Sophos Endpoint Security and Control Managed Service Provider

Transcription

Sophos Endpoint Security
and Control
Managed Service
Provider-Anleitung für für
verteilte Systeme
Produktversion: 10.0
Stand: Juni 2012
Inhalt
1 Einleitung............................................................................................................................................3
2 Informationen zu Sophos Software...................................................................................................4
3 Wie funktioniert SESC für MSPs? ....................................................................................................6
4 Erläuterung der Verwaltung von Clients mit dem SEC-Server........................................................8
5 Vorgehensweise.................................................................................................................................10
6 Installation von Enterprise Console auf dem SEC-Server..............................................................11
7 Herunterladen von Sicherheitssoftware von Sophos......................................................................13
8 Schützen des SEC-Servers................................................................................................................15
9 Einrichten des Sophos DMZ-Servers..............................................................................................16
10 Veröffentlichen von Update-Verzeichnissen für Kunden.............................................................21
11 Konfigurieren des SEC zur Verwaltung von Kunden....................................................................22
12 Überprüfen der Konfiguration......................................................................................................24
13 Schützen des Sophos DMZ-Servers...............................................................................................26
14 Erstellen eines Installationspakets.................................................................................................27
15 Überprüfen des Installationspakets...............................................................................................33
16 Verteilen eines Pakets auf den Kundencomputern.......................................................................34
17 Überwachen der Endpoint-Sicherheit...........................................................................................35
18 Anhang: Erstellen eines Schutz-Pakets über die Befehlszeile ......................................................40
19 Anhang: Inhalt der Datei „MRinit.conf“.......................................................................................42
20 Technischer Support.......................................................................................................................43
21 Rechtlicher Hinweis........................................................................................................................44
2
Managed Service Provider-Anleitung für für verteilte Systeme
1 Einleitung
Die Anleitung richtet sich an MSPs (Managed Service Providers), die Kunden eine verwaltete
Version von Sophos Endpoint Security and Control anbieten. Es wird beschrieben, wie Sie
Sophos Endpoint Security and Control (SESC) in einem verteilten System für die
Remote-Verwaltung im Kundenauftrag einrichten (und Ihre eigenen Computer schützen).
Hinweis: Anweisungen zur Einrichtung eines Einzelservers können Sie der Sophos Endpoint
Security and Control Managed Service Provider-Anleitung für Einzelserver entnehmen:
http://www.sophos.com/de-de/medialibrary/PDFs/install%20guides/sesc_100_mspssgeng.pdf.
Es wird dabei davon ausgegangen, dass Sie bereits ein RMM-System (Remote Monitoring and
Management System), wie Kaseya, N-able, LevelPlatforms oder Zenith einsetzen, und damit
Ihren Kunden Remote-Installations-, Verwaltungs- und Überwachungsdienste anbieten.
Verwenden Sie dieses Dokument in Zusammenarbeit mit Ihrem Sophos Sales Engineer. Wenn
Sie nicht über einen Sales Engineer verfügen, wenden Sie sich an Ihren Kontakt bei Sophos.
Begleitmaterial zu Sophos Software finden Sie hier: www.sophos.de/support/docs/.
Das MSP-Forum der SophosTalk-Community bietet weitere Informationen und Hilfe:
http://community.sophos.com/t5/Sophos-Managed-Service-Provider/bd-p/SophosMSP
3
Sophos Endpoint Security and Control
2 Informationen zu Sophos Software
In diesem Abschnitt wird die für die verwaltete Endpont-Sicherheit erforderliche Sophos
Software aufgeführt:
■
Sophos Enterprise Console
■
Sophos Update Manager
■
2.1 Sophos Enterprise Console
Sophos Enterprise Console ist ein Verwaltungs-Tool zur Bereitstellung und Verwaltung von
Sophos Endpoint-Software über Gruppen und Richtlinien. Zudem bietet die Software
Alert-Funktionen und detaillierte Reports zum Endpoint-Status und erkannten Threats.
Enterprise Console umfasst und verwaltet Sophos Update Manager.
2.1.1 Sophos Reporting Interface
Sophos Reporting Interface ist ein Zusatz-Tool für Enterprise Console. Hiermit können Sie
anhand von Reports und Protokollen von Fremdsoftware Reports zu Threats und Ereignisdaten
in Sophos Enterprise Console erstellen. Nähere Informationen zum Sophos Reporting Interface
finden Sie unter http://www.sophos.de/security/sophoslabs/reporting-interface.html.
2.2 Sophos Update Manager
Sophos Update Manager lädt Sophos Software und Updates von der Sophos Website in ein
zentrales Verzeichnis herunter. Die Updates werden in freigegebenen Update-Ordnern
bereitgestellt. Endpoint-Computer updaten sich über diese Freigaben.
Sophos Update Manager wird mit Sophos Enterprise Console installiert, kann jedoch auch
separat installiert werden. Für eine verwaltete Endpoint-Sicherheitsinstallation sind zwei
Kopien von Update Manager erforderlich, Parent und Child. Der Parent-Update Manager
bezieht Updates von Sophos über das Internet. Der Child-Update Manager bezieht Updates
vom Parent-Update Manager.
Die Kundencomputer beziehen Updates vom Child-Update Manager. Wenn Sie Computer
in Ihrem lokalen Netzwerk mit Sophos Sicherheitssoftware schützen, beziehen diese Updates
vom Parent-Update Manager.
2.3 Sophos Endpoint Security and Control
Sophos Endpoint Security and Control (SESC) bezieht sich sowohl auf die gesamte in diesem
Abschnitt Sophos beschriebene Sicherheitssoftware-Suite als auch auf den Agenten auf den
Endpoints, der die Computer schützt und mit den Verwaltungs-Tools interagiert.
4
Endpoint Security and Control (für Endpoints) umfasst die folgenden Komponenten:
■
Sophos AutoUpdate . Die Komponente aktualisiert sich selbst und die anderen
Komponenten über einen Update Manager.
■
Sophos Remote Management System (RMS). Komponente für die Kommunikation mit
Sophos Enterprise Console über TCP auf den Ports 8192, 8193 und 8194.
■
Sophos Anti-Virus . Die Komponente bietet Virenschutz-, HIPS-, Data Control- und
Device Control-Funktionen.
■
Der Web-Schutz bietet besseren Schutz vor Threats aus dem Internet. Die Komponente
umfasst folgende Funktionen:
■
Live-URL-Filterung, die den Zugriff auf Websites sperrt, auf denen bekanntermaßen
Malware gehostet wird. Die Funktion basiert auf einem Online-Abgleich mit der Sophos
Datenbank infizierter Websites.
■
Inhalts-Scan-Funktion zum Scannen von aus dem Internet (oder Intranet)
heruntergeladenen Daten und Dateien sowie proaktive Erkennung schädlicher Inhalte.
Die Funktion dient dem Scannen von Inhalten, die an beliebigen Stellen gehostet werden,
auch wenn sie nicht in der Datenbank infizierter Websites aufgeführt werden.
■
Mit der Kontrolle von Websites (optional) können Sie die Aktivitäten der Benutzer
anhand von 14 Kategorien filtern: Pornografie, Anonymisierende Proxys, Kriminelle
Handlungen, Glücksspiel, Hacking, Harte Drogen, Intolerantes Verhalten, Phishing
und Betrug, Spam-URLs, Spyware, Geschmackloser, anstößiger Inhalt, Gewalt und
Waffen.
■
Sophos Client Firewall (optional). Nur bezeichnete Anwendungen oder Anwendungklassen
können auf das Netzwerk oder Internet zugreifen.
■
Sophos Patch (optional). Mit Enterprise Console wird festgestellt, ob die aktuellen
Sicherheits-Patches auf den Endpoints installiert wurden. Anhand der von den SophosLabs
bereitgestellten Bewertung können Sie ermitteln, welche Sicherheits-Patch-Probleme das
höchste Risiko bergen, und diese umgehend beheben. Die Bewertungen der SophosLabs
basieren auf den aktuellen Exploits und weichen daher unter Umständen vom vom
Hersteller angegebenen Schweregrad ab.
■
Verschlüsselung (optional). Sie können zentral verwaltete Festplattenverschlüsselung auf
Endpoints installieren. Die Festplattenverschlüsselung schützt Daten auf Endpoints davor,
von nicht autorisierten Personen gelesen oder geändert zu werden. Laufwerke werden
transparent verschlüsselt. Die Benutzer müssen nicht entscheiden, welche Daten verschlüsselt
werden sollen. Verschlüsselung und Entschlüsselung werden im Hintergrund ausgeführt.
Mit Hilfe der Power-on Authentication (POA), einem zusätzlichen Authentifizierungsschritt
vor dem Booten, wird sichergestellt, dass nur autorisierte Benutzer auf die Daten im System
zugreifen können.
5
3 Wie funktioniert SESC für MSPs?
Im Folgenden wird Sophos Endpoint Security and Control für MSPs näher erläutert:
Als Managed Service Provider (MSP) stellen Sie verwaltete IT-Services remote über das
Internet für Kunden bereit.
Sophos Enterprise Console wird auf einem von Ihnen gehosteten Server (dem SEC-Server)
ausgeführt. Mit der Software können Sie Computergruppen und Sicherheitsrichtlinien verwalten
und den Endpoint-Status sowie Alerts anzeigen.
Sophos Update Manager (SUM-Parent) wird auf dem SEC-Server ausgeführt. Mit dieser
Komponente werden die Installationsdateien zu Software sowie Updates von Sophos auf dem
Host in Freigaben in Ihrem lokalen Netzwerk veröffentlicht.
Sophos Update Manager (SUM-Child) wird auf einem Webserver in Ihrem DMZ (dem
Sophos DMZ-Server) ausgeführt. Installationsdateien und Updates werden vom SUM-Parent
heruntergeladen und in Freigaben auf Ihrem DMZ abgelegt.
Hinweis: Auf dem Sophos DMZ-Server muss zudem der Microsoft IIS (Internet Information
Services)-Webserver ausgeführt werden, damit die Sophos Update-Ordner über HTTP im
Internet veröffentlicht werden.
Sophos Endpoint Security and Control (SESC) wird auf dem DMZ-Server, dem SEC-Server
und den Endpoints der Kunden ausgeführt, um Computer vor Threats zu schützen und Reports
an Enterprise Console zu senden.
SESC umfasst Sophos AutoUpdate (SAU). Diese Komponente bezieht Updates über HTTP
(mit IIS) von den von SUM (auf dem SEC-Server installiert) verwalteten Freigaben.
Remote Management System (RMS) wird auf allen Computern (einschließlich SEC-Server
und Clients) ausgeführt und ermöglicht bidirektionale Kommunikation für Richtlinien,
Client-Status und Alerts.
Das RMM-System (Remote Monitoring and Management System) (beispielsweise Kaseya)
besteht aus einer Konsole am MSP und allen auf dem verwalteten Endpoint installierten
Agenten.
Das RMM-System:
■
stellt ein benutzerdefiniertes Endpoint Security and Control-Installerpaket auf allen
Endpoints bereit,
■
führt das Paket aus und installiert Endpoint Security and Control auf allen Endpoints,
■
führt in regelmäßigen Abständen ein Skript auf allen Endpoints zur Statusabfrage von
Endpoint Security and Control aus, so dass die RMM-Konsole den aktuellen Status und
Alerts anzeigen kann.
■
verwaltet Endpoint-Software anderer Anbieter auf ähnliche Weise.
Es stehen zahlreiche RMM-Produkte von vielen Anbietern für verschiedene Situationen und
Anwendungen zur Verfügung.
Die Konfiguration und Funktionsweise der RMM-Komponenten wird von dieser Anleitung
nicht erfasst.
6
Hinweis: Andere Computer im lokalen Netzwerk des MSPs können auf Wunsch auch anhand
der Anweisungen im Abschnitt Schützen des SEC-Servers (Seite 15) (hier nicht abgebildet)
geschützt werden. Auch die RMM-Netzwerkkommunikation variiert je nach System und wird
hier nicht dargestellt.
7
4 Erläuterung der Verwaltung von Clients mit dem
SEC-Server
In diesem Abschnitt wird die Konfiguration der einzelnen Netzwerkkomponenten für die
Kommunikation zwischen SEC-Server, Sophos DMZ-Server und den verwalteten
Kunden-Endpoints erläutert.
Die Grafik zeigt die Interaktion der Server, Domänen, Ports und internen und externen
IP-Adressen. Bei den angegebenen IP-Adressen handelt es sich nur um Beispiele. Geben Sie
die tatsächliche IP-Adresse ein.
Der Sophos DMZ-Server wird intern und extern von der gleichen Domäne adressiert:
„sophos-dmz.msp.com“. Der interne und externe DNS-Server verbinden
„sophos-dmz.msp.com“ jedoch mit anderen IP-Adressen (siehe oben).
Es wird davon ausgegangen, dass die Website mit dem virtuellen Verzeichnis Port 80 für
eingehende Verbindungen verwendet. Bei allen Ports im Beispiel oben handelt es sich um
TCP-Ports.
Im vorliegenden Beispiel lautet die IP-Adresse des Edge-Geräts 1.1.1.1. Dabei handelt es sich
um die externe Schnittstelle der Firewall. Die Ports 80, 8192 und 8194 werden über die
Schnittstelle genattet.
Wenn Sie Sophos Patch nutzen möchten, müssen Sie den Reverse-Proxy am Edge-Gerät zur
Umleitung von Traffic an den SEC-Server konfigurieren, der der folgenden Adresse entspricht:
„http://<1.1.1.1>/Sophos/Management/Patch/EndpointCommunicator/“.
Es empfiehlt sich, auf Kundenseite einen Transparent Caching/Proxy zu verwenden, um den
durch Patch und Endpoint-Updates verursachten Traffic zu reduzieren.
8
Hinweis: Wenn eine andere Anwendung beispielsweise bereits Port 80 nutzt, können andere
Ports verwendet werden. Das Update-Verzeichnis sollte bei der Konfiguration der Updates
für Kunden in der Standardform angegeben werden. Wenn beispielsweise Port 8085 verwendet
werden soll, muss das Update-Verzeichnis „http://sophos-dmz.msp.com:8085/sophos“ lauten.
4.1 Netzwerkanforderungen
Alle Systeme, einschließlich des SEC-Servers, können jetzt den vollqualifizierten
Domänennamen (FQDN) ordnungsgemäß auflösen. Wenn der Server eine private IP verwendet
(RFC 1918) und mithilfe von NAT öffentlich zugänglich ist, wird „sophos-dmz.msp.com“ zur
internen IP-Adresse des SEC-Servers (z.B. 192.168.0.2) aufgelöst. Bei Remote-Systemen wird
der FQDN zur externen IP-Adresse des Sophos DMZ-Servers (z.B. 1.1.1.1) aufgelöst.
1. Erstellen Sie anhand der folgenden Anweisungen einen DNS A-Eintrag namens
„sophos-dmz.msp.com“ für interne und externe DNS-Systeme:
a) Erstellen Sie einen internen Adresseneintrag, der zur internen IP-Adresse des Sophos
DMZ-Servers (z.B. 192.168.0.11) aufgelöst wird.
b) Erstellen Sie einen externen (Internet) DNS A-Eintrag, der zur öffentlichen Schnittstelle
des Sophos DMZ-Servers aufgelöst wird (z.B. 1.1.1.1).
2. Konfigurieren Sie die Internet-Firewall des Sophos DMZ-Servers zur Weiterleitung (über
NAT) der Ports TCP 8192, 8193 und 8194.
9
5 Vorgehensweise
Die Hauptschritte:
10
■
Installation von Sophos Enterprise Console auf einem von Ihnen gehosteten Server (dem
SEC-Server). Hierzu zählt auch der Sophos Update Manager (Parent-SUM).
■
Verbindungsaufbau zu Sophos und Download der erforderlichen Sicherheitssoftware.
■
Schützen des SEC-Servers mit Sophos Sicherheitssoftware.
■
Einrichten der DMZ durch Ändern der Konfigurationsdatei, Installieren eines Child-Update
Managers und Bearbeiten der Registrierungswerte.
■
Veröffentlichen der Freigaben, über die Computer der Kunden Updates beziehen können.
■
Konfigurieren des SEC-Servers durch Erstellen von Gruppen für alle Kunden und Bearbeiten
der Update-Richtlinie.
■
Überprüfen der Konfiguration.
■
Schützen des Sophos DMZ-Servers mit Sophos Sicherheitssoftware.
■
Erstellen eines Installer-Pakets.
■
Überprüfen des Installationspakets
■
Verteilen des Installer-Pakets auf den Kundencomputern (über das RMM-System).
■
Verwalten der Endpoint-Sicherheitssoftware.
6 Installation von Enterprise Console auf dem SEC-Server
Im Folgenden wird erläutert, wie Sophos Enterprise Console auf dem SEC-Server installiert
werden kann.
6.1 Vorbereiten der Installation von Enterprise Console
Führen Sie auf dem Server, der die Mindestvoraussetzungen eines SEC-Servers (siehe
http://www.sophos.de/products/enterprise/endpoint/security-and-control/management/sysreqs.html)
erfüllt, die folgenden vorbereiteten Schritte durch:
1. Überprüfen Sie, ob der Server mit dem Internet verbunden ist.
2. Halten Sie die Windows-Betriebssystems-CD und Service-Pack-CDs bereit. Sie müssen
die CDs möglicherweise im Laufe der Installation einlegen.
3. Wenn auf dem SEC-Server Microsoft SQL Server 2000 oder MSDE 2000 installiert ist,
führen Sie ein Upgrade auf Microsoft SQL Server 2005 oder höher durch. Wenn nicht:
SQL Server Express 2008 ist in Enterprise Console integriert.
4. Wenn der Server unter Windows Server 2008 oder höher betrieben wird, deaktivieren Sie
die Benutzerkontensteuerung und starten Sie den Server neu.
Nach dem Abschluss der Installation und dem Download der Sicherheitssoftware können
Sie die Benutzerkontensteuerung wieder aktivieren.
6.2 Installation von Enterprise Console
So installieren Sie Enterprise Console:
1. Anmeldung als Administrator:
a) Wenn sich der Computer in einer Domäne befindet, melden Sie sich als
Domänenadministrator an.
b) Wenn sich der Computer in einer Arbeitsgruppe befindet, melden Sie sich als lokaler
Administrator an.
2. Rufen Sie die Download-Website auf, die in der Registrierungs-/Download-E-Mail
angegeben ist.
3. Laden Sie das Enterprise Console-Installer-Paket herunter.
4. Doppelklicken Sie auf das heruntergeladene Download-Paket.
5. Klicken Sie im Dialogfeld Sophos Enterprise Console auf Weiter. Es wird ein Assistent
gestartet, der Sie durch die Installation leitet. Gehen Sie folgendermaßen vor:
a) Übernehmen Sie die Standardwerte, sofern dies möglich ist.
b) Wählen Sie im Dialogfeld Komponentenauswahl alle drei Komponenten aus:
Management Server, Management-Konsole und Datenbank.
6. Nach der Installation ist eventuell ein Neustart erforderlich. Klicken Sie auf Ja oder
Fertigstellen.
11
Nähere Informationen zur Installation und Einrichung von Richtlinien entnehmen Sie bitte
der Schnellstart-Anleitung und Richtlinienlaneitung zu Enterprise Console.
12
7 Herunterladen von Sicherheitssoftware von Sophos
Wenn Sie sich nach der Installation zum ersten Mal wieder am System anmelden oder einen
Neustart durchführen, wird Enterprise Console automatisch geöffnet und ein Assistent wird
ausgeführt, um Endpoint-Sicherheitssoftware auszuwählen und herunterzuladen.
Wenn Sie Enterprise Console mit Remote Desktop installiert haben, wird die Konsole nicht
automatisch geöffnet: Öffnen Sie sie über das Startmenü.
Beim Ausführen des Assistenten:
1. Geben Sie auf der Seite Sophos Download-Konto die auf der Sophos Lizenz aufgeführten
Zugangsdaten ein. Wenn Sie über einen Proxyserver auf das Internet zugreifen, aktivieren
Sie das Kontrollkästchen Verbindung zu Sophos über Proxyserver herstellen und geben
Sie die Proxyserver-Einstellungen ein.
2. Wählen auf der Seite Plattformauswahl die Systeme aus, die jetzt geschützt werden sollen.
Klicken Sie auf Weiter. Enterprise Console lädt die Software herunter.
Hinweis: Wenn Sie zu einem späteren Zeitpunkt weitere Plattformen hinzufügen möchten,
können Sie Ihr Software-Abonnement in der Ansicht „Update Manager“ ändern.
3. Der Download-Fortschritt wird auf der Seite Software wird heruntergeladen angezeigt.
Klicken Sie bei Bedarf auf Weiter.
4. Wenn Sie Ihre eigenen Computer in Ihrem lokalen Netzwerk mit Sophos Sicherheitssoftware
schützen möchten und über die entsprechende Lizenz verfügen, wählen Sie auf der Seite
Computer aus Active Directory importieren die Option Gruppen für Computer erstellen
aus.
So wird auf dem SEC-Server ein freigegebener Installationsordner mit installierbaren Versionen
von Sophos Endpoint-Software für alle Betriebssysteme, die Sie schützen möchten, erstellt.
Der Ordner wird als „\\<SEC-Server>\SophosUpdate\CIDs“ freigegeben. Der Stanm der
Freigabe befindet sich unter:
Windows
Server
Standardverzeichnis
2003
C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Sophos\Update
Manager\Update Manager\CIDs\
2008/2008
R2
C:\ProgramData\Sophos\Update Manager\Update Manager\CIDs\
Die Installations- und Update-Dateien zu Sophos Endpoint Security and Control für Windows
befinden sich im Verzeichnis „\S000\SAVSCFXP\“ und zu Verschlüsselung im Unterverzeichnis
„\S000\ENCRYPTION\“.
Hinweis: Sie können den CID-Pfad für alle Plattformen in Enterprise Console abrufen: Klicken
Sie unter Ansicht auf Bootstrap-Verzeichnis.
13
Wenn die Benutzerkontensteuerung vor der Installation deaktiviert wurde, können Sie sie
jetzt wieder aktivieren.
14
8 Schützen des SEC-Servers
Zu Testzwecken empfehlen wir, den SEC-Server zu schützen.
1. Installieren Sie Sophos Endpoint Security and Control. Führen Sie hierzu auf dem zu
schützenden Computer das Setup vom am Ende von Herunterladen von Sicherheitssoftware
von Sophos (Seite 13) aufgeführten CID-Pfad aus.
2. Überprüfen Sie, ob die Installation erfolgreich war.
Öffnen Sie hierzu Enterprise Console. In der Registerkarte Status sollte in der Spalte Auf
dem neuesten Stand „Ja“ stehen.
Nähere Informationen zur Installation von Endpoint Security and Control entnehmen Sie
bitte der Upgrade-Anleitung zu Endpoint Security and Control .
15
9 Einrichten des Sophos DMZ-Servers
Zum Einrichten des Sophos DMZ-Servers verfahren Sie wie folgt:
1. Ändern Sie die Konfigurationsdatei im SEC-Server, um die Kommunikation mit dem
Sophos DMZ-Server zu ermöglichen.
2. Installieren Sie Update Manager auf dem Sophos DMZ-Server.
3. Bearbeiten Sie die Registrierungswerte im Sophos DMZ-Server, um die Kommunikation
mit dem SEC-Server und den Clients zu ermöglichen.
9.1 Andern der Konfigurationsdatei
Verfahren Sie auf dem SEC-Server wie folgt:
1. Navigieren Sie zum Verzeichnis „SUMInstaller“.
WindowsVersion
Standardverzeichnis
32-Bit
C:\Programme\Sophos\Enterprise Console\SUMInstaller
64-Bit
C:\Programme (x86)\Sophos\Enterprise Console\SUMInstaller
2. Suchen Sie die Datei MRinit.conf und bearbeiten Sie die Werte MRParentAddress und
ParentRouterAddress.
Über „MRParentAddress“ stellt der Sophos DMZ-Server eine Verbindung zum SEC-Server
her; über „ParentRouterAddress“ stellen die Clients eine Verbindung zum Sophos
DMZ-Server her.
Standardwert im Beispiel:
"MRParentAddress"="sophos-console.abc.sophos,sophos-console"
"ParentRouterAddress"="sophos-console.abc.sophos,sophos-console"
Abgeänderter Inhalt im Beispiel:
Fügen Sie eine extern verfügbare IP-Adresse und den lokalen NetBIOS-Namen des
SEC-Servers und des Sophos DMZ-Servers hinzu.
"MRParentAddress"="192.168.0.10, sophos-console.msp.com,
sophos-console"
"ParentRouterAddress"="sophos-dmz,sophos-dmz.msp.com"
Speichern Sie die Datei und schließen Sie Sie sie. Im Abschnitt Anhang: Inhalt der Datei
„MRinit.conf“ (Seite 42) finden Sie eine beispielhafte „MRinit.conf“-Datei.
16
9.2 Installation von Update Manager
In diesem Abschnitt wird die Installation eines Child-Update Managers auf einem Server im
DMZ (dem Sophos DMZ-Server) sowie die Konfiguration zum Bezug von Updates vom
Parent-Update Manager auf dem SEC-Server ausgeführt.
9.2.1 Vorbereiten der Update Manager-Installation
Gehen Sie zum SophosDMZ-Server.
■
Stellen Sie sicher, dass die folgenden Ports eingehenden und ausgehenden Datenfluss zum
lokalen Netzwerk akzeptieren: 137, 138, 139 und 445.
■
Wenn die Windows-Version des Servers über integrierte Netzwerkerkennung verfügt, diese
Funktion jedoch deaktiviert ist, aktivieren Sie sie und starten Sie den Server neu.
■
Überprüfen Sie, ob der Sophos DMZ-Server Dateien vom SEC-Server über die Freigabe,
wie etwa „\\<sophos-dmz.msp.com>\SophosUpdate\“, kopieren kann.
Hinweis:
■
Es wird hierbei davon ausgegangen, dass der SEC-Server und der Sophos DMZ-Server
per UNC-Netzwerk verbunden sind. Ihr Sophos Techniker kann Ihnen zu anderen
Netzwerkprotokollen, wie HTTP, Auskunft geben.
■
Wenn der Server unter Windows Server 2008 betrieben wird, deaktivieren Sie die
Benutzerkontensteuerung und starten Sie den Server neu. Nach der Installation des
Update Managers und der Anmeldung für die Sophos Updates können Sie die
Benutzerkontensteuerung wieder aktivieren.
9.2.2 Installation von Update Manager
1. Melden Sie sich auf dem Sophos DMZ-Server als Administrator an.
a) Wenn der Server einer Domäne angehört, melden Sie sich als Domänenadministrator
an.
b) Wenn der Server einer Arbeitsgruppe angehört, melden Sie sich als lokaler Administrator
an.
2. Suchen Sie die Freigabe „SUMInstallSet“ auf dem SEC-Server.
Beispiel: „\\<sophos-console.msp.com>\SUMInstallSet“
3. Doppelklicken Sie auf Setup.exe, um den Installer zu starten.
4. Klicken Sie im Fenster Sophos Update Manager auf Weiter.
Es wird ein Assistent gestartet, der Sie durch die Installation leitet. Übernehmen Sie die
Voreinstellungen.
17
Auf dem Sophos DMZ-Server wurde dadurch:
■
ein von Enterprise Console verwalteter Update Manager installiert.
■
ein freigegebenes Installationsverzeichnis \\<sophos-dmz.msp.com>\SophosUpdate\
erstellt.
Mit den Installationsdateien in der Installationsfreigabe wird Sophos Endpoint Security and
Control auf dem Sophos DMZ-Server installiert. Der Ordner dient zudem als Quelle für den
Deployment Packager.
Gehen Sie zu Sophos Enterprise Console auf dem SEC-Server und stellen Sie sicher, dass der
neue Update Manager im Bereich „Update Manager“ angezeigt wurde. Abonnieren Sie den
neuen Sophos Update Manager („empfohlenes“ Paket) und geben Sie den SEC-Server als
Quelle an. Der Download des Pakets auf den Sophos DMZ-Server nimmt bis zu 15 Minuten
in Anspruch.
Nähere Informationen zum Ändern der Update-Richtlinie und dem Kennwort des Update
Managers finden Sie unter http://www.sophos.de/support/knowledgebase/article/65318.html.
9.3 Bearbeiten von Registrierungswerten
Verfahren Sie am Sophos DMZ-Server wie folgt:
1. Öffnen Sie den Registrierungs-Editor. Klicken Sie hierzu auf Start, Ausführen, geben Sie
regedit ein und klicken Sie auf OK.
2. Sichern Sie die Registrierung.
Anweisungen hierzu finden Sie in der Microsoft-Dokumentation.
3. Ändern Sie im Registrierungseditor die beiden folgenden Registrierungswerte:
■
Sophos Message Router
■
Router
Verfahren Sie hierzu wie folgt:
a) Navigieren Sie zum Registrierungsschlüssel des Sophos Message Routers:
WindowsVersion
Standardverzeichnis
32-Bit oder
64-Bit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos
Message Router\
b) Wählen Sie im rechten Fensterbereich den Eintrag ImagePath aus:
c) Klicken Sie im Menü Bearbeiten auf Ändern.
d) Ändern Sie den Wert unter Wertdaten wie folgt:
■
32-Bit-Computer:
Standardwert:
18
„C:\Programme\Sophos\Remote Management System\RouterNT.exe" -service -name
Router -ORBListenEndpoints iiop://:8193/ssl_port=8194“
Geänderter Wert:
Ändern Sie den Wert ab und fügen Sie den zusätzlichen Text sowie den extern
auflösbaren voll qualifizierten Donämennamen hinzu (fett gedruckt).
„C:\Programme\Sophos\Remote Management System\RouterNT.exe" -service -name
Router -ORBDottedDecimalAddresses 0 -ORBListenEndpoints
iiop://:8193/ssl_port=8194&hostname_in_ior=sophos-dmz.msp.com“
■
64-Bit-Computer:
Standardwert:
„C:\Programme (x86)\Sophos\Remote Management System\RouterNT.exe" -service
-name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194“
Geänderter Wert:
„C:\Program Files (x86)\Sophos\Remote Management System\RouterNT.exe" -service
-name Router -ORBDottedDecimalAddresses 0 -ORBListenEndpoints
iiop://:8193/ssl_port=8194&hostname_in_ior=sophos-dmz.msp.com“
e) Navigieren Sie zum Registrierungsschlüssel des Routers:
WindowsVersion
Standardverzeichnis
32-Bit
HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router\
64-Bit
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sophos\Messaging
System\Router\
f) Wählen Sie im rechten Fensterbereich den Eintrag ServiceArgs aus:
g) Klicken Sie im Menü Bearbeiten auf Ändern.
h) Ändern Sie den Wert unter Wertdaten wie folgt:
Standardwert:
-ORBListenEndpoints iiop://:8193/ssl_port=8194
Ändern in:
-ORBDottedDecimalAddresses 0 -ORBListenEndpoints
iiop://:8193/ssl_port=8194&hostname_in_ior=sophos-dmz.msp.com
4. Starten Sie den Dienst „Sophos Message Router“ neu:
19
Der Vorgang wird in den folgenden Support-Artikeln näher erläutert:
20
■
http://www.sophos.de/support/knowledgebase/article/50832.html (Szenario 2 ist am
gängigsten).
■
http://www.sophos.de/support/knowledgebase/article/14635.html.
10 Veröffentlichen von Update-Verzeichnissen für Kunden
Beim der Installation des Update Managers wird automatisch eine „SophosUpdate“-Freigabe
in folgendem Verzeichnis auf dem Sophos DMZ-Server erstellt:
„\\<SEC-Server>\SophosUpdate\“. Damit Kunden Updates von der Freigabe beziehen können,
muss per http darauf zugegriffen werden können.
1. Gehen Sie zum SEC-Server und öffnen Sie Enterprise Console.
2. Wählen Sie in Enterprise Console die Update Manager-Ansicht aus. Wählen Sie den
Child-Sophos Update Manager auf dem Sophos DMZ-Server aus und rechtsklicken Sie
darauf.
3. Wählen Sie im Bereich Konfiguration anzeigen/bearbeiten Abonnements aus und stellen
Sie sicher, dass das empfohlene Paket zu „\\<sophos-dmz.msp.com>\SophosUpdate“
abonniert wird.
Der SEC-Server kommuniziert mit dem Sophos DMZ-Server und erstellt eine neue Freigabe
in SophosUpdate. Der Vorgang kann bis zu 15 Minuten in Anspruch nehmen.
4. Erstellen Sie auf dem Sophos DMZ-Server ein lokales Konto, sophosupd, mit komplexem
Kennwort und Lesezugriff auf „SophosUpdate“.
5. Installieren und konfigurieren Sie Microsoft IIS auf dem Sophos DMZ-Server und sichern
Sie es ordnungsgemäß ab.
6. Erstellen Sie in IIS ein virtuelles Verzeichnis mit der Bezeichnung „SophosUpdate“, das
„\\<sophos-dmz.msp.com>\SophosUpdate“, freigibt und weisen Sie dem neuen Konto
sophosupd-Rechte zu.
Wenn Sie statt eines UNC-Pfads einen lokalen Pfad verwenden, lautet der Standard-Pfad
zum CID:
Windows
Server
Standardverzeichnis
2003
C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Sophos\Update
Manager\Update Manager
2008/2008
R2
C:\ProgramData\Sophos\Update Manager\Update Manager\
7. Konfigurieren Sie MIME-Typen. Zu Testzwecken können Sie ".*" als MIME-Typ hinzufügen.
Nähere Informationen zum Erstellen eines Web-CIDs und zur Konfiguration von
MIME-Typen entnehmen Sie bitte dem Support-Artikel
Hinweis: HTTPS wird nicht für Client-Updates unterstützt. Zur Absicherung der Zugangsdaten
empfiehlt sich NTLM- (in Windows integrierte Authentifizierung) oder
Digest-Authentifizierung. Sie können die Einstellungen in IIS konfigurieren. Auf den Clients
wird automatisch die sicherste Option übernommen.
21
11 Konfigurieren des SEC zur Verwaltung von Kunden
Nach dem Download der Sicherheitssoftware müssen sie den SEC-Server so konfigurieren,
dass Sie Kunden und deren Computer verwalten können.
11.1 Erstellen von Gruppen
Computer werden durch Erstellen von Gruppen in Sophos Enterprise Console organisiert.
Wir empfehlen Ihnen, mindestens eine Gruppe für Sie, den MSP und je eine Gruppe für alle
Kunden zu erstellen. Wenn unterschiedliche Richtlinien für die Kundensysteme erforderlich
sind, können Sie in Kundengruppen Untergruppen erstellten (etwa "Server", "Desktop"). Alle
Gruppen können unterschiedliche Richtlinien zugewiesen werden. In der Praxis sind die
Richtlinien aller Gruppen jedoch aller Wahrscheinlichkeit nach identisch. Wenn Sie so Ihre
verwalteten Endpoints in Gruppen unterteilen, wirken sich Änderungen an den
Sicherheitsrichtlinien eines bestimmten Kunden nicht auf die Endpoints der anderen Kunden
oder Ihre eigenen Endpoints aus.
So können Sie eine neue Gruppe für Computer erstellen:
1. Wählen Sie in der Ansicht Endpoints im Fensterbereich Gruppen (links in der Konsole),
wo Sie die Gruppe erstellen möchten.
Klicken Sie auf den Computernamen oben, wenn Sie eine neue Top-Level-Gruppe erstellen
möchten. Klicken Sie auf eine bestehende Gruppe, wenn Sie eine Untergruppe erstellen
möchten.
2. Klicken Sie in der Symbolleiste auf das Symbol Gruppe erstellen.
Eine „Neue Gruppe“ wird in die Liste aufgenommen. Der Name der Gruppe ist markiert.
3. Geben Sie einen Namen für die Gruppe ein.
Der neuen Gruppe werden automatisch Richtlinien zugewiesen. Sie können diese Richtlinien
ändern oder andere Richtlinien anwenden.
Wenn es sich bei der neuen Gruppe um eine Untergruppe handelt, verwendet die
Untergruppe anfangs dieselben Einstellungen wie die Gruppe, in der sie sich befindet.
Für Ihre eigenen Computer können Sie Richtlinien aus Microsoft Active Directory importieren.
Nähere Informationen zum Einrichten von Gruppen entnehmen Sie bitte der Hilfe zu Enterprise
Console und dem Sophos Support-Artikel Tipp: Erstellen von Gruppen in Enterprise Console
unter http://www.sophos.de/support/knowledgebase/article/63155.html.
11.2 Erstellen von Update-Richtlinien
Sie müssen eine neue Update-Richtlinie erstellen und zur Verwendung der vorab im Abschnitt
(Veröffentlichen einer Update-Freigabe für Kunden (Seite 21)) in den IIS eingerichteten
HTTP-Adresse konfigurieren.
22
So erstellen Sie eine neue Update-Richtlinie:
1. Rechtsklicken Sie im Fenster Richtlinien auf Updates und wählen Sie die Option Richtlinie
erstellen aus.
Geben Sie einen Namen für die Richtlinie ein.
2. Doppelklicken Sie auf den Richtliniennamen. Geben Sie im Dialogfeld Update-Richtlinie
auf der Registerkarte Primärserver die Zugangsdaten sowie die Adresse für den Zugang
zum Server ein. Bei der Adresse muss es sich um einen vollqualifizierten Domänennamen
oder eine IP-Adresse handeln (z.B.„http://sophos-dmz.msp.com/SophosUpdate“ oder
„http://1.1.1.1/SophosUpdate“).
Geben Sie unter Benutzername und Kennwort die Zugangsdaten des Kontos ein, über
das die Clients Updates von Sophos herunterladen. Es empfiehlt sich ein Konto pro Kunden
mit Lesezugriff.
Machen Sie bei Bedarf weitere Angaben und klicken Sie auf OK, um das Dialogfeld der
Update-Richtlinie zu schließen.
3. Wählen Sie im Feld Gruppen eine Gruppe aus, auf die die konfigurierte Update-Richtlinie
übertragen werden soll: Ziehen Sie hierzu die Richtlinie auf die Gruppe oder rechtsklicken
Sie auf die Gruppe, klicken Sie auf Gruppenrichtliniendetails öffnen und wählen Sie die
neue Richtlinie im Dropdown-Menü „Updates“ aus.
Wiederholen Sie diesen Schritt für alle Gruppen in der Richtlinie.
23
12 Überprüfen der Konfiguration
Sie haben die Konfiguration abgeschlossen. Führen Sie zur Überprüfung Ihrer Einstellungen
die folgenden Tests durch:
1. Überprüfen Sie auf demSophos DMZ-Server, ob Sie unter Verwendung des vollqualifizierten
Domänennamens (FQDN) eine Verbindung zu Port 8192 herstellen können.
Die ausgegebene Antwort sollte mit „IOR“ anfangen. Hierzu können Sie Telnet oder
vergleichbare Tools verwenden. Beispiel: Geben Sie in die Befehlszeile Folgendes ein: telnet
sophos-dmz.msp.com 8192.
Sollte dies nicht funktionieren, verwenden Sie statt des FQDN „localhost“, um zu ermitteln,
ob ein DNS-/IP-Routing-Problem vorliegt.
Wiederholen Sie den Schritt für den SEC-Server. Beispiel: Geben Sie in die Befehlszeile
Folgendes ein: telnet sec-server 8192.
2. Wiederholen Sie die genannten Schritte auf einem externen Client, um zu überprüfen, ob
extern auf den DMZ-Server zugegriffen werden kann. Beispiel: Geben Sie telnet
sophos-dmz.msp.com 8192 ein.
3. Überprüfen Sie, ob das Management-System mit dem FQDN konfiguriert wurde. Verfahren
Sie hierzu wie folgt:
a) Öffnen Sie auf dem Sophos DMZ-Server den Registrierungseditor.
Klicken Sie hierzu auf Start, Ausführen, geben Sie regedit ein und klicken Sie auf OK.
b) Navigieren Sie zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE.
c) Rechtsklicken Sie auf SOFTWARE und klicken Sie auf Suchen.
d) Geben Sie unter Suchen nach: den FQDN des Sophos DMZ-Servers ein.
e) Wenn eine Instanz gefunden wurde, drücken Sie auf der Tastatur auf F3, um nach einer
weiteren Instanz zu suchen.
Hinweis: Es sollten zwei Instanzen des FQDN-Namens vorhanden sein.
Wenn Sie sichergestellt haben, dass zwei Instanzen vorhanden sind, schließen Sie den
Registrierungseditor.
4. Überprüfen Sie auf einem externen Client, ob unter Verwendung des FQDN des Sophos
DMZ-Servers eine Verbindung zu IIS auf Port 80 über einen Webbrowser hergestellt werden
kann. Navigieren Sie durch die Ordnerstruktur (wenn die Verzeichnisauflistung deaktiviert
ist, geben Sie Pfade an, die sich von der Navigation durch das lokale Verzeichnis ableiten),
um sicherzustellen, dass Dateien heruntergeladen werden können.
Laden Sie beispielsweise eine „.pem“-Datei herunter, da sich diese nicht in dr Standardliste
der IIS-MIME-Typen befindet. Mit den Standardeinstellungen lautet der Pfad zur
„.pem“-Datei:
http://<sophos-dmz.msp.com>/SophosUpdate/CIDs/s000/SAVSCFXP/cac.pem
24
Nach der Durchführung der genannten Schritte können Sie mit dem Schutz des Sophos
DMZ-Servers fortfahren.
25
13 Schützen des Sophos DMZ-Servers
Schützen Sie jetzt den Sophos DMZ-Server, auf dem soeben Sophos Update Manager installiert
wurde.
1. Führen Sie auf dem Sophos DMZ-Server die Setup-Datei aus dem Installationsfreigabenpfad
auf dem DMZ-Server aus. Den Pfad finden Sie hier: Installation des Update Managers (Seite
17).
2. In Enterprise Console
a) Nehmen Sie den Sophos DMZ-Server als Mitglied in eine MSP-Gruppe auf.
b) Weisen Sie dem SophosDMZ-Server Richtlinien zu.
c) Stellen Sie sicher, dass keine Alerts oder Fehlerzustände für den Sophos DMZ-Server
angezeigt werden. Wenn doch, beheben Sie die Probleme, bei denen Handlungsbedarf
(beispielsweise eine Neustart) besteht.
Der Sophos DMZ-Server wird jetzt geschützt.
26
14 Erstellen eines Installationspakets
14.1 Informationen zum Deployment Packager-Tool
Sie können Sophos Endpoint Security and Control (SESC) mit dem Deployment Packager-Tool
auf Endpoints installieren. Das Tool steht auf der Sophos Website zum Download bereit. Der
Deployment Packager erstellt eine einzelne, selbst-extrahierende Archivdatei aus einer Reihe
von Sophos Endpoint-Setup-Dateien für die Installation von Endpoint Security and Control
und Sophos Disk Encryption auf Windows-Endpoints. Das Dateipaket umfasst
Konfigurations-Optionen, wie etwa automatische/interaktive Installation, Auswahl an
Installationspaketen, Update-Pfad/Zugangsdaten und Endpoint-Gruppenmitgliedschaft.
Mit dem Deployment Packager erstellte Pakete versuchen, Schutzsoftware anderer Anbieter,
die Konflikte auslösen könnte, zu entfernen. Fremdsoftware, die Konflikte mit
Verschlüsselungssoftware auslösen kann, lässt sich zwar erkennen, muss jedoch manuell
entfernt werden.
Sie müssen möglicherweise mehrere Pakete erstellen, die jeweils den Anforderungen
unterschiedlicher Endpoint-Arten gerecht werden.
Sie können den Deployment Packager über die Benutzeroberfläche (GUI) oder eine Befehlszeile
(CLI) ausführen.
■
Die GUI bietet sich vor allem für die einmalige Installation an.
■
Die CLI bietet bei mehrfachen Installationen mehr Flexibilität.
Eine Zeichenfolge zum Einleiten der Befehlszeilenversion kann mitsamt aller Optionen in
einer Textdatei gespeichert oder über eine zeitgesteuerte Batch-Datei regelmäßig ausgeführt
werden, damit sich Installationspakete stets auf dem aktuellen Stand befinden. Wenn Sie
also viele Computer verwalten, die viele Endpoint-Installationen erforderlich machen,
bietet sich die CLI an.
Anweisungen zur Nutzung des Deployment Packagers über die Befehlszeile finden Sie im
Abschnitt Anhang: Erstellen eines Schutz-Pakets über die Befehlszeile (Seite 40).
Systemvoraussetzungen
Deployment Packager setzt Folgendes voraus:
■
Windows-Betriebssysteme: siehe
http://www.sophos.de/products/enterprise/endpoint/security-and-control/management/sysreqs.html
■
Freier Festplattenspeicher: 1 GB
■
Arbeitsspeicher: 1 GB
■
Prozessor: Mind. Pentium 2 GHz oder kompatibler
Sie müssen zudem die Systemvoraussetzungen der Endpoint-Komponenten des Pakets
beachten. Siehe http://www.sophos.de/products/all-sysreqs.html.
27
14.2 Erstellen von Paketen über die Benutzeroberfläche
Die Bereitstellung über die Benutzeroberfläche bietet sich für die einmalige Bereitstellung an.
Sie können Installationspakete für folgende Funktionen erstellen:
■
Endpoint-Schutz-Paket mit Virenschutz, Remote Management, Firewall und Patch
Management.
■
Verschlüsselungs-Paket, wenn Verschlüsselung im Umfang Ihrer Lizenz enthalten ist.
14.2.1 Erstellen eines Schutz-Pakets über die Benutzeroberfläche
1. Zum Erstellen eines Schutz-Pakets führen Sie DeploymentPackager.exe aus.
Das Dialogfeld Sophos Deployment Packager wird angezeigt.
2. Geben Sie unter Source Folder den Speicherort des zentralen Installationsverzeichnisses
mit den Endpoint-Software-Installationsdateien ein. Es muss sich hierbei um einen
UNC-Pfad oder ein lokales Verzeichnis handeln.
28
3. Wählen Sie im Bereich Package Endpoint Protection components eine der folgenden
Optionen aus:
■
Remote Management System (RMS)
Dadurch wird Sophos Remote Management System installiert und aktiviert, so dass
Enterprise Console Endpoint Security and Control steuern kann. Bei verwalteten
Systemen muss diese Komponente aktiviert werden.
Hinweis: Bei Auswahl dieser Option beziehen Endpoints den Update-Pfad und die
Zugangsdaten per RMS von Enterprise Console.
■
Firewall
Sophos Client Firewall wird installiert.
Hinweis: Wenn Sie diese Option installieren möchten, überprüfen Sie die
Systemanforderungen unter http://www.sophos.de/products/all-sysreqs.html.
■
NAC
Sophos NAC (Network Access Control) wird installiert. Bei Auswahl dieser Option
muss unter NAC Server URL zudem die Adresse der NAC Manager-Installation
angegeben werden. Hierbei muss es sich um eine IP-Adresse oder einen vollqualifizierten
Domänennamen handeln. Beispiel: http://1.1.1.1.
■ Patch
Hinweis: Port 80 ist der Standardport für Client-Update, Patch und NAC. Sie müssen
den Traffic anhand einer der folgenden Methoden leiten können:
■
Separater FQDN oder IP-Adresse ODER
■
Routen auf der Basis der angeforderten URL.
Dabei wird Sophos Patch Agent installiert. Wenn Sie diese Option auswählen, geben
Sie im Bereich Management server URL die Reverse-Proxy-Adresse ein, über die die
Endpoints mit dem SEC-Server kommunizieren können. Hierbei muss es sich um eine
IP-Adresse oder einen vollqualifizierten Domänennamen handeln. Beispiel: http://1.1.1.1.
Sie müssen den Reverse-Proxy zur Umleitung von Traffic an den SEC-Server
konfigurieren, der der folgenden Adresse entspricht:
„http://1.1.1.1/Sophos/Management/Patch/EndpointCommunicator/“.
29
■
Führen Sie unter Include selected components einen der folgenden Schritte aus:
Wenn die gewählten Komponenten in das Paket aufgenommen werden sollen, klicken
Sie auf In the package. Bei Patch- oder NAC-Komponenten können Sie bei dieser
Option zudem unter Operating system type den Betriebssystemstyp angeben.
Zum Download der ausgewählten Komponenten von der Update-Quelle klicken Sie
auf Configure AutoUpdate to download components.
Wenn Sie Remote Management System (RMS) auswählen und anschließend auf In the
package unter Include selected components klicken, werden die Update-Details von
Enterprise Console bezogen.
Hinweis: Der Endpoint-Installer kann den Proxy-Server nicht nutzen. Wenn der Zugriff
auf das Update-Verzeichnis über einen Proxy-Server erfolgt, müssen die erforderlichen
Endpoint-Komponenten im Paket enthalten sein.
4. Wählen Sie unter Operating system type die Betriebssystemsarchitektur des Pakets aus.
Die Option ist nur verfügbar, wenn NAC oder Patch vom Deployment-Package installiert
wird. Wenn Sie 32-bit oder 64-bit auswählen, kann das Paket nur entweder auf 32-Bitoder auf 64-Bit-Betriebssystemen installiert werden. Bei Auswahl von 32-bit and 64-bit
kann das Paket auf 32- und 64-Bit-Betriebssystemen installiert werden, das Paket ist jedoch
größer.
5. Geben Sie im Feld Installation type an, wie das Installationsprogramm auf Endpoints
ausgeführt werden soll.
■
Silent: Das Programm wird ohne Benutzereinwirkung ausgeführt. Der
Installationsfortschritt wird nicht auf dem Endpoint angezeigt.
■ Non-interactive: Das Programm wird ohne Benutzereinwirkung ausgeführt. Der
Installationsfortschritt wird auf dem Endpoint angezeigt.
■ Interactive: Das Programm wird unter Einwirkung des Benutzers ausgeführt. Der
Benutzer kann die Installation steuern.
6. Geben Sie unter Additional setup parameters die gewünschten Optionen zur Einrichtung
auf dem Endpoint an. Geben Sie die Gruppenmitgliedschaft stets über die „-g“-Option an,
damit sich der jeweilige Installer auf vorhandene Gruppen beschränkt und Endpoints
Mitglieder der jeweiligen Gruppen werden.
Der Packager führt dabei keine Fehlerprüfung durch.
Nähere Informationen finden Sie unter
7. Geben Sie unter Output package den Zielpfad für das Ausgabe-Installer-Paket an. Auf
Wunsch können Sie auch einen Dateinamen angeben; wenn dies nicht erfolgt, übernimmt
der Deployment Packager den Standardnamen.
30
8. Geben sie bei indirekt verwalteten Endpoint-Paketen oder aktiviertem Remote-Management
in das Feld Updates den Update-Pfad ein. Sie können nach einer HTTP-URL die
":<Portzahl>" eingeben; wenn keine Portzahl eingegeben wird, wird der Standard-Port
"80" übernommen.
Hinweis:
■
Stellen Sie sicher, dass alle gewählten Komponenten von der angegebenen Update-Quelle
Updates beziehen können (z.B. Patch und NAC). Wenn für bestimmte Komponenten
eine andere Quelle verwendet werden muss, können Sie die als sekundäres
Update-Verzeichnis konfigurieren.
■
Die Zugangsdaten werden im Paket verschleiert. Konten zum Lesen der
Update-Server-Verzeichnisse sollten nur mit Lesezugriff ausgestattet werden.
■
Endpoints verwenden ihre System-Proxyeinstellungen nur, wenn Sie über die
Umgebungsvariable „http_proxy or all_proxy“ festgelegt wurden. Die Proxyeinstellungen
aus den Internetoptionen der Windows Systemsteuerung oder Internet Explorer werden
ignoriert. „_proxy“-Variablenwerte liegen im Format
„_proxy=[protocol://][user:password@]host[:port]“ vor, z.B.
http_proxy=http://user:password@proxy:8080.
9. Klicken Sie auf Build Package, um das selbstentpackende Archiv zu erstellen.
14.2.2 Erstellen eines Verschlüsselungs-Pakets über die Benutzeroberfläche
Stellen Sie sicher, dass die Endpoints auf die Installation der Festplattenverschlüsselung
vorbereitet wurden. Nähere Informationen entnehmen Sie bitte der Sophos Enterprise Console
– Schnellstartanleitung, Abschnitt „Vorbereiten der Installation von Verschlüsselungssoftware“.
Stellen Sie vor allem Folgendes sicher:
■
Die Sophos Schutz-Software wurde auf Endpoints installiert (Virenschutz, Remote
Management).
■
Verschlüsselungssoftware anderer Anbieter wurde auf den Endpoints deinstalliert.
1. Zum Erstellen eines Verschlüsselungs-Pakets führen Sie DeploymentPackager.exe aus.
Das Dialogfeld Deployment Packager wird angezeigt.
2. Geben Sie unter Source Folder den Speicherort des zentralen Installationsverzeichnisses
(<CID>\ENCRYPTION) mit den Endpoint-Software-Installationsdateien ein. Es muss
sich hierbei um einen UNC-Pfad oder ein lokales Verzeichnis handeln.
3. Wählen Sie Package Disk Encryption. Die Festplattenverschlüsselung wird auf den
Endpoints installiert.
4. Wählen Sie im Bereich Operating system type die gewünschte Betriebssystemsarchitektur
aus: Wenn Sie 32-bit bzw. 64-bit auswählen, kann das Paket nur entweder auf 32-Bit- oder
auf 64-Bit-Betriebssystemen installiert werden. Bei Auswahl von 32-bit and 64-bit kann
das Paket auf 32- und 64-Bit-Betriebssystemen installiert werden, ist jedoch größer.
31
5. Geben Sie im Feld Installation type an, wie das Installationsprogramm auf Endpoints
ausgeführt werden soll.
■
Silent: Das Programm wird ohne Benutzereinwirkung ausgeführt. Der
Installationsfortschritt wird nicht auf dem Endpoint angezeigt.
■ Non-interactive: Die Option ist bei der Erstellung von Verschlüsselungspaketen
wirkungslos. Die Installation erfolgt interaktiv auf dem Endpoint.
■ Interactive: Das Programm wird unter Einwirkung des Benutzers ausgeführt. Der
Benutzer kann die Installation steuern.
6. Geben Sie unter Additional setup parameters die gewünschten Optionen zur Einrichtung
der Verschlüsselung auf dem Endpoint an.
Der Packager führt dabei keine Fehlerprüfung durch.
Nähere Informationen zu den Parametern entnehmen Sie bitte dem Support-Artikel
7. Geben Sie unter Output package den Zielpfad für das Ausgabe-Installer-Paket an. Auf
Wunsch können Sie auch einen Dateinamen angeben; wenn dies nicht erfolgt, übernimmt
der Deployment Packager den Standardnamen.
8. Klicken Sie auf Build Package, um das selbstentpackende Archiv zu erstellen.
32
15 Überprüfen des Installationspakets
Es empfiehlt sich, nach der Erstellung des Installationspakets zu überprüfen, ob Sie mit dem
Paket Installationen und Updates durchführen und Computer verwalten können.
Verfahren Sie hierzu wie folgt:
1. Wählen Sie einen Einzelplatzrechner im lokalen Netzwerk als Test-Endpoint aus.
2. Installieren Sie das Installationspaket auf dem Endpoint.
3. Stellen Sie sicher, dass die Installation erfolgreich abgeschlossen wurde und prüfen Sie die
folgenden Funktionen:
■
Updates: Zum Test, ob der Endpoint Updates von Enterprise Console herunterlädt,
rechtsklicken Sie auf dem Endpoint auf das Taskleisten-Symbol der Sophos Software
und klicken Sie auf Jetzt updaten. Der Endpoint kann jetzt Updates von Enterprise
Console beziehen.
■
Verwaltung: So überprüfen Sie, ob Enterprise Console den Endpoint verwaltet: Stellen
Sie sicher, dass das Taskleisten-Symbol der Sophos Schutz-Software nicht grau dargestellt
wird und dass kein rotes Kreuz oder Ausrufungszeichen beim Symbol angezeigt wird.
Nach der Überprüfung des Installationspakets können Sie das Paket auf den Endpoints
der Kunden bereitstellen.
33
16 Verteilen eines Pakets auf den Kundencomputern
Mit dem RMM-System können Sie Installer-Pakte auf den Kundencomputern verteilen und
ausführen. Detaillierte Anweisungen sind systemabhängig und werden daher in dieser Anleitung
nicht geliefert.
34
17 Überwachen der Endpoint-Sicherheit
Nach der Installation von Sophos Endpoint Security and Control auf Endpoints werden
Gruppen, Richtlinien und andere Einstellungen über Sophos Enterprise Console verwaltet.
Sophos Enterprise Console liefert Informationen zum Endpoint-Status. Details entnehmen
bitte der Hilfe sowie der Richtlinienanleitung zu Sophos Enterprise Console.
Die meisten MSPs setzen das vorhandene RMM-System für die routinemäßige
Statusüberwachung ein und nutzen Sophos Enterprise Console lediglich für die
Gruppen-/Richtlinienkonfiguration oder bei Sicherheitsereignissen zur ausführlichen Analyse
des Endpoint-Status. Ihr RMM-System wird vorrangig für die Verwaltung und Überwachung
der gesamten Endpoint-Software (nicht nur Sophos Endpoint Security and Control) eingesetzt.
In diesem Abschnitt wird erläutert, wie dem RMM-System über das SetData-Skript dem
RMM-System die wichtigsten Endpoint-Daten übermittelt werden können.
Im Diagramm unten wird erläutert, wie das RMM-System über das SetData-Skript den
Endpoint-Status kennt.
35
17.1 Informationen zum SetData-Skript
Das SetData-Skript MSPSetData.vbs kann unter Windows ausgeführt oder über eine Befehlszeile
oder Batch-Datei eingeleitet werden. MSPSetData:
■
liest Parameter von Sophos Endpoint Security and Control,
■
schreibt die SESC-Parameter in die Windows-Registrierung auf dem Endpoint,
■
muss mit „LOCAL_SYSTEM“-Administratorrechten ausgeführt werden,
■
muss in einer 32-Bit-Umgebung ausgeführt werden. Bei 64-Bit-Versionen von Windows
finden Sie die 32-Bit-Version der Befehlszeile unter „%WINDIR%\SysWOW64\cmd.exe“.
Im Befehlszeilenmodus muss das SetData-Skript in folgendem Format ausgeführt werden:
MSPSetData <base_key> [logFileName]
Dabei ist <base_key> der Basisschlüssel in „HKEY_LOCAL_MACHINE“ zum Schreiben der
Endpoint-Parameter und [logFileName] der optionale Pfad zu einer Protokolldatei.
Hinweis: Wenn SetData mit dem „logFileName“-Parameter gerufen wird, werden
Protokolldaten an eine vorhandene Protokolldatei angefügt. Wenn SetData häufig gerufen
wird, kann dies zu sehr großen Protokolldateien führen.
Beispiel:
MSPSetData "SOFTWARE\Sophos\ESCStatus" "c:\MSPSetDataLog.txt"
So werden alle Parameter in HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\ESCStatus
geschrieben und hier protokolliert: c:\MSPSetDataLog.txt.
17.2 Informationen zu den Endpoint-Parametern
Das SetData-Skript liest Parameter von Endpoint Security and Control und Sophos Client
Firewall und schreibt sie in die Windows-Registrierung und zwar unter einem konfigurierbaren
Strukturverzeichnisstamm in HKEY_LOCAL_MACHINE.
Wenn Endpoint Security and Control oder Sophos Client Firewall nicht vorhanden sind oder
nicht laufen, lautet der Wert der REG_DWORD-Parameter „-1“ und der Wert der
REG_SZ-Parameter „Null“.
Wenn Endpoint Security and Control oder Sophos Client Firewall aktualisiert werden, lautet
der Wert aller REG_DWORD-Parameter mit Ausnahme von „UpdateInProgress“ „-1“ und
der Wert aller REG_SZ-Parameter „Null“.
Parameterliste
36
RegistrierungsStrukturpfad
Parameter/Schlüssel
\SAVService\Status\Infected
ControlledAppDetected
Beschreibung
0: Keine Controlled
Application erkannt
Type
REG_
DWORD
Beschreibung
Type
REG_
1: Controlled Application
erkannt (und in Quarantäne
versetzt)
MalwareDetected
0: Keine Malware erkannt
1: Malware erkannt und in
Quarantäne versetzt
PUADetected
0: Keine PUA erkannt
1: PUA erkannt
SuspiciousBehaviorDetected
0: Kein verdächtiges
Verhalten erkannt
1: Endpoint zeigt verdächtiges
Verhalten
SuspiciousFileDetected
0: Keine verdächtigen Dateien
erkannt
1: Verdächtige Dateien
erkannt
\SAVService\Status\LastScan
SystemScan
NormalScan
Uhrzeit/Datum des/der
letzten Scan(s) (Epochenwert)
z.B. 1268337010
EnterpriseScan
\SAVService\Status\Policy
AppControlComplies
SAVComplies
0: Nicht konform mit
SEC-Richtlinie
DataControlComplies
1: Konform mit
SEC-Richtlinie
DevControlComplies
\SAVService\Application
Managed
0: Unabhängig
1: Von SEC verwaltet
\SAVService\Version
Data
SAV-Virendatenversion, z.B.
4.50G
SZ
Major
SAV-Hauptversionsnumer,
z.B. 9
DWORD
Minor
SAV Unterversionsnummer,
z.B. 5
37
\SAVService\Status\Policy
Beschreibung
Type
REG_
Extra
Zusatzinformationen zur
SAV-Version, z.B. Beta
SZ
OnAccessEnabled
0: On-Access-Scans sind
deaktiviert
DWORD
1: On-Access-Scans sind
aktiviert
\SAVService\Update
UpdateInProgress
0: Keine Updates
1: Updates
\Sophos Client
Firewall\Config
IDECount
Anzahl der vorhandenen
Sophos
Virenkennungsdateien
LastUpdated
Uhrzeit/Datum des letzten
Updates, z.B. TT.MM.JJ
HH:MM:SS, z.B. 02.03.2010
18:56:30
ActiveLocation
DetectedLocation
Deaktiviert
1: Primärer Standort
SZ
DWORD
2: Sekundärer Standort
0: Betriebsbereit
1: Gesamter Datenfluss wird
zugelassen
Modus
0: Interaktiv
1: Unbekannt sperren
2: Unbekannt zulassen
\Sophos Client
Firewall\Update
UpdateInProgress
0: Keine Updates
1: Updates
\Sophos Client
Firewall\Version
FirewallVersion
Firewall-Versionsnummer,
z.B. 2.0
SZ
17.3 Lesen von Endpoint-Parametern mit dem RMM-System
Da die Vorgehensweise je nach Implementierung des RMM-Systems variieren kann, sind die
Anweisungen allgemein gehalten.
1. Kopieren sie das SetData-Skript auf die verwalteten Endpoints.
38
2. Konfigurieren Sie die RMM-Konsole so, dass das Skript in regelmäßigen Abständen
ausgeführt wird (beispielsweise alle vier Stunden), die
Endpoint-Parameter-Registrierungswerte liest und Alerts und kritische Zustände mit den
zugehörigen Registrierungswerten anzeigt.
Sie können das Skript manuell testen und über „regedit“ die in die Windows-Registrierung
auf dem Endpoint geschriebenen Werte überprüfen.
39
18 Anhang: Erstellen eines Schutz-Pakets über die
Befehlszeile
Es empfiehlt sich, vor der Ausführung der in diesem Abschnitt behandelten Anweisungen
zunächst den Abschnitt Erstellen von Paketen über die Benutzeroberfläche (Seite 28) zu Rate
zu ziehen.
Zum Ausführen des Deployment Packagers im Befehlszeilenmodus ist mindestens folgendes
Format erforderlich:
DeploymentPackager.exe -cli -mng yes -cidpath <CIDpath> -sfxpath <SFXpath> -crt R
Dabei ist <CIDpath> der Pfad zum relevanten zentralen Installationsverzeichnis und
<SFXpath> der Pfad zum Ausgabe-Paket. Mit -crt R wird automatisch Schutz-Software
anderer Anbieter entfernt.
Bei erfolgreicher Ausführung gibt der Packager den Wert „0“, bei Fehlern einen anderen Wert
als „0“ sowie eine „stderr“-Fehlermeldung aus.
Befehlszeilenparameter
Sie können auch andere Befehlszeilenparameter verwenden (siehe unten).
-mng yes
Aktivieren von Remote Management.
mngcfg
Angabe des Pfads zu benutzerdefinierten Konfigurationsdateien für Remote Management.
-scf
Installation von Sophos Client Firewall.
-nac <NAC Server-URL>
Installation von Network Access Control mit NAC Manager-Adresse. Hierbei sollte es sich
um einen vollqualifizierten Domänennamen handeln. Beispiel: http://<SEC-Server.msp.com>.
-patch <Management-Server-URL>
Installation von Sophos Patch Agent. Geben Sie im Bereich Management server URL die
Reverse-Proxy-Adresse ein, über die die Endpoints mit dem SEC-Server kommunizieren
können. Hierbei muss es sich um einen vollqualifizierten Domänennamen oder eine IP-Adresse
handeln. Beispiel:„http://<SEC-Server.msp.com>“ oder „http://192.168.0.10“.
Sie müssen den Reverse-Proxy zur Umleitung von Traffic an den SEC-Server konfigurieren,
der der folgenden Adresse entspricht:
„http://<SEC-Server.msp.com>/Sophos/Management/Patch/EndpointCommunicator/“.
-sauonly
Nur Sophos AutoUpdate einbeziehen (ausgewählte Remote Management-, Firewall- und
NAC-Komponenten werden von der Update-Quelle heruntergeladen). Wenn diese Option
nicht ausgewählt wird, werden die ausgewählten Komponenten in das Paket aufgenommen.
-arch <32-Bit, 64-Bit>
40
Angabe der gewünschten Architektur (32-Bit oder 64-Bit) für das Paket.
Hinweis: Die Option ist nur verfügbar, wenn NAC oder Patch vom Pakets-CID („packaged
CID“) installiert wird. Wenn Sie 32-Bit bzw. 64-Bit auswählen, kann das Paket nur entweder
auf 32-Bit- oder auf 64-Bit-Betriebssystemen installiert werden. Wird keine Architektur
ausgewählt, wird ein einziges Paket erstellt, das auf auf 32- und 64-Bit-Betriebssystemen
installiert werden kann, das Paket ist jedoch größer.
-diskenc
Aktivierung der Verschlüsselung.
-updp <update_path>
Update-Pfad.
-user <Benutzername>
-pwd <password>
Benutzername und Kennwort. Der Packager verschleiert die Zugangsdaten im Paket. Wenn
Sie eine Deployment-Packager-Befehlszeile mit sichtbaren Zugangsdaten in einer Text- oder
Batch-Datei speichern, stellen Sie sicher, dass die Daten sicher sind.
-opwd <obfuscated_password>
Verschleiertes Kennwort. Nähere Informationen zur Verschleierung von Kennwörtern
entnehmen Sie bitte dem Support-Artikel Verschleiern des Benutzernamens und Kennworts
unter http://www.sophos.de/support/knowledgebase/article/13094.html .
-nocheck
Die Pfade zum zentralen Installationsverzeichnis und den Ausgabe-Paketen werden nicht auf
ihre Richtigkeit überprüft.
-nodetect
Deaktivieren der Erkennung von Verschlüsselungssoftware anderer Anbieter.
-s
Automatische Installation (Silent Installation)
-ni
Nicht interaktive Installation Bei der Erstellung von Verschlüsselungspaketen ist die Option
nicht verfügbar.
Sonstige Optionen
Alle anderen Optionen werden mit der Installer-Setup-Datei ausgeführt.
41
19 Anhang: Inhalt der Datei „MRinit.conf“
Die Datei „MRinit.conf“ im folgenden Beispiel wurde modifiziert.
[Config]
"NotifyRouterUpdate"="EM"
"ClientIIOPPort"=dword:00002001
"ClientSSLPort"=dword:00002002
"ClientIORPort"=dword:00002000
"IORSenderPort"=dword:00002000
"DelegatedManagerCertIdentityKey"="NOChhZvtx8i59YN4OVkvtaOYHsA="
"ManagedAppCertIdentityKey"="KeDbiqpDTPaiKSPwXhiS/FxPMaE="
"RouterCertIdentityKey"="+Z3KILDInN7HZn0jbZu4zsLSyfg="
"ServiceArgs"=""
"MRParentAddress"="192.168.0.10, sophos-console.msp.com,
sophos-console"
"ParentRouterAddress"="sophos-dmz,sophos-dmz.msp.com"
42
20 Technischer Support
Technischen Support zu Sophos Produkten können Sie wie folgt abrufen:
■
Rufen Sie das SophosTalk-Forum unter http://community.sophos.com auf und suchen Sie
nach Benutzern mit dem gleichen Problem.
■
Durchsuchen Sie die Support-Knowledgebase unter http://www.sophos.de/support.
■
Begleitmaterial zu den Produkten finden Sie hier: www.sophos.de/support/docs/.
■
Senden Sie eine E-Mail an den technischen Support [email protected] und geben Sie die
Versionsnummer(n), Betriebssystem(e) und Patch Level Ihrer Sophos Software sowie ggf.
den genauen Wortlaut von Fehlermeldungen an.
43
21 Rechtlicher Hinweis
Copyright © 2012 Sophos Limited. Alle Rechte vorbehalten. Diese Publikation darf weder
elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch
fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige
Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert
werden darf, oder Sie verfügen über eine schriftliche Genehmigung des Urheberrechtsinhabers.
Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Warenzeichen der Sophos
Limited, Sophos Group und Utimaco Safeware AG. Alle anderen erwähnten Produkt- und
Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber.
OpenSSL cryptographic toolkit
The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL License
and the original SSLeay license apply to the toolkit. See below for the actual license texts.
Actually both licenses are BSD-style Open Source licenses. In case of any license issues related
to OpenSSL please contact [email protected].
OpenSSL license
Copyright © 1998-2011 The OpenSSL Project. Alle Rechte vorbehalten.
Redistribution and use in source and binary forms, with or without modification, are permitted
provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of conditions
and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of
conditions and the following disclaimer in the documentation and/or other materials
provided with the distribution.
3. All advertising materials mentioning features or use of this software must display the
following acknowledgment:
“This product includes software developed by the OpenSSL Project for use in the OpenSSL
Toolkit. (http://www.openssl.org/)”
4. The names “OpenSSL Toolkit” and “OpenSSL Project” must not be used to endorse or
promote products derived from this software without prior written permission. For written
permission, please contact [email protected].
5. Products derived from this software may not be called “OpenSSL” nor may “OpenSSL”
appear in their names without prior written permission of the OpenSSL Project.
6. Redistributions of any form whatsoever must retain the following acknowledgment:
“This product includes software developed by the OpenSSL Project for use in the OpenSSL
Toolkit (http://www.openssl.org/)”
THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT “AS IS” AND ANY
EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
44
PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY
OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
This product includes cryptographic software written by Eric Young ([email protected]).
This product includes software written by Tim Hudson ([email protected]).
Original SSLeay license
Copyright © 1995–1998 Eric Young ([email protected]) All rights reserved.
This package is an SSL implementation written by Eric Young ([email protected]). The
implementation was written so as to conform with Netscape’s SSL.
This library is free for commercial and non-commercial use as long as the following conditions
are adhered to. The following conditions apply to all code found in this distribution, be it the
RC4, RSA, lhash, DES, etc., code; not just the SSL code. The SSL documentation included with
this distribution is covered by the same copyright terms except that the holder is Tim Hudson
([email protected]).
Copyright remains Eric Young’s, and as such any Copyright notices in the code are not to be
removed. If this package is used in a product, Eric Young should be given attribution as the
author of the parts of the library used. This can be in the form of a textual message at program
startup or in documentation (online or textual) provided with the package.
Redistribution and use in source and binary forms, with or without modification, are permitted
provided that the following conditions are met:
1. Redistributions of source code must retain the copyright notice, this list of conditions and
the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of
conditions and the following disclaimer in the documentation and/or other materials
provided with the distribution.
3. All advertising materials mentioning features or use of this software must display the
following acknowledgement:
“This product includes cryptographic software written by Eric Young ([email protected])”
The word “cryptographic” can be left out if the routines from the library being used are
not cryptographic related :-).
4. If you include any Windows specific code (or a derivative thereof) from the apps directory
(application code) you must include an acknowledgement:
“This product includes software written by Tim Hudson ([email protected])”
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG “AS IS” AND ANY EXPRESS OR
IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT
OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,WHETHER
IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
45
OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
The license and distribution terms for any publically available version or derivative of this
code cannot be changed. i.e. this code cannot simply be copied and put under another
distribution license [including the GNU Public License.]
46

Sophos Endpoint Security and Control Managed Service Provider

Transcription

Documents pareils

Sophos UTM 9 Support Plan Guide

OEM Security Services

Sophos Endpoint Security and Control für Windows

Sophos Mobile Security Hilfe

Sophos Anti-Virus für Linux Konfigurationsanleitung

ESPAÑAMUNDO LOTERIA PRIMITIVA S.A.

Nissan Almera Tino 081200

Collax Security Gateway

2 Aufbruch in die Neue Welt

Laden Sie sich hier die Einladung herunter!

Cadillac DTS ab 2005 (USA) 055110