Storage zones controller

アップロードされたファイルのウイルス対策スキャンの構成

重要:

StorageZones 4.2 のアプリケーションコードを更新するため、一部のお客様は、ローカル管理者からシステムネットワークサービスに、ツールを実行する権限レベルを更新する必要があります。アクセス許可の更新に失敗すると、ウイルス対策スキャンの開始に失敗します。

要件/要約

  • StorageZones Controller 4.2以降を使用しているユーザー
  • sfAntivirusは、PSExecを使用してネットワークサービスとして実行する必要があります
  • ログファイルの場所を更新する

PSExec を使用して SFAntivirus をネットワークサービスとして実行します

SFAntivirus にリンクしている既存のスケジュールされたタスクを使用して SZ 4.2 以降に更新するクライアントは、ツールを実行するユーザーレベルをローカル管理者からシステムネットワークサービスに変更する必要があります。

ネットワークサービス権限を取得するには、PSExec を使用してストレージゾーン Controller と同じユーザーコンテキストで PowerShell (x86) を起動し、次のコマンドを使用してネットワークサービス権限を取得します。

PsExec.exe -i -u "NT AUTHORITY\NetworkService" C:\\Windows\\SysWOW64\\WindowsPowerShell\\v1.0\\powershell

ログファイルの場所を更新する

管理者は、次の行を変更して、デフォルトの SZC ログディレクトリ以外のディレクトリにログインしている場合は、log4net.config エントリを編集してログファイルの場所を変更する必要もあります。

\<file value="..\\..\\SC\\logs\\avscantool-" /\>

ストレージゾーン Controller のインストールには、ウイルス対策スキャンをサポートするいくつかのファイルが含まれています。ファイルは C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus. にデフォルトでインストールされます

次の手順で説明するように、構成ファイルをカスタマイズし、Windows タスクスケジューラを使用してスキャンをスケジュールすると、ファイルアップロード要求ごとにストレージゾーンコントローラがファイルをウイルス対策スキャン用にキューイングします。スキャンされたファイルに関する問題が報告された場合、フォルダビューにはファイルの警告アイコンが表示されます。ユーザーがファイルをダウンロードしようとすると、警告メッセージが表示されます。

StorageZones Controller 4.0 以降では、ウイルス対策ログファイルの場所を構成できます。ログの場所を変更するには、C:\inetpub\wwwroot\Citrix\StorageCenter\tools\SFAntiVirus. で SFAntivirus.exe.config ファイルを編集します。

ウイルス対策スキャンでは、ファイルは削除されません。

StorageZones Controller 4.2 以降では、ICAP の RFC 標準にコード化されたウイルス対策スキャンプラットフォームで ICAP プロトコルを使用することがサポートされます。ICAP AV の設定に関する情報は、この記事のさらに下にあります。

注意:

ゾーンでウイルス対策を構成すると、新しくアップロードされたアイテムがスキャンされます。ウイルス対策の設定は遡及的ではありません。ゾーンにすでに存在するファイルおよびアイテムはスキャンされません。

場所の設定を準備するには

  1. ストレージゾーンController以外のサーバーでウイルススキャンを実行するには

    1. フォルダー C:\inetpub\wwwroot\Citrix\StorageCenter\Tools\SFAntiVirus を別のサーバーにコピーします。

    2. ストレージゾーンコントローラーで C:\inetpub\wwwroot\Citrix\StorageCenter\AppSettingsRelease.config を開き、queuesdkRestricted を 0 に設定します。 <add key="QueueSDKRestricted" value="0" />

  2. ウイルススキャンを実行するサーバーで、sfAntiVirus.exe.config をストレージゾーン Controller 構成の値で編集します。

    1. CommandFile: ウイルス対策ソフトウェアのフルパスを指定します。このソフトウェアは、ShareFileウイルス対策フォルダと同じサーバー上に存在する必要があります。

    2. CommandOptions とリターンコードの場合:設定ファイルに提供されるコマンドライン設定の例を示します。ウイルス対策ソフトウェアおよび環境に適した設定を指定します。

    3. ScanFileTimeout の場合:大きいファイルのスキャンに時間がかかる場合があります。ストレージで予想されるファイルサイズに応じて、この設定を調整します。そうしないと、大きなファイルがスキャンされないリスクが高まる可能性があります。

  3. コマンドラインウィンドウで、次のコマンドを実行して、ウイルススキャンを設定します。 SFAntiVirus.exe -register SFusername SFpassword

コマンドラインツールの代わりに ICAP を AV スキャンで使用する

ストレージゾーンコントローラ 5.3 以降では、ICAP の RFC 標準にコード化されたウイルス対策スキャンプラットフォームでの ICAP プロトコルの使用がサポートされています。お客様は、必要に応じて CLI メソッドを使用できます。この機能は、ストレージゾーンコントローラ 5.0.1 以降では、テナントゾーンでサポートされています。

Storage Zone Controllerで ICAP AV スキャナーを有効にするには、Storage Zone Controllerの設定ページに移動します。

[ ウイルス対策統合を有効にする ] チェックボックスをオンにし、[ ICAP RESPMOD URL ] フィールドにウイルス対策サーバのアドレスを入力します。これは、ICAP 応答変更サービスの URL ICAP://SERVER/RESPMODです。

[ 接続のテスト ] をクリックして設定を確認します。

ウイルススキャンのタスクを作成してスケジュールするには

注意:

ウイルススキャンのスケジュールされたタスクの作成は、コマンドラインツールを使用する場合にのみ必要です。ICAP を利用する場合、これは必須ではありません。

  1. Windows タスクスケジューラを起動し、[ 操作 ] ウィンドウで [ タスクの作成] をクリックします。

  2. [ 全般 ] タブで、次の操作を行います。

    1. タスクにわかりやすい名前を指定します。

    2. [ セキュリティオプション ] で、[ ユーザーまたはグループの変更] をクリックし、タスクを実行する Windows ユーザーを指定します。ユーザーは、格納場所に対するフルアクセス権を持っている必要があります。

    3. [ ユーザーがログオンしているかどうかに関係なく実行する] を選択します。[ パスワードを保存しない ] チェックボックスはオフのままにします。

    4. [ 最高の権限で実行する] を選択します。

    5. [ Configure for] メニューから、タスクを実行するサーバーのオペレーティングシステムを選択します。

  3. トリガーを作成するには:[ トリガー ] タブで、[ 新規] をクリックします。次に、[ タスクの開始]で [スケジュールに従う ] を選択し、スケジュールを指定します。

  4. アクションを作成するには:[ アクション ] タブで、[ 新規作成] をクリックします。

    1. [ 操作] で、[ プログラムの開始 ] を選択し、プログラムへのフルパスを指定します。次に例を示します:

      C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus\\SFAntiVirus.exe

    2. [開始場所] で、SFAntiVirus.exe の場所を指定します。 C:\\inetpub\\wwwroot\\Citrix\\StorageCenter\\Tools\\SFAntiVirus

  5. [ 設定 ] タブの [ タスクが既に実行されている場合、次のルールが適用されます] で、[ 新しいインスタンスを開始しない] を選択します。

スキャンサービスへのAVコマンドライン統合

前提条件

  • ストレージゾーン Controller 5.2 をインストールまたはアップグレードする前に、既存のコマンドライン AV がスケジュールされたタスクまたは cron として実行されている場合は、そのコマンドライン AV を停止または削除してください。
  • ホストマシンに.NET 4.6.2 (またはそれ以降) をインストールします。

オンプレミスのストレージゾーンコントローラのスキャンサービスには、Symantec コマンドライン AV スキャンなどのコマンドラインの AV ツールの使用がサポートされています。さらに、スキャンサービスは、ICAP がサポートするウイルス対策製品を使用してスキャンを提供します。

この機能を有効にするには、次の設定キーと値をアンチウイルス/onprem/AVscanService/AVScanService/appSettings.config に追加します。

<add key="use-command-line-av" value="true" />

コマンドラインツール固有の構成

ストレージゾーン Controller 5.2 のアップグレードまたは新規インストールには、新しい構成ファイルが含まれます。

AntiVirus/OnPrem/AVScanService/AVScanService/avCommandLineSettings.json

このファイルは、AVコマンドラインに必要な設定を処理します。

次に、設定キーの値について説明し、値の例を挙げます。

  • このポイントをコマンドラインアプリに設定します。

    "command-file": "c:\\\\vscan\\\\scan.exe"

  • コマンドラインアプリのマニュアルを参照して、サポートされているオプションまたはスイッチを確認し、この場所にそれらを追加します。

    "command-options": "/ALL /ANALYZE /MIME /NOMEM /NORENAME /SECURE ",

  • クリーンスキャンを示す出力値を含めます。

    "scanner-codes-for-clean-file": "0, 19",

  • 感染ファイルを示す出力値を含めます。

    "scanner-codes-for-infected-file": "12, 13",

  • スキャンされていないファイルを示す出力値を含めます。

    "scanner-codes-for-notscanned-file": "2, 6, 8, 15, 20, 21, 102"

拡張子の除く最大ファイルサイズの強制に関する注意事項

バージョン 5.2 より前のバージョンでは、コマンドライン AV で拡張子の除外または最大ファイルサイズの強制を実行できませんでした。この操作は、ICAP スキャンサービスでのみ実行できます。バージョン 5.2 では、除外された拡張子および最大ファイルサイズ (バイト単位) に関する ICAP スキャンサービスに適用したのと同じ設定が AV コマンドラインサービスに適用されます。

これらの設定の名前は次のとおりです。

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

ストレージゾーン Controller 5.2 を新規インストールすると、これらの設定の名前が次のように変更されます。名前が変更された設定は、ICAP ベースの AV とコマンドライン AV の両方に適用できるという事実を反映しています。

<add key="exclude-extensions" value="" />

<add key="max-file-size-bytes" value="0" />

アップグレードでは、これらの設定の名前は変更されません。手動による名前の変更も機能しますが、ICAP に加えて AV コマンドラインでも同じ設定が機能します。

<add key="icap-exclude-extensions" value="" />

<add key="icap-max-file-size-bytes" value="0" />

アップロードされたファイルのウイルス対策スキャンの構成