Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Ressourcen

Praxistipps: Einrichtung von Endpoint-Software für den Privatgebrauch

Sophos ist der Meinung, dass Unternehmen bestrebt sein sollten, die Sicherheitsstruktur über das Unternehmen hinaus auszuweiten. Trotz aller Vorsichtsmaßnahmen im Unternehmen kann es vorkommen, dass Mitarbeiter private USB-Sticks und sonstige Geräte ans Unternehmensnetzwerk anschließen. So kann Malware in das Unternehmen gelangen, da im Privaten auch beispielsweise Websites aufgerufen werden, die im Unternehmen in der Regel gesperrt sind. Wenn Sie Mitarbeitern gestatten, die Unternehmensvirenschutzlösung auch zu Hause zu nutzen, kann vermieden werden, dass Malware von zu Hause ins Unternehmensnetzwerk gelangt.

Sophos hat den Virenschutz der Lizenzinhaber nun auch auf den Privatgebrauch ausgeweitet. Dies dient der Prävention versehentlicher Infektionen des Unternehmensnetzwerks durch Seiten oder Inhalte, die nicht Ihrer Kontrolle unterliegen.

Im vorliegenden Artikel finden Sie sämtliche Informationen, die zur Einrichtung für den Privatgebrauch erforderlich sind. Da die Lizenzerweiterung Sonderbestimmungen unterliegt, sind andere Support-Artikel nicht relevant. Details entnehmen Sie bitte dem Sophos Endbenutzer-Lizenzvertrag.

Hinweis: Die erweiterte Lizenz gilt nur für Benutzer von Endpoint Security and Control. Benutzer von Small Business oder Endpoint Security haben hierauf keinen Anspruch.

Die Installation kann anhand der beiden folgenden Methoden erfolgen:

  1. Herunterladen eines Einzelplatz-Installers von der Sophos Website – zwar wirkt die Methode auf den ersten Blick einfach, doch müssen Benutzer diverse Einstellungen vor- und übernehmen, was ein gewisses technisches Verständnis voraussetzt.
  2. Erstellen eines Installationspakets mit von Ihnen definierten Richtlinien – hier fällt zunächst unter Umständen mehr Arbeit an, doch wird dabei der Konfigurationsaufwand für die Heimbenutzer minimiert.

Bedenken Sie bei Ihrer Entscheidung, wie sich potenzielle Probleme und Fragen der Heimbenutzer auf die Auslastung des Helpdesks in Ihrem Unternehmen auswirken.

Verteilen des Einzelplatz-Installers an die Heimbenutzer

Da bei dieser Methode die Standardeinstellungen übernommen werden, ist der Konfigurationsaufwand mitunter enorm.

  1. Laden Sie den Einzelplatz-Installer auf http://www.sophos.de/support/updates/windows.html herunter. Sie müssen sich auf der Seite mit Ihren MySophos-Zugangsdaten anmelden.

  2. Erstellen Sie in Update Manager/EM Library ein neues Update-Verzeichnis, das auf den Web-Veröffentlichungs-Ordner auf Ihrem Webserver zugreift.
    In Einklang mit den Bestimmungen der Lizenzvereinbarung müssen Endbenutzer, die Sophos Software privat installieren, Updates vom Unternehmensnetzwerk beziehen. Am einfachsten lässt sich dies erreichen, indem Sie ein Update-Verzeichnis auf dem Webserver freigeben. Anweisungen hierzu entnehmen Sie bitte dem Begleitmaterial zum Webserver.


    Hinweis:     Wenn Sie IIS nutzen, müssen Sie die Sophos Erweiterungen in die Liste der zulässigen MIME-Typen aufnehmen. Wenn Sie Platzhalter verwenden, müssen Sie außerdem ".conf" in die Erweiterungsliste aufnehmen, wenn Sie Update-Dateien für Sophos Anti-Virus für Mac OS X hochladen.

  3. Legen Sie den Einzelplatz-Installer im Web-Ordner ab.
  4. Stellen Sie Dokumentationsmaterial und folgende Informationen bereit:
    • Ansprechpartner bei Problemen (Ihr Helpdesk)
    • URL zum Download des Installationsprogramms
    • Anweisungen zum Festlegen der primären Update-Quelle auf die Update-URL sowie Zugangsdaten

Link zur Einzelplatz-Startup-Anleitung für Endpoint Security and Control 9.5: www.sophos.com/sophos/docs/deu/instguid/sesc_95_ssgdeu.pdf.

Bei Bedarf können Sie auch folgende Links beifügen: Anti-Virus- und HIPS-Einstellungen: Anleitung zu On-Access-Einstellungen, Anti-Virus- und HIPS-Einstellungen Anleitung für Einstellungen zu geplanten Scans, Firewall-Einstellungsanleitung.

Erstellen eines Installationspakets für die Heimbenutzer

Hierbei legen Sie die Richtlinien für den Privatgebrauch fest. Technisches Verständnis seitens der Heimbenutzer ist daher kaum erforderlich.

So erstellen Sie ein Installationspaket

  1. Öffnen Sie Enterprise Console.

  2. Erstellen Sie eine neue Anti-Virus-Richtlinie und geben Sie ihr einen Namen (z.B. "SAVHomeUse").

    Bearbeiten Sie die Richtlinie anhand der folgenden Anweisungen: Nähere Informationen zu den Anti-Virus- und HIPS-Einstellungen finden Sie auf der Praxistipps-Seite.


    Es empfiehlt sich, folgende Einstellungen zu ändern:

    On-Access-Scan-Einstellungen

    Archivdateien scannen. Insbesondere wenn Dateien von unbekannten Quellen heruntergeladen werden, bergen Archive ein Sicherheitsrisiko. Da Richtlinien bei der Privatnutzung der Software nicht per Rechtsklick-Menü erzwungen werden können, kann die Einstellung Schutz vor Malware aus dem Internet bieten.

    Scannen auf Macintosh-Viren. Die Einstellung sollte aktiviert werden, wenn sich Macintosh-Computer im Netzwerk befinden.

    Scannen auf Adware/PUA. Die Einstellung ist bei Anti-Virus- und HIPS-Richtlinien häufig deaktiviert, um die Alert-Frequenz herabzusetzen. Für den Privatgebrauch sollte sie jedoch aktiviert werden. Dies trifft besonders zu, wenn Sie vermuten, dass Mitarbeiter ihr System nicht regelmäßig scannen.

    On-Access-Scans – beim Schreiben. Aufgrund des erhöhten Risikos, das aus dem Privatgebrauch resultiert, empfiehlt sich diese Einstellung.

    On-Access-Scans – beim Umbenennen. Auch mit der Einstellung kann Malware schnell erkannt werden. Sie empfiehlt sich für den Privatgebrauch.

    Objekte mit Virus/Spyware automatisch bereinigen. Viele Heimbenutzer wissen nicht, wie bei einer Malware-Infektion vorzugehen ist. Unter Umständen wissen sie ferner nicht, dass beim Löschen von Malware unter Umständen wichtige Dateien verloren gehen. Es empfiehlt sich, die Option zu aktivieren, um den Arbeitsaufwand in Zusammenhang mit Malware-Infektionen zu minimieren. Da sich die Heimbenutzer nicht direkt an den technischen Support von Sophos wenden können, müssen Sie ihnen bei der Entfernung von Malware helfen.

    HIPS-Einstellungen

    Nur Alerts. Zwar ist der Schutz vor Pufferüberläufen wichtig, doch kann es sein, dass die Deaktivierung des Modus "Nur Alerts" einen berträchtlichen Arbeitsaufwand für Sie nach sich zieht, da Benutzer Programme mit verdächtigen Verhaltensmustern unter Umständen nicht ausführen können. Es bietet sich an, den Modus "Nur Alerts" etwa einem Monat lang zu aktivieren, um Alerts näher kennenzulernen und ggf. Ausschlüsse zu erstellen, und den Modus anschließend zum Schutz von Pufferüberläufen wieder zu deaktivieren.

    Geplante Scans

    Geplante Scans können für den Privatgebrauch nicht erstellt werden. Hier ist also keinerlei Konfiguration erforderlich.

  3. Erstellen Sie in Enterprise Console/Update Manager eine neue Softwareverteilung und erstellen Sie so eine neue Freigabe im Web-Veröffentlichungs-Ordner auf dem Webserver für das gewünschte Abonnement.

    In Einklang mit den Bestimmungen der Lizenzvereinbarung müssen Endbenutzer, die Sophos Software privat installieren, Updates vom Unternehmensnetzwerk beziehen. Am einfachsten lässt sich dies erreichen, indem Sie ein Update-Verzeichnis auf dem Webserver freigeben. Anweisungen hierzu entnehmen Sie bitte der IIS- oder Apache-Server-Hilfe.

    Hinweis: Wenn Sie IIS nutzen, müssen Sie die Sophos Erweiterungen in die Liste der zulässigen MIME-Typen aufnehmen. Wenn Sie Platzhalter verwenden, müssen Sie außerdem ".conf" in die Erweiterungsliste aufnehmen, wenn Sie Update-Dateien für Sophos Anti-Virus für Mac OS X hochladen.

  4. Erstellen Sie eine neue Update-Richtlinie für die Heimbenutzer mit der Bezeichnung "SAUHomeUse". Legen Sie in der Richtlinie fest, dass Updates von dem in Schritt 3 erstellten Web-Verzeichnis bezogen werden.

  5. Erstellen Sie in Enterprise Console eine neue Computergruppe mit der Bezeichnung "HomeUse". Weisen Sie der Gruppe die Richtlinien "SAVHomeUse" und "SAUHomeUse" zu.

  6. Fügen Sie einen Vorlagen-Computer zur "HomeUse"-Gruppe hinzu, um sicherzustellen, dass die neuen Richtlinien eingehalten werden. Auf dem Vorlagen-Computer sollte idealerweise Windows XP, Windows Vista oder Windows 7 laufen. Wenn Macintosh- oder Linux-Computer vorhanden sind, erstellen Sie auch entsprechende Vorlagen. Die Computer müssen zunächst anhand der Anweisungen in Abschnitt 11 der Erweiterten Startup-Anleitung oder der Endpoint Security und Control Startup-Anleitung für Linux, Netware und Unix vorbereitet werden.

  7. Melden Sie sich als Administrator an und erstellen Sie auf dem Desktop einen Ordner mit der Bezeichnung "C:\HomeUse".

    Die Update- und Antivirus-Richtlinien werden exportiert und in dem Ordner gruppiert.

  8. Navigieren Sie auf dem Webserver, der als Update-Verzeichnis für die Heimbenutzer erstellt wurde, zu \\server\SophosUpdate\CIDs\S000\.

  9. Kopieren Sie den Ordner "SAVSCFXP" in den auf Laufwerk C: erstellten Ordner.

  10. Fügen Sie den Ordner erneut in "C:\HomeUse\" ein und benennen Sie ihn um in SAVSCFXPXML. (Im Ordner "HomeUset" auf dem Desktop sollten sich nun zwei Ordner mit dem gleichen Inhalt befinden: "SAVSCFXP" und "SAVSCFXPXML").

  11. Exportieren Sie die Richtlininen, die Sie auf den Endpoint übertragen möchten, von Enterprise Console.

    %Programme%\Sophos\Enterprise Console\exportconfig.exe" -type AU -policy SAUHomeUse -output "C:\HomeUse\SAVSCFXPXML\sau\sauconf.xml"

    Führen Sie dann folgenden Befehl aus:
    "%Programme%\Sophos\Enterprise Console\exportconfig.exe" -type SAV -policy SAVHomeUse -output "C:\HomeUse\SAVSCFXPXML\savxp\savconf.xml"

  12. Integrieren Sie die im Vorfeld erstellten Richtlinien über folgenden Befehl in das Paket:
    • "%Programme%\Sophos\Enterprise Console\SUM\configcid.exe" "C:\HomeUse\SAVSCFXPXML"

  13. Um Platz zu sparen, können Sie folgende Dateien und Ordner löschen, sofern vorhanden:
    • Im Ordner "HomeUse\SAVSCFXP"auf dem Desktop: die Unterordner "NAC", "RMS", "SAVXP" und "SCF".
    • Im Ordner " HomeUse\SAVSCFXPXML" auf dem Desktop: "crt instmsiw.exe setup*.*".

  14. Löschen Sie die folgenden Unterordner aus dem Ordner "SAVSCFXPXML": rms, nac, scf.

  15. Erstellen eines selbstextrahierenden Archivs, das setup.exe mit den entsprechenden Parametern ausführt

    enn Sie die Setup-Parameter ändern möchten, finden Sie im Support-Artikel Sophos Endpoint Security and Control: Befehlszeilenparameter für "setup.exe" nähere Informationen.

    Zur Veranschaulichung wird in diesem Artikel WinRAR verwendet, es ist aber auch jedes andere Tool akzeptabel, welches die gleiche Funktion ausübt.

    1. Wählen Sie im "HomeUse"-Ordner "SAVSCFXP" und "SAVSCFXPXML" aus, rechtsklicken Sie und wählen Sie "Zu Archiv hinzufügen...".
    2. Wählen Sie in den Archivoptionen "SFX-Archiv erstellen" und dann "Solides Archiv erstellen".
    3. Klicken Sie auf der Registerkarte "Erweitert" auf die Schaltfläche "SFX-Optionen…".
    4. Geben Sie in das Textfeld "Verzeichnis zum Entpacken" Folgendes ein: %SystemRoot%\Temp\savinst.
    5. Geben Sie in das Textfeld "Nach dem Entpacken ausführen" Folgendes ein: SAVSCFXP\setup.exe -mng no -ni -s -crt R -updp %SystemRoot%\Temp\savinst\SAVSCFXPXML\.
    6. Wählen Sie auf der Registerkarte "Modi" die Option "Alles ausblenden".
    7. Wählen Sie auf der Registerkarte "Update" die Option "Alle Dateien überschreiben".
    8. Klicken Sie auf "OK", um die Optionen zu übernehmen.
    9. Klicken Sie auf "OK", um den selbstextrahierenden Installer zu erstellen.

  16. Führen Sie den selbstextrahierenden Installer auf allen Computern aus, auf denen Endpoint Security and Control installiert werden soll.

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.