1. Mục đích bài viết
Như các bạn đã biết để gỡ phần mềm Sophos Endpoint chúng ta cần phải có mật khẩu Tamper Protection hoặc phải tắt Tamper Protection trên Sophos Central cho máy tính đó.
Vậy chuyện gì sẽ xảy ra nếu chúng ta vô tình xóa thiết bị đó trên Sophos Central, lúc này chúng ta sẽ không thể lấy mật khẩu Tamper Protection hoặc tắt nó đi.
Thông qua bài viết này thegioifirewall sẽ hướng dẫn các bạn cách gỡ cài đặt Sophos Endpoint khi gặp phải những trường hợp như trên
2. Tình huống cấu hình
Chúng ta sẽ chuẩn bị 2 máy tính chạy HĐH Windows 10 đã được cài đặt Sophos Endpoint là DESKTOP-6C2AIT6 và PC01.
Sau đó chúng ta sẽ xóa cả thiết bị khỏi Sophos Central. Và thực hiện gỡ cài đặt Sophos Endpoint trên 2 máy tính đó.
Chúng ta sẽ có 2 cách để gỡ, cách 1 là gỡ bằng Recover Tamper Protection password và cách thứ 2 là vào Safe Mode để gỡ.
Cách 1 chúng ta sẽ thực hiện trên máy PC01 và cách 2 sẽ thực hiện trên máy DESKTOP-6C2AIT6.
3. Hướng dẫn cấu hình
3.1 Gỡ Sophos Endpoint bằng Recover Tamper Protection password
Recover Tamper Protection password là một tính năng nhỏ rất tiện lợi của Sophos, tính năng này sẽ thực hiện lưu trữ lại Tamper Protection password của các máy đã bị xóa hoặc chúng ta lỡ tay xóa chúng.
Cũng lưu ý rằng Recover Tamper Protection password sẽ chỉ lưu mật khẩu trong vòng 60 ngày kể từ ngày xóa.
Để thực hiện bước đầu tiên chúng ta cần xóa máy PC01 khỏi Sophos Central.
Để xóa đăng nhập vào Sophos Central bằng tài khoản admin > Device > chọn máy PC01 > nhấn Delete 2 lần.
Sau khi xóa thiết bị thì thiết bị được xóa sẽ được lưu tại Recover Tamper Protection password.
Chúng ta vào Logs & Reports > Report > Endpoint & Server Protection > Recover Tamper Protection passwords.
Sau khi vào chúng ta sẽ thấy thiết bị PC01 mà chúng ta vừa xóa, để lấy lại Tamper Protection cho thiết bị này chúng ta nhấn vào View password details nó sẽ hiển thị ra chúng ta chỉ cần sao chép password này.
Tiếp theo đăng nhập vào máy tính PC01, click đúp chuột trái vào biểu tượng Sophos ở phía đồng hổ của máy tính.
Bảng Sophos hiện lên click vào Admin sign-in.
Nhập password vừa copy vào ô và click Admin sign-in.
Sau khi đăng nhập xong click vào phần Settings > tích chọn Override Sophos Central Policy for up to 4 hours to troubleshoot > nhấn chuột trái vào công tắc kế bên Tamper Protection để tắt tính năng này.
Sau khi tắt thì chúng ta vào Control Panel > Programs > Programs and Features > click chuột phải vào Sophos Endpoint Agent > chọn Uninstall để gỡ cài đặt.
Tiếp theo chọn Uninstall để gỡ cài đặt Sophos Endpoint Agent.
Đợi khoảng 5p để tiến trình gỡ cài đặt hoàn tất.
Sau khi gỡ cài đăt thành công click Close và máy tính sẽ tự động khởi động lại.
3.2 Gỡ cài đặt bằng Safe Mode trên Windows.
Phương thức gỡ cài đặt này chỉ được sử dụng khi bạn lỡ xóa thiết bị trên Sophos Central và nó cũng không còn lưu trên Recover Tamper Protection password do bạn đã để nó quá 60 ngày kể từ ngày xóa.
Để thực hiện cách này các bạn cần truy cập vào Safe Mode trên Windows.
Mình sẽ thực hiện cách này trên máy tính DESKTOP-6C2AIT6
Các bạn có thể thực hiện vào Safe Mode bằng cách Restart lại máy tính và nhấn F8 hoặc Shift + F8.
Ngoài ra còn 1 cách để bạn có thể vào Safe Mode như sau.
Ở ô tìm kiếm của Windows bạn gõ System Configuration và bật nó lên.
Chuyển qua tab Boot ở phần Boot Option các bạn chọn Safe Mode Minimal và click OK để lưu và click Restart để khởi động vào Safe mode.
Đây là màn hình của Safe Mode.
Tiếp theo ở ô tìm kiếm của Windows gõ services.msc và mở nó lên.
Tìm dịch vụ Sophos Anti-Virus và chọn Propertise.
Chọn Disable ở Startup type và click OK
Tiếp theo chúng ta gõ vào ô tìm kiếm regedit.exe và bật nó lên.
Đi đến đường dẫn HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent and chỉnh giá trị của Start là 0x00000004
Tiếp theo đến HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config and chỉnh SAVEnabled and SEDEnabled là 0.
Tiếp theo chúng ta cần thiết lập giá trị của Enable là 0 theo đường dẫn sau :
32 bit : HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\SAVService\TamperProtection
64 bit : HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection
Ở đây chúng ta sẽ cấu hình theo đường dẫn 64 bit do windows 10 đang sử dụng là 64 bit.
Sau khi cấu hình xong thì Tamper Protection sẽ bị tắt sau khi chúng ta khởi động lại máy tính ở chế độ bình thường.
Đối với các máy sử dụng tổ hợp phím F8 hoặc Shift + F8 chúng ta chỉ việc Restart máy còn đối với các máy vào Safe Mode bằng System Configuration như cách thegioifirewall chỉ phía trên chúng ta sẽ gõ System Configuration vào ô tìm kiếm
Ở tab Boot, chúng ta sẽ bỏ chọn Safe Mode ở Boot options.
Click OK và Restart để khởi động lại máy tính.
Sau khi khởi động lại máy tính ở chế độ bình thường chúng ta có thể gỡ Sophos Endpoint do Tamper Protection đã bị tắt.
Để gỡ cài đặt chúng ta vào Control Panel > Programs > Programs and Features > click chuột phải vào Sophos Endpoint Agent > chọn Uninstall để gỡ cài đặt.
Tiếp theo chọn Uninstall để gỡ cài đặt Sophos Endpoint Agent.
Đợi khoảng 5p để tiến trình gỡ cài đặt hoàn tất.
Sau khi gỡ cài đăt thành công click Close và máy tính sẽ tự động khởi động lại.
Ở bước “Chọn Disable ở Startup type và click OK” mình làm mà không cho Disable thì phải làm sao ạ.??? Giúp mình với
Bạn vui lòng mở service.msc bằng quyền admin bạn nhé.
Mình mở bằng quyền Admin rồi mà vẫn không được. 🙁