层杀毒软件

本文解释了如何在一个层中部署最常用的每个防病毒产品。你可以分层任何杀毒软件，除非下面列出为不支持。虽然我们希望新版本的杀毒软件能够正常运行，但这在我们测试之前是不能保证的。检查此主题以查看是否测试了新版本的杀毒软件。

有些防病毒软件安装过程要求您修改Windows注册表．

警告:

在编辑注册表之前备份注册表。不正确地使用注册表编辑器会导致严重的问题，需要重新安装操作系统。Citrix不能保证由于不正确使用注册表编辑器而引起的问题能够得到解决。使用注册表编辑器的风险由您自己承担，并在编辑注册表之前始终备份注册表。

你可以排除防病毒文件和文件夹从用户桌面上的持久化。您可以在层中创建排除，并在发布后在图像中处理它们。

管理杀毒软件更新选项

本节将解释如何根据部署映像的方式对杀毒软件分层并配置主要更新。这只适用于主要的更新。无论部署的映像类型是什么，都会对病毒定义进行每日更新。

推荐用于所有杀毒软件

在所有情况下，我们建议在杀毒软件有重大更新时制作一个新版本的应用程序层。一旦该层已经更新，更新所有使用该杀毒应用程序的模板，并重新部署新的图像，以利用杀毒软件中的变化。

弹性分层未启用

如果你部署的图像没有启用弹性分层，考虑你的图像是非持久的还是持久的:

• 对于持久的计算机，您可能希望启用自动更新以保持杀毒软件的最新状态。
• 对于非持久的计算机，您可能不希望打开自动更新，因为每次重新引导后，都会在映像上进行更新。(非持久计算机在重新启动时将被还原。)

启用了弹性层，但没有用户层

如果您部署的映像具有弹性层但没有用户层，请清除自动更新，因为机器是非持久的，在重新引导时将被恢复。另外，要将反病毒层部署在映像中，而不是作为弹性层加载，因为反病毒驱动程序必须在引导时加载才能正确工作。当层被分配为弹性层时，它们只在用户登录机器时加载，因此驱动程序在引导时不会出现。

启用弹性层，包括用户层(或用户个性化层)

如果您正在部署具有弹性层和完整用户层(或用户个性化层)的映像，我们建议关闭自动更新。这些计算机是非持久的桌面，因此当用户注销时它们会恢复。还有一个额外的考虑因素是，如果用户持续登录计算机好几天，那么对病毒定义文件的每日更新可能会在用户层结束。对于大多数杀毒软件来说，这不是问题。但是，如果您发现杀毒软件在运行时出现了一些问题，您可能需要确定它们存储定义的目录，并考虑添加注册表设置，以强制这些文件驻留在非持久映像上，而不是在用户层中。确保这些设置是在与防病毒应用程序不同的层中进行的，因为您不希望这些设置影响到对防病毒层的更新。

在开始之前

在应用程序分层中部署任何杀毒软件包时，可能需要以下内容:

• 启动远程注册表服务用于任何远程安装。
• 请在安装前关闭桌面防火墙，以便安装产品。
• 禁用Windows的后卫。
• 启用或禁用用户帐户控制(UAC)．
• 请在您正在安装的产品的网站上阅读虚拟桌面基础设施(VDI)部署的安装说明。

AVG

您可以使用黄金映像或应用程序层来部署AVG商业版杀毒软件。

部署方法

安装AVG防病毒软件有以下两种方式:

• 在操作系统的黄金映像上安装软件，并将其导入到新的操作系统层。
• 在一个应用层上安装软件，并将该层分配给新的或已有的桌面。

Citrix支持AVG杀毒商业版13.0.0。x。

把软件安装在黄金图像上

1. 在金像上安装AVG软件。

2. 打开AVG应用程序并选择AVG设置管理器．

3. 选择编辑AVG设置．

4. 选择系统服务，并关闭所有AVG服务。

5. 选择AVG高级设置，杀毒软件，缓存服务器，并禁用文件缓存。

6. 删除缓存文件:

   在Windows 7操作系统下，删除以下文件:C: \ ProgramData \ AVG2013 \ Chjw \ * . *

7. 重新启动所有AVG服务。

8. 关闭黄金图像。

9. 使用金色图像创建一个操作系统层。

10. 在新部署的桌面中，启用缓存选项，这可以通过与AVG远程管理员的集成自动发生。

在应用程序层上安装软件

1. 在App层安装AVG软件。
2. 将应用程序层部署到桌面。

启用“关闭时扫描文件”选项

1. 开放高级设置(F8)。
2. 选择防病毒>常驻屏蔽．
3. 选择扫描文件关闭选项，保存设置。

卡巴斯基

本节将解释如何在一个层中部署卡巴斯基。有关在VDI环境中安装该软件的更多说明，请参阅卡巴斯基文档。读了动态VDI支持在这个节文章了解如何在VDI环境中为非持久桌面使用卡巴斯基。

以下版本的卡巴斯基杀毒软件已经被Citrix测试，并被验证与应用程序分层工作:

• 卡巴斯基端点安全版本10.2.5.3201
• 卡巴斯基管理version10.3.407.0
• 卡巴斯基管理服务器版本8.0.2163
• 卡巴斯基防病毒软件用于Windows工作站版本6.0.4.1424
• 卡巴斯基VDI Agentless 3.0版本
• 卡巴斯基端点安全版本10.1.0.867(a)
• 卡巴斯基端点安全版本10.2
• 卡巴斯基VDI Agentless版本3.1.0.77

注意:

不支持卡巴斯基10.2加密。卡巴斯基10.2加密使用一种绕过应用程序分层虚拟化的磁盘虚拟化形式，因此与应用程序分层不兼容。在部署卡巴斯基10.2之前，请禁用加密选项。

部署方法

部署卡巴斯基防病毒软件有以下两种方式:

• 在应用程序层或应用程序层版本上安装软件。
• 在导入到操作系统层的黄金映像上安装软件。
• 在操作系统层版本上安装软件。

需求

• 如果您在新的操作系统层上部署了卡巴斯基软件，请在安装App Layering Machine Tools之前将该软件安装在金色映像上。

• 如果您使用卡巴斯基管理服务器管理桌面，请在包装机或金映像上安装卡巴斯基工作站和NetAgent防病毒软件。

• 如果不计划使用卡巴斯基管理服务器，请仅在包装机器或金映像上为工作站安装卡巴斯基防病毒软件。

• 安装卡巴斯基NetAgent时，请在安装期间清除启动应用程序选项的选择。

• 在独立配置中为工作站安装卡巴斯基防病毒软件时，不要为任何管理选项启用密码保护。部署软件后，您在“包装机”或“金色映像”上输入的密码在桌面上无法工作。

• 在PackagingMachine上安装卡巴斯基软件(用于应用程序层或层修订)后，需要重新启动系统(和桌面图像重建)。

卡巴斯基10.2特殊要求

对象添加一个值Unifltr服务，然后在注册表中添加卡巴斯基10.2到金图像或图层。

编辑注册表

1. 点击开始,点击运行时,然后输入regedit。
2. 导航到HKLM \ System \ \ Unifltr CurrentControlSet \服务关键。
3. 在编辑”菜单上,单击“新，然后单击“DWORD(32位)值”。
4. 在右窗格中，右键单击New值并选择修改．
5. 在价值,名字，输入名称MiniFilterBypass。
6. 在价值，输入1，然后单击好吧．
7. 关闭注册表编辑器。

8. 重新启动机器，因为设置只在启动时读取。

   注意:

   尝试在Windows 7 32位和Windows 7 64位包装机器上最终确定虚拟化光代理3.0卡巴斯基失败。当层完整性试图重新启动时，会发生失败。

在App层上安装软件的特殊步骤

在应用程序层安装卡巴斯基软件。

1. 在包装机上安装卡巴斯基软件。如果部署运行卡巴斯基的非持久桌面，请将映像标记为Dynamic VDI。在标记映像时，卡巴斯基管理服务器将此映像的克隆视为动态的。当克隆被禁用时，克隆信息将自动从数据库中删除。要标记动态VDI的映像，请使用开启VDI的动态模式参数启用。有关详细信息，请参见本文关于动态VDI支持．

2. 重新启动包装机。当您重新启动包装机时，它可能会多次显示停止消息0x75640001。包装机正常重启。不需要干预。部署该层时，桌面会正常重启，不会出现STOP提示。

3. 定型层。

用户第一次登录桌面时，卡巴斯基NetAgent可能无法启动。当您将带有卡巴斯基软件的应用程序层分配到桌面时，会发生此问题。重新启动桌面，启动NetAgent软件。

可能的问题

在安装了卡巴斯基杀毒软件的应用程序分层桌面上，可能会出现以下互操作性问题。

卡巴斯基NetAgent启动—如果使用App Layer部署卡巴斯基NetAgent软件到桌面，重启桌面时可能无法启动NetAgent软件。Windows事件查看器可以显示以下错误:

#1266(0)当连接到:认证失败时传输级别错误

如果NetAgent软件没有启动，请重新启动桌面。NetAgent软件正常启动。

卡巴斯基10 -终端用户暂停导致网络攻击拦截器停止工作—使用卡巴斯基10时，终端用户暂停会导致网络攻击拦截器停止工作。要解决这个问题，请重新启动卡巴斯基软件。网络攻击拦截程序继续运行。

迈克菲

下面以McAfee防病毒软件在操作系统层和应用程序层部署为例进行介绍。

部署方法

在以下任意一层安装McAfee软件:

• 最初的操作系统层。
• 操作系统层的新版本。
• 应用程序层。

以下版本的McAfee软件已经经过Citrix的测试，并被验证可以与应用程序分层工作:

• ePolicy Orchestrator (ePO)，版本4.6.4、5.3.1和5.3.2
• McAfee Agent，版本号4.8.0.1938,5.0.2.188和5.0.4.283
• VirusScan企业版，版本号8.8.0.1528、8.8.0.1445和8.8.0.1599

如果您使用ePolicy Orchestrator 5.3.1服务器创建McAfee Agent安装包，请设置代理联系方式按以下顺序优先:

• IP地址
• FQDN
• NetBIOS名称与工作组中的IM正常通信，禁用McAfee Agent策略的“启用自我保护”。

安装要求

安装McAfee防病毒软件的要求是相同的。您还可以在McAfee ePO产品指南中找到在图像上包含代理的要求。

重要的是:

您必须在VDI模式下安装McAfee，使用framepkg.exe命令和下面步骤中描述的开关。这允许代理在关闭时从ePO注销注册，从而防止在ePO控制台中填充重复的主机名。有关此要求的更多信息，请参见McAfee KB87654．

根据McAfee版本的不同，您可能需要在安装McAfee代理后删除它的全局唯一标识符(GUID)。有关您正在使用的软件版本的更多信息，请参阅McAfee文档。

如果您计划使用操作系统层部署McAfee防病毒软件，请参考以下操作步骤。

把软件安装在黄金图像上

1. 使用以下命令将McAfee Agent软件以VDI模式安装到金映像上:

   framepkg.exe /安装/ enableVDImode =代理

   黄金映像将在ePolicy Orchestrator系统树系统列表中可见。

2. 在金色映像上安装McAfee VirusScan Enterprise软件:

   1. 当提示删除Windows防御器时，单击是的．

   2. 允许McAfee代理更新器完成更新。这个步骤可能需要几分钟才能完成。

   3. 点击完成以完成安装。

3. 安装完成后，开始扫描。允许扫描完成。

4. 更改McAfee Start值:

   1. 打开McAfee病毒扫描控制台，并禁用访问保护。

   2. 打开注册表编辑器(regedit)，到键:

      \[根键\ _LOCAL \ _MACHINE \ \系统\ \ CurrentControlSet \ \ Services \ \ mfehidk \]

   3. 退出注册表编辑器。

   4. 在McAfee病毒扫描控制台中，启用访问保护。

5. 如果McAfee在您的VDI设置中需要它，请删除代理的GUID(查看McAfee文档以确定是否需要此步骤):

   1. 打开注册表编辑器(regedit)。

   2. 删除以下注册表项:

      • 32位:

        HKEY_LOCAL_MACHINE \ SOFTWARE \网络伙伴\ \ AgentGUID ePolicy协调器\代理

      • 64位:

        HKEY_LOCAL_MACHINE \ SOFTWARE \ WoW6432Node \网络伙伴\ \ AgentGUID ePolicy协调器\代理

6. 出现提示时，重新启动金色映像，以允许McAfee安装它的驱动程序。

7. 关闭黄金图像，并将其导入到一个操作系统层。

在一个层上安装软件

如果您计划使用一层在App layer的桌面部署McAfee杀毒软件，请使用此过程。

1. 在App layers管理控制台中，创建一个层。

2. 当提示安装软件时，使用以下命令以VDI方式安装McAfee Agent软件。

   framepkg.exe /安装/ enableVDImode =代理

   安装完成后，在ePolicy Orchestrator系统树系统列表中可以看到打包机。

3. 在包装机上安装McAfee VirusScan Enterprise (VSE)软件。

   1. 如果系统提示您删除Windows防御器，请单击是的．

   2. 使用来自McAfee EPO服务器的文件在包装机器上安装VSE软件。否则，允许McAfee代理更新器完成更新。这个步骤可能需要几分钟才能完成。

   3. 点击完成以完成安装。

4. 更改McAfee Start值:

   1. 打开McAfee病毒扫描控制台，并禁用访问保护。

   2. 打开注册表编辑器，转到以下键，并从更改Start值0到一个1：

      [HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ \ mfehidk]服务

   3. 在McAfee病毒扫描控制台中，启用访问保护。

5. 如果McAfee在您的VDI设置中需要它，请删除代理的GUID(查看McAfee文档以确定是否需要此步骤):

   1. 打开注册表编辑器。

   2. 删除以下注册表项:

      32位:

      HKEY_LOCAL_MACHINE \ SOFTWARE \网络伙伴\ \ AgentGUID ePolicy协调器\代理

      64位:

      HKEY_LOCAL_MACHINE \ SOFTWARE \ WoW6432Node \网络伙伴\ \ AgentGUID ePolicy协调器\代理

6. 最终确定App层，并以通常的方式部署该层。

可能的互操作性问题

在安装了McAfee杀毒软件的App分层桌面上，可能会出现以下互操作性问题。

视频文件打开延迟

如果您将McAfee杀毒软件配置为扫描脚本文件，则在ie浏览器中打开视频文件时可能会出现长时间的延迟。

当您试图打开这些文件时，McAfee软件和应用程序分层试图同时对这些文件执行操作。此冲突将导致视频文件的运行延迟。所有其他窗口和应用程序继续正常工作。

如果遇到这种类型的延迟，请等待视频文件运行。最终，McAfee操作超时，App分层操作完成。

此问题不会影响杀毒软件对视频文件进行病毒检测。

带有McAfee层的桌面在ePolicy Orchestrator中是不可见的

如果您在ePolicy Orchestrator中看不到McAfee层的桌面，请使用以下McAffee知识库文章中的步骤来解决这个问题:如果在ePolicy Orchestrator目录下没有计算机，如何重置McAfee Agent GUID．

McAfee移动

以下介绍McAfee MOVE防病毒软件分层部署的操作步骤。

注意:

这些说明假设您在McAfee ePolicy Orchestrator (ePO)上安装和配置了McAfee MOVE杀毒软件。

部署McAfee MOVE防病毒软件时，需要将McAfee MOVE防病毒软件安装在某个应用程序层上，并将该应用程序层分配给已有的桌面。

以下版本的McAfee MOVE杀毒软件已经被Citrix测试，并被验证与应用程序分层工作。

• McAfee Agent for Windows，版本4.8.0.1938
• McAfee AV MOVE多平台客户端，版本3.6.0.347
• McAfee病毒扫描企业版，版本8.8.0.1247
• McAfee AV MOVE多平台卸载扫描服务器，版本3.6.0.347
• McAfee病毒扫描企业版，版本8.8.0.1445和8.8.0.1599
• McAfee AV MOVE多平台卸载扫描服务器，版本3.6.1.141和4.5.0.211

注意:

McAfee代理不会为远程桌面会话启动。

安装要求

在安装McAfee MOVE之前，请禁用Windows 7中的Windows Defender。

创建McAfee Agent MOVE AV CLIENT应用程序层

1. 在App layers管理控制台中，导航到>应用层>创建层．

2. 在App layers管理控制台中查看当前任务。的“Running”状态创建应用程序层< layer_name >的任务。当“创建应用层”的状态为< layer_name >任务更改为“必需的操作”，以管理员身份登录包装机器。

3. 使用McAfee ePolicy Orchestrator将McAfee Agent软件移动到包装机器。包装机器将在ePO系统树列表中可见，而McAfee图标将出现在包装机器的任务栏中。

4. 使用ePO上的“产品部署”任务在包装机器上安装McAfee MOVE AV[多平台]客户端。

5. 重新启动包装机器，然后以管理员身份登录。

6. 在“包装机器”上，删除名为的注册表项的值AgentGUID从以下地点之一:

   • 32位:HKEY_LOCAL_MACHINE \ SOFTWARE \网络伙伴\ ePolicy协调器\代理

   • 64位:HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \网络伙伴\ ePolicy协调器\代理

7. 关闭包装机。

8. 最终确定应用程序层。

Microsoft Security Essentials

下面介绍如何使用操作系统层或应用程序层部署应用程序层中的Microsoft Security Essentials防病毒软件。

App layers支持以下版本的Microsoft Security Essentials杀毒软件:

Microsoft Security Essentials 2012版本4.10.0209.0

• 防alware客户端版本:4.2.223.0
• 引擎版本:1.1.9901.0
• 防病毒定义:1.159.324.0
• 反间谍软件定义:1.159.324.0
• 网络检测系统引擎版本:2.1.9900.0
• 网络检测系统定义版本:108.1.0.0

部署方法

“Microsoft Security Essentials”防病毒软件的部署方式有以下两种:

• 在导入到操作系统层的黄金映像上安装软件。
• 在OS层版本安装软件。
• 在应用程序层安装软件。

安装要求

Microsoft Security Essentials杀毒软件以应用程序层金色图像、操作系统层版本或应用程序层形式显示。

启用Windows Update服务，但不使用Windows更新。更新必须保持禁用状态。

在应用程序分层层版本上为Windows 7配置Microsoft Security Essentials。

使用以下步骤在Windows 7(32位或64位)上配置Microsoft Security Essentials。

默认情况下，应用程序分层优化脚本禁用Windows更新服务。要在Windows 7上部署Microsoft Security Essentials作为操作系统或应用程序层，请执行以下步骤:

1. 创建操作系统或应用程序层版本。
2. 进入C:\windows\setup\scripts，运行应用程序分层优化脚本构建器。如果脚本构建器不可用，请从App layers Machine OS Tools ZIP文件中再次下载。
3. 在“应用程序分层优化脚本构建器”中，禁用“禁用Windows更新服务”。
4. 定型层。

更新服务启动类型更改为禁用来手册．Windows更新没有启用，这是应用程序分层的要求。

安装过程中需要检查服务。msc，并确保Windows Update Service启动类型设置为手册．如果不是，则将Windows Update Service启动类型更改为手册并重新启动Windows。

Microsoft Windows Essentials更新失败

如果由于禁用了Windows更新，Microsoft Security Essentials更新在桌面上失败，请尝试以下步骤。

• 在控制面板中启用Windows更新。Microsoft Security Essentials可以在桌面上自动更新。
• 如果您使用本地组策略编辑器禁用了Windows更新，请编辑注册表以删除本地组策略:

1. 运行注册表编辑器并删除本地组策略。
2. 重新启动机器。
3. 从控制面板启用Windows更新。

Sophos Cloud(所有支持的操作系统)

App layers支持以下版本:

• Sophos企业控制台5.4
• Sophos终端安全与控制10.6.3.537
• Sophos终端安全和控制11.5.2云

在开始之前，请创建并激活Sophos Cloud帐户Sophos文档．

在新版本的操作系统层上安装Sophos Cloud软件

1. 在App layers管理控制台中，选择> OS层>添加版本．

2. 当任务状态变为“必须执行的操作”时，请根据部署杀毒软件的通用指南．您可以在本文的开头部分找到这些信息。

3. 将包装机加入域。

   注意:

   Sophos安装程序创建组并将用户放入其中。确保包装机在域中。

4. 在包装机器上，登录到Sophos Cloud控制台。

5. 从您的Sophos Cloud帐户下载SophosInstall.exe。

   重要的是:

   不要使用通过电子邮件发送的安装程序进行此安装。

6. 在包装机上安装Sophos Cloud软件。

7. 当安装Sophos的任务完成(或指示需要一个Action)时，重新启动包装机。

8. 在Sophos Cloud控制台中，单击事件报告>．在继续之前，请确保Sophos Cloud管理计算机并确保它是最新的。

9. 停止并禁用以下Windows服务:

   • Sophos机器创建客户端
   • Sophos机器创建代理

10. 删除以下文件:

    • C: \ ProgramData \ Sophos \自动\ \ rms_cache缓存
    • C: \ ProgramData \ Sophos \自动\ \ savxp_cache缓存
    • C: \ ProgramData \ Sophos \自动\ \ ntp64_cache缓存
    • C: \ ProgramData \ Sophos \自动\ \ sau_cache缓存
    • C: \ ProgramData \ Sophos \自动\ \ ssp_cache缓存
    • C:\Windows\Temp\ sophos_autoupdate1.dir

    * *在Windows 7中

    Windows Server 2008 R2:**

    • C: \ ProgramData \ Sophos端点通信系统\ \坚持\ \管理凭证
    • C: \ ProgramData \ Sophos \ \坚持\ EndpointIdentity.txt管理通信系统\端点
    • C: \ ProgramData \ Sophos \管理端点通信系统\ \ * . xml
    • C: \ ProgramData \ Sophos \自动\ \ machine_ID数据

11. 编辑Sophos配置:

    1. 导航到操作系统的Sophos配置文件夹:

       Windows 7

       Windows Server 2008 R

       C: \ ProgramData \ Sophos \ Config \ \管理通信系统\端点

    2. 创建或打开一个名为registration.txt，并在该文件中添加以下行:

       (McsClient)

       令牌= value_of_MCS_REGISTRATION_TOKEN在哪里

       value_of_MCS_REGISTRATION_TOKEN是MCS_REGISTRATION_TOKEN的值，它标识您的Sophos Cloud帐户。从中提取此令牌的值SophosInstall.exe．

12. 编辑Sophos设置文件:

    1. 在以下文件夹中，创建一个名为SophosSetup.cmd．

       Windows 7

       Windows 2008 R2数据中心

       C:\Windows\Setup\scripts\kmsdir

    2. 向该文件添加以下行，包括双引号:

       sc config "Sophos MCS Client" start= auto . sh

       sc config "Sophos MCS Agent" start= auto . sh

       net start“Sophos MCS Client”

       net start“Sophos MCS Agent”

13. 编辑每次启动Sophos时运行的命令:

    1. 编辑文件c:\Windows\Setup\scripts\kmsdir\kmssetup.cmd。

    2. 将以下脚本添加到标记为，用于运行每次引导的命令．这个脚本运行SophosSetup。cmd文件。脚本的细节:

       REM将Sophos服务更改为自动-一次

       如果存在SophosSetup。cmd (

       回声!日期! ! ! -kmssetup.cmd:电话

       SophosSetup.cmd>> SophosSetuplog.txt

       SophosSetup打电话。cmd > > SophosSetuplog.txt

       SophosSetup副本。cmd SophosSetupCMD.txt >> SophosSetuplog.txt

       德尔SophosSetup。cmd > > SophosSetuplog.txt

       ）

14. 将包装机器加入到工作组。

15. 完成操作系统层。

Sophos防病毒软件—Windows 7、Windows 2008 R2桌面

介绍如何在新桌面或已有桌面部署Sophos防病毒软件。您可以将Sophos反病毒程序添加到黄金映像或操作系统层的某个版本。

这些程序是基于Sophos知识库文章编写的Sophos Windows 2000防病毒:将当前版本合并到磁盘映像中，包括用于克隆的虚拟机．

注意:

如果Sophos无法更新Sophos自动更新模块，则更新病毒签名更新也会失败。要允许Sophos更新它自己的更新程序，编辑你的OS层并删除这个目录:

C: \ ProgramData \ Sophos \自动缓存\ \分

部署方法

使用金色映像或OS层版本部署Sophos软件。不能将Sophos软件部署为应用程序层。Sophos创建一个用户帐户，用于在其管理的桌面上进行更新。应用程序分层支持金色图像或OS LayerVersion中的这些用户帐户。

配置金色镜像或OS层版本

1. 将Sophos软件安装在金色镜像或OS Layer版本上。

2. 如果使用金色图像，请在图像上安装应用程序分层工具。如果使用OS层版本，请跳过此步骤。

   当出现提示时，允许系统重新启动，但不要在安装完成后关闭金色映像。首先完成此过程的其余部分。

3. 仅停止和禁用以下Sophos服务。部署桌面时，将运行Mini-Setup。禁用指定的服务可以确保在Mini-Setup完成之前Sophos服务不会启动。

   • Sophos代理
   • Sophos自动更新服务
   • Sophos消息路由器

4. 打开注册表编辑器并删除pkc而且pkp以下键的值:

   Windows 32位系统

   HKLM \ Software \ Sophos私人\ \消息传递系统\路由器\HKLM \ Software \ Sophos \ \ ManagementAgent \私人\远程管理系统

   Windows 64位系统

   HKLM \ Software \ Wow6432Node路由器\ Sophos \消息传递系统\ \ \HKLM \ Software \ Wow6432Node \ Sophos \远程管理系统私人\ \ ManagementAgent \

5. 删除以下文件:

   C: \ ProgramData \ Sophos \自动\ \ machine_ID.txt数据C: \ ProgramData \ Sophos \自动\ \ \ status.xml状态数据

6. 重命名以下目录:

   来自:C: \ ProgramData \ Sophos \自动\ \ savxp缓存

   :C: \ ProgramData \ Sophos \自动\ \ savxp.copy缓存

   来自:C: \ ProgramData \ Sophos \自动缓存\ \ rms

   :C: \ ProgramData \ Sophos \自动\ \ rms.copy缓存

   重命名目录是必需的，因为App layers阻止尝试重命名存在于金映像上的目录。Sophos更新要求重命名这些目录。

7. 创建一个名为SophosSetup的文件。将其放入C:\Windows\Setup\scripts\kmsdir文件夹中。(如果该文件夹不存在，则创建它)。

8. 在SophosSetup.cmd中添加以下行。包括如下所示的双引号。

   “c:\ProgramData\Sophos\AutoUpdate\Cache”xcopy savxp.copy*。* savxp *。＊/s/y xcopy rms.copy*.* rms*.* /s/y sc config "Sophos Agent" start= auto sc config "Sophos AutoUpdate Service" start= auto sc config "Sophos Message Router" start= auto net start "Sophos Agent" net start "Sophos AutoUpdate Service" net start "Sophos Message Router" cd "c:\Windows\Setup\scripts\kmsdir" popd 

9. 编辑c:\Windows\Setup\scripts\kmsdir\kmssetup.cmd文件，并将以下脚本添加到标有“运行每次引导的命令”的部分。这个脚本运行SophosSetup。cmd文件。

   kmssetup的例子。使用Sophos脚本:

   如果存在sophosetup，将Sophos Service更改为Automatic - once。CMD (echo !date!- time!-kmssetup. CMD)cmd: SophosSetup打电话。cmd >> SophosSetuplog.txt调用SophosSetup. cmd命令。cmd > > SophosSetuplog.txtDel SophosSetupCMD.txt >> SophosSetuplog.txt Copy SophosSetup.cmd SophosSetupCMD.txt >> SophosSetuplog.txt Del SophosSetup.cmd >> SophosSetuplog.txt ) 

10. 如果你使用的是黄金映像，请关闭黄金映像，并使用App layers管理控制台创建一个操作系统层。金色图像导入到新的OS层。

    如果您使用的是OS层版本，请最终确定版本。

11. 若要受保护，请额外重启持久桌面一段时间。使用App layers管理控制台重新启动桌面。

可选:调整安全标识

在将黄金映像导入到OS层之后，可能需要更新安全标识符(SID)值。为此，为OS层创建一个版本，以便在一个Sophos配置文件中更新SID。下面的Sophos知识库文章解释了如何在一个Sophos配置文件中更新安全标识符(SID)值:

您没有足够的权限来运行Sophos端点安全和控制主应用程序。你不是任何索福斯组织的成员．

我什么时候调整SID?

如果在操作系统层部署桌面，用户无法打开终端安全与控制用户界面，调整SID。

SID调整过程

您可以在将金色图像导入到一个图层之前或之后执行这些步骤。如果您导入了金色图像，您可以通过编辑最新的OS层版本来执行这些步骤。您还可以创建OS层的修订版。

调整SID

1. 下载脚本文件称为UpdateSID.vbs来自Sophos网站。将此文件放入C:\Windows\Setup\Scripts目录．部署桌面后，需要这个脚本来修复机器ID。

2. 编辑该文件C:\Windows\Setup\Scripts\ SophosSetup.cmd，并在文件末尾添加以下两行:

   cd \ Windows \安装\脚本

   cscript.exe UpdateSID。根据B / /

3. 如果脚本为操作系统层版本，请最终确定版本。

您现在可以使用这个版本的OS层创建桌面。确保桌面能够按时连接企业控制台、注册和更新。

赛门铁克端点保护

您可以使用以下任何一种方法部署赛门铁克端点保护应用程序:

• 在黄金映像上安装应用程序，然后将黄金映像导入到操作系统层。
• 将应用程序安装为OS层版本。
• 将应用程序作为应用程序层的一部分安装。

注意:

Citrix建议在应用分层部署中使用实时扫描。在将文件标记为“干净”之后，赛门铁克共享洞察力缓存通过不再扫描层中的文件来提高性能。

Citrix支持以下Symantec Endpoint Protection版本的客户端和管理器:

• 12和12.1
• 12.1.4
• 12.1.5
• 12.1.6(12.1 RU6 MR6) build 7004 (12.1.7061.6600)
• 14mp1 (14.0.2332)
• 14.2

注意:

不支持赛门铁克端点保护12.1.2和12.1.3，因为赛门铁克的一个问题会阻止应用程序分层正常工作。

赛门铁克端点保护在应用程序分层桌面上的行为

使用赛门铁克端点保护管理器安装软件

本步骤采用“计算机模式”部署方式，将策略应用到整个桌面。

1. 在赛门铁克端点保护管理器中，找到应用程序的操作系统映像或包装机器，并登录:

   • 操作系统镜像，如果你使用操作系统层
   • 包装机如果使用应用层或应用层改版

   1. 选择客户端>找到非托管计算机．

   2. 在打开的窗口中键入适当的搜索条件。

   3. 安装软件。

   注意:

   安装软件后，系统会提示您重新启动Symantec Endpoint Protection Manager。如果在第1步中这样做，可能会导致启动SEP服务时出现问题。继续安装过程，并在步骤5中重新启动Symantec Endpoint Protection Manager。

2. 登录到包装机并禁用篡改保护．

3. 禁用“隐身”保护的注册表项。即使启用了用户帐户控制(UAC)，也可以进行扫描。确保注册表中的以下设置正确。如果注册表中不存在这些值，则添加它们。

   • 32位机器:

     赛门铁克软件\ [HKEY_LOCAL_MACHINE \ \赛门铁克端点保护\ AV \常见)

     "ScanStealthFiles" = (REG_DWORD) 0

   • 对于64位机器:

     赛门铁克软件\ Wow6432Node \ [HKEY_LOCAL_MACHINE \ \赛门铁克端点保护\ AV \常见)

     "ScanStealthFiles" = (REG_DWORD) 0

4. 使用regedit，更改每个ccSettings GUID的Group和Tag值。

   1. 转到以下键:

      \ [HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \服务ccSettings_ {GUID}]

      如果不止一个ccSettings_ {GUID}从第一个开始。

   2. 为每一个ccSettings_ {GUID}，更改Group值FSFilter底部来FSFilter虚拟化．

   3. 将第一个GUID的Tag值更改为8，并为后面每个GUID的值添加1。下一个GUID的值是9，然后是10，以此类推。

      注意:

      当您第一次安装赛门铁克时，有一个“ccSettings_{GUID}”。每次升级应用程序时，赛门铁克都会添加另一个GUID。

5. 重新启动包装机或黄金映像。然后，根据需要经常重新启动Packaging Machine，直到安装后重新启动请求不再出现在App layers管理控制台中。

6. 启用篡改保护．

7. 对于SEP 12.1及以后版本，请参阅下面知识库文章中的说明，准备机器以在VDI环境中部署软件。有关更多信息，请参见文章如何为克隆准备端点保护客户机．

8. 完成应用程序或操作系统层，或关闭并导入金色图像。

9. 如果您需要使用SEP虚拟映像例外(VIE)工具，请参阅文章，使用SEP虚拟映像异常(VIE)工具的建议。

在部署赛门铁克软件期间，应用程序分层软件将多次重新构建桌面或包装机器映像。次数取决于如何部署赛门铁克应用程序。这种行为是意料之中的，因为赛门铁克端点保护软件在初始安装期间不会完成引导级组件的完整配置。

对于客户端-服务器的部署

赛门铁克端点保护软件:

• 安装一些必需的驱动程序并重新启动桌面或包装机。
• 更新其他组件并重新启动桌面或包装机。
• 完成安装并再次重新启动桌面或包装机。
• 部署到桌面

如果将赛门铁克软件部署到非持久桌面，请在创建桌面时包含该软件。如果将包含赛门铁克端点保护的应用程序层添加到现有的非持久桌面，则每个桌面将在赛门铁克端点保护管理器中显示两个条目。

在以下场景中，赛门铁克端点保护控制台中会出现名称不同的同一机器的两个实例:

• 在Windows 2008 R2上使用赛门铁克端点保护应用程序层创建持久桌面
• 分配应用程序层到一个现有的桌面

只有一个名字是正确的。第二个名称是临时名称，没有被删除。要解决此问题，您可以删除X天未连接的客户端。

删除客户

1. 在赛门铁克端点保护控制台中，转到管理页面,选择域．
2. 下任务中,选择编辑域属性．
3. 在编辑域属性窗口，在默认一般选项卡上,单击删除指定时间内未连接的客户端．Citrix建议大型企业环境为7-14天。
4. 有关更多信息，请参见本文中的解决方案2重复的SEP客户端出现在赛门铁克端点保护管理器控制台中．

赛门铁克帮助(SymHelp)诊断工具注意事项

如果将赛门铁克端点保护部署在一个层中，则赛门铁克帮助(SymHelp)诊断工具要求您在统一端点保护中放置两个文件。使用以下行创建一个脚本，并在应用Symantec层时将其路径放在脚本路径中。

C:\ProgramData\赛门铁克\赛门铁克Endpoint Protection\CurrentVersion\Data\IRON" copy IRON .db IRON .db.save copy IRON .db.save IRON .db /y copy RepuSeed. db。irn RepuSeed.irn.save复制RepuSeed.irn.save RepuSeed。Irn /y popd 

Trend Micro OfficeScan

本文档以应用程序层和操作系统层部署趋势科技OfficeScan防病毒软件为例进行介绍。这些过程基于趋势科技关于在VDI环境中部署桌面的文档。

Citrix App分层支持趋势科技防毒墙网络版客户端和服务器版本11.0.6054。

部署方法

部署趋势科技防病毒软件有以下两种方式:

• 将软件安装在一个金色图像上，并将其导入到一个新的操作系统层。
• 在OS层版本安装软件。
• 在一个应用层上安装软件，并将该层分配给新的或已有的桌面。

重要的是:

如果在金版镜像或OS层版本上安装趋势科技防毒墙网络版，请运行防毒墙网络版TCacheGen.exe以下文件:

• 黄金图像或操作系统层。
• 在每个使用金色图像的应用程序层或操作系统层

每次创建应用程序层或层版本时，运行TCacheGen.exe在每个使用包含趋势科技防毒墙网络版的操作系统层上安装防毒墙网络版。

在你运行TCacheGen.exe，请勿再次运行包装机。

你可以复制TCacheGen.exe如趋势科技文档中所述。通常，此文件位于\ \ < TrendServerName > \ ofcscan \ Admin \ \ TCacheGen效用文件夹中。

在金图像上安装趋势科技

在将金图导入操作系统层之前，请先删除趋势科技软件的GUID (global Unique Identifier)。安装App分层机床时，系统会重新启动并创建GUID。因此，请先安装Machine Tools，允许安装过程重新启动机器，然后删除GUID。

有关更多信息，请参见趋势科技文档“配置防毒墙网络版(OSCE) VDI客户端/代理”。在安装该软件时，了解趋势科技的建议是很重要的。

1. 在金色图像上安装应用程序分层机床。
2. 安装趋势科技防毒墙网络版客户端

3. 按照趋势科技文档中的说明，从防毒墙网络版服务器复制TCacheGen.exe文件。通常，文件位于以下文件夹中:

   \ \ < TrendServerName > \ ofcscan \ Admin \ \ TCacheGen效用

4. 运行TCacheGen.exe正如趋势科技文档中描述的那样。
5. 点击从模板中移除GUID然后点击好吧．
6. 关闭黄金图像。

7. 使用金色图像创建一个操作系统层。

   重要的是:

   每当向此层添加一个版本时，必须运行TCacheGen.exe并重新删除GUID。当您执行这些操作时，它将确保使用该层的桌面正常运行。

在应用程序层上安装软件

1. 在App layers管理控制台中，创建一个层。

2. 出现提示时，在打包机器上安装趋势科技防毒墙网络版客户端。

   安装趋势科技防毒墙网络版11时，任务状态变为行动要求,禁用预防未经授权的改变服务,如下:

   1. 在防毒墙网络版服务器上，双击防毒墙网络版Web控制台(HTML)链接，打开趋势Web控制台。

   2. 在“趋势Web控制台”中，选择Agents > Agent Management．

   3. 右键单击OfficeScan Server并选择设置>其他服务设置．的额外的服务设置窗口打开。

   4. 下防止未经授权的更改服务、清晰请在以下操作系统上启用服务．

   5. 在web控制台中，选择Agent > Agent Installation > Remote．

   6. 在寻找端点，输入包装机的IP地址，然后按输入．

   7. 输入Packaging Machine的本地管理员用户名和密码，然后单击登录．

   8. 点击安装将OfficeScan Agent安装到目标计算机上，单击好吧在确认对话框中。确认消息确认发送通知的代理的数量，以及验证这些通知的接收的代理的数量。

   9. 在OfficeScan Web控制台界面，跳转到Agents > Agent Management．点击工作组，然后选择包装机名称。

   10. 禁用预防未经授权的改变您正在使用的组的服务。右键单击包装机器并选择设置>其他服务设置．打开附加服务设置窗口。

3. 下未经授权的预防服务、清晰请在以下操作系统上启用服务。

4. 如果出现提示，请重新启动打包机器以允许重新构建引导映像。

5. 包装机重新启动后，复制TCacheGen.exe从防毒墙网络版服务器下载。有关更多信息，请参阅趋势科技文档。通常，文件位于以下文件夹中:

   \ \ TrendServerName \ \ TCacheGen ofcscan \ Admin \效用

6. 运行TCacheGen.exe。有关更多信息，请参阅趋势科技文档。

7. 点击从模板中删除GUID然后点击好吧．

8. 定型层。

   重要的

   在此层中添加一个版本时，必须运行TCacheGen.exe并重新删除GUID。这样做可以确保使用该层的桌面正常运行。