Citrix虛擬桌面安全和防病毒最佳實踐(上)

概述

本文提供了在Citrix虛擬應用程序和桌面環境中，如何配置防病毒軟件的指南，以及在其餘環境（如雲鏈接器、供應商服務等）上配置防病毒軟件。錯誤的防病毒配置在客戶現場常常看到的，它會致使不少問題，好比性能問題或用戶體驗降低，以及各類組件的超時和故障。

在這篇技術文章中，咱們將討論與虛擬化環境中的防病毒部署相關的幾個主要主題：代理配置、簽名更新、推薦的排除列表和性能優化。防病毒最佳實踐的成功實施，取決於防病毒供應商和安全團隊。咱們應該諮詢他們，以得到更具體的建議。

警告！

本文包含了防病毒排除的示例。防病毒排除和優化會增長系統的***面，並可能使計算機暴露於各類真實的安全威脅，咱們必須深入理解優化帶來的風險。可是，如下指導原則一般表明安全性和性能之間的最佳權衡。Citrix不建議實施任何這些排除或優化，除非在實驗室環境中進行了嚴格的測試，以完全瞭解安全性和性能之間的權衡。Citrix還建議組織在進行任何類型的生產部署以前，讓其防病毒和安全團隊審查如下準則。

Agent 註冊

安裝在每一個已配置虛擬機上的代理軟件一般須要在中心站點註冊以進行管理、報告當前狀態和其餘活動。爲了成功註冊，每一個代理都須要惟一標識。

對於使用諸如資源調配服務（pvs）或建立服務（mcs）等技術從單個映像提供的機器，瞭解如何識別每一個代理以及是否存在虛擬化環境所需的任何指令很是重要。一些供應商使用動態信息（如MAC地址或計算機名稱）進行機器標識。

另外一些則使用安裝過程當中生成的隨機字符串的更傳統的方法。爲了防止註冊衝突，每臺機器都須要生成一個惟一的標識符。這一般是使用一個啓動腳原本完成的，該腳本自動從一個持久的位置恢復機器標識數據。

在更動態的環境中，瞭解機器的de-provisioning 配置是如何工做的也很重要，若是de-provisioning是手動操做，或者是自動執行，。一些供應商提供與hypervisors甚至交付控制器的集成，在這些控制器中，能夠在配置機器時自動建立或刪除機器。

建議：詢問您的安全供應商如何註冊/註銷。若是註冊須要對具備單個鏡像管理的環境執行其餘步驟，請在鏡像管理說明中包括這些步驟，最好是做爲徹底自動化的腳本。

  編/Ivy Chen