Bezpłatny antywirus do domu - instrukcja

Każda firma, która chce zapewnić maksymalne bezpieczeństwo swojej infrastrukturze, powinna pomyśleć o zabezpieczeniach również poza swoimi budynkami. Nawet najlepsze zabezpieczenia mogą nie pomóc w utrzymaniu odpowiedniej polityki bezpieczeństwa w przedsiębiorstwie, jeśli użytkownicy w domach bedą infekować swoje komputery oraz napędy przenośne, a później przynosić zagrożenie do biur. Najlepszą metodą ochrony przed tego typu zagrożeniami jest rozszerzenie ochrony na prywatne komputery pracowników.   
Firma Sophos, wychodząc naprzeciw tym zagrożeniom, umożliwia każdej firmie w ramach standardowej licencji udostępnienie systemu antywirusowego do użytku domowego wszystkim pracownikom.

Ten dokument jest jedynym źródłem, które powinno być wykorzystywane w przypadku tego typu wdrożeń. Ze względu na specjalne warunki oraz specyfikę instalacji, inne dokumenty znajdujące się w bazie wiedzy Sophos nie powinny być stosowane w tym przypadku. Aby uzyskać więcej informacji, proszę zapoznać się z licencją Sophos End-User Licence Agreement.

Sophos zaleca skorzystanie z jednej z poniższych opcji, do wdrożenia oprogramowania antywirusowego na komputerach domowych:

• pierwszym sposobem jest pobranie instalatora z sophos.com – to rozwiązanie wydaje się łatwiejsze, jednak jego wadą jest pozostawienie konfiguracji użytkownikom,
• drugim sposobem jest stworzenie odpowiedniej paczki instalacyjnej wraz z konfiguracją polityki bezpieczeństwa – to rozwiązanie wydaje się być bardziej skomplikowane, jednakże nie pozostawia konfiguracji oprogramowania użytkownikom i zapewnia lepszą ochronę osobom nietechnicznym.

Podczas podejmowania decyzji, należy wziąć pod uwagę ewentualne zapytania użytkowników do działu technicznego. Należy pamiętać, że obowiązek wsparcia technicznego dla użytkowników domowych przenosi się na firmę, która kupiła licencję.

Dystrybucja paczek instalacyjnych dla użytkowników domowych

Jest to najprostszy sposób dystrybucji plików instalacyjnych dla użytkowników. Aplikacja zainstaluje się z domyślnymi ustawieniami.

• Należy pobrać pliki instalacyjne z  http://www.sophos.com/support/updates/windows.html. Aby zalogować się należy podać dane z MySophos.

• Następnie należy utworzyć nową lokalizację aktualizacji w Update Manager/EM Library, która powinna być tak skonfigurowana, aby publikowała foldery na serwerze Web.

Zgodnie z warunkami licencji, użytkownicy końcowi nie mogą korzystać z infrastruktury aktualizacji bezpośrednio z Sophos – firma udostępniająca licencję musi zapewnić aktualizacje. Najprostszym sposobem, aby spełnić to wymaganie jest udostępnienie folderu z aktualizacjami za pomocą serwera www. Dokładniejszych informacji na temat udostępniania folderów należy szukać w dokumentacji wykorzystywanego serwera Web.

Uwaga: W przypadku serwera IIS należy dodać rozszerzenia aktualizacji do typów na liście MIME. W przypadku użycia wieloznacznika (“wildcard”) należy również dodać rozszerzenie .conf, jeśli przez zasób bedą aktualizować się komputery z systemem Mac OS X.

• Proszę umieścić plik instalacyjny na serwerze Web.
• Następnie proszę przygotować dokumentację, zawierającą następujące informacje:

• dane kontaktowe do pomocy technicznej (dane do osoby w firmie, nie bezpośrednio do Sophos),
• adres URL pod którym znajduje się plik instalacyjny,
• informację w jaki sposób ustawić źródło aktualizacji wraz z danymi autoryzacyjnymi, jeśli są wymagane,
• link do przewodnika Sophos Standalone Startup Guide for Endpoint Security and Control 9: www.sophos.com/sophos/docs/eng/instguid/sesc_90_ssgeng.pdf.

Przygotowanie pliku instalacyjnego dla użytkowników

W tym scenariuszu zostaną zdefiniowane polityki, które będą wykorzystywane przez użytkowników w domach – jest to zalecana procedura, ponieważ użytkownicy nie muszą znać szczegółów technicznych konfiguracji firewalla oraz HIPS (jeśli wdrożenie nie będzie obejmować firewalla, poniższe kroki mogą zostać pominięte).

Proszę wykonać następujące kroki:

• Uruchomić Enterprise Console.
• Proszę utworzyć nową politykę antywirusową i nazwać ją (np.  ‘SAVHomeUse’).
• Proszę skonfigurować politykę w sposób opisany poniżej.

Skanowanie w czasie rzeczywistym

• Skanowanie wewnątrz archiwów - Ta opcja umożliwia oprogramowaniu antywirusowemu skanowanie plików archiwów (pliki zip, rar, tgz, tar i inne) w poszukiwaniu zagrożeń.
• Scan for Macintosh viruses - Ta opcja jest użyteczna tylko na systemach Mac OS X.
• Skanowanie adware/PUAs - Domyślnie ta opcja jest wyłączona, ze względu na generowanie dużej liczby alertów w konsoli zarządzania. W domowym środowisku można rozważyć jej uruchomienie, zwłaszcza w przypadku gdy zachodzi podejrzenie, że użytkownicy nie skanują swoich systemów zbyt często.
• Skanowanie w czasie rzeczywistym – przy zapisie. W środowiskach o zwiększonej ilości zagrożeń (środowiska domowe można zaliczyć do tej grupy), należy rozważyć włączenie tej opcji.
• Skanowanie w czasie rzeczywistym – przy zmianie nazwy - Kolejna opcja mająca na celu zwiększenie skuteczności wykrywania zagrożeń – w środowiskach domowych zaleca się ustawienie jej na aktywną.
• Automatyczne czyszczenie plików w których znaleziono wirusy/malware - Wielu użytkowników nie wie co zrobić w przypadku wykrycia malware. Często końcowi użytkownicy nie rozumieją, że wybierając opcję “usuń” mogą usunąć ważne pliki. Włączenie tej opcji redukuje liczbę zapytań do pomocy technicznej.

Ustawienia HIPS

• Powiadomienia - Ochrona przed zagrożeniami przepełnienia bufora jest ważną kwestią dla bezpieczeństwa użytkownika, jednak wyłączenie tej opcji moze spowodować zdezorientowanie użytkownika, gdy nie będzie mógł uruchomić danej aplikacji.
• Zaplanowane skanowanie - Nie zaleca się konfigurowania odgórnie czasu rozpoczęcia skanowania komputera – zaleca się pozostawienie tej opcji w gestii użytkownika.

• Proszę utworzyć nową politykę zapory sieciowej i nazwać ją (np. 'SCFHomeUse'). Proszę zapoznać się z poradnikiem Best Practice: Firewall settings guide, aby uzyskać więcej informacji o ustawieniach zapory sieciowej.

Tryb działania - Sophos zaleca ustawienie zapory sieciowej w tryb interaktywny dla domowych użytkowników. W trybie uczenia się, użytkownicy powinni przestrzegać następujących zasad:

• Dopuszczanie ruchu sieciowego oraz dodawanie sum kontrolnych aplikacji, które są znane.
• Aby uniknąć dużej ilości powiadomień, w pierwszej kolejności należy dodać przeglądarkę internetową oraz komunikatory do grupy wyjątków.
• Korzystanie z opcji “Blokuj teraz”, jeśli dana aplikacja nie musi korzystać z sieci.

Blokowanie IPv6 - Niektóre aplikacje oraz providerzy internetu wykorzystują IPv6. Zaleca się wyłączenie tej opcji.
(Powiadomienia) Poinformuj o nieznanych aplikacjach i nieznanym ruchu sieciowym - Włączenie tej opcji w trybie interaktywnym jest bardzo ważne, ponieważ bez niej użytkownicy nie bedą w stanie dodać aplikacji do zapory sieciowej, co uniemożliwi im korzystanie z Internetu.
Ustawienia LAN - Zaleca się wyłączenie tej opcji.

• W Enterprise Console/Update Manager proszę utworzyć nowe miejsce dystrybucji plików (Software Distribution) oraz wskazać serwer Web, a następnie przypisać do niego odpowiednie subskrypcje.
• Proszę utworzyć nową politykę aktualizacji oraz nazwać ją ( np. 'SAUHomeUse'). Jako źródło aktualizacji proszę podać wcześniej skonfigurowany zasób Web.
• W konsoli zarządzania proszę utworzyć nową grupę i nazwać ją ( np. HomeUse). Proszę przydzielić jej wszystkie wcześniej utworzone polityki.
• Prosze dodać szablon komputera klienckiego do utworzonej grupy. Zaleca się, aby szablon był tworzony na komputerze z systemem operacyjnym Windows (XP,Vista,Windows 7). Jeśli na komputerach domowych znajdują się również inne systemy operacyjne (Mac, Linux), należy utworzyć szablony dla tych systemów. Więcej szczegółów można znaleźć w sekcji 11 i 12 dokumentu Advanced Startup Guide.
• Proszę utworzyć tymczasowy folder na dysku np. C:\HomeUse. Do tego folderu zostaną eksportowane polityki wraz z paczką instalacyjną.
• Na serwerze z konsolą administracyjną proszę skopiować katalog Config z lokalizacji  C:\Program Files\Sophos\AutoUpdate i wkleić go do folderu utworzonego w punkcie 8. W przedstawionym przykładzie scieżka będzie wyglądać następująco: 'C:\HomeUse\Config'.
• W folderze Config proszę odnaleźć plik iupd.cfg i otworzyć go w edytorze tekstowym.
• W otwartym pliku proszę poszukać następujących opcji:

";RMS 2000/XP"
i zmienić 0x400107 na 0x200107

Sekcja powinna wyglądać następująco:

;RMS 2000/XP
[iProductData.{390DCDC2-10A9-4ef3-B8D8-0CA7F0E7EB92}]
AllowLocalConfig = 1
Action = 0x200107

Proszę zamknąć i zapisać plik. Te zmiany sprawiają, że Sophos Autoupdate nie będzie pobierał paczek RMS umożliwiających zarządzanie z konsoli.

• Proszę sprawdzić czy zalogowany użytkownik jest w grupie Sophos Console Administrators i wykonać następujące komendy:

"%Program Files%\Sophos\Enterprise Console\exportconfig.exe" -type SAV -policy “SAVHomeUse” -output C:\HomeUse\savconf.xml
"%Program Files%\Sophos\Enterprise Console\exportconfig.exe" -type SCF -policy “SCFHomeUse” -output C:\HomeUse\scfcidconf.xml

Ostatnia komenda umieści pliki config we wcześniej utworzonym folderze.

• Proszę skopiować utworzone pliki konfiguracyjne i umieścić je na serwerze Web:

copy the file "C:\HomeUse\savconf.xml" to: \\\webpackage\CIDs\Sxxx\SAVSCFXP\savxp\
copy the file "C:\HomeUse\scfcidconfig.conf" to: \\\webpackage\CIDs\Sxxx\SAVSCFXP\scf\

gdzie Sxxx reprezentuje CID subskrypcji o danym ID. Aktualne subskrypcje można zobaczyć w konsoli zarządzania, w menu View, wybierając opcję "Bootstrap Locations".

• Aby pliki zostały rozpoznane przez instalator, należy wykonać następującą komendę:

"%programfiles%\sophos\enterprise console\SUM\configcid.exe" \\\webpackage\CIDs\Sxxx\SAVSCFXP\
Poprawnie wykonana komenda powinna zwrócić rezultat:
Wrote catalog file master.upd

• Udział dystrybucyjny powinien być prawidłowo skonfigurowany. Proszę skopiować cały folder z  lokalizacji "\\\webpackage\CIDs\Sxxx\SAVSCFXP\" do lokalnego folderu, np. "C:\SAVSCFXP\".

Uwaga: Pliki w katalogach "rms" i "nac" nie są potrzebne do instalacji i mogą zostać usunięte.

• Aby dodać pliki niezbędne dla procesu AutoUpdate, proszę udać się do folderu "C:\HomeUse\Config" i skopiować cały katalog "Config" do katalogu "C:\SAVSCFXP". Scieżka z folderem powinna wyglądać następująco: "C:\SAVSCFXP\Config".

• W katalogu "C:\SAVSCFXP\" proszę utworzyć nowy plik o nazwie “InstallSophos.bat”.

• Źródło pliku "InstallSophos.bat" przedstawia się następująco – proszę skopiować je do otwartego pliku (bez znaków ------):

------
@ECHO OFF
ECHO Creating SAV install directory
mkdir "%programfiles%\Sophos\Sophos Anti-Virus"
Echo Populate SAV directory with SAV configuration file
copy "C:\SAVSCFXP\savxp\savconf.xml" "%programfiles%\Sophos\Sophos Anti-Virus\"
ECHO Creating SCF install directory
mkdir "%programfiles%\Sophos\Sophos Client Firewall"
Echo Populate SCF directory with SCF configuration file
copy "C:\SAVSCFXP\scf\scfcidconfig.conf" "%programfiles%\Sophos\Sophos Client Firewall\"
ECHO Running installation.
C:\SAVSCFXP\Setup.exe -mng no -crt R -ni -scf -updp c:\savscfxp\
PING -n 31 127.0.0.1 >NUL
ECHO Copying SAU config folder
COPY /Y "C:\SAVSCFXP\Config\" "%programfiles%\Sophos\AutoUpdate\Config\"
ECHO Installation Complete. Please reboot as instructed.
------

• Na komputerze, na którym ma być zainstalowana standardowa paczka, proszę skopiować katalog "C:\SAVSCFXP\" oraz uruchomić skrypt "C:\SAVSCFXP\InstallSophos.bat".

Aby zautomatyzować ten proces, można umieścić instalator SAV w samorozpakowywującym się archiwum i ustawić, aby po rozpakowaniu skrypt InstallSophos.bat był uruchamiany automatycznie.

• Proszę przygotować dokumentację dla użytkowników domowych, w której znajdą oni informację w jaki sposób mogą zainstalować Sophos, z kim z działu pomocy technicznej mogą się kontaktować oraz w jaki sposób powinni radzić sobie z ostrzeżeniami generowanymi przez program antywirusowy oraz zaporę.

Linki do dokumentów (w języku angielskim), które mogą być pomocne dla końcowych użytkowników:

• Anti-Virus and HIPS settings: guide to on-access settings
• Anti-Virus and HIPS settings: guide to scheduled scan settings
• Best Practice: Firewall settings guide