Il bello di Sophos è che ha a disposizione migliaia di errori da tirar fuori nei momenti meno opportuni, non ci sarebbe gusto se la cosa fosse troppo semplice!

Nel corso di un’installazione client su Windows XP Pro SP2 spunta fuori il seguente errore:

Errore 00000030: L’installazione comporta la creazione di un’operazione pianificata nel computer. E’ necessario che il servizio Utilità di pianificazione sia in esecuzione.

Inizialmente può passare per la testa che si tratti di un servizio strettamente legato alla console enterprise, un modulo mancato o simile. L’Utilità di pianificazione in realtà è uno dei tanti servizi che generalmente Windows avvia in fase di boot.

Su alcune macchine viene disattivato dall’utente (per sbaglio, per volere…) o da programmi di terze parti. A quel punto basta andare in Pannello di Controllo / Strumenti di amministrazione / Servizi e avviarlo (lasciando il tipo di avvio in automatico per la prossima volta):

Si potrà quindi procedere all’installazione del client, Sophos non dovrebbe più dare errore.

Per la felicità di una persona a caso (e per tutti gli altri interessati) spiego velocissimamente come creare delle “Update Policy” via Sophos Enterprise Console affinché l’utente non debba toccare nulla dell’agent installato sulla propria macchina.

Si parte da una breve introduzione all’inserimento del client nelle cartelle / categorie di classificazione per finire poi alle policy impartite dall’amministratore di sistema, non modificabili da un utente normale.

Do per scontato che il PC sia in dominio, quindi riconosciuto dalla console enterprise (dovrebbe funzionare anche se il PC è fuori dominio ma non garantisco :P ). Occorre trascinare la sua icona dal Global Group (dove si trovano tutti i PC rilevati) in Unassigned per prepararlo all’installazione.

Fatto ciò si può tranquillamente spostare nella cartella interessata e fargli avviare l’installazione dell’antivirus.

Ciascuna cartella lavora secondo le policy impostate dall’amministratore. Sophos prevede 4 tipi di policy predefinite:

• Updating
• Anti-virus and HIPS
• Application Control
• Firewall

Se si fa clic destro su una delle voci si può selezionare “Create Policy” e procedere alla definizione dei permessi da concedere / negare al gruppo che erediterà tale policy.

Indicare un server interno (o esposto su internet nel caso in cui si parli di portatili che vengono utilizzati anche da casa senza vpn aziendale) nel primo campo (Address) e specificare le credenziali di amministratore di rete (Username / Password / Confirm password).

Solo ed esclusivamente se si possiede una seconda macchina specificarlo nella scheda “Secondary Server“, altrimenti proseguire.

Occorrerà effettuare la stessa operazione per tutti i sistemi operativi supportati da Sophos (l’immagine sopra mostra la configurazione delle policy per sistemi Windows 2000 e superiori).

Il ragionamento vale in ugual modo per le altre 3 tipologie di policy. Ad esempio quella Anti-virus and HIPS si presenta così:

E anch’essa è organizzata in sottogruppi dai quali far dipendere le macchine protette da console.

Finita la parte più macchinosa si passa all’assegnazione delle policy ai vari gruppi / cartelle contenenti le macchine protette. Cliccare con il tasto destro su una cartella e selezionare la voce “View group policy details…“:

Dando in pasto al gruppo la policy appena creata costringiamo il Sophos a seguire le nostre direttive e non quello che decide l’utente attraverso l’agent presente sulla macchina protetta. Confermando la scelta e attendendo qualche secondo per la propagazione delle regole (a patto che le macchine da proteggere siano accese) il risultato assomiglierà al seguente:

Nulla potrà essere modificato e l’utente potrà solo cliccare due volte sull’icona nella tray per forzare l’aggiornamento. Ergo: nulla di nocivo e tutto controllato da console :)

Farò “mezza felicità” con questa nuova serie di articoli (inaugurata proprio con CRT) per chi -come me- sta affrontando una migrazione antivirus presso la propria azienda o un cliente.

Sophos, allo stato attuale, è un buon software di protezione antivirus che mette a disposizione del sysadmin una discreta console enterprise centralizzata per tenere tutto sotto controllo (client / policy / update / statistiche diffusioni malware).

Da questa si potranno lanciare installazioni del client AV da remoto, sfruttando il dominio e le credenziali di amministratore di rete. Se però il PC ha già un suo antivirus potrebbero nascere dei conflitti che creerebbero solo rogne ed inutili perdite di tempo. Sophos offre quindi una utility per la rimozione automatica e sicura del software altrui:

Sophos Competitor Removal Tool
sophos.com/security/topic/upgrading.html

Esso si basa su una lista di “competitor” in XML. Al suo interno nomi, percorsi e chiavi di registro che saranno eliminate durante il processo automatico. Quanto già fatto insieme ad un collega (grazie Massimo! :P ) è una semplice gabola (suggerita da un ingegnere Sophos) che permette di lanciare il removal nella fase di pre-installazione client.

CRT 1.4.3 è disponibile all’indirizzo:
sophos.com/tools/crt143sfx.exe (qui nel caso in cui Sophos cambi indirizzo all’eseguibile) ed allo stesso indirizzo -sempre su GxWare- le due liste di competitor attualmente compatibili (quindi disinstallabili automaticamente).

Velocemente la procedura da seguire:

• Scaricare e far scompattare crt143sfx.exe in C:
• Copiare la cartella C:\crt143\Remover nella cartella di installazione automatica Enterprise, come in figura

Dalla prossima installazione remota verrà lanciato automaticamente Sophos Competitor Removal Tool.

Giovedì si lotta contro Antivir, non ancora previsto dal remover.