App Layering

层防病毒应用程序

本文介绍了如何在层中部署每个最常用的防病毒产品。您可以对任何防病毒软件进行分层,除非下面列出为不受支持。虽然我们希望新版本的防病毒软件能够正常运行,但是在我们测试它们之前,这并不能保证。请查看此主题以查看是否已测试过新版本的防病毒软件。

某些防病毒安装过程要求您修改 Windows 注册表

警告:

在编辑注册表之前,请务必进行备份。注册表编辑器使用不当可能会导致严重问题,需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器自担风险,并在编辑注册表之前始终备份注册表。

防病毒软件更新选项

在层中部署防病毒软件时,需要考虑一些事项,具体取决于您将如何部署映像。请记住,这些设置仅处理主要的防病毒软件更新。无论您部署什么类型的映像,病毒定义的每日更新都会完成。

未启用弹性分层

如果您在部署映像时未启用弹性分层,请考虑您的映像是非持久性还是持久性映像:

  • 对于持久性计算机,您可能希望启用自动更新以保持防病毒软件的最新状态。
  • 对于非持久性计算机,您可能不希望打开自动更新,因为每次重新启动后都会在映像上进行更新。(无论何时重新启动,都会恢复非持久性计算机。)

启用弹性分层,但没有用户层

如果要部署具有弹性分层但没有用户层的映像,请清除自动更新,因为这些计算机是非持久性的,并且会在重新启动时恢复。此外,请将防病毒层分配到映像中部署而不作为弹性层加载,因为必须在启动时加载防病毒驱动程序才能正常工作。当层被指定为弹性层时,只有在用户登录到计算机后才会加载这些层,因此在启动时不会出现驱动程序。

启用弹性分层,具有用户层(或用户个性化层)

如果您要部署具有弹性分层和完整用户层(或用户个性化层)的图像,我们建议您关闭自动更新。这些计算机是非持久性桌面,因此它们会在用户注销时恢复。还有一个额外的考虑因素是,如果用户保持登录到计算机数天,病毒定义文件的每日更新可能会在用户层中结束。对于大多数防病毒软件来说,这不是一个问题。但是,如果您发现防病毒软件在运行时遇到一些问题,您可能需要确定它们存储其定义的目录,并考虑添加注册表设置,以强制这些文件驻留在非持久映像上,而不是在用户层。请确保这些设置在与防病毒应用程序不同的层中完成,因为您不希望这些设置干扰防病毒层的更新。

所有防病毒软件

在所有情况下,我们建议在防病毒软件进行重大更新时创建新版本的应用程序层。更新层后,请更新使用该防病毒应用程序的所有模板,然后重新部署新映像以利用防病毒软件中的更改。

开始之前的准备工作

在 App Layering 中部署任何防病毒软件包时,可能需要以下内容:

  • 为任何 远程安装启动远程注册表服务
  • 在安装之前,请先禁用桌面上的防火墙,以允许安装产品。
  • 禁用 Windows Defender。
  • 启用或禁 用用户帐户控制 (UAC)
  • 阅读要安装的产品网站上的虚拟桌面基础架构 (VDI) 部署的安装说明。

平均

您可以使用黄金映像或应用层来部署 AVG Business Edition 防病毒软件。

部署方法

使用以下方法之一安装 AVG 防病毒软件:

  • 在操作系统的黄金映像上安装软件,并将其导入到新的操作系统层。
  • 在应用程序层上安装软件,并将该层分配给新桌面或现有桌面。

Citrix 仅支持 AVG 防病毒商业版 13.0.0.x 版。

在金色映像上安装软件

  1. 在黄金映像上安装 AVG 软件。

  2. 打开 AVG 应用程序,然后选择 AVG 设置管理器

  3. 选择 编辑 AVG 设置

  4. 选择 系统服务,然后禁用所有 AVG 服务。

  5. 选择 AVG 高级设置、防病毒、缓存服务器,然后禁用文件缓存。

  6. 删除缓存文件:

    在 Windows 7 上,删除以下文件: C:\ProgramData\AVG2013\Chjw\*.*

  7. 再次启用所有 AVG 服务。

  8. 关闭金色图像。

  9. 使用金色映像创建操作系统层。

  10. 在新部署的桌面上,再次启用 缓存 选项,该选项可以通过与 AVG Remote Administrator 的集成自动执行。

在应用程序层上安装软件

  1. 在应用层上安装 AVG 软件。
  2. 将应用程序层部署到桌面。

启用关闭时扫描文件选项

  1. 打开 高级设置 (F8)。
  2. 选择 “ 防病毒”> “居民盾”。
  3. 选择 关闭时扫描文件选项,然后保存设置。

Kaspersky

本节介绍如何在层中部署 Kaspersky。有关在 VDI 环境中安装软件的更多说明,请参阅 Kaspersky 文档。阅读此 一文 中的动态 VDI 支持部分,了解如何在 VDI 环境中将卡巴斯基用于非持久桌面。

以下版本的卡巴斯基防病毒软件已经过 Citrix 测试,并经验证可与 App Layering 结合使用:

  • Kaspersky Endpoint Security 版本 10.2.5.3201
  • Kaspersky Administration 版本 10.3.407.0
  • Kaspersky Administration Server 版本 8.0.2163
  • 适用于 Windows 工作站的卡巴斯基防病毒软件版本 6.0.4.1424
  • Kaspersky for VDI Agentless 版本 3.0
  • Kaspersky Endpoint Security 版本 10.1.0.867(a)
  • Kaspersky Endpoint Security 版本 10.2
  • Kaspersky for VDI Agentless 版本 3.1.0.77

注意:

不支持使用 Kaspersky 10.2 进行加密。Kaspersky 10.2 Encryption 使用绕过 App Layering 虚拟化的磁盘虚拟化形式,因此与 App Layering 不兼容。在部署 Kaspersky 10.2 之前,请禁用加密选项。

部署方法

使用下列方法之一来部署卡巴斯基防病毒软件:

  • 在应用层或应用层修订版本上安装软件。
  • 在导入操作系统层的黄金映像上安装软件。
  • 在操作系统层修订版本上安装软件。

要求

  • 如果您在新的操作系统层上部署 Kaspersky 软件,请在安装 App Layering Machine Tools 之前在黄金映像上安装该软件。

  • 如果您使用卡巴斯基管理服务器来管理桌面,请在打包计算机或金色映像上安装工作站的卡巴斯基防病毒软件和 NetAgent。

  • 如果您不打算使用卡巴斯基管理服务器,请仅在打包机或金色映像上安装工作站的卡巴斯基防病毒软件。

  • 安装 Kaspersky NetAgent 时,请在安装过程中清除启动应用程序的选择。

  • 在独立配置中安装工作站的卡巴斯基防病毒软件时,不要启用任何管理选项的密码保护。部署软件后,您在打包计算机或金色映像上键入的密码在桌面上不起作用。

  • 在 PackingMachine 上安装 Kaspersky 软件后(用于应用程序层或层修订版),需要执行系统重新启动(和桌面映像重建)操作。

Kaspersky 10.2 特殊要求

在将 Kaspersky 10.2 添加到黄金映像或图层之前,请先向注册表中的 Unifltr 服务添加值。

编辑注册表

  1. 单击 “ 开始”,单击 “ 运行”, 然后键入 regedit。
  2. 导航到 HKLM\System\CurrentControlSet\Services\Unifltr 密钥。
  3. 编辑菜单上单击新建,然后单击 DWORD (32 位) 值。
  4. 在右窗格中,右键单击 “新建”值,然后选择 “ 修改”。
  5. 值, 名称中,键入名称 MiniFilterBypass。
  6. 在 “ ”中,键入 1,然后单击 “ 确定”。
  7. 关闭注册表编辑器。
  8. 重新启动计算机,因为该设置只在启动时读取。

    注意:

    尝试在 Windows 7 32 位和 Windows 7 64 位打包计算机上完成 Kaspersky for Virtualization Light Agent 3.0 失败。如果层完整性尝试重新启动,则会发生故障。

在应用层上安装软件的特殊步骤

要在应用层上安装卡巴斯基软件,请执行以下操作:

  1. 在打包计算机上安装 Kaspersky 软件。 如果部署运行 Kaspersky 的非持久性桌面,请将映像标记为动态 VDI。当您标记该映像时,Kaspersky Administration Server 会考虑此映像的克隆动态。禁用克隆后,其信息将从数据库中自动删除。要标记动态 VDI 的映像,请在启用了为 VDI 启用动态模式参数的情况下安装 Kaspersky Network Agent。有关详细信息,请参阅 动态 VDI 支持 上本文的部分。

  2. 重新启动打包计算机。 当您重新启动打包计算机时,它可能会显示停止消息 0x75640001 多次。打包计算机正常重新启动。没有必要进行干预。部署此层时,桌面会正常重新启动,并且不会显示 STOP 消息。

  3. 完成层。

当用户首次登录到桌面时,Kaspersky NetAgent 可能无法启动。当您将应用程序层与 Kaspersky 软件分配到桌面时,会出现此问题。重新启动桌面以启动 NetAgent 软件。

可能的问题

安装了卡巴斯基防病毒软件的 App Layering 桌面上可能会出现以下互操作性问题。

Kaspersky NetAgent 启动 - 如果您使用应用程序层将 Kaspersky NetAgent 软件部署到桌面,NetAgent 软件可能无法在桌面重新启动时启动。Windows 事件查看器可能会显示以下错误:

#1266 (0) Transport level error while connection to: authentication failure

如果 NetAgent 软件未启动,请重新启动桌面。然后,NetAgent 软件正确启动。

Kaspersky 10 - 最终用户暂停导致网络攻击阻止程序停止工作 - 使用 Kaspersky 10 时,最终用户暂停会导致网络攻击阻止程序停止工作。要修复此问题,请重新启动 Kaspersky 软件。网络攻击拦截程序继续运行。

McAfee

以下过程介绍了如何使用操作系统层或应用程序层部署 McAfee 防病毒软件。

部署方法

在以下层之一上安装 McAfee 软件:

  • 原始操作系统层。
  • 操作系统层的新版本。
  • 应用程序层。

以下版本的 McAfee 软件已经过 Citrix 测试,并经验证可与 App Layering 配合使用:

  • ePolicy Orchestrator (ePO),版本 4.6.4、5.3.1 和 5.3.2
  • McAfee Agent,版本 4.8.0.1938、5.0.2.188 和 5.0.4.283
  • VirusScan Enterprise 版本 8.8.0.1528、8.8.0.1445 和 8.8.0.1599

如果使用 ePolicy Orchestrator 5.3.1 服务器创建 McAfee 代理安装包,请按照以下顺序设置代理联系方法优先级:

  • IP 地址
  • FQDN
  • NetBIOS 名称,用于与工作组中的 IM 正确通信,并禁用 McAfee Agent 策略的“启用自我保护”。

安装要求

在金映像或应用层上安装 McAfee 防病毒软件的安装要求相同。您还可以在 McAfee ePO 产品指南中找到映像中包含代理的要求。

重要:

您必须在 VDI 模式下安装 McAfee,使用 framepkg.exe 命令和以下步骤中描述的开关。这允许代理在关闭时从 ePO 中取消注册,从而防止在 ePO 控制台中填充重复的主机名。有关此要求的更多信息,请参阅 McAfee KB87654

根据 McAfee 版本的不同,您可能需要在安装 McAfee Agent 后删除其全局唯一标识符 (GUID)。有关您正在使用的软件版本的 McAfee 文档,以了解更多信息。

如果您计划使用操作系统层在 App Layering 桌面上部署 McAfee 防病毒软件,请使用以下过程。

在金色映像上安装软件

  1. 使用以下命令将 McAfee 代理软件以 VDI 模式安装到金映像上:

    framepkg.exe /Install=agent /enableVDImode

    黄金映像在 ePolicy Orchestrator 系统树系统列表中可见。

  2. 在黄金映像上安装 McAfee VirusScan Enterprise 软件。

    1. 当提示删除 Windows Defender 时,单击

    2. 允许 McAfee 代理更新程序完成更新。此步骤可能需要几分钟时间才能完成。

    3. 单击完成以完成安装。

  3. 安装完成后,将开始扫描。允许扫描完成。

  4. 更改 McAfee 起始值:

    1. 打开 McAfee VirusScan Console,并禁用访问保护。

    2. 打开注册表编辑器(注册表编辑器),转到键:

      \[HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\mfehidk\]

    3. 退出注册表编辑器。

    4. 在 McAfee VirusScan Console 中,启用访问保护。

  5. 如果 McAfee 在 VDI 设置中需要它,请删除代理的 GUID(请查看 McAfee 文档以确定是否需要执行此步骤):

    1. 打开注册表编辑器(注册表编辑器)。

    2. 删除以下注册表项:

      • 32-bit:

        HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      • 64 位:

        HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

  6. 出现提示时,重新启动黄金映像以允许 McAfee 安装其驱动程序。

  7. 关闭金映像并将其导入操作系统层。

在层上安装软件

如果您计划使用层在应用分层桌面上部署 McAfee 防病毒软件,请使用此过程。

  1. 在 App Layering 管理控制台中,完成 “ 创建层 ”向导。

  2. 当系统提示安装软件时,请使用以下命令在 VDI 模式下安装 McAfee Agent 软件。

    framepkg.exe /Install=agent /enableVDImode

    完成安装后,打包计算机将显示在 ePolicy Orchestrator 系统树系统列表中。

  3. 在打包计算机上安装 McAfee VirusScan Enterprise (VSE) 软件。

    1. 如果系统提示您删除 Windows Defender,请单击

    2. 使用 McAfee EPO 服务器中的文件在打包计算机上安装 VSE 软件。否则,允许 McAfee 代理更新程序完成更新。此步骤可能需要几分钟时间才能完成。

    3. 单击完成以完成安装。

  4. 更改 McAfee 起始值:

    1. 打开 McAfee VirusScan Console,并禁用访问保护。

    2. 打开注册表编辑器,转到以下键,然后将 Start 值从 0 更改为 1

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mfehidk]

    3. 在 McAfee VirusScan Console 中,启用访问保护。

  5. 如果 McAfee 在 VDI 设置中需要它,请删除代理的 GUID(请查看 McAfee 文档以确定是否需要执行此步骤):

    1. 打开注册表编辑器。

    2. 删除以下注册表项:

      32-bit:

      HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      64 位:

      HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

  6. 完成应用层并以常规方式部署该层。

可能的互操作性问题

安装了 McAfee 防病毒软件的 App Layering 桌面上可能会出现以下互操作性问题。

打开视频文件的延迟

如果将 McAfee 防病毒软件配置为扫描脚本文件,则在 Internet Explorer 中打开视频文件时可能会出现很长的延迟。

当您尝试打开这些文件时,McAfee 软件和 App Layering 将尝试同时对这些文件执行操作。此冲突会导致视频文件运行延迟。所有其他窗口和应用程序继续正常工作。

如果遇到此类延迟,请等待视频文件运行。最终,McAfee 操作超时并完成 App Layering 操作。

此问题对防病毒软件检查视频文件是否有病毒的能力没有影响。

具有 McAfee 层的桌面在 ePolicy Orchestrator 中不可见

如果在 ePolicy Orchestrator 的 McAfee 层中看不到桌面,请使用以下 McAfee 知识库文章中的步骤来解决此问题: 如何重置 McAfee 代理 GUID(如果计算机未显示在 ePolicy Orchestrator 目录中)

McAfee MOVE

以下过程介绍了如何在层中部署 McAfee MOVE 防病毒软件。

注意:

这些说明假定您已在 McAfee 电子政策协调器 (ePO) 上安装并配置了 McAfee MOVE 防病毒软件。

要部署 McAfee MOVE 防病毒软件,请在应用程序层上安装该软件并将该层分配给现有桌面。

以下版本的 McAfee MOVE 防病毒软件已经过 Citrix 测试,并经验证可与 App Layering 一起使用。

  • McAfee Agent for Windows,版本 4.8.0.1938
  • McAfee AV MOVE Multi-Platform 客户端,版本 3.6.0.347
  • McAfee VirusScan Enterprise 版本 8.8.0.1247
  • McAfee AV MOVE Multi-Platform Offload Scan Server,版本 3.6.0.347
  • McAfee VirusScan Enterprise 版本 8.8.0.1445 和 8.8.0.1599
  • McAfee AV MOVE Multi-Platform Offload Scan Server,版本 3.6.1.141 和 4.5.0.211

注意:

McAfee Agent 不会启动远程桌面会话。

安装要求

在安装 McAfee MOVE 之前,请禁用 Windows 7 中的 Windows Defender。

创建 McAfee Agent MOVE AV CLIENT 应用程序层

  1. 在 “App Layering 管理控制台”中,导航到 “层”> “应用程序层”> “创建层”。此时将打开 “创建层向导”。

  2. 完成创建层向导,然后单击 “ 确认并完成”选项卡上的创建层

  3. 在 App Layering 管理控制台中查看当前任务。首先,确认 “ 创建应用程序层”<layer_name>``任务中是否存在 “正在运行”状态。当 “创建应用程序层”<layer_name>任务的状态更改为 “需要操作”时,以管理员身份登录到打包计算机。

  4. 使用 McAfee ePolicy Orchestrator 将 McAfee 代理软件移至包装计算机。打包计算机将在 ePO 系统树列表中可见,McAfee 图标将显示在打包计算机的任务栏中。

  5. 使用 ePO 上的产品部署任务在打包计算机上安装 McAfee MOVE AV [多平台] 客户端。

  6. 重新启动打包计算机,然后以管理员身份登录。

  7. 在打包计算机上,从以下位置之一删除名为 AgentGUID 的注册表项的值:

    • 32 位:HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent

    • 64 位: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Network Associates\ePolicy Orchestrator\Agent

  8. 关闭打包计算机。

  9. 最终确定应用层。

Microsoft Security Essentials

以下过程介绍如何使用操作系统层或应用程序层在 App Layering 中部署 Microsoft 安全性要素防病毒软件。

App Layering 支持以下版本的 Microsoft 安全性要素防病毒软件:

Microsoft Security Essentials 2012 版本 4.10.0209.0

  • 反恶意软件客户端版本:4.2.223.0
  • 引擎版本:1.1.9901.0
  • 防病毒定义:1.159.324.0
  • 反间谍软件的定义:1.159.324.0
  • Network Inspection System Engine 版本:2.1.9900.0
  • 网络检测系统定义版本:108.1.0.0

部署方法

使用下列方法之一来部署 Microsoft 安全基本软件防病毒软件:

  • 在导入操作系统层的黄金映像上安装软件。
  • 在操作系统层版本上安装软件。
  • 在应用层上安装软件。

安装要求

App Layering 金映像、操作系统层版本或应用程序层中的 Microsoft 安全要素防病毒软件。

启用 Windows 更新服务,但不要使用 Windows 更新。更新必须保持禁用状态。

在 App Layering 层版本上配置适用于 Windows 7 的 Microsoft Security Essentials。

使用这些步骤可以在 Windows 7(32 位或 64 位)上配置 Microsoft Security Essentials。

默认情况下,App Layering 优化脚本禁用 Windows 更新服务。要在 Windows 7 上将 Microsoft 安全要素部署为操作系统或应用程序层,请执行以下操作:

  1. 创建操作系统或应用程序层版本。
  2. 转到 C:\windows\setup\scripts 并运行 App Layering 优化脚本生成器。如果脚本构建器不可用,请从 “App Layering 计算机操作系统工具”ZIP 文件中再次下载该脚本构建器。
  3. 在 App Layering 优化脚本生成器中,禁用禁用 Windows 更新服务。
  4. 完成层。

更新服务启动类型从 禁用 更改为 动。未启用 Windows 更新,这是 App Layering 要求。

在安装过程中,检查 services.msc 并确保 Windows 更新服务启动类型设置为 动。如果不是,请将 Windows 更新服务启动类型更改为 动并重新启动 Windows。

对出现故障的 Microsoft Windows Essentials 更新进行故障排除

如果 Microsoft 安全要素更新在桌面上失败,因为 Windows 更新被禁用,请尝试以下操作。

  • 在控制面板中启用 Windows 更新。然后,Microsoft 安全要点可以在桌面上自动更新。
  • 如果使用本地组策略编辑器禁用 Windows 更新,请编辑注册表以删除本地组策略:
  1. 运行注册表编辑器并删除本地组策略。
  2. 请重新启动计算机。
  3. 从控制面板启用 Windows 更新。

Sophos 云(所有支持的操作系统)

App Layering 支持以下版本:

  • Sophos 企业控制台 5.4
  • Sophos Endpoint Security and Control 10.6.3.537
  • Sophos Endpoint Security and Control 11.5.2 云

在开始之前,请创建并激活 Sophos Cloud 帐户,如 Sophos 文档 中所述。

在新版本的操作系统层上安装 Sophos 云软件

  1. 在 “App Layering 管理控制台”中,选择 “ 层”> “操作系统层”> “添加版本”。

  2. 当任务状态变为 “需要操作” 时,请根据 部署防病毒软件的一般准则准备打包机。您可以在本文开头找到此信息。

  3. 将打包计算机加入域。

    注意:

    Sophos 安装程序会创建组并将用户放入其中。确保打包计算机位于域中。

  4. 在打包计算机上,登录到您的 Sophos Cloud 控制台。

  5. 从您的 Sophos 云帐户下载 SophosInstall.exe。

    重要:

    请勿使用电子邮件发送的安装程序进行此安装。

  6. 在打包计算机上安装 Sophos 云软件。

  7. 安装 Sophos 的任务完成后(或指示需要执行操作),请重新启动打包计算机。

  8. 在 Sophos 云控制台中,单击 “ 报告”> “事件”。在继续之前,请确保 Sophos Cloud 管理计算机并且计算机处于最新状态。

  9. 停止并禁用以下 Windows 服务:

    • Sophos 计算机创建客户端
    • Sophos 计算机创建代理
  10. 删除以下文件:

    • C:\ProgramData\Sophos\AutoUpdate\cache\rms_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\savxp_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\ntp64_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\sau_cache
    • C:\ProgramData\Sophos\AutoUpdate\cache\ssp_cache
    • C:\Windows\Temp\sophos_autoupdate1.dir
    **在 Windows 7 中 Windows Server 2008 R2:**
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist\Credentials
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist\EndpointIdentity.txt
    • C:\ProgramData\Sophos\Management Communications System\Endpoint\Persist*.xml
    • C:\ProgramData\Sophos\AutoUpdate\data\machine_ID
  11. 编辑 Sophos 配置:

    1. 导航到您的操作系统的 Sophos 配置文件夹:

      Windows 7 Windows 服务器 2008 R

      C:\ProgramData\Sophos\Management Communications System\Endpoint\Config\

    2. 创建或打开一个名为 registration.txt 的文件,然后将以下行添加到此文件中:

      [McsClient]

      Token=value_of_MCS_REGISTRATION_TOKEN 条件为

      value_of_MCS_REGISTRATION_TOKEN 是 MCS_REGATIATION_TOKEN 的价值,它标识您的 Sophos Cloud 帐户。从 SophosInstall.exe 中提取此令牌的值。

  12. 编辑 Sophos 安装文件:

    1. 在以下文件夹中,创建一个名为 SophosSetup.cmd 的文件。

      Windows 7 Windows 2008 R2 Datacenter

      C:\Windows\Setup\scripts\kmsdir

    2. 将以下行添加到此文件中,包括双引号:

      sc config "Sophos MCS Client" start= auto

      sc config "Sophos MCS Agent" start= auto

      net start "Sophos MCS Client"

      net start "Sophos MCS Agent"

  13. 编辑每次启动 Sophos 时运行的命令:

    1. 编辑文件 c:\Windows\Setup\scripts\kmsdir\kmssetup.cmd。

    2. 将以下脚本添加到标记为 运行每次启动的命令部分。此脚本运行 SophosSetup.cmd 文件。脚本详细信息:

      REM Change Sophos Service to Automatic - once

      If EXIST SophosSetup.cmd (

      echo !date!-!time!-kmssetup.cmd:Call

      SophosSetup.cmd >> SophosSetuplog.txt

      Call SophosSetup.cmd >> SophosSetuplog.txt

      Copy SophosSetup.cmd SophosSetupCMD.txt >> SophosSetuplog.txt

      Del SophosSetup.cmd >> SophosSetuplog.txt

      )

  14. 将打包计算机重新加入工作组。

  15. 最终确定操作系统层。

Sophos 防病毒-视窗 7 和 Windows 2008 R2 台式机

本节介绍如何在新桌面或现有桌面上部署 Sophos 防病毒软件。您可以将 Sophos 防病毒软件添加到黄金映像或操作系统层的版本。

这些过程基于 Sophos 知识库文章 适用于 Windows 2000 的 Sophos 防病毒软件:将当前版本合并到磁盘映像中,包括用于克隆的虚拟机

注意:

如果 Sophos 无法更新 Sophos 自动更新模块,则更新病毒特征码更新也会失败。要允许 Sophos 更新自己的更新程序,请编辑您的操作系统层并删除此目录:

C:\ProgramData\Sophos\AutoUpdate\Cache\sau

部署方法

使用金色映像或操作系统层版本来部署 Sophos 软件。您无法将 Sophos 软件部署为应用层。Sophos 会创建一个用户帐户,用于在其管理的桌面上进行更新。App Layering 支持金映像或操作系统层版本中的这些用户帐户。

配置黄金映像或操作系统层版本

  1. 在黄金映像或操作系统层版本上安装 Sophos 软件。

  2. 如果使用金色映像,请在映像上安装 App Layering 工具。如果使用操作系统层版本,请跳过此步骤。

    出现提示时,允许系统重新启动,但在安装完成后不要关闭黄金映像。首先完成此过程的其余部分。

  3. 仅停止并禁用以下 Sophos 服务。部署桌面时,会运行迷你安装程序。禁用指定的服务可确保 Sophos 服务在 Mini-Setup 完成之前不会启动。

    • 索福斯特工
    • Sophos 自动更新服务
    • Sophos 消息路由器
  4. 打开注册表编辑器并删除以下键的 pkc和 pkp 值:

    视窗 32 位系统

    HKLM\Software\Sophos\Messaging System\Router\Private\ HKLM\Software\Sophos\Remote Management System\ManagementAgent\Private\

    64 位系统

    HKLM\Software\Wow6432Node\Sophos\Messaging System\Router\Private\ HKLM\Software\Wow6432Node\Sophos\Remote Management System\ManagementAgent\Private\

  5. 删除以下文件:

    C:\ProgramData\Sophos\AutoUpdate\data\machine_ID.txt C:\ProgramData\Sophos\AutoUpdate\data\status\status.xml

  6. 重命名以下目录:

    From: C:\ProgramData\Sophos\AutoUpdate\Cache\savxp

    更改为: C:\ProgramData\Sophos\AutoUpdate\Cache\savxp.copy

    From: C:\ProgramData\Sophos\AutoUpdate\Cache\rms

    更改为: C:\ProgramData\Sophos\AutoUpdate\Cache\rms.copy

    需要重命名目录,因为 App Layering 会阻止尝试重命名金映像上存在的目录。Sophos 更新要求它重命名这些目录。

  7. 创建一个名为 SophosSetup.cmd 的文件,并将其放置在 C:\Windows\Setup\scripts\kmsdir 文件夹中。(如果文件夹不存在,请创建它)。

  8. 将以下行添加到 SophosSetup.cmd 中。包括双引号,如图所示。

     pushd "c:\ProgramData\Sophos\AutoUpdate\Cache"
     xcopy savxp.copy*.* savxp*.* /s/y
     xcopy rms.copy*.* rms*.* /s/y
     sc config "Sophos Agent" start= auto
     sc config "Sophos AutoUpdate Service" start= auto
     sc config "Sophos Message Router" start= auto
     net start "Sophos Agent"
     net start "Sophos AutoUpdate Service"
     net start "Sophos Message Router"
     cd "c:\Windows\Setup\scripts\kmsdir"
     popd
     <!--NeedCopy-->
    
  9. 编辑 c:\Windows\Setup\scripts\kmsdir\kmssetup.cmd 文件,并将以下脚本添加到标记为“Commands to run every boot”的部分。此脚本运行 SophosSetup.cmd 文件。

    使用 Sophos 脚本的 kmssetup.cmd 示例:

     REM Change Sophos Service to Automatic - once
     If EXIST SophosSetup.cmd (
     echo !date!-!time!-kmssetup.cmd:Call SophosSetup.cmd >> SophosSetuplog.txt
     Call SophosSetup.cmd >> SophosSetuplog.txt
     Del SophosSetupCMD.txt >> SophosSetuplog.txt
     Copy SophosSetup.cmd SophosSetupCMD.txt >> SophosSetuplog.txt
     Del SophosSetup.cmd >> SophosSetuplog.txt
     )
     <!--NeedCopy-->
    
  10. 如果您使用的是金色映像,请关闭金色映像,然后使用 App Layering 管理控制台创建操作系统层。黄金映像导入到新的操作系统层。

    如果您使用的是操作系统层版本,请完成版本。

  11. 要受到保护,请额外时间重新启动持久桌面。使用 App Layering 管理控制台重新启动桌面。

可选:调整安全标识符

将黄金映像导入操作系统层后,您可能需要更新安全标识符 (SID) 值。为此,请为操作系统层创建一个版本,以更新 Sophos 配置文件之一中的 SID。以下 Sophos 知识库文章介绍了如何更新 Sophos 配置文件之一中的安全标识符 (SID) 值:

您的权限不足,无法运行 Sophos Endpoint Security and Control 主应用程序。 你不是任何 Sophos 团体的成员

什么时候调整 SID

如果您在操作系统层中部署桌面,但用户无法打开 S ophos Endpoint Security 和 Control 用户界面,请调整 SID。

SID 调整程序

您可以在将金色图像导入层之前或之后执行以下步骤。如果导入了金色图像,则可以通过编辑最新的 OS 层版本来执行这些步骤。您还可以创建操作系统层的修订版本。

调整 SID

  1. 下载 已更新的 .VBS 从 Sophos 网站调用的脚本文件。将此文件放在 C:\Windows\Setup\Scripts directory 中。部署桌面后,需要使用此脚本来修复计算机 ID。

  2. 编辑文件 C:\Windows\Setup\Scripts\SophosSetup.cmd,然后在文件末尾添加以下两行:

    cd \Windows\setup\scripts

    cscript.exe UpdateSID.vbs //B

  3. 如果脚本适用于操作系统层版本,请完成版本。

现在,您可以使用此版本的操作系统层创建桌面。确保桌面可以连接到企业控制台、注册和根据计划进行更新。

Symantec Endpoint Protection

可以使用以下任一方法部署 Symantec Endpoint Protection 应用程序:

  • 在黄金映像上安装应用程序,然后将黄金映像导入操作系统层。
  • 将应用程序安装为操作系统层版本。
  • 将应用程序作为应用层的一部分进行安装。

注意:

Citrix 建议在 App Layering 部署中使用按访问扫描。将文件标记为“干净”后,Symantec Shared Insight Cache 通过不再次扫描层中的文件来提高性能。

Citrix 支持面向客户端和管理器的以下 Symantec Endpoint Protection 版本:

  • 12 和 12.1
  • 12.1.4
  • 12.1.5
  • 12.1.6(12.1 RU6 MR6) Build 7004 (12.1.7061.6600)
  • 14 MP 1 (14.0.2332)
  • 14.2

注意:

Symantec Endpoint Protection 12.1.2 和 12.1.3 不受支持,因为某个 Symantec 问题阻止 App Layering 正常运行。

App Layering 桌面上的 Symantec Endpoint Protection 行为

扫描类型 行为
按访问 Microsoft Windows 7:按访问扫描在所有 App Layering 桌面上按预期工作。
手动 Microsoft Windows 7:如果禁用用户帐户控制 (UAC),手动病毒扫描只检查虚拟机的启动卷上的文件。安装软件时保持 UAC 启用状态。

使用 Symantec Endpoint Protection Manager 安装软件

此过程使用计算机模式作为部署方法,该方法将策略应用于整个桌面。

  1. 在赛门铁克端点保护管理器中,找到应用程序的操作系统映像或打包计算机,然后登录:

    • 操作系统映像(如果您使用操作系统层)
    • 打包计算机(如果您使用应用程序层或层修订版)
    1. 选择 “ 客户端”> “查找非受管计算机”。

    2. 在打开的窗口中键入相应的搜索条件。

    3. 安装软件。

    注意:

    安装软件后,系统会提示您重新启动 Symantec Endpoint Protection Manager。如果您在步骤 1 中执行此操作,则可能会导致启动 SEP 服务时出现问题。继续执行安装过程,并在步骤 5 中重新启动 Symantec Endpoint Protection Manager。

  2. 登录到包装计算机并禁用 篡改保护

  3. 禁用注册表项 “隐藏” 保护。即使启用了用户帐户控制 (UAC),扫描也可以工作。请确保注册表中的以下设置正确。如果注册表中不存在这些值,请添加它们。

    • 对于 32 位计算机:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Common]

      "ScanStealthFiles" = (REG_DWORD) 0

    • 对于 64 位计算机:

      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Common]

      "ScanStealthFiles" = (REG_DWORD) 0

  4. 使用注册表编辑器,更改每个 ccSettings GUID 的组和标签值。

    1. 转到以下项:

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ccSettings_{GUID}]

      如果有多个 ccSettings_{GUID},请从第一个开始。

    2. 对于每个 ccSettings_{GUID},将组值从 FSFilter Bottom 更改为 FSFilter Virtualization

    3. 将第一个 GUID 的标签值更改为 8,并将 1 添加到每个后续 GUID 的值中。下一个 GUID 值为 9,然后是 10,依此类动。

      注意:

      首次安装赛门铁克时,会有一个“CC设置_{ GUID}”。每次升级应用程序时,Symantec 都会添加另一个 GUID。

  5. 重新启动包装计算机或金色图像。然后,根据需要重新启动打包计算机,直到安装后重新启动请求不再出现在 App Layering 管理控制台中。

  6. 启用 篡改防护

  7. 对于 SEP 12.1 及更高版本,请参阅以下知识库文章中的说明,以准备计算机在 VDI 环境中部署软件。有关详细信息,请参阅文章 如何为克隆准备端点防护客户端

  8. 关闭金色图像并将其导入到操作系统层或完成打包计算机。

  9. 如果您需要使用 SEP 虚拟映像例外 (VIE) 工具,请参阅文章 使用 SEP 虚拟映像异常 (VIE) 工具 以获取建议。

在部署 Symantec 软件期间,App Layering 软件会多次重新构建桌面或打包计算机映像。次数取决于您如何部署 Symantec 应用程序。由于 Symantec Endpoint Protection 软件在初始安装期间未完成启动级组件的完整配置,因此会出现此行为。

对于客户端-服务器部署

Symantec Endpoint Protection 软件:

  • 安装一些必需的驱动程序并重新启动桌面或打包计算机。
  • 更新其他组件并重新启动桌面或打包计算机。
  • 完成安装并重新启动桌面或打包计算机一次。
  • 部署到桌面

如果将赛门铁克软件部署到非永久性桌面,请在创建桌面时包含该软件。如果将包含 Symantec Endpoint Protection 的应用程序层添加到现有的非持久桌面,Symantec Endpoint Protection Manager 中将为每个桌面显示两个条目。

在以下情况下,Symantec Endpoint Protection 控制台中显示具有不同名称的同一台计算机的两个实例:

  • 使用 Symantec Endpoint Protection 应用程序层在 Windows 2008 R2 上创建持久桌面
  • 将应用程序层分配给现有桌面

一个名字是正确的。第二个名称是临时名称,未删除。若要解决此问题,您可以删除未连接 X 天数的客户端。

删除客户端

  1. 在 Symantec Endpoint Protection 控制台中,转到管理页面,然后选择
  2. 在 “ 任务”下,选择 “ 编辑域属性”。
  3. 在 “ 编辑域属性 ”窗口中的默认 “常规”选 卡上,单击 “ 删除在指定时间内未连接的客户端 ”。Citrix 建议大型企业环境的值为 7-14 天。
  4. 有关详细信息,请参阅 重复的 SEP 客户端显示在 Symantec Endpoint Protection Manager 控制台中 一文中的解决方案 2。

Symantec Help (SymHelp) 诊断工具注意事项

如果您在层中部署 Symantec Endpoint Protection,Symantec Help (SymHelp) 诊断工具要求您将两个文件放置在 Unified Endpoint Protection 中。使用以下行创建脚本,并在应用 Symantec 层时将其路径放置在脚本路径中。

pushd "C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IRON"
copy Iron.db Iron.db.save
copy Iron.db.save Iron.db /y
copy RepuSeed.irn RepuSeed.irn.save
copy RepuSeed.irn.save RepuSeed.irn /y
popd
<!--NeedCopy-->

Trend Micro OfficeScan

以下过程介绍如何使用操作系统层或应用程序层部署趋势科技防毒墙网络版防病毒软件。这些过程基于在 VDI 环境中部署桌面的趋势科技文档。

Citrix App Layering 支持 Trend Micro OfficeScan 客户端和服务器版本 11.0.6054。

部署方法

使用以下任一方法部署趋势科技防病毒软件:

  • 在黄金映像上安装软件,并将其导入到新的操作系统层。
  • 在操作系统层版本上安装软件。
  • 在应用程序层上安装软件,并将该层分配给新桌面或现有桌面。

重要:

如果在黄金映像或 OS 层版本上安装趋势科技防毒墙网络版,请在以下命令上运行防毒墙网络版 TCacheGen.exe 文件:

  • 金色映像或操作系统层。
  • 在使用黄金映像或操作系统层的每个应用层上

每次创建应用程序层或层版本时,都会在使用包含趋势科技防毒墙网络版的操作系统层的每个层上运行 TCacheGen.exe

运行 TCacheGen.exe 后,不要再运行包装机。

如趋势科技文档中所述,您可以从防毒墙网络版服务器复制 TCacheGen.exe。通常,此文件位于 \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen 文件夹中。

在黄金映像上安装趋势科技

在将黄金映像导入操作系统层之前,请删除趋势科技软件的全局唯一标识符 (GUID)。安装 App Layering 机床时,系统将重新启动并创建 GUID。因此,首先安装机床,允许安装重新启动计算机,然后删除 GUID。

有关详细信息,请参阅 Trend Micro 文档配置 OfficeScan (OSCE) Virtual Desktop Infrastructure (VDI) 客户端/代理。在安装软件时,请务必了解趋势科技提供的建议。

  1. 在金色图像上安装 App Layering 机床。
  2. 安装 Trend Micro OfficeScan 客户端。
  3. 从 OfficeScan 服务器复制 TCacheGen.exe 文件,如 Trend Micro 文档中所述。通常,该文件位于以下文件夹中:

    \\<TrendServerName>\ofcscan\Admin\Utility\TCacheGen

  4. 按照趋势科技文档中的说明运行 TCacheGen.exe
  5. 单击 “ 从模板中删除 GUID ”,然后单击 “ 确定”
  6. 关闭金色图像。
  7. 使用金色映像创建操作系统层。

    重要:

    无论何时向此图层添加版本,都必须运行 TCacheGen.exe 并再次删除 GUID。执行这些操作时,它会确保使用此层的桌面正常运行。

在应用程序层上安装软件

  1. 在 App Layering 管理控制台中,完成创建层向导。

  2. 出现提示时,请在打包计算机上安装 Trend Micro OfficeScan 客户端。

    安装 Trend Micro OfficeScan 11 并且任务状态更改为需要操作时,请禁用未经授权的更改阻止服务,如下所示:

    1. 在 OfficeScan 服务器上,双击桌面上的 OfficeScan Web Console (HTML) 链接以打开 OfficeScan Web Console。

    2. 在防毒墙网络版 Web 控制台中,选择客户 端 > 客户端管

    3. 右键单击 OfficeScan 服务器,然后选择设置 > 其他服务设置其他服务设置 窗口随即打开。

    4. 未授权的更改阻止服务下,清除在 以下操作系统上启用服务

    5. 在 Web 控制台中,选择 “ 代理”> “代理安装”> “远程”

    6. 搜索终端中,键入打包计算机的 IP 地址,然后按 Enter 键。

    7. 键入打包计算机的本地管理员用户名和密码,然后单击登录

    8. 单击安装以将 OfficeScan 代理安装到目标计算机上,然后单击确认对话框中的确定。确认消息可确认向其发送通知的座席数量以及验证收到这些通知的编号。

    9. b. 在 OfficeScan Web Console 中,转至代理 > 代理管理。单击工作组,然后选择“打包计算机名称”。

    10. 为您正在使用的组禁用 未经授权的更改阻止 服务。右键单击打包计算机,然后选择设置 > 其他服务设置。此时将打开“其他服务设置”窗口。

  3. 在 “ 未授权防护服务” 下,清除在 以下操作系统上启用服务。

  4. 如果出现提示,请重新启动打包计算机以允许重建启动映像。

  5. 打包机重新启动后,从防毒墙网络版服务器复制 TCacheGen.exe 文件。有关详细信息,请参阅趋势科技文档。通常,该文件位于以下文件夹中:

    \\TrendServerName\ofcscan\Admin\Utility\TCacheGen

  6. 运行 TCacheGen.exe。有关详细信息,请参阅趋势科技文档。

  7. 单击 “ 从模板中删除 GUID ”,然后单击 “ 确定”

  8. 完成层。

    重要

    无论何时向此图层添加版本,都必须运行 TCacheGen.exe 并再次删除 GUID。这样做可确保使用此层的桌面正常运行。