Verwendung von SCCM 2007 (SMS) zur Installation von Endpoint Security and Control (Sophos Anti-Virus)

Dieser Artikel ist für Netzwerkadministratoren bestimmt, die bereits Microsoft Systems Management Server (SMS) oder System Center Configuration Manager 2007 (SCCM) für Verwaltung, Installation und Update von Netzwerk-Komponenten verwenden und die SMS verwenden wollen, um Endpoint Security and Control oder andere Sophos Produkte in ihrem eigenen Netzwerk zu installieren und zu verwalten.

Weitere Informationen zu SMS und SCCM 2007 stehen auf der Microsoft-Website zur Verfügung.

Im Folgenden wird davon ausgegangen, dass der Benutzer bereits mit den Funktionen, Komponenten und der Terminologie von SMS vertraut ist.

Vorgehensweise

Installieren von Sophos Produkten

1. Erstellen eines neuen Pakets und Programms
   Öffnen Sie den SMS Distribute Software Wizard und erstellen Sie ein neues Paket und Programm für eine Sammlung von Computersystemen. Geben Sie dem Paket einen aussagekräftigen Namen, wie beispielsweise "Sophos Endpoint Security and Control"
2. Festlegung eines Quellverzeichnisses
   Wählen Sie in "Source Files" die Option "Obtain files from a source directory". Wählen Sie in "Source directory:" die Option "Network path (UNC name)". Geben Sie das Update-Verzeichnis oder CID (Zentrales Installationsverzeichnis) ein. Beispiel:

Enterprise Console 4:
\\Servername\SophosUpdate\CIDs\Sxxx\Paketname
Enterprise Console 3.x:
\\Servername\InterChk\ESXP
\\Servername\InterChk\ESNT
\\Servername\InterChk\ES9X

Wenn Computergruppen Updates von verschiedenen Verzeichnissen durchführen sollen, können diese Gruppen und Verzeichnisse nach der Installation festgelegt werden. Die entsprechende Vorgehensweise wird nachstehend ausführlicher beschrieben. Klicken Sie auf "Next".

1. Auswahl von Distributionspunkten
   Wählen Sie für das Paket entsprechende Distributionspunkte aus. Klicken Sie auf "Next", um das Dialogfeld "Program Identification" anzuzeigen. Das Feld "Name" muss den Programmnamen enthalten, den Sie in Schritt 1 festgelegt haben.
2. Verwendung der Befehlszeile
   Mithilfe der Befehlszeile legen Sie zwei Bereiche fest:
   
   1. Von wo Computer Updates erhalten. Eine der folgenden Situationen liegt vor:
      • Sie haben verschiedene Computergruppen und müssen ein Update-Verzeichnis für jede Gruppe festlegen. Sie können diese Verzeichnisse entweder vor oder nach der Installation festlegen.
      • Alle Computer sollen Updates von zur einem Verzeichnis erhalten. Sie können dieses Verzeichnis vor der Installation festlegen, indem Sie die Adresse des Primary Servers in die Befehlszeile eingeben.
   2. Die erforderlichen Informationen zur Erkennung des neuen Programms, darunter:
      • Die Datei "setup.exe" von der oben angegebenen Quelldatei
      • Benutzername und Kennwort für den Zugriff auf den Server, über den Sie die Updates erhalten
3. Eingabe über die Befehlszeile
   Geben Sie einen Befehl in die Befehlszeile ein. Je nachdem, ob Sie die Adresse Ihres Primary Servers vor oder nach Installation von "setup.exe" auf den Computern festlegen wollen, sollte Ihr Text einem der folgenden Beispieltexte ähneln:
   
   • Wenn Sie die Adresse des Primary Servers NACH der Installation festlegen:
     setup.exe -user <Benutzername> -pwd *****
     Dabei bezeichnet <Benutzername> ein Konto mit Lesezugriff auf das Update-Verzeichnis/CID.
     Wenn Sie einen Befehl in diesem Format eingeben, nimmt die Adresse des Primary Servers in der AutoUpdate-Konfiguration auf den Client-Computern nach Verteilung des Installationsprogramms den UNC-Pfad des freigegebenen SMS-Paket-Ordners auf dem SMS-Server als Standard an, z.B. \\[SMSServername]\SMSPKGC$\ 12300001\ .
     Die Client-Computer werden in Enterprise Console im Ordner "Nicht zugewiesen" als verwaltet und verbunden angezeigt. Da der Speicherort des Primary Servers jedoch nicht auf ein verwaltetes Update-Verzeichnis/CID verweist, erhalten die Computer keine Sophos Updates. Dies müssen Sie später angeben.
   • Wenn Sie die Adresse des Primary Servers VOR der Installation festlegen:
     setup.exe -user <Benutzername> -pwd ***** -mng yes -updp \\Servername\InterChk\ (Enterprise Console 3)
\\Servername\SophosUpdate\CIDs\Sxxx\[Paketname]
Dabei bezeichnet <Benutzername> ein Konto mit Lesezugriff auf das Update-Verzeichnis/CID.
     Wenn Sie einen Befehl in diesem Format eingeben, werden die Client-Computer in Enterprise Console im Ordner "Nicht zugewiesen" als verwaltet und verbunden angezeigt und erhalten Sophos-Updates. Klicken Sie auf "Next".
4. Ausführen des Programms
   Wählen Sie unter "Program properties" das Programm aus und wählen Sie aus den Drop-Down-Optionen die Option "Whether or not a user is logged on".
   Hinweis: Wenn das Programm auf Windows 95/98/Me-Plattformen ausgeführt wurde, erfordert der Computer ggf. einen Neustart.
5. Bekanntgabe des Programms
   Geben Sie das Programm bekannt. Wählen Sie entsprechende Bekanntgabe-Ziele aus.
6. Zuweisen des Programms
   Weisen Sie das Programm zu. Wählen Sie die Option, über die die Installation auf Computern zwingend ist.
7. Abschließen der Installation der Software
   Klicken Sie zuerst auf "Next" und dann auf "Finish", um den Softwareinstallations-Wizard abzuschließen und zu beenden. Sofern erforderlich, können Sie die Eigenschaften der Bekanntgabe jetzt entsprechend ändern, indem Sie beispielsweise die Zuweisung über langsame Links obligatorisch machen.
8. Sicherstellen des regelmäßigen Updates der Distributionspunkte
   Damit neue Computer die neueste Version der Sophos Software installieren, müssen die Distributionspunkte mindestens monatliche Updates vom Update-Verzeichnis/CID erhalten. Das Paket kann konfiguriert werden, die Distributionspunkte automatisch zu aktualisieren.
   

Verwalten von Client-Computern nach der Installation

Damit Computer Updates der Antiviren-Software erhalten, muss die Update-Adresse die des Update-Verzeichnisses/CIDs auf Ihrem Server sein. Eine der folgenden Situationen liegt vor:

• Wenn Sie nach der Installation nicht die erforderliche Adresse des Primary Servers in der Befehlszeile des SMS-Pakets angegeben haben, werden die Computer in Enterprise Console im Ordner "Nicht zugewiesen" als verbunden und verwaltet angezeigt. Sie erhalten jedoch keine Sophos Updates, da der Primary Server der Computer nicht auf ein verwaltetes Update-Verzeichnis/CID verweist.
  In Enterprise Console können Sie die Computer in eine konfigurierte Gruppe verschieben, so dass sie mit deren Update-Richtlinie übereinstimmen. Somit weist die Adresse des AutoUpdate Primary Servers auf den Computern automatisch auf das korrekte CID.
• Wenn Sie nach der Installation in der Befehlszeile des SMS-Pakets die korrekte Adresse des Primary Servers angegeben haben, werden die Computer in Enterprise Console im Ordner "Nicht zugewiesen" als verbunden und verwaltet angezeigt und erhalten Sophos-Updates. Diese Computer können ggf. in andere Gruppen in der Konsole verschoben werden.

Hinweis: Der Assistent zum Schutz von Computern, der aufgerufen wird, wenn Computer aus der Gruppe "Nicht zugewiesen" verschoben werden, kann abgebrochen werden.