 |
RAPORT TECHNICZNY |
Sophos Anti-Virus
Centralna instalacja,
aktualizacja i zarządzanie w sieciach opartych o serwery NT
System Sophos
Anti-Virus (SAV) zapewnia centralną instalację, aktualizację i zarządzanie parametrami
aktywnej ochrony serwerów NT i stacji roboczych 95, NT oraz DOS/Windows 3.x. Niniejszy
dokument wyjaśnia, jak zrealizować te zadania w środowisku sieci opartych o serwery NT,
jakich modułów systemu SAV należy użyć oraz w jaki sposób, aby osiągnąć
zamierzony efekt - centralną kontrolę nad skuteczną, aktywną ochroną antywirusową w
firmie przy minimalnym obciążeniu administratora.
UWAGA.
Niniejszy dokument jest dokumentem ogólnym, mającym na celu zaprezentowanie
dostępności rozwiązań i ich ogólny opis. Szczegółowe kroki mające na celu
wykonanie niżej opisanych działań znajdują się w dokumentacji i plikach pomocy.
Należy też zapoznać się z plikami READxxxx.TXT dla odpowiednich wersji i modułów
SAV.
Jakie
narzędzia/możliwości daje SAV dla zapewnienia centralnej instalacji, aktualizacji i
zarządzania w sieciach opartych o serwery NT?
Możliwości centralnej instalacji, i aktualizacji i kontroli są
częściowo wbudowane w odpowiednie wersje SAV, a częściowo realizowane przez dodatkowe
moduły, wchodzące bezpłatnie w skład licencji SAV.
Najważniejsze z dodatkowych narzędzi to:
- SAVAdmin -
graficzna konsola służąca do centralnej zdalnej instalacji i kontroli SAV na serwerach
i stacjach roboczych NT,
- SGET - moduł
służący do automatyzacji pobierania aktualizacji przez Internet.
Jak
zrealizować centralną instalację SAV w całej sieci firmy?
W sekwencji kroków mających na celu przygotowanie i wykonanie centralnej
instalacji SAV można wyróżnić trzy główne fazy:
- Instalacja na
pierwszym serwerze NT i utworzenie Centralnego Katalogu Instalacyjnego (CID).
Centralny Katalog Instalacyjny (Central Installation Directory, zwany
dalej CID) jest miejscem, w którym są przechowywane wersje instalacyjne Sophos
Anti-Virus for DOS/Win 3.x, Win 95 i NT. Katalog ten musi być widoczny dla wszystkich
innych serwerów i stacji roboczych, na których SAV ma być automatycznie instalowany i
aktualizowany. CID tworzy się wybierając opcję Central Installation w programie
instalacyjnym SETUP systemu SAV for Win NT. Również do CID wgrywa się potem nowe wersje
SAV (aktualizacje), skąd są one automatycznie pobierane przez wszystkie serwery i stacje
robocze sieci. Należy pamiętać, że jeśli planowane jest centralne wykonanie
instalacji SAV for Win 95 na stacjach 95, to SAV for Win 95 musi być również
zainstalowany do CID, z opcją Central Installation.
- Centralna instalacja
na pozostałych serwerach NT.
Instalacja na pozostałych sewerach NT wykonywana jest centralnie, za
pomocą konsoli SAVAdmin. W tym celu wystarczy uruchomić SAVAdmin, który wyświetli
wszystkie widoczne maszyny NT. Wystarczy wybrać myszką te serwery, na których ma być
wykonana instalacja i wybrać opcję Install. (Wykonana zostanie instalacja w konfiguracji
domyślnej. Istnieje możliwość wykonania instalacji/reinstalacji w dowolnej
konfiguracji.)
- Centralna instalacja
na stacjach roboczych.
- Wariant 1: praca w
trybie rozproszonym (lokalnym) - gdy aktywna ochrona wymagana jest przez cały czas pracy
stacji roboczej (tj. również wtedy, gdy nie jest ona zalogowana do sieci).
Jest to sytuacja, w której uzyskuje się silniejszą (szerszą) ochronę,
ponieważ stacja robocza jest aktywnie chroniona przez cały czas, nawet wtedy, jeśli
loguje się do sieci sporadycznie. Taka konfiguracja wymaga zainstalowania odpowiedniej
wersji SAV na lokalnym dysku stacji roboczej.
- Centralne wykonanie
lokalnych instalacji SAV for Win NT na stacjach roboczych NT.
Lokalna instalacja na stacjach roboczych NT wykonywana jest centralnie, za pomocą
konsoli SAVAdmin. W tym celu wystarczy uruchomić SAVAdmin, który wyświetli wszystkie
widoczne maszyny NT. W oknie SAVAdmin wystarczy wybrać myszką te stacje robocze NT, na
których ma być wykonana instalacja i wybrać opcję Install.
- Centralne wykonanie
lokalnych instalacji SAV for Win 95 na stacjach roboczych 95.
Lokalna instalacja na stacjach roboczych 95 realizowana jest przez dodanie komendy
SETUP -INL -A (z podkatalogu CID zawierającego SAV for Win 95) do login skryptu serwera.
Powoduje to automatyczne i bezobsługowe zainstalowanie SAV for Win 95. W przypadku, gdyby
program został przez użytkownika usunięty, zostanie on zainstalowany ponownie.
- Centralne wykonanie
lokalnych instalacji SAV for DOS/Win 3.x na stacjach roboczych DOS/Win 3.x.
Lokalna instalacja na stacjach roboczych DOS/Windows 3.x realizowana jest
przez dodanie komendy ICLOGIN -A do login skryptu serwera. Powoduje to automatyczne i
bezobsługowe zainstalowanie SAV for DOS/Win 3.x. W przypadku, gdyby program został przez
użytkownika usunięty, zostanie on zainstalowany ponownie.
- Wariant 2: praca w
trybie klient-serwer - gdy aktywna ochrona wymagana jest jedynie na czas pracy stacji
roboczej w sieci (po zalogowaniu się)
Gdy ochrona wymagana jest dla stacji roboczych wyłącznie wtedy, gdy są
zalogowane do sieci, można skorzystać z bardziej ekonomicznego (technicznie i finansowo)
wariantu ochrony. Wariant ten technicznie realizowany jest przez ładowanie modułu
aktywnej ochrony (tzw. klienta InterCheck) na stacji roboczej z login skryptu serwera.
Praca odbywa się w trybie klient-serwer, co odciąża stacje robocze. Należy jednak
pamiętać, że w tym trybie pracy stacje robocze chronione są wyłącznie w czasie ich
pracy w sieci. Wariant pracy w trybie klient-serwer dostępny jest jedynie dla stacji
DOS/Win 3.x i Win 95. Stacje NT pracują zawsze w trybie rozproszonym (lokalnym).
- Ładowanie klienta
InterCheck na stacjach DOS/Win 3.x/Win 95.
Ładowanie klienta InterCheck na stacjach roboczych DOS, Win 3.x i Win 95
realizowane jest przez dodanie jednej komendy do skryptu logującego serwera: ICLOGIN.
Komenda ta powoduje automatyczne rozpoznanie systemu operacyjnego stacji roboczej i
załadowanie odpowiedniego klienta InterCheck.
Jak
wprowadzać zmiany konfiguracyjne po instalacji SAV?
- Za aktywną ochronę na
stacjach roboczych odpowiada moduł InterCheck; jego konfiguracja sterowana jest ona przez
plik konfiguracyjny INTERCHK.CFG. Plik ten zawiera kilkadziesiąt
różnych opcji konfiguracyjnych, pozwalających dowolnie skonfigurować parametry ochrony
antywirusowej dla całej sieci, grup stacji roboczych (np. tylko stacje 95) lub
indywidualnych stacji roboczych (wskazywanych po adresach lub nazwach). Plik ten może
znajdować się centralnie na serwerze sieci (w trybie klient-serwer; jest czytany przez
każdą stację roboczą w momencie logowania się do sieci) lub lokalnie na każdej
stacji roboczej (wtedy czytany jest wraz ze startem systemu operacyjnego). SAV daje
możliwość automatycznej dystrybucji tego pliku na wszystkie stacje robocze, co zapewnia
automatyczną aktualizację tego pliku na lokalnych dyskach po zmianach dokonanych przez
administratora na serwerze. Dzięki temu administrator może centralnie sterować
konfiguracją ochrony antywirusowej na dowolnych stacjach roboczych i ich grupach.
Wszystkie opcje konfiguracyjne pliku INTERCHK.CFG są proste w konfiguracji i zapisie i
są precyzyjnie opisane w dokumentacji. Należy zaznaczyć, że SAV instalowany jest w
konfiguracji zapewniającej skuteczną i efektywną ochronę i wprowadzanie zmian
konfiguracyjnych nie jest konieczne.
- Dodatkową metodą, do
wykorzystania dla stacji roboczych NT i serwerów NT, jest skorzystanie z opcji kopiowania
konfiguracji, którą daje moduł SAVAdmin. Dzięki tej opcji na dowolnym
komputerze NT można zainstalować i skonfigurować SAV w dowolny sposób, a następnie za
pomocą SAVAdmin wskazać graficznie, na jakie komputery w sieci ma być skopiowana dana
konfiguracja - reszta odbywa się automatycznie.
Jak
zrealizować centralną aktualizację SAV w całej sieci firmy?
Po prawidłowym wykonaniu instalacji SAV, aktualizacja na
wszystkich serwerach i stacjach roboczych w całej firmie odbywać się będzie
całkowicie automatycznie, w momencie pojawienia się w CID nowych wersji
systemu. Oznacza to w praktyce, że niezależnie od liczby serwerów i stacji roboczych
oraz od ich lokalizacji (jeśli tylko istnieją odpowiednie połączenia sieciowe),
administrator będzie musiał jedynie raz w miesiącu zaktualizować odpowiednie moduły w
katalogu CID. Reszta odbędzie się automatycznie. Dzięki takiemu rozwiązaniu,
aktualizacje SAV są praktycznie bezobsługowe. (Sophos Anti-Virus aktualizowany jest raz
w miesiącu, aktualizacje rozsyłane są na CD i dodatkowo bezpłatnie dostępne są przez
Internet.)
Jak
zrealizować automatyczną aktualizację na komputerach czasowo dołączanych do firmowej
sieci (np. notebookach)?
W przypadkach, gdy dany użytkownik loguje się do sieci sporadycznie, SAV
zostanie zainstalowany na jego komputerze przy pierwszym logowaniu się do sieci po
centralnej instalacji SAV, a następnie będzie aktualizowany w miarę logowania się tego
użytkownika do sieci. Wystarczy, aby użytkownik zalogował się do sieci przynajmniej
raz w miesiącu, aby mieć aktualną wersję SAV na lokalnym twardym dysku.
Jak
zrealizować automatyczną aktualizację przez Internet?
Każdy subskrybent systemu SAV, poza regularnym otrzymywaniem
aktualizacyjnego CD, uprawniony jest do bezpłatnego dostępu do serwera WWW SOPHOS-u,
skąd może pobierać aktualizacje SAV, zanim jeszcze otrzyma je na CD. Pobieranie to
może być wykonane "ręcznie" (za pomocą przeglądarki) lub automatycznie - za
pomocą specjalnego narzędzia SGET (działającego pod Windows 95 i NT;
za pomocą SGET można ściągać pliki aktualizacyjne dla dowolnego systemu
operacyjnego). Pobieranie aktualizacji przez Internet ma dwie zalety:
- aktualizacje dostępne są na
serwerze WWW kilka (do 10) dni wcześniej, zanim aktualizacyjny CD dotrze do subskrybenta,
- za pomocą SGET można
całkowicie zautomatyzować proces aktualizacji (np. poprzez napisanie skryptu lub batcha,
który będzie uruchamiał się raz w miesiącu, wykonywał SGET, pobierał odpowiednie
aktualizacje, rozpakowywał plik i umieszczał je w CID - reszta odbędzie się
automatycznie).
Centralne
powiadamianie o incydentach wirusowych
SAV może powiadamiać administratora i inne wskazane osoby o incydentach
wirusowych, tj. o próbach otwarcia/uruchomienia zawirusowanych obiektów. Powiadomienie
zawiera informacje o samym obiekcie (dyskietka, plik itp.), użytkowniku (nazwa
użytkownika) i komputerze na którym miał miejsce incydent. Powiadomienia mogą być
wysyłane jako komunikaty sieciowe lub emaile SMTP, co zapewnia powiadomienie
administratora niezależnie od miejsca jego pobytu i zalogowania do firmowej sieci.
Dodatkowo, powiadomienia i inne informacje mogą być rejestrowane w centralnym dzienniku
SAV oraz w Windows NT Event Log.
Podsumowanie
System Sophos Anti-Virus jest bardzo dobrze przystosowany do pracy w firmach z
rozbudowanymi sieciami komputerowymi. Sophos Anti-Virus umożliwia administratorowi
centralną kontrolę nad instalacją, konfiguracją i aktualizacją systemu. Aktualizacja
systemu jest jednopunktowa i automatyczna. Dzięki temu administrator nie musi na nią
poświęcać więcej niż kilka minut w miesiącu, niezależnie od wielkości sieci,
ilości stacji i ich lokalizacji. W połączeniu z możliwością automatycznej
aktualizacji przez Internet, cały system może działać w pełni bezobsługowo,
zapewniając jednocześnie bardzo wysoki poziom ochrony antywirusowej, w tym pełną
ochronę przed wirusami makrowymi, przenoszonymi w poczcie elektronicznej i downloadach
WWW/FTP.
Pytania i
pomoc techniczna
Jeśli masz jakiekolwiek pytania dotyczące instalacji lub konfiguracji
systemu Sophos Anri-Virus, skontaktuj się z naszym Działem Technicznym (support@safecomp.com, 0-22 6198956). Jeśli
aktualnie testujesz system Sophos Anti-Virus, pracownicy naszego Działu Technicznego
mogą również odwiedzić cię i pomóc ci na miejscu w konfiguracji systemu (usługa ta
jest bezpłatna dla wszystkich firm testujących system Sophos Anti-Virus). Informacje o
systemie Sophos Anti-Virus znajdziesz na serwerze SAFE COMPUTING (http://www.safecomp.com/) oraz producenta - SOPHOS
Data Security Plc. (http://www.sophos.com/).
© 1998 SAFE COMPUTING Sp. z o.o., http://www.safecomp.com/, email: info@safecomp.com
Tel/fax (022) 6198956, 6700756, 6700956; 03-733 Warszawa, ul.Targowa 34