1.Mục đích bài viết
Thegioifirewall sẽ hướng các bạn sử dụng tính năng Live Discover của Sophos Central để tạo query kiểm tra trạng thái của Tamper Protection trên các máy trạm và máy chủ đã được cài đặt Sophos Endpoint.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 10.150.30.106.
- Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.16.16/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
- Trong mạng LAN chúng ta sẽ có 2 thiết bị một là máy chủ WIN-V3N9Q4OC2GG với IP 172.16.16.19/24 và đã được cài đặt Sophos Endpoint.
- Hai là PC chạy Windows 10 tên DESKTOP-HP5D580 có IP 172.16.16.17/24 và cũng đã được cài đặt Sophos Endpoint.
3.Tình huống cấu hình
Chúng ta sẽ thực hiện tắt Tamper Protection trên máy PC chạy Windows 10.
Sau đó thực hiện tạo Query trên Sophos Central bằng tính năng Live Discover để kiểm tra xem một trong hai thiết bị thiết bị nào đang tắt Tamper Protection.
4.Các bước cấu hình
- Tắt Tamper Protection trên máy DESKTOP-HP5D580.
- Tạo query.
5.Hướng dẫn cấu hình.
5.1.Tắt Tamper Protection trên máy Desktop-HP5D580.
Để tắt Tamper Protection chúng ta cần đăng nhập vào Sophos Central với tài khoản quản trị.
Tiếp theo chúng ta vào Devices > Computers > nhấn vào tên DESKTOP-HP5D580 của thiết bị.
Tại mục Tamper Protection chúng ta nhấn vào Disable Tamper Protection để tắt tính năng này cho máy DESKTOP-HP5D580.
5.2.Tạo query
Để tạo query các bạn vào Threat Analysis Center > Live Discover.
Đầu tiên chúng ta sẽ bật Designer Mode.
Sau đó chúng ta nhấn Create new query để tạo query mới.
Bảng tạo query hiện ra chúng ta sẽ nhập vào các thông tin như sau:
- Query Name: đặt tên cho query này là Query Tamper Protection status.
- Category: chọn Device.
- Source: chọn Live Endpoint và chọn Windows (Lưu ý với tùy chọn này thì yêu cầu máy tính hoặc máy chủ phải có kết nối internet mới có thể query).
- Tại ô SQL chúng ta nhập vào đoạn code dưới đây.
select data,path
from registry
where key=’HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config’ AND name=’SEDEnabled’ AND data=0;
- Tại Device selector chúng ta chọn máy tính và máy chủ đã được cài đặt Sophos Endpoint và nhấn Query.
Đợi vài giây thì kết quả query sẽ ra máy tính hoặc máy chủ nào mà Tamper Protection đang bị tắt.
Như các bạn đã thấy máy tính DESKTOP-HP5D580 mà chúng ta đã tắt Tamper Protection ở bước 1 đã hiện ra.
Với tính năng Live Discover và đoạn query này, nó giúp chúng ta có thể kiểm tra được trạng thái của Tamper Protection trên các máy tính.
Từ đó giúp chúng ta có xác định được máy tính nào đang bị tắt Tamper Protection để tránh từ trạng người dùng có thể gỡ phần mềm Sophos Endpoint ra khỏi máy tính.