技术论文：端点安全、防病毒和反恶意软件最佳实践

概述

本文提供了在Citrix虚拟应用程序和桌面环境中配置防病毒软件的准则,以及用于在其他Citrix技术和功能(例如,云连接器、提供服务等)上配置防病毒软件的资源。防病毒配置不正确是我们在现场看到的最常见问题之一。它可能导致各种问题，从性能问题或用户体验下降到各种组件的超时和故障。

在本技术白皮书中，我们涵盖了与虚拟化环境中的最佳防病毒部署相关的几个主要主题：代理程序配置和取消配置、特征码更新、建议排除项列表和性能优化。成功实施这些建议取决于您的防病毒供应商和安全团队。咨询他们以获得更具体的建议。

警告!本文包含防病毒排除项。必须明白，防病毒排除和优化会增加系统的攻击面，并可能使计算机面临各种安全威胁。但是，以下准则通常代表了安全性和性能之间的最佳权衡。Citrix建议在实验室环境中进行严格测试以全面了解安全性和性能之间的权衡之前,不建议实施任何这些排除或优化。Citrix还建议组织在继续进行任何类型的生产部署之前,与其防病毒和安全团队接洽,以了解以下准则。

代理注册

安装在每个已置备虚拟机上的代理软件通常需要在中心站点注册，以便进行管理、状态报告和其他活动。为了成功注册，每个代理都需要具有唯一的可识别性。

使用配置服务(pv)或机器创建服务(MCS)等技术从单个映像置备计算机时,了解如何标识每个代理以及虚拟化环境是否需要任何说明非常重要。中文意思是:“我的意思是我的意思是我的意思是我的意思是我的意思是我的意思是我的意思。”其他人则使用更传统的方法，即在安装过程中生成随机字符串。为了防止注册冲突，每台计算机都需要生成唯一标识符。在非持久性环境中注册通常使用启动脚本来完成，该脚本可自动从持久位置恢复计算机标识数据。

在更动态的环境中，了解取消置备计算机的行为方式、清理是手动操作或是否自动执行，也很重要。一些供应商提供与虚拟机管理程序甚至交付控制器的集成,从而可以在预配计算机时自动创建或删除。

建议：询问安全供应商如何实施其代理的注册/取消注册。如果在使用单映像管理的环境中注册需要更多步骤，请在映像密封说明中包含这些步骤，最好是作为全自动脚本。

签名更新

及时持续更新的签名是端点安全解决方案最重要的方面之一。大多数供应商使用本地缓存、增量更新的签名，这些签名存储在每个受保护的设备上。

对于非持久性计算机，了解签名的更新方式以及它们的存储位置非常重要。这使您能够了解并尽量减少恶意软件感染计算机的机会之窗。

尤其是在更新不是增量的并且可能达到大量的情况下，您可以考虑将持久存储附加到每个非持久性计算机的部署，以便在重置和映像更新之间保持更新缓存完好无损。使用这种方法，将机会窗口和定义更新的性能影响降至最低。

除了对每个置备计算机进行签名更新之外，还必须定义更新主映像的策略。建议自动执行此过程，也是定期使用最新签名更新主映像。这对于增量更新尤其重要，在这些更新中，您将最大限度地减少每个虚拟机所需的流量。

在虚拟化环境中管理签名更新的另一种方法是用集中式扫描引擎完全取代分散签名的本质。虽然这样做主要是为了最大限度地减少防病毒软件对性能的影响，但它也有集中签名更新的附带好处。

建议：询问您的安全供应商如何在防病毒软件中更新签名。预期的大小和频率是多少？更新是否增量？对于非持久性环境，有什么建议吗？

性能优化

防病毒软件（尤其是在配置不当的情况下）可能会对可扩展性和整体用户体验产生负面影响。因此，重要的是要了解性能影响，以确定造成这种影响的原因以及如何将其降至最低。

对于不同的防病毒供应商和实施而言，可用的性能优化策略和方法是不同的。最常见和最有效的方法之一是提供集中式卸载防病毒扫描功能。而不是每台机器负责扫描（通常是相同的）样品，而是集中扫描并仅执行一次。此方法针对虚拟化环境进行了优化；但是，请确保了解其对高可用性的影响。

将扫描卸载到专用设备在虚拟化环境中非常有效

“Provisioning”，“Provisioning”。了解这对机会窗口的影响非常重要（例如，如果磁盘已经包含受感染的文件，但在扫描前阶段没有特征码可用，该怎么办？）。这种优化通常与仅写事件的扫描相结合，因为所有读取都将来自预扫描的磁盘部分，或者来自特定于会话的写入缓存/差异磁盘，在写入操作期间已经扫描过。通常，一个很好的妥协是将实时扫描（优化）与计划扫描（系统的全面扫描）结合起来。

最常见的扫描优化是仅关注虚拟机之间的差异

建议：性能优化可以大大改善用户体验。但是，它们也可以被视为安全风险。因此，建议咨询您的供应商和您的安全团队。大多数针对虚拟化环境提供解决方案的防病毒供应商都提供优化的扫描引擎。

防病毒排除项

防病毒最常见（也是最重要的）优化是所有组件的防病毒排除的正确定义。虽然某些供应商可以自动检测Citrix组件并应用排除项,但对于大多数环境,这是一项手动任务,需要在管理控制台中为防病毒配置。

通常建议将排除项用于实时扫描。齐格，思杰(Citrix)为了减轻任何潜在的性能影响，建议在非营业时间或非高峰时间执行计划扫描。

需要始终保持排除的文件和文件夹的完整性。组织可以考虑使用商业文件完整性监控或主机入侵防护解决方案来保护被排除在实时或访问扫描之外的文件和文件夹的完整性。这种类型的数据完整性监视中不包括数据库和日志文件，因为这些文件预计会更改。如果必须将整个文件夹排除在实时扫描或按访问扫描之外,Citrix建议密切监视在排除的文件夹中创建新文件的情况。

仅扫描本地驱动器-或禁用网络扫描。假设所有可能包含托管用户配置文件和重定向文件夹的文件服务器的远程位置都受到防病毒和数据完整性解决方案的监视。否则，建议排除所有已置备计算机访问的网络共享。示例包括托管重定向文件夹或用户配置文件的共享。

另一个重要的考虑因素是排除进程。http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/ http://www.tingclass.com/在某些安全解决方案中，这被称为定义受信任的进程。

建议：与您的供应商和安全团队一起审查这些建议。

• 在创建排除策略之前，请检查所有文件、文件夹和进程是否存在排除并确认它们存在。
• 为不同组件实施多个排除策略，而不是为所有组件创建一个大型策略。
• 要最大限度地缩短机会窗口，请实施实时扫描和计划扫描的组合。

虚拟应用程序和桌面

交付控制器

文件:

• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaDatabaseName.mdf(7.12+)
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaImportDatabaseName.mdf(7.12+)
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaDatabaseName_log.ldf(7.12+)
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaImportDatabaseName_log.ldf(7.12+)

文件夹：

• % ProgramData % \ Citrix \代理\缓存(7.6 +)

流程：

• % ProgramFiles % \ \ BrokerService.exe Citrix \代理\服务
• % ProgramFiles % \ Citrix \代理\服务\ HighAvailabilityService.exe (7.12 +)
• % ProgramFiles % \ Citrix \ ConfigSync \ ConfigSyncService.exe (7.12 +)

虚拟交付代理

文件:

• % SystemRoot % \ System32系统\ \ CtxUvi.sys司机
• 当地% UserProfile % \ AppData \ \ Temp \ Citrix \ HDXRTConnector \ * \ * . txt

流程：

• %ProgramFiles%\Citrix\User ProfileManager \UserProfileManager.exe
• %ProgramFiles%\Citrix\Virtual Desktop Agent\BrokerAgent.exe
• 1912年成立
  • % ProgramFiles % \ Citrix \ ICAService \ CtxSvcHost.exe
  • % ProgramFiles % \ Citrix \ ICAService \ picaSvc2.exe(英文)
  • % ProgramFiles % \ Citrix \ ICAService \ CpSvc.exe(英文)
• CVAD 2003 +
  • % ProgramFiles % \ Citrix \ HDX \ bin \ CtxSvcHost.exe
  • % ProgramFiles % \ Citrix \ HDX \ bin \ picaSvc2.exe(英文)
  • % ProgramFiles % \ Citrix \ HDX \ bin \ CpSvc.exe(英文)

WebSocketService.exe中文名称:http://www.socketservice .exe【中文翻译】齐格，齐格，齐格，齐格，齐格

• %ProgramFiles%\Citrix\HTML5视频重定向\WebSocketService.exe(cvad 7.15 ltsr)
• % ProgramFiles (x86) % \ Citrix \ System32系统\ WebSocketService.exe(cvad 1912 ltsr -)
• % ProgramFiles % \ Citrix \ ICAService \ WebSocketService.exe(cvad 1912 ltsr -)
• % ProgramFiles (x86) % \ Citrix \ HDX \ bin \ WebSocketService.exe(cvad 2003+- 01 / 01 / 01 / 01 / 01 / 01)

hdx实时优化包

文件:

• 当地% UserProfile % \ AppData \ \ Temp \ Citrix \ RTMediaEngineSRV \ MediaEngineSRVDebugLogs * * . txt

流程：

• %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\AudioTranscoder.exe
• %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngine.Net.Service.exe
• %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\ mediaengineerservice .exe

Windows工作空间/ Windows接收器

文件:

• 当地% UserProfile % \ AppData \ \ Temp \ Citrix \ RTMediaEngineSRV \ MediaEngineSRVDebugLogs \ * \ * . txt

流程：

• % ProgramFiles (x86) % \ Citrix \ \ MediaEngineService.exe ICA客户机(HDX实时优化包)
• % ProgramFiles (x86) % \ Citrix \ \ CDViewer.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ concentr.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ wfica32.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ AuthManager \ AuthManSvr.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ SelfServicePlugin \ SelfService.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ SelfServicePlugin \ SelfServicePlugin.exe ICA客户机
• % ProgramFiles (x86) % \ Citrix \ \ HdxTeams.exe ICA客户机(针对微软团队工作区应用程序2009.5或更早版本的优化)

• % ProgramFiles (x86) % \ Citrix \ \ HdxRtcEngine.exe ICA客户机微软团队(Microsoft Teams)

  注意：

  思杰工作空间只有在防病毒软件配置的策略比平常更严格的环境中,或者在同时使用多个安全客户端(AV、DLP、臀部等)的情况下,我们才看到需要这些设备。

预配

发放

文件:

• * .vhd
• * .avhd
• * .vhdx
• * .avhdx
• * .pvp
• * .lok
• % SystemRoot % \ System32系统\ \ CvhdBusP6.sys司机(Windows Server 2008 R2)
• % SystemRoot % \ System32系统\ \ CVhdMp.sys司机(Windows Server 2012 R2)
• % SystemRoot % \ System32系统\ \ CfsDep2.sys司机
• % ProgramData % \ Citrix \ \ Tftpboot \ ARDBP32.BIN供应服务

流程：

• % ProgramFiles % \ Citrix \ \ BNTFTP.EXE供应服务
• % ProgramFiles % \ Citrix \ \ PVSTSB.EXE供应服务
• % ProgramFiles % \ Citrix \ \ StreamService.exe供应服务
• % ProgramFiles % \ Citrix \ \ StreamProcess.exe供应服务
• % ProgramFiles % \ Citrix \ \ soapserver.exe供应服务
• % ProgramFiles % \ Citrix \ \ Inventory.exe供应服务
• % ProgramFiles % \ Citrix \ \ Notifier.exe供应服务
• % ProgramFiles % \ Citrix \ \ MgmtDaemon.exe供应服务
• % ProgramFiles % \ Citrix \ \ BNPXE.exe供应服务(英文)

预配目标设备

文件:

• .vdiskcache
• vdiskdif.vhdx7.中文:X、X、X、X、X、X
• % SystemRoot % \ System32系统\ \ bnistack6.sys司机
• % SystemRoot % \ System32系统\ \ CfsDep2.sys司机
• % SystemRoot % \ System32系统\ \ CVhdBusP6.sys司机
• % SystemRoot % \ System32系统\ \ cnicteam.sys司机
• % SystemRoot % \ System32系统\ \ CVhdMp.sys司机(02.07 .x)

流程：

• % ProgramFiles % \ Citrix \ \ BNDevice.exe供应服务

店面

文件:

• % SystemRoot % \ ServiceProfiles \ NetworkService \ AppData \漫游\ Citrix \ SubscriptionsStore \ * * \ PersistentDictionary.edb

流程：

• % ProgramFiles % \ Citrix \接收机店面\ \ SubscriptionsStoreService \ Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe服务
• % ProgramFiles % \ Citrix \接收机店面\ \ CredentialWallet \ Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe服务

云连接器

文件:

• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaDatabaseName.mdf
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaImportDatabaseName.mdf
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaDatabaseName_log.ldf
• % SystemRoot % \ ServiceProfiles \ NetworkService \ HaImportDatabaseName_log.ldf

文件夹：

• % SystemDrive % \ Logs \ CDF
• % ProgramData % \ Citrix \ WorkspaceCloud \日志

流程：

• % ProgramFiles % \ Citrix \ XaXdCloudProxy \ XaXdCloudProxy.exe
• % ProgramFiles % \ \ HighAvailabilityService.exe Citrix \代理\服务
• % ProgramFiles % \ Citrix \ ConfigSync \ ConfigSyncService.exe

工作空间环境管理

流程：

• Norskale Broker Service.exe
• Norskale Broker Service Configuration Utility.exe
• Norskale Database Management Utility.exe

工作空间环境管理

流程：

• AgentGroupPolicyUtility.exe
• Citrix.Wem.Agent.LogonService.exe
• Citrix.Wem.Agent.Service.exe（在本地版本 1909 和云版本 1903 之前，此过程被称为Norskale Agent Host Service.exe）
• VUEMCmdAgent.exe
• VUEMUIAgent.exe

会话录制-服务器

流程：

• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ SsRecStorageManager.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ SsRecAnalyticsService.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ SsRecWebSocketServer.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ icldb.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ iclstat.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ SsRecServerConsole.exe
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \ TestPolicyAdmin.exe

文件:

• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ App_Data * . xml

文件夹：

• C: \ SessionRecordings
• C: \ SessionRecordingsRestored
• % SystemRoot % \ System32系统\ msmq
• % ProgramFiles % \ Citrix \ SessionRecording \ Server \ Bin \日志

会话录制-代理

流程：

• % ProgramFiles % \ \ Bin \ SsRecAgent.exe Citrix \ SessionRecording \代理
• % ProgramFiles % \ \ Bin \ SsRecAgentWrapper.exe Citrix \ SessionRecording \代理

文件:

• % SystemRoot % \ System32系统\ \ ssrecdrv.sys司机
• % SystemRoot % \ System32系统\ \ srminifilterdrv.sys司机

文件夹：

• % SystemRoot % \ System32系统\ msmq

会话录制-播放器

流程：

• % ProgramFiles (x86) % \ \ Bin \ SsRecPlayer.exe Citrix \ SessionRecording \的球员

文件夹：

• 当地% UserProfile % \ AppData \ \ Citrix \ SessionRecording \ \缓存

防病毒厂商

Bitdefender-

微软-VDI

微软-FSloGIX

趋势科技-深度安全防护技术推荐的

引用

Citrix Ready Workspace

思杰(Citrix

发放业务

思杰应用分层