Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Virenschutz-Architektur

Beitragende

Die NetApp Virenschutzarchitektur besteht aus der Vscan-Serversoftware und den zugehörigen Einstellungen.

Vscan Server-Software

Sie müssen diese Software auf dem Vscan-Server installieren.

  • ONTAP Antivirus Connector

    Hierbei handelt es sich um die von NetApp bereitgestellte Software, die die Kommunikation von Scananforderungen und -antworten zwischen SVMs und Virenschutz-Software übernimmt. Er kann auf einer virtuellen Maschine ausgeführt werden, um die bestmögliche Leistung zu erzielen, verwenden Sie jedoch eine physische Maschine. Sie können diese Software von der NetApp Support-Website herunterladen (Anmeldung erforderlich).

  • Antivirus-Software

    Dies ist eine vom Partner bereitgestellte Software, die Dateien auf Viren oder anderen schädlichen Code scannt. Sie geben die Abhilfemaßnahmen für infizierte Dateien an, wenn Sie die Software konfigurieren.

Vscan-Softwareeinstellungen

Sie müssen diese Softwareeinstellungen auf dem Vscan-Server konfigurieren.

  • Scanner-Pool

    Diese Einstellung definiert die Vscan-Server und privilegierten Benutzer, die eine Verbindung zu SVMs herstellen können. Es definiert auch eine Zeitdauer für die Scan-Anforderung, nach der die Scan-Anforderung an einen alternativen Vscan-Server gesendet wird, wenn eine verfügbar ist.

    Hinweis

    Sie sollten in der Antivirensoftware auf dem Vscan-Server die Zeitdauer für die Zeitüberschreitung bei Scan-Request-Anforderung des Scanners auf fünf Sekunden einstellen. Dadurch werden Situationen vermieden, in denen der Dateizugriff verzögert oder ganz verweigert wird, da die Zeitüberschreitung auf der Software größer ist als die Zeitdauer für die Scananforderung.

  • Privilegierter Benutzer

    Diese Einstellung ist ein Domänenbenutzerkonto, das ein Vscan-Server verwendet, um eine Verbindung mit der SVM herzustellen. Das Konto muss in der Liste der privilegierten Benutzer im Scanner-Pool vorhanden sein.

  • Scanner-Richtlinie

    Diese Einstellung bestimmt, ob ein Scannerpool aktiv ist. Scannerrichtlinien sind systemdefiniert, sodass Sie keine benutzerdefinierten Scannerrichtlinien erstellen können. Nur diese drei Richtlinien sind verfügbar:

    • Primary Gibt an, dass der Scannerpool aktiv ist.

    • Secondary Gibt an, dass der Scanner-Pool nur aktiv ist, wenn keiner der Vscan-Server im primären Scanner-Pool verbunden ist.

    • Idle Gibt an, dass der Scannerpool inaktiv ist.

  • Zugangsrichtlinie

    Diese Einstellung definiert den Umfang eines Scans bei Zugriff. Sie können die maximale Dateigröße für den Scan, Dateierweiterungen und Pfade für den Scan sowie Dateierweiterungen und -Pfade für den Scan angeben.

    Standardmäßig werden nur Lese- und Schreib-Volumes gescannt. Sie können Filter festlegen, die das Scannen von schreibgeschützten Volumes ermöglichen oder das Scannen auf Dateien beschränken, die mit dem Zugriff ausführen geöffnet wurden:

    • scan-ro-volume Ermöglicht das Scannen schreibgeschützter Volumes.

    • scan-execute-access Schränkt das Scannen auf Dateien ein, die durch Ausführen des Zugriffs geöffnet wurden.

      Hinweis

      Zugriff ausführen“ unterscheidet sich von „Berechtigung ausführen“. Ein bestimmter Client hat nur dann “Execute Access” auf eine ausführbare Datei, wenn die Datei mit “Execute Intent” geöffnet wurde.

      Sie können die einstellen scan-mandatory Option „aus“, um festzulegen, dass der Dateizugriff zulässig ist, wenn keine Vscan-Server für Virenprüfungen verfügbar sind. Im On-Access-Modus können Sie aus den folgenden beiden Optionen wählen, die sich gegenseitig ausschließen:

    • Obligatorisch: Mit dieser Option versucht Vscan, die Scananforderung an den Server zu senden, bis die Timeout-Zeit abläuft. Wenn die Scananforderung vom Server nicht akzeptiert wird, wird die Clientzugriffsanforderung abgelehnt.

    • Nicht obligatorisch: Mit dieser Option erlaubt Vscan immer den Client-Zugriff, unabhängig davon, ob ein Vscan-Server für den Virenscanner verfügbar war oder nicht.

  • On-Demand Task

    Diese Einstellung definiert den Umfang eines On-Demand-Scans. Sie können die maximale Dateigröße für den Scan, Dateierweiterungen und Pfade für den Scan sowie Dateierweiterungen und -Pfade für den Scan angeben. Dateien in Unterverzeichnissen werden standardmäßig gescannt.

    Sie verwenden einen Cron-Zeitplan, um festzulegen, wann die Aufgabe ausgeführt wird. Sie können das verwenden vserver vscan on-demand-task run Befehl zum sofortigen Ausführen der Aufgabe.

  • Vscan-Dateioperationen-Profil (nur beim Scannen beim Zugriff)

    Der vscan-fileop-profile Parameter für das vserver cifs share create Befehl definiert, welche SMB-Dateioperationen einen Virus-Scan auslösen. Standardmäßig ist der Parameter auf festgelegt standard, Das ist NetApp Best Practice. Sie können diesen Parameter bei Bedarf anpassen, wenn Sie eine SMB-Freigabe erstellen oder ändern:

    • no-scan Gibt an, dass Virenscans nie für die Freigabe ausgelöst werden.

    • standard Gibt an, dass Virenscans durch Öffnen, Schließen und Umbenennen ausgelöst werden.

    • strict Gibt an, dass Virenscans durch Öffnen, Lesen, Schließen und Umbenennen ausgelöst werden.

      Der strict Profil bietet erhöhte Sicherheit für Situationen, in denen mehrere Clients gleichzeitig auf eine Datei zugreifen. Wenn ein Client eine Datei schließt, nachdem ein Virus darauf geschrieben wurde, und die gleiche Datei weiterhin auf einem zweiten Client geöffnet bleibt, strict Stellt sicher, dass ein Lesevorgang auf dem zweiten Client einen Scan auslöst, bevor die Datei geschlossen wird.

      Sie sollten vorsichtig sein, die zu beschränken strict` Profil für Freigaben, die Dateien enthalten, auf die Sie erwarten, wird gleichzeitig zugegriffen. Da dieses Profil mehr Scananforderungen generiert, kann dies die Performance beeinträchtigen.

    • writes-only Gibt an, dass Virenscans nur ausgelöst werden, wenn geänderte Dateien geschlossen werden.

      Seit writes-only Weniger Scananforderungen werden generiert, in der Regel wird die Performance verbessert.

    Wenn Sie dieses Profil verwenden, muss der Scanner so konfiguriert sein, dass nicht reparierbare infizierte Dateien gelöscht oder isoliert werden können, sodass kein Zugriff darauf möglich ist. Wenn beispielsweise ein Client eine Datei nach dem Schreiben eines Virus schließt und die Datei nicht repariert, gelöscht oder isoliert wird, kann jeder Client, der auf die Datei zugreift, eine Datei schließen without Das Schreiben wird infiziert sein.

Hinweis

Wenn eine Client-Anwendung einen Umbenennung durchführt, wird die Datei mit dem neuen Namen geschlossen und nicht gescannt. Wenn ein solcher Betrieb in Ihrer Umgebung Sicherheitsaspekte mit sich bringt, sollten Sie den verwenden standard Oder strict Profil: