IISを用いたHTTPベースのアップデート配信（WebCID）¶

ここではIISを用いたHTTPベースでのアップデート配信について説明します。

そもそもなぜIISを使うのか¶

Sophosでは標準ではSEC導入サーバのWindowsファイル共有でのアップデート配信を行っています。
Windowsファイル共有はNetBIOS over TCP/IPでは複数のポートを利用しますし、単一ポートで利用
出来るCifsとしても共有フォルダを（読込専用としても）大きく公開するのはセキュリティ上
好ましくありません。

そこでIISを利用してウェブサーバとして配信してしまい、ウェブサーバのレイヤでセキュリティ
管理してもらおうという目論みです。特に大規模環境においてはセキュリティだけでなく、負荷分散
の仕組みもそのまま利用できる点が大きな利点となると思われます。また、smb/cifsは通信時の
オーバーヘッドが大きいため、回線負荷を押さえる目的でこの方式を利用することが多いです。

※エンドポイント側がHTTPでしか問い合わせを行わないため、HTTPSは利用できません。

IISの導入¶

Windows Server 2008R2 以降では、サーバマネージャの「役割」でIIS（Internet Information Service）
をデフォルト設定で追加するだけで導入することが出来ます。

無印2008かつIIS7.0では要求のフィルタリングを変更するために別途Administrator Packを追加する必要があります。

IISの設定¶

• 「管理ツール」→「インターネット　インフォメーションサービス　マネージャ」を開きます
• 「サイト」→「Default Web Site」を右クリックし、「仮想ディレクトリの追加」を実行します
• 次の内容を設定します（エイリアスは任意の名前でかまいません）
  • エイリアス：　SophosUpdate
  • 物理パス：　C:¥ProgramData¥Sophos¥Update Manager¥Update Manager
• 作成された仮想ディレクトリを選択します
• 「MIMEの種類」を開き、以下の設定を追加します
  • 拡張子「.*」　MIMEの種類「application/octet-stream」
  • 拡張子「.」　MIMEの種類「application/octet-stream」
    • 後者はWindows2008R2＆.NetFramework4.0から追加で必要になりました
      トレンドで同じ事例が解説されている（http://esupport.trendmicro.com/solution/ja-jp/1312630.aspx?print=true）
• 「ディレクトリの参照」を有効にします
• 「要求のフィルタリング」を開き、以下の設定を行います
  • 「機能設定の編集」を開き、「ダブルエスケープを許可する」にチェックを入れます
    • これによりランダムなファイル名が偶然エスケープ文字のフィルタに引っかかることを防ぎます
  • 「非表示セグメント」を開き、「bin」が含まれていないことを確認します
    • 特定のバージョンではデフォルトで含まれており、インストーラの「bin」フォルダが欠落する問題がありました
• 「http://IPアドレス/SophosUpdate」が開けることを確認します。
  • さらに拡張子のないファイルが正常にダウンロードできることを確認します

Sophosのアップデートポリシーへの登録¶

• Sophos Enterprise Console のアップデートポリシーを開きます
  • 複数のアップデートポリシーがある場合は同様に作業が必要です
• アドレス（デフォルトでは「¥¥サーバ名¥SophosUpdate」）を下記のように変更します
  • http://SECのIPアドレス/SophosUpdate
  • ユーザ名とパスワードはデフォルトの共有フォルダのアクセスアカウントを使用してください
    • つまり、IISに認証をかける場合は共有フォルダのユーザ（SophosUpdateMgr）にあわせた方が良いでしょう
  • 後述の「新規インストール元」でのアクセスに使用されます
• 「新規インストール元」を開きます
  • 「プライマリサーバアドレスを使用する」のチェックを外します
  • 新規インストール元に「¥¥SECのIPアドレス¥SophosUpdate」を記入します
    • この設定は、SECが生成するエンドポイントインストーラでのインストール時に使用されます
• 設定を閉じ、ポリシーが適用されることを確認します
• エンドポイントからアップデート出来ることを確認してください