问保护。

    2. 打开注册表编辑器,转到以下键,然后将 Start 值从 0 更改为 1

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mfehidk]

    3. 在 McAfee VirusScan Console 中,启用访问保护。

  5. 如果 McAfee 在 VDI 设置中需要它,请删除代理的 GUID(请查看 McAfee 文档以确定是否需要执行此步骤):

    1. 打开注册表编辑器。

    2. 删除以下注册表项:

      32 位:

      HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      64 位:

      HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

  6. 完成应用层并以常规方式部署该层。

可能的互操作性问题

安装了 McAfee 防病毒软件的 App Layering 桌面上可能会出现以下互操作性问题。

打开视频文件的延迟

如果将 McAfee 防病毒软件配置为扫描脚本文件,则在 Internet Explorer 中打开视频文件时可能会出现很长的延迟。

当您尝试打开这些文件时,McAfee 软件和 App Layering 将尝试同时对这些文件执行操作。此冲突会导致视频文件运行延迟。所有其他窗口和应用程序继续正常工作。

如果遇到此类延迟,请等待视频文件运行。最终,McAfee 操作超时并完成 App Layering 操作。

此问题对防病毒软件检查视频文件是否有病毒的能力没有影响。

具有 McAfee 层的桌面在 ePolicy Orchestrator 中不可见

如果在 ePolicy Orchestrator 的 McAfee 层中看不到桌面,请使用以下 McAfee 知识库文章中的步骤修复问题:如果计算机未显示在 ePolicy Orchestrator 目录中,如何重置 McAfee Agent GUID

McAfee MOVE

以下过程介绍了如何在层中部署 McAfee MOVE 防病毒软件。

注意:

这些说明假定您已在 McAfee 电子政策协调器 (ePO) 上安装并配置了 McAfee MOVE 防病毒软件。

要部署 McAfee MOVE 防病毒软件,请在应用程序层上安装该软件并将该层分配给现有桌面。

以下版本的 McAfee MOVE 防病毒软件已经过 Citrix 测试,并经验证可与 App Layering 一起使用。

  • McAfee Agent for Windows,版本 4.8.0.1938
  • McAfee AV MOVE 多平台客户端,版本 3.6.0.347
  • McAfee VirusScan Enterprise,版本 8.8.0.1247
  • McAfee AV MOVE 多平台卸载扫描服务器,版本 3.6.0.347
  • McAfee VirusScan Enterprise,版本 8.8.0.1445 和 8.8.0.1599
  • McAfee AV MOVE 多平台卸载扫描服务器,版本 3.6.1.141 和 4.5.0.211

注意:

对于远程桌面会话,McAfee Agent 不会启动。

安装要求

在安装 McAfee MOVE 之前,请在 Windows 7 中禁用 Windows Defender。

创建 McAfee Agent 移动 AV CLIENT 应用程序层

  1. 在 App Layering 管理控制台中,导航到 层 > 应用层 > 创建层

  2. 在 App Layering 管理控制台中查看当前任务。首先,确认 “ 创建应用层 <layer_name> ” 任务中是否处于 “正在运行” 状态。当创建应用层 <layer_name> 任务的状态更改为 “需要操作” 时,请以管理员身份登录打包机。

  3. 使用 McAfee ePolicy Orchestrator 将 McAfee 代理软件移至包装计算机。打包计算机将在 ePO 系统树列表中可见,McAfee 图标将显示在打包计算机的任务栏中。

  4. 使用 ePO 上的“产品部署”任务在包装机上安装 McAfee MOVE AV [多平台] 客户端。

  5. 重新启动打包计算机,然后以管理员身份登录。

  6. 在打包机上,从以下位置之一删除名为 AgentGuid 的注册表项的值:

    • 32 位: HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent

    • 64 位: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Network Associates\ePolicy Orchestrator\Agent

  7. 关闭包装机。

  8. 最终确定应用层。

Microsoft Security Essentials

以下过程介绍如何使用操作系统层或应用程序层在 App Layering 中部署 Microsoft 安全性要素防病毒软件。

App Layering 支持以下版本的 Microsoft 安全性要素防病毒软件:

Microsoft Security Essentials 2012 版本 4.10.0209.0

  • 反恶意软件客户端版本:4.2.223.0
  • 引擎版本:1.1.9901.0
  • 防病毒定义:1.159.324.0
  • 反间谍软件定义:1.159.324.0
  • 网络检测系统引擎版本:2.1.9900.0
  • 网络检测系统定义版本:108.1.0.0

部署方法

使用下列方法之一来部署 Microsoft 安全基本软件防病毒软件:

  • 在导入操作系统层的黄金映像上安装软件。
  • 在操作系统层版本上安装软件。
  • 在应用层上安装软件。

安装要求

App Layering 金映像、操作系统层版本或应用程序层中的 Microsoft 安全要素防病毒软件。

启用 Windows 更新服务,但不要使用 Windows 更新。更新必须保持禁用状态。

在 App Layering 层版本上为 Windows 7 配置 Microsoft Security Essentials。

使用以下步骤在 Windows 7(32 位或 64 位)上配置 Microsoft Security Essentials。

默认情况下,App Layering 优化脚本禁用 Windows 更新服务。要在 Windows 7 上将 Microsoft 安全要素部署为操作系统或应用程序层,请执行以下操作:

  1. 创建操作系统或应用程序层版本。
  2. 转到 C:\windows\setup\scripts 并运行 App Layering 优化脚本生成器。如果脚本构建器不可用,请从 App Layering 机器操作系统工具 ZIP 文件中再次下载脚本构建器。
  3. 在 App Layering 优化脚本生成器中,禁用禁用 Windows 更新服务。
  4. 完成层。

更新服务启动类型从 禁用 更改为 动。未启用 Windows 更新,这是 App Layering 要求。

在安装过程中,检查 services.msc 并确保 Windows 更新服务启动类型设置为 动。如果不是,请将 Windows 更新服务启动类型更改为 动并重新启动 Windows。

对失败的 Microsoft Windows 基础更新进行故障排除

如果 Microsoft 安全要素更新在桌面上失败,因为 Windows 更新被禁用,请尝试以下操作。

  • 在控制面板中启用 Windows 更新。然后,Microsoft 安全要点可以在桌面上自动更新。
  • 如果使用本地组策略编辑器禁用 Windows 更新,请编辑注册表以删除本地组策略:
  1. 运行注册表编辑器并删除本地组策略。
  2. 请重新启动计算机。
  3. 从控制面板启用 Windows 更新。

Sophos 云(所有支持的操作系统)

App Layering 支持以下版本:

  • Sophos 企业控制台 5.4
  • Sophos Endpoint Security and Control 10.6.3.537
  • Sophos Endpoint Security and Control 11.5.2 云

在开始之前,请按照 Sophos 文档中的说明创建并激活您的 Sophos Cloud 帐户。

在新版本的操作系统层上安装 Sophos 云软件

  1. 在App Layering 管理控制台中,选择 层 > 操作系统层 > 添加版本

  2. 当任务状态变为 “需要操作” 时,请根据 部署防病毒软件的一般准则准备打包机。您可以在本文开头找到此信息。

  3. 将打包机加入到域中。

    注意:

    Sophos 安装程序会创建组并将用户放入其中。确保打包计算机位于域中。

  4. 在打包机上,登录您的 Sophos Cloud 控制台。

  5. 从您的 Sophos Cloud 帐户下载 SophosInstall.exe。

    重要:

    请勿使用电子邮件发送的安装程序进行此安装。

  6. 在包装机上安装 Sophos Cloud 软件。

  7. 安装 Sophos 的任务完成后(或指示需要执行操作),请重新启动打包计算机。

  8. 在您的 Sophos Cloud 控制台中,单击 报告 > 事件。在继续之前,请确保 Sophos Cloud 管理计算机并且计算机处于最新状态。

  9. 停止并禁用以下 Windows 服务:

    • Sophos Machine Creation Client
    • Sophos Machine Creation Agent
  10. 删除以下文件:

    • C:\ProgramData\Sophos\AutoUpdate\cache\rms_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\savxp_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\ntp64_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\sau_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\ssp_cache
    • C:\Windows\Temp\sophos_autoupdate1.dir
    **在 Windows 7 中 Windows Server 2008 R2:**
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist\Credentials
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist\EndpointIdentity.txt
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist*.xml
    • C:\ProgramData\Sophos\AutoUpdate\data\machine_ID
  11. 编辑 Sophos 配置:

    1. 导航到您的操作系统的 Sophos 配置文件夹:

      Windows 7 Windows 服务器 2008 R

      C:\ProgramData\Sophos\Management Communications System\Endpoint\Config\

    2. 创建或打开一个名为 registration.txt 的文件,然后将以下行添加到此文件中:

      [McsClient]

      Token=value_of_MCS_REGISTRATION_TOKEN 其中

      value_of_MCS_REGISTRATION_TOKEN 是 MCS_REGATIATION_TOKEN 的价值,它标识您的 Sophos Cloud 帐户。从 SophosInstall.exe 中提取此令牌的值。

  12. 编辑 Sophos 安装文件:

    1. 在以下文件夹中,创建一个名为 SophosSetup.cmd 的文件。

      Windows 7 Windows 2008 R2 数据中心

      C:\Windows\Setup\scripts\kmsdir

    2. 将以下行添加到此文件中,包括双引号:

      sc config "Sophos MCS Client" start= auto

      sc config "Sophos MCS Agent" start= auto

      net start "Sophos MCS Client"

      net start "Sophos MCS Agent"

  13. 编辑每次启动 Sophos 时运行的命令:

    1. 编辑文件 c:\Windows\Setup\scripts\kmsdir\kmssetup.cmd。

    2. 将以下脚本添加到标记为 运行每次启动的命令部分。此脚本运行 SophosSetup.cmd 文件。脚本详细信息:

      REM Change Sophos Service to Automatic - once

      If EXIST SophosSetup.cmd (

      echo !date!-!time!-kmssetup.cmd:Call

      SophosSetup.cmd >> SophosSetuplog.txt

      Call SophosSetup.cmd >> SophosSetuplog.txt

      Copy SophosSetup.cmd SophosSetupCMD.txt >> SophosSetuplog.txt

      Del SophosSetup.cmd >> SophosSetuplog.txt

      )

  14. 加入包装机回到工作组。

  15. 最终确定操作系统层。

Sophos 防病毒 - Windows 7 和 Windows 2008 R2 台式机

本节介绍如何在新桌面或现有桌面上部署 Sophos 防病毒软件。您可以将 Sophos 防病毒软件添加到黄金映像或操作系统层的版本。

这些过程基于 Sophos 知识库文章 适用于 Windows 2000 的 Sophos 防病毒软件:将当前版本合并到磁盘映像中,包括用于克隆的虚拟机

注意:

如果 Sophos 无法更新 Sophos 自动更新模块,则更新病毒特征码更新也会失败。要允许 Sophos 更新自己的更新程序,请编辑您的操作系统层并删除此目录:

C:\ProgramData\Sophos\AutoUpdate\Cache\sau

部署方法

使用金色映像或操作系统层版本来部署 Sophos 软件。您无法将 Sophos 软件部署为应用层。Sophos 会创建一个用户帐户,用于在其管理的桌面上进行更新。App Layering 支持金映像或操作系统层版本中的这些用户帐户。

配置黄金映像或操作系统层版本

  1. 在黄金映像或操作系统层版本上安装 Sophos 软件。

  2. 如果使用金色映像,请在映像上安装 App Layering 工具。如果使用操作系统层版本,请跳过此步骤。

    出现提示时,允许系统重新启动,但在安装完成后不要关闭黄金映像。首先完成此过程的其余部分。

  3. 仅停止并禁用以下 Sophos 服务。部署桌面时,会运行迷你安装程序。禁用指定的服务可确保 Sophos 服务在 Mini-Setup 完成之前不会启动。

    • 索福斯特工
    • Sophos 自动更新服务
    • Sophos 消息路由器
  4. 打开注册表编辑器并删除以下键的 pkc和 pkp 值:

    Windows 32 位系统

    HKLM\Software\Sophos\Messaging System\Router\Private\ HKLM\Software\Sophos\Remote Management System\ManagementAgent\Private\

    Windows 64 位系统

    HKLM\Software\Wow6432Node\Sophos\Messaging System\Router\Private\ HKLM\Software\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private\

  5. 删除以下文件:

    C:\ProgramData\Sophos\AutoUpdate\data\machine_ID.txt C:\ProgramData\Sophos\AutoUpdate\data\status\status.xml

  6. 重命名以下目录:

    From: C:\ProgramData\Sophos\AutoUpdate\Cache\savxp

    到:C:\ProgramData\Sophos\AutoUpdate\Cache\savxp.copy

    From: C:\ProgramData\Sophos\AutoUpdate\Cache\rms

    到:C:\ProgramData\Sophos\AutoUpdate\Cache\rms.copy

    需要重命名目录,因为 App Layering 会阻止尝试重命名金映像上存在的目录。Sophos 更新要求它重命名这些目录。

  7. 创建一个名为 sophossetup.cmd 的文件,然后将其放入 C:\Windows\Setup\scripts\kmsdir 文件夹中。(如果文件夹不存在,请创建它)。

  8. 将以下行添加到 sophosSetup.cmd 中。包括双引号,如图所示。

     pushd "c:\ProgramData\Sophos\AutoUpdate\Cache"
     xcopy savxp.copy*.* savxp*.* /s/y
     xcopy rms.copy*.* rms*.* /s/y
     sc config "Sophos Agent" start= auto
     sc config "Sophos AutoUpdate Service" start= auto
     sc config "Sophos Message Router" start= auto
     net start "Sophos Agent"
     net start "Sophos AutoUpdate Service"
     net start "Sophos Message Router"
     cd "c:\Windows\Setup\scripts\kmsdir"
     popd
     <!--NeedCopy-->
    
  9. 编辑 c:\Windows\Setup\scripts\kmsdir\kmssetup.cmd 文件,并将以下脚本添加到标记为“Commands to run every boot”的部分。此脚本运行 SophosSetup.cmd 文件。

    使用 Sophos 脚本的 kmssetup.cmd 示例:

     REM Change Sophos Service to Automatic - once
     If EXIST SophosSetup.cmd (
     echo !date!-!time!-kmssetup.cmd:Call SophosSetup.cmd >> SophosSetuplog.txt
     Call SophosSetup.cmd >> SophosSetuplog.txt
     Del SophosSetupCMD.txt >> SophosSetuplog.txt
     Copy SophosSetup.cmd SophosSetupCMD.txt >> SophosSetuplog.txt
     Del SophosSetup.cmd >> SophosSetuplog.txt
     )
     <!--NeedCopy-->
    
  10. 如果您使用的是金色映像,请关闭金色映像,然后使用 App Layering 管理控制台创建操作系统层。黄金映像导入到新的操作系统层。

    如果您使用的是操作系统层版本,请完成版本。

  11. 要受到保护,请额外时间重新启动持久桌面。使用 App Layering 管理控制台重新启动桌面。

可选:调整安全标识符

将黄金映像导入操作系统层后,您可能需要更新安全标识符 (SID) 值。为此,请为操作系统层创建一个版本,以更新 Sophos 配置文件之一中的 SID。以下 Sophos 知识库文章介绍了如何更新 Sophos 配置文件之一中的安全标识符 (SID) 值:

您的权限不足,无法运行 Sophos Endpoint Security and Control 主应用程序。您不是任何 Sophos 团体的成员

什么时候调整 SID

如果您在操作系统层中部署桌面,但用户无法打开 S ophos Endpoint Security 和 Control 用户界面,请调整 SID。

SID 调整程序

您可以在将金色图像导入层之前或之后执行这些步骤。如果导入了黄金映像,则可以通过编辑最新的 OS Layer 修订版来执行这些步骤。您还可以创建操作系统层的修订版本。

调整 SID

  1. Sophos 网站下载名为 Updatesid.vb s 的脚本文件。将此文件放在 C:\Windows\Setup\Scripts directory 中。部署桌面后,需要使用此脚本来修复计算机 ID。

  2. 编辑文件 C:\Windows\Setup\Scripts\SophosSetup.cmd,然后在文件末尾添加以下两行:

    cd \Windows\setup\scripts

    cscript.exe UpdateSID.vbs //B

  3. 如果脚本适用于操作系统层版本,请最终确定版本。

现在,您可以使用此版本的操作系统层创建桌面。确保桌面可以连接到企业控制台、注册和根据计划进行更新。

Symantec Endpoint Protection

您可以使用以下任一方法来部署 Symantec Endpoint Protection 应用程序:

  • 在黄金映像上安装应用程序,然后将黄金映像导入操作系统层。
  • 将应用程序安装为操作系统层版本。
  • 将应用程序作为应用层的一部分进行安装。

注意:

Citrix 建议在 App Layering 部署中使用按访问扫描。将文件标记为 “干净” 后,Symantec Shared Insight Cache 不再扫描层中的文件,从而提高了性能。

Citrix 支持客户端和管理器的以下 Symantec Endpoint Protection 版本:

  • 12 和 12.1
  • 12.1.4
  • 12.1.5
  • 12.1.6 (12.1 RU6 MR6) 构建 7004 (12.1.7061.6600)
  • 下午 14 点 1 (14.0.2332)
  • 14.2

注意:

不支持 Symantec Endpoint Protection 12.1.2 和 12.1.3,因为存在 Symantec 问题,导致 App Layering 无法正常工作。

App Layering 桌面上的 Symantec 端点防护行为

扫描类型 行为
按访问 Microsoft Windows 7:按访问扫描在所有App Layering 桌面上都能按预期工作。
手动 Microsoft Windows 7:如果禁用用户帐户控制 (UAC),则手动病毒扫描将仅检查虚拟机启动卷上的文件。安装软件时保持 UAC 启用状态。

使用 Symantec Endpoint Protection Manager 安装软件

此过程使用计算机模式作为部署方法,该方法将策略应用于整个桌面。

  1. 在赛门铁克端点保护管理器中,找到应用程序的操作系统映像或打包计算机,然后登录:

    • 操作系统映像(如果您使用操作系统层)
    • 打包计算机(如果您使用应用程序层或层修订版)
    1. 选择客户端 > 查找非托管计算机

    2. 在打开的窗口中键入相应的搜索条件。

    3. 安装软件。

    注意:

    安装软件后,系统会提示您重新启动 Symantec Endpoint Protection Manager。如果您在步骤 1 中执行此操作,则可能会导致启动 SEP 服务时出现问题。继续安装过程,然后在步骤 5 中重新启动 Symantec Endpoint Protection Manager。

  2. 登录包装机并禁用篡改防护

  3. 禁用注册表项 “隐藏” 保护。即使启用了用户帐户控制 (UAC),扫描也可以工作。请确保注册表中的以下设置正确。如果注册表中不存在这些值,请添加它们。

    • 对于 32 位计算机:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Common]

      "ScanStealthFiles" = (REG_DWORD) 0

    • 对于 64 位计算机:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Common]

      "ScanStealthFiles" = (REG_DWORD) 0

  4. 使用注册表编辑器,更改每个 ccSettings GUID 的组和标签值。

    1. 转到以下项:

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ccSettings_{GUID}]

      如果有多个 ccSettings_{GUID},请从第一个开始。

    2. 对于每个 ccSettings_{GUID},将组值从 FSFilter Bottom 更改为 FSFilter Virtualization

    3. 将第一个 GUID 的标签值更改为 8,并将 1 添加到每个后续 GUID 的值中。下一个 GUID 值为 9,然后是 10,依此类动。

      注意:

      首次安装赛门铁克时,会有一个“CC设置_{ GUID}”。每次升级应用程序时,Symantec 都会添加另一个 GUID。

  5. 重新启动包装机或黄金映像。然后,根据需要经常重启打包机,直至安装后重启请求不再显示在 App Layering 管理控制台中。

  6. 启用 篡改防护

  7. 对于 SEP 12.1 及更高版本,请参阅以下知识库文章中的说明,以准备计算机在 VDI 环境中部署软件。有关更多信息,请参阅文章 如何准备要克隆的端点保护客户端

  8. 最终确定应用程序或操作系统层,或者关闭并导入黄金映像。

  9. 如果您需要使用 SEP 虚拟映像例外 (VIE) 工具,请参阅文章 使用 SEP 虚拟映像例外 (VIE) 工具 以获取建议。

在部署 Symantec 软件期间,App Layering 软件会多次重建桌面或打包机映像。次数取决于您部署 Symantec 应用程序的方式。这是预料之中的,因为 Symantec Endpoint Protection 软件在初始安装过程中不会完成启动级组件的完整配置。

对于客户端-服务器部署

Symantec Endpoint Protection 软件:

  • 安装一些必需的驱动程序并重新启动桌面或打包计算机。
  • 更新其他组件并重新启动桌面或打包计算机。
  • 完成安装并重新启动桌面或打包计算机一次。
  • 部署到桌面

如果将赛门铁克软件部署到非永久性桌面,请在创建桌面时包含该软件。如果将包含 Symantec Endpoint Protection 的应用层添加到现有的非持久桌面,Symantec Endpoint Protection Manager 中将显示每个桌面两个条目。

在以下情况下,Symantec Endpoint Protection 控制台中将显示同一个计算机的两个具有不同名称的实例:

  • 使用 Symantec Endpoint Protection 应用层在 Windows 2008 R2 上创建永久桌面
  • 将应用程序层分配给现有桌面

一个名字是正确的。第二个名称是临时名称,未删除。若要解决此问题,您可以删除未连接 X 天数的客户端。

删除客户端

  1. 在 Symantec Endpoint Protection 控制台中,转到管理员页面,然后选择
  2. 任务下,选择编辑域属性
  3. 编辑域属性窗口的默认常规选项卡上,单击删除在指定时间内未连接的客户端。Citrix 建议大型企业环境的值为 7-14 天。
  4. 有关详细信息,请参阅 Symantec Endpoint Protection Manager 控制台中出现重复的 SEP 客户端文章中的解决方案 2。

Symantec Help (SymHelp) 诊断工具注意事项

如果在层中部署 Symantec Endpoint Protection,则 Symantec Help (SymHelp) 诊断工具要求您在统一端点保护中放置两个文件。使用以下行创建脚本,并在应用 Symantec 层时将其路径放置在脚本路径中。

pushd "C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IRON"
copy Iron.db Iron.db.save
copy Iron.db.save Iron.db /y
copy RepuSeed.irn RepuSeed.irn.save
copy RepuSeed.irn.save RepuSeed.irn /y
popd
<!--NeedCopy-->

Trend Micro OfficeScan

以下过程介绍如何使用操作系统层或应用程序层部署趋势科技防毒墙网络版防病毒软件。这些过程基于在 VDI 环境中部署桌面的趋势科技文档。

Citrix App Layering 支持 Trend Micro OfficeScan 客户端和服务器版本 11.0.6054。

部署方法

使用以下任一方法部署趋势科技防病毒软件:

  • 在黄金映像上安装软件,并将其导入到新的操作系统层。
  • 在操作系统层版本上安装软件。
  • 在应用程序层上安装软件,并将该层分配给新桌面或现有桌面。

重要:

如果在黄金映像或 OS 层版本上安装趋势科技防毒墙网络版,请在以下命令上运行防毒墙网络版 TCacheGen.exe 文件:

  • 金色映像或操作系统层。
  • 在使用黄金映像或操作系统层的每个应用层上

每次创建应用程序层或层版本时,都会在使用包含趋势科技防毒墙网络版的操作系统层的每个层上运行 TCacheGen.exe

运行 TCacheGen.exe 后,不要再运行包装机。

如趋势科技文档中所述,您可以从防毒墙网络版服务器复制 TCacheGen.exe。通常,此文件位于 \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen 文件夹中。

在黄金映像上安装趋势科技

在将黄金映像导入操作系统层之前,请删除趋势科技软件的全局唯一标识符 (GUID)。安装 App Layering 机床时,系统将重新启动并创建 GUID。因此,首先安装机床,允许安装重新启动计算机,然后删除 GUID。

有关详细信息,请参阅 Trend Micro 文档配置 OfficeScan (OSCE) Virtual Desktop Infrastructure (VDI) 客户端/代理。在安装软件时,请务必了解趋势科技提供的建议。

  1. 在金色图像上安装 App Layering 机床。
  2. 安装 Trend Micro OfficeScan 客户端。
  3. 从 OfficeScan 服务器复制 TCacheGen.exe 文件,如 Trend Micro 文档中所述。通常,该文件位于以下文件夹中:

    \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen

  4. 按照趋势科技文档中的说明运行 TCacheGen.exe
  5. 单击 “ 从模板中删除 GUID ”,然后单击 “ 确定”
  6. 关闭金色图像。
  7. 使用金色映像创建操作系统层。

    重要:

    无论何时向此层添加版本,都必须运行 TCacheGen.exe 并再次删除 GUID。执行这些操作时,它会确保使用此层的桌面正常运行。

在应用程序层上安装软件

  1. 在 App Layering 管理控制台中,创建层。

  2. 出现提示时,请在打包计算机上安装 Trend Micro OfficeScan 客户端。

    安装 Trend Micro OfficeScan 11 且任务状态更改为需要处理措施时,请禁用未经授权的更改阻止服务,如下所示:

    1. 在 OfficeScan 服务器上,双击桌面上的 OfficeScan Web Console (HTML) 链接以打开 OfficeScan Web 控制台。

    2. 在防毒墙网络版 Web 控制台中,选择客户 端 > 客户端管

    3. 右键单击 OfficeScan 服务器,然后选择设置 > 其他服务设置其他服务设置 窗口随即打开。

    4. 未授权的更改阻止服务下,清除在 以下操作系统上启用服务

    5. 在 Web 控制台中,选择 客户端 > 客户端安装 > 远程

    6. 搜索终端节点中,键入打包机的 IP 地址,然后按 Enter

    7. 键入打包机的本地管理员用户名和密码,然后单击 “ 登录”。

    8. 单击安装将 OfficeScan 代理安装到目标计算机,然后在确认对话框中单击确定。确认消息可确认向其发送通知的座席数量以及验证收到这些通知的编号。

    9. 在 OfficeScan Web 控制台中,转到客户端 > 客户端管理。单击工作组,然后选择“包装机”名称。

    10. 为您正在使用的组禁用 未经授权的更改阻止 服务。右键单击 “包装机”,然后选择 “ 设置” > “其他服务设置”。其他服务设置 窗口随即打开。

  3. 在 “ 未授权防护服务” 下,清除在 以下操作系统上启用服务。

  4. 如果出现提示,请重新启动打包机以允许重新生成启动映像。

  5. 打包机重新启动后,从防毒墙网络版服务器复制 TCacheGen.exe 文件。有关详细信息,请参阅趋势科技文档。通常,该文件位于以下文件夹中:

    \\TrendServerName\ofcscan\Admin\Utility\TCacheGen

  6. 运行 TCacheGen.exe。有关详细信息,请参阅趋势科技文档。

  7. 单击 “ 从模板中删除 GUID ”,然后单击 “ 确定”

  8. 完成层。

    重要

    无论何时向此层添加版本,都必须运行 TCacheGen.exe 并再次删除 GUID。这样做可确保使用此层的桌面正常运行。