AV - Sophos Intercept X
Détection des malwares grâce à la technologie Deep Learning, prévention des exploits, anti-ransomware, analyse détaillée des attaques (Root cause analysis) et Sophos Clean.
Documentation Sophos
Connexion :
La gestion de Sophos Intercept X se passe directement via une interface Web :
Une fois connecté, vous voici sur la page d’accueil permettant la gestion de votre offre Sophos :
Installation :
Avant d'installer, il faut récupérer l'exécutable, celui-ci ne se déploie pas :
Une fois cliqué sur Protection des appareils, vous arrivez sur la page de téléchargement :
Pour notre exemple, nous choisissons "Télécharger le programme d'installation complet Windows".
Une fois téléchargé, allons sur le poste de travail "Master" :
Puis nous lançons l'installation :
L'installation tient en un clic et met environ 10 minutes, comme indiqué sur la capture d'écran.
Une fois celle-ci effectuée, nous devons redémarrer :
Ces étapes sont simples et à la portée de tout à chacun, le retour console est immédiat :
Préparation pour masterisation :
First things first ! Suivons la documentation de chez Sophos ...
Dans un premier temps, il faut désactiver le service. Mais pour cela il faut désactiver la "Protection anti-altération" :
1 - Cliquez sur "Appareils" dans la "Vue générale" :
2 - Cliquez sur le poste à Masteriser, ici "Win10" :
Enfin, en bas, dans la section "Protection anti-altération", cliquez sur "Actif - Désactiver la protection anti-altération" pour désactiver celle-ci.
Cette étape est passée, veuillez maintenant utiliser le script ci-dessous (une version .exe est disponible sur demande à votre chef de projet ):
############################################### ## ##
########### SOPHOS serialization : ############ ## ##
############################################### #########
### ### ###
###############
## ########### ##
## ## ## ##
# #### #### #
Get-Service | ?{$_ -like "*Mcs Client*"} | Stop-Service -Force
$ProgPath = "$env:ProgramData\Sophos\Management Communications System\Endpoint\"
rm -Force $ProgPath+"Persist\EndpointIdentity.txt" -ErrorAction SilentlyContinue
rm -Force $ProgPath+"Persist\Credentials" -ErrorAction SilentlyContinue
rm -Force $ProgPath+"Persist\*.xml" -ErrorAction SilentlyContinue
rm -Force $ProgPath+"Cache\*.status" -ErrorAction SilentlyContinue
rm -Force "C:\ProgramData\Sophos\AutoUpdate\data\machine_ID.txt" -ErrorAction SilentlyContinue
$Xml = $ProgPath+"Config\Config.xml"
$XmlToken = Select-Xml -Content $Xml -XPath "registrationToken" -ErrorAction SilentlyContinue | foreach {$_.node.InnerXML}
"[McsClient]
Token= $XmlToken" > "$env:ProgramData\Sophos\AutoUpdate\data\machine_ID.txt"
@(Get-Service | ?{$_ -like "*sophos*"}).ForEach( { Stop-Service $_.Name -Force -ErrorAction SilentlyContinue })
############################################### ### # # #
########### SOPHOS serialization : ############ ## # #\#
############################################### # # # #
Si une erreur apparait, la seule possibilité pour ce script est l'affichage de l'erreur de l'arrêt du service. Cela veut dire que la protection précédemment évoquée n'est pas désactivée ou que vous n'avez pas lancé le script en tant qu'administrateur.
Il se peut que vous ayez besoin d'autoriser l'exécution des scripts PowerShell :
Set-ExecutionPolicy Unrestricted
Maintenant que tout est fait, enregistrez votre master et testez-le.
Updated about 1 year ago