Sophos Central - Mit Manipulationsschutz geschütztes System wiederherstellen

Problem

Auf einem mit Sophos Central geschützdem System

  • auf dem der Manipulationsschutz aktiv ist
  • das System seine Verbindung mit dem Sophos Central Server oder mit der Enterprise Console verloren hat
  • aufgrund eines Netzwerk-Fehlers nicht mehr in der Lage ist mit seinem Server zu kommunizieren

muss der Manipulationsschutz manuell aufgehoben werden um das System wiederherzustellen zu können.



Dies passiert häufig, wenn ein Gerät aus einer Windows-Domäne entfernt wird.
Beispielsweise um künftig als Einzelplatz-System weiter verwendet zu werden, oder ausscheidet und aus der Sophos Verwaltung gelöscht wird.

Jede beschriebene Situationen hat gemein, dass der Client nicht mehr verwaltbar ist, da die Kommunikation mit der Management-Komponente unterbrochen wurde.

Lösung

Der Manipulationsschutz muss manuell deaktiviert werden.
Danach kann Sophos Software de-installiert oder auch neu installiert werden (je nach Anforderung).

Stellen Sie sicher, dass Sie eine administrative Eingabeaufforderung verwenden!

Tipp:
Wenn Sie bewusst ein System aus der Domäne entfernen, deaktivieren Sie zuvor den Manipulationsschutz für dieses Gerät (Sophos Central) oder weisen Sie dem Gerät eine Manipulationsschutz-Richtlinie ohne aktiven Manipulationsschutz zu (On-Premise,
Sophos Central:
 
  1. WIN+R > regedit > OK
  2. WIN+R > services.msc > Rechtsklick auf Sophos Anti-Virus service > Eigenschaften > Auf Deaktiviert setzen > OK
  3. WIN+R > regedit > OK
  4. Zu folgenden Pfad in der Registrierung wechseln:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent
  5. Den REG_DWORD Wert Start auf 0 setzen
  6. Zu folgendem Pfad in der Registrierung wechseln:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config
  7. Den REG_DWORD Wert SAVEnabled und SEDEnabled auf 0 setzenZu folgendem Pfad in der Registrierung wechseln (WOW6432 ist nur bei 64Bit vorhanden):
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection
    HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\SAVService\TamperProtection
  8. Den REG_DWORD Wert Enabled auf 0 setzen
  9. WIN+R > services.msc > Alle "Sophos xy" und "Hitman xy" Dienste stoppen

 Sie haben nun wieder Zugriff und können den AntiVirus de-installieren (appwiz.cpl) . Für eine Neu-Installation sollten Sie das System natürlich nach der De-Installation neu starten.

 

Print