Einsatz von Sophos Anti-Virus über die Active Directory-Gruppenrichtlinie

  • Artikel-ID: 13090
  • Aktualisiert: 19 Jun 2013

In Windows Server können Sie die auf eine Domäne übertragene Gruppenrichtlinie so konfigurieren, dass Sophos Software automatisch auf allen Windows NT- oder Windows 2000+-Computern bereitgestellt wird, die der Domäne beitreten.

Betrifft die folgenden Sophos Produkte/Versionen:

Sophos Endpoint Security and Control

Betriebssysteme
2000/XP/2003/Vista/Windows 7/2008/2008 R2

Vorgehensweise

  1. Installieren Sie Enterprise Console anhand der Anweisungen der Schnellstart-Anleitung auf dem Management-Server.
  2. Erstellen Sie eine Batch-Datei, die als Start-Skript ausgeführt werden soll. Dadurch werden alle Computer beim Starten daraufhin übererprüft, ob Endpoint Security and Control/Sophos Anti-Virus installiert ist. Auf ungeschützten Computern wird ggf. Endpoint Security and Control/Sophos Anti-Virus installiert.

Sie können eine neue Gruppenrichtlinie erstellen oder einer vorhandene Richtlinie bearbeiten und die hier genannten Befehle darin aufnehmen.

  1. Klicken Sie hierzu auf "Start" > "Alle Programme" > "Verwaltung" > "Active Directory-Benutzer und -Computer".
    Oder
    klicken Sie auf "Start" > "Ausführen" und geben Sie Folgendes ein: dsa.msc. Drücken Sie die Eingabetaste.
  2. Wählen Sie den Domänennamen auf der linken Seite aus.
  3. Rechtsklicken Sie auf den Domänennamen und wählen Sie "Eigenschaften".
  4. Wählen Sie die Registerkarte "Gruppenrichtlinie".
  5. Wählen Sie "Neu".
  6. Geben Sie dem Gruppenrichtlinienobjekt einen Namen.  Beispiel: GRO zum Bereitstellen von Sophos Endpoint-Software über ein Skript.
  7. Wählen Sie das neue Gruppenrichtlinienobjekt aus und klicken Sie auf "Bearbeiten".  Der Editor für Gruppenrichtlinienobjekte wird gestartet.
  8. Navigieren Sie im Gruppenrichtlinienobjekt-Editor auf der linken Seite zu "Computerkonfiguration" > "Windows-Einstellungen" > "Skripts".
  9. Doppelklicken Sie auf der rechten Seite auf "Start".
  10. Klicken Sie in den Startkonfigurationseinstellungen auf "Dateien anzeigen".
  11. Rechtsklicken in dem Fenster, das sich öffnet, auf "Neu", "Textdokument" und wählen Sie diese Option aus.
  12. Benennen Sie die Datei in "InstallSAV.bat" um.
  13. Rechtsklicken Sie auf "InstallSAV.bat" und wählen Sie "Bearbeiten".
  14. Bearbeiten Sie die Datei wie folgt:

    Hinweis: Lesen Sie bitte die Anweisungen zum Bearbeiten des Skripts.

    • Geben Sie unter Windows 2000/XP/2003 die Befehle unten ein.
    • Verwenden Sie für die Installation unter Windows NT die gleichen Befehle, ersetzen Sie dabei jedoch "ESXP" duch "ESNT".
    • Passen Sie die Ziffer des Abonnement-Ordners (im folgenden Skript als "Sxxx" dargestellt) an Ihre Abonnement an.

    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    IF EXIST "C:\ProgramData\Sophos\Remote Management System\3\Agent\Adapter Storage\SAV\SAVAdapterConfig" goto _End
    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVER>\
    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USER" -pwd "PWD" -mng yes
    REM --- End of the script
    :_End

    Geben Sie die entsprechenden Namenwerte wie folgt ein:
    • SERVER ist der Name des Servers mit dem Verteilungspunkt. Hierbei handelt es sich in der Regel um den Server, auf dem die Konsole installiert wurde.
    • USER ist der Benutzername des Benutzers, der Zugriffsrechte auf die Dateien im am Distributionspunkt hat.
    • PWD ist das Kennwort für den obigen Benutzer.
      Hinweis: Wenn Sie nicht möchten, dass Zugangsdatenim reinen Textformat in diesem Start-Skript angezeigt werden, können Sie Benutzernamen und Kennwort verschleiern.
    Geben Sie die Befehlszeilen-Parameter folgendermaßen ein:
    • Der Parameter '-updp' legt die primären Update-Quelle fest. Es kann sich auch um eine HTTP-Adresse handeln.
    • Der Parameter '-mng' legt fest, ob die Installation von der Konsole verwaltet wird. Wenn Sie die Konsole nicht verwenden, sollte der Wert des Parameters "no" lauten.
    Weitere Informationen finden Sie unter Von setup.exe verwendete Befehlszeilen-Parameter.
  15. Speichern Sie die Datei und schließen Sie das aktive Fenster.
  16. Klicken Sie im Dialogfeld mit den Startkonfigurationseinstellungen auf "Hinzufügen".
  17. Klicken Sie im Dialogfeld "Hinzufügen eines Skripts" auf "Durchsuchen".
  18. Wählen Sie die Datei "InstallSAV.bat" aus und klicken Sie auf "Öffnen".
  19. Klicken Sie auf "OK" > "Übernehmen" > "OK" .

Hinweis: Das Skript wird bei allen darauf folgenden Neustarts ausgeführt, sofern Sie es nicht nach der Bereitstellung von Endpoint Security and Control entfernen.

Anweisungen zum Bearbeiten des Skripts

Beachten Sie bei der Bearbeitung der Skripts Folgendes:

  • Wenn Sie einen Befehl in das Bearbeitungsfenster eingeben, muss er sich in einer Zeile befinden.
  • Wenn Sie einen Zeilenumbruch eingeben, wird der Befehl nicht ausgeführt.
  • Sie müssen den Zeilenumbruch deaktivieren.

Es kann den Anschein haben, dass in diesem Artikel aufgeführte Befehle mehr als eine Zeile umfassen, was auf den Zeilenumbruch in diesem Fenster zurückzuführen ist. Der von Ihnen verwendete Texteditor unterliegt keinen Beschränkungen, sofern Sie den Zeilenumbruch deaktiviert haben. In jedem hier aufgeführten Beispiel muss sich der Text:

\\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USER" -pwd "PWD" -mng yes

in einer Zeile befinden.

Ausschließen bestimmter Computer von der Skript-Ausführung

Die folgenden Startup-Skripts veranschaulichen den Ausschluss von zwei Computern (SERVER1 und SERVER2) von der Installation mithilfe des Skripts.

  1. Sie benötigen den genauen Hostnamen des auszuschließenden Computers:
    1. Gehen Sie zu allen Computern, die Sie ausschließen möchten und öffnen Sie eine Befehlszeile (klicken Sie hierzu auf "Start" > "Ausführen", geben Sie cmd.exe ein und drücken Sie die Eingabetaste).
    2. Geben Sie folgenden Befehl ein und drücken Sie die Eingabetaste:
      SET
    3. Suchen Sie in der ausgegebenen Umgebungsvariablenliste nach "COMPUTERNAME=".
    4. Merken Sie sich den genauen Hostnamen, der nach dem Gleichheitszeichen (=) angezeigt wird.
  2. Ersetzen "SERVER1" und "SERVER2" im Folgenden durch die Hostnamen.
    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    IF EXIST "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on 2003/XP (the SAV adapter config file)
    IF EXIST "C:\Documents and Settings\All Users\Application Data\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    IF EXIST "C:\ProgramData\Sophos\Remote Management System\3\Agent\AdapterStorage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for servers not to install to
    if %COMPUTERNAME% == SERVER1 goto _End
    if %COMPUTERNAME% == SERVER2 goto _End

    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\SERVER\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\SERVER\
    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user USER -pwd PWD -mng yes
    REM --- End of the script
    :_End

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen