Microsoft, su tecnología y yo

El Blog de David Cervigón (Microsoft)

Hyper-V y Antivirus

Hyper-V y Antivirus

  • Comments 2
  • Likes

Hola

Es frecuente encontrarse con el debate de la conveniencia o no de instalar un antivirus en la partición padre. Es muy conveniente evaluar cuidadosamente este punto, ya que un antivirus mal configurado puede hacer estragos en la infraestructura virtualizada, no solamente en términos de rendimiento, sino también de estabilidad. En particular, en el apartado Planning for Hyper-V Security de la TechNet Library puede leerse lo siguiente al respecto:

If you run programs in the management operating system, you should run your antivirus solution there and add the following to the antivirus exclusions:

  • Virtual machine configuration files directory. By default, it is C:\ProgramData\Microsoft\Windows\Hyper-V.
  • Virtual machine virtual hard disk files directory. By default, it is C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks.
  • Snapshot files directory. By default, it is %systemdrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots.
  • Vmms.exe
  • Vmwp.exe
If you need to use the full version of Windows Server 2008 and run applications in the management operating system, then you should run an antivirus program there.

Como puede observarse, el párrafo es bastante ambiguo. En una partición padre “Full”, además de exponer más binarios susceptibles de exponer una hipotética vulnerabilidad, es muy fuerte la tentación de instalar y utilizar en ella aplicaciones. En Server Core los anterior se minimiza, pero no se evita del todo si no se fortifica el host mediante otras técnicas.

Por otro lado, instalar un antivirus sin configurar adecuadamente las exclusiones también conlleva sus riesgos. En http://support.microsoft.com/kb/961804 se habla de los problemas más frecuentes causados por una mala configuración del antivirus, y también se recomienda la configuración de estas exclusiones:

    • Default virtual machine configuration directory (C:\ProgramData\Microsoft\Windows\Hyper-V)
    • Custom virtual machine configuration directories
    • Default virtual hard disk drive directory (C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks)
    • Custom virtual hard disk drive directories
    • Snapshot directories
    • Vmms.exe (Note: May need to be configured as process exclusions within the antivirus software)
    • Vmwp.exe (Note: May need to be configured as process exclusions within the antivirus software)

Por tanto tenemos que gestionar adecuadamente uno de estos dos riesgos:

  1. No usar Antivirus en la partición padre
  2. Enfrentarnos a los problemas derivados de usar un antivirus mal configurado.

Generalmente, todos los antivirus admiten exclusiones por proceso, path y extensión de ficheros. Las tres son importantes. Por ejemplo. Un cluster que este utilizando GUIDs para referirse a los discos comparticos pone muy complicado el configurar los paths a excluir. También puede ocurrir que a alguien se le ocurra almacenar máquinas virtuales en una nueva carpeta, cuyo nombre se improvisa en el momento. En ese caso, la exclusión de extensiones puede evitarnos algún que otro problema.image

He aquí una buena lista de exclusiones para el antivirus de las particiones padre, incluyendo además las recomendables para System Center Virtual Machine Manager y System Center Operations Manager, cuyos agentes es posible que corran en ella:

  • Procesos:
    • VMMS.EXE
    • VMWP.EXE
    • VMSWP.EXE
    • VMMAGENT.EXE
    • MONITORINGHOST.EXE
    • VSSVC.EXE
    • VDS.EXE
  • Paths:
    • C:\ClusterStorage
    • C:\ProgramData\Microsoft\Windows\Hyper-V
    • C:\Users\Public\Documents\Hyper-V
    • Cualquier otro path en el que puedan llegarse a almacenar máquinas virtuales. Es importante ser consistente con la nomenclatura a lo largo y ancho de toda la “nube interna”
    • C:\ProgramData\Microsoft\Virtual Machine Manager
    • C:\Program Files\System Center Operations Manager 2007\Health Service State\Health Service Store
  • Extensiones de ficheros:
    • *.VHD
    • *.VSV
    • *.ISO
    • *.AVHD
    • *.VFD
    • *.XML

Saludos

David Cervigón

Comments
  • Desgraciadamente la consola de Forefront Client no permite hacer exclusiones a nivel de procesos en las políticas  de configuración, cosa que sí deja hacer en la consola local del propio antivirus, incomprensible pero cierto.

  • Hola

    Efectivamente, eso en esta version de Forefront no se puede controlar por la consola y hay que hacerlo por políticas:

    technet.microsoft.com/.../bb418808.aspx

    En este thread un compañero propone incluso un .ADM para implementarlo:

    social.technet.microsoft.com/.../a22103a2-09e5-4f03-af97-df9524b1598c

    Saludos

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment