Project

General

Profile

スタンドアロン版の更新のみSEC・SUMを利用する

Sophosのスタンドアロン版アンチウィルスは、基本的にインターネット上のSophosサイトを
参照しますが、アップデートのみSEC/SUMを利用することも可能です。

この手法を想定するケースとしては、例として下記のようなものがあると思います。
  • 社内→インターネットの通信量を減らしたい
    • 月次更新などは100MB以上になることもあり、大規模環境だと相当なトラフィック負荷になることがあります。
  • 一般クライアントはインターネットに接続できないネットワーク構成になっている
  • エンドポイントの配布バージョンは管理したいが、設定までは管理しない
  • 管理サーバ上でのモニタリングは必要ない、または持ち出しなどの用途的に実質利用できない

上記のような場合、スタンドアロン版を利用しつつアップデートをSEC/SUMにプールして
内部展開することが可能になります。

インストーラについて

管理せずにスタンドアロンインストーラを使用する場合、インストーラを適切に選択する必要があります。
この選択を誤ってしまうと、スタンドアロンでインストールしてもSEC/SUMからアップデートする段階で
管理するバージョンに切り替わってしまうことがあります。

  • Windows版
    • Sophosサイトで配布しているスタンドアロンインストーラを使用します
  • Linux版
    • SECが生成したインストーラ(savlinuxディレクトリ)を使用します
  • UNIX版
    • UNIX版ではこの手法は利用できません
  • Mac版
    • Sophosサイトで配布しているスタンドアロンインストーラを使用します

設定について

SECのアップデートポリシーではデフォルトのWindows共有フォルダ「SophosUpdate」をアップデート元に
設定すればCIDs以降は自動判別しますが、今回は集中管理しないためフルパスで設定する必要があります。

入力すべきパスは下記の方法で確認することが出来ます。
  • Enterprise Consoleのメニューから「表示」→「インストーラの場所」を開きます
  • 「場所」に記載されているアドレスを確認します。通常このような内容です。
    ¥¥SECまたはSUMのサーバ名¥SophosUpdate¥CIDs¥Sxxx¥SAVSCFXP
    ¥¥SECまたはSUMのサーバ名¥SophosUpdate¥CIDs¥Sxxx¥savlinux
    ¥¥SECまたはSUMのサーバ名¥SophosUpdate¥CIDs¥Sxxx¥ESCOSX
    

基本的には上記に相当するアドレスをエンドポイントに設定します。

補足

  • サーバ名はNetBIOS名やDNSが利用できない場合はIPアドレスにした方が無難です。
  • WebCIDを利用している場合、上記に相当するHTTPアドレスを指定します。