Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ウィルス対策アーキテクチャ

共同作成者
PDF

NetAppウィルス対策アーキテクチャは、Vscanサーバソフトウェアと関連する設定で構成されます。

Vscanサーバソフトウェア

このソフトウェアはVscanサーバにインストールする必要があります。

  • * ONTAP Antivirus Connector *

    ネットアップが提供するソフトウェアで、SVMとウィルス対策ソフトウェア間のスキャン要求と応答の通信を処理します。仮想マシン上で実行できますが、最高のパフォーマンスを得るには物理マシンを使用します。このソフトウェアは、NetApp Support Siteからダウンロードできます(ログインが必要です)。

  • * アンチウイルスソフトウェア *

    これは、ウイルスやその他の悪意のあるコードのファイルをスキャンするパートナー提供のソフトウェアです。ソフトウェアを設定する際に、感染したファイルに対して実行する処理を指定します。

Vscanソフトウェア設定

これらのソフトウェアをVscanサーバで設定する必要があります。

  • * スキャナプール *

    この設定では、SVMに接続できるVscanサーバと特権ユーザを定義します。また、スキャン要求のタイムアウト時間も定義します。この時間が経過すると、代わりの Vscan サーバがある場合はそのサーバにスキャン要求が送信されます。

    メモ

    Vscanサーバ上のウィルス対策ソフトウェアのタイムアウト時間は、scanner-poolのスキャン要求タイムアウト時間よりも5秒短く設定する必要があります。これにより、ソフトウェアのタイムアウト時間がスキャン要求のタイムアウト時間よりも長いため、ファイルアクセスが遅延または拒否される状況を回避できます。

  • * 特権ユーザ *

    この設定は、VscanサーバがSVMへの接続に使用するドメインユーザアカウントです。スキャナプール内の特権ユーザのリストにアカウントが存在している必要があります。

  • * スキャナポリシー *

    この設定では、スキャナプールをアクティブにするかどうかを指定します。スキャナポリシーはシステムで定義されるため、カスタムのスキャナポリシーを作成することはできません。次の3つのポリシーのみを使用できます。

    • Primary スキャナプールをアクティブにします。

    • Secondary プライマリスキャナプールのVscanサーバが1つも接続されていない場合にのみスキャナプールをアクティブにします。

    • Idle スキャナプールを非アクティブにします。

  • * オンアクセスポリシー *

    この設定では、オンアクセススキャンの範囲を定義します。スキャンする最大ファイルサイズ、スキャンに含めるファイル拡張子とパス、およびスキャンから除外するファイル拡張子とパスを指定できます。

    デフォルトでは、読み取り / 書き込みボリュームのみがスキャンされます。読み取り専用ボリュームのスキャンを有効にするフィルタや、実行アクセス権で開かれたファイルのみにスキャンを制限するフィルタを指定することができます。

    • scan-ro-volume 読み取り専用ボリュームのスキャンを有効にします。

    • scan-execute-access 実行アクセス権で開かれたファイルにスキャンを制限します。

      メモ

      「アクセスの実行」と「アクセスの実行」は「アクセスの実行」とは異なります。 指定されたクライアントは、実行ファイルが「実行意図」で開かれている場合にのみ、実行ファイルに対して「実行アクセス」を持つことになります。

      を設定できます scan-mandatory オフにすると、ウィルススキャンに使用できるVscanサーバがない場合にファイルアクセスが許可されます。オンアクセスモードでは、次の2つのオプションのいずれかを選択できます。

    • 必須:このオプションを指定すると、タイムアウト時間が経過するまで、Vscanはサーバへのスキャン要求の配信を試みます。サーバがスキャン要求を受け入れなかった場合、クライアントアクセス要求は拒否されます。

    • 必須以外:このオプションを使用すると、Vscanサーバがウィルススキャンに使用できるかどうかに関係なく、Vscanでクライアントアクセスが常に許可されます。

  • * オンデマンドタスク *

    この設定では、オンデマンドスキャンの範囲を定義します。スキャンする最大ファイルサイズ、スキャンに含めるファイル拡張子とパス、およびスキャンから除外するファイル拡張子とパスを指定できます。デフォルトでは、サブディレクトリ内のファイルがスキャンされます。

    cron スケジュールを使用していつタスクを実行するかを指定できます。を使用できます vserver vscan on-demand-task run タスクをすぐに実行するコマンド。

  • * Vscan ファイル処理プロファイル(オンアクセススキャンのみ) *

    vscan-fileop-profile のパラメータ vserver cifs share create コマンドは、ウィルススキャンをトリガーするSMBファイル処理を定義します。デフォルトでは、パラメータはに設定されています `standard`NetAppのベストプラクティスです。このパラメータは、SMB共有を作成または変更するときに必要に応じて調整できます。

    • no-scan 共有に対してウィルススキャンを一切トリガーしません。

    • standard 開く、閉じる、および名前変更の各処理でウィルススキャンをトリガーします。

    • strict 開く、読み取る、閉じる、および名前変更の各処理でウィルススキャンをトリガーします。

      strict プロファイルを使用すると、複数のクライアントが同時に1つのファイルにアクセスする状況でセキュリティが強化されます。あるクライアントがウィルスを書き込んだあとにファイルを閉じたときに、別のクライアントで同じファイルが開いたままになっている場合は、 strict 2番目のクライアントでの読み取り処理で、ファイルが閉じる前にスキャンがトリガーされるようにします。

      の制限に注意する必要があります strict` 同時にアクセスされる可能性があるファイルを含む共有にプロファイルを設定します。このプロファイルはより多くのスキャン要求を生成するため、パフォーマンスに影響を与える可能性があります。

    • writes-only 変更されたファイルが閉じられたときにのみウィルススキャンをトリガーします。

      以来 writes-only 生成されるスキャン要求が少なくなり、通常はパフォーマンスが向上します。

    このプロファイルを使用する場合は、修復不可能な感染ファイルを削除または隔離するようにスキャナを設定して、アクセスできないようにする必要があります。たとえば、クライアントがウィルスを書き込んだあとにファイルを閉じた場合、そのファイルにアクセスしたクライアントが修復、削除、または隔離されていない without それへの書き込みは感染します。

メモ

クライアントアプリケーションが名前変更操作を実行すると、ファイルは新しい名前で閉じられ、スキャンされません。このような処理がセキュリティ上の問題になる場合は、を使用してください standard または strict プロファイル(Profile):