hiep03
Intern
Cấu hình Script để triển khai hàng loạt AV trên Windows
I. Mở đầu
Trong môi trường doanh nghiệp quy mô vừa và lớn, việc cài đặt thủ công phần mềm diệt virus cho từng máy tính đơn lẻ là một bài toán bất khả thi, gây lãng phí nguồn lực và dễ dẫn đến lỗ hổng bảo mật nếu có thiết bị bị bỏ sót. Để giải quyết thách thức này, các quản trị viên hệ thống cần một giải pháp triển khai tự động, tập trung và có khả năng thực thi trên diện rộng.Ở bài viết trước mình đã hướng dẫn các bạn tải Agent trên một máy Windows, bài viết này sẽ hướng dẫn chi tiết cách cấu hình PowerShell Script kết hợp với Group Policy Object (GPO) trên Windows Server để triển khai Sophos Agent hàng loạt. Phương pháp này giúp đảm bảo mọi máy Windows Endpoint khi gia nhập Domain đều được trang bị lớp bảo vệ an ninh một cách tự động ngay từ lần khởi động đầu tiên, giúp tối ưu hóa quy trình quản trị và nâng cao tính tuân thủ bảo mật trong tổ chức.
II. Mô hình
- Các máy Win Admin, Win 11, Win A, Win B, Win C sử dụng Windows 11 Pro (Build 21996)
- Máy DC sử dụng Win Server 2019 (Build 17763)
Máy DC sẽ là trung tâm tạo tạo quản lý domain và cấp phát tài khoản cho Win A, Win B, Win C cũng như đẩy Script install xuống toàn bộ các máy
III. Cấu hình
Bước 1: Tạo các tài khoản cho nhân viên
Bước 2: Các máy Win A, Win B, Win C Join domain bằng các tài khoản đã tạo
Bước 3:
Tại máy DC
Vào đường dẫn: C:\Windows\SYSVOL\domain\scripts
Tạo một file tên là deploy_sophos.ps1
Nội dung:
Mã:
# Tu dong cap nhat danh sach chung chi goc tu Microsoft qua mang
certutil -generateSSTFromWU C:\Windows\Temp\RootCerts.sst
certutil -addstore -f Root C:\Windows\Temp\RootCerts.sst
# 1. Khai bao duong dan
$installer = "\\poppop.vn\SysVol\poppop.vn\scripts\SophosSetup.exe"
$logFile = "C:\Windows\Temp\Sophos_Install.log"
# 2. Kiem tra: Neu da cai roi thi thoat
if (Test-Path "C:\Program Files\Sophos\Sophos UI\Sophos UI.exe") {
"$(Get-Date): Sophos da co san. Thoat script." | Out-File $logFile -Append
exit
}
# 3. Doi 30 giay de mang on dinh
Start-Sleep -Seconds 30
# 4. Thuc hien cai dat ngam
try {
# Tham so --quiet va --wait=0 la chuan tu tai lieu Sophos
Start-Process -FilePath $installer -ArgumentList "--quiet" -Wait
"$(Get-Date): Da gui lenh cai dat thanh cong." | Out-File $logFile -Append
}
catch {
"$(Get-Date): LOI khi thuc thi: $_" | Out-File $logFile -Append
}Tiếp tục tải Sophos Agent về máy DC và cho file exe vào thư mục scripts
Đảm bảo Authen User có quyền read và excute
Bước 4: Tạo Group Policy Object (GPO)
- Mở Group Policy Management.
- Chuột phải vào Group Policy Objects -> New -> Đặt tên: GPO_Deploy_Sophos.
Chuột phải vào GPO mới tạo -> Edit.
- Tìm đến: Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown) -> Startup.
- Chọn tab PowerShell Scripts -> Add.
- Browse đến file deploy_sophos.ps1 trong thư mục SYSVOL.
Script name = \\poppop.vn\SysVol\poppop.vn\scripts\deploy_sophos.ps1
Script Parameters = -ExecutionPolicy Bypass -NonInteractive
Bước 5: Thiết lập GPO cho poppop.vn là Intranet của máy
Vì mặc định máy client không tin tưởng file được chia sẽ qua poppop.vn nên sẽ hiện hộp thoại cảnh báo lỗi khiến cho Script không mở được khi Startup
Thêm như sau
Vào GPO_Deploy_Sophos mới tạo trước đó > Edit
Vào Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page
Click vào tìm dòng Site to Zone Assignment List.
Nhấn đúp chuột vào
Chọn Enable
Nhấn nút Show phía dưới
Value Name: poppop.vn.
Value: 1 (Số 1 tương ứng với vùng Intranet - Vùng tin cậy nội bộ).
Nhấn OK -> Apply -> OK.
Trong Group Policy Management, kéo GPO GPO_Deploy_Sophos và thả vào OU chứa các máy tính muốn cài.
Mình sẽ kéo vào Employee
Bước 6: Vào Computers move các máy sang OU Employee
Bây giờ thực hiện Restart 3 máy PC để máy lấy được GPO từ DC và thực hiện Script
IV. Kiểm tra
Kiểm tra thử máy PC xem GP đã chạy chưa
Có GPO_Deploy_Sophos
Kiểm tra các máy Win thì thấy tiến trình Setup đang chạy
Nếu chưa thấy chạy các bạn nên Restart máy và kiểm tra GPO xem máy đã nhận được chưa
Chờ khoảng 15-20 phút cho quá trình cài đặt hoàn tất
Sophos đã cài đặt thành công
Kiểm tra trên Sophos Central
My Products > Endpoint > Computers
V. Tổng kết
Việc triển khai Antivirus hàng loạt thông qua PowerShell Script và GPO là giải pháp tối ưu để tự động hóa bảo mật cho hệ thống mạng doanh nghiệp. Qua quá trình thực hiện, chúng ta rút ra 3 điểm mấu chốt:- Tự động hóa thông minh: Script được thiết kế để tự nhận diện trạng thái phần mềm trên máy Windows Endpoint, giúp hệ thống tránh việc cài đặt lặp lại gây lãng phí tài nguyên mạng và CPU.
- Vượt rào cản bảo mật nội bộ: Việc cấu hình Intranet Zone là bước quyết định giúp Script thực thi, loại bỏ các hộp thoại cảnh báo bảo mật của Windows khi chạy tệp tin từ máy chủ.
- Quản trị tập trung tuyệt đối: Mọi máy tính khi gia nhập Domain và nằm trong đúng OU (Organizational Unit) sẽ tự động được trang bị Sophos ngay từ lần khởi động đầu tiên, đảm bảo không có thiết bị nào bị bỏ sót trong mạng lưới bảo vệ.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới