admin管理员组

文章数量:1598588

背景

在任何计算环境中使用防病毒软件都是非常重要的安全考虑。除非您的操作系统受到恶意软件的保护,否则您可能会遭受负面的和潜在的破坏性软件感染。但是,拥有完全受到病毒保护的操作系统的后果之一是其性能可能下降。可接受的安全级别和可接受的性能级别之间是一个平衡,并且这在一个环境与下一个环境之间会有所不同。

本文讨论了在VMware Horizo​​n环境中如何使用防病毒软件,以及可以进行哪些更改以提高虚拟机性能,而又不会过度损害系统安全性。如果要查找有关特定第三方防病毒供应商解决方案的信息,请参阅其他资源。

注意:以任何方式限制防病毒软件设置之前,请寻求安全团队和防病毒供应商的指导,以确保这些限制适合您。

在考虑对全面的防病毒扫描进行调整以提高性能时,需要考虑以下几个方面。这些适用于RDSH提供的单用户虚拟桌面和基于会话的桌面以及应用程序。

注意事项

当考虑调整全包式(完全功能)防病毒扫描以提高性能时,有几个方面需要考虑。它们既适用于单用户虚拟桌面,也适用于基于会话的桌面和RDSH提供的应用程序。

1、关于虚拟机

对于虚拟机,有几个一般注意事项:

1)将实时扫描设置为仅扫描本地驱动器。注意:如果正在使用防病毒解决方案来监视远程位置的托管文件共享、用户配置文件、重定向文件夹和远程外设,则不需要终端用户桌面也扫描这些位置(无需重复做事情)。

2)在将黄金映像(模板)投入生产之前,一定要对它们进行病毒扫描。

3)使用非永久性桌面。可确保注销时将每个用户会话刷新到已知的干净状态(初始映像状态),从而降低风险。并最好禁用非持久性桌面池读取时扫描。但这是假定黄金映像已经被扫描且已知没有病毒。并不意味着要禁用实时扫描,写时扫描仍应启用。

4)从桌面的启动或登录例程中删除任何不必要的防病毒操作或进程。即桌面登录或启动过程中,最好该阶段没有防病毒操作。

5)在非永久性虚拟机(VM)上禁用启发式扫描。

6)根据需要对我们环境中的黄金映像进行频繁的软件更新。这样可以确保,如果最终用户需要重构或重装该桌面以清除病毒时,用户将损失尽可能少的软件。

7)对非永久性桌面池禁用防病毒软件的自动更新。实际上,这适用于所有已安装的软件,而不仅仅是防病毒软件,因为在使用非永久性桌面期间进行的更新在注销和刷新后都会丢失。确保使用新的防病毒软件版本和签名文件来定期更新黄金映像。

8)定期扫描VMware View Composer持久磁盘(以前称为用户数据磁盘(UDD))以检查是否有病毒。由于这种类型的磁盘是持久的,刷新或重新组合操作将不会删除任何病毒。

9)从单用户视图虚拟机或RDSH机器上的实时扫描中排除那些低风险的文件和文件夹,但这些被排除在实时扫描之外的低风险文件和文件夹仍应定期进行扫描。包括:

页面文件或分页文件;IIS日志文件;Windows事件日志及以下目录
C:\Program Files\VMware\;
%systemroot%\SoftwareDistribution\DataStore;
%allusersprofile%\NTUser.pol;
*.pst, *.pstx, and *.ost files;
%systemroot%\System32\Spool\Printers;
%ProgramData%\VMware\VDM\Logs;

2、服务扫描

请查看Microsoft支持文章“运行当前受支持的Windows版本的企业计算机的病毒扫描建议”,以获取有关服务排除的一般通用指导。包含以下版本:

Windows Server 2012, all editions
Windows Server 2012 R2, all editions
Windows Server 2016, all editions
Windows Server 2019, all editions
Windows 7, all editions
Windows 8.1, all editions
Windows 10, all editions

3、Horizo​​n管理服务器扫描

1)Horizo​​n连接服务器代理从用户到其分配资源的连接。

2)注册服务器(Enrollment servers)部署以支持TrueSSO的实现。

3)Unified Access Gateway是一种强化Linux虚拟设备,多部署驻留在DMZ中。 Unified Access Gateway设备可确保进入公司数据中心的唯一远程桌面和应用程序流量是经过严格身份验证的用户的流量。统一访问网关的设计确保了病毒不会利用任何弱点。在Unified Access Gateway上安装防病毒软件将使其无法运行。

4)应将以下某些服务器文件夹排除在实时扫描之外,而只安排定期扫描即可:

Horizon Connection Servers:
%programData%\VMware\VDM\Logs;
%AllUsersProfiles%\Application Data\VMware\VDM\Backups;
C:\Documents and Settings\All Users\Application Data\VMware\VDM\backups;
注册服务器目录:%programData%\VMware\VDM\Logs
View Composer链接克隆: %ProgramData%\Vmware\View Composer\Logs

4、对于App Volumes

VMware App Volumes使得在虚拟桌面和已发布的应用程序环境中,轻松交付,更新,管理和监视应用程序及这些应用程序的用户成为可能。在使用App Volumes时,计划防病毒扫描应考虑以下事项:

1)您的ThinApp捕获计算机应使用那些已知没有病毒且没有安装防病毒软件的快照。防病毒软件的存在会干扰ThinApp软件包的正确创建。您可以通过安装所需的操作系统和基本软件来确保它没有病毒,而无需在网络上安装防病毒并进行快照。或者,可以在其上安装防病毒软件,对其进行扫描,卸载该防病毒软件并拍摄快照。

2)如果可能的话,在捕获应用程序时不要将捕获服务器连接到网络。

3)使用网络共享存储ThinApp软件包时,请从实时扫描中排除所有已知没有病毒的文件。不要只排除目录本身,因为管理员可能会意外地将未知文件写入共享。

4)由于ThinApp软件包存储数据时使用的签名,杀毒软件有时会产生误报。如果该文件实际上是一个ThinApp包,这并不意味着该ThinApp包包含病毒。

5、VMware Horizon Cloud on Azure

1)使用 App Volumes时,排除Azure上Horizo​​n Cloud的VHD文件:
%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent
C:{00000000-0000-0000-0000-000000000000}\SVROOT
C:{00000000-0000-0000-0000-000000000000}\SVROOT

%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent\Agent\svservice.exe //App Volumes Process Exclusions

%Program Files%\VMware\Horizon Agents\User Environment Manager\FlexEngine.exe //Dynamic Environment Manager
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Helpdesk Support Tool.exe
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Self-Support

6、Windows Defender非持久性域控策略配置示例

1)关闭Windows Defender Antivirus

2)随机安排的计划任务

3)禁止所有通知

4)排除以下路径:
\dc?.domain\SYSVOL\domain\config\general
\domain\SYSVOL\domain\config\general 0
\dc?.domain\profiles%username%\Archives 0
\dc?.domain\profiles%username%\Backups 0
%Program Files (x86)%\CloudVolumes 0
%SystemDrive%\SnapVolumesTemp 0
%SystemDrive%\SVROOT 0
%SystemDrive%{00000000-0000-0000-0000-000000000000}\SVROOT 0

5)启动以下:
%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent\Agent\svservice.exe 0
%Program Files (x86)%\CloudVolumes\Agent\svservice.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\FlexEngine.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Helpdesk Support Tool.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Self-Support 0
%Program Files%\Immidio\FlexProfiles\FlexEngine.exe 0
%Program Files%\Immidio\FlexProfiles\FlexSyncTool.exe 0
%Program Files%\Immidio\FlexProfiles\Flex+ Helpdesk Support Tool.exe 0
%Program Files%\Immidio\FlexProfiles\Flex+ Self-Support.exe 0

6)禁用 ‘Block at First Sight’ 功能

7)禁用加入Microsoft MAPS(微软地图);关闭增强的通知;

8)禁用需要进一步分析时发送文件样本

7、第三方防病毒

VMware不认可或推荐任何特定的第三方防病毒软件供应商。以下是微软推荐的防病毒扫描参考微软安全建议。

本文标签: 防病毒注意事项环境VMwarehorizon