VMware Horizon环境中的防病毒注意事项
背景
在任何计算环境中使用防病毒软件都是非常重要的安全考虑。除非您的操作系统受到恶意软件的保护,否则您可能会遭受负面的和潜在的破坏性软件感染。但是,拥有完全受到病毒保护的操作系统的后果之一是其性能可能下降。可接受的安全级别和可接受的性能级别之间是一个平衡,并且这在一个环境与下一个环境之间会有所不同。
本文讨论了在VMware Horizon环境中如何使用防病毒软件,以及可以进行哪些更改以提高虚拟机性能,而又不会过度损害系统安全性。如果要查找有关特定第三方防病毒供应商解决方案的信息,请参阅其他资源。
注意:以任何方式限制防病毒软件设置之前,请寻求安全团队和防病毒供应商的指导,以确保这些限制适合您。
在考虑对全面的防病毒扫描进行调整以提高性能时,需要考虑以下几个方面。这些适用于RDSH提供的单用户虚拟桌面和基于会话的桌面以及应用程序。
注意事项
当考虑调整全包式(完全功能)防病毒扫描以提高性能时,有几个方面需要考虑。它们既适用于单用户虚拟桌面,也适用于基于会话的桌面和RDSH提供的应用程序。
1、关于虚拟机
对于虚拟机,有几个一般注意事项:
1)将实时扫描设置为仅扫描本地驱动器。注意:如果正在使用防病毒解决方案来监视远程位置的托管文件共享、用户配置文件、重定向文件夹和远程外设,则不需要终端用户桌面也扫描这些位置(无需重复做事情)。
2)在将黄金映像(模板)投入生产之前,一定要对它们进行病毒扫描。
3)使用非永久性桌面。可确保注销时将每个用户会话刷新到已知的干净状态(初始映像状态),从而降低风险。并最好禁用非持久性桌面池读取时扫描。但这是假定黄金映像已经被扫描且已知没有病毒。并不意味着要禁用实时扫描,写时扫描仍应启用。
4)从桌面的启动或登录例程中删除任何不必要的防病毒操作或进程。即桌面登录或启动过程中,最好该阶段没有防病毒操作。
5)在非永久性虚拟机(VM)上禁用启发式扫描。
6)根据需要对我们环境中的黄金映像进行频繁的软件更新。这样可以确保,如果最终用户需要重构或重装该桌面以清除病毒时,用户将损失尽可能少的软件。
7)对非永久性桌面池禁用防病毒软件的自动更新。实际上,这适用于所有已安装的软件,而不仅仅是防病毒软件,因为在使用非永久性桌面期间进行的更新在注销和刷新后都会丢失。确保使用新的防病毒软件版本和签名文件来定期更新黄金映像。
8)定期扫描VMware View Composer持久磁盘(以前称为用户数据磁盘(UDD))以检查是否有病毒。由于这种类型的磁盘是持久的,刷新或重新组合操作将不会删除任何病毒。
9)从单用户视图虚拟机或RDSH机器上的实时扫描中排除那些低风险的文件和文件夹,但这些被排除在实时扫描之外的低风险文件和文件夹仍应定期进行扫描。包括:
页面文件或分页文件;IIS日志文件;Windows事件日志及以下目录
C:\Program Files\VMware\;
%systemroot%\SoftwareDistribution\DataStore;
%allusersprofile%\NTUser.pol;
*.pst, *.pstx, and *.ost files;
%systemroot%\System32\Spool\Printers;
%ProgramData%\VMware\VDM\Logs;
2、服务扫描
请查看Microsoft支持文章“运行当前受支持的Windows版本的企业计算机的病毒扫描建议”,以获取有关服务排除的一般通用指导。包含以下版本:
Windows Server 2012, all editions
Windows Server 2012 R2, all editions
Windows Server 2016, all editions
Windows Server 2019, all editions
Windows 7, all editions
Windows 8.1, all editions
Windows 10, all editions
3、Horizon管理服务器扫描
1)Horizon连接服务器代理从用户到其分配资源的连接。
2)注册服务器(Enrollment servers)部署以支持TrueSSO的实现。
3)Unified Access Gateway是一种强化Linux虚拟设备,多部署驻留在DMZ中。 Unified Access Gateway设备可确保进入公司数据中心的唯一远程桌面和应用程序流量是经过严格身份验证的用户的流量。统一访问网关的设计确保了病毒不会利用任何弱点。在Unified Access Gateway上安装防病毒软件将使其无法运行。
4)应将以下某些服务器文件夹排除在实时扫描之外,而只安排定期扫描即可:
Horizon Connection Servers:
%programData%\VMware\VDM\Logs;
%AllUsersProfiles%\Application Data\VMware\VDM\Backups;
C:\Documents and Settings\All Users\Application Data\VMware\VDM\backups;
注册服务器目录:%programData%\VMware\VDM\Logs
View Composer链接克隆: %ProgramData%\Vmware\View Composer\Logs
4、对于App Volumes
VMware App Volumes使得在虚拟桌面和已发布的应用程序环境中,轻松交付,更新,管理和监视应用程序及这些应用程序的用户成为可能。在使用App Volumes时,计划防病毒扫描应考虑以下事项:
1)您的ThinApp捕获计算机应使用那些已知没有病毒且没有安装防病毒软件的快照。防病毒软件的存在会干扰ThinApp软件包的正确创建。您可以通过安装所需的操作系统和基本软件来确保它没有病毒,而无需在网络上安装防病毒并进行快照。或者,可以在其上安装防病毒软件,对其进行扫描,卸载该防病毒软件并拍摄快照。
2)如果可能的话,在捕获应用程序时不要将捕获服务器连接到网络。
3)使用网络共享存储ThinApp软件包时,请从实时扫描中排除所有已知没有病毒的文件。不要只排除目录本身,因为管理员可能会意外地将未知文件写入共享。
4)由于ThinApp软件包存储数据时使用的签名,杀毒软件有时会产生误报。如果该文件实际上是一个ThinApp包,这并不意味着该ThinApp包包含病毒。
5、VMware Horizon Cloud on Azure
1)使用 App Volumes时,排除Azure上Horizon Cloud的VHD文件:
%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent
C:{00000000-0000-0000-0000-000000000000}\SVROOT
C:{00000000-0000-0000-0000-000000000000}\SVROOT
%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent\Agent\svservice.exe //App Volumes Process Exclusions
%Program Files%\VMware\Horizon Agents\User Environment Manager\FlexEngine.exe //Dynamic Environment Manager
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Helpdesk Support Tool.exe
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Self-Support
6、Windows Defender非持久性域控策略配置示例
1)关闭Windows Defender Antivirus
2)随机安排的计划任务
3)禁止所有通知
4)排除以下路径:
\dc?.domain.com\SYSVOL\domain.com\config\general
\domain.com\SYSVOL\domain.com\config\general 0
\dc?.domain.com\profiles%username%\Archives 0
\dc?.domain.com\profiles%username%\Backups 0
%Program Files (x86)%\CloudVolumes 0
%SystemDrive%\SnapVolumesTemp 0
%SystemDrive%\SVROOT 0
%SystemDrive%{00000000-0000-0000-0000-000000000000}\SVROOT 0
5)启动以下:
%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent\Agent\svservice.exe 0
%Program Files (x86)%\CloudVolumes\Agent\svservice.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\FlexEngine.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Helpdesk Support Tool.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Self-Support 0
%Program Files%\Immidio\FlexProfiles\FlexEngine.exe 0
%Program Files%\Immidio\FlexProfiles\FlexSyncTool.exe 0
%Program Files%\Immidio\FlexProfiles\Flex+ Helpdesk Support Tool.exe 0
%Program Files%\Immidio\FlexProfiles\Flex+ Self-Support.exe 0
6)禁用 ‘Block at First Sight’ 功能
7)禁用加入Microsoft MAPS(微软地图);关闭增强的通知;
8)禁用需要进一步分析时发送文件样本
7、第三方防病毒
VMware不认可或推荐任何特定的第三方防病毒软件供应商。以下是微软推荐的防病毒扫描参考微软安全建议。
VMware Horizon环境中的防病毒注意事项相关推荐
- 在Windows(VMware)环境中安装Linux虚拟机(CentOS)
2019年8月1日 星期四 13:28 初始环境:Windows Professional x86_64 1803 v17134.885 实现手段:Vmware Workstation Pro v15 ...
- VMware Horizon 8 设置 Linux 桌面
概述 在配置 Linux 桌面时,必须根据要在虚拟机上安装 2D 图形还是 3D 图形来按照不同的步骤序列进行操作. 官方文档给出了其步骤. 对于 2D 图形,执行以下步骤: 1.查看设置 Linux ...
- VMware Horizon 8 2303 - 虚拟桌面基础架构 (VDI) 和应用软件
请访问原文链接:https://sysin.org/blog/vmware-horizon-8/,查看最新版.原创作品,转载请保留出处. 作者主页:sysin.org Version 2303 Doc ...
- Log4j修复——Vmware Horizon
项目场景: vmware Horizon 修复 Log4j漏洞,缓解措施 Log4j CVE-2021-44228 and CVE-2021-45046 解决方案: 一.不易受影响的组件 Horizo ...
- 在虚拟宿主环境中承载 Active Directory 域控制器时需要考虑的事项
在虚拟宿主环境中承载 Active Directory 域控制器时需要考虑的事项 2020/09/08 本文介绍了影响在虚拟托管环境中作为来宾操作系统运行的基于 Microsoft Windows S ...
- 解决VMware虚拟机Win7环境中office2016打字卡顿问题
1.基础信息 VMware Workstation 版本:16.1.1 build-17801498 虚拟机操作系统:Windows 7 Office版本:Microsoft Office 2016专 ...
- VMware Horizon View 7.5 如何部署虚拟桌面, 专业技术咨询和购买
VMware Horizon View™ 可从您的云交付桌面服务,让终端用户享有自由,同时实现 IT 管理和控制. 借助 Horizon View,IT 部门能够简化和自动执行数千个桌面的管理,并从中 ...
- VMware Horizon View 7.5 如何搭建虚拟桌面,我们有软件硬件解决方案
VMware Horizon View™ 可从您的云交付桌面服务,让终端用户享有自由,同时实现 IT 管理和控制. 借助 Horizon View,IT 部门能够简化和自动执行数千个桌面的管理,并从中 ...
- VMware Horizon虚拟桌面工具箱之审计与远程协助
VMware Horizon产品提供了业界领先的虚拟桌面服务,安全.便利.高效,正逐渐成为下一代企业桌面的最佳选择.今天,我们向大家推荐一款由VMware公司开发的"Horizon工具箱&q ...
- VMware Horizon虚拟桌面工具箱2.0-审计,远程协助,控制台,电源
各位朋友,大家好,VMware Horizon 虚拟桌面工具箱2.0版本,已经面世啦!在2.0 版本中我们添加了vSphere虚拟机控制台访问.开机策略和图形化安装这三个新功能,并改进了部分老的功能. ...
最新文章
- 5G将改变技术格局的8个原因(上)
- vue cli 项目在打包时候报错 API fatal error handler returned after process out of memory
- DOS命令解决端口冲突问题
- ajax mysql项目 react_React16时代,该用什么姿势写 React ?
- 怎么制作铁闸门_红茶拿铁
- ActiveRecord模式整理
- CAS单点登录详细流程
- 华东理工计算机与金融专业,2019年华东理工大学各专业录取分数线
- 如何用Pygame写游戏(八)
- .net伪静态传多个参数
- Trusted Execution Technology (TXT) --- 启动控制策略(LCP)篇
- 中美线径对照表_中美WG线规对照表
- [学习笔记-SLAM篇]视觉SLAM十四讲ch3
- css使用box-shadow实现泛光效果
- 测试 必用 工具(测试工具知多少)
- 多视图立体视觉:从几何到学习 (PAMI2022, IJCV2022)
- ssm+java农村快递代取平台52wxh(程序+lw+源码+远程部署)
- 计算机毕业设计开题报告遇到问题及解决办法(建议收藏)
- sizeof的用法详解
- SpringBoot整合华为云OBS实现文件上传下载