配置上传文件的防病毒扫描
重要的是:
由于StorageZones 4.2中应用程序代码的更新,一些客户必须将工具运行的权限级别从本地管理员更新到系统网络服务。更新权限失败将导致防病毒扫描无法启动。
需求/总结
- 使用StorageZones Controller 4.2或更高版本的用户
- SFAntivirus必须使用PSExec作为网络服务运行
- 更新日志文件位置
使用PSExec将SFAntivirus作为网络服务运行:
更新到SZ 4.2或更高版本并具有连接到SFAntivirus的现有计划任务的客户端需要将工具运行的用户级别从本地管理员更改为系统网络服务。
如果需要获取Network Service Rights,请在与存储区域控制器相同的用户环境下,使用PSExec启动PowerShell (x86),并执行如下命令获取Network Service Rights:
PsExec.exe -i -u "NT AUTHORITY\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell
更新日志文件位置
管理员还必须通过编辑log4net来更改日志文件的位置。如果他们登录到默认SZC日志目录之外的目录,通过修改下面的行:
\ <文件价值= " . . \ \ . .\ \ SC \ \ logs \ \ avscantool -”/ \ >
存储区域控制器安装包括几个支持反病毒扫描的文件。这些文件默认安装在C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus目录下。
自定义配置文件并使用Windows任务调度器(Windows Task Scheduler)按照以下步骤安排扫描后,每次文件上传请求都会导致存储区域控制器将该文件排队进行防病毒扫描。如果报告扫描文件的问题,Folders视图将包含该文件的警告图标。如果用户试图下载该文件,则会出现警告消息。
从StorageZones Controller 4.0开始,可以配置防病毒日志文件的位置。要修改日志位置,请编辑C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus. exe.config文件。
防病毒扫描不会删除该文件。
在StorageZones Controller 4.2或更高版本上,支持将ICAP协议与已编码为ICAP RFC标准的防病毒扫描平台一起使用。有关配置ICAP AV的信息可以在本文后面找到。
先决条件
- 如果要在存储区域控制器上运行病毒扫描(SFAntiVirus.exe),请确保在控制器上禁用了加密:在存储区域控制台配置页上,验证启用加密复选框被清除。
注意:
在您的区域上配置防病毒后,任何新上传的项目都会被扫描。防病毒配置不具有追溯力。配置它不会扫描区域中已经存在的文件和项。
准备位置的配置
要在存储区域控制器以外的服务器上运行病毒扫描:
拷贝文件夹C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus到另一个服务器。
在存储区控制器上,打开C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease。设置QueueSDKRestricted为0:
在运行病毒扫描的服务器上,使用存储区域控制器配置的值编辑SFAntiVirus.exe.config:
对于CommandFile:指定杀毒软件的全路径。该软件必须与ShareFile防病毒文件夹位于同一台服务器上。
对于CommandOptions和返回码:此处以配置文件中的命令行设置为例。为防病毒软件和环境提供适当的设置。
对于ScanFileTimeout:较大的文件扫描需要更长的时间。根据存储中预期的文件大小调整此设置。否则,这可能会增加大文件未被扫描的风险。
在命令行窗口中运行以下命令设置病毒扫描:
sfanti .exe -register SFusername SFpassword
使用ICAP进行AV扫描,而不是使用命令行工具
存储区域控制器5.3及以上版本支持使用ICAP协议和已编码为ICAP RFC标准的防病毒扫描平台。如果客户愿意,他们仍然可以使用CLI方法。存储区域控制器5.0.1及更高版本的租户区域支持该特性。
要在存储区域控制器上启用ICAP AV扫描仪,请导航到存储区域控制器配置页面。
选择启用防病毒集成复选框,并在中输入防病毒服务器的地址Icap respmod url字段。这是ICAP响应修改服务的URL:毅联汇业:/ /服务器/ RESPMOD.
点击测试连接确认您的设置。
创建并调度病毒扫描任务
注意:
仅在使用命令行工具时才需要为病毒扫描创建定时任务。这在使用ICAP时是不需要的。
启动Windows任务调度器,然后在行动窗格中单击创建任务.
在一般标签:
为任务提供有意义的名称。
下安全选项,点击更改用户或组,并指定运行该任务的Windows用户。用户必须对存储位置具有完全访问权限。
选择不管用户是否登录,都要运行.离开不要储存密码复选框已清除。
选择以最高权限运行.
从配置菜单,选择要运行任务的服务器的操作系统。
要创建触发器:在触发器选项卡上,单击新.然后,对于开始任务,选择按照时间表并指定一个时间表。
创建动作:在行动选项卡上,单击新.
为行动,选择开始一个程序,并指定该程序的完整路径。例如:
C: \ inetpub \ wwwroot \ \ Citrix \ \ StorageCenter \ \ \ \ SFAntiVirus \ \ SFAntiVirus.exe工具对于“从中开始”,请指定SFAntiVirus.exe的位置:
C: \ inetpub \ wwwroot \ \ Citrix \ \ \ \ SFAntiVirus StorageCenter \ \工具
在设置选项卡,如果任务已经在运行,则适用以下规则,选择不启动一个新实例.
AV命令行集成到扫描服务
先决条件
- 在安装或升级存储区域控制器5.2之前,如果现有命令行AV作为计划任务或cron运行,请确保停止或删除它。
- 在主机上安装. net 4.6.2(或更高版本)。
本地存储区域控制器中的扫描服务包括支持使用命令行反病毒工具,如赛门铁克命令行反病毒扫描。此外,扫描服务提供带有ICAP支持的防病毒产品的扫描。
开启该功能需要在“AntiVirus/OnPrem/AVScanService/AVScanService/appSettings.config”中添加如下配置键和值
命令行工具特定的配置
存储区域控制器5.2的升级或新安装包含一个新的配置文件:
防病毒/ OnPrem AVScanService / AVScanService / avCommandLineSettings.json
该文件处理AV命令行的必要设置。
下面将解释配置键值,其中包括示例值。
将这个点设置为命令行应用程序。
:“命令文件c: \ \ \ \ vscan \ \ \ \ scan.exe”查看命令行应用程序的文档,了解它支持哪些选项或开关,然后将它们添加到这个位置。
"command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",包括表示干净扫描的输出值。
"scanner-codes-for-clean-file": " 0,19 ",包含指示受感染文件的输出值。
"scanner-code -for-infected file": " 12,13 ",包含指示未扫描文件的输出值。
"scanner-codes-for-not - scanning -file": " 2,6,8,15,20,21,102 "
关于强制最大文件大小(不包括扩展名)的注意事项
在5.2版本之前,您不能在命令行AV上强制扩展排除或最大文件大小强制。您只能在ICAP Scan服务上这样做。在5.2版本中,应用于ICAP扫描服务的有关排除扩展名和以字节为单位的最大文件大小的相同设置也应用于AV命令行服务。
这些设置被命名为:
存储区域控制器5.2的新安装将这些设置重命名为以下内容。重命名的设置反映了这样一个事实:它们既适用于基于icap的反病毒,也适用于命令行反病毒。
在升级时,这些设置不会重命名。虽然手动重命名可以工作,但除了ICAP之外,相同的设置也适用于AV命令行。