层防病毒应用程序

本文介绍了如何在层中部署每个最常用的防病毒产品。您可以对任何防病毒软件进行分层，除非下面列出为不受支持。虽然我们希望新版本的防病毒软件能够正常运行，但是在我们测试它们之前，这并不能保证。请查看此主题以查看是否已测试过新版本的防病毒软件。

某些防病毒安装过程要求您修改 Windows注册表。

警告：

在编辑注册表之前，请务必进行备份。注册表编辑器使用不当可能会导致严重问题，需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。使用注册表编辑器自担风险，并在编辑注册表之前始终备份注册表。

您可以排除防病毒文件和文件夹保留在用户的桌面上。您可以在层中创建排除项，并在图像发布后在图像中对其进行处理。

用于管理防病毒软件更新的选项

本节介绍如何分层防病毒软件以及如何根据映像的部署方式配置主要更新。这仅适用于主要更新。无论部署哪种类型的映像，病毒定义的每日更新都会完成。

推荐用于所有防病毒软件

在所有情况下，我们建议在防病毒软件进行重大更新时创建新版本的应用程序层。更新层后，请更新使用该防病毒应用程序的所有模板，然后重新部署新映像以利用防病毒软件中的更改。

未启用弹性分层

如果您在部署映像时未启用弹性分层，请考虑您的映像是非持久性还是持久性映像：

• 对于持久性计算机，您可能希望启用自动更新以保持防病毒软件的最新状态。
• 对于非持久性计算机，您可能不希望打开自动更新，因为每次重新启动后都会在映像上进行更新。（无论何时重新启动，都会恢复非持久性计算机。）

启用弹性分层，但没有用户层

如果要部署具有弹性分层但没有用户层的映像，请清除自动更新，因为这些计算机是非持久性的，并且会在重新启动时恢复。此外，请将防病毒层分配到映像中部署而不作为弹性层加载，因为必须在启动时加载防病毒驱动程序才能正常工作。当层被指定为弹性层时，只有在用户登录到计算机后才会加载这些层，因此在启动时不会出现驱动程序。

启用弹性分层，具有用户层（或用户个性化层）

如果您要部署具有弹性分层和完整用户层（或用户个性化层）的图像，我们建议您关闭自动更新。这些计算机是非持久性桌面，因此它们会在用户注销时恢复。还有一个额外的考虑因素是，如果用户保持登录到计算机数天，病毒定义文件的每日更新可能会在用户层中结束。对于大多数防病毒软件来说，这不是一个问题。但是，如果您发现防病毒软件在运行时遇到一些问题，您可能需要确定它们存储其定义的目录，并考虑添加注册表设置，以强制这些文件驻留在非持久映像上，而不是在用户层。请确保这些设置在与防病毒应用程序不同的层中完成，因为您不希望这些设置干扰防病毒层的更新。

开始之前的准备工作

在 App Layering 中部署任何防病毒软件包时，可能需要以下内容：

• 为任何远程安装启动远程注册表服务。
• 在安装之前，请先禁用桌面上的防火墙，以允许安装产品。
• 禁用 Windows 防御者。
• 启用或禁用用户帐户控制 (UAC)。
• 阅读要安装的产品网站上的虚拟桌面基础架构 (VDI) 部署的安装说明。

AVG

您可以使用黄金映像或应用层来部署AVG Business Edition防病毒软件。

部署方法

使用以下方法之一安装 AVG 防病毒软件：

• 在操作系统的黄金映像上安装软件，并将其导入到新的操作系统层。
• 在应用程序层上安装软件，并将该层分配给新桌面或现有桌面。

Citrix 仅支持 AVG 防病毒商业版 13.0.0.x 版。

在金色映像上安装软件

1. 在黄金映像上安装 AVG 软件。

2. 打开 AVG 应用程序，然后选择AVG 设置管理器。

3. 选择编辑 AVG 设置。

4. 选择系统服务，然后禁用所有 AVG 服务。

5. 选择AVG 高级设置、防病毒、缓存服务器，然后禁用文件缓存。

6. 删除缓存文件：

   在 Windows 上，删除以下文件：C:\ProgramData\AVG2013\Chjw\*.*

7. 再次启用所有 AVG 服务。

8. 关闭金色图像。

9. 使用金色映像创建操作系统层。

10. 在新部署的桌面上，再次启用缓存选项，该选项可以通过与 AVG Remote Administrator 的集成自动执行。

在应用程序层上安装软件

1. 在应用层上安装 AVG 软件。
2. 将应用程序层部署到桌面。

启用关闭时扫描文件选项

1. 打开高级设置(F8)。
2. 选择防病毒 > 驻留护盾。
3. 选择关闭时扫描文件选项，然后保存设置。

Kaspersky

本节介绍如何在层中部署 Kaspersky。有关在 VDI 环境中安装软件的更多说明，请参阅 Kaspersky 文档。阅读本文章中的动态 VDI 支持部分，了解如何在 VDI 环境中将 Kaspersky 用于非持久性桌面。

以下版本的卡巴斯基防病毒软件已经过 Citrix 测试，并经验证可与 App Layering 结合使用：

• Kaspersky Endpoint Security 版本 10.2.5.3201
• Kaspersky Administration 10.3.407.0
• Kaspersky Administration Server 版本 8.0.2163
• 适用于 Windows 工作站的卡巴斯基防病毒软件版本 6.0.4.1424
• Kaspersky for VDI Agentless 版本 3.0
• Kaspersky Endpoint Security 10.1.0.867(a)
• Kaspersky Endpoint Security 版本 10.2
• Kaspersky for VDI Agentless 版本 3.1.0.77

注意：

不支持使用 Kaspersky 10.2 进行加密。Kaspersky 10.2 加密使用绕过 App Layering 虚拟化的一种磁盘虚拟化形式，因此与 App Layering 不兼容。在部署 Kaspersky 10.2 之前，请禁用加密选项。

部署方法

使用下列方法之一来部署卡巴斯基防病毒软件：

• 在应用层或应用层修订版本上安装软件。
• 在导入操作系统层的黄金映像上安装软件。
• 在操作系统层修订版本上安装软件。

要求

• 如果您在新的操作系统层上部署 Kaspersky 软件，请在安装 App Layering Machine Tools 之前在黄金映像上安装该软件。

• 如果您使用卡巴斯基管理服务器来管理桌面，请在打包计算机或金色映像上安装工作站的卡巴斯基防病毒软件和 NetAgent。

• 如果您不打算使用卡巴斯基管理服务器，请仅在打包机或金色映像上安装工作站的卡巴斯基防病毒软件。

• 安装 Kaspersky NetAgent 时，请在安装过程中清除启动应用程序的选择。

• 在独立配置中安装工作站的卡巴斯基防病毒软件时，不要启用任何管理选项的密码保护。部署软件后，您在打包计算机或金色映像上键入的密码在桌面上不起作用。

• 在 PackagingMachine 上安装 Kaspersky 软件后（对于应用程序层或层修订版），需要重新启动系统（并重建桌面映像）。

Kaspersky 10.2 特殊要求

在将 Kaspersky 10.2 添加到黄金映像或层之前，请先向注册表中的Unifltr服务添加值。

编辑注册表

1. 单击“开始”，单击“运行”，然后键入 regedit。
2. 导航到HKLM\System\CurrentControlSet\Services\Unifltr密钥。
3. 在编辑菜单上，单击新建，然后单击“DWORD (32 位)”值。
4. 在右窗格中，右键单击“新建”值，然后选择修改。
5. 在值,名称中，键入名称 MiniFilterBypass。
6. 在值中，键入 1，然后单击确定。
7. 关闭注册表编辑器。
8. 重新启动计算机，因为该设置只在启动时读取。

在应用层上安装软件的特殊步骤

要在应用层上安装卡巴斯基软件，请执行以下操作：

1. 在打包计算机上安装 Kaspersky 软件。 如果部署运行 Kaspersky 的非持久桌面，请将映像标记为动态 VDI。标记映像时，Kaspersky 管理服务器会将此映像的克隆视为动态克隆。禁用克隆后，其信息将从数据库中自动删除。要标记动态 VDI 的映像，请在启用VDI 的动态模式参数的情况下安装 Kaspersky Network Agent。有关详细信息，请参阅本文中有关动态 VDI 支持的部分。

2. 重新启动打包计算机。 重新启动包装机时，它可能会多次显示“停止”消息 0x75640001。包装机正常重启。没有必要进行干预。部署此层时，桌面将正常重新启动，并且不会显示 STOP 消息。

3. 完成层。

用户首次登录桌面时，Kaspersky NetAgent 可能无法启动。将带有 Kaspersky 软件的 App Layer 分配给桌面时，会出现此问题。重新启动桌面以启动 NetAgent 软件。

可能的问题

安装了卡巴斯基防病毒软件的 App Layering 桌面上可能会出现以下互操作性问题。

Kaspersky NetAgent 启动- 如果使用应用层将 Kaspersky NetAgent 软件部署到桌面，则桌面重新启动时 NetAgent 软件可能无法启动。Windows 事件查看器可能会显示以下错误：

# 1266(0)传输层的错误while connection to: authentication failure

如果 NetAgent 软件未启动，请重新启动桌面。然后，NetAgent 软件正确启动。

Kaspersky 10 - 最终用户暂停导致网络攻击拦截器停止工作- 使用 Kaspersky 10时，最终用户暂停会导致网络攻击拦截器停止工作。要修复此问题，请重新启动 Kaspersky 软件。网络攻击拦截程序继续运行。

McAfee

以下过程介绍了如何使用操作系统层或应用程序层部署 McAfee 防病毒软件。

部署方法

在以下层之一上安装 McAfee 软件：

• 原始操作系统层。
• 操作系统层的新版本。
• 应用程序层。

以下版本的 McAfee 软件已经过 Citrix 测试，并经验证可与 App Layering 配合使用：

• ePolicy Orchestrator (ePO)，版本 4.6.4、5.3.1 和 5.3.2
• McAfee Agent，版本 4.8.0.1938、5.0.2.188 和 5.0.4.283
• VirusScan Enterprise，版本 8.8.0.1528、8.8.0.1445 和 8.8.0.1599

如果使用 ePolicy Orchestrator 5.3.1 服务器创建 McAfee Agent 安装软件包，请按以下顺序设置代理联系方法优先级：

• IP 地址
• FQDN
• NetBIOS 名称，用于与工作组中的 IM 正确通信，并禁用 McAfee Agent 策略的“启用自我保护”。

安装要求

在金映像或应用层上安装 McAfee 防病毒软件的安装要求相同。您还可以在 McAfee ePO 产品指南中找到映像中包含代理的要求。

重要提示：

必须使用 framepkg.exe 命令在 VDI 模式下安装 McAfee，并使用以下步骤中所述的开关。这允许代理在关闭时从 ePO 中取消注册，从而防止在 ePO 控制台中填充重复的主机名。有关此要求的更多信息，请参阅McAfee KB87654。

根据 McAfee 版本的不同，您可能需要在安装 McAfee Agent 后删除其全局唯一标识符 (GUID)。有关您正在使用的软件版本的 McAfee 文档，以了解更多信息。

如果您计划使用操作系统层在 App Layering 桌面上部署 McAfee 防病毒软件，请使用以下过程。

在金色映像上安装软件

1. 使用以下命令将 McAfee Agent 软件以 VDI 模式安装到金映像上：

   framepkg.exe /Install=agent /enableVDImode

   黄金映像在 ePolicy Orchestrator 系统树系统列表中可见。

2. 在黄金映像上安装 McAfee VirusScan Enterprise 软件。

   1. 当系统提示您删除 Windows Defender 时，单击“是”。

   2. 允许 McAfee Agent Updater 完成更新。此步骤可能需要几分钟时间才能完成。

   3. 单击完成以完成安装。

3. 安装完成后，将开始扫描。允许扫描完成。

4. 更改 McAfee 起始值：

   1. 打开 McAfee VirusScan Console，并禁用访问保护。

   2. 打开注册表编辑器（注册表编辑器），转到键：

      \[HKEY\_LOCAL\_MACHINE\\System\\CurrentControlSet\\Services\\mfehidk\]

   3. 退出注册表编辑器。

   4. 在 McAfee VirusScan Console 中，启用访问保护。

5. 如果 McAfee 在 VDI 设置中需要它，请删除代理的 GUID（请查看 McAfee 文档以确定是否需要执行此步骤）：

   1. 打开注册表编辑器（注册表编辑器）。

   2. 删除以下注册表项：

      • 32 位：

        HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      • 64 位：

        HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

6. 出现提示时，重新启动黄金映像以允许 McAfee 安装其驱动程序。

7. 关闭金映像并将其导入操作系统层。

在层上安装软件

如果您计划使用层在 App Layering 桌面上部署 McAfee 防病毒软件，请使用此过程。

1. 在 App Layering 管理控制台中，创建层。

2. 当系统提示安装软件时，请使用以下命令在 VDI 模式下安装 McAfee Agent 软件。

   framepkg.exe /Install=agent /enableVDImode

   完成安装后，打包计算机将显示在 ePolicy Orchestrator 系统树系统列表中。

3. 在打包计算机上安装 McAfee VirusScan Enterprise (VSE) 软件。

   1. 如果系统提示您删除 Windows Defender，请单击是。

   2. 使用 McAfee EPO 服务器中的文件在打包计算机上安装 VSE 软件。否则，允许 McAfee Agent Updater 完成更新。此步骤可能需要几分钟时间才能完成。

   3. 单击完成以完成安装。

4. 更改 McAfee 起始值：

   1. 打开 McAfee VirusScan Console，并禁用访问保护。

   2. 打开注册表编辑器，转到以下键，然后将 Start 值从0更改为1：

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mfehidk]

   3. 在 McAfee VirusScan Console 中，启用访问保护。

5. 如果 McAfee 在 VDI 设置中需要它，请删除代理的 GUID（请查看 McAfee 文档以确定是否需要执行此步骤）：

   1. 打开注册表编辑器。

   2. 删除以下注册表项：

      32 位：

      HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

      64 位：

      HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Network Associates\ePolicy Orchestrator\Agent\AgentGUID

6. 完成应用层并以常规方式部署该层。

可能的互操作性问题

安装了 McAfee 防病毒软件的 App Layering 桌面上可能会出现以下互操作性问题。

打开视频文件的延迟

如果将 McAfee 防病毒软件配置为扫描脚本文件，则在 Internet Explorer 中打开视频文件时可能会出现很长的延迟。

当您尝试打开这些文件时，McAfee 软件和 App Layering 将尝试同时对这些文件执行操作。此冲突会导致视频文件运行延迟。所有其他窗口和应用程序继续正常工作。

如果遇到此类延迟，请等待视频文件运行。最终，McAfee 操作超时并完成 App Layering 操作。

此问题对防病毒软件检查视频文件是否有病毒的能力没有影响。

具有 McAfee 层的桌面在 ePolicy Orchestrator 中不可见

如果在 ePolicy Orchestrator 的 McAfee 层中看不到桌面，请使用以下 McAfee 知识库文章中的步骤修复问题：如果计算机未显示在 ePolicy Orchestrator 目录中，如何重置 McAfee Agent GUID。

McAfee MOVE

以下过程介绍了如何在层中部署 McAfee MOVE 防病毒软件。

注意：

这些说明假定您已在 McAfee ePolicy Orchestrator (ePO) 上安装并配置了 McAfee MOVE 防病毒软件。

要部署 McAfee MOVE 防病毒软件，请在应用程序层上安装该软件并将该层分配给现有桌面。

以下版本的 McAfee MOVE 防病毒软件已经过 Citrix 测试，并经验证可与 App Layering 一起使用。

• McAfee Agent for Windows，版本 4.8.0.1938
• McAfee AV MOVE Multi-Platform 客户端，版本 3.6.0.347
• McAfee VirusScan Enterprise，版本 8.8.0.1247
• McAfee AV MOVE Multi-Platform Offload Scan Server，版本 3.6.0.347
• McAfee VirusScan Enterprise，版本 8.8.0.1445 和 8.8.0.1599
• McAfee AV MOVE Multi-Platform Offload Scan Server，版本 3.6.1.141 和 4.5.0.211

注意：

对于远程桌面会话，McAfee Agent 不会启动。

安装要求

在安装 McAfee MOVE 之前，请禁用 Windows Defender。

创建 McAfee Agent MOVE AV CLIENT 应用程序层

1. 在 App Layering 管理控制台中，导航到层 > 应用层 > 创建层。

2. 在 App Layering 管理控制台中查看当前任务。首先，确认“创建应用层”任务中是否处于“正在运行”状态。当创建应用层任务的状态更改为“需要操作”时，请以管理员身份登录打包机。

3. 使用 McAfee ePolicy Orchestrator 将 McAfee Agent 软件移至包装计算机。打包计算机将在 ePO 系统树列表中可见，McAfee 图标将显示在打包计算机的任务栏中。

4. 使用 ePO 上的“产品部署”任务在包装机上安装 McAfee MOVE AV [多平台] 客户端。

5. 重新启动打包计算机，然后以管理员身份登录。

6. 在打包机上，从以下位置之一删除名为AgentGUID的注册表项的值：

   • 32 位：HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator\Agent

   • 64 位：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Network Associates\ePolicy Orchestrator\Agent

7. 关闭包装机。

8. 最终确定应用层。

Microsoft Security Essentials

以下过程介绍如何使用操作系统层或应用程序层在 App Layering 中部署 Microsoft 安全性要素防病毒软件。

App Layering 支持以下版本的 Microsoft 安全性要素防病毒软件：

Microsoft Security Essentials 2012 版本 4.10.0209.0

• 反恶意软件客户端版本：4.2.223.0
• 引擎版本：1.1.9901.0
• 防病毒定义：1.159.324.0
• 反间谍软件定义：1.159.324.0
• 网络检测系统引擎版本：2.1.9900.0
• 网络检测系统定义版本：108.1.0.0

部署方法

使用下列方法之一来部署 Microsoft 安全基本软件防病毒软件：

• 在导入操作系统层的黄金映像上安装软件。
• 在操作系统层版本上安装软件。
• 在应用层上安装软件。

安装要求

App Layering 金映像、操作系统层版本或应用程序层中的 Microsoft 安全要素防病毒软件。

启用 Windows 更新服务，但不要使用 Windows 更新。更新必须保持禁用状态。

在 App Layering 版本上配置 Windows 版的 Microsoft Security Essentials。

使用以下步骤在 Windows 上配置 Microsoft Security Essentials。

默认情况下，App Layering 优化脚本禁用 Windows 更新服务。要在 Windows 上以操作系统或应用程序层的形式部署 Microsoft Security Essentials，请执行以下操作：

1. 创建操作系统或应用程序层版本。
2. 转到 C:\windows\setup\scripts 并运行 App Layering Optimization Script Builder。如果脚本构建器不可用，请从 App Layering 机器操作系统工具 ZIP 文件中再次下载脚本构建器。
3. 在 App Layering 优化脚本生成器中，禁用禁用 Windows 更新服务。
4. 完成层。

更新服务启动类型从禁用更改为手动。未启用 Windows 更新，这是 App Layering 要求。

在安装过程中，检查 services.msc 并确保 Windows 更新服务启动类型设置为手动。如果不是，请将 Windows 更新服务启动类型更改为手动并重新启动 Windows。

对失败的 Microsoft Windows 基础更新进行故障排除

如果 Microsoft 安全要素更新在桌面上失败，因为 Windows 更新被禁用，请尝试以下操作。

• 在控制面板中启用 Windows 更新。然后，Microsoft 安全要点可以在桌面上自动更新。
• 如果使用本地组策略编辑器禁用 Windows 更新，请编辑注册表以删除本地组策略：

1. 运行注册表编辑器并删除本地组策略。
2. 请重新启动计算机。
3. 从控制面板启用 Windows 更新。

Sophos Central Endpoint/Server

在开始之前，请按照此处所述创建并激活您的 Sophos Cloud 帐户。

有关在 App Layering 环境中部署 Sophos Central 端点/服务器的更多信息，请参阅Sophos 文档。

可选：调整安全标识符

将黄金映像导入操作系统层后，您可能需要更新安全标识符 (SID) 值。为此，请为操作系统层创建一个版本，以更新 Sophos 配置文件之一中的 SID。以下 Sophos 知识库文章介绍了如何更新 Sophos 配置文件之一中的安全标识符 (SID) 值：

您的权限不足，无法运行 Sophos Endpoint Security and Control 主应用程序。您不是任何 Sophos 团体的成员。

什么时候调整 SID

如果您在操作系统层中部署桌面，但用户无法打开 Sophos Endpoint Security 和 Control用户界面，请调整 SID。

SID 调整程序

您可以在将金色图像导入层之前或之后执行这些步骤。如果导入了黄金映像，则可以通过编辑最新的 OS Layer 修订版来执行这些步骤。您还可以创建操作系统层的修订版本。

调整 SID

1. 从 Sophos 网站下载名为UpdateSID.vbs的脚本文件。将此文件放在C:\Windows\Setup\Scripts directory中。部署桌面后，需要使用此脚本来修复计算机 ID。

2. 编辑文件C:\Windows\Setup\Scripts\SophosSetup.cmd，然后在文件末尾添加以下两行：

   cd \Windows\setup\scripts

   cscript.exe UpdateSID.vbs //B

3. 如果脚本适用于操作系统层版本，请最终确定版本。

现在，您可以使用此版本的操作系统层创建桌面。确保桌面可以连接到企业控制台、注册和根据计划进行更新。

Symantec Endpoint Protection

您可以使用以下任一方法来部署 Symantec Endpoint Protection 应用程序：

• 在黄金映像上安装应用程序，然后将黄金映像导入操作系统层。
• 将应用程序安装为操作系统层版本。
• 将应用程序作为应用层的一部分进行安装。

注意：

Citrix 建议在 App Layering 部署中使用按访问扫描。将文件标记为“干净”后，Symantec Shared Insight Cache 不再扫描层中的文件，从而提高了性能。

以下版本的 Symantec Endpoint Protection 已经过 Citrix 测试，并经验证可与 App Layering 配合使用：

• 12 和 12.1
• 12.1.4
• 12.1.5
• 12.1.6 (12.1 RU6 MR6) 构建 7004 (12.1.7061.6600)
• 14 MP 1 (14.0.2332)
• 14.2

注意：

不支持 Symantec Endpoint Protection 12.1.2 和 12.1.3，因为存在 Symantec 问题，导致 App Layering 无法正常工作。

App Layering 桌面上的 Symantec 端点防护行为

使用 Symantec Endpoint Protection Manager 安装软件

此过程使用计算机模式作为部署方法，该方法将策略应用于整个桌面。

1. 在 Symantec Endpoint Protection Manager 中，找到应用程序的操作系统映像或打包计算机，然后登录：

   • 操作系统映像（如果您使用操作系统层）
   • 打包计算机（如果您使用应用程序层或层修订版）

   1. 选择客户端 > 查找非托管计算机。

   2. 在打开的窗口中键入相应的搜索条件。

   3. 安装软件。

   注意：

   安装软件后，系统会提示您重新启动 Symantec Endpoint Protection Manager。如果您在步骤 1 中执行此操作，则可能会导致启动 SEP 服务时出现问题。继续安装过程，然后在步骤 5 中重新启动 Symantec Endpoint Protection Manager。

2. 登录包装机并禁用篡改防护。

3. 禁用注册表项 “隐藏” 保护。即使启用了用户帐户控制 (UAC)，扫描也可以工作。请确保注册表中的以下设置正确。如果注册表中不存在这些值，请添加它们。

   • 对于 32 位计算机：

     [HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\AV\Common]

     "ScanStealthFiles" = (REG_DWORD) 0

   • 对于 64 位计算机：

     [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Common]

     "ScanStealthFiles" = (REG_DWORD) 0

4. 使用注册表编辑器，更改每个 ccSettings GUID 的组和标签值。

   1. 转到以下项：

      [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ccSettings_{GUID}]

      如果有多个ccSettings_{GUID}，请从第一个开始。

   2. 对于每个ccSettings_{GUID}，将组值从FSFilter Bottom更改为FSFilter Virtualization。

   3. 将第一个 GUID 的标签值更改为 8，并将 1 添加到每个后续 GUID 的值中。下一个 GUID 值为 9，然后是 10，依此类动。

      注意：

      首次安装 Symantec 时，会显示一个“ccSettings_{GUID}”。每次升级应用程序时，Symantec 都会添加另一个 GUID。

5. 重新启动包装机或黄金映像。然后，根据需要经常重启打包机，直至安装后重启请求不再显示在 App Layering 管理控制台中。

6. 启用篡改防护。

7. 对于 SEP 12.1 及更高版本，请参阅以下知识库文章中的说明，以准备计算机在 VDI 环境中部署软件。有关更多信息，请参阅文章如何准备要克隆的端点保护客户端。

8. 最终确定应用程序或操作系统层，或者关闭并导入黄金映像。

9. 如果您需要使用 SEP Virtual Image Exception (VIE) 工具，请参阅About the Symantec Virtual Image Exception tool（关于 Symantec Virtual Image Exception 工具）一文以获取建议。

在部署 Symantec 软件期间，App Layering 软件会多次重建桌面或打包机映像。次数取决于您部署 Symantec 应用程序的方式。这是预料之中的，因为 Symantec Endpoint Protection 软件在初始安装过程中不会完成启动级组件的完整配置。

对于客户端-服务器部署

Symantec Endpoint Protection 软件：

• 安装一些必需的驱动程序并重新启动桌面或打包计算机。
• 更新其他组件并重新启动桌面或打包计算机。
• 完成安装并重新启动桌面或打包计算机一次。
• 部署到桌面

如果将 Symantec 软件部署到非永久性桌面，请在创建桌面时包含该软件。如果将包含 Symantec Endpoint Protection 的应用层添加到现有的非持久桌面，Symantec Endpoint Protection Manager 中将显示每个桌面两个条目。

在以下情况下，Symantec Endpoint Protection 控制台中将显示同一个计算机的两个具有不同名称的实例：

• 使用 Symantec Endpoint Protection 应用层在 Windows 2008 R2 上创建永久桌面
• 将应用程序层分配给现有桌面

一个名字是正确的。第二个名称是临时名称，未删除。若要解决此问题，您可以删除未连接 X 天数的客户端。

删除客户端

1. 在 Symantec Endpoint Protection 控制台中，转到管理员页面，然后选择域。
2. 在任务下，选择编辑域属性。
3. 在编辑域属性窗口的默认常规选项卡上，单击删除在指定时间内未连接的客户端。Citrix 建议大型企业环境的值为 7-14 天。
4. 有关详细信息，请参阅Symantec Endpoint Protection Manager 控制台中出现重复的 SEP 客户端文章中的解决方案 2。

Symantec Help (SymHelp) 诊断工具注意事项

如果在层中部署 Symantec Endpoint Protection，则 Symantec Help (SymHelp) 诊断工具要求您在统一端点保护中放置两个文件。使用以下行创建脚本，并在应用 Symantec 层时将其路径放置在脚本路径中。

pushd "C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\IRON" copy Iron.db Iron.db.save copy Iron.db.save Iron.db /y copy RepuSeed.irn RepuSeed.irn.save copy RepuSeed.irn.save RepuSeed.irn /y popd 

Trend Micro OfficeScan

以下过程介绍如何使用操作系统层或应用程序层部署 Trend Micro OfficeScan 防毒墙软件。这些过程基于在 VDI 环境中部署桌面的趋势科技文档。

Citrix App Layering 支持 Trend Micro OfficeScan 客户端和服务器版本 11.0.6054。

部署方法

使用以下任一方法部署趋势科技防病毒软件：

• 在黄金映像上安装软件，并将其导入到新的操作系统层。
• 在操作系统层版本上安装软件。
• 在应用程序层上安装软件，并将该层分配给新桌面或现有桌面。

重要：

如果在黄金映像或 OS 层版本上安装 Trend Micro OfficeScan，请在以下命令上运行 OfficeScanTCacheGen.exe文件：

• 金色映像或操作系统层。
• 在使用黄金映像或操作系统层的每个应用层上

每次创建应用程序层或层版本时，都会在使用包含 Trend Micro OfficeScan 的操作系统层的每个层上运行TCacheGen.exe。

运行TCacheGen.exe后，不要再运行包装机。

如 Trend Micro 文档中所述，您可以从 OfficeScan 服务器复制TCacheGen.exe。通常，此文件位于\\\ofcscan\Admin\Utility\TCacheGen文件夹中。

在黄金映像上安装趋势科技

在将黄金映像导入操作系统层之前，请删除趋势科技软件的全局唯一标识符 (GUID)。安装 App Layering 机床时，系统将重新启动并创建 GUID。因此，首先安装机床，允许安装重新启动计算机，然后删除 GUID。

有关详细信息，请参阅 Trend Micro 文档配置 OfficeScan (OSCE) Virtual Desktop Infrastructure (VDI) 客户端/代理。在安装软件时，请务必了解趋势科技提供的建议。

1. 在金色图像上安装 App Layering 机床。
2. 安装 Trend Micro OfficeScan 客户端。

3. 从 OfficeScan 服务器复制 TCacheGen.exe 文件，如 Trend Micro 文档中所述。通常，该文件位于以下文件夹中：

   \\\ofcscan\Admin\Utility\TCacheGen

4. 按照趋势科技文档中的说明运行TCacheGen.exe。
5. 单击“从模板中删除 GUID”，然后单击“确定”。
6. 关闭金色图像。

7. 使用金色映像创建操作系统层。

   重要：

   无论何时向此层添加版本，都必须运行TCacheGen.exe 并再次删除 GUID。执行这些操作时，它会确保使用此层的桌面正常运行。

在应用程序层上安装软件

1. 在 App Layering 管理控制台中，创建层。

2. 出现提示时，请在打包计算机上安装 Trend Micro OfficeScan 客户端。

   安装 Trend Micro OfficeScan 11 且任务状态更改为需要处理措施时，请禁用未经授权的更改阻止服务，如下所示：

   1. 在 OfficeScan 服务器上，双击桌面上的OfficeScan Web Console (HTML)链接以打开 OfficeScan Web 控制台。

   2. 在 OfficeScan Web 控制台中，选择客户端 > 客户端管理。

   3. 右键单击 OfficeScan 服务器并选择设置 > 其他服务设置。其他服务设置窗口随即打开。

   4. 在未授权的更改阻止服务下，清除在以下操作系统上启用服务。

   5. 在 Web 控制台中，选择代理 > 代理安装 > 远程。

   6. 在搜索终端节点中，键入打包机的 IP 地址，然后按Enter。

   7. 键入打包机的本地管理员用户名和密码，然后单击“登录”。

   8. 单击安装将 OfficeScan 代理安装到目标计算机，然后在确认对话框中单击确定。确认消息可确认向其发送通知的座席数量以及验证收到这些通知的编号。

   9. 在 OfficeScan Web 控制台中，转到客户端 > 客户端管理。单击工作组，然后选择“包装机”名称。

   10. 为您正在使用的组禁用未经授权的更改阻止服务。右键单击“包装机”，然后选择“设置”>“其他服务设置”。其他服务设置 窗口随即打开。

3. 在“未授权防护服务”下，清除在以下操作系统上启用服务。

4. 如果出现提示，请重新启动打包机以允许重新生成启动映像。

5. 打包机重新启动后，从 OfficeScan 服务器复制TCacheGen.exe文件。有关详细信息，请参阅趋势科技文档。通常，该文件位于以下文件夹中：

   \ \趋势ServerName\ofcscan\Admin\Utility\TCacheGen

6. 运行 TCacheGen.exe。有关详细信息，请参阅趋势科技文档。

7. 单击“从模板中删除 GUID”，然后单击“确定”。

8. 完成层。

   重要

   无论何时向此层添加版本，都必须运行TCacheGen.exe并再次删除 GUID。这样做可确保使用此层的桌面正常运行。