Sophos: Policy Update (Client)

Per la felicità di una persona a caso (e per tutti gli altri interessati) spiego velocissimamente come creare delle “Update Policy” via Sophos Enterprise Console affinché l’utente non debba toccare nulla dell’agent installato sulla propria macchina.

Si parte da una breve introduzione all’inserimento del client nelle cartelle / categorie di classificazione per finire poi alle policy impartite dall’amministratore di sistema, non modificabili da un utente normale.

Do per scontato che il PC sia in dominio, quindi riconosciuto dalla console enterprise (dovrebbe funzionare anche se il PC è fuori dominio ma non garantisco :P ). Occorre trascinare la sua icona dal Global Group (dove si trovano tutti i PC rilevati) in Unassigned per prepararlo all’installazione.

Fatto ciò si può tranquillamente spostare nella cartella interessata e fargli avviare l’installazione dell’antivirus.

Ciascuna cartella lavora secondo le policy impostate dall’amministratore. Sophos prevede 4 tipi di policy predefinite:

• Updating
• Anti-virus and HIPS
• Application Control
• Firewall

Se si fa clic destro su una delle voci si può selezionare “Create Policy” e procedere alla definizione dei permessi da concedere / negare al gruppo che erediterà tale policy.

Indicare un server interno (o esposto su internet nel caso in cui si parli di portatili che vengono utilizzati anche da casa senza vpn aziendale) nel primo campo (Address) e specificare le credenziali di amministratore di rete (Username / Password / Confirm password).

Solo ed esclusivamente se si possiede una seconda macchina specificarlo nella scheda “Secondary Server“, altrimenti proseguire.

Occorrerà effettuare la stessa operazione per tutti i sistemi operativi supportati da Sophos (l’immagine sopra mostra la configurazione delle policy per sistemi Windows 2000 e superiori).

Il ragionamento vale in ugual modo per le altre 3 tipologie di policy. Ad esempio quella Anti-virus and HIPS si presenta così:

E anch’essa è organizzata in sottogruppi dai quali far dipendere le macchine protette da console.

Finita la parte più macchinosa si passa all’assegnazione delle policy ai vari gruppi / cartelle contenenti le macchine protette. Cliccare con il tasto destro su una cartella e selezionare la voce “View group policy details…“:

Dando in pasto al gruppo la policy appena creata costringiamo il Sophos a seguire le nostre direttive e non quello che decide l’utente attraverso l’agent presente sulla macchina protetta. Confermando la scelta e attendendo qualche secondo per la propagazione delle regole (a patto che le macchine da proteggere siano accese) il risultato assomiglierà al seguente:

Nulla potrà essere modificato e l’utente potrà solo cliccare due volte sull’icona nella tray per forzare l’aggiornamento. Ergo: nulla di nocivo e tutto controllato da console :)