Ir para o Menu
Pesquisar a Base de conhecimento
SEC: Métodos de Implantação do Sophos Endpoint
Número de Referência: AA-00218 Visualizações: 19722 Criado: 10-02-2014 10:34 Última Atualização: 19-05-2017 11:13

- Descrição:

O Sophos Endpoint gerenciado pelo Sophos Enterprise Console (SEC), pode ser implementado/instalado de várias formas.

NOTA: A instalação do endpoint somente será possível após a primeira atualização do repositório de atualizações no Sophos Enterprise Console (SEC), ter sido completado com sucesso.
          Isso ocorre pois os arquivos de instalação são baixados durante a atualização do repositório.

Veja abaixo os métodos de implantação do Sophos Endpoint disponíveis:

- Guia Rápido:
Clique no item abaixo, conforme a informação que deseja verificar:


Caso o link no guia rápido não o redirecione para o item desejado, basta mover a barra de rolagem da página para encontrá-lo.





















-
Todos os métodos para implantação dos endpoints em plataformas Windows:


1. Método "Protect Computers":

O assistente de instalação “Protect Computer Wizard” está disponível no Sophos Enterprise Console, através deste, é possível instalar o Sophos Endpoint em uma (ou várias) estação(ões) remotamente.

        NOTA: A instalação do endpoint somente será possível após a primeira atualização do repositório de atualizações no Sophos Enterprise Console (SEC), ter sido completada com sucesso.
        Isso ocorre pois os arquivos de instalação são baixados durante a atualização do repositório.       

  1. IMPORTANTE - Verifique os Pré-Requisitos:
    1. Encontrando os computadores em sua rede:
              
      1. No servidor onde o Sophos Enterprise Console (SEC) está instalado, vá até Iniciar | Executar | Digite: services.msc
      2. Na lista de serviços do Windows verifique se o serviço "Pesquisador de Computadores" ou "Localizador de Computadores" (em inglês: "Computer Browser") está com o status "iniciado", caso não esteja ative-o. 
        A ativação deste serviço é necessária para que a console do Sophos possa encontrar os seus computadores na rede.





      3. Utilize a opção "Discover computers" na barra de opções do SEC:



      4. Na janela do "Discover computers" selecione uma das seguintes opções:



        • "Import from Active Directory", recomendada:
          Utilizando essa opção, você irá importar toda a estrutura de pastas e computadores presentes no seu Active Directory (AD)
          .
          Posteriormente, se desejar, você poderá sincronizar as pastas do seu AD com a console, fazendo com que todas as alterações no AD seu disponibilizadas na console automaticamente.

          NOTA:
          Ao sincronizar suas pastas no AD com a console, somente será possível mover os computadores para um novo grupo através do AD, na console, essa alteração não será permitida.

        • "Discover with Active Directory": Utilizando essa opção, todos os computadores presentes no seu AD estarão disponíveis na console, porém a estrutura de pastas não será importada.
        • "Discover on the Network": Utilizando essa opção, você poderá encontrar todos os computadores que estiverem em sua rede. 
        • "Discover by IP range": Utilizando essa opção, você pode definir um range de IP para que somente os computadores dentro deste range estejam disponíveis na console.
      5. Após importar os computadores, os mesmos estarão disponíveis na console, com a cor cinza, a qual indica que o endpoint ainda não está instalado na estação:




    2. IMPORTANTE - Aplicando os pré-requisitos nas estações:
      1. Para realizar a instalação remota pela console, alguns pré-requisitos devem ser atendidos também nas estações.
        Antes de prosseguir, verifique os pré-requisitos abaixo conforme sua estrutura de rede:
  2. Efetuando a instalação remotamente através do "Protect Computers Wizard":

    1. Abra o Sophos Enterprise Console (SEC)
    2. Selecione uma das estações em cinza na console, conforme procedimento efetuado no item 1.1.
      1. Se você utilizou a opção "Import from Active Directory" ao encontrar as estações na rede, toda a sua estrutura do AD será importada.
        Neste caso,
        clique com o botão direito sobre a estação e selecione a opção "Protect Computer".



      2. Se você utilizou uma das demais opções, as estações estarão por padrão no grupo "Unassigned", o qual não aplica políticas configuradas na console as estações, somente as informações básicas para que as mesmas atualizem o endpoint.



        Neste caso, mova as estações para o(s) grupo(s) de sua preferência, para isso basta selecionar a(s) estação(ções) e arrastar ao grupo.
        A tela de boas vindas do assistente será mostrada automaticamente ao mover a estação para o novo grupo.

    3. Na tela de boas vindas do assistente, clique em "Avançar" ("Next").



    4. Na tela "Installation Type" a opção "Protection Software" virá habilitada por padrão, ela corresponde a proteção Anti-Virus, Firewall e outros componentes.



    5. A opção "Encryption Software" vem desmarcada por padrão pois o computador só poderá ser criptografado após a instalação do endpoint ter sido realizada. Caso você já tenha o endpoint instalado e deseje instalar apenas a criptografia, siga os passos descritos no artigo "Como instalar o Sophos Disk Encryption"

    6. IMPORTANTE: Na tela "Preparation of Computers" a mesma informa que alguns pré-requisitos devem ser atendidos também nas estações e aponta os links para dois artigos da Sophos.
      Estes artigos já estão disponíveis traduzidos para o português nos links abaixo:




      Verifique os pré-requisitos abaixo conforme sua estrutura de rede:
    7. Na tela “Select features”, selecione os componentes que serão instalados, por padrão estes componentes serão o endpoint com a proteção Anti-Virus (opção que não pode ser desmarcada) e o removedor de Anti-Virus de Terceiros "Third-Party Security Software Detection" que está marcado por padrão.



      Opcionalmente você também pode instalar os seguintes componentes:
      • Sophos Client Firewall:
        Trata-se do client firewall do Sophos, o qual é pré-configurado por padrão
        para bloquear todas as conexões da estação, por este motivo recomendamos que verifique primeiro as configurações recomendadas para as políticas da console, conforme disponível no manual de instalação da sua versão da console, disponível no link abaixo:
        "Download Instaladores Sophos".

      • Sophos Patch Agent:
        Trata-se de um agente que verifica todas as atualizações disponíveis do sistema operacional e de vários softwares como Adobe, Java, Skype, VMware e etc.
        A lista completa de verificações realizadas pelo Patch Agent pode ser encontrada no artigo "Sophos Patch FAQs for Endpoint Protection (Inglês)"
        Para que o agent possa agir na estação após instalado sua política precisa ser configurada primeiro na console, conforme as configurações recomendadas para as políticas da console, disponível no manual de instalação da sua versão da console, disponível no link abaixo:
        "Download Instaladores Sophos"

      • Sophos Compliance Control:
        Este componente é o agente necessário para utilização do Sophos NAC, no entanto este produto já foi descontinuado pela Sophos e deverá ser desativado.
        Se você possui este software em sua rede deve seguir o procedimento descrito no artigo abaixo para desativá-lo:
        http://www.sophos.com/en-us/support/knowledgebase/120007.aspx
    8. Após definir as opções escolhidas, clique em "Avançar" (“Next”).

    9. Na tela “Protection summary”, será exibida a lista de estações que serão protegidas, clique em "Avançar" (“Next”).



    10. Na tela “Credentials”, informe um usuário (seguindo o formato “Domínio\Usuário”) e senha, este usuário deve possuir privilégios de administrador na estação remota.
      Exemplo:
      - Se o computador remoto estiver incluído em um domínio do Active Directory coloque o nome do domínio \ nome do usuário com permissões administrativas
      - Se o computador não estiver em um domínio do Active Directory mas sim em um grupo de trabalho padrão, insira um usuário que tenha permissões administrativas na estação, o mesmo deve ser, obrigatoriamente protegido por uma senha.




    11. Clique em "Avançar" ("Next")
    12. A janela abaixo aparecerá informando que o software está pronto para ser instalado.



    13. Clique em "Concluir" ("Finish")
    14. Na console uma ícone em amarelo na forma de uma seta para baixo irá aparecer sobre o computador.


      NOTA: Em caso de falha na instalação efetue os passos abaixo:
      - Verifique se os pré-requisitos mencionados no item 2 estão corretamente configurados.
      - Alguns Anti-Virus de terceiros possuem um Client Firewall próprio ou são protegidos por senha, o que pode fazer com que o removedor de Anti-Virus padrão não possa efetuar a remoção.
      Neste caso pedimos que efetue os procedimentos descritos no artigo "Removendo software de terceiros (Antivírus, Firewall, etc)" para efetuar a remoção com sucesso.

    15. Na estação o ícone do Sophos aparecerá, a instalação ocorre por padrão de forma silenciosa, sem que o usuário do computador perceba.
      Para visualizar o progresso da instalação na estação, você pode selecionar a opção "View updating status"




    16. A janela abaixo aparecerá:



    17. No decorrer da instalação o componente de comunicação da estação com a console será instalado, quando isso ocorrer o ícone sobre a estação na console será alterado para um símbolo de conexão em verde:


    18. Ao término da instalação, uma mensagem de aviso "Warning" será mostrada ao lado da estação na console, ela apenas informa que as atualizações serão aplicadas na próxima reinicialização do computador.
      Depois da reinicialização, logo após a primeira atualização, a mensagem de "Warning" deixará de ser exibida.




    19. A instalação está concluída.

Clique aqui para retornar ao Guia Rápido | Clique aqui para retornar a página inicial das documentações












2. Método de Instalação Manual:


        NOTA:
A instalação do endpoint somente será possível após a primeira atualização do repositório de atualizações no Sophos Enterprise Console (SEC), ter sido completado com sucesso.
        Isso ocorre pois os arquivos de instalação são baixados durante a atualização do repositório.

  1. Faça logon como administrador em uma estação.
  2. Abra o menu iniciar, selecione executar e digite o endereço onde o instalador (setup) do endpoint se encontra:
    Por padrão este pode ser encontrado
    no diretório onde se encontra o repositório de atualizações do Sophos Enterprise Console (SEC) “\\<NomeServidorDaConsole>\SophosUpdate\CIDs\S000\SAVSCFXP :

    NOTA: Neste exemplo, o nome do servidor onde a console está instalada é "SEC-srv01", substitua-o para o nome do seu servidor.



  3. Localize e execute o arquivo “setup.exe”



    Para versões do Windows superiores ao Windows Vista, utilize a opção "Executar como administrador"

  4. A interface a seguir será exibida:



    Note que, caso a janela permaneça inativa por mais de 60 segundos ela se fechará automaticamente, cancelando a instalação.

  5. É recomendável manter a opção "Remove third-party software" marcada, pois dessa forma o Sophos irá efetuar a remoção de outros Anti-Virus de terceiros que possam estar instalados no computador.
    Um computador com mais de um Anti-Virus pode exibir problemas de performance, uma vez que um Anti-Virus tende a reconhecer as ações do outro como ameaça.



  6. Logo abaixo você encontra alguns componentes opcionais que podem ser instalados junto ao endpoint:



    1. O primeiro componente é o "Sophos Exploit Prevention" que habilita o uso da política de Exploit Prevention no Sophos Enterprise Console (SEC).
      O Exploit Prevention é uma funcionalidade disponível somente a partir da console 5.5.0, que permite a verificação de:
      - Proteção de documentos contra ransomware (CryptoGuard)
      - Proteção de funções críticas em navegadores Web (Safe Browsing)
      - Tratamento de Exploits, protegendo aplicações mais sujeitas a exploração de exploits, como aplicações baseadas em Java
      - Proteção contra ataques ocultos em processos
      - Proteção contra carregamento de DLLs em pastas de fonte desconhecida


      IMPORTANTE:

      - O Exploit Prevention requer uma licença específica para ser utilizado.
      - O procedimento descrito no artigo abaixo deve ser realizado primeiro:
      SEC: Ativando o recurso Exploit Prevention
      http://suporte.m3corp.com.br/article/AA-00628


    2. O segundo componente é o "Sophos Client Firewall" que habilita o uso da política de Firewall no Sophos Enterprise Console (SEC).

      IMPORTANTE:
      Caso habilite essa opção, recomenda-se primeiro efetuar a configuração recomendada para o "Sophos Client Firewall", de acordo com o procedimento descrito no Manual de Instalação da Console SEC, disponível no artigo "Download Instaladores Sophos", basta selecionar a opção "Sophos Enterprise Console (SEC) no Guia Rápido.
      Essa recomendação é feita pois a política de Firewall da console é configurada por padrão para bloquear todas as conexões de rede ao endpoint.


    3. O último componente adicional é o "Sophos Patch Agent" que habilita o uso de política de "Patch" no Enterprise Console.
      NOTA: Para correto funcionamento da funcionalidade de Patch, é preciso que a política de "Patch" na console seja habilitada e o agente "Sophos Patch Agent" seja instalado na estação.

      1. Caso deseje efetuar a instalação do componente, insira o endereço para conexão ao seu servidor assim como na imagem abaixo, substituindo o nome "servidor-2k3-02" pelo nome de seu próprio servidor. A porta 8191 é definida por padrão na instalação da console.



      2. Para se certificar que a comunicação ocorre com sucesso, clique em "Test".
        A tela abaixo informa que a conexão foi efetuada com sucesso:




      3. Clique em "OK"

  7. No campo "User Account details", procure informar o mesmo usuário e senha presentes na sua política de updating do Sophos Enterprise Console (SEC)

    Na console:





    No instalador:





    Por padrão, é utilizado o usuário “SophosUpdateMgr”, com permissão de leitura no compartilhamento citado acima.
    Este usuário é criado e configurado, durante a instalação da console, para possuir as permissões necessárias
    .

  8. Clique no botão "OK" para iniciar a instalação.
  9. Clique com o botão direito sobre o ícone do Sophos, e selecione a opção "View update status"



  10. Verifique o andamento da instalação e download de updates:



  11. Após o término, vá até o Sophos Enterprise Console (SEC)
    1. Note que a estação já estará se reportando


    2. Verifique que o alerta de "Warning" é exibido, essa mensagem basicamente informa que as atualizações serão aplicadas após a primeira reinicialização da estação. Após o primeiro reboot ela não deverá mais ser exibida.
    3. Por padrão, a estação estará automaticamente no grupo "Unassigned". Os computadores deste grupo não pegam informações de políticas, assim, é recomendável que a estação seja movida para um grupo já existente ou um novo grupo.
    4. Após alguns segundos, verifique se a informação "Same as Policy" aparecerá no campo "Policy Compliance", conforme abaixo:



  12. Pronto, o Endpoint foi instalado com sucesso.

Clique aqui para retornar ao Guia Rápido | Clique aqui para voltar a página inicial das documentações







3. Instalação via CSAU

O CSAU é uma ferramenta desenvolvida pela M3Corp, cujo principal objetivo é auxiliar na implantação em larga escala do Sophos Endpoint nas estações gerenciadas pelo Sophos Enterprise Console (SEC).

Além de ser utilizado para a implantação de componentes específicos, como o Sophos Client Firewall e o Sophos Patch Agent, também pode ser utilizado para efetuar verificações dos serviços do Sophos e verificar a comunicação dos endpoints com o SEC.

Observação: O CSAU é apenas executado, não é instalado no computador.




       NOTA: A instalação do endpoint somente será possível após a primeira atualização do repositório de atualizações no Sophos Enterprise Console (SEC), ter sido completado com sucesso.
       Isso ocorre pois os arquivos de instalação são baixados durante a atualização do repositório.

         Link Manual de uso e configuração: http://suporte.m3corp.com.br/article/AA-00402

4. Sophos Installer Builder (SIB)


O SIB foi desenvolvido pela M3Corp para gerar pacote de instalação do Sophos Endpoint, com esta ferramenta, é possível criar um pacote de instalação copiar em pen drive ou CD e executá-lo nas estações.



NOTA: A instalação do endpoint somente será possível após a primeira atualização do repositório de atualizações no Sophos Enterprise Console (SEC), ter sido completado com sucesso.
           Isso ocorre pois os arquivos de instalação são baixados durante a atualização do repositório.


 Para maiores informações de funcionamento do SIB, acesse: http://suporte.m3corp.com.br/article/AA-00278/0/Sophos-Installer-Builder-SIB.html
 Link para download: 
http://downloads.m3corp.com.br/tools/sib/sib_1.5.0.1.zip


Clique aqui para retornar ao Guia Rápido

Atenção!!!

Para maiores informações abra um chamado para a nossa equipe de suporte através do nosso painel de controle, para isso siga as instruções disponíveis no artigo abaixo:

Instruções para Suporte Técnico - M3Corp:
http://suporte.m3corp.com.br/article/AA-00283