Citrix虛擬桌面安全和防病毒最佳實踐(中)

編者按：上篇，咱們聊到了Agent 註冊，本篇咱們繼續討論其餘方案

簽名更新

高效和持續更新的簽名是端點安全解決方案最重要的方面之一。大多數供應商使用存儲在每一個受保護設備上的本地緩存、增量更新的簽名。

對於非持久性機器，瞭解如何更新簽名以及簽名存儲在何處很是重要。這將使您瞭解惡意軟件感染機器的機會窗口。此外，它還將幫助您設計環境以最小化此窗口。

特別是在更新不是增量的而且能夠達到很大的規模的狀況下，您可能會考慮將持久性存儲鏈接到每一個非持久性計算機上的部署，以在重置和映像更新之間保持更新緩存的完整性。使用這種方法，機會窗口和定義更新的性能影響最小化。

除了爲每一個提供的機器更新簽名以外，還必須定義更新主映像的策略。建議自動執行此過程，由於使用最新簽名按期更新主映像。這對於增量更新尤爲重要，在增量更新中，您將最小化每一個虛擬機所需的通訊量。

在虛擬化環境中管理簽名更新的另外一種方法是使用集中的掃描引擎徹底替換分散簽名的性質，最小化防病毒的性能影響。

建議：詢問您的安全供應商如何在防病毒軟件中更新簽名。預期的大小和頻率是多少，更新是增量的嗎？對於非持久性環境有什麼建議嗎？

性能優化

防病毒軟件，若是配置不當，會對可擴展性和總體用戶體驗產生負面影響。所以，瞭解性能影響很是重要，以便肯定是什麼致使了性能影響以及如何將其最小化。

可用的性能優化策略，對於不一樣的防病毒供應商和實現是不一樣的。最多見和最有效的方法之一是提供防病毒集中掃描功能，代替了以前每臺機器負責掃描（一般是相同的）樣本，而是集中掃描，只執行一次。此方法針對虛擬化環境進行了優化；可是，請確保您瞭解它對高可用性的影響。

*Offloading s

對專用設備的掃描在虛擬化環境中很是有效。*

另外一種方法是基於磁盤只讀部分的預掃描，一般配置前在主映像上執行,瞭解這如何影響機會窗口很重要（例如，若是磁盤已經包含受感染的文件，但在預掃描階段簽名不可用怎麼辦？）。此優化一般與只寫日誌整合，由於全部讀取都未來自預掃描的磁盤部分，或者來自在寫入操做期間已掃描的特定於會話的寫入緩存/差別磁盤。一般，一個好的折衷辦法是將實時掃描（優化）與預約掃描（系統的徹底掃描）結合起來。

最多見的掃描優化是隻關注虛擬機之間的差別*

建議：性能優化能夠極大改善用戶體驗。可是，應該注意的是，它們能夠被視爲安全風險。所以，建議您諮詢供應商和您的安全團隊。大多數具備虛擬化環境解決方案的防病毒供應商都提供優化的掃描引擎。