Configurer les analyses antivirus des fichiers téléchargés
Important :
En raison des mises à jour du code de l’application dans StorageZones 4.2, certains clients doivent mettre à jour le niveau d’autorisation de l’outil depuis l’administrateur local vers le service réseau système. Si vous ne mettez pas à jour les autorisations, les analyses antivirus ne démarreront pas.
Exigences/Résumé
- Utilisateur utilisant StorageZones Controller 4.2 ou version ultérieure
- SFAntivirus doit être exécuté en tant que service réseau à l’aide de PsExec
- Mettre à jour l’emplacement du fichier
Exécutez SFAntivirus en tant que service réseau à l’aide de PsExec :
Les clients effectuant une mise à jour vers SZ 4.2 ou une version ultérieure avec des tâches planifiées existantes liées à SFAntivirus doivent modifier le niveau utilisateur auquel l’outil s’exécute, de l’administrateur local au service réseau système.
Pour obtenir des droits de service réseau, utilisez PsExec pour lancer PowerShell (x86) dans le même contexte utilisateur que le StorageZones Controller et obtenir les droits de service réseau à l’aide de la commande suivante :
PsExec.exe -i -u "NT AUTHORITY\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell
Mettre à jour l’emplacement du fichier
Les administrateurs doivent également modifier l’emplacement du fichier journal en modifiant l’entrée log4net.config, s’ils se connectaient à un répertoire en dehors du répertoire journal SZC par défaut, en modifiant la ligne suivante :
\<file value="..\\..\\SC\\logs\\avscantool-" /\>
L’installation de StorageZones Controller inclut plusieurs fichiers qui prennent en charge les analyses antivirus. Les fichiers sont installés par défaut dans C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus.
Après avoir personnalisé le fichier de configuration et utilisé le Planificateur de tâches Windows pour planifier les analyses, comme décrit dans les étapes suivantes, chaque demande de téléchargement de fichier amène le StorageZones Controller à mettre le fichier en file d’attente pour une analyse antivirus. Si des problèmes sont signalés pour un fichier analysé, la vue Dossiers inclut une icône d’avertissement pour le fichier. Si un utilisateur essaie de télécharger le fichier, un message d’avertissement s’affiche.
À partir de StorageZones Controller 4.0, l’emplacement du fichier journal de l’antivirus peut être configuré. Pour modifier l’emplacement du journal, modifiez le fichier SFAntiVirus.exe.config à l’adresse C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus.
L’analyse antivirus ne supprime pas le fichier.
L’utilisation du protocole ICAP avec les plates-formes d’analyse antivirus qui ont été codées selon la norme RFC pour ICAP est prise en charge sur StorageZones Controller 4.2 ou version ultérieure. Vous trouverez des informations sur la configuration d’un AV ICAP plus bas dans cet article.
Remarque :
Après avoir configuré l’antivirus sur votre zone, tous les éléments récemment téléchargés sont analysés. La configuration de l’antivirus n’est pas rétroactive. Sa configuration ne permet pas d’analyser les fichiers et les éléments qui existent déjà dans la zone.
Pour préparer la configuration de votre site
-
Pour exécuter des analyses de virus sur un serveur autre que le StorageZones Controller :
-
Copiez le dossier C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus sur l’autre serveur.
-
Sur le StorageZones Controller, ouvrez C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config et définissez QueueSDKRestricted sur 0 :
<add key="QueueSDKRestricted" value="0" />
-
-
Sur le serveur sur lequel vous exécutez des analyses de virus, modifiez SFAntiVirus.exe.config avec les valeurs de configuration de votre StorageZones Controller :
-
Pour CommandFile : Spécifiez le chemin complet du logiciel antivirus. Ce logiciel doit résider sur le même serveur que le dossier antivirus ShareFile.
-
Pour CommandOptions et les codes de retour : les paramètres de ligne de commande fournis dans le fichier de configuration sont un exemple. Fournissez les paramètres appropriés à votre logiciel antivirus et à votre environnement.
-
Pour ScanFileTimeout : l’analyse des fichiers plus volumineux peut prendre plus de temps. Réglez ce paramètre en fonction des tailles de fichier attendues dans votre espace de stockage. Dans le cas contraire, cela peut augmenter le risque qu’un fichier volumineux ne soit pas analysé.
-
-
Dans une fenêtre de ligne de commande, exécutez la commande suivante pour configurer les analyses de virus :
SFAntiVirus.exe -register SFusername SFpassword
Utiliser ICAP pour les analyses AV au lieu des outils de ligne de commande
StorageZones Controller 5.3 et versions ultérieures prennent en charge l’utilisation du protocole ICAP avec les plates-formes d’analyse antivirus qui ont été codées selon la norme RFC pour ICAP. Les clients peuvent toujours utiliser la méthode CLI s’ils le souhaitent. Cette fonctionnalité est prise en charge pour les zones tenant à partir de StorageZones Controller 5.0.1 et versions ultérieures.
Pour activer un scanner AV ICAP sur votre StorageZone Controller, accédez à la page de configuration du StorageZones Controller.
Cochez la case Activer l’intégration antivirus et entrez l’adresse de votre serveur antivirus dans le champ URL ICAP RESPMOD . Il s’agit de l’URL du service de modification de réponse ICAP : ICAP://SERVER/RESPMOD
.
Cliquez sur Tester la connectivité pour confirmer votre réglage.
Pour créer et planifier une tâche de recherche de virus
Remarque :
La création de tâches planifiées pour les analyses de virus n’est nécessaire que lors de l’utilisation des outils de ligne Cela n’est pas nécessaire lors de l’utilisation d’ICAP.
-
Démarrez le Planificateur de tâches Windows et, dans le volet Actions, cliquez sur Créer une tâche.
-
Sous l’onglet Général :
-
Donnez un nom significatif à la tâche.
-
Sous Options de sécurité, cliquez sur Changer d’utilisateur ou de groupeet spécifiez un utilisateur Windows pour exécuter la tâche. L’utilisateur doit disposer d’une autorisation d’accès complète sur l’emplacement de stockage.
-
Sélectionnez Exécuter, que l’utilisateur soit connecté ou non. Laissez la case à cocher Ne pas enregistrer le mot de passe désactivée.
-
Sélectionnez Exécuter avec les privilèges les plus élevés.
-
Dans le menu Configurer pour, sélectionnez le système d’exploitation du serveur sur lequel la tâche sera exécutée.
-
-
Pour créer un déclencheur : Dans l’onglet Déclencheurs, cliquez sur Nouveau. Ensuite, pour Commencer la tâche, choisissez Selon un calendrier et spécifiez un calendrier.
-
Pour créer une action : Dans l’onglet Actions, cliquez sur Nouveau.
-
Pour Action, choisissez Démarrer un programme et spécifiez le chemin complet du programme. Par exemple :
C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe
-
Pour Démarrer dans, spécifiez l’emplacement du fichier SFAntiVirus.exe :
C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus
-
-
Dans l’onglet Paramètres, pour Si la tâche est déjà en cours d’exécution, la règle suivante s’applique, sélectionnez Ne pas démarrer une nouvelle instance.
Intégration de la ligne de commande AV dans Scan Service
Conditions préalables
- Avant d’installer ou de mettre à niveau StorageZones Controller 5.2, assurez-vous d’arrêter ou de supprimer l’AV de ligne de commande existant s’il s’exécute en tant que tâche planifiée ou cron.
- Installez .NET 4.6.2 (ou version ultérieure) sur une machine hôte.
Le service d’analyse du StorageZones Controller sur site inclut la prise en charge de l’utilisation d’un outil AV en ligne de commande, tel que l’analyse AV en ligne de commande Symantec. En outre, le service d’analyse fournit des analyses avec les produits antivirus pris en charge par ICAP.
Pour activer cette fonctionnalité, ajoutez la clé et la valeur de configuration suivantes dans le fichier Antivirus/OnPrem/AVScanService/AppSettings.config
<add key="use-command-line-av" value="true" />
Configuration spécifique à l’outil de ligne de commande
La mise à niveau ou la nouvelle installation de StorageZones Controller 5.2 inclut un nouveau fichier de configuration :
AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json
Ce fichier gère les paramètres nécessaires pour la ligne de commande AV.
Les valeurs de clé de configuration sont expliquées ci-dessous avec des exemples de valeurs inclus.
-
Définissez ce point sur votre application de ligne de commande.
"command-file": "c:\\\\vscan\\\\scan.exe"
-
Consultez la documentation de l’application de ligne de commande pour connaître les options ou les commutateurs qu’elle prend en charge, puis ajoutez-les à cet emplacement.
"command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",
-
Incluez les valeurs de sortie qui indiquent une analyse propre.
"scanner-codes-for-clean-file": "0, 19",
-
Incluez des valeurs de sortie indiquant un fichier infecté.
"scanner-codes-for-infected-file": "12, 13",
-
Incluez des valeurs de sortie indiquant des fichiers non analysés.
"scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"
Remarques sur l’application de la taille maximale des fichiers, à l’exception des
Avant la version 5.2, vous ne pouviez pas appliquer l’exclusion d’extension ou l’application de la taille maximale des fichiers sur l’AV en ligne de commande. Vous ne pouviez le faire que sur le service d’analyse ICAP. Avec la version 5.2, les mêmes paramètres que ceux appliqués au service d’analyse ICAP concernant les extensions exclues et la taille maximale des fichiers en octets s’appliquent au service de ligne de commande AV.
Ces paramètres ont été nommés comme suit :
<add key="icap-exclude-extensions" value="" />
<add key="icap-max-file-size-bytes" value="0" />
Une nouvelle installation de StorageZones Controller 5.2 renomme ces paramètres comme suit. Les paramètres renommés reflètent le fait qu’ils sont applicables à la fois à l’AV basé sur ICAP et à l’AV en ligne de commande.
<add key="exclude-extensions" value="" />
<add key="max-file-size-bytes" value="0" />
Lors d’une mise à niveau, ces paramètres ne sont pas renommés. Bien que les renommages manuels fonctionnent, les mêmes paramètres fonctionneraient également pour la ligne de commande AV en plus d’ICAP.
<add key="icap-exclude-extensions" value="" />
<add key="icap-max-file-size-bytes" value="0" />