Startup-Anleitung für Benutzer mit Sophos Central

In dieser Anleitung erfahren Sie, wie sie Sophos for Virtual Environments einrichten und mit Sophos Central verwalten.

Informationen zur Migration auf Sophos for Virtual Environments, finden Sie unter Anhang: Migration auf Sophos for Virtual Environments.

Über Sophos for Virtual Environments

Sophos for Virtual Environments ist ein Sicherheitssystem, das VM-Systeme schützt. Die Funktionsweise ist wie folgt:

  • Sie installieren Sophos Security VM auf einem Hypervisor-Host. So können Sie Bedrohungen auf verbundenen VM-Gastsystemen erkennen und blockieren.
  • Sie installieren Sophos Guest VM Agent auf jedem VM-Gastsystem. Dadurch kann die VM mit dem Sophos Security VM kommunizieren.
  • Sie verwenden Sophos Central, um die Security VMs zu verwalten und aktuell zu halten.


Hauptschritte der Installation

Die Installation setzt sich aus folgenden Schritten zusammen, die in den folgenden Abschnitten erläutert werden:

  • Überprüfen der Systemanforderungen
  • Deinstallieren anderer Antivirus-Produkte.
  • Installation von Sophos Security VM.
  • Installation von Sophos Guest VM Agent auf VM-Gastsystemen.
  • Sophos Central zum Anwenden von Sicherheitsrichtlinien verwenden.

Systemanforderungen

Es gelten folgende Systemanforderungen:

Weitere Informationen zu allgemeinen Systemanforderungen, finden Sie im Sophos Support-Artikel 125679.

VMware-Voraussetzungen

  • VMware ESXi-Host 5.5 (eingeschränkter Support), 6.0, 6.5 oder 6.7.
  • VMware vCenter 5.5 (eingeschränkter Support), 6.0, 6.5 oder 6.7.
  • VMware Tools.
Hinweis: Installationen auf ESXi-Hosts müssen in einer VMware vCenter-Umgebung abgeschlossen werden. Die direkte Installation auf einem Standalone-ESXi-Host wird derzeit nicht unterstützt.

Hardware-Anforderungen an jede Sophos Security VM:

  • 2 CPUs
  • 20 GB Festplattenspeicher
  • 4 GB RAM

Legen Sie keine CPU-Ressourcenbeschränkung auf dem Sophos Security VM fest.

Standardmäßig werden 2 CPUs zugewiesen. Wenn Sie viele zu schützende VM-Gastsysteme haben, konfigurieren Sie nach der Installation weitere CPUs. Siehe Sophos for Virtual Environments Konfigurationsanleitung.

Das Sophos Security VM reserviert Arbeitsspeicher. Hochverfügbarkeits- und Lastenausgleichssysteme treffen eine automatische Auswahl basierend auf der Ressourcenreservierung für die VM-Systeme in Ihrer VMware-Umgebung. Entfernen Sie die Arbeitsspeicher-Reservierung des Sophos Security VM nicht.

Voraussetzungen für Microsoft Hyper-V

Es sollte sich um eines der folgenden Microsoft Hyper-V-Systeme handeln:

  • Hyper-V unter Windows Server 2012 (Core/Full)
  • Hyper-V unter Windows Server 2012 R2 (Core/Full)
  • Hyper-V unter Windows Server 2016 (Core / Server mit Desktopdarstellung)

Die Microsoft Hyper-V-Integrationskomponenten werden automatisch installiert, wenn Windows-Updates aktiviert und funktionsfähig sind. Ohne diese Tools wird unter Umständen die Leistung Ihres VM-Systems beeinträchtigt.

Microsoft veröffentlicht Hinweise, wie Sie Ihren Hyper-V-Server am wirksamsten schützen. Siehe dazu den Microsoft Support-Artikel 3105657.

Voraussetzungen des VM-Gastsystems

Der Sophos Guest VM Agent unterstützt die folgenden Betriebssysteme:

  • Windows 7 SP1
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2 SP1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Weitere Informationen zum erforderlichen Support Level für Windows 7 und Windows Server 2008 R2 finden Sie im Knowledgebase-Artikel 125679.

Wenn Sie auf einem Windows Server installieren, auf dem Microsoft Exchange Server 2016 gehostet wird, müssen Sie die im Knowledgebase-Artikel 126188 beschriebenen Änderungen vornehmen.

Netzwerkvoraussetzungen

Das Sophos Security VM und die VM-Gastsysteme müssen dieselbe Netzwerkverbindung nutzen. Idealerweise ist dies ein Hochgeschwindigkeits-LAN ohne Throttling für Netzwerkverkehr.

Der Netzwerkverkehr zwischen Sophos Security VM und VM-Gastsystemen darf nicht durch Firewalls oder Network Access Controller blockiert werden.

Voraussetzungen für NAT-Netzwerke

Wenn sich VM-Gastsysteme in einem (Network Address Translation)-Netzwerk befinden, können Sie diese mit einem Sophos Security VM innerhalb oder außerhalb dieses Netzwerks schützen.

Konfigurieren Sie das Sophos Security VM während der Installation wie folgt:

Eine primäre IP-Adresse außerhalb des NAT (diese Adresse muss mit der Management Console kommunizieren können).

eine sekundäre IP-Adresse innerhalb des NAT.

Voraussetzungen für das Subnetz

Sie können für das Sophos Security VM mehrere IP-Adressen einrichten. Jede IP-Adresse muss sich in einem anderen Subnetz befinden.

Microsoft Hyper-V unterstützt 3 Subnetze. VMware ESXi unterstützt 3 Subnetze.

Deinstallieren anderer Antivirus-Produkte

Sie können Sophos for Virtual Environments nicht zum Schutz von VM-Gastsystemen verwenden, auf denen andere Virenschutzprodukte ausgeführt werden.

  • Sie sollten alle Antivirus-Produkte, auch Sophos-Produkte, die bereits auf Ihren VM-Gastsystemen installiert sind, deinstallieren.

    Deinstallieren Sie alle Virenschutzprodukte, einschließlich Sophos-Produkte, die bereits auf Ihren VM-Gastsystemen installiert sind.

  • Deaktivieren Sie Windows Defender auf Serverplattformen, auf denen es kein Sicherheitscenter gibt. Es empfiehlt sich, dazu eine Gruppenrichtlinie zu verwenden.

Weitere Informationen finden Sie im Support-Artikel 125679.

Installation des Sophos Security VM

Sie können auf jedem Host, auf dem Sie VM-Gastsysteme schützen möchten, ein oder mehrere VM-Sicherheitssysteme installieren.

Überprüfen der Installationsanforderungen

Vergewissern Sie sich, dass der zu verwendende Computer und das entsprechende Benutzerkonto die Voraussetzungen erfüllen.

  • Der Installer muss auf einem Windows-Computer ausgeführt werden, der über das Netzwerk Zugang zu Ihrem VMware vCenter- oder Microsoft Hyper-V-Server hat.
  • Sie müssen das Sophos Security VM über das lokale Netzwerk installieren. Der Installer unterstützt derzeit keine authentifizierten Proxys.
  • Der Installer kann nicht auf Windows XP oder Windows Server 2003 verwendet werden.
  • Sie benötigen die NTLMv2-Authentifizierung. Das Installer verwendet diese, um auf die Netzwerkfreigabe zuzugreifen, von der er die benötigten Zertifikate und Produktpakete erhält.
  • Stellen Sie sicher, dass die erforderlichen Ports auf Ihrer Firewall geöffnet sind. Siehe Support-Artikel 126313.
  • Stellen Sie sicher, dass Sie Zugriff auf die Sophos-Management-Konsole haben.
  • Wenn Sie einen Proxy für den Zugriff auf Ihr Sophos Central-Konto festlegen, muss die Proxy-Adresse das Präfix http:// oder https:// enthalten.

Stellen Sie außerdem sicher, dass Sie diese Hypervisor-Anforderungen erfüllen:

  • Benutzer von VMware ESXI: Stellen Sie sicher, dass Sie Administrator für den VMware vCenter- und ESXi-Host sind.
  • Benutzer von Microsoft Hyper-V: Sie müssen den Installer als Benutzer mit Berechtigung zum Erstellen und Steuern von VM-Systemen auf dem Hyper-V Server ausführen. Dies kann ein lokales Benutzerkonto auf dem Hyper-V-Server oder ein Domain-Benutzer sein.
  • Deaktivieren Sie Distributed Resource Scheduler (VMware) und High Availability während der Installation.

Der Computer, auf dem Sie den Installer ausführen, wird nur für die Installation genutzt. Er wird nicht zur Verwaltung oder zum Schützen des Sophos Security VM oder der VM-Gastsysteme nach der Installation verwendet.

Überprüfen, ob Sie über die erforderlichen Kennwörter verfügen

Sie benötigen die Kennwörter für die folgenden Konten:

  • Das Sophos Central-Konto.
  • In einer VMware-Umgebung das vCenter-Administratorkonto.

Sicherstellen, dass die Systeme synchronisiert sind

Stellen Sie sicher, dass die Uhrzeit auf dem Host, auf dem Sie das Sophos Security VM installieren, und den VM-Gastsystemen synchronisiert wird.

Sie können für jeden Host die NTP (Network Time Protocol)-Synchronisierung verwenden.

Warnung: Wird die Uhrzeit nicht synchronisiert, können Sie ein Sophos Security VM installieren, aber nicht über Sophos Central verwalten.

Installation des Sophos Security VM

Laden Sie jetzt einen Installer und führen Sie ihn es aus, um das Sophos Security VM zu installieren.

Sie können den Installer auf einen beliebigen Computer herunterladen und auf den Computer kopieren, von dem aus Sie das Sophos Security VM installieren wollen.

  1. Sie sich bei Sophos Central an.
  2. Gehen Sie zu Geräte schützen. Klicken Sie unter Sophos for Virtual Environments auf den Link zum Herunterladen des Installers für Ihre Umgebung (Hyper-V oder ESXi).
  3. Suchen Sie die heruntergeladene Datei und doppelklicken Sie darauf.
  4. Ein Assistent leitet Sie durch die Installation des Sophos Security VM. Siehe die "Tipps zur Installation" weiter unten.
  5. Wenn die Installation fehlschlägt, versuchen Sie Folgendes:
    • Überprüfen Sie das Protokoll auf detaillierte Informationen.
    • Klicken Sie auf Start Over um es erneut zu versuchen.
  6. Überprüfen Sie nach der Installation, ob das Sophos Security VM angezeigt wird. Gehen Sie in Sophos Central zu Server Protection > Server und wählen Sie im Listenfilter Sophos Security VMs.

Tips zur Installation:

  • VMware vCenter credentials: Geben Sie den Benutzernamen des Administrator genau in der Form ein, wie Sie sich mit dem vSphere Client bei vCenter anmelden.
  • Datastore for the Security VM: Das Sophos Security VM schützt VM-Gastsysteme auch dann, wenn deren Vorlagen in verschiedenen Datenspeichern gespeichert wurden.
  • Geben Sie unter IP settings for the Security VM die IP-Einstellungen für alle Netzwerke ein, in denen Sie VM-Gastsysteme schützen möchten. Mit den Schaltflächen „+“ und „-“ über den Feldern, können Sie ein Netzwerk hinzuzufügen oder entfernen. Mit den Schaltflächen „<“ und „>“ können Sie zwischen Ihren Einstellungen für verschiedene Netzwerke wechseln.
  • Guest VM Migration: Verwenden Sie Security VMs mit denselben Sicherheitsrichtlinien, wenn Sie „Guest VM migration“ einrichten, um die einwandfreie Funktion von Bereinigung und Reporting sicherzustellen.

Installieren Sie jetzt den Sophos Guest VM Agent.

Installation des Sophos Guest VM Agent

Der Sophos Guest VM Agent muss auf jedem VM-Gastsystem ausgeführt werden, das geschützt werden soll.

Überprüfen Sie, auf welchen Betriebssystemen der Sophos Guest VM Agent installiert werden kann, siehe Systemanforderungen.

  • So installieren Sie:
    1. Gehen Sie auf dem VM-Gastsystem zu dem Host, auf dem das Sophos Security VM installiert ist. Sie müssen die IP-Adresse verwenden.
    2. Suchen Sie in der Freigabe Öffentlich nach der Installer-Datei SVE-Guest-Installer.exe.
    3. Doppelklicken Sie auf den Installer, um ihn auszuführen, oder speichern Sie den Installer im VM-Gastsystem und führen Sie ihn dort aus. Befolgen Sie die Anweisungen auf dem Bildschirm.

Alternativ können Sie die Befehlszeile verwenden.

  • Sie können wählen, ob die Installation mit oder ohne Anzeige eines Fortschrittsbalkens erfolgen soll. Bei den Befehlen ist zwischen Groß- und Kleinschreibung zu unterscheiden.
    • Eingeschränkte UI (Fortschrittsbalken): SVE-Guest-Installer.exe SVMIPAddress=<IP-Adresse von SVM> /install /passive.
    • Keine UI (kein Fortschrittsbalken): SVE-Guest-Installer.exe SVMIPAddress=<IP-Adresse von SVM> /install /quiet.

Sie können alternativ auch die Bereitstellung über Gruppenrichtlinien verwenden.

Wir empfehlen Ihnen, nach der Installation des Agent einen Snapshot des VM-Gastsystems zu erstellen. So können Sie das VM-Gastsystem später bei Bedarf sicher wiederherstellen.

Verwenden Sie Sophos Central zum Anwenden von Richtlinien.

Sophos Central wendet unsere empfohlenen Richtlinien zur Erkennung und Bereinigung von Bedrohungen automatisch auf Ihre Security VMs an. Diese Richtlinien werden dann für die VM-Gastsysteme verwendet.

Sie können diese Richtlinien anpassen oder bei Bedarf neue erstellen.

Weitere Informationen finden Sie in der Sophos for Virtual Environments Konfigurationsanleitung für Benutzer mit Sophos Central.

Warten der Sophos Security VM

Dieser Abschnitt gibt Ihnen Hinweise zu Aufgaben nach der Installation und zu Wartungsaufgaben.

  • Sie müssen das Sophos Security VM immer dann manuell einschalten, wenn der Host aus der Wartung herausgenommen oder in den Standby-Modus gesetzt wurde. Schalten Sie manuell ein, bevor Sie die VM-Gastsysteme einschalten, so dass die VM-Gastsysteme umgehend geschützt sind.
  • Wir empfehlen, dass Sie Ihr Sophos Security VM nicht anhalten („Suspend“). Ihre VMs sind während sie angehalten sind ungeschützt, und das Fortsetzen kann sehr lange dauern.
  • Vergewissern Sie sich, dass das Sophos Security VM Sicherheits-Updates von Sophos erhält. Überprüfen Sie dazu in Sophos Central dessen Update-Status.
  • Backups. Wir empfehlen, das Sophos Security VM von den regelmäßigen Backup-Aufträgen auszunehmen, da sonst seine Leistung beeinträchtigt werden kann. Wenn das Sophos Security VM aufgrund von Störungen der Infrastruktur wiederhergestellt werden muss, empfehlen wir die erneute Bereitstellung des Sophos Security VM.

Anhang: Migration auf Sophos for Virtual Environments

Eine Migration auf Sophos for Virtual Environments ist von folgenden Produkten möglich:

Von welchen Produkten ist die Migration möglich?

  • Sophos Anti-Virus für vShield in einer VMware ESXi-Umgebung
  • Sophos Anti-Virus, das lokal auf jedem VM-Gastsystem in einer VMware ESXi- oder Microsoft Hyper-V-Umgebung ausgeführt wird
  • Sophos for Virtual Environments in VMware ESXi oder Microsoft Hyper-V Umgebungen, die über die Sophos Enterprise Console verwaltet werden
  • Virenschutzprodukte anderer Anbieter in einer VMware ESXi- oder Microsoft Hyper-V-Umgebung
Hinweis: Sophos for Virtual Environments schützt VM-Gastsysteme auf einem VMware ESXi-Host auch bei Ausführung in einer NSX-Umgebung. Sophos for Virtual Environments kann jedoch nicht in den NSX Manager integriert werden.
Hinweis: Sophos for Virtual Environments nutzt ein Sophos Security VM für zentrale Überprüfungen auf Bedrohungen. Nach dessen Installation benötigen VM-Gastsysteme keine Aktualisierungen der Bedrohungsdaten mehr.

Wie funktioniert die Migration?

Führen Sie die nachfolgenden Schritte aus. Nähere Informationen zu den einzelnen Schritten finden Sie in dieser Anleitung.

Beachten Sie bei einer Migration von Virenschutzsoftware eines anderen Anbieters:

  • Sophos for Virtual Environments erfordert eine Netzwerkverbindung zwischen Sophos Security VM und VM-Gastsystemen.
  • Sophos for Virtual Environments unterstützt dynamische VM-Lastausgleichstechnologien wie vMotion und Live Migration, aber die Leistung ist am höchsten, wenn eine Hochgeschwindigkeits-Netzwerkverbindung zwischen Sophos Security VM und VM-Gastsystemen besteht.

Wie Sie eine Liste aller geschützten VM-Gastsysteme anzeigen können, finden Sie unter Sophos for Virtual Environments Konfigurationsanleitung.

Migration auf Sophos for Virtual Environments

So nehmen Sie die Migration vor:

  1. Installieren Sie ein Sophos Security VM wie in dieser Anleitung beschrieben. Siehe Installation des Sophos Security VM.
    Hinweis: Dieses neue Sophos Security VM kann sich auf demselben Host wie ein bereits vorhandenes Sophos Security VM für SAV vShield befinden.
  2. Rufen Sie Sophos Central auf und vergewissern Sie sich, dass das Sophos Security VM Aktualisierungen vornimmt.
  3. Deaktivieren Sie das alte Sophos Security VM oder deinstallieren Sie Ihre alte Virenschutzsoftware.
    ACHTUNG: Ihre VM-Gastsysteme sind dann ungeschützt; stellen Sie daher ihren Schutz sicher.
  4. Installieren Sie den neuen schlanken Sophos Guest VM Agent auf VM-Gastsystemen. Siehe Installation des Sophos Guest VM Agent.
  5. Überprüfen Sie, ob die VM-Gastsysteme jetzt geschützt sind.
    1. Gehen Sie zu einem VM-Gastsystem und suchen Sie nach Sicherheit und Wartung im Startmenü. Falls Sie diese Option nicht finden, suchen Sie nach Info-Center.
    2. Klicken Sie auf den Dropdown-Pfeil neben Sicherheit. Es sollte angezeigt werden, dass Sophos for Virtual Environments aktiviert ist.

Technische Unterstützung

Technische Unterstützung zu Sophos-Produkten erhalten Sie auf folgende Weise:

Rechtliche Hinweise

Copyright © 2019 Sophos Limited. Alle Rechte vorbehalten. Diese Publikation darf weder elektronisch oder mechanisch reproduziert, elektronisch gespeichert oder übertragen, noch fotokopiert oder aufgenommen werden, es sei denn, Sie verfügen entweder über eine gültige Lizenz, gemäß der die Dokumentation in Übereinstimmung mit dem Lizenzvertrag reproduziert werden darf, oder Sie haben eine schriftliche Genehmigung des Copyright-Inhabers.

Sophos, Sophos Anti-Virus und SafeGuard sind eingetragene Marken von Sophos Limited, Sophos Group und Utimaco Safeware AG. Alle anderen erwähnten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken der jeweiligen Inhaber.

Dritt-Lizenzen

Drittlizenzen für die Nutzung dieses Produkts finden Sie in folgendem Ordner im Sophos VM-Sicherheitssystem: /usr/share/doc.

Für einige Softwareprogramme wird Benutzern gemäß GNU General Public License (GPL) oder ähnlichen Lizenzen für kostenlose Software eine Lizenz oder Unterlizenz gewährt, die ihnen unter anderem das Recht geben, bestimmte Programme oder Teile von Programmen zu kopieren, zu verändern oder weiterzuverbreiten und Zugriff auf den Quellcode geben. Die GLP bestimmt, dass für unter der GLP lizenzierte Software, die an Benutzer in einem ausführbaren Binärformat verteilt wird, diesen Benutzern der Quellcode ebenfalls zur Verfügung gestellt werden muss. Für Software, die zusammen mit diesem Sophos-Produkt vertrieben wird, kann der Quellcode per E-Mail bei Sophos angefordert werden: savlinuxgpl@sophos.com.