配置上载文件的防病毒扫描
重要:
由于 StorageZones 4.2 中的应用程序代码更新,某些客户必须将工具运行的权限级别从本地管理员更新为系统网络服务。无法更新权限将导致防病毒扫描无法启动。
所需资料/摘要
- 使用 StorageZones Controller 4.2 或更高版本的用户
- SFAntivirus 必须作为使用 PsExec 的网络服务运行
- 更新日志文件位置
使用 PsExec 以网络服务的形式运行 SFAntivirus:
更新到 SZ 4.2 或更高版本的客户端,使用链接到 SFAntivirus 的现有计划任务,需要将工具运行的用户级别从本地管理员更改为系统网络服务。
若要获取网络服务权限,请使用 PSExec 在与 StorageZones Controller 相同的用户上下文下启动 PowerShell (x86),并使用以下命令获取网络服务权限:
PsExec.exe -i -u "NT AUTHORITY\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell
更新日志文件位置
如果管理员正在登录到默认 SZC 日志目录之外的目录,则还必须通过修改 log4net.config 条目来更改日志文件位置:
\<file value="..\\..\\SC\\logs\\avscantool-" /\>
StorageZones Controller 安装包括多个支持防病毒扫描的文件。默认情况下,这些文件安装在 C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus.
在您自定义配置文件并使用 Windows 任务计划程序安排扫描(如以下步骤所述)后,每个文件上载请求都会导致 StorageZones Controller 将文件排队进行防病毒扫描。如果报告了扫描文件的问题,“文件夹”视图将包含该文件的警告图标。如果用户尝试下载该文件,将显示一条警告消息。
自 StorageZones Controller 4.0 起,可以配置防病毒日志文件位置。要修改日志位置,请编辑 C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus 下的 SFAntivirus.exe.config 文件
防病毒扫描不会删除该文件。
StorageZones Controller 4.2 或更高版本支持将 ICAP 协议与已编码为 ICAP RFC 标准的防病毒扫描平台结合使用。有关配置 ICAP AV 的信息可以在本文中进一步找到。
必备条件
- 如果您将在 StorageZones Controller 上运行病毒扫描 (SFAntivirus.exe),请确保在 Controller 上禁用加密:在存储区域控制台配置页上,验证是否清除了启用加密复选框。
注意:
在您的区域上配置防病毒软件后,会扫描任何新上载的项目。防病毒配置不可追溯。配置它不会扫描区域中已存在的文件和项目。
为您的位置准备配置
-
若要在 StorageZones Controller 以外的服务器上运行病毒扫描,请执行以下操作:
-
将文件夹 C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus 复制到其他服务器。
-
在 StorageZones Controller 上,打开 C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config 并将队列设置为 0:
<add key="QueueSDKRestricted" value="0" />
-
-
在运行病毒扫描的服务器上,使用 StorageZones Controller 配置的值编辑 SFAntiVirus.exe.config:
-
对于命令文件:指定防病毒软件的完整路径。该软件必须驻留在与 ShareFile 防病毒文件夹相同的服务器上。
-
对于命令选项和返回代码:配置文件中提供的命令行设置就是一个示例。为您的防病毒软件和环境提供相应的设置。
-
对于扫描文件超时:扫描较大的文件可能需要更长的时间。根据存储中预期的文件大小调整此设置。否则,这可能会增加大型文件未被扫描的风险。
-
-
在命令行窗口中,运行以下命令以设置病毒扫描:
SFAntiVirus.exe -register SFusername SFpassword
使用 ICAP 进行 AV 扫描,而不是命令行工具
存储区域 Controller 5.3 及更高版本支持将 ICAP 协议与已编码为 ICAP 的 RFC 标准的防病毒扫描平台结合使用。如果客户需要,仍然可以使用 CLI 方法。自存储区域 Controller 5.0.1 及更高版本起,租户区域支持此功能。
要在 StorageZones Controller 上启用 ICAP AV 扫描仪,请导航到 StorageZones Controller 配置页面。
选中“启用防病毒集成”复选框,并在“ICAP RESPMOD URL”字段中输入防病毒服务器的地址。这是 ICAP 响应修改服务的 URL: ICAP://SERVER/RESPMOD
。
单击“测试连通性”以确认您的设置。
创建和计划病毒扫描任务
注意:
只有在使用命令行工具时,才需要为病毒扫描创建计划任务。使用 ICAP 时不需要这样做。
-
启动 Windows 任务计划程序,然后在“操作”窗格中单击“创建任务”。
-
在“常规”选项卡上:
-
为任务提供一个有意义的名称。
-
在安全选项下,单击“更改用户或组”,然后指定要运行任务的 Windows 用户。用户必须对存储位置具有完全访问权限。
-
选择 运行,无论用户是否已登录。保持清除“不存储密码”复选框。
-
选择“以最高权限运行”。
-
从“配置对象”菜单中,选择要运行任务的服务器的操作系统。
-
-
创建触发器:在“触发 器”选项卡上,单击“新建”。然后,对于“开始任务”,选择“按计划”并指定计划。
-
要创建操作:在“操作”选项卡上,单击“新建”。
-
对于“操作”,选择“启动”,然后指定程序的完整路径。例如:
C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe
-
对于“开始于”,请指定 SFAntiVirus.exe 的位置:
C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus
-
-
在“设置”选项卡上,对 于“如果任务已在运行,则适用以下规则”,选择“不启动新实例”。
AV 命令行集成到扫描服务
必备条件
- 在安装或升级 StorageZones Controller 5.2 之前,请确保停止或删除现有命令行 AV,如果它作为计划任务或 cron 运行。
- 在主机上安装 .NET 4.6.2(或更高版本)。
本地 StorageZones Controller 中的扫描服务包括对使用命令行 AV 工具(如赛门铁克命令行 AV 扫描)的支持。此外,扫描服务还提供包含 ICAP 支持的防病毒产品的扫描。
若要启用此功能,请在 AntiVirus/OnPrem/AVScanService/AVScanService/appSettings.config 中添加以下配置键和值。
<add key="use-command-line-av" value="true" />
特定于命令行工具的配置
StorageZones Controller 5.2 的升级或新安装包括一个新的配置文件:
AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json
此文件处理 AV 命令行的必要设置。
下面对配置键值进行了说明,其中包含了示例值。
-
将此点设置为您的命令行应用程序。
"command-file": "c:\\\\vscan\\\\scan.exe"
-
查看命令行应用程序的文档,了解它支持哪些选项或开关,然后在此位置添加它们。
"command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",
-
包括指示干净扫描的输出值。
"scanner-codes-for-clean-file": "0, 19",
-
包括指示受感染文件的输出值。
"scanner-codes-for-infected-file": "12, 13",
-
包括指示未扫描文件的输出值。
"scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"
关于强制执行最大文件大小(不包括扩展名)
在 5.2 版之前,您无法在命令行 AV 上强制执行扩展名排除或最大文件大小强制。您只能在 ICAP 扫描服务上执行此操作。对于 5.2 版,与应用于 ICAP 扫描服务的有关排除扩展名和最大文件大小(以字节为单位)的设置相同,也适用于 AV 命令行服务。
这些设置被命名为:
<add key="icap-exclude-extensions" value="" />
<add key="icap-max-file-size-bytes" value="0" />
StorageZones Controller 5.2 的新安装将这些设置重命名为以下内容。重命名的设置反映了这些设置既适用于基于 ICAP 的 AV,也适用于命令行 AV。
<add key="exclude-extensions" value="" />
<add key="max-file-size-bytes" value="0" />
升级时,这些设置不会重命名。虽然手动重命名工作起作用,但除了 ICAP 之外,同样的设置也适用于 AV 命令行。
<add key="icap-exclude-extensions" value="" />
<add key="icap-max-file-size-bytes" value="0" />