校內原本的OfficeScan XG因為當初有加入AD,後來因勒索病毒因素封鎖了smb等通訊埠導致透過Login Script Setup自動佈署Autopcc的機制失效。最近想將校內MS作業系統全面更新到Server 2016所以有了乾脆重裝OfficeScan XG的打算,記得多年前聽研習講師說過在同網段下只要監聽埠維持一樣,下次裝新機時用戶端電腦會自動透過相同監聽埠來找新主機報到,一直以來也都是透過維持相同監聽埠(54640)的方式在處理重裝officescan server後的用戶端電腦,校內幾百台電腦若要一台台去裝防毒那可不是開玩笑的。
一、安裝篇
校內目前當下的Officescan XG版本是 SP1(5464),官網上最新的版本已提供到SP1(5502),聯繫趨勢客服確認重新安裝時需要補的Patch只要在XG主程式與SP1安裝好之後直接補最新的5502,所以總共只要安裝3個檔案即可,算是蠻容易的。SP1主要的差別在於用戶端與防毒主機之間的通訊將改走加密連線,所以如果不上SP1也不是不行,但之後的Patch就要上另一版本號1系列開頭的Patch檔。
1.OfficeScan主程式安裝
安裝步驟特別需要說明的是產品啟動碼顯示在2015/10/24到期,到這個步驟繼續安裝下去,裝完之後再手動更新到新北目前的授權日期,另外,用戶端通訊埠在每次安裝時都會隨機給一個五位數字的埠號,其餘大致上就是一直下一步到完成。
安裝完成進入主控台,會發現合約已到期…
從管理\設定\產品使用授權手動逐一更新。
完成更新後就會發現各項服務授權到期日已改為2024/2/29。
2.更新 XG Service Pack1
接著上XG SP1,這個升級部分需要等待一點時間才會完成,同樣一直下一步即可。
SP1升級完成之後有提示在搬移舊主機的用戶端時,要先確認舊主機的Patch有上到1737。
我的舊主機patch版本也很新,所以在補1737時會發現不需要安裝此Patch。
順手更新一下widget。
3.補最新的Patch 5502
最後OfficeScan XG SP1 (5502)的版本就做好了,新舊主機對照一下版號。
貳.設定篇
設定內容基本上多數採預設值即可,建議額外針對勒索病毒防範部分需在網頁信譽評等、行為監控、其他服務設定、全域用戶端設定、可疑連線設定幾個地方參照趨勢科技產品針對勒索軟體防護的建議設定及預防措施進行設定。這個預防措施內容是今年更新過的版本,稍微檢視了一下好像漏提了一點之前要求的建議用戶端採取雲端截毒掃描模式,官方文件內容很詳細,照著勾就對了。
一、勒索軟體防護的建議設定及預防措施
1.啟用網頁信譽評等服務
文件是提到針對桌上型電腦和server都要啟動此服務,但我不會拿伺服器來操作瀏覽器所以這部分就不勾了,因為怕在不知情的狀況下影響到server運作,所以針對教師們使用到的桌機啟用此服務即可,另外再針對瀏覽器弱點防護的部分封鎖含有惡意程式檔的網頁。
2.設定行為監控
這部分設定相當重要,今年設備組中過一次勒索病毒就是因為有勾選底下自動備份與還原遭可疑程式變更的檔案這項設定才幸免於難。
3.其他服務設定
其他服務設定在官方文件是勾好勾滿的,但防火牆的部分我沒打算讓防毒軟體去介入伺服器設定因此沒勾,另外日後需觀察的在未經授權的變更阻止服務、可疑連線服務、進階防護服務三項我都勾了Windows Server平台,其中在未經授權的變更阻止與可疑連線兩項服務都有提示此服務可能會影響部分伺服器效能,這部份得待日後觀察。
4.全域用戶端設定
在安全設定頁籤中勾選在端點上啟動「開機預先載入的惡意程式防護」安全防護。
在系統頁籤中勾選啟動「認證安全防護軟體服務」以進行「行為監控」、「防火牆」和防毒掃瞄以及使用所設定的主動式雲端截毒技術來源處理服務查詢。
5.可疑連線設定
二、通知設定
通知設定主要是為了要收到當學校電腦發生中毒事件時的郵件通知,看了處理結果才能判斷是否需要到現場進一步處理,偶爾我也會在收到郵件通知後,如果發現是不當使用的行為時順便轉知校內群組提醒老師留意,這樣大家也會比較謹慎,能有效降低下載或使用未經授權軟體等行為。
1.一般通知設定
從管理\通知\一般通知設定中輸入SMTP伺服器IP,以及寄件人郵件帳號即可。
2.管理員通知設定
在管理員通知\條件設定中改為偵測到病毒或惡意程式、間諜程式或資安威脅、CC回呼時都傳送通知,預設都是在處理行動失敗時才通知。
管理員通知\電子郵件頁籤中也針對當偵測到病毒或惡意程式、間諜程式或資安威脅、CC回呼時勾選啟動電子郵件通知,並輸入要接收的郵件信箱即可,做到這邊其實設定部分就差不多了,接下來就可以準備開始將用戶端搬遷過來。
三、伺服器與用戶端更新
1.伺服器更新
伺服器更新設定的方式是在更新\伺服器\預約更新進行設定,我會讓防毒伺服器每小時向趨勢OfficeScan主機更新一次(每日共更新24次),這樣可以確保學校防毒主機盡可能維持在第一時間取得最新病毒碼或相關防護元件。
2.用戶端更新
用戶端更新設定的作法是在更新\用戶端\自動更新中設定讓用戶端在重新啟動或伺服器取得最新元件後進行更新用戶端的動作,每三小時進行一次更新,但每日僅更新一次用戶端組態,這樣可以確保學校電腦在上班時間除非沒開機,不然都會與伺服器進行一次更新。
四、設定白名單
學校有些軟體怕被誤判造成運作不正常時可以透過白名單設定掃描例外,設定白名單後就能在用戶端防毒軟體中納入例外,例如學校的班級電腦有EVO管理系統,以往廠商是不建議安裝防毒的,但要安裝的話就是得透過白名單來讓兩者並存,前幾年我們還有使用FoxAPP電子書的雲端管理平台,也都要設成白名單才能避免發生誤判。
白名單的作法是在用戶端管理\設定\掃描設定,依序針對手動、即時、預約、立即四種掃描模式加入要設為白名單的軟體路徑,設定完成之後再到用戶端電腦開啟用戶端主控台\設定\例外之中檢視是否套用成功即可。
叁.用戶端遷移篇
以往我幾乎是沒特別在做用戶端遷移的,因為向來都固定使用54640通訊埠號,因此在同網段下用戶端會自己去找新防毒主機報到,但之前大概在第10版要跳11版時遇過沒報到的情況,最後還得透過用戶端管理工具IpXfer.exe的Agent Mover 來將用戶端從舊的伺服器移轉到新伺服器上,而且兩部伺服器必須為相同語言的版本,再從命令提示字元執行此工具。這回客服工程師也特別提醒要做搬移,好吧,那就照規矩做事吧!
其實只要在舊伺服器還活著的情況下,搬移工作是很簡單的,可以將整個OfficeScan網域中的所有用戶端直接移轉到新機器,進入管理\設定\用戶端連線後,再輸入新的伺服器名稱或ip地址就會進行遷移工作。
但我這次想針對指定用戶端分批逐次進行搬移工作順便觀察搬遷狀況,所以先從舊主機中的機房網域挑選用戶端DNS進行移轉,步驟是先點選要移轉的網域,然後選擇機房網域下的用戶端電腦,再進入管理用戶端樹狀結構後選擇移動用戶端。
輸入用戶端要移轉過去的新主機ip即可,預設SSL和HTTP通訊埠為443、80都要以新機通訊埠為準,所以我這邊有改為4343與8080,切記通訊埠如果沒改一定移轉不過去喔。
接著等個幾秒鐘,舊機會通知所選用戶端轉移到指定伺服器,這邊按下確定之後還要等一下再到新主機去看用戶端是否搬遷完成。
在舊機收到通知要移轉之後,在網域的連線狀態會改成離線。
然後再次登入到新機就會發現多了一個受管理的用戶端。
移轉過來的用戶端會連同舊機中的網域名稱一併帶過來,這點還挺不錯的,省去手動新增網域識別的麻煩。
肆.使用心得篇
話說我還真的挺喜歡OfficeScan的,截毒表現不俗之外,主控台提供的資訊狀態也很完整,能即時提供系統管理員掌握相關資訊,例如校內安裝OfficeScan的受管理用戶端列表,有結合AD整合的話還能知道網域內電腦誰沒裝防毒的未受管理端點數量,以及已知或未知的安全威脅有哪些。
例如上圖顯示有969筆未知安全威脅其實都是文書的ECLIENT-PC被行為監控偵測出的威脅,如果可以信任的話也只要加入白名單即可排除誤判。
針對校內端點偵測出所有的安全威脅及數量也一目了然,點進端點中的數字就可以知道有那些電腦曾經受到感染。
用戶端連線能力顯示出校內電腦的掃描模式與上線狀態(現在是放暑假的中午所以在線上的電腦數量不多)。
所有電腦防毒元件更新狀態也是一目了然,這麼實用且好用的工具,況且局裡也都提供雲端機房的服務了,建置OfficeScan伺服器自己就能掌握校內電腦的狀態,實在是很棒。
