
           F-PROT Professional for DOS ohjelmiston verkkoasennus
           =====================================================
       Copyright (c) 1992 - 1994 Data Fellows Oy, Helsinki, Finland


Tss ohjeessa kerrotaan, kuinka F-PROT ja VIRSTOP-ohjelmia voidaan
kytt verkkoympristss. Tekstiss kerrotaan mys esimerkkien avulla
miten verkkoympristss voidaan toteuttaa tyasemien automaattinen
pivitys.

Tm ohje koskee vain F-PROTin DOS-versiota. Windows-versiossa on
automaattipivitysominaisuudet sisnrakennettuina.

F-PROT, VIRSTOP ja F-CHECK ovat yhteensopivia kaikkien yleisimpien
lhiverkkojen kanssa. Kaikki nm ohjelmistot voidaan asentaa
verkkopalvelijaan ja tyasemat ohjata kyttmn palvelijalta lytyv
versiota.

Tm voidaan tehd kahdella tavalla.

o       Verkkoon kirjoittautumisen yhteydess login-komentojono tai
        -skripti tarkistaa onko palvelijan levylle asennettu F-PROT-
        versio uudempi kuin tyaseman levylle asennettu. Jos
        palvelijaversio on uudempi, se kopioidaan verkosta tyasemaan.
        Uusi F-PROT-versio on kytss vlittmsti ja VIRSTOP
        seuraavan kynnistyksen jlkeen.

o       Ohjelmistosta silytetn vain yht yhteist kopiota verkkolevyll.
        Verkkoon kirjoittautumisen yhteydess ladataan VIRSTOP muistiin
        verkkopalvelijalta. F-PROT voidaan aina tarvittaessa kynnist
        verkosta normaaliin tapaan. Jotta tm vaihtoehto toimisi, on
        tyasemien snnnmukaisesti kirjoittauduttava verkkoon.

VIRSTOP pit yleens verkkoajureiden jlkeen. Tarkista, toimiiko VIRSTOP
ympristssnne oikein suorittamalla F-TEST.COM -ohjelma. Jos verkkoyhteys
on irrottanut VIRSTOPin yhteyden DOSiin, F-TEST ilmoittaa asiasta. Tss
tapauksessa VIRSTOP pit joko ladata verkkoajureiden jlkeen, tai suorittaa
VIRSTOP uudelleen verkkoyhteyden muodostamisen jlkeen kytten /REHOOK
parametria.

Tiedostopalvelijan levyalueiden virustarkastuksen voi tehd kahdella tavalla:

o       Tarkistuksen voi tehd komentojonolla, jonka palvelijan
        vastuullinen yllpitj ajaa omalta tyasemaltaan kytten
        tarkoitukseen varattua kynnistyslevykett. Kyseisell
        levykkeell on AUTOEXECiss tiedostopalvelijan kyttnottoon
        tarvittavat kskyt ja F-PROTin kynnistysksky, jonka avulla
        kydn lvitse koko tiedostopalvelija ja kootaan raportti
        lokitiedostoon. Kyt komentoa /NET.

        Erityist kynnistyslevykett tarvitaan, koska yllpitj
        saattaa joutua kirjoittautumaan sisn korkean tason oikeuksilla
        voidakseen tarkastaa kaikki levyalueet. Jos etsinnn
        kynnistmiseen kytettyyn mikrotietokoneeseen on jo pssyt
        aktiivinen, ns. "fast infector" -tyyppinen piilovirus, kaikkien
        tiedostojen lpikynti saattaa aiheuttaa riskin koko palvelijan
        saastumisesta. Tm riski voidaan vltt varmistamalla, ett
        mikro on kynnistetty puhtaalta kyttjrjestelmlevykkeelt.

o       Toinen tapa saada etsint turvalliseksi on kytt etsimiseen
        erityist Virustutka-tunnusta, jolla on lukuoikeudet kaikkialle
        muttei lainkaan kirjoitusoikeuksia, kuten yllpitjll yleens
        on. Tunnuksen oikeudet on syyt valita huolella, sill vaikka on
        mahdollista valita sellainen kombinaatio oikeuksia, joka est
        virusten levimisen, se on kuitenkin vaikeaa (erityisesti
        Novell-verkoissa).


Esimerkkj F-PROT-verkkopivityksen jrjestmiseksi
===================================================

Ratkaisu 1: yksinkertainen:
---------------------------

Tm ratkaisu edellytt, ett F-PROT on valmiiksi asennettu jokaisen
tyaaseman kiintolevylle ja ett VIRSTOP on kynnistetty automaattisesti
kynnistyksen yhteydess.

Asenna F-PROT palvelimen kiintolevylle normaalisti. Esimerkiss
oletetaan, ett F-PROT on palvelimen hakemistossa Z:\F-PROT. Uuden
version tullessa se asennataan vain em. hakemistoon.

Tyasemien pitisi suorittaa komentojono automaattisesti, kun kyttj
kirjoittautuu verkkoon. Yleens tm voidaan toteuttaa muokkaamalla
LOGON-komentojonoa tai login-skripti. Komentojonoon tai skriptiin
pit list seuraavat rivit:

REPLACE Z:\F-PROT\*.* C:\F-PROT /U
REPLACE Z:\F-PROT\*.* C:\F-PROT /A

REPLACE on DOS-kyttjrjestelmn komento. Ensimminen komento pivitt
kaikki F-PROTin tiedostot, joiden pivmr on muuttunut. Toinen rivi
kopioi tyasemaan kaikki tyasemasta puuttuvat uudet tiedostot.

Siin kaikki. Tmn muutoksen jlkeen F-PROT pivittyy automaattisesti
aina sen jlkeen kun palvelimen F-PROT on pivitetty.


Ratkaisu 2: FPUPDATE:
---------------------

Seuraavan esimerkin mukaista F-PROTin automaatipivitysjrjestelm
kytetn useissa erilaisissa organisaatioissa. Suurimmissa on kytss
useita paikallisverkkoja ja tuhansia tyasemia.

Palvelijan konfiguraatio
------------------------

o       LOGON.BAT-komentojo (tai login-skripti) tai
        verkonhallintaohjelmisto kutsuu FPUPDATE.BAT-komentojonoa, joka
        on sijoitettu jaetulle levyalueelle (esim Z:\LOGON)

o       FPUPDATE tekee seuraavat tarkistukset:
        1) onko F-PROT asennettu tyasemaan
        2) onko palvelijaan asennettu F-PROT uudempi kuin tyasemassa
        oleva.

o       Jos asennusta ei ole tehty, se tehdn (samalla luodaan
        tarvittaessa hakemisto C:\F-PROT)

LOGON-komentojonon (tai vastaavan) viimeiseksi riviksi laitetaan:

CALL Z:\LOGON\FPUPDATE.BAT

jos kytss on Novell-verkko, ilman erillist LOGON-komentojonoa, laita
login-skriptin viimeiseksi riviksi:

#C:\DOS\COMMAND /C Z:\LOGON\FPUPDATE.BAT

Automaattinen pivitys perustuu VIRSTOP-ohjelman automaattiseen version
tunnistamiseen. Tm on toteutettu versiotiedoston avulla. Tiedoston
nimi on muotoa VERSIO_X.YYz (esim VERSIO_2.12, VERSIO_2.12b tai
VERSIO_2.14 jne.). F-PROTin asennuslevyke sislt tllaisen tiedoston.

                                         
Tyaseman konfiguraatio
-----------------------

Asennus ja pivitykset tyasemaan tapahtuvat siis automaattisesti kun
kyttj kirjoittautuu verkon kyttjksi.

o       Auomaattinen asennus varaa hakemiston C:\F-PROT F-PROTia varten.

o       AUTOEXEC.BATiin listn yksi komento, joka suorittaa
        komennon 'LOADHIGH C:\F-PROT\VIRSTOP.EXE /DISK'

o       FP.BAT-komentojono kopioidaan hakemistoon BAT (tai BATCH, BATIT
        tms.). Sit voidaan kytt F-PROTin kynnistmiseen

On huomattava, ett tss esitetty ratkaisu edellytt, ett F-PROTin
hakemisto sijaitsee kaikissa tyasemissa samassa paikassa. Suositeltu
sijainti on C:\F-PROT. Jos ohjelma alutaan asentaa jonnekin muualle,
vastaavat muutokset tulee tehd komentojonoihin FP.BAT ja FPUPDATE.BAT.

Automaattinen pivitys edellytt, ett sek palvelijassa ett
tyasemassa olevan ohjelman versio on tunnistettavissa komentojonosta
ksin. Versio merkitn tiedostolla, jonka formaatti on VERSIO_X.YYz.

Pivityslevykkeell on mukana esimerkki FPUPDATE.BAT-komentojonosta.
FPUPDATE.BATia tulee muokata, jotta alihakemistot ja levyasemat
vastaisivat kytss olevaa jrjestelm. Kun pivitysproseduuri on
toteutettu, riitt ett vain palvelimeen asennettu F-PROT pivitetn
uuden version tullessa. Poista pivityksen yhteydess palvelimelta vanhat
versiotiedostot.

Verkkokohtaista tietoa:
-----------------------

Windows for Workgroups ja Microsoft TCP/IP Extension

VIRSTOPin toiminnan kannalta on tarpeen tarkistaa 
muistinvaraisten ohjelmien latausjrjestys. Toimiva 
latausjrjestys on seuraava:

1.      NET START
2.      VIRSTOP
3.      kaikki muut muistinvaraiset ohjelmat


Lan Manager tai Lan Server ja Windows for Workgroups

Jaetut levyasemat nkyvt vasta kun Windows kynnistetn 
tyasemalla. VIRSTOPin automaattinen pivitys on mahdollista 
toteuttaa kahdella tavalla.

o       Kytetn F-PROT Professionalin Windows-versiota ja 
        kopioidaan VIRSTOP.EXE palvelimeen samaan alihakemistoon 
        sen kanssa. Tllin F-PROTin automaattipivitys huolehtii
        mys VIRSTOPin pivittmisest tyasemiin.

o       Lan Managerin ja Lan Serverin uudemmissa versioissa on 
        mahdollista kutsua FPUPDATE-komentojonoa 
        PROFILE.BAT-komentojonon sislt. Windows suorittaa tmn 
        komentojonon kynnistyessn. Jaetut levyasemat ovat 
        kytss kun tm komentojono suoritetaan.
                                

Novell Netware

Jotkin ohjelmat kaappaavat DOS-keskeytykset itselleen ja
ohittavat kaikki muut ohjelmat, jotka kyttvt samoja keskeytyksi.
Tm aiheuttaa sen, ett VIRSTOPin toiminta estyy, jos VIRSTOP
on ladattu ennen kyseist ohjelmaa. Ongelma kierretn siten ett 
VIRSTOP ladataan vasta ohjelman jlkeen tai keskeytykset 
kaapataan ohjelman jlkeen uudestaan komennolla VIRSTOP /REHOOK. 
Tllaisia ohjelmia/tilanteita ovat:

NETX (Novell Netware)
Stacker 4
DOS ikkuna DESQview-kyttympristss
kirjoittautuminen TOP-VIEW -verkkoon
 

IBM AS/400 PC Support

Koska AS/400-ohjainohjelmat muokkaavat muiden muistinvaraisten ohjelmien
data-alueita, ohjelmien suoritusjrjestyst on muutettava. VIRSTOP on
ladattava CONFIG.SYS-tiedoston avulla. Toimiva latausjrjestys on
seuraava:

1.      DEVICE=DXMA0MOD.SYS, DXME0MOD.SYS, DXMT0MOD.SYS ja muut
        DXMA-ohjaimet (joita yleens tarvitaan shkpostiyhteyksiin)
2.      DEVICE=VIRSTOP
3.      DEVICE=EIMPCS.SYS ja tarvittaessa ECYDDX.SYS

Muista, ett DEVICEHIGH-lausetta ei tule kytt samaan aikaan
/DISK-parametrin kanssa.

Listietoja F-PROTin verkkokytst on saatavissa F-PROT-tuestamme.

        Copyright (c) 1992 - 1994 Data Fellows Oy, Helsinki, Finland
