配置上载文件的防病毒扫描
重要:
由于存储区域 4.2 中的应用程序代码更新,某些客户必须将工具运行的权限级别从本地管理员更新为系统网络服务。无法更新权限将导致防病毒扫描无法启动。
要求/摘要
- 使用 StorageZones Controller 4.2 或更高版本的用户
- SFAntivirus 必须作为使用 PsExec 的网络服务运行
- 更新日志文件位置
使用 PsExec 以网络服务的形式运行 SFAntivirus:
更新到 SZ 4.2 或更高版本的客户端,使用链接到 SFAntivirus 的现有计划任务,需要将工具运行的用户级别从本地管理员更改为系统网络服务。
若要获取网络服务权限,请使用 PSExec 在与 StorageZones Controller 相同的用户上下文下启动 PowerShell (x86),并使用以下命令获取网络服务权限:
PsExec.exe -i -u "NT AUTHORITY\\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell
更新日志文件位置
如果管理员正在登录到默认 SZC 日志目录之外的目录,则还必须通过修改 log4net.config 条目来更改日志文件位置:
\<file value="..\\..\\SC\\logs\\avscantool-" /\>
StorageZones Controller 安装包括多个支持防病毒扫描的文件。这些文件默认安装在 C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. 中
在您自定义配置文件并使用 Windows 任务计划程序安排扫描(如以下步骤所述)后,每个文件上载请求都会导致 StorageZones Controller 将文件排队进行防病毒扫描。如果报告了扫描文件的问题,“文件夹”视图将包含该文件的警告图标。如果用户尝试下载该文件,则会显示一条警告消息。
从 StorageZones Controller 4.0 起,可以配置防病毒日志文件位置。要修改日志位置,请编辑 C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus 下的 SFAntivirus.exe.config 文件
防病毒扫描不会删除该文件。
StorageZones Controller 4.2 或更高版本支持将已编码为 ICAP RFC 标准的防病毒扫描平台使用 ICAP 协议。有关配置 ICAP AV 的信息可以在本文中进一步找到。
必备条件
- 如果您将在 StorageZones Controller 上运行病毒扫描 (SFAntivirus.exe),请确保在 Controller 上禁用加密:在存储区域控制台配置页上,验证是否清除了启用加密复选框。
注意:
在您的区域上配置防病毒软件后,会扫描任何新上载的项目。防病毒配置不可追溯。配置它不会扫描区域中已存在的文件和项目。
为您的位置准备配置
-
若要在 StorageZones Controller 以外的服务器上运行病毒扫描,请执行以下操作:
-
将文件夹 C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus 复制到另一台服务器。
-
在 StorageZones Controller 上,打开 C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config 并将队列设置为 0:
<add key="QueueSDKRestricted" value="0" />
-
-
在运行病毒扫描的服务器上,使用 StorageZones Controller 配置的值编辑 SFAntiVirus.exe.config:
-
对于命令文件:指定防病毒软件的完整路径。该软件必须与 ShareFile 防病毒文件夹位于同一台服务器上。
-
对于命令选项和返回代码:配置文件中提供的命令行设置为示例。为您的防病毒软件和环境提供适当的设置。
-
对于扫描文件超时:较大的文件可能需要更长的时间才能扫描。根据存储中预期的文件大小调整此设置。否则,这可能会增加大型文件未被扫描的风险。
-
-
在命令行窗口中,运行以下命令来设置病毒扫描:
SFAntiVirus.exe -register SFusername SFpassword
使用 ICAP 进行 AV 扫描,而不是命令行工具
StorageZones Controller 4.2 或更高版本支持将 ICAP 协议与已编码为 ICAP 的 RFC 标准的防病毒扫描平台一起使用。如果客户需要,仍可以使用 CLI 方法。自 SZ 5.0.1 或更高版本起,租户区域支持此功能。
要在 StorageZones Controller 上启用 ICAP AV 扫描仪,请导航到 StorageZones Controller 配置页面。
选中“启用防病毒集成”复选框,并在“ICAP RESPMOD URL”字段中输入防病毒服务器的地址。这是 ICAP 响应修改服务的 URL: ICAP://SERVER/RESPMOD。
单击 测试连通性 以确认您的设置。
创建和计划病毒扫描任务的步骤
注意:
只有在使用命令行工具时,才需要为病毒扫描创建计划任务。使用 ICAP 时不需要这样做。
-
启动 Windows 任务计划程序,然后在“操作”窗格中单击“创建任务”。
-
在 常规选项 卡上:
-
为任务提供有意义的名称。
-
在安全选项下,单击“更改用户或组”,然后指定要运行任务的 Windows 用户。用户必须对存储位置具有完全访问权限。
-
无论用户是否登录,选择运行。保持清除“不存储密码”复选框。
-
选择“以最高权限运行”。
-
从“配置为”菜单中,选择要运行任务的服务器的操作系统。
-
-
创建触发器:在“触发 器”选项卡上,单击“新建”。然后,对于“开始任务”,选择“按计划”并指定计划。
-
要创建操作:在“操作”选项卡上,单击“新建”。
-
对于“操作”,选择“启 动程序”并指定程序的完整路径。例如:
C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe -
对于“开始于”,请指定 SfantiVir.exe 的位置:
C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus
-
-
在“设置”选项卡上,对 于“如果任务已在运行,则适用以下规则”,选择“不启动新实例”。
将 AV 命令行集成到扫描服务
必备条件
- 在安装或升级 StorageZones Controller 5.2 之前,请确保停止或删除现有命令行 AV,如果它作为计划任务或 cron 运行。
- 在主机上安装 .NET 4.6.2(或更高版本)。
本地 StorageZones Controller 中的扫描服务包括对使用命令行 AV 工具(如赛门铁克命令行 AV 扫描)的支持。此外,扫描服务还使用支持 ICAP 的防病毒产品提供扫描。
若要启用此功能,请在防病毒/Onprem/AVscan服务/AVscan服务/应用程序设置中添加以下配置密钥和值。配置
<add key="use-command-line-av" value="true" />
命令行工具特定配置
StorageZones Controller 5.2 的升级或新安装包括一个新的配置文件:
AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json
此文件处理 AV 命令行的必要设置。
下面对配置键值进行了说明,其中包含了示例值。
-
将此点设置为您的命令行应用程序。
"command-file": "c:\\\\vscan\\\\scan.exe" -
查看命令行应用程序的文档,了解它支持的选项或开关,然后将它们添加到此位置。
"command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ", -
包括指示干净扫描的输出值。
"scanner-codes-for-clean-file": "0, 19", -
包括指示受感染文件的输出值。
"scanner-codes-for-infected-file": "12, 13", -
包括指示未扫描文件的输出值。
"scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"
关于强制执行最大文件大小(不包括扩展名)的注
在 5.2 版之前,您无法在命令行 AV 上强制执行扩展名排除或最大文件大小强制执行。您只能在 ICAP 扫描服务上执行此操作。对于 5.2 版本,应用于 ICAP 扫描服务的相同设置有关排除的扩展名和最大文件大小(以字节为单位)适用于 AV 命令行服务。
这些设置被命名为:
<add key="icap-exclude-extensions" value="" />
<add key="icap-max-file-size-bytes" value="0" />
StorageZones Controller 5.2 的新安装将这些设置重命名为以下内容。重命名的设置反映了这些设置既适用于基于 ICAP 的 AV,也适用于命令行 AV。
<add key="exclude-extensions" value="" />
<add key="max-file-size-bytes" value="0" />
升级时,不会重命名这些设置。虽然手动重命名可以起作用,但除了 ICAP 之外,AV 命令行也可以使用相同的设置。
<add key="icap-exclude-extensions" value="" />
<add key="icap-max-file-size-bytes" value="0" />