我有一个运行系统中心端点保护的2012 R2 Hyper-V主机。 它有两个虚拟的Windows服务器。
我有一个文件夹中的所有.vhdx驱动器d:/ server /
我可以信任杀毒软件扫描这些文件,发现病毒,或者我需要在每个虚拟机中安装一个antiviurus程序吗?
如果我手动扫描这些文件,端点保护几乎立即返回没有发现病毒,这使我不知道它甚至试图扫描它们。
不,您不应该在主机上使用AV软件来扫描您的VHD位置。 您可以在主机上安装AV软件,但需要从实时AV扫描引擎和任何计划的AV扫描中排除多个Hyper-V相关的文件夹。 然后,您应该在各个来宾虚拟机上安装AV软件。
您需要安装专为Hyper-Vdevise的AV。 它将自己安装到主机,但它将扫描虚拟机和他们的虚拟RAM,磁盘上的图像,并拦截虚拟机和主机之间的stream量通过vSwitch路由。 5nine有一个(我不为他们工作,这只是一个例子)。
http://www.5nine.com/5nine-security-for-hyper-v-product.aspx
@BaronSamedi是对的,最好的方法是VM感知无代理AV解决scheme。 5nine有3个AV选项可供select,包括Vipre,卡巴斯基和IIRC ThreatTrack。 另一种select可能是ESET,他们最近开始提供专门针对虚拟化环境的无代理。
好问题! 如果可以,我会在本地安装每个AV。
为什么? 因为如果你扫描VHD,你将只捕获打到硬盘上的病毒,而不是从远程位置加载到内存中的病毒,所以我会认为服务器处于危险之中
如果您在本地安装AV,请务必在主机上禁用VHD扫描,以免在主机上导致IO问题。