Hyper-V主机上的防病毒软件:是否需要?
发表于 2014年1月29日 由 Aidan Finn 在 Hyper-V中发表, 有 5条评论
您刚刚部署了Hyper-V,并且(内部)安全员已决定必须应用“由于Windows不安全,必须扫描所有文件和进程”的标准法令。这是我的建议:以书面形式获取。不,更好:以自己的鲜血写成,以您的老板,老板的老板以及(内部)安全官员的老板为证人。为什么?除了麻烦之外,您将一无所获,并且在下一个补丁程序部署周期之后,您甚至可能会丢失一些VM。在本文中,我将讨论Hyper-V主机的管理操作系统上对防病毒软件的需求,以及如何配置它。
在Hyper-V上配置防病毒
如果您应用(in)安全员的误导和不正确的信息(我努力保持礼貌),那么当主机重新启动时,您一定会遇到以下错误之一:
- 无法在打开用户映射部分的文件上执行请求的操作。(0x800704C8)
- VMName'Microsoft综合以太网端口(实例ID {7E0DA81A-A7B4-4DFD-869F-37002C36D816}):无法打开电源,错误为'指定的网络资源或设备不再可用。(0x80070037)。
- 由于线程退出或应用程序请求,I / O操作已中止。(0x800703E3)
您的VM将无法启动,甚至可能会从Hyper-V Manager和所有其他Hyper-V管理工具中消失。文件仍然在那里;但是不受控制的防病毒软件会引起问题。
我们开玩笑,我们开玩笑。金田 有时。
Hyper-V的,像微软大多数服务器产品,具有指导配置防病毒扫描例外。该指南说您应该防止扫描以下文件和文件夹:
- 包含VHD,VHDX,AVHD,AVHDX,VSV和ISO文件的所有文件夹
- 默认虚拟机配置目录(C:\ ProgramData \ Microsoft \ Windows \ Hyper-V)(如果已使用)
- 如果使用了默认快照(检查点)文件目录(% systemdrive%\ ProgramData \ Microsoft \ Windows \ Hyper-V \ Snapshots)
- 自定义虚拟机配置目录(如果适用)
- 如果使用了虚拟机虚拟硬盘文件(C:\ Users \ Public \ Documents \ Hyper-V \ Virtual Hard Disks)目录
- 自定义虚拟硬盘驱动器目录
您不应该扫描以下过程:
- VMMS.EXE:Hyper-V虚拟机管理服务,提供WMI界面来管理Hyper-V
- VMWP.EXE:每个正在运行的VM在管理操作系统中都有一个工作进程
最后,您应该禁用对C:\ ClusterStorage(在此处创建“群集共享卷”安装点)和所有子目录的扫描。
您需要防病毒软件吗?
我从未在Hyper-V主机上安装防病毒软件。Windows防火墙启动。只有一部分管理员可以登录;并非每个人都需要成为Hyper-V管理员,SCVMM允许委派,而公共/私有云则允许自助服务。并且仅安装所需的软件(系统管理代理或虚拟交换机扩展)。
最佳实践(有人会说这是一种支持声明)是您不应在Hyper-V主机的管理OS中安装任何不必要的软件。Hyper-V主机是Hyper-V主机,它不过是Hyper-V主机。如果需要软件或服务,则将它们安装在Hyper-V主机上运行的VM中。
您是真的在编辑文档,阅读电子邮件还是从Hyper-V主机上浏览网页?如果是这样,您和您的雇主应得的一切可能会给您带来的不利影响应有尽有-至少,这是我的看法。
为什么我不喜欢主机上的AV?AV是故障排除中的另一个变量,众所周知,AV会引起很多问题。多年来,Microsoft知识库文章中出现了其中一个重要角色。即使我确实配置了例外,还是要阻止某些安全“专家”认为他们更了解并更改设置,该怎么办?或者(发生了这种情况),如果引擎或定义文件的更新重置了我的异常或开始将我的VM文件视为恶意软件,该怎么办?
这是你的选择。与您的老板讨论该决定,并将其记录在案,如果安全官员想要“扫描所有政策”,然后在文件上得到他们的见证签名,并确保董事知道风险。当SAN的“专家”看起来像事与愿违时,他们可能会改变主意。
原文地址:https://blog.csdn.net/allway2
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。