Virenscanner-Konfiguration für HEAT DSM
HEAT Desktop and Server Management Technical White Paper
Letzte Aktualisierung: 15.12.2015
Copyrights und Handelsmarken
Copyright © 1995-2015 HEAT Software USA Inc. Alle Rechte vorbehalten
DIE NUTZUNG DIESER SOFTWARE, DER ABONNEMENTDIENSTE UND DER ZUGEHÖRIGEN BENUTZERDOKUMENTATION UNTERLIEGT DEN BESTIMMUNGEN DER ANWENDBAREN ENDBENUTZER-LIZENZVEREINBARUNG, DER VEREINBARUNG ZU DEN CLOUD-
ABONNEMENTDIENSTEN FÜR HEAT UND DER SONSTIGEN NUTZUNGSBEDINGUNGEN VON HEAT SOFTWARE (NACHFOLGEND UNTER DEM BEGRIFF "ABONNEMENTVEREINBARUNG"
ZUSAMMENGEFASST). SIE MÜSSEN DEN BESTIMMUNGEN DER ABONNEMENTVEREINBARUNG ZUSTIMMEN, UM DIE SOFTWARE UND DEN ABONNEMENTDIENST NUTZEN ZU KÖNNEN.
WARNUNG: Die in diesem Handbuch beschriebene Software und die zugehörige
Benutzerdokumentation sind durch Urheberrecht geschützt. Ohne die ausdrückliche schriftliche Genehmigung von HEAT Software USA Inc. ist es nicht gestattet, die Software oder die zugehörige Benutzerdokumentation ganz oder teilweise zu kopieren, zu reproduzieren, zu verteilen, zu übertragen, in einem Datenabfragesystem zu speichern oder in andere Sprachen zu übersetzen.
Markeninformationen von HEAT Software
Die folgenden Marken sind Eigentum von HEAT Software USA Inc. und/oder seinen verbundenen Unternehmen in den Vereinigten Staaten und/oder anderen Ländern: FrontRange Solutions®, FrontRange™, SaaSIT™, ModernizeIT™, SaaS2™, GoldMine®, GoldSync®, GoldMine® Answer Wizard™, GoldMine® Management Intelligence™, GoldMine® Manager’s Console™, iGoldMine™, HEAT®, HEAT® Service & Support™, HEAT® PowerDesk™, iHEAT™, HEAT® Self Service™, HEAT®
Manager’s Console™, HEAT® Answer Wizard™, HEAT® Quick Start Wizard™, InfoCenter®, Automated Processes™, First Level Support®, enteo®, DeviceWall®, Centennial Discovery®, Discovery Dashboard®, MicroAudit®, SAM™, The HEAT Is On™ sowie weitere 'HEAT Software'- Produkte und -Marken.
Weitere Markeninformationen
Andere Produkte und Marken sind Eigentum der jeweiligen Markeninhaber oder Unternehmen. Bitte wenden Sie sich per E-Mail (legal@heatsoftware.com) an HEAT Software USA Inc., wenn Sie weitere Informationen wünschen.
Aktualisierung der Copyright-Informationen: Februar 2015
2
Inhaltsverzeichnis
Copyrights und Handelsmarken 2
Einleitung 4
Ausschlüsse auf Depots 5
Ausschlüsse auf Datenbank-Servern 7
Ausschlüsse auf Management-Point-Servern 8
Ausschlüsse auf gemanagten Computern 9
Ausschlüsse auf der Administrator-Arbeitsstation 10
Einleitung
Virenscanner sind standardmäßig so eingestellt, dass sie Verzeichnisse und Dateien auf Clients und Servern scannen, meist bei einem lesenden oder schreibenden Zugriff auf die Dateien. Dieses
Dokument enthält Angaben, welche Verzeichnisse vom Scan-Vorgang ausgeschlossen werden sollten, um die Performance von HEAT DSM nicht negativ zu beeinflussen.
Im Folgenden werden betroffene Verzeichnisse inklusive einer Kurzbeschreibung und einer
Empfehlung für den Virenscan aufgelistet. Es wird dringend empfohlen, die aufgelisteten Ausschlüsse einzuhalten, da es sonst zu deutlichen Performanceeinbußen kommen kann.
4
Ausschlüsse auf Depots
Im DSM-Depot liegen die DSM-Infrastruktur-Binärdaten inklusive der DSM-Client-Installationsdaten sowie die Massendaten der Software-Pakete.
DSM-Binärdaten
Die Binärdaten einer DSM-Umgebung werden auf das Master-Depot der DSM-Umgebung installiert (\\<DSM-Depot-Server>\DSM\*.*). Von hier aus werden die Binärdaten auf weitere Depots und die gesamte DSM-Infrastruktur verteilt.
Für das Master-Depot kann ein Virenscan vollständig durchgeführt werden. Abweichende Regeln gelten allerdings für die Unterverzeichnisse, in denen ein Master-Repository enthalten ist (siehe unten).
Ausschlüsse für DSM-Binärdaten Alle übrigen Depots
Wenn das Master-Depot gescannt wird, wie zuvor beschrieben, ist ein weiterer Scan auf den untergeordneten Depots nicht mehr notwendig, sofern die empfohlenen Zugriffsberechtigungen durchgängig gesetzt sind.
Wird auf untergeordneten Depots dennoch ein Virenscan durchgeführt kann es zu Pro- blemen kommen, z.B. bei der Distribution oder beim Depot-Update.
Deaktivierung des Virenscanners während der Installation/Aktualisierung
Während der gesamten Installation oder Aktualisierung der DSM-Umgebung sollte der Virens- canner auf dem Business Logic Server (BLS) und dem Datenbank-Server (SQL Server) deaktiviert sein, um Probleme während der Kopierphase zu vermeiden.
DSM-Repositorys (Massendaten)
DSM-Repositorys enthalten die Massendaten der Software-Pakete.
DasWork-Verzeichnis\\<DSM-Depot-Server>\DSM\work\*.*wird von Paketierern zur Erstellung von Paketen genutzt, sofern es sich bei dem verwendeten Depot-Server um einMaster-Repository handelt. Alle neuen Dateien, die in die Softwareverteilung aufgenommen werden, werden in diesem Verzeichnis angelegt. Ein Scan des Work-Verzeichnisses bei schreibendem Zugriff ist empfohlen.
ImInstall-Verzeichnis\\<DSM-Depot-Server>\DSM\install\*.*werden alle Daten aus dem Work-Verzeichnis als Kopie abgelegt, die zur Verteilung durch den Distribution Service bereitgestellt werden.
Ausschlüsse für DSM-Repositorys Master-Repositorys
Ein Scan des Work-Verzeichnisses\\<DSM-Depot-Server>\DSM\work\*.*bei lesendem Zugriff ist nicht empfohlen, da hier deutliche Performanceeinbußen während der Paketierung und beim Test entstehen.
Wenn das Work-Verzeichnis bei schreibendem Zugriff gescannt wird, ist ein weiterer Scan auf das Install-Verzeichnis\\<DSM-Depot-Server>\DSM\install\*.*nicht mehr notwendig, sofern die empfohlenen Zugriffsberechtigungen durchgängig gesetzt sind.
Alle übrigen Repositorys
Wenn das Master-Repository gescannt wird wie zuvor beschrieben, ist ein weiterer Scan auf den übrigen Repositorys nicht mehr notwendig, sofern die empfohlenen Zugriffsberechtigungen durchgängig gesetzt sind.
Manche Virenscanner verhindern die Erstellung vonautorun.inf-Dateien über UNC-Pfade. Für das Repository muss das Remote-Kopieren dieser Dateien erlaubt werden, wenn Anwendungen paketiert werden sollen, die solche Dateien enthalten.
6
Ausschlüsse auf Datenbank-Servern
Virenscan-Einstellungen für SQL-Datenbank-Server sollten auf Basis der Microsoft-Empfehlungen gesetzt werden.
Details dazu enthält der Microsoft-KB-Artikel 309422.
Ausschlüsse auf Management-Point-Servern
Management Points sind die zentralen Server-Komponenten von HEAT DSM. Sie stellen die Dienste unterschiedlicher Management-Anwendungen, wie Business Logic Server oder OSD Proxy bereit.
DSM Client
Jeder Management Point hat als DSM-Server mit einer aktiven Dienst-Komponente auch einen vollständigen DSM Client installiert. Somit gelten hier die gleichen Ausschlusskriterien wie unter
"Ausschlüsse auf gemanagten Computern" auf Seite 9.
.NET Framework
.NET-Anwendungen produzieren dynamischen Code, dieser wird im UnterverzeichnisTemporary ASP.NET Filesgeneriert.
Ausschlüsse für .NET Framework Temporäre Dateien
Da es beim Virenscan zu Performancebeeinträchtigung für alle .NET-basierten Mangement- Anwendungen kommen kann, sollten die folgenden Verzeichnisse vom Virenscan ausgeschlossen werden:
%WINDIR%\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files und (auf x64-Computern zusätzlich)
%WINDIR%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files
8
Ausschlüsse auf gemanagten Computern
Zu den DSM-Dateien auf gemanagten Computern gehören zunächst die Client-Binärdateien unter
%ProgramFiles(x86)%\netinst\*.*. Die zur Ausführung von Software-Installationen benötigten Massendaten werden dagegen unter%CommonProgramFiles(X86)%\enteogespeichert. Binär- und Massendaten werden jeweils vom zuständigen Depot oder Repository kopiert. Ein Virenscan ist daher für diese Dateien in der Regel nicht erforderlich.
Neben Binär- und Massendaten fallen vor allem Protokolldateien an, die generell nicht ausführbar sind und daher für den Virenscan keine Bedeutung haben.
Ausschlüsse für DSM-Client-Dateien Client-Binärdaten
%ProgramFiles(x86)%\netinst\*.*sollte vom Scan ausgeschlossen werden, sofern die emp- fohlenen Zugriffsberechtigungen durchgängig gesetzt sind, und die Depots wie zuvor beschrie- ben gescannt werden.
Massen- und Protokolldateien
%CommonProgramFiles(X86)%\enteo\*.*sollte vom Scan ausgeschlossen werden, sofern die empfohlenen Zugriffsberechtigungen durchgängig gesetzt sind, und die Depots wie zuvor beschrieben gescannt werden.
Spezifische Dateien für HEAT Remote
Beim Einsatz von HEAT Remote via Internet wird die ausführbare Datei Remo-
teClient.exeaus der Cloud in das Verzeichnis%CommonProgramFiles(X86)%\en- teo\Remote\*.*heruntergeladen. Dieses Verzeichnis solltenicht vom Scan
ausgeschlossenwerden.
Spezifische Dateien für DSM Patch Management
Beim Einsatz von DSM Patch Management (Classic) legt Microsoft bei der Installation von Pat- chen Dateien im Verzeichnis%WINDIR%\SoftwareDistribution\*.*ab. Virenscan-Ein- stellungen für diese Dateien sollten auf Basis der Microsoft-Empfehlungen gesetzt werden.
Beim Scannen von Sicherheitslücken mit HEAT PatchLink werden Dateien im Verzeichnis
%PROGRAMFILES(X86)%\HEAT Software\LPR\client\*.*abgelegt. Dieses Verzeichnis sollte vom Scan ausgeschlossen werden.
Ausschlüsse auf der Administrator-Arbeitsstation
Sofern es sich bei der Administrator-Arbeitsstation um einen gemanagten Computer handelt, gelten auch hier die entsprechenden Angaben unter"Ausschlüsse auf gemanagten Computern" auf Seite 9.
Ausschlüsse beim Einsatz von DSM OS Deployment Boot Environments
Bei der Paketierung und Aktualisierung eines Boot Environments werden Daten aus dem Win- dows Automated Installation Kit benötigt. Manche Virenscanner blockieren die Ausführung der WAIK-Tools.
%ProgramFiles(x86)%\Windows Kits\8.0\Assessment and Deployment Kit\*.*und
%ProgramFiles%\Windows AIK\*.*sollten daher vollständig vom Scan ausgeschlossen wer- den.
10