Storage zones controller

Configurar análisis antivirus de archivos cargados

Importante:

Debido a las actualizaciones del código de la aplicación en StorageZones 4.2, algunos clientes deben actualizar el nivel de permisos en el que se ejecuta la herramienta desde el administrador local hasta el servicio de red del sistema. Si no se actualizan los permisos, los análisis antivirus no se iniciarán.

Requisitos/Resumen

  • Usuario que utiliza StorageZones Controller 4.2 o posterior
  • SFAntivirus debe ejecutarse como un servicio de red mediante PsExec
  • Actualizar ubicación del archivo de registro

Ejecute SFAntivirus como un servicio de red con PsExec:

Los clientes que actualicen a SZ 4.2 o posterior con tareas programadas existentes que se vinculen a SFAntiVirus deben cambiar el nivel de usuario en el que se ejecuta la herramienta de administrador local al servicio de red del sistema.

Para obtener los derechos de servicio de red, use PsExec para iniciar PowerShell (x86) en el mismo contexto de usuario que el controlador de zonas de almacenamiento y obtenga los derechos de servicio de red mediante el siguiente comando:

PsExec.exe -i -u "NT AUTHORITY\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

Actualizar ubicación del archivo de registro

Los administradores también deben cambiar la ubicación del archivo de registro modificando la entrada log4net.config, si estaban iniciando sesión en un directorio fuera del directorio de registro SZC predeterminado, modificando la siguiente línea:

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

La instalación del controlador de zonas de almacenamiento incluye varios archivos que admiten análisis antivirus. Los archivos se instalan de forma predeterminada en C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus.

Después de personalizar el archivo de configuración y usar el Programador de tareas de Windows para programar los análisis, como se describe en los siguientes pasos, cada solicitud de carga de archivos hace que el controlador de zonas de almacenamiento ponga el archivo en cola para un análisis antivirus. Si se notifican problemas para un archivo analizado, la vista Carpetas incluye un icono de advertencia para el archivo. Si un usuario intenta descargar el archivo, aparece un mensaje de advertencia.

A partir de StorageZones Controller 4.0, se puede configurar la ubicación del archivo de registro del antivirus. Para modificar la ubicación del registro, modifique el archivo SFAntivirus.exe.config en C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus.

El análisis antivirus no elimina el archivo.

StorageZones Controller 4.2 o posterior admite el uso del protocolo ICAP con plataformas de análisis antivirus codificadas según el estándar RFC para ICAP. La información sobre la configuración de un AV ICAP se encuentra más adelante en este artículo.

Nota:

Después de configurar el antivirus en su zona, se analizarán todos los elementos recién subidos. La configuración del antivirus no es retroactiva. Al configurarlo, no se analizan los archivos y elementos que ya existen en la zona.

Para preparar la configuración de su ubicación

  1. Para ejecutar análisis de virus en un servidor que no sea el controlador de zonas de almacenamiento:

    1. Copie la carpeta C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus en el otro servidor.

    2. En el controlador de zonas de almacenamiento, abra C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config y establezca QueueSDKRestricted en 0: <add key="QueueSDKRestricted" value="0" />

  2. En el servidor en el que ejecuta los análisis de virus, modifique SFAntivirus.exe.config con los valores de la configuración del controlador de zonas de almacenamiento:

    1. Para CommandFile: especifique la ruta completa al software antivirus. El software debe residir en el mismo servidor que la carpeta antivirus ShareFile.

    2. Para CommandOptions y códigos de devolución: la configuración de la línea de comandos proporcionada en el archivo de configuración es un ejemplo. Proporcione la configuración adecuada para el software y el entorno antivirus.

    3. Para ScanFileTimeout: los archivos más grandes pueden tardar más en analizarse. Ajuste este parámetro de acuerdo con el tamaño de archivo que espera tener en su almacenamiento. De lo contrario, esto podría aumentar el riesgo de que no se analice un archivo grande.

  3. En una ventana de línea de comandos, ejecute el siguiente comando para configurar los análisis de virus: SFAntiVirus.exe -register SFusername SFpassword

Usar ICAP para escaneos AV en lugar de herramientas de línea de comandos

El controlador de zonas de almacenamiento 5.3 y posteriores admiten el uso del protocolo ICAP con plataformas de análisis antivirus que se han codificado según el estándar RFC para ICAP. Los clientes pueden seguir utilizando el método CLI si lo desean. Esta función es compatible con las zonas de arrendatarios a partir de Storage Zones Controller 5.0.1 y posteriores.

Para habilitar un escáner AV ICAP en el controlador de zona de almacenamiento, vaya a la página de configuración del controlador de zonas de almacenamiento.

Seleccione la casilla Habilitar integración antivirus e introduzca la dirección de su servidor de antivirus en el campo URL de ICAP RESPMOD. Esta es la URL del servicio de modificación de respuestas ICAP: ICAP://SERVER/RESPMOD.

Haga clic en Probar conectividad para confirmar la configuración.

Para crear y programar una tarea de análisis de virus

Nota:

La creación de tareas programadas para análisis de virus solo es necesaria cuando se utilizan herramientas de línea de comandos. Esto no es necesario cuando se utiliza ICAP.

  1. Inicie el Programador de tareas de Windows y, en el panel Acciones, haga clic en Crear tarea.

  2. En la ficha General :

    1. Proporcione un nombre descriptivo para la tarea.

    2. En Opciones de seguridad, haga clic en Cambiar usuario o grupoy especifique un usuario de Windows para ejecutar la tarea. El usuario debe tener permiso de acceso total en la ubicación de almacenamiento.

    3. Seleccione Ejecutar tanto si el usuario ha iniciado sesión como si no. Deje desmarcada la casilla No almacenar contraseña.

    4. Selecciona Ejecutar con los privilegios más altos.

    5. En el menú Configurar para, seleccione el sistema operativo del servidor en el que se ejecutará la tarea.

  3. Para crear un disparador: en la ficha Desencadenantes, haga clic en Nuevo. A continuación, para Comenzar la tarea, elija Según una programación y especifique una programación.

  4. Para crear una acción: en la ficha Acciones, haga clic en Nueva.

    1. En Acción, elija Iniciar un programa y especifique la ruta completa al programa. Por ejemplo:

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

    2. Para Iniciar en, especifique la ubicación de SFAntiVirus.exe: C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

  5. En la ficha Configuración, en Si la tarea ya se está ejecutando, se aplica la siguiente regla, elija No iniciar una nueva instancia.

Integración de línea de comandos AV en Scan Service

Requisitos previos

  • Antes de instalar o actualizar el controlador de zonas de almacenamiento 5.2, asegúrese de detener o eliminar el AV de línea de comandos existente si se ejecuta como una tarea programada o como un cron.
  • Instale .NET 4.6.2 (o posterior) en un equipo host.

El servicio de escaneo en el controlador de zonas de almacenamiento local incluye soporte para usar una herramienta AV de línea de comandos, como AV Scan de línea de comandos de Symantec. Además, el servicio de análisis proporciona análisis con productos antivirus compatibles con ICAP.

Para habilitar esta función, agregue esta clave y el valor de configuración en AntiVirus/OnPrem/AVScanService/AVScanService/appSettings.config

<add key="use-command-line-av" value="true" />

Configuración específica de la herramienta de línea de comandos

La actualización o la nueva instalación de Storage Zones Controller 5.2 incluye un nuevo archivo de configuración:

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

Este archivo gestiona los ajustes necesarios para la línea de comandos AV.

Los valores de clave de configuración se explican a continuación con valores de ejemplo incluidos.

  • Establezca este punto en la aplicación de línea de comandos.

    "command-file": "c:\\\\vscan\\\\scan.exe"

  • Consulte la documentación de la aplicación de línea de comandos para ver qué opciones o conmutadores admite y, a continuación, agréguelos en esta ubicación.

    "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

  • Incluya los valores de salida que indican un escaneo limpio.

    "scanner-codes-for-clean-file": "0, 19",

  • Incluye valores de salida que indiquen el archivo infectado.

    "scanner-codes-for-infected-file": "12, 13",

  • Incluya valores de salida que indiquen archivos no analizados.

    "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

Notas sobre la aplicación del tamaño máximo de archivo, excluidas las extensiones

Antes de la versión 5.2, no se podía imponer la exclusión de extensiones ni la aplicación del tamaño máximo de archivo en el AV de línea de comandos. Solo podía hacerlo en el servicio ICAP Scan. Con la versión 5.2, los mismos ajustes que se aplicaban al servicio de análisis ICAP con respecto a las extensiones excluidas y el tamaño máximo de archivo en bytes se aplican al servicio de línea de comandos AV.

Estos parámetros se denominaron como:

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

Una nueva instalación de Storage Zones Controller 5.2 cambia el nombre de estos ajustes por el siguiente. Los ajustes renombrados reflejan el hecho de que son aplicables tanto al AV basado en ICAP como al AV de línea de comandos.

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

En una actualización, no se cambia el nombre de estos parámetros. Aunque los cambios de nombre manuales funcionan, los mismos ajustes también funcionarían para la línea de comandos AV además de ICAP.

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

Configurar análisis antivirus de archivos cargados