RAPORT TECHNICZNY

Sophos Anti-Virus

Centralna instalacja, aktualizacja i zarz╣dzanie w sieciach opartych o serwery NT

System Sophos Anti-Virus (SAV) zapewnia centraln╣ instalacjΩ, aktualizacjΩ i zarz╣dzanie parametrami aktywnej ochrony serwer≤w NT i stacji roboczych 95, NT oraz DOS/Windows 3.x. Niniejszy dokument wyja£nia, jak zrealizowaµ te zadania w £rodowisku sieci opartych o serwery NT, jakich modu│≤w systemu SAV nale┐y u┐yµ oraz w jaki spos≤b, aby osi╣gn╣µ zamierzony efekt - centraln╣ kontrolΩ nad skuteczn╣, aktywn╣ ochron╣ antywirusow╣ w firmie przy minimalnym obci╣┐eniu administratora.

UWAGA. Niniejszy dokument jest dokumentem og≤lnym, maj╣cym na celu zaprezentowanie dostΩpno£ci rozwi╣za± i ich og≤lny opis. Szczeg≤│owe kroki maj╣ce na celu wykonanie ni┐ej opisanych dzia│a± znajduj╣ siΩ w dokumentacji i plikach pomocy. Nale┐y te┐ zapoznaµ siΩ z plikami READxxxx.TXT dla odpowiednich wersji i modu│≤w SAV.

Jakie narzΩdzia/mo┐liwo£ci daje SAV dla zapewnienia centralnej instalacji, aktualizacji i zarz╣dzania w sieciach opartych o serwery NT?
Mo┐liwo£ci centralnej instalacji, i aktualizacji i kontroli s╣ czΩ£ciowo wbudowane w odpowiednie wersje SAV, a czΩ£ciowo realizowane przez dodatkowe modu│y, wchodz╣ce bezp│atnie w sk│ad licencji SAV.
Najwa┐niejsze z dodatkowych narzΩdzi to:

• SAVAdmin - graficzna konsola s│u┐╣ca do centralnej zdalnej instalacji i kontroli SAV na serwerach i stacjach roboczych NT,
• SGET - modu│ s│u┐╣cy do automatyzacji pobierania aktualizacji przez Internet.

Jak zrealizowaµ centraln╣ instalacjΩ SAV w ca│ej sieci firmy?
W sekwencji krok≤w maj╣cych na celu przygotowanie i wykonanie centralnej instalacji SAV mo┐na wyr≤┐niµ trzy g│≤wne fazy:

• Instalacja na pierwszym serwerze NT i utworzenie Centralnego Katalogu Instalacyjnego (CID).
  Centralny Katalog Instalacyjny (Central Installation Directory, zwany dalej CID) jest miejscem, w kt≤rym s╣ przechowywane wersje instalacyjne Sophos Anti-Virus for DOS/Win 3.x, Win 95 i NT. Katalog ten musi byµ widoczny dla wszystkich innych serwer≤w i stacji roboczych, na kt≤rych SAV ma byµ automatycznie instalowany i aktualizowany. CID tworzy siΩ wybieraj╣c opcjΩ Central Installation w programie instalacyjnym SETUP systemu SAV for Win NT. R≤wnie┐ do CID wgrywa siΩ potem nowe wersje SAV (aktualizacje), sk╣d s╣ one automatycznie pobierane przez wszystkie serwery i stacje robocze sieci.  Nale┐y pamiΩtaµ, ┐e je£li planowane jest centralne wykonanie instalacji SAV for Win 95 na stacjach 95, to SAV for Win 95 musi byµ r≤wnie┐ zainstalowany do CID, z opcj╣ Central Installation.
• Centralna instalacja na pozosta│ych serwerach NT.
  Instalacja na pozosta│ych sewerach NT wykonywana jest centralnie, za pomoc╣ konsoli SAVAdmin. W tym celu wystarczy uruchomiµ SAVAdmin, kt≤ry wy£wietli wszystkie widoczne maszyny NT. Wystarczy wybraµ myszk╣ te serwery, na kt≤rych ma byµ wykonana instalacja i wybraµ opcjΩ Install. (Wykonana zostanie instalacja w konfiguracji domy£lnej. Istnieje mo┐liwo£µ wykonania instalacji/reinstalacji w dowolnej konfiguracji.)
• Centralna instalacja na stacjach roboczych.
  • Wariant 1: praca w trybie rozproszonym (lokalnym) - gdy aktywna ochrona wymagana jest przez ca│y czas pracy stacji roboczej (tj. r≤wnie┐ wtedy, gdy nie jest ona zalogowana do sieci).
    Jest to sytuacja, w kt≤rej uzyskuje siΩ silniejsz╣ (szersz╣) ochronΩ, poniewa┐ stacja robocza jest aktywnie chroniona przez ca│y czas, nawet wtedy, je£li loguje siΩ do sieci sporadycznie. Taka konfiguracja wymaga zainstalowania odpowiedniej wersji SAV na lokalnym dysku stacji roboczej.
    • Centralne wykonanie lokalnych instalacji SAV for Win NT na stacjach roboczych NT.
      Lokalna instalacja na stacjach roboczych NT wykonywana jest centralnie, za pomoc╣ konsoli SAVAdmin. W tym celu wystarczy uruchomiµ SAVAdmin, kt≤ry wy£wietli wszystkie widoczne maszyny NT. W oknie SAVAdmin wystarczy wybraµ myszk╣ te stacje robocze NT, na kt≤rych ma byµ wykonana instalacja i wybraµ opcjΩ Install.
    • Centralne wykonanie lokalnych instalacji SAV for Win 95 na stacjach roboczych 95.
      Lokalna instalacja na stacjach roboczych 95 realizowana jest przez dodanie komendy SETUP -INL -A (z podkatalogu CID zawieraj╣cego SAV for Win 95) do login skryptu serwera. Powoduje to automatyczne i bezobs│ugowe zainstalowanie SAV for Win 95. W przypadku, gdyby program zosta│ przez u┐ytkownika usuniΩty, zostanie on zainstalowany ponownie.
    • Centralne wykonanie lokalnych instalacji SAV for DOS/Win 3.x na stacjach roboczych DOS/Win 3.x.
      Lokalna instalacja na stacjach roboczych DOS/Windows 3.x realizowana jest przez dodanie komendy ICLOGIN -A do login skryptu serwera. Powoduje to automatyczne i bezobs│ugowe zainstalowanie SAV for DOS/Win 3.x. W przypadku, gdyby program zosta│ przez u┐ytkownika usuniΩty, zostanie on zainstalowany ponownie.
  • Wariant 2: praca w trybie klient-serwer - gdy aktywna ochrona wymagana jest jedynie na czas pracy stacji roboczej w sieci (po zalogowaniu siΩ)
    Gdy ochrona wymagana jest dla stacji roboczych wy│╣cznie wtedy, gdy s╣ zalogowane do sieci, mo┐na skorzystaµ z bardziej ekonomicznego (technicznie i finansowo) wariantu ochrony. Wariant ten technicznie realizowany jest przez │adowanie modu│u aktywnej ochrony (tzw. klienta InterCheck) na stacji roboczej z login skryptu serwera. Praca odbywa siΩ w trybie klient-serwer, co odci╣┐a stacje robocze. Nale┐y jednak pamiΩtaµ, ┐e w tym trybie pracy stacje robocze chronione s╣ wy│╣cznie w czasie ich pracy w sieci. Wariant pracy w trybie klient-serwer dostΩpny jest jedynie dla stacji DOS/Win 3.x i Win 95. Stacje NT pracuj╣ zawsze w trybie rozproszonym (lokalnym).
    • úadowanie klienta InterCheck na stacjach DOS/Win 3.x/Win 95.
      úadowanie klienta InterCheck na stacjach roboczych DOS, Win 3.x i Win 95 realizowane jest przez dodanie jednej komendy do skryptu loguj╣cego serwera: ICLOGIN. Komenda ta powoduje automatyczne rozpoznanie systemu operacyjnego stacji roboczej i za│adowanie odpowiedniego klienta InterCheck.

Jak wprowadzaµ zmiany konfiguracyjne po instalacji SAV?

• Za aktywn╣ ochronΩ na stacjach roboczych odpowiada modu│ InterCheck; jego konfiguracja sterowana jest ona przez plik konfiguracyjny INTERCHK.CFG. Plik ten zawiera kilkadziesi╣t r≤┐nych opcji konfiguracyjnych, pozwalaj╣cych dowolnie skonfigurowaµ parametry ochrony antywirusowej dla ca│ej sieci, grup stacji roboczych (np. tylko stacje 95) lub indywidualnych stacji roboczych (wskazywanych po adresach lub nazwach). Plik ten mo┐e znajdowaµ siΩ centralnie na serwerze sieci (w trybie klient-serwer; jest czytany przez ka┐d╣ stacjΩ robocz╣ w momencie logowania siΩ do sieci) lub lokalnie na ka┐dej stacji roboczej (wtedy czytany jest wraz ze startem systemu operacyjnego). SAV daje mo┐liwo£µ automatycznej dystrybucji tego pliku na wszystkie stacje robocze, co zapewnia automatyczn╣ aktualizacjΩ tego pliku na lokalnych dyskach po zmianach dokonanych przez administratora na serwerze. DziΩki temu administrator mo┐e centralnie sterowaµ konfiguracj╣ ochrony antywirusowej na dowolnych stacjach roboczych i ich grupach. Wszystkie opcje konfiguracyjne pliku INTERCHK.CFG s╣ proste w konfiguracji i zapisie i s╣ precyzyjnie opisane w dokumentacji. Nale┐y zaznaczyµ, ┐e SAV instalowany jest w konfiguracji zapewniaj╣cej skuteczn╣ i efektywn╣ ochronΩ i wprowadzanie zmian konfiguracyjnych nie jest konieczne.
• Dodatkow╣ metod╣, do wykorzystania dla stacji roboczych NT i serwer≤w NT, jest skorzystanie z opcji kopiowania konfiguracji, kt≤r╣ daje modu│ SAVAdmin. DziΩki tej opcji na dowolnym komputerze NT mo┐na zainstalowaµ i skonfigurowaµ SAV w dowolny spos≤b, a nastΩpnie za pomoc╣ SAVAdmin wskazaµ graficznie, na jakie komputery w sieci ma byµ skopiowana dana konfiguracja - reszta odbywa siΩ automatycznie.

Jak zrealizowaµ centraln╣ aktualizacjΩ SAV w ca│ej sieci firmy?
Po prawid│owym wykonaniu instalacji SAV, aktualizacja na wszystkich serwerach i stacjach roboczych w ca│ej firmie odbywaµ siΩ bΩdzie ca│kowicie automatycznie, w momencie pojawienia siΩ w CID nowych wersji systemu. Oznacza to w praktyce, ┐e niezale┐nie od liczby serwer≤w i stacji roboczych oraz od ich lokalizacji (je£li tylko istniej╣ odpowiednie po│╣czenia sieciowe), administrator bΩdzie musia│ jedynie raz w miesi╣cu zaktualizowaµ odpowiednie modu│y w katalogu CID. Reszta odbΩdzie siΩ automatycznie. DziΩki takiemu rozwi╣zaniu, aktualizacje SAV s╣ praktycznie bezobs│ugowe. (Sophos Anti-Virus aktualizowany jest raz w miesi╣cu, aktualizacje rozsy│ane s╣ na CD i dodatkowo bezp│atnie dostΩpne s╣ przez Internet.)

Jak zrealizowaµ automatyczn╣ aktualizacjΩ na komputerach czasowo do│╣czanych do firmowej sieci (np. notebookach)?
W przypadkach, gdy dany u┐ytkownik loguje siΩ do sieci sporadycznie, SAV zostanie zainstalowany na jego komputerze przy pierwszym logowaniu siΩ do sieci po centralnej instalacji SAV, a nastΩpnie bΩdzie aktualizowany w miarΩ logowania siΩ tego u┐ytkownika do sieci. Wystarczy, aby u┐ytkownik zalogowa│ siΩ do sieci przynajmniej raz w miesi╣cu, aby mieµ aktualn╣ wersjΩ SAV na lokalnym twardym dysku.

Jak zrealizowaµ automatyczn╣ aktualizacjΩ przez Internet?
Ka┐dy subskrybent systemu SAV, poza regularnym otrzymywaniem aktualizacyjnego CD, uprawniony jest do bezp│atnego dostΩpu do serwera WWW SOPHOS-u, sk╣d mo┐e pobieraµ aktualizacje SAV, zanim jeszcze otrzyma je na CD. Pobieranie to mo┐e byµ wykonane "rΩcznie" (za pomoc╣ przegl╣darki) lub automatycznie - za pomoc╣ specjalnego narzΩdzia SGET (dzia│aj╣cego pod Windows 95 i NT; za pomoc╣ SGET mo┐na £ci╣gaµ pliki aktualizacyjne dla dowolnego systemu operacyjnego). Pobieranie aktualizacji przez Internet ma dwie zalety:

• aktualizacje dostΩpne s╣ na serwerze WWW kilka (do 10) dni wcze£niej, zanim aktualizacyjny CD dotrze do subskrybenta,
• za pomoc╣ SGET mo┐na ca│kowicie zautomatyzowaµ proces aktualizacji (np. poprzez napisanie skryptu lub batcha, kt≤ry bΩdzie uruchamia│ siΩ raz w miesi╣cu, wykonywa│ SGET, pobiera│ odpowiednie aktualizacje, rozpakowywa│ plik i umieszcza│ je w CID - reszta odbΩdzie siΩ automatycznie).

Centralne powiadamianie o incydentach wirusowych
SAV mo┐e powiadamiaµ administratora i inne wskazane osoby o incydentach wirusowych, tj. o pr≤bach otwarcia/uruchomienia zawirusowanych obiekt≤w. Powiadomienie zawiera informacje o samym obiekcie (dyskietka, plik itp.), u┐ytkowniku (nazwa u┐ytkownika) i komputerze na kt≤rym mia│ miejsce incydent. Powiadomienia mog╣ byµ wysy│ane jako komunikaty sieciowe lub emaile SMTP, co zapewnia powiadomienie administratora niezale┐nie od miejsca jego pobytu i zalogowania do firmowej sieci. Dodatkowo, powiadomienia i inne informacje mog╣ byµ rejestrowane w centralnym dzienniku SAV oraz w Windows NT Event Log.

Podsumowanie
System Sophos Anti-Virus jest bardzo dobrze przystosowany do pracy w firmach z rozbudowanymi sieciami komputerowymi. Sophos Anti-Virus umo┐liwia administratorowi centraln╣ kontrolΩ nad instalacj╣, konfiguracj╣ i aktualizacj╣ systemu. Aktualizacja systemu jest jednopunktowa i automatyczna. DziΩki temu administrator nie musi na ni╣ po£wiΩcaµ wiΩcej ni┐ kilka minut w miesi╣cu, niezale┐nie od wielko£ci sieci, ilo£ci stacji i ich lokalizacji. W po│╣czeniu z mo┐liwo£ci╣ automatycznej aktualizacji przez Internet, ca│y system mo┐e dzia│aµ w pe│ni bezobs│ugowo, zapewniaj╣c jednocze£nie bardzo wysoki poziom ochrony antywirusowej, w tym pe│n╣ ochronΩ przed wirusami makrowymi, przenoszonymi w poczcie elektronicznej i downloadach WWW/FTP.

Pytania i pomoc techniczna
Je£li masz jakiekolwiek pytania dotycz╣ce instalacji lub konfiguracji systemu Sophos Anri-Virus, skontaktuj siΩ z naszym Dzia│em Technicznym (support@safecomp.com, 0-22 6198956). Je£li aktualnie testujesz system Sophos Anti-Virus, pracownicy naszego Dzia│u Technicznego mog╣ r≤wnie┐ odwiedziµ ciΩ i pom≤c ci na miejscu w konfiguracji systemu (us│uga ta jest bezp│atna dla wszystkich firm testuj╣cych system Sophos Anti-Virus). Informacje o systemie Sophos Anti-Virus znajdziesz na serwerze SAFE COMPUTING (http://www.safecomp.com/) oraz producenta - SOPHOS Data Security Plc. (http://www.sophos.com/).

⌐ 1998 SAFE COMPUTING Sp. z o.o., http://www.safecomp.com/, email: info@safecomp.com
Tel/fax (022) 6198956, 6700756, 6700956; 03-733 Warszawa, ul.Targowa 34