Citrix虚拟桌面安全和防病毒最佳实践(中)

编者按：上篇，我们聊到了Agent 注册，本篇我们继续讨论其他方案

签名更新

高效和持续更新的签名是端点安全解决方案最重要的方面之一。大多数供应商使用存储在每个受保护设备上的本地缓存、增量更新的签名。

对于非持久性机器，了解如何更新签名以及签名存储在何处非常重要。这将使您了解恶意软件感染机器的机会窗口。此外，它还将帮助您设计环境以最小化此窗口。

特别是在更新不是增量的并且可以达到很大的规模的情况下，您可能会考虑将持久性存储连接到每个非持久性计算机上的部署，以在重置和映像更新之间保持更新缓存的完整性。使用这种方法，机会窗口和定义更新的性能影响最小化。

除了为每个提供的机器更新签名之外，还必须定义更新主映像的策略。建议自动执行此过程，因为使用最新签名定期更新主映像。这对于增量更新尤其重要，在增量更新中，您将最小化每个虚拟机所需的通信量。

在虚拟化环境中管理签名更新的另一种方法是使用集中的扫描引擎完全替换分散签名的性质，最小化防病毒的性能影响。

建议：询问您的安全供应商如何在防病毒软件中更新签名。预期的大小和频率是多少，更新是增量的吗？对于非持久性环境有什么建议吗？

性能优化

防病毒软件，如果配置不当，会对可扩展性和整体用户体验产生负面影响。因此，了解性能影响非常重要，以便确定是什么导致了性能影响以及如何将其最小化。

可用的性能优化策略，对于不同的防病毒供应商和实现是不同的。最常见和最有效的方法之一是提供防病毒集中扫描功能，代替了之前每台机器负责扫描（通常是相同的）样本，而是集中扫描，只执行一次。此方法针对虚拟化环境进行了优化；但是，请确保您了解它对高可用性的影响。

*Offloading s

对专用设备的扫描在虚拟化环境中非常有效。*

另一种方法是基于磁盘只读部分的预扫描，通常配置前在主映像上执行,了解这如何影响机会窗口很重要（例如，如果磁盘已经包含受感染的文件，但在预扫描阶段签名不可用怎么办？）。此优化通常与只写日志整合，因为所有读取都将来自预扫描的磁盘部分，或者来自在写入操作期间已扫描的特定于会话的写入缓存/差异磁盘。通常，一个好的折衷办法是将实时扫描（优化）与预定扫描（系统的完全扫描）结合起来。

最常见的扫描优化是只关注虚拟机之间的差异*

建议：性能优化可以极大改善用户体验。但是，应该注意的是，它们可以被视为安全风险。因此，建议您咨询供应商和您的安全团队。大多数具有虚拟化环境解决方案的防病毒供应商都提供优化的扫描引擎。