Hướng dẫn cấu hình GPO tắt Tamper protection Sophos Endpoint và restore các Device đã bị xóa trên Sophos Central

Post published:06/13/2022
Post category:Sophos Endpoint
Post comments:0 Comments

1 Tình huống

Trong quá trình sử dụng, chúng ta xóa nhầm 2 thiết bị khỏi central, do máy tính vẫn còn tamper protection nên không thể uninstall cũng như reinstall lại endpoint và đưa thiết bị trở lại central.

Bài viết này thegioifirewall sẽ hướng dẫn các bạn cấu hình khắc phục bằng cách tắt tamper protection trên thiết bị bằng GPO và khôi phục đưa Device trở lại lên Sophos Central.

2 Mô hình

Trong mô hình này 2 máy Windows 10 đã join vào domain và đã cài Sophos Endpoint. Server 2016 làm domain controller và triển khai các GPO xuống máy Windows 10.

Máy Windows 10 có khả năng truy cập mạng và truy cập đến Sophos Central.

3 Các bước thực hiện

Ta tiến hành như sau:

Tạo GPO tắt Tamper protection trên từng thiết bị
Triển khai cài đặt lại Sophos Endpoint bằng GPO
Kiểm tra kết quả

3.1 Tạo GPO tắt Tamper protection

Chúng ta truy cập lên Sophos Central để lấy lại tamper của các máy đã xóa, truy cập mục sau.

Logs & Reports >> Recover Tamper Protection passwords

Lưu lại mật khẩu 2 máy đã bị xóa.

Chúng ta tạo GPO để tắt tamper protection như sau

Tại máy Domain controller. Tạo GPO áp dụng lên 2 máy tính cần sửa lỗi.

Ta edit policy và chọn run Startup Scripts

Sript có Tham số như sau

Script name là đường dẫn file tại local của máy tính

C:\Program Files\Sophos\Endpoint Defense\SEDcli

Script parameter là tham số để tắt tamper protection và sau là Password của máy PC1

-OverrideTPoff password

Tương tự tạo script tắt tamper protection cho PC2 với password tamper của PC2

Sau khi apply chúng ta tiến hành đổ Policy xuống các máy

Policy sẽ đổ xuống các máy con và khi khởi động lại, máy con sẽ chạy lệnh để tắt tamper protection.

Chúng ta có thể kiểm tra tại từng máy bằng cách mở endpoint lên và nếu mục setting hiện lên như sau nghĩa là ta đã tắt tamper protection thành công