Per poter lavorare correttamente tocca momentaneamente stoppare i servizi legati all’antivirus e riattivarli subito dopo aver chiuso il programma (si tratta di un vero e proprio workaround che spero di poter accantonare quanto prima).

Si tratta di banale utilizzo dei comandi “net stop” e “net start” già compresi nelle installazioni Windows (sia client che server). Tutti i dati riguardanti il comando sono disponibili nella TechNet di Microsoft:

http://technet2.microsoft.com/windowsserver/it/library/…mfr=true

La sintassi è semplice: net start (o stop) “nome del servizio”

Il nome del servizio è facilmente reperibile:

• Start / Impostazioni / Pannello di Controllo
• Strumenti di Amministrazione / Servizi
• Individuare il servizio interessato e leggere il nome (cliccando due volte si può copiare immediatamente il nome con CTRL + C)

Nel caso di Sophos ci sono 4 servizi legati a quest’ultimo: Sophos Agent, Sophos Anti-Virus, Sophos AutoUpdate Service e Sophos Message Router.

Aprendo blocco note, incollando le seguenti righe e salvando il tutto come “sophos-stop.bat” (per esempio) si otterrà lo script di fermo servizi:

@echo off
cd \
net stop "Sophos Agent"
net stop "Sophos Anti-Virus"
net stop "Sophos AutoUpdate Service"
net stop "Sophos Message Router"
pause

e queste per il restart:

@echo off
cd \
net start "Sophos Agent"
net start "Sophos Anti-Virus"
net start "Sophos AutoUpdate Service"
net start "Sophos Message Router"
pause

Entrambi gli script sono disponibili (già pronti, solo da scaricare) su GxWare (area apps/Sophos):

http://downloads.gxware.org/index.php?dir=apps/sophos/Net Services

Ricordate che per lanciare gli script occorre essere amministratori locali della macchina (il Power User ne riesce a fermare solo due su quattro mentre il limitato -chiaramente- zero).

Buon lavoro

Alcune installazioni presso clienti -però- non hanno visto di buon occhio la novità e non riescono a lavorare correttamente. Proteggere nuove macchine diventa impossibile in quanto la CID contenente sia il CRT (Interchk\ESXP\crt) che il Remover (Interchk\ESXP\Remover) mandano in loop il processo che non può arrivare a completamento. L’idea che passa subito per la testa è quella di togliere la cartella Remover lasciando solo la crt (se quest’ultima manca l’installazione dell’AV si ferma ancora prima di cominciare) ma resta comunque un nulla di fatto.

Ci sono due possibili metodi di risoluzione. Un primo abbastanza veloce che potrebbe però non funzionare su tutte le installazioni Enterprise, un secondo agendo di “workaround” (quindi scriptando) sul processo automatizzato (via Interchk).

1. Rebuild CID

La prima soluzione è semplice: occorre ricreare la CID di installazione / distribuzione aggiornamenti del pacchetto interessato. Prendiamo in esame ESXP (sicuramente quello più utilizzato). Generalmente si troverà su \\nomeserver\Interchk\ESXP\ e conterrà, nel caso analizzato, sia la cartella crt che Remover. Dalla library si potrà procedere alla cancellazione della CID per poi passare alla cancellazione fisica della cartella.

Cancellazione

ATTENZIONE: i client già installati e funzionanti sulle varie macchine della vostra azienda continueranno ad aggiornarsi correttamente dalla cartella ESXP. Seguite questi tre passaggi solo ed esclusivamente se non avete troppe macchine già pronte o se possedete una macchina di test clone di quella in produzione, altrimenti passare direttamente al paragrafo “Creazione (Rebuild, in pratica)“.

1. Andare su Start / Programs / Sophos / EM Library / Sophos EM Library Console
2. Nella libreria selezionare EM Library (\\nomeserver\SophosEM) e cancellare la CID interessata (clic destro, Delete)
3. Andare su Start / Run / “\\localhost” (senza virgolette chiaramente) e cancellare la directory di installazione (quindi Interchk\ESXP)

Creazione (Rebuild, in pratica)

1. Sempre dalla EM Library andare su Packages / Subscribed, fare clic destro sul pacchetto per Windows 2000/XP/Vista (allo stato attuale: Sophos Anti-Virus for Windows v7.3.0 VDL4.28E) e selezionare Add/Configure CID per avviare la procedura guidata
2. Seguire le istruzioni a video e dare -eventualmente- un nuovo nome alla cartella condivisa (es.: ESXP2)
3. Popolarla andando in Central Installations, facendo clic destro sul nome della CID appena creata e selezionando Update CID
4. Provare ad installare un nuovo antivirus (su un client pulito o già protetto da altro) attraverso la nuova directory

Se il passaggio 4 funziona senza problemi vuol dire che sarà necessario ricreare la CID ESXP da zero. Potrete quindi realizzarne una nuova (risulterà essere un duplicato di ESXP2), dargli come nome ESXP e riprovare. Regola dice che tutto ciò dovrebbe portare alla risoluzione del problema.

2. Exclude CRT, batch scanning & installation

Nel caso in cui il primo metodo non funzioni correttamente sarà necessario passare da un workaround semplice da mettere in piedi ed utilizzare per la distribuzione a tappeto del software. Il ragionamento è il seguente:

1. si fa in modo che automaticamente il setup scelga di non disinstallare un concorrente trovato sulla stessa macchina
2. si lancia il remover prima del setup
3. si lancia infine il setup con l’impostazione decisa al punto 1

Per fare tutto questo si potrà utilizzare un semplice batch così composto:

@echo off
cls
echo Avvio Remover. Pulizia precedente antivirus
echo;
\\NOMESERVER-O-IP\Interchk\Remover\avremove.exe
echo;
echo Avvio download ed installazione Sophos Antivirus ...
echo potrebbe impiegarci diversi minuti
echo;
echo;
echo Attenzione - NON CHIUDERE NESSUNA FINESTRA DURANTE IL PROCESSO
\\NOMESERVER-O-IP\InterChk\ESXP\Setup.exe -updp "\\NOMESERVER-O-IP\InterChk\ESXP" -user "dominio\amministratore" -pwd "password" -mng yes
exit

Cosa fa il batch:

1. Avvia il vecchio remover per la pulizia di un eventuale antivirus già installato sulla macchina (è possibile utilizzare anche il nuovo CRT)
2. Avvia il download e l’installazione del SAV dal server locale (o remoto, in VPN magari )

Per far si che il setup non avvii automaticamente il nuovo CRT sarà necessario eseguire queste operazioni:

1. Creare un nuovo file “sav.cfg” all’interno della cartella savxp della CID interessata (es.: \\localhost\InterChk\ESXP\savxp), quindi aprirlo con qualsiasi editor di testo (blocco note andrà benissimo)
2. Aggiungere nel file queste righe:

   [SetupOptions]
   SuppressCompetitorDetection=1
   

3. Salvare il file e uscire dall’editor di testo
4. Aprire l’EM Library, andare in Central Installations e fare clic con il tasto destro sulla CID coinvolta. Selezionare quindi Update CID
5. Provando a fare una nuova installazione non dovrebbe partire il nuovo CRT anche se l’opzione rimane spuntata

That’s all folks!

Passo 1 - Scegliere la “vittima” da eliminare

Il CRT è un validissimo software fornito di lista ben nutrita di software antivirus disinstallabili senza l’intervento dell’utente / amministratore di sistema. Tra le varie voci ne manca una in particolare, molto discussa negli ultimi tempi e scelta svariate volte per proteggere postazioni private o piccoli uffici senza una soluzione antivirus distribuita ed amministrata in modo centralizzato.

Avira Antivir Personal
http://www.free-av.com/en/download/index.html

Gratuito per uso personale, difficilmente disinstallabile in modalità silent. Si può comunque sfruttare la comodità del remover per saltare qualche passaggio e ridurre il tutto ad “un solo clic“.

Per chi non avesse più a portata di mano il Remover (CRT143) propongo nuovamente il link per scaricarlo: downloads.gxware.org/…sophos/&file=crt143sfx.

Passo 2 - Recuperare le informazioni e modificare / creare il file catalog

Prima di passare alla realizzazione del codice occorrerà recuperare le informazioni sull’antivirus appena installato (o già rilevato sulla macchina). Chiaramente prenderò come esempio l’ultima versione di Antivir disponibile sul sito ufficiale. Dall’about di Antivir sarà possibile riconoscere la versione del motore utilizzato e l’ultimo file definizioni installato.

Do per scontato che si sia già installato il CRT sulla macchina interessata (altrimenti basta leggere questo post). A questo punto sarà possibile aprire il file catalog (generalmente c:\crt143\Remover\ProductCatalog.xml) già esistente (o crearne uno nuovo) e copiare/incollare il gruppo stringhe di un altro antivirus modificandone i parametri.

Si parte quindi da una situazione molto simile a questa:

per arrivare a quest’altra:

Il codice generato / modificato è il seguente:

<product name="Antivir PersonalEdition Classic">
<subproduct KeyName="Antivir PersonalEdition Classic" Version="7.06.00.270"/>
</product>

La versione dell’antivirus è facilmente individuabile (come già detto prima) dall’about del programma:

Fatto questo si procede alla sostituzione del file Catalog originale del Remover (basta anche rinominare il vecchio ed inserire questo nuovo) lanciando poi una scansione (avdetect) per controllare che tutto funzioni:

Nel momento in cui l’antivirus viene rilevato è anche eliminabile semplicemente lanciando l’applicazione AVRemove.exe, che si trova nella stessa identica cartella dell’AVDetect (la root di crt143\Remover). Sfortunatamente, come dicevo ad inizio post, l’Antivir in versione personal non prevede una disinstallazione silente e sarà quindi necessario far avere un minimo di interazione con l’utente utilizzatore della macchina.

Confermando la disinstallazione con SI (comparirà a video) l’operazione terminerà in modo totalmente automatico:

Fare quindi clic su Fine per ottenere “la benedizione” anche dal Remover

Passo 3 - Adattare il Remover alle proprie esigenze

La disinstallazione di Antivir è solo un pretesto per mostrarvi la facilità di individuazione nomi / dettagli di un applicativo eliminabile in modo silente dal Remover di Sophos. Modificando i parametri inclusi nel file Catalog sarà quindi possibile togliere dalla macchina qualsiasi altra applicazione installata (che possegga però un corretto set di chiavi di registro di Windows).

Arrivare a capire come fare è semplice. Si accede al registro di Windows (Start / Esegui / regedit) e si naviga fino a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

dove vengono conservate tutte le chiavi dei programmi installati sulla macchina. Basterà quindi individuare quella interessata per poter generare il file Catalog che ci interessa:

Per sapere se un programma è eliminabile in modalità quiet / silent si potrà:

• lanciare l’eseguibile da una shell di dos inserendo a fine nome il parametro /? o -? (esempio: shutdown -?)
• controllare nell’help del programma (generalmente voce “Disinstalla $nomeprogramma”) se è prevista una rimozione silente
• controllare su internet se qualcuno ha avuto necessità di farlo prima di voi (s.Google aiuta)

Buon lavoro

Generalmente si espone il server Sophos su rete esterna con IIS (consigliato da Sophos, sconsigliato da me, tzè! ) e si da accesso everyone in lettura da fuori. Una cosa simile a questa di seguito (realizzata però con Apache, meglio né!):

Adesso arriva il “però“:

• la macchina non ha Samba installato;
• non posso installare Samba (ordine dall’alto) ;
• è una macchina in DMZ senza indirizzo di rete interna;
• ho solo un accesso SSH sul quale ho messo autorizzazioni di scrittura nella cartella HTML (quella contenente il sito web visibile dall’esterno);
• considerando le prime due condizioni Sophos non è chiaramente in grado di creare una C.I.D. che si aggiorni automaticamente su quella macchina.

Perché non scriptare e appoggiarsi all’ottimo PSCP? Si crea un nuovo file di testo, lo si rinomina “quellochevipare.bat” e lo si modifica per poter inserire una stringa simile a questa:

E:\autoupdate\pscp -r -l UTENTE -pw PASSWORD "E:\Sophos Sweep for NT\ESXP\*" NOMEMACCHINALINUX:/home/httpd/html/www.SITOWEB.com/sav/ESXP/
exit

Dove:

1. E:\autoupdate…: deve essere sostituito con la posizione assoluta dove risiede il programma pscp.
2. UTENTE: deve essere sostituito da uno user valido e autorizzato alla scrittura nella cartella HTML della macchina Linux.
3. PASSWORD: provate a lavorare di fantasia …
4. E:\Sophos…: deve essere sostituito con la cartella contenente il pacchetto di installazione Sophos sul server Windows che ospita l’antivirus.
5. NOMEMACCHINALINUX: è possibile specificare sia il nome (se correttamente risolto dai DNS) che l’IP della macchina. Chiaramente dopo il :/ va specificato il percorso completo dove andare ad inserire i pacchetti.

Morale della favola: ogni 60 minuti (creando un’apposita operazione pianificata in Windows) il batch viene lanciato e tutti i file vengono copiati sulla share Linux aggiornando le definizioni Sophos. Una policy di aggiornamento farà puntare i client a quell’indirizzo web aggiornandoli nel caso in cui siano uscite nuove definizioni. Si elude così la necessità di creare una CID Sophos dalla Library

Cheers!

“Impossibile installare Sophos Anti-Virus perché non è stato possibile disinstallare il software antivirus di terzi.“

Risolvere questo piccolo inconveniente è questione di pochi minuti. L’unica rogna sta proprio nel fatto che non si riesce a godere (in questi sporadici casi) della comodità offerta dal remover automatico.

Eseguire -quindi- in successione:

• disinstallazione completa dell’antivirus presente nella macchina (fino ad ora mi è capitato con qualche Trend Micro che non voleva saperne di abbandonare la macchina);
• riavvio della macchina per applicare le modifiche fatte;
• accesso al server dell’antivirus (\\sophos in uno dei miei casi), cartella InterChk, sotto-cartella che ci interessa (in base al sistema operativo utilizzato dal client);
• rinominare la cartella Remover in Remover.old;
• lanciare Setup.exe, fornire le credenziali di amministratore locale della macchina o di dominio e procedere con l’installazione;
• a fine installazione accedere alla Console Enterprise, individuare il computer appena preparato (generalmente in “Nessun gruppo”) e spostarlo nella cartella con le policy che ci interessa applicare sulla macchina!
• ricordarsi di rinominare nuovamente Remover.old in Remover.

Così facendo il Sophos si installerà senza creare ulteriori problemi. Se pensate che il vecchio antivirus possa aver lasciato delle tracce nel registro di sistema nonostante il riavvio della macchina, la regia consiglia “un’ottima passata di straccio” con un apposito programma (CCleaner uno tra tanti).

Buon lavoro

Nel corso di un’installazione client su Windows XP Pro SP2 spunta fuori il seguente errore:

Errore 00000030: L’installazione comporta la creazione di un’operazione pianificata nel computer. E’ necessario che il servizio Utilità di pianificazione sia in esecuzione.

Inizialmente può passare per la testa che si tratti di un servizio strettamente legato alla console enterprise, un modulo mancato o simile. L’Utilità di pianificazione in realtà è uno dei tanti servizi che generalmente Windows avvia in fase di boot.

Su alcune macchine viene disattivato dall’utente (per sbaglio, per volere…) o da programmi di terze parti. A quel punto basta andare in Pannello di Controllo / Strumenti di amministrazione / Servizi e avviarlo (lasciando il tipo di avvio in automatico per la prossima volta):

Si potrà quindi procedere all’installazione del client, Sophos non dovrebbe più dare errore.

Si parte da una breve introduzione all’inserimento del client nelle cartelle / categorie di classificazione per finire poi alle policy impartite dall’amministratore di sistema, non modificabili da un utente normale.

Do per scontato che il PC sia in dominio, quindi riconosciuto dalla console enterprise (dovrebbe funzionare anche se il PC è fuori dominio ma non garantisco ). Occorre trascinare la sua icona dal Global Group (dove si trovano tutti i PC rilevati) in Unassigned per prepararlo all’installazione.

Fatto ciò si può tranquillamente spostare nella cartella interessata e fargli avviare l’installazione dell’antivirus.

Ciascuna cartella lavora secondo le policy impostate dall’amministratore. Sophos prevede 4 tipi di policy predefinite:

• Updating
• Anti-virus and HIPS
• Application Control
• Firewall

Se si fa clic destro su una delle voci si può selezionare “Create Policy” e procedere alla definizione dei permessi da concedere / negare al gruppo che erediterà tale policy.

Indicare un server interno (o esposto su internet nel caso in cui si parli di portatili che vengono utilizzati anche da casa senza vpn aziendale) nel primo campo (Address) e specificare le credenziali di amministratore di rete (Username / Password / Confirm password).

Solo ed esclusivamente se si possiede una seconda macchina specificarlo nella scheda “Secondary Server“, altrimenti proseguire.

Occorrerà effettuare la stessa operazione per tutti i sistemi operativi supportati da Sophos (l’immagine sopra mostra la configurazione delle policy per sistemi Windows 2000 e superiori).

Il ragionamento vale in ugual modo per le altre 3 tipologie di policy. Ad esempio quella Anti-virus and HIPS si presenta così:

E anch’essa è organizzata in sottogruppi dai quali far dipendere le macchine protette da console.

Finita la parte più macchinosa si passa all’assegnazione delle policy ai vari gruppi / cartelle contenenti le macchine protette. Cliccare con il tasto destro su una cartella e selezionare la voce “View group policy details…“:

Dando in pasto al gruppo la policy appena creata costringiamo il Sophos a seguire le nostre direttive e non quello che decide l’utente attraverso l’agent presente sulla macchina protetta. Confermando la scelta e attendendo qualche secondo per la propagazione delle regole (a patto che le macchine da proteggere siano accese) il risultato assomiglierà al seguente:

Nulla potrà essere modificato e l’utente potrà solo cliccare due volte sull’icona nella tray per forzare l’aggiornamento. Ergo: nulla di nocivo e tutto controllato da console

Sophos, allo stato attuale, è un buon software di protezione antivirus che mette a disposizione del sysadmin una discreta console enterprise centralizzata per tenere tutto sotto controllo (client / policy / update / statistiche diffusioni malware).

Da questa si potranno lanciare installazioni del client AV da remoto, sfruttando il dominio e le credenziali di amministratore di rete. Se però il PC ha già un suo antivirus potrebbero nascere dei conflitti che creerebbero solo rogne ed inutili perdite di tempo. Sophos offre quindi una utility per la rimozione automatica e sicura del software altrui:

Sophos Competitor Removal Tool
sophos.com/security/topic/upgrading.html

Esso si basa su una lista di “competitor” in XML. Al suo interno nomi, percorsi e chiavi di registro che saranno eliminate durante il processo automatico. Quanto già fatto insieme ad un collega (grazie Massimo! ) è una semplice gabola (suggerita da un ingegnere Sophos) che permette di lanciare il removal nella fase di pre-installazione client.

CRT 1.4.3 è disponibile all’indirizzo:
sophos.com/tools/crt143sfx.exe (qui nel caso in cui Sophos cambi indirizzo all’eseguibile) ed allo stesso indirizzo -sempre su GxWare- le due liste di competitor attualmente compatibili (quindi disinstallabili automaticamente).

Velocemente la procedura da seguire:

• Scaricare e far scompattare crt143sfx.exe in C:
• Copiare la cartella C:\crt143\Remover nella cartella di installazione automatica Enterprise, come in figura

Dalla prossima installazione remota verrà lanciato automaticamente Sophos Competitor Removal Tool.

Giovedì si lotta contro Antivir, non ancora previsto dal remover.