背景

在任何計算環(huán)境中使用防病毒軟件都是非常重要的安全考慮。除非您的操作系統(tǒng)受到惡意軟件的保護，否則您可能會遭受負面的和潛在的破壞性軟件感染。但是，擁有完全受到病毒保護的操作系統(tǒng)的后果之一是其性能可能下降。可接受的安全級別和可接受的性能級別之間是一個平衡，并且這在一個環(huán)境與下一個環(huán)境之間會有所不同。

本文討論了在VMware Horizo??n環(huán)境中如何使用防病毒軟件，以及可以進行哪些更改以提高虛擬機性能，而又不會過度損害系統(tǒng)安全性。如果要查找有關特定第三方防病毒供應商解決方案的信息，請參閱其他資源。

注意：以任何方式限制防病毒軟件設置之前，請尋求安全團隊和防病毒供應商的指導，以確保這些限制適合您。

在考慮對全面的防病毒掃描進行調(diào)整以提高性能時，需要考慮以下幾個方面。這些適用于RDSH提供的單用戶虛擬桌面和基于會話的桌面以及應用程序。

注意事項

當考慮調(diào)整全包式（完全功能）防病毒掃描以提高性能時，有幾個方面需要考慮。它們既適用于單用戶虛擬桌面，也適用于基于會話的桌面和RDSH提供的應用程序。

1、關于虛擬機

對于虛擬機，有幾個一般注意事項：

1）將實時掃描設置為僅掃描本地驅(qū)動器。注意：如果正在使用防病毒解決方案來監(jiān)視遠程位置的托管文件共享、用戶配置文件、重定向文件夾和遠程外設，則不需要終端用戶桌面也掃描這些位置（無需重復做事情）。

2）在將黃金映像（模板）投入生產(chǎn)之前，一定要對它們進行病毒掃描。

3）使用非永久性桌面。可確保注銷時將每個用戶會話刷新到已知的干凈狀態(tài)（初始映像狀態(tài)），從而降低風險。并最好禁用非持久性桌面池讀取時掃描。但這是假定黃金映像已經(jīng)被掃描且已知沒有病毒。并不意味著要禁用實時掃描，寫時掃描仍應啟用。

4）從桌面的啟動或登錄例程中刪除任何不必要的防病毒操作或進程。即桌面登錄或啟動過程中，最好該階段沒有防病毒操作。

5）在非永久性虛擬機（VM）上禁用啟發(fā)式掃描。

6）根據(jù)需要對我們環(huán)境中的黃金映像進行頻繁的軟件更新。這樣可以確保，如果最終用戶需要重構(gòu)或重裝該桌面以清除病毒時，用戶將損失盡可能少的軟件。

7）對非永久性桌面池禁用防病毒軟件的自動更新。實際上，這適用于所有已安裝的軟件，而不僅僅是防病毒軟件，因為在使用非永久性桌面期間進行的更新在注銷和刷新后都會丟失。確保使用新的防病毒軟件版本和簽名文件來定期更新黃金映像。

8）定期掃描VMware View Composer持久磁盤(以前稱為用戶數(shù)據(jù)磁盤(UDD))以檢查是否有病毒。由于這種類型的磁盤是持久的，刷新或重新組合操作將不會刪除任何病毒。

9）從單用戶視圖虛擬機或RDSH機器上的實時掃描中排除那些低風險的文件和文件夾，但這些被排除在實時掃描之外的低風險文件和文件夾仍應定期進行掃描。包括：

頁面文件或分頁文件；IIS日志文件；Windows事件日志及以下目錄
C:\Program Files\VMware\；
%systemroot%\SoftwareDistribution\DataStore；
%allusersprofile%\NTUser.pol；
*.pst, *.pstx, and *.ost files；
%systemroot%\System32\Spool\Printers；
%ProgramData%\VMware\VDM\Logs；

2、服務掃描

請查看Microsoft支持文章“運行當前受支持的Windows版本的企業(yè)計算機的病毒掃描建議”，以獲取有關服務排除的一般通用指導。包含以下版本：

Windows Server 2012, all editions
Windows Server 2012 R2, all editions
Windows Server 2016, all editions
Windows Server 2019, all editions
Windows 7, all editions
Windows 8.1, all editions
Windows 10, all editions

3、Horizo??n管理服務器掃描

1）Horizo??n連接服務器代理從用戶到其分配資源的連接。

2）注冊服務器（Enrollment servers）部署以支持TrueSSO的實現(xiàn)。

3）Unified Access Gateway是一種強化Linux虛擬設備，多部署駐留在DMZ中。 Unified Access Gateway設備可確保進入公司數(shù)據(jù)中心的唯一遠程桌面和應用程序流量是經(jīng)過嚴格身份驗證的用戶的流量。統(tǒng)一訪問網(wǎng)關的設計確保了病毒不會利用任何弱點。在Unified Access Gateway上安裝防病毒軟件將使其無法運行。

4）應將以下某些服務器文件夾排除在實時掃描之外，而只安排定期掃描即可:

Horizon Connection Servers:
%programData%\VMware\VDM\Logs；
%AllUsersProfiles%\Application Data\VMware\VDM\Backups；
C:\Documents and Settings\All Users\Application Data\VMware\VDM\backups；
注冊服務器目錄：%programData%\VMware\VDM\Logs
View Composer鏈接克隆： %ProgramData%\Vmware\View Composer\Logs

4、對于App Volumes

VMware App Volumes使得在虛擬桌面和已發(fā)布的應用程序環(huán)境中，輕松交付，更新，管理和監(jiān)視應用程序及這些應用程序的用戶成為可能。在使用App Volumes時，計劃防病毒掃描應考慮以下事項：

1）您的ThinApp捕獲計算機應使用那些已知沒有病毒且沒有安裝防病毒軟件的快照。防病毒軟件的存在會干擾ThinApp軟件包的正確創(chuàng)建。您可以通過安裝所需的操作系統(tǒng)和基本軟件來確保它沒有病毒，而無需在網(wǎng)絡上安裝防病毒并進行快照。或者，可以在其上安裝防病毒軟件，對其進行掃描，卸載該防病毒軟件并拍攝快照。

2）如果可能的話，在捕獲應用程序時不要將捕獲服務器連接到網(wǎng)絡。

3）使用網(wǎng)絡共享存儲ThinApp軟件包時，請從實時掃描中排除所有已知沒有病毒的文件。不要只排除目錄本身，因為管理員可能會意外地將未知文件寫入共享。

4）由于ThinApp軟件包存儲數(shù)據(jù)時使用的簽名，殺毒軟件有時會產(chǎn)生誤報。如果該文件實際上是一個ThinApp包，這并不意味著該ThinApp包包含病毒。

5、VMware Horizon Cloud on Azure

1）使用 App Volumes時，排除Azure上Horizo??n Cloud的VHD文件：
%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent
C:{00000000-0000-0000-0000-000000000000}\SVROOT
C:{00000000-0000-0000-0000-000000000000}\SVROOT

%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent\Agent\svservice.exe //App Volumes Process Exclusions

%Program Files%\VMware\Horizon Agents\User Environment Manager\FlexEngine.exe //Dynamic Environment Manager
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Helpdesk Support Tool.exe
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Self-Support

6、Windows Defender非持久性域控策略配置示例

1）關閉Windows Defender Antivirus

2）隨機安排的計劃任務

3）禁止所有通知

4）排除以下路徑：
\dc?.domain.com\SYSVOL\domain.com\config\general
\domain.com\SYSVOL\domain.com\config\general 0
\dc?.domain.com\profiles%username%\Archives 0
\dc?.domain.com\profiles%username%\Backups 0
%Program Files (x86)%\CloudVolumes 0
%SystemDrive%\SnapVolumesTemp 0
%SystemDrive%\SVROOT 0
%SystemDrive%{00000000-0000-0000-0000-000000000000}\SVROOT 0

5）啟動以下：
%Program Files (x86)%\VMware\Horizon Agents\App Volumes Agent\Agent\svservice.exe 0
%Program Files (x86)%\CloudVolumes\Agent\svservice.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\FlexEngine.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Helpdesk Support Tool.exe 0
%Program Files%\VMware\Horizon Agents\User Environment Manager\Flex+ Self-Support 0
%Program Files%\Immidio\FlexProfiles\FlexEngine.exe 0
%Program Files%\Immidio\FlexProfiles\FlexSyncTool.exe 0
%Program Files%\Immidio\FlexProfiles\Flex+ Helpdesk Support Tool.exe 0
%Program Files%\Immidio\FlexProfiles\Flex+ Self-Support.exe 0

6）禁用 ‘Block at First Sight’ 功能

7）禁用加入Microsoft MAPS（微軟地圖）；關閉增強的通知；

8）禁用需要進一步分析時發(fā)送文件樣本

7、第三方防病毒

VMware不認可或推薦任何特定的第三方防病毒軟件供應商。以下是微軟推薦的防病毒掃描參考微軟安全建議。

總結(jié)

以上是生活随笔為你收集整理的VMware Horizon环境中的防病毒注意事项的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。