ウイルス スキャン処理を特権ユーザに限定します。一般ユーザが、特権ユーザのクレデンシャルを使用できないようにします。これは、Active Directoryで特権ユーザのログイン権限をオフにすることで実現できます。

特権ユーザは、AdministratorsグループやBackup Operatorsグループなど、ドメイン内で多数の権限を持つユーザ グループの一員である必要はありません。ただし、Vscanサーバ接続を作成したり、ウイルス スキャンのためにファイルにアクセスしたりできるように、ストレージ システムのみによって検証される必要があります。

Vscanサーバが実行されているコンピュータは、ウイルス スキャンの目的でのみ使用します。一般的な用途で使用されるのを防ぐため、これらのマシンではWindows Terminal Servicesやその他のリモート アクセス プロビジョニングを無効にしておき、マシンに新しいソフトウェアをインストールするための権限は管理者のみに付与します。

Vscanサーバはウイルス スキャン専用にし、バックアップなどの他の処理には使用しないようにします。Vscanサーバは、仮想マシン（VM）として実行することもできます。VscanサーバをVMとして実行する場合は、VMに割り当てられたリソースが共有されておらず、ウイルス スキャンを実行するのに十分であることを確認してください。

リソースの過剰割り当てを回避するために、Vscanサーバには十分なCPU、メモリ、ディスク容量を提供します。ほとんどのVscanサーバは、マルチ コアCPUのサーバを使用して、CPU全体に負荷を分散する設計になっています。

NetAppは、SVMからVscanサーバへの接続には、スキャン トラフィックが他のクライアント ネットワーク トラフィックから影響を受けないようにするため、プライベートVLANによる専用のネットワークを使用することを推奨しています。Vscanサーバ上のウイルス対策VLANとSVM上のデータLIFに、専用の独立したネットワーク インターフェイス カード（NIC）を作成します。こうしておくと、ネットワークで問題が発生した場合の管理とトラブルシューティングがしやすくなります。プライベート ネットワークを使用して、ウイルス対策トラフィックを分離するようにします。ウイルス対策サーバを、次のいずれかの方法でドメイン コントローラ（DC）やONTAPと通信するように構成します。

NetAppのストレージ システムとVscanサーバの接続には、1GbE以上のネットワークを使用します。

複数のVscanサーバがある環境では、接続パフォーマンスが高い同等のネットワークですべてのサーバを接続します。Vscanサーバを接続すると、負荷共有が可能になるのでパフォーマンスが向上します。

NetAppは、リモート サイトやブランチ オフィスでは、リモートのVscanサーバではなくローカルのVscanサーバを使用することを推奨しています。これは、高レイテンシの環境にはローカルのVscanサーバが最適であるためです。コストを重視する場合は、ノートPCやデスクトップ コンピュータを使用して適度なウイルス対策を講じます。ボリュームやqtreeを共有してファイルシステム全体の定期スキャンのスケジュールを設定すると、それらをリモート サイトのシステムでスキャンできます。

負荷分散と冗長性を確保するため、複数のVscanサーバを使用してSVM上のデータをスキャンします。CIFSのワークロード量とそれに伴うウイルス対策トラフィック量はSVMごとに異なります。ストレージコントローラ上のCIFSおよびウイルススキャンのレイテンシを監視します。結果の傾向を経時的に監視します。VscanサーバのCPUまたはアプリケーションキューが原因でCIFSのレイテンシとウイルススキャンのレイテンシが傾向のしきい値を超えて増加すると、CIFSクライアントの待機時間が長くなる可能性があります。負荷を分散するために、Vscanサーバを追加してください。

最新バージョンのONTAP Antivirus Connectorをインストールします。

ウイルス対策のエンジンと定義を常に最新の状態に保ちます。推奨される更新頻度については、パートナーにお問い合わせください。

マルチテナンシー環境では、スキャナ プール（Vscanサーバのプール）を複数のSVMで共有できます。ただし、VscanサーバとSVMが同じドメインか、信頼できるドメインに属していることが条件になります。

感染したファイルに関するウイルス対策ソフトウェア ポリシーは、大半のウイルス対策ベンダーが設定しているデフォルト値である「delete」または「quarantine」に設定します。「vscan-fileop-profile」が「write_only」に設定されていると、感染したファイルが検出された場合も、ファイルは共有に残り、開くことができます。これは、ファイルを開いただけではスキャンはトリガーされないためです。ウイルス対策スキャンは、ファイルを閉じるまでトリガーされません。

scan-engine timeout`値は `scanner-pool request-timeout`値よりも小さくする必要があります。値を大きくすると、ファイルへのアクセスが遅延し、最終的にはタイムアウトする可能性があります。これを回避するには、 `scan-engine timeout`を `scanner-pool request-timeout`値より5秒小さく設定してください。 `scan-engine timeout`設定の変更方法については、スキャンエンジンベンダーのドキュメントを参照してください。 `scanner-pool timeout`は、詳細モードで次のコマンドを使用し、 `request-timeout`パラメータに適切な値を指定することで変更できます： `vserver vscan scanner-pool modify

NetAppは、オンアクセス スキャンのワークロード向けにサイジングされていて、オンデマンド スキャンを使用する必要がある環境では、既存のウイルス対策インフラに余計な負荷がかからないように、オンデマンド スキャンのジョブをオフピークの時間帯にスケジュールすることを推奨しています。