Antivirus and Security Software from Sophos

オンラインサポート

製品メンテナンス

サポートお問い合わせ

サポートサービス

リソースセンター

Active Directory のグループポリシーを使用して Sophos Anti-Virus を展開する

Windows Server の Active Directory を使用してドメインに適用するグループポリシーを設定し、ソフォス 製品を、当該のドメインに属するすべての Windows NT または Windows 2000 以降ベースのコンピュータに、自動インストールできます。

影響を受けるソフォス製品とバージョン
Sophos Endpoint Security and Control

OS
2000/XP/2003/Vista/Windows 7/ 2008/ 2008 R2

説明・対策

  1. クイック スタートアップガイドの説明に従い、お使いの管理サーバーに Enterprise Console をインストールします 。
  2. スタートアップ スクリプトとして実行するバッチファイルを作成します。このスクリプトは、グル ープ内の各コンピュータの起動時に、Endpoint Security and Control/Sophos Anti-Virus がイン ストールされているかどうかをチェックします。保護機能がインストールされていないすべてのコンピュータに 、Endpoint Security and Control/Sophos Anti-Virus がインストールされます。

デフォルトのポリシーがある場合は、ここに記載されているコマンドを統合できます。

  1. スタートアップ スクリプトを作成するコンピュータで、「管理ツール」を開きます。
  2. 「Active Directory ユーザーとコンピュータ」を開きます。
  3. 左側のペインのツリーで、ドメインを右 クリックし、「プロパティ」を選択します。
  4. 「グループポリシー」タブを選択します。
  5. 「Default Domain Policy」が選択されていることを確認し、「編集」をクリックします。
  6. 左側のペイ ンのグループポリシーオブジェクトエディタで、「コンピュータの構成」-「Windows の設定」-「スクリプト」 の順に開きます。
  7. 右側のペインで「スタートアップ」をダブルクリックします。
  8. 「スタート アップのプロパティ」ダイアログボックスの「ファイルの表示」をクリックします。
  9. 表示されるウィン ドウで右クリックし、「新規作成」-「テキストドキュメント」を選択します。
  10. このファイルの名前を 「InstallSAV.bat」に変更します。
  11. 「InstallSAV.bat」を右クリックして、「編集」を選択します。
  12. 次のようにファイルを編集します。

    注:スクリプトの編集についてはスクリプトの編集についてをご覧ください。

    • Windows 2000/XP/2003 にインストールするには、以下のコマンドを入力します。
    • Windows NT にインストールする場合も同じコマンドを入力しますが、ESXP を ESNT に置き換えてください。
    • サブスクリプションフォルダの番号 (下記のスクリプトで 'Sxxx' と表示) は適切なサブスリプション番号に変更する必要があります。

    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    if exist "C:\ProgramData\Sophos\Remote Management System\3\Agent\Adapter Storage\SAV\SAVAdapterConfig" goto _End
    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVER>\    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USER" -pwd "PWD" -mng yes
    REM --- End of the script
    :_End

    以下のよう にして、適切な文字列を挿入してください。
    • SERVER は配布ポイントにあるサーバー名です。通 常、このサーバーは、コンソールがインストールされているサーバーです。
    • USER は配布ポイントにあるファイルへのアクセス権を持ったユーザーのユーザー名です。
    • PWD は上記のユーザーのパスワードです。
      注: スタートアップスクリプトに平文のユーザー名やパスワードを保存したくない場合は、ユーザー名やパスワードを難読化することができます。
    以下のコマンドライン パラメータを挿入します。
    • 「-updp」は、プライマリのアップデート元を定義するオプションです。HTTP アドレスを指定すること もできます。
    • 「-mng」は、インストールしたソフトをコンソールで管理するかどうかを定義 します。 コンソールをインストールしていない場合は、このオプションの値を「no」にしてください 。
    詳細は、setup.exe で使用するコマンドラインパラメータをご覧ください。
  13. ファイルを保存し、作業していたウィンドウを閉じます。
  14. 「スタートアップのプロパティ」ダイアログボックスで、「追加」をクリックします。
  15. 「スクリプトの追加」ダイ アログボックスで、「参照」をクリックします。
  16. 「InstallSAV.bat」を選択して、「開く」をクリック します。
  17. 「OK」-「適用」-「OK」の順にクリックします。

注: Endpoint Security and Control の最初のインストールの後でこのスクリプトを削除しない限り、スクリプトはその後のスタートアップごどに実行されることになります。

スクリプトの編集について

スクリプトを編集する際には、次の点にご注意ください。

  • 編集ウィンドウにコマンドを入力する際には、コマンド全体を一行で入力してください。
  • 改 行が挿入されていると、コマンドが実行されません。
  • 行は右端で折り返さないようにしてください。

この文章内のコマンドには、複数の行にまたがって表示されているものありますが、これはこのウィンドウ で右端が折り返されることによります。上記の手順で使用するテキストエディタでは、行の折り返しを無効にすれば一行に表示されます。この文章内のサンプルコマンドは、すべて一行に収める必要があります。

\\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USER" -pwd "PWD" -mng yes

特定のサーバーをこのスクリプトによるインストールの対象から除外する

以下のスタートアップスクリプトは、このスクリプトによって SERVER1 および SERVER2 と呼ばれる 2つのコンピュータをインストールから除外する方法について説明しています。

  1. 除外するコンピュータの正確なホスト名を以下のようにして取得します。
    1. 除外するコンピュータでコマンドプロンプトを開きます (「スタート」-「ファイル名を指定して実行」の順に選択して「cmd.exe」と入力して Enter キーを押します)。
    2. 以下のコマンドを入力して Enter キーを押します。
      SET
    3. 返された環境変数のリストで 'COMPUTERNAME=' のエントリを見つけます。
    4. 等号の記号 (=) の後に表示されるホスト名を正確にメモします。
  2. 上記でメモしたホスト名を以下の 'SERVER1' および 'SERVER2' の箇所に使用します。
    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    if exist "C:\ProgramData\Sophos\Remote Management System\3\Agent\Adapter Storage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for servers not to install to
    if %COMPUTERNAME% == SERVER1 goto _End
    if %COMPUTERNAME% == SERVER2 goto _End
    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVER>\    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USER" -pwd "PWD" -mng yes
    REM --- End of the script
    :_End

詳細情報が必要な場合やご不明の点がある場合は、テクニカルサポートまでご連絡ください。