Hyper-V主机上的防病毒软件：是否需要？

Hyper-V主机上的防病毒软件：是否需要？

发表于 2014年1月29日 由 Aidan Finn 在 Hyper-V中发表， 有 5条评论

•   分享在Facebook
•   帖子在Reddit上
•   推特上的推文
• 在领英上  分享

您刚刚部署了Hyper-V，并且（内部）安全员已决定必须应用“由于Windows不安全，必须扫描所有文件和进程”的标准法令。这是我的建议：以书面形式获取。不，更好：以自己的鲜血写成，以您的老板，老板的老板以及（内部）安全官员的老板为证人。为什么？除了麻烦之外，您将一无所获，并且在下一个补丁程序部署周期之后，您甚至可能会丢失一些VM。在本文中，我将讨论Hyper-V主机的管理操作系统上对防病毒软件的需求，以及如何配置它。

 

在Hyper-V上配置防病毒

如果您应用（in）安全员的误导和不正确的信息（我努力保持礼貌），那么当主机重新启动时，您一定会遇到以下错误之一：

• 无法在打开用户映射部分的文件上执行请求的操作。（0x800704C8）
• VMName'Microsoft综合以太网端口（实例ID {7E0DA81A-A7B4-4DFD-869F-37002C36D816}）：无法打开电源，错误为'指定的网络资源或设备不再可用。（0x80070037）。
• 由于线程退出或应用程序请求，I / O操作已中止。（0x800703E3）

您的VM将无法启动，甚至可能会从Hyper-V Manager和所有其他Hyper-V管理工具中消失。文件仍然在那里；但是不受控制的防病毒软件会引起问题。

我们开玩笑，我们开玩笑。金田 有时。

 

Hyper-V的，像微软大多数服务器产品，具有指导配置防病毒扫描例外。该指南说您应该防止扫描以下文件和文件夹：

• 包含VHD，VHDX，AVHD，AVHDX，VSV和ISO文件的所有文件夹
• 默认虚拟机配置目录（C：\ ProgramData \ Microsoft \ Windows \ Hyper-V）（如果已使用）
• 如果使用了默认快照（检查点）文件目录（％ systemdrive％\ ProgramData \ Microsoft \ Windows \ Hyper-V \ Snapshots） 
• 自定义虚拟机配置目录（如果适用）
• 如果使用了虚拟机虚拟硬盘文件（C：\ Users \ Public \ Documents \ Hyper-V \ Virtual Hard Disks）目录
• 自定义虚拟硬盘驱动器目录

您不应该扫描以下过程：

• VMMS.EXE：Hyper-V虚拟机管理服务，提供WMI界面来管理Hyper-V
• VMWP.EXE：每个正在运行的VM在管理操作系统中都有一个工作进程

最后，您应该禁用对C：\ ClusterStorage（在此处创建“群集共享卷”安装点）和所有子目录的扫描。

您需要防病毒软件吗？

我从未在Hyper-V主机上安装防病毒软件。Windows防火墙启动。只有一部分管理员可以登录；并非每个人都需要成为Hyper-V管理员，SCVMM允许委派，而公共/私有云则允许自助服务。并且仅安装所需的软件（系统管理代理或虚拟交换机扩展）。

最佳实践（有人会说这是一种支持声明）是您不应在Hyper-V主机的管理OS中安装任何不必要的软件。Hyper-V主机是Hyper-V主机，它不过是Hyper-V主机。如果需要软件或服务，则将它们安装在Hyper-V主机上运行的VM中。

您是真的在编辑文档，阅读电子邮件还是从Hyper-V主机上浏览网页？如果是这样，您和您的雇主应得的一切可能会给您带来的不利影响应有尽有-至少，这是我的看法。

为什么我不喜欢主机上的AV？AV是故障排除中的另一个变量，众所周知，AV会引起很多问题。多年来，Microsoft知识库文章中出现了其中一个重要角色。即使我确实配置了例外，还是要阻止某些安全“专家”认为他们更了解并更改设置，该怎么办？或者（发生了这种情况），如果引擎或定义文件的更新重置了我的异常或开始将我的VM文件视为恶意软件，该怎么办？

这是你的选择。与您的老板讨论该决定，并将其记录在案，如果安全官员想要“扫描所有政策”，然后在文件上得到他们的见证签名，并确保董事知道风险。当SAN的“专家”看起来像事与愿违时，他们可能会改变主意。