AV - Sophos Intercept X

Détection des malwares grâce à la technologie Deep Learning, prévention des exploits, anti-ransomware, analyse détaillée des attaques (Root cause analysis) et Sophos Clean.

📘

Documentation Sophos

https://community.sophos.com/kb/en-us/120560

Connexion :

La gestion de Sophos Intercept X se passe directement via une interface Web :

878878

Acceuil Sophos

Une fois connecté, vous voici sur la page d’accueil permettant la gestion de votre offre Sophos :

19131913

Acceuil Sophos Cloud

Installation :

Avant d'installer, il faut récupérer l'exécutable, celui-ci ne se déploie pas :

289289

Cliquez sur "Protection des appareils".

Une fois cliqué sur Protection des appareils, vous arrivez sur la page de téléchargement :

547547

Sélection pour poste de travail Windows.

Pour notre exemple, nous choisissons "Télécharger le programme d'installation complet Windows".

Une fois téléchargé, allons sur le poste de travail "Master" :

12771277

Lancez l'exécutable.

Puis nous lançons l'installation :

698698

Cliquez sur "Installer".

696696

L'installation tient en un clic et met environ 10 minutes, comme indiqué sur la capture d'écran.
Une fois celle-ci effectuée, nous devons redémarrer :

697697

Ces étapes sont simples et à la portée de tout à chacun, le retour console est immédiat :

17471747

Poste test est visible après le redémarrage.

Préparation pour masterisation :

First things first ! Suivons la documentation de chez Sophos ...

Dans un premier temps, il faut désactiver le service. Mais pour cela il faut désactiver la "Protection anti-altération" :
1 - Cliquez sur "Appareils" dans la "Vue générale" :

19111911

2 - Cliquez sur le poste à Masteriser, ici "Win10" :

10681068

Page d'administration de "Win10"

Enfin, en bas, dans la section "Protection anti-altération", cliquez sur "Actif - Désactiver la protection anti-altération" pour désactiver celle-ci.

Cette étape est passée, veuillez maintenant utiliser le script ci-dessous (une version .exe est disponible sur demande à votre chef de projet ):

###############################################     ##     ## 
########### SOPHOS serialization : ############      ##   ##
###############################################     #########
                                                   ### ### ###
                                                 ###############
                                                ## ########### ##
                                                ## ##       ## ##
                                                 #  #### ####  #

Get-Service | ?{$_ -like "*Mcs Client*"} | Stop-Service -Force

$ProgPath = "$env:ProgramData\Sophos\Management Communications System\Endpoint\"

rm -Force $ProgPath+"Persist\EndpointIdentity.txt" -ErrorAction SilentlyContinue

rm -Force $ProgPath+"Persist\Credentials" -ErrorAction SilentlyContinue

rm -Force $ProgPath+"Persist\*.xml" -ErrorAction SilentlyContinue

rm -Force $ProgPath+"Cache\*.status" -ErrorAction SilentlyContinue

rm -Force "C:\ProgramData\Sophos\AutoUpdate\data\machine_ID.txt" -ErrorAction SilentlyContinue

$Xml = $ProgPath+"Config\Config.xml"

$XmlToken = Select-Xml -Content $Xml -XPath "registrationToken" -ErrorAction SilentlyContinue | foreach {$_.node.InnerXML} 

"[McsClient]
Token= $XmlToken" > "$env:ProgramData\Sophos\AutoUpdate\data\machine_ID.txt"

 @(Get-Service | ?{$_ -like "*sophos*"}).ForEach( { Stop-Service $_.Name -Force -ErrorAction SilentlyContinue })

###############################################    ### #  # #
########### SOPHOS serialization : ############    ##  #  #\#
###############################################    #   #  # #

Si une erreur apparait, la seule possibilité pour ce script est l'affichage de l'erreur de l'arrêt du service. Cela veut dire que la protection précédemment évoquée n'est pas désactivée ou que vous n'avez pas lancé le script en tant qu'administrateur.

Il se peut que vous ayez besoin d'autoriser l'exécution des scripts PowerShell :

Set-ExecutionPolicy Unrestricted

Maintenant que tout est fait, enregistrez votre master et testez-le.


Did this page help you?