【OfficeScan建置懶人包】OfficeScan用戶端之安裝部署方式
※ 以下設定以2014.07.01最新版OfficeScan v10.6來進行說明。
※ 本說明中之用戶端採Windows 7 Professional x64作業系統。
OfficeScan Server採Windows Server 2008 R2 Standard x64作業系統。
AD網域控制伺服器採Windows Server 2012 R2 Standard x64作業系統。
※ 安裝用戶端防護系統至少需有本機系統管理員之身分權限。
Trend Micro OfficeScan針對不同之企業網路環境,提供了各式的安裝部署方式,以下針對各式安裝部署方式來一一進行說明,後方有(☆)者,表示該部署方式為建議使用之方式,亦為一般企業較常用之部署方式。
一. 網頁安裝。(☆)
二. 電子郵件通知安裝。
三. 遠端安裝。
四. 網域登入程序檔安裝。
五. SMB/UNC Path安裝。(☆)
六. TMVS工具安裝。
七. ClientPackager工具之獨立封裝程式安裝。(☆)
八. 軟體派送安裝。
九. ImageSetup工具之新機大量部署安裝。
十. 安全性符合安裝。
無論採上述何種方式來進行用戶端安裝,當OfficeScan用戶端安裝完成後,便會於電腦右下方的系統列中出現防護常駐圖示。
以下針對各OfficeScan用戶端安裝部署方式來一一進行說明:
一. 網頁安裝。(限使用Internet Explorer 7.0以上之版本)
1. 使用IE瀏覽器,於網址列處輸入OfficeScan Web 主控台網址,例如:『http://xxx.xxx.xxx.xxx:8080/officescan』,輸入完成後請勿進行登入動作。
2. 輸入完網址按下Enter鍵後,若首次於該主機開啟OfficeScan Web主控台,則會出現需要安裝ActiveX控制項網頁元件之提示,此時請點選【安裝】。
3. 跳出『Internet Explorer-安全性警告』信息視窗時,請勿馬上點選安裝,安裝前,先下拉左方之【更多選項】,然後選擇【永遠安裝來自”Trend Micro,Inc.”的軟體】,最後再點選【安裝】來進行IE控制項元件之安裝作業。
4. IE控制項元件安裝完成後,於OfficeScan Web主控台登入頁面下方之『您可以提供使用者下列用戶端安裝程式連結:』處,點選其下方之連結,便可開始進行用戶端的網頁安裝作業。
5. 一開始會於網頁中出現安裝程序之說明,若欲安裝之主機為說明中所提及的作業系統,請依說明進行相關設定變更,設定完成後再點選【立即安裝】
6. 若再次跳出『Internet Explorer-安全性警告』信息視窗時,與先前相同,請勿馬上點選安裝,安裝前,先下拉左方之【更多選項】,然後選擇【永遠安裝來自”Trend Micro,Inc.”的軟體】,最後再點選【安裝】來進行IE控制項元件之安裝作業。
7. 安裝時,會至OfficeScan Server下載安裝程式並自動進行用戶端安裝。
8. 安裝完成後,便會於網頁視窗中顯示『用戶端安裝已完成』,直接關閉網頁視窗即完成OfficeScan用戶端網頁安裝作業。
二. 電子郵件通知安裝。(即為Browser-based安裝)
1. 以IE瀏覽器開啟OfficeScan Web主控台並登入,點選【用戶端電腦 → 用戶端安裝 → Browser-based】,於右方視窗中,可自行定義欲寄發之『電子郵件主旨』,再點選下方之【建立電子郵件】。
2. 點選【建立電子郵件】後,系統便會呼叫該主機所使用之電子郵件收發系統來帶出寄發新郵件之視窗(本範例使用Microsoft Outlook),請自行於『收件者』處選擇或輸入欲安裝之使用者的電子郵件帳號,電子郵件主旨及內文可自行編修,郵件內文中所帶出之超連結請勿變動修改,此連結亦即為「方法一」之網頁安裝所點選之連結。完成後點選【傳送】將郵件寄出,當使用者收到此封電子郵件並點選該連結後,便會如同網頁安裝之安裝步驟來進行安裝作業(步驟請參閱方法一『網頁安裝』)。
三. 遠端安裝。
※ 使用此方式安裝前,請先注意上方之說明事項,於Windows Vista、Windows 7、Windows 8、Windows Server 2008或Windows Server 2012電腦上執行遠端安裝之前,須啟動 Remote Registry和Remote Procedure Call服務。
1. 以IE瀏覽器開啟OfficeScan Web主控台並登入,點選【用戶端電腦 → 用戶端安裝 → 遠端】,於右方視窗中,點選欲安裝用戶端電腦之『網域/工作群組名稱』,再選擇欲安裝之用戶端電腦(單台或多台),然後點選【新增】。
2. 點選【新增】後,便會跳出要求輸入欲安裝用戶端電腦的管理者帳號/密碼來進行登入安裝作業,此處可輸入具安裝權限之本機管理者或網域管理者之帳號/密碼,輸入完成後點選【登入】。
3. 輸入完帳號/密碼【登入】後,若所輸入具安裝權限之帳號/密碼無誤,便會於右方『選定的電腦』處,出現所有方才所選擇的用戶端電腦,點選下方的【安裝】後,則會開始進行遠端安裝作業。
4. 進行安裝作業前,會再次提示是否確定要安裝OfficeScan用戶端到選定的電腦中,請點選【是(Y)】來繼續進行遠端安裝作業。
5. 安裝作業進行過程中,會顯示『正在安裝』的信息提示視窗,亦會於『選定的電腦』處,在進行遠端安裝的用戶端電腦前方,出現一向右箭頭圖示。
6. 遠端安裝作業安裝完成後,會出現提示信息,直接點選【確定】即可。於右方『選定的電腦』處,可檢視所有選定電腦的安裝結果,結果欄位顯示『成功』即表示已完成OfficeScan用戶端遠端安裝作業。
四. 網域登入程序檔安裝。(此方式僅適用於有Domain網域之網路環境)
1. 請到OfficeScan Server上,至程式集的『趨勢科技OfficeScan伺服器-xxxxx』資料夾中,點選【Login Script Setup】,或使用檔案總管(Windows Explorer),瀏覽至OfficeScan Server的安裝資料夾路徑,預設為『C:\Program Files\Trend Micro\ OfficeScan\PCCSRV\Admin』(32位元系統)、或『C:\Program Files (x86)\Trend Micro\ OfficeScan\PCCSRV\Admin』(64位元系統)、或當初安裝時之自訂路徑,然後尋找【SetupUsr.exe】檔案,然後於此檔案上點選滑鼠右鍵選擇【以系統管理員身分執行】。
2. 點選執行『Login Script Setup』或『SetupUsr.exe』後,便會出現『Login Script Setup』網域控制伺服器的選取視窗,請展開Microsoft Windows Network處之樹系結構來選取具有網域使用者管理權限之網域控制伺服器(DC),選取好DC後請點選【選取】。
3. 之後會跳出要求輸入欲登入該網域控制伺服器(DC)的管理者帳號/密碼來進行登入作業,輸入完成後點選【確定】。
4. 出現『使用者選項』視窗時,請選取欲進行安裝OfficeScan用戶端的使用者帳戶為哪些登入帳號,因安裝時必須擁有本機系統管理員或網域系統管理員之身分權限,故若內部使用者登入帳號無此權限時,建議先行為OfficeScan之安裝作業另外建立一具有安裝權限之帳號,此步驟在選取時,只要選取該帳號即可,待所有用戶端安裝完成後,再將此帳號予以停用即可,選取完成後請點選【套用】。
5. 使用者選項經『套用』完成後,便會跳出『登入程序已修改』之提示信息,點選【確定】來完成設定。
6. 登入方才所選取的網域控制伺服器,可於『Active Directory使用者和電腦』中,於所設定的使者帳戶上,按滑鼠右鍵選擇『內容』,然後點選【設定檔】之分頁,若方才有套用成功,便會於『登入指令檔(S)』處自行寫入【OFCSCAN.BAT】,若現有網域環境中已有在運行之登入指令檔,可自行將『OFCSCAN.BAT』內之安裝執行指令加入現有的登入指令檔檔案中。
7. 上述說明中之『OFCSCAN.BAT』,其實際所在之路徑位於該網域控制伺服器的『C:\Windows\SYSVOL\sysvol\lab.local\scripts』中,此路徑即為NETLOGON共用資料夾所在之路徑位置(如圖所示)。
8. 以『記事本(Notepad)』開啟『OFCSCAN.BAT』檔案來檢視,可得知其只是透過SMB通訊方式至OfficeScan Server中去執行一【AutoPcc.exe】的安裝執行程式。
※ 若OfficeScan Server未加入網域,請注意共用資料夾存取權限之問題,無存取權限則會導致OFCSCAN.BAT無法確實執行,最簡單之解決方式:可於OfficeScan Server上建立一個與安裝帳號「相同帳號/密碼」之帳號即可解決。
※ AutoPcc.exe之執行程式會自動判斷用戶端之作業系統為何,並會同時針對OfficeScan Server & Client進行連線驗證,其亦會判斷用戶端是否有安裝過OfficeScan Client程式,若無安裝則會進行安裝作業,若已安裝則會進行元件比對並更新防護元件。
9. 若欲對用戶端電腦安裝OfficeScan Client用戶端防護程式,請使用剛剛所選取的使用者帳戶來進行Windows登入作業。
10. 當系統登入後,便會自動進行OfficeScan用戶端的安裝作業直至安裝完成。
五. SMB/UNC Path安裝。
1. 此方式乃是透過『網路芳鄰』或『UNC路徑』來連線至OfficeScan Server以進行安裝。
2. 連線至OfficeScan Server後,尋找OfficeScan Server安裝完成後所自動建立具權限設定之共用資料夾【ofcscan】,進入該『ofcscan』資料夾後,再找一檔案名稱為【AutoPcc.exe】之檔案,於該檔案上點選滑鼠右鍵選擇【以系統管理員身分執行】。
3. 執行【AutoPcc.exe】檔案後,便會開始自動進行OfficeScan用戶端的安裝作業直至安裝完成。
六. TMVS工具安裝。
※ 此TMVS工具只能於OfficeScan Server上運行。
1. 請到OfficeScan Server上,使用檔案總管(Windows Explorer),瀏覽至OfficeScan Server的安裝資料夾路徑,預設為『C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin\ Utility\TMVS\』(32位元系統)、或『C:\Program Files (x86)\Trend Micro\OfficeScan\ PCCSRV\Admin\Utility\TMVS\』(64位元系統)、或當初安裝時之自訂路徑,然後尋找【TMVS.exe】檔案,然後於此檔案上點選滑鼠右鍵選擇【以系統管理員身分執行】。
2. 執行【TMVS.exe】後便會顯示TMVS工具主視窗畫面,請先點選【設定】。
3. 於TMVS設定介面中,請保留大部分預設之設定勿隨意修改,此處僅須注意兩個部份,一為選擇是否要『在未受保護的電腦上自動安裝OfficeScan用戶端』,此處建議不要勾選,是否安裝OfficeScan用戶端可以於掃描結果完成後再來決定。另一個是點選【安裝至帳號…】來設定具安裝權限的帳號及密碼,若所有用戶端均有相同且具安裝權限的帳號及密碼,可於此處先行設定之,但一般在網域環境中比較有此可能,工作群組的環境,因大多數電腦的帳號及密碼均不統一,故於此處設定會顯得無意義。設定完成後請按【確定】回到TMVS工具主視窗畫面。
4. 回到TMVS主視窗畫面後,於『手動掃描』處,請輸入欲安裝OfficeScan用戶端電腦的IP網段區間,輸入完成後,請點選【開始】來進行資訊蒐集掃瞄作業,掃描結果會於下方『結果』處顯示各主機資訊。
※ 此掃描方式是透過Ping的指令來進行,故若Ping不成功,可能是受到防火牆或其他網路相關應用程式阻擋所致,此部份請自行確認。
5. 若欲針對某一台或多台Ping成功且未安裝OfficeScan用戶端的電腦來進行安裝,可在該些電腦資訊上,然後按【滑鼠右鍵】選擇【安裝OSCE用戶端】。
6. 安裝前會跳出要求輸入欲安裝OfficeScan用戶端具安裝權限的帳號及密碼,輸入後點選【確定】來開始進行安裝作業。
7. 安裝過程中,會於安裝的電腦前方出現一【向右箭頭圖示】。
8. 安裝完成後,方才的『向右箭頭圖示』便會改變為【打勾圖示】。
9. 若再次點選【開始】來進行掃描,於下方『結果』處檢視方才安裝的電腦資訊,該資訊便會有所變更。完成TMVS工具之安裝部署作業後,點選【結束】即可離開。
七. ClientPackager工具之獨立封裝程式安裝。
※ 此ClientPackager工具只能於OfficeScan Server上運行。
1. 請到OfficeScan Server上,使用檔案總管(Windows Explorer),瀏覽至OfficeScan Server的安裝資料夾路徑,預設為『C:\Program Files\Trend Micro\OfficeScan\ PCCSRV\Admin\Utility\ClientPackager\』 (32位元系統)、或『C:\Program Files (x86)\Trend Micro\OfficeScan\PCCSRV\Admin\Utility\ ClientPackager\』 (64位元系統)、或當初安裝時之自訂路徑,然後尋找【ClnPack.exe】檔案,然後於此檔案上點選滑鼠右鍵選擇【以系統管理員身分執行】。
2. 執行【ClnPack.exe】後便會顯示用戶端封裝程式主視窗畫面。
- 於『套件類型』處,可下拉選擇【Setup】的『exe執行安裝程式』套件或【MSI】的『msi封裝安裝程式』套件,【Update】主要用於無網路環境更新時之用(較少用)。
- 於『Windows作業系統類型』處,可下拉選擇【32-bits】或【64-bits】的作業系統,若『套件類型』採用『MSI』,則無法選擇,因為『MSI』類型會將【32-bits】及【64-bits】兩者封裝在一起(故封裝套件大小會較大),使用『MSI套件』安裝時,便會自動判別用戶端的作業系統類型。
- 於『掃描方法』處,可下拉選擇【傳統掃描】或【雲端截毒掃描】,此處建議選擇採用【雲端截毒掃描】之掃描方法,可加強整體防護之能力並減輕因安裝防毒軟體後所占用的系統效能。
- 於『選項』處,勾選【自動安裝】,如此在進行OfficeScan用戶端安裝時,使用者就無需自行手動一步步進行操作。若為全新安裝之系統用,可勾選【關閉安裝前掃描】,因無需掃描系統是否受惡意程式感染,故可加快安裝速度,若為舊有之系統,則建議不要勾選,最好先進行掃描後再安裝。
- 於『用戶端工具』處,勾選【Outlook郵件掃描】,可針對Microsoft Outlook之郵件進行惡意程式防護,但並無垃圾郵件防護之功能。此處經勾選後,用戶端仍須自行將此防護功能進行安裝啟動,此功能方能生效。
- 於『來源檔案』處,請保留預設自動套用之設定檔『ofcscan.ini』,此檔案為OfficeScan Server之設定檔,故進行套件封裝時,會將此設定檔一同進行封裝。
- 於『輸出檔案』處,請點選後方之【…】來選擇封裝套件存放之路徑位置。
3. 於『輸出檔案』處,請點選後方之【…】來選擇封裝套件存放之路徑及封裝套件之檔案名稱,選擇完成後點選【存檔】,最後再點選【建立】以產生封裝套件。
4. 封裝套件產生中之程序執行畫面。
5. 封裝套件已建立完成之畫面,點選【確定】來製作其他封裝套件,待所需之封裝套件全部建立完成後,再點選最下方的【關閉】來結束ClientPackager封裝工具。
6. 瀏覽至封裝套件所存放之資料夾位置即可檢視所製作之封裝套件。一般而言會製作三個封裝套件,分別為『32位元系統的Setup (exe)套件』、『64位元系統的Setup (exe)套件』及『32/64位元系統的MSI (msi)套件』,可將此些套件置放於內部網站、檔案伺服器的共用資料夾、USB隨身碟…等處,以供使用者存取進行OfficeScan用戶端之安裝。
八. 軟體派送安裝。
此部分是利用ClientPackager封裝工具所建立產生的MSI封裝安裝套件,透過Active Directory群組原則中的軟體安裝、Microsoft SMS/SCCM或其他相容的第三方廠商所製作具軟體派送功能的系統來進行MSI封裝程式的派送安裝。
以下採Microsoft Windows Server Active Directory的群組原則軟體安裝派送來進行說明:
1. 執行下列工作:
A. Windows Server 2003和更早版本:
- a. 開啟 Active Directory 主控台。
- b. 以滑鼠右鍵按一下要在其中部署MSI套件的「組織單位」(OU),然後按一下「內容」。
- c. 在「群組原則」標籤中,按一下「新增」。
B. Windows Server 2008 (R2):
- a. 開啟「群組原則管理主控台」。按一下「開始 → 控制台 → 管理工具 → 群組原則管理」。
- b. 在主控台樹狀結構中,展開樹狀結構和網域(包含您要編輯的 GPO)中的「群組原則物件」。
- c. 以滑鼠右鍵按一下您要編輯的 GPO,然後按一下「編輯」。這時會開啟「群組原則物件編輯器」。
C. Windows Server 2012 (R2):
- a. 開啟「群組原則管理主控台」。按一下「伺服器管理 → 工具 → 群組原則管理」。
- b. 在主控台樹狀結構中,展開樹狀結構和網域(包含您要編輯的GPO)中的「群組原則物件」。
- c. 以滑鼠右鍵按一下您要編輯的 GPO,然後按一下「編輯」。這時會開啟「群組原則物件編輯器」。
2. 選擇「電腦組態設定」或「使用者組態設定」其中一項,然後開啟其下方的「軟體設定」。(建議您使用「電腦組態設定」而非「使用者組態設定」,以確保不論登入電腦的使用者是誰,都能成功安裝 MSI 套件。)
3. 在「軟體設定」下,以滑鼠右鍵按一下「軟體安裝」,然後選取「新增」和「套件」。
4. 找出 MSI 套件並加以選取。
5. 選取部署方法,然後按一下「確定」。
※ 已指定:MSI 套件會在使用者下次登入電腦時(如果您選取「使用者組態設定」),或是在電腦重新啟動時(如果您選取「電腦組態設定」)自動部署。這種方法完全不需要使用者的操作。
※ 已發佈:如果要執行 MSI 套件,請通知使用者移至「控制台」,開啟「新增/移除程式」畫面,然後選取在網路上新增/安裝程式的選項。OfficeScan 用戶端的 MSI 套件顯示時,使用者便可繼續安裝 OfficeScan 用戶端。
九. ImageSetup工具之部署安裝。
※ 此方式適用於硬體規格相同之新主機大量部署之用。
1. 於source machine(映像檔原始機)安裝OfficeScan 用戶端程式後,將OfficeScan Server端【C:\Program Files\Trend Micro\OfficeScan\PCCSRV\Admin\ Utility\目錄下之 ImgSetup 資料夾】複製至source machine中。
2. 執行ImgSetup 資料夾下之【ImgSetup.exe】檔案。
3. 使用Windows的sysprep工具及第三方廠商之映像檔製作工具(如Ghost)來建立產生映像檔。
4. 將此映像檔部署至其餘欲安裝建置新系統的多台電腦上。
5. 當部署完成的用戶端電腦在第一次啟動後,便會自動執行ImgSetup.exe程式以建立一新的GUID值 (Globally Unique Identifiers),OfficeScan用戶端會向OfficeScan Server回報此新的GUID值,而OfficeScan Server將會為新的OfficeScan用戶端建立登錄新紀錄。
※ Sysprep工具是用來重置Windows系統的SID之用。
※ ImageSetup工具是用來重置OfficeScan Client的GUID之用。
十. 安全性符合安裝。
※ 此方式僅適用於Domain網域之內部網路環境。
※ 使用此方式安裝前,需先至OfficeScan Web主控台設定將Active Directory結構整合至OfficeScan Server中。
1. 登入OfficeScan Web主控台後,點選【管理 → Active Directory → Active Directory整合】,在右方視窗中,於『Active Directory網域』處,輸入【內部網域之名稱】,並點選後方之『輸入網域認證』來輸入【網域管理者的帳號及密碼】。若網域認證無誤,則可於下方進行網域認證的加密設定,於『加密金鑰』處,輸入【1~128個字元的加密金鑰密碼】,於『完整路徑及檔案名稱』處,輸入【加密金鑰檔案存放的完整路徑及檔案名稱】,全部設定完成後,請點選下方的【儲存和同步處理】。
2. 接下來需進行AD範圍的評估定義,點選【安全性符合 → 外部伺服器管理】,在右方視窗中,於『Active Directory/IP位址範圍』處,點選右上方之【定義】。
3. 出現『Active Directory/IP位址範圍』設定畫面後,於右方視窗之『Active Directory範圍』處,勾選AD網域架構中,電腦所在之組織單位(OU),勾選完成後請點選最下方之【儲存並重新評估】。
4. 跳出網頁訊息提示時,請直接點選【確定】即可。
5. AD範圍的定義及評估完成後,便可於『外部伺服器管理』的主視窗畫面檢視AD網域中『未安裝或不受此OfficeScan Server所管理』電腦的『安全狀態』,亦可於『Active Directory/IP位址範圍』處展開檢視AD網域評估定義的範圍。於視窗畫面的下方處,可檢視各別電腦的安全狀態資訊,故若欲使用『安全性符合』之方式來安裝OfficeScan用戶端,請直接選取單一/多台未安裝OfficeScan用戶端後,再點選上方的【安裝】即可。
6. 安裝前會跳出要求輸入具安裝權限的使用者帳號及密碼來進行登入安裝,輸入完畢後點選【登入】。
7. 登入的使用者帳號及密碼若無誤,所選取之用戶端電腦便會顯示於上方的『安全狀態』中,同時會跳出一『趨勢科技OfficeScan管理主控台』的提示訊息來確認是否要進行安裝作業,請點選【是(Y)】來開始安裝OfficeScan用戶端。
8. 安裝過程中會出現提示訊息,正在安裝的用戶端電腦『IP位址』前方會顯示一【向右箭頭圖示】,『狀態』處亦會顯示該用戶端電腦【正在安裝…】。
9. 安裝完成後,會跳出一『趨勢科技OfficeScan管理主控台』的提示訊息,請點選【確定】,於『用戶端安裝進度』視窗畫面中,可檢視所有用戶端電腦的安裝狀態及結果。
10. 安裝完成經重新評估後,方才安裝OfficeScan用戶端之電腦原顯示列於『外部伺服器管理』主視窗畫面下方之評估顯示結果便會消失,但可於【用戶端電腦 → 用戶端管理】,點選【網域】後,便能檢視所安裝之用戶端電腦顯示於列表之中。
近期迴響