エンドポ▪▪ントのセキュリティとウ▪▪ルス対策のベストプラクティス

概要

この記事ではCitrix虚拟应用程序和桌面環境でウイルス対策ソフトウェアを構成するためのガイドライン,および他のCitrixテクノロジーおよび機能(云连接器,供应服务など)でウイルス対策ソフトウェアを構成するためのリソースについて説明します。誤ったウ▪▪ルス対策設定は，フィ▪▪ルドで見られる最も一般的な問題の1▪▪です。その結果,パフォーマンスの問題やユーザーエクスペリエンスの低下から,さまざまなコンポーネントのタイムアウトや障害に至るまで,さまざまな問題が発生する可能性があります。

この科技论文では,仮想環境における最適なウイルス対策展開に関連するいくつかの主要なトピック(エージェントのプロビジョニングとプロビジョニング解除,シグニチャの更新,推奨される除外とパフォーマンスの最適化)について説明します。これらの推奨事項を正しく実装するには，ウルス対策ベンダとセキュリティチムによって異なります。より具体的な推奨事項を入手するには，それらを参照してください。

警告！この資料には，ウ。ウ@ @ルス対策の除外と最適化によって、システムの攻撃対象領域が増え、コンピュータがさまざまなセキュリティ脅威にさらされる可能性があることを理解することが重要です。ただし、次のガイドラインは、通常、セキュリティとパフォーマンスの間の最良のトレードオフを表しています。セキュリティとパフォーマンスのトレードオフを徹底的に理解するために、ラボ環境で厳格なテストが行われるまでは、これらの除外または最適化を実装することはお勧めしません。また、組織ではウイルス対策チームとセキュリティチームと協力して、本番環境の展開を進める前に、以下のガイドラインを確認することをお勧めします。

エ，ジェント登録

プロビジョニングされたすべての仮想マシンにインストールされるエージェントソフトウェアは,通常,管理,ステータスのレポート,およびその他のアクティビティのために,中央サイトに登録する必要があります。登録が成功するためには，各エ，ジェントが一意に識別できる必要があります。

提供服务(pv)や机创建服务(MCS)などのテクノロジーを使用して単一のイメージからマシンをプロビジョニングする場合,各エージェントがどのように識別されるか,および仮想化環境に必要な指示があるかを理解することが重要です。ベンダーによっては,MACアドレスやコンピュータ名などの動的情報をマシン識別に使用するものもあります。他のものは，。競合する登録を防ぐために，各マシンは一意の識別子を生成する必要があります。非永続環境での登録は,多くの場合,永続的な場所からマシン識別データを自動的にリストアする起動スクリプトを使用して行われます。

より動的な環境では,クリーンアップが手動操作である場合,またはクリーンアップが自動的に実行されるかどうか,マシンのプロビジョニング解除がどのように動作するかを理解することも重要です。一部のベンダーは,ハイパーバイザーやデリバリーコントローラとの統合を提供しており,プロビジョニング時にマシンを自動的に作成または削除できます。

推奨事項:セキュリティベンダ，に，エ，ジェントの登録/登録解除はどのように実装されていますか。単一イメージ管理の環境で,登録手順がさらに必要な場合は,イメージシール手順にこれらの手順を含めて,できれば完全に自動化されたスクリプトとしてください。

署名の更新

タイムリーに一貫して更新される署名は,エンドポイントセキュリティソリューションの最も重要な側面の1つです。ほとんどのベンダーは,保護された各デバイスに保存されている,ローカルにキャッシュされ,増分的に更新された署名を使用します。

非永続的なマシンでは，署名の更新方法と保存場所を理解することが重要です。これにより，マルウェアがマシンに感染する可能性を理解し，最小限に抑えることができます。

特に,更新は増分ではなく,かなりのサイズに達する可能性がある状況では,リセットとイメージの更新の間に更新キャッシュを維持するために,永続的なストレージを非永続的な各マシンに接続した展開を検討できます。この方法を使用すると,商談ウィンドウと定義の更新によるパフォーマンスへの影響を最小限に抑えることができます。

プロビジョニングされた各マシンのシグニチャの更新以外に,マスターイメージを更新するための戦略を定義することも重要です。このプロセスを自動化することをお勧めします。では，マスタ;これは，各仮想マシンに必要なトラフィック量を最小限に抑える増分更新で特に重要です。

仮想化環境での署名の更新を管理するもう1つのアプローチは,分散型シグニチャの性質を一元化されたスキャンエンジンで完全に置き換えることです。これは主にウイルス対策によるパフォーマンスへの影響を最小限に抑えるために行われていますが,シグニチャの更新を一元化するという側面もあります。

推奨事項:ウ▪▪ルス対策で署名がどのように更新されるかをセキュリティベンダ▪▪に問い合わせてください。予想されるサ@ @ズと頻度はどれくらいですか。また，更新は増分ですか。非永続的な環境に関する推奨事項はありますか

パフォ，マンスの最適化

ウイルス対策は,特に不適切に構成されている場合は,スケーラビリティと全体的なユーザーエクスペリエンスに悪影響を及ぼす可能性があります。したがって，パフォ，マンスの影響を理解し，その原因とその最小化方法を判断することが重要です。

利用可能なパフォマンスの最適化戦略とアプロチは，ウルス対策ベンダや実装によって異なります。最も一般的で効果的なアプローチの1つは,集中型のオフロードウイルス対策スキャン機能を提供することです。各マシンがサンプル(しばしば同一の)スキャンを担当するのではなく,スキャンは集中管理され,1回だけ実行されます。このアプロ，チは仮想化環境に最適化されていますが，高可用性への影響を理解してください。

専用アプラ

もう1つのアプローチは,プロビジョニング前にマスターイメージに対して実行される,ディスクの読み取り専用部分の事前スキャンに基づいています。これがオポチュニティウィンドウにどのように影響するかを理解することが重要です(たとえば,ディスクにすでに感染ファイルが含まれているが,事前スキャン段階で署名を使用できない場合はどうなりますか)。この最適化は，多くの場合，書き込み専用esc escベントのスキャンと組み合わされます。これは,すべての読み取りは,事前にスキャンされたディスク部分から,または書き込み操作中にすでにスキャンされたセッション固有の書き込みキャッシュ/差分ディスクから実行されます。多くの場合,リアルタイムスキャン(最適化)と定時スキャン(システムのフルスキャン)を組み合わせることが,適切な妥協点となります。

最も一般的なスキャンの最適化は，仮想マシン間の違いだけに焦点を当てることである

推奨事項:パフォ，マンスの最適化により，ユ，ザ，エクスペリエンスを大幅に向上させることができます。しかし，彼らはまた，セキュリティ上のリスクとみなすことができます。したがって，ベンダ，およびセキュリティチ，ムとの相談をお勧めします。仮想化環境向けのソリューションを提供するほとんどのウイルス対策ベンダーは,最適化されたスキャンエンジンを提供しています。

ウ@ @ルス対策の除外

ウイルス対策の最も一般的な(そして最も重要な)最適化は,すべてのコンポーネントのウイルス対策除外を適切に定義することです。一部のベンダーでは,Citrixコンポーネントを自動的に検出して除外を適用できますが,ほとんどの環境では,管理コンソールでウイルス対策用に構成する必要がある手動タスクです。

通常，リアルタ。ただし,スケジュールスキャンを使用して,除外されたファイルやフォルダーを定期的にスキャンすることをお勧めします。パフォーマンスへの影響を軽減するには,業務時間外またはピーク時以外の時間帯に定時スキャンを実行することをお勧めします。

除外されたファesc escルとフォルダの整合性は，常に維持する必要があります。組織では,市販のファイル整合性監視またはホスト侵入防止ソリューションを使用して,リアルタイムスキャンまたはオンアクセススキャンから除外されたファイルとフォルダの整合性を保護することを検討できます。データベースファイルとログファイルは,変更されることが予想されるため,このタイプのデータ整合性監視では除外されます。フォルダー全体をリアルタイムスキャンまたはオンアクセススキャンから除外する必要がある場合は,除外フォルダーに新しいファイルの作成を注意深く監視することをお勧めします。

ロカルドラブのみをスキャンするか，ネットワクスキャンを無効にします。ユーザープロファイルとリダイレクトされたフォルダーをホストするファイルサーバーを含むすべてのリモートロケーションが,ウイルス対策およびデータ整合性ソリューションによって監視されることを前提としています。そうでない場合は,プロビジョニングされたすべてのマシンがアクセスするネットワーク共有を除外することをお勧めします。たとえば，リダレクトされたフォルダまたはユザプロファルをホストする共有が含まれます。

推奨事項:ベンダ，およびセキュリティチ，ムに，これらの推奨事項を確認します。

• 除外ポリシーを作成する前に,すべてのファイル/フォルダで除外を確認し,それらが存在することを確認します。
• すべてのコンポーネントに対して1つの大きなポリシーを作成する代わりに,異なるコンポーネントに対して複数の除外ポリシーを実装します。
• オポチュニティのウィンドウを最小化するには,リアルタイムスキャンと定時スキャンの組み合わせを実装します。

虚拟应用和桌面

交付控制器

ファ电子邮箱ル:

• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaDatabaseName.mdf（7.12+)
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaImportDatabaseName.mdf（7.12+)
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaDatabaseName_log.ldf（7.12+)
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaImportDatabaseName_log.ldf（7.12+)

フォルダ:

• % ProgramData % \ Citrix \代理\缓存(7.6 +)

プロセス:

• % ProgramFiles % \ \ BrokerService.exe Citrix \代理\服务
• % ProgramFiles % \ Citrix \代理\服务\ HighAvailabilityService.exe (7.12 +)
• % ProgramFiles % \ Citrix \ ConfigSync \ ConfigSyncService.exe (7.12 +)

虚拟送货代理

ファ电子邮箱ル:

• 当地% UserProfile % \ AppData \ \ Temp \ Citrix \ HDXRTConnector \ * \ * . txt

プロセス:

• \Citrix\用户配置文件管理器\UserProfileManager.exe
• %ProgramFiles%\Citrix\虚拟桌面代理\BrokerAgent.exe
• % SystemRoot % \ System32系统\ spoolsv.exe
• % SystemRoot % \ System32系统\ winlogon.exe
• % ProgramFiles % \ Citrix \ ICAService \ picaSvc2.exe(デスクトップosのみ)
• % ProgramFiles % \ Citrix \ ICAService \ CpSvc.exe(デスクトップosのみ)

WebSocketService.exeファイルは,さまざまなCVADバージョンの異なる場所で見ることができます。以下は，サポ，トされているltsrリリ，スと最新のcrリリ，スのリストです。他のバ，ジョンのcvadを実行している場合は，まずファ，ルの場所を確認することをお勧めします。

• \Citrix\HTML5视频重定向\WebSocketService.exe(cvad 7.15 ltsr -デスクトップとサ，バ，osの両方)
• % ProgramFiles (x86) % \ Citrix \ System32系统\ WebSocketService.exe(c瓦德1912 ltsr -サ，バosのみ)
• % ProgramFiles % \ Citrix \ ICAService \ WebSocketService.exe(cvad 1912 ltsr -デスクトップosのみ)
• % ProgramFiles (x86) % \ Citrix \ HDX \ bin \ WebSocketService.exe(c瓦德2003+-デスクトップとサバosの両方)

仮想配信エ，ジェント-HDX RealTime优化包

ファ电子邮箱ル:

• 当地% UserProfile % \ AppData \ \ Temp \ Citrix \ RTMediaEngineSRV \ MediaEngineSRVDebugLogs * * . txt

プロセス:

• \Citrix\HDX RealTime Connector\ audiotranscode .exe
• \Citrix\HDX RealTime Connector\MediaEngine.Net.Service.exe
• \Citrix\HDX RealTime Connector\ mediaengineeservice .exe .exe

工作空间アプリ/Receiver for Windows

ファ电子邮箱ル:

• 当地% UserProfile % \ AppData \ \ Temp \ Citrix \ RTMediaEngineSRV \ MediaEngineSRVDebugLogs \ * \ * . txt

プロセス:

• % ProgramFiles (x86) % \ Citrix \ \ MediaEngineService.exe ICA客户机(HDX实时优化包)
• % ProgramFiles (x86) % \ Citrix \ \ CDViewer.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ concentr.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ wfica32.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ AuthManager \ AuthManSvr.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ SelfServicePlugin \ SelfService.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ SelfServicePlugin \ SelfServicePlugin.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ HdxTeams.exe ICA客户机(Microsoft TeamsのWorkspaceアプリ2009.5以前の最適化)

• % ProgramFiles (x86) % \ Citrix \ \ HdxRtcEngine.exe ICA客户机(Microsoft TeamsのWorkspaceアプリ2009.6以降の最適化)

  注：

  Citrix工作区アプリでは，通常，これらの除外は必須ではありません。これらのニーズは,ウイルス対策が通常よりも厳しいポリシーで構成されている環境,または複数のビジネスセキュリティエージェントが同時に使用されている状況(AV、DLP、臀部など)でのみ必要となります。

プロビジョニング

配置サ，バ，

ファ电子邮箱ル:

• * .vhd
• * .avhd
• * .vhdx
• * .avhdx
• * .pvp
• * .lok
• % SystemRoot % \ System32系统\ \ CvhdBusP6.sys司机(Windows Server 2008 R2)
• % SystemRoot % \ System32系统\ \ CVhdMp.sys司机(Windows Server 2012 R2)
• % SystemRoot % \ System32系统\ \ CfsDep2.sys司机
• % ProgramData % \ Citrix \ \ Tftpboot \ ARDBP32.BIN供应服务

プロセス:

• % ProgramFiles % \ Citrix \ \ BNTFTP.EXE供应服务
• % ProgramFiles % \ Citrix \ \ PVSTSB.EXE供应服务
• % ProgramFiles % \ Citrix \ \ StreamService.exe供应服务
• % ProgramFiles % \ Citrix \ \ StreamProcess.exe供应服务
• % ProgramFiles % \ Citrix \ \ soapserver.exe供应服务
• % ProgramFiles % \ Citrix \ \ Inventory.exe供应服务
• % ProgramFiles % \ Citrix \ \ Notifier.exe供应服务
• % ProgramFiles % \ Citrix \ \ MgmntDaemon.exe供应服务
• % ProgramFiles % \ Citrix \ \ BNPXE.exe供应服务(pxeが使用されている場合のみ)

タゲットデバスのプロビジョニング

ファ电子邮箱ル:

• .vdiskcache
• vdiskdif.vhdx(オ，バ，フロ，を伴うRAMキャッシュを使用する場合，7.x以降)
• % SystemRoot % \ System32系统\ \ bnistack6.sys司机
• % SystemRoot % \ System32系统\ \ CfsDep2.sys司机
• % SystemRoot % \ System32系统\ \ CVhdBusP6.sys司机
• % SystemRoot % \ System32系统\ \ cnicteam.sys司机
• % SystemRoot % \ System32系统\ \ CVhdMp.sys司机（7.Xのみ)

プロセス:

• % ProgramFiles % \ Citrix \ \ BNDevice.exe供应服务

店面

ファ电子邮箱ル:

• % SystemRoot % \ ServiceProfiles \ NetworkService \ AppData \漫游\ Citrix \ SubscriptionsStore \ * * \ PersistentDictionary.edb

プロセス:

• % ProgramFiles % \ Citrix \接收机店面\ \ SubscriptionsStoreService \ Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe服务
• % ProgramFiles % \ Citrix \接收机店面\ \ CredentialWallet \ Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe服务

云连接器

ファ电子邮箱ル:

• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaDatabaseName.mdf
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaImportDatabaseName.mdf
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaDatabaseName_log.ldf
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaImportDatabaseName_log.ldf

フォルダ:

• % SystemDrive % \ Logs \ CDF
• % ProgramData % \ Citrix \ WorkspaceCloud \日志

プロセス:

• % ProgramFiles % \ Citrix \ XaXdCloudProxy \ XaXdCloudProxy.exe
• % ProgramFiles % \ \ HighAvailabilityService.exe Citrix \代理\服务
• % ProgramFiles % \ Citrix \ ConfigSync \ ConfigSyncService.exe

工作环境管理-サ，バ，

プロセス:

• Norskale Broker Service.exe
• Norskale Broker服务配置实用程序
• Norskale数据库管理实用程序

工作环境管理-エ，ジェント

プロセス:

• AgentGroupPolicyUtility.exe
• Citrix.Wem.Agent.LogonService.exe
• Citrix.Wem.Agent.Service.exe(オンプレミスリリ、ス、1909、およびクラウドリリ、ス、1903、以前では、このプロセスはNorskale Agent Host Service.exeと呼ばれていました)
• VUEMCmdAgent.exe
• VUEMUIAgent.exe

会话录音-サ、バ、

プロセス:

• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ SsRecStorageManager.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ SsRecAnalyticsService.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ SsRecWebSocketServer.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ icldb.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ iclstat.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ SsRecServerConsole.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ TestPolicyAdmin.exe

ファ电子邮箱ル:

• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ App_Data * . xml

フォルダ:

• C: \ SessionRecordings
• C: \ SessionRecordingsRestored
• % SystemRoot % \ System32系统\ msmq
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \日志

会话录音-エ，ジェント

プロセス:

• % ProgramFiles % \ \ Bin \ SsRecAgent.exe Citrix \ SessionRecording \代理
• % ProgramFiles % \ \ Bin \ SsRecAgentWrapper.exe Citrix \ SessionRecording \代理

ファ电子邮箱ル:

• % SystemRoot % \ System32系统\ \ ssrecdrv.sys司机
• % SystemRoot % \ System32系统\ \ srminifilterdrv.sys司机

フォルダ:

• % SystemRoot % \ System32系统\ msmq

会话录音-プレ、ヤ、

プロセス:

• % ProgramFiles (x86) % \ \ Bin \ SsRecPlayer.exe Citrix \ SessionRecording \的球员

フォルダ:

• 当地% UserProfile % \ AppData \ \ Citrix \ SessionRecording \ \缓存

ウルス対策ベンダ

Bitdefender-仮想デタセンタでのセキュリティのベストプラクティスの実装

Microsoft-VDI環境におけるWindows Defender

Microsoft-FSLogixウaapl . exeルス対策の除外

トレンドマesc escクロ-セキュリティに関する推奨除外事項

参照ドキュメント

Citrix Ready Workspaceセキュリティプログラム

ウ▪▪ルス対策ソフトウェアの構成に関するCitrixガ▪▪ドラ▪▪ン

发放服务アンチウescルスのベストプラクティス

Citrix App分层を使用したウaapl .ルス対策レaapl .ヤ.化