特権ユーザのウィルススキャン処理を制限します。通常のユーザは、特権ユーザクレデンシャルを使用しないでください。この制限は、Active Directoryの特権ユーザのログイン権限を無効にすることで実現できます。

AdministratorsグループやBackup Operatorsグループなど、ドメイン内で多数の権限を持つユーザグループには、特権ユーザを含める必要はありません。特権ユーザは、Vscanサーバ接続の確立およびウィルススキャン用ファイルへのアクセスを許可するために、ストレージシステムでのみ検証する必要があります。

Vscanサーバを実行しているコンピュータは、ウィルススキャンの目的でのみ使用してください。一般的な使用を避けるには、これらのマシンのWindowsターミナルサービスおよびその他のリモートアクセスプロビジョニングを無効にし、これらのマシンに新しいソフトウェアをインストールする権利を管理者のみに付与します。

Vscanサーバはウィルススキャン専用にし、バックアップなどの他の処理には使用しないでください。Vscanサーバを仮想マシン（VM）として実行することもできます。VscanサーバをVMとして実行する場合は、VMに割り当てられているリソースが共有されておらず、ウィルススキャンを実行するのに十分であることを確認してください。

Vscanサーバに適切なCPU、メモリ、およびディスク容量を提供して、リソースの過剰割り当てを回避します。ほとんどのVscanサーバは、複数のCPUコアサーバを使用してCPU間で負荷を分散するように設計されています。

SVMからVscanサーバへの接続には、スキャントラフィックが他のクライアントネットワークトラフィックの影響を受けないように、専用ネットワークとプライベートVLANを使用することを推奨しますNetApp。Vscanサーバ上のウィルス対策VLAN専用およびSVM上のデータLIF専用の、独立したネットワークインターフェイスカード（NIC）を作成します。この手順により、ネットワークの問題が発生した場合の管理とトラブルシューティングが簡単になります。アンチウイルストラフィックは、プライベートネットワークを使用して分離する必要があります。ウィルス対策サーバは、次のいずれかの方法でドメインコントローラ（DC）およびONTAPと通信するように設定する必要があります。

少なくとも1GbEネットワークを使用して、NetAppストレージシステムとVscanサーバを接続します。

複数のVscanサーバがある環境では、同様の高パフォーマンスネットワーク接続があるすべてのサーバを接続します。Vscanサーバを接続すると、負荷を分散できるためパフォーマンスが向上します。

リモートサイトやブランチオフィスには、NetAppではリモートのVscanサーバではなくローカルのVscanサーバを使用することを推奨します。これは、Vscanサーバが高レイテンシの場合に最適なサーバであるためです。コストが要因の場合は、中程度のウイルス保護のためにラップトップまたはPCを使用してください。ボリュームまたはqtreeを共有し、リモートサイトの任意のシステムからスキャンすることで、ファイルシステム全体の定期的なスキャンをスケジュールできます。

複数のVscanサーバを使用してSVM上のデータをスキャンし、ロードバランシングと冗長性を確保します。CIFSワークロードとその結果のウィルス対策トラフィックの量は、SVMごとに異なります。ストレージコントローラでCIFSとウィルススキャンのレイテンシを監視します。時間の経過に伴う結果の傾向を監視します。VscanサーバのCPUキューやアプリケーションキューが原因でCIFSのレイテンシやウィルススキャンのレイテンシがトレンドのしきい値を超えて上昇すると、CIFSクライアントの待機時間が長くなることがあります。負荷を分散するためにVscanサーバを追加します。

最新バージョンのONTAP Antivirus Connectorをインストールします。

ウイルス対策のエンジンと定義を常に最新の状態に保ちます。推奨される更新頻度については、パートナーにお問い合わせください。

マルチテナンシー環境では、スキャナ プール（Vscanサーバのプール）を複数のSVMで共有できます。ただし、VscanサーバとSVMが同じドメインか、信頼できるドメインに属していることが条件になります。

感染したファイルに関するウイルス対策ソフトウェア ポリシーは、大半のウイルス対策ベンダーが設定しているデフォルト値である「delete」または「quarantine」に設定します。「vscan-fileop-profile」が「write_only」に設定されていると、感染したファイルが検出された場合も、ファイルは共有に残り、開くことができます。これは、ファイルを開いただけではスキャンはトリガーされないためです。ウイルス対策スキャンは、ファイルを閉じるまでトリガーされません。

scan-engine timeout`値は値より小さくする必要があります `scanner-pool request-timeout。この値を大きい値に設定すると、ファイルへのアクセスに遅延が生じ、最終的にタイムアウトする可能性があります。これを回避するには、を値より5秒短く scanner-pool request-timeout`設定し `scan-engine timeout`ます。設定の変更方法については、スキャンエンジンベンダーのマニュアルを参照して `scan-engine timeout`ください。を `scanner-pool timeout`変更するには、advancedモードで次のコマンドを使用し、パラメータに適切な値を指定し `request-timeout`ます。 `vserver vscan scanner-pool modify

オンアクセススキャンのワークロード向けにサイジングされていて、オンデマンドスキャンの使用が必要な環境では、NetAppでは、既存のウィルス対策インフラへの負荷の増大を避けるために、オンデマンドスキャンジョブをオフピークの時間帯にスケジュールすることを推奨しています。