Citrix虚拟桌面安全和防病毒最佳实践(上)

概述

本文提供了在Citrix虚拟应用程序和桌面环境中，如何配置防病毒软件的指南，以及在其余环境（如云链接器、供应商服务等）上配置防病毒软件。错误的防病毒配置在客户现场常常看到的，它会致使不少问题，好比性能问题或用户体验降低，以及各类组件的超时和故障。

在这篇技术文章中，咱们将讨论与虚拟化环境中的防病毒部署相关的几个主要主题：代理配置、签名更新、推荐的排除列表和性能优化。防病毒最佳实践的成功实施，取决于防病毒供应商和安全团队。咱们应该咨询他们，以得到更具体的建议。

警告！

本文包含了防病毒排除的示例。防病毒排除和优化会增长系统的***面，并可能使计算机暴露于各类真实的安全威胁，咱们必须深入理解优化带来的风险。可是，如下指导原则一般表明安全性和性能之间的最佳权衡。Citrix不建议实施任何这些排除或优化，除非在实验室环境中进行了严格的测试，以完全了解安全性和性能之间的权衡。Citrix还建议组织在进行任何类型的生产部署以前，让其防病毒和安全团队审查如下准则。

Agent 注册

安装在每一个已配置虚拟机上的代理软件一般须要在中心站点注册以进行管理、报告当前状态和其余活动。为了成功注册，每一个代理都须要惟一标识。

对于使用诸如资源调配服务（pvs）或建立服务（mcs）等技术从单个映像提供的机器，了解如何识别每一个代理以及是否存在虚拟化环境所需的任何指令很是重要。一些供应商使用动态信息（如MAC地址或计算机名称）进行机器标识。

另外一些则使用安装过程当中生成的随机字符串的更传统的方法。为了防止注册冲突，每台机器都须要生成一个惟一的标识符。这一般是使用一个启动脚原本完成的，该脚本自动从一个持久的位置恢复机器标识数据。

在更动态的环境中，了解机器的de-provisioning 配置是如何工做的也很重要，若是de-provisioning是手动操做，或者是自动执行，。一些供应商提供与hypervisors甚至交付控制器的集成，在这些控制器中，能够在配置机器时自动建立或删除机器。

建议：询问您的安全供应商如何注册/注销。若是注册须要对具备单个镜像管理的环境执行其余步骤，请在镜像管理说明中包括这些步骤，最好是做为彻底自动化的脚本。

  编/Ivy Chen