Carbon Black Cloud コンソール管理者が Citrix クローンを管理するための特定のポリシーを作成することを推奨します。
ポリシーがゴールド イメージに適用されると、センサー グループのメンバーシップによって別途指示されない限り、すべてのクローンがこのポリシーを継承します。
センサー グループとポリシー設定の詳細については、VMware Carbon Black Cloud ユーザー ガイド を参照してください。
Citrix クローンには、次のポリシー設定を推奨します。
[全般] タブ
- [名前] - 仮想デスクトップ - 「仮想デスクトップ」は以前は規定されたポリシー名でした。仮想マシンを任意のポリシー名に入れて、さまざまなポリシーで仮想マシンをサポートできるようになりました。これにより、クローンを物理マシンから分離し、タイプごとに異なる設定にすることができます。
- [説明] - このポリシーは Citrix クローン用に最適化されています。特別な考慮事項によりパフォーマンスが向上し、レピュテーション、行動、および的を絞った防止の強力な基盤が提供されます。
- [ターゲット バリュー] - 中
[センサー] タブ
- [システム トレイにセンサー メッセージを表示] - この設定を有効にして、次のサンプル テキストのようなメッセージを追加します: 「仮想デスクトップ ポリシー - 質問や懸念事項がある場合は、[email protected] にお問い合わせください。問題と利用可能なレプリケーション手順に関するコンテキストを提供します。」
[防止] タブ - 権限
- [バイパス ルール (例外)] –ポリシーレベルのバイパス ルールは、VDI 環境での安定性の確保に役立ちます。
あらゆる組織で、パフォーマンスとセキュリティの間のトレードオフを理解する必要があります。VMware では、例外を使用することを推奨します。利害関係者と連携して、リスクおよび利点 (パフォーマンス vs. 可視性) を確認し、必要に応じてバイパス ルールを適用します。
Carbon Black Cloud は例としてサポートされるメソッドの例外を提供します。VDI 環境にインストールされたアプリケーションを確認し、必要なバイパス ルールを適用してください。
以下の例は、Citrix ソリューションの公開ドキュメントに基づいています。追加のバイパス ルールが必要な場合があります。注: 追加のバイパス ルールが必要な場合があります。例えば、一部の組織はwinlogon.exe
をバイパスしたがりません。アンチウイルスを使用する VDI についての共通の問題はログイン時間が長いことであるため、これはアンチウイルス ソリューションについての Citrix 推奨事項です。このバイパス ルールは、期待されるエクスペリエンスをリストアすることができます。
Citrix バイパス ルールのベスト プラクティス
**\Program Files*\Citrix\**, **\AppData\Local\Temp\Citrix\HDXRTConnector\*\*.txt, **\*.vdiskcache, **\System32\spoolsv.exe
防止
ブロックおよび隔離
ベスト プラクティスでは、[ブロックおよび隔離] ルールを適用して、特定の攻撃面に対処することを推奨しています。開始するには、Standard ポリシー ルールを仮想デスクトップ ポリシーに複製することをお勧めします。
[ローカル スキャン] タブ
- [アクセス時のファイル スキャン モード] – 無効
- [シグネチャの更新を許可] - 無効
クローンの [シグネチャの更新を許可] を無効にすることはベスト プラクティスです。ローカル スキャン機能には、ネットワーク オーバーヘッドがかかり、リソース使用率が上昇します。ほとんどの VDI 環境が 99% のアップタイムを維持するため、Carbon Black Cloud はクラウドからリアルタイムでレピュテーションを取得しポリシーを適用することができます。
ただし、ゴールド イメージにシグネチャ パックをインストールできます。このインストールでは、各クローンで更新を実行するパフォーマンスに不利な条件を回避しますが、クローンはオフラインで保護できます。ゴールド イメージのシグネチャ パックで特定できるマルウェアが検出され、クラウド アクティビティとは別にブロックされます。
ゴールド イメージへの更新のインストールは、クローンがゴールド イメージから頻繁に再作成されるため、クローンに対して適切に機能します。これにより、更新が継承されます。
[センサー] タブ
- [バックグラウンド スキャンの実行] - パフォーマンスを最適化するため、ほとんどの VDI ベンダーがファイル システムのバックグラウンド スキャンを無効にすることを推奨しています。ゴールド イメージにマルウェアが含まれておらず、クローンがクラウドへの一貫した接続を維持していることを前提として動作するため、バックグラウンド スキャン機能を利用することはお勧めしません。レピュテーションは、ポリシー構成ごとに、必要に応じて実行時にクラウドから得られます。以下の[クラウド スキャンの実行を遅延させる]の推奨事項を参照してください。
- [ネットワーク ドライブ上のファイルをスキャン] - 無効
- [ネットワーク ドライブ上の実行をスキャン] - 有効
- [クラウド スキャンの実行を遅延させる] - 有効。この重要な設定は、実行前のレピュテーション検索の唯一の参照ポイントとして機能します。無効の場合、エンドポイントは実行前の予防策として[パスでのアプリケーション]および[拒否リスト]のルールに依存する必要があります。
- [Hash MD5] - 無効センサーは常に SHA-256 を計算します。
- [非アクティブになっている VDI センサーを自動登録解除する] – 指定した期間非アクティブだったクローンを削除するにはこの設定を有効にします。