Notes de mise à jour
Architecture antivirus
Suggérer des modifications
-
Un fichier PDF de toute la documentation
-
Configuration, mise à niveau et restauration d'ONTAP
-
Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
-
-
Gestion du stockage NAS
-
Configurez NFS avec l'interface de ligne de commande
-
Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
-
Gérer les serveurs SMB
-
Gérer l'accès aux fichiers via SMB
-
-
-
Gestion du stockage SAN
-
Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
-
Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
-
-
Protection des données et reprise d'activité
-
Plusieurs fichiers PDF
Creating your file...
L'architecture antivirus NetApp se compose du logiciel du serveur Vscan et des paramètres associés.
Logiciel du serveur Vscan
Vous devez installer ce logiciel sur le serveur Vscan.
-
ONTAP antivirus Connector
Il s'agit d'un logiciel fourni par NetApp qui gère les communications de demande et de réponse de scan entre les SVM et le logiciel antivirus. Il peut être exécuté sur une machine virtuelle, mais pour optimiser les performances, il convient d'utiliser une machine physique. Vous pouvez télécharger ce logiciel sur le site du support NetApp (vous devez disposer d'un identifiant).
-
Logiciel antivirus
Il s'agit d'un logiciel fourni par un partenaire qui analyse les fichiers à la recherche de virus ou d'autres codes malveillants. Lors de la configuration du logiciel, vous spécifiez les actions correctives à effectuer sur les fichiers infectés.
Paramètres du logiciel Vscan
Vous devez configurer ces paramètres logiciels sur le serveur Vscan.
-
Scanner pool
Ce paramètre définit les serveurs Vscan et les utilisateurs privilégiés qui peuvent se connecter aux SVM. Il définit également une période de temporisation de la demande de scan, après laquelle la requête de scan est envoyée à un autre serveur Vscan si un serveur est disponible.
Vous devez définir la période de temporisation dans le logiciel antivirus sur le serveur Vscan à cinq secondes de moins que le délai d'expiration de la demande de scan-pool. Cela permet d'éviter les situations dans lesquelles l'accès aux fichiers est retardé ou refusé car le délai d'expiration du logiciel est supérieur au délai d'expiration de la demande d'analyse.
-
Utilisateur privilégié
Ce paramétrage est un compte utilisateur de domaine qu'un serveur Vscan utilise pour se connecter à la SVM. Le compte doit figurer dans la liste des utilisateurs privilégiés du scanner pool.
-
Politique du scanner
Ce paramètre détermine si un scanner pool est actif. Les règles de scanner sont définies par le système ; vous ne pouvez donc pas créer de règles de scanner personnalisées. Seules les trois règles suivantes sont disponibles :
-
Primaryindique que le pool de scanner est actif. -
SecondaryPrécise que le pool de scanner est actif uniquement si aucun des serveurs Vscan du pool de scanner principal n'est connecté. -
Idleindique que le pool de scanner est inactif.
-
-
Politique sur accès
Ce paramètre définit la portée d'une analyse à l'accès. Vous pouvez spécifier la taille maximale du fichier à numériser, les extensions de fichier et les chemins à inclure dans la numérisation, ainsi que les extensions de fichier et les chemins à exclure de la numérisation.
Par défaut, seuls les volumes en lecture-écriture sont analysés. Vous pouvez spécifier des filtres qui permettent la numérisation de volumes en lecture seule ou qui limitent la numérisation aux fichiers ouverts avec l'accès d'exécution :
-
scan-ro-volumepermet d'analyser les volumes en lecture seule. -
scan-execute-accesslimite la numérisation aux fichiers ouverts avec l'accès d'exécution.
« Exécuter l'accès » est différent de « Exécuter l'autorisation ». Un client donné aura « accès à l'exécution » sur un fichier exécutable uniquement si le fichier a été ouvert avec « intention d'exécution ».
Vous pouvez définir le
scan-mandatoryOption désactivée pour spécifier que l'accès aux fichiers est autorisé lorsqu'aucun serveur Vscan n'est disponible pour l'analyse antivirus. En mode On-Access, vous pouvez choisir parmi les deux options mutuellement exclusives suivantes : -
Obligatoire : avec cette option, Vscan tente de livrer la demande de scan au serveur jusqu'à expiration du délai. Si la demande d'analyse n'est pas acceptée par le serveur, la demande d'accès client est refusée.
-
Non obligatoire : avec cette option, Vscan permet toujours l'accès client, qu'un serveur Vscan soit disponible ou non pour l'analyse antivirus.
-
-
Tâche à la demande
Ce paramètre définit l'étendue d'une acquisition à la demande. Vous pouvez spécifier la taille maximale du fichier à numériser, les extensions de fichier et les chemins à inclure dans la numérisation, ainsi que les extensions de fichier et les chemins à exclure de la numérisation. Les fichiers des sous-répertoires sont analysés par défaut.
Vous utilisez une planification cron pour spécifier quand la tâche s'exécute. Vous pouvez utiliser le
vserver vscan on-demand-task runcommande permettant d'exécuter la tâche immédiatement. -
Profil d'opérations fichier Vscan (analyse sur accès uniquement)
Le
vscan-fileop-profileparamètre pour levserver cifs share createDéfinit les opérations de fichier SMB qui déclenchent l'analyse antivirus. Par défaut, le paramètre est défini surstandard, Qui est la meilleure pratique de NetApp. Vous pouvez ajuster ce paramètre si nécessaire lors de la création ou de la modification d'un partage SMB :-
no-scanspécifie que les analyses antivirus ne sont jamais déclenchées pour le partage. -
standardindique que les analyses antivirus sont déclenchées par les opérations ouvrir, fermer et renommer. -
strictspécifie que les analyses antivirus sont déclenchées par les opérations d'ouverture, de lecture, de fermeture et de renommage.Le
strictle profil offre une sécurité améliorée dans les situations où plusieurs clients accèdent simultanément à un fichier. Si un client ferme un fichier après avoir écrit un virus, et que le même fichier reste ouvert sur un deuxième client,strictassure qu'une opération de lecture sur le second client déclenche une analyse avant la fermeture du fichier.Veillez à restreindre le
strict`le profil des partages contenant des fichiers que vous prévoyez sera accessible simultanément. Étant donné que ce profil génère davantage de demandes d'analyse, il peut avoir un impact sur les performances. -
writes-onlyspécifie que les analyses de virus ne sont déclenchées que lorsque les fichiers modifiés sont fermés.Depuis
writes-onlygénère moins de demandes d'analyse, ce qui améliore généralement les performances.
Si vous utilisez ce profil, le scanner doit être configuré pour supprimer ou mettre en quarantaine les fichiers infectés irréparables, afin qu'ils ne soient pas accessibles. Si, par exemple, un client ferme un fichier après l'écriture d'un virus, et que le fichier n'est pas réparé, supprimé ou mis en quarantaine, tout client qui accède au fichier
withoutécrire à elle sera infecté. -
|
|
Si une application client effectue une opération de renommage, le fichier est fermé avec le nouveau nom et n'est pas analysé. Si de telles opérations posent un problème de sécurité dans votre environnement, vous devez utiliser le |