配置上载文件的防病毒扫描

重要:

由于对 Storagezones 4.2 中的应用程序代码进行了更新,某些客户必须将工具运行的权限级别从本地管理员更新到系统网络服务。未能更新权限将导致防病毒扫描无法启动。

要求/摘要

  • 使用 StorageZones Controller 4.2 或更高版本的用户
  • SFAntivirus 必须作为使用 PsExec 的网络服务运行
  • 更新日志文件位置

使用 PsExec 以网络服务的形式运行 SFAntivirus

更新到 SZ 4.2 或更高版本的客户端,使用链接到 SFAntivirus 的现有计划任务,需要将工具运行的用户级别从本地管理员更改为系统网络服务。

若要获取网络服务权限,请使用 PSExec 在与 StorageZones Controller 相同的用户上下文下启动 PowerShell (x86),并使用以下命令获取网络服务权限:

PsExec.exe -i -u "NT AUTHORITY\\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

更新日志文件位置

如果管理员正在登录到默认 SZC 日志目录之外的目录,则还必须通过修改 log4net.config 条目来更改日志文件位置:

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

StorageZones Controller 安装包括多个支持防病毒扫描的文件。这些文件默认安装在 C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus.

在您自定义配置文件并使用 Windows 任务计划程序安排扫描(如以下步骤所述)后,每个文件上载请求都会导致 StorageZones Controller 将文件排队进行防病毒扫描。如果已扫描文件报告问题,则 “文件夹” 视图将包含该文件的警告图标。如果用户尝试下载该文件,则会显示一条警告消息。

从 StorageZones Controller 4.0 开始,可以配置防病毒日志文件位置。要修改日志位置,请编辑 C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus 下的 SFAntivirus.exe.config 文件

防病毒扫描不会删除该文件。

在 StorageZones Controller 4.2 或更高版本上支持将 ICAP 协议与已编码为 ICAP RFC 标准的防病毒扫描平台一起使用。有关配置 ICAP AV 的信息,请参阅本文下方的更多信息。

必备条件

  • 如果您将在 StorageZones Controller 上运行病毒扫描 (SFAntivirus.exe),请确保在 Controller 上禁用加密:在存储区域控制台配置页上,验证是否清除了启用加密复选框。

注意:

在您的区域上配置防病毒软件后,会扫描任何新上载的项目。防病毒配置不追溯。配置它不会扫描区域中已存在的文件和项目。

为您的位置准备配置

  1. 若要在 StorageZones Controller 以外的服务器上运行病毒扫描,请执行以下操作:

    1. 将文件夹 C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus 复制到其他服务器。

    2. 在 StorageZones Controller 上,打开 C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config 并将队列设置为 0:<add key="QueueSDKRestricted" value="0" />

  2. 在运行病毒扫描的服务器上,使用 StorageZones Controller 配置的值编辑 SFAntiVirus.exe.config:

    1. 对于命令文件:指定防病毒软件的完整路径。该软件必须位于 ShareFile 防病毒文件夹所在的服务器上。

    2. 对于命令选项和返回代码:配置文件中提供的命令行设置就是一个示例。为防病毒软件和环境提供适当的设置。

    3. 对于扫描文件超时:较大的文件可能需要更长的时间来扫描。根据存储空间中预期的文件大小调整此设置。否则,这可能会增加大型文件未被扫描的风险。

  3. 在命令行窗口中,运行以下命令以设置病毒扫描:SFAntiVirus.exe -register SFusername SFpassword

使用 ICAP 进行 AV 扫描,而不是命令行工具

StorageZones Controller 4.2 或更高版本支持使用 ICAP 协议与已编码为 ICAP RFC 标准的防病毒扫描平台。如果客户需要,仍可以使用 CLI 方法。SZ 5.0.1 或更高版本的租户区域支持此功能。

要在 StorageZones Controller 上启用 ICAP AV 扫描仪,请导航到 StorageZones Controller 配置页面。

选中 启用防病毒集成 复选框,然后在 ICAP RESPMOD URL 字段中输入防病毒服务器的地址。这是 ICAP 响应修改服务的 URL:ICAP://SERVER/RESPMOD

单击 测试连接性 以确认您的设置。

创建和计划病毒扫描的任务

注意:

只有在使用命令行工具时,才需要为病毒扫描创建计划任务。使用 ICAP 时不需要这样做。

  1. 启动 Windows 任务计划程序,然后在 “ 作” 窗格中单击 “ 创建任务 ”。

  2. 在 “常 规” 选项 卡上:

    1. 为任务提供有意义的名称。

    2. 在 “ 安全 选项” 下,单击 “ 更改用户或组 ”,然后指定要运行任务的 Windows 用户。用户必须具有对存储位置的完全访问权限。

    3. 选择 运行无论用户是否登录。保留 “ 不存储密码 ” 复选框清除状态。

    4. 选择 “ 以最高权限运行”。

    5. 从 “ 配置为” 菜单中,选择要运行任务的服务器的操作系统。

  3. 要创建触发器:在 “ 触发器 ” 选项卡上,单击 “ 建”。然后,对于 “ 开始” 任务,选择 “ 在计划” 并指定计划。

  4. 要创建操作:在 “ 操作 ” 选项卡上,单击 “ 建”。

    1. 对于 “ 作”,选择 “ 动程序” 并指定程序的完整路径。例如:

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

    2. 对于 “开始”,请指定 Sfantivirus .exe 的位置:C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

  5. 在 “ 设置 ” 选项卡上,对 于 “如果任务已在运行 ,则以下规则适用, 请选择 “不启动新实例 ”。

AV 命令行集成到扫描服务

必备条件

  • 在安装或升级 StorageZones Controller 5.2 之前,请确保停止或删除现有命令行 AV,如果它作为计划任务或 cron 运行。
  • 在主机上安装 .NET 4.6.2(或更高版本)。

本地 StorageZones Controller 中的扫描服务包括对使用命令行 AV 工具(如赛门铁克命令行 AV 扫描)的支持。此外,扫描服务提供与 ICAP 支持的防病毒产品的扫描。

若要启用此功能,请在防病毒/Onpre/AVScan服务/avscan服务/应用程序设置中添加以下配置键和值

<add key="use-command-line-av" value="true" />

命令行工具特定配置

StorageZones Controller 5.2 的升级或新安装包括一个新的配置文件:

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

此文件处理 AV 命令行的必要设置。

下面介绍了配置键值,其中包括示例值。

  • 将此点设置为您的命令行应用程序。

    "command-file": "c:\\\\vscan\\\\scan.exe"

  • 检查命令行应用程序的文档以查看它支持哪些选项或开关,然后将它们添加到此位置。

    "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

  • 包括指示干净扫描的输出值。

    "scanner-codes-for-clean-file": "0, 19",

  • 包括指示受感染文件的输出值。

    "scanner-codes-for-infected-file": "12, 13",

  • 包括指示未扫描文件的输出值。

    "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

关于强制执行最大文件大小(不包括扩展名)的注

在版本 5.2 之前,您无法在命令行 AV 上强制执行扩展名排除或最大文件大小强制执行。您只能在 ICAP 扫描服务上执行此操作。在版本 5.2 中,应用于 ICAP 扫描服务的有关排除扩展名和最大文件大小(以字节为单位)的相同设置适用于 AV 命令行服务。

这些设置命名为:

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

StorageZones Controller 5.2 的新安装将这些设置重命名为以下内容。重命名的设置反映了这些设置既适用于基于 ICAP 的 AV,也适用于命令行 AV。

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

在升级时,这些设置不会重命名。虽然手动重命名可以工作,但除了 ICAP 之外,AV 命令行也可以使用相同的设置。

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />