Sophos FAQ und Hinweise für Administratoren (Zum Lesen grünes Dreieck klicken):
-
Frage: Sophos Intercept X deinstallieren? (Manipulationsschutz - Windows und macOS)Aus Sicherheitsgründen kann ein lokaler Administrator nicht ohne größeren Eingriff, Sophos Intercept X auf Windows oder macOS deinstallieren. Die Anti-Virus-Software schützt sich damit gegen Malware, die gerne den Schutzmechanismus deaktiveren würde. Jede Installation von Sophos Intercept X hat ein individuelles Manipulationsschutz-Kennwort, welches bei konkretem Bedarf durch die zuständigen DVBs/Administratoren über den Servicedesk erfragt werden kann. Das Kennwort hat eine Gültigkeit von 4 Stunden und wird unter dem Menüpunkt Administratoranmeldung eingegeben. Als weitere Möglichkeit, kann der Manipulationsschutz für das Gerät, von uns im Sophos Management Portal deaktiviert werden. Auf einem System mit Linux können Sie Sophos direkt deinstallieren.
Mail an das Servicedesk des TUHH Rechenzentrums
Frage: Wie kann ich Sophos Intercept X deinstallieren? (Windows)Bevor mit der Deinstallation begonnen werden kann, muss zuvor der Manipulationsschutz von Sophos deaktiviert werden. Bitte wenden Sie sich hierzu, an das Rechenzentrum der TUHH. Geben Sie bitte den Hostname und die IP-Adresse des Systems mit an. Mail an das Servicedesk des TUHH Rechenzentrums
Anleitung zur Deinstallation von Sophos Intercept X
Sollte das Problem einer fehlgeschlagenen Installation bestehen oder wiederholt eintreten, kann der folgende Workaround zur Neuinstallation helfen: Deinstallieren Sie Sophos vor einer Neuinstallation. Wählen Sie hierzu eine der folgenden Varianten.
1. Melden Sie sich als lokaler Administrator am Computer an. Wählen Sie zur Deinstallation die Einstellungen > Apps oder navigieren zur Systemsteuerung\Alle Systemsteuerungselemente\Programme und Features > Markieren Sie Sophos Endpoint Protection und wählen "Deinstallieren". Starten Sie das System anschließend neu.
2. Melden Sie sich als lokaler Administrator am Computer an. Öffnen Sie den Windows Explorer und navigieren nach C:\Programme\Sophos\Sophos EndpointAgent. Klicken Sie doppelt auf die Datei SophosUninstall.exe. Sie können dies auch über die Kommandozeile ausführen. Starten Sie das System anschließend neu. Anleitung: Sophos
3. Verwenden Sie das Sophos Uninstall-Tool "SophosZAP". Dieses Tool soll möglichst nur verwendet werden, wenn alle anderen Versuche fehlgeschlagen sind und eine vollständige Entfernung von Sophos unmöglich geworden ist.
WICHTIG: Befolgen Sie hierzu bitte die Anleitung von Sophos
Den Link zum Download finden dort ebenso. Eine Einwilligung zur "End User Terms of Use & Export Compliance" wird von Sophos zuvor erbeten.Die aktuelle Phishing-Mail gibt vor, dass ein abgelaufenes Passwort validiert werden müsse, um dieses beibehalten zu können.
Frage: Wie kann ich Sophos Protection for Linux deinstallieren? (Linux)Führen Sie auf einem von Sophos Central verwalteten Linux-Gerät, dass Deinstallationsskript im Terminal, mit administrativen Rechten aus: /opt/sophos-spl/bin/uninstall.shDas Skript entfernt die SPL-Daemon-Programme, Bibliotheken, Protokolldateien, Plug-Ins und für den Benutzer zugänglichen Programme unter:
/opt/sophos-spl/
/usr/lib/systemd/system/
/lib/systemd/system/
Frage: Wie kann ich Sophos Intercept X deinstallieren? (macOS)Bevor mit der Deinstallation begonnen werden kann, muss zuvor der Manipulationsschutz von Sophos deaktiviert werden. Bitte wenden Sie sich hierzu, an das Rechenzentrum der TUHH. Geben Sie bitte den Hostname und die IP-Adresse des Systems mit an. Mail an das Servicedesk des TUHH Rechenzentrums
Anleitung zur Deinstallation von Sophos Intercept X
1. Starten Sie den Finder und öffnen die Programme über den Reiter "Gehe zu".
2. Starten Sie die Deinstallation mit einem Doppelklick auf "Remove Sophos Endpoint.app"
3. Klicken Sie auf "Fortfahren"
4. Geben Sie den Benutzernamen des lokalen Administrators und das Passwort ein und klicken auf ""Hilfsprogramm installieren"
5. Die deinstallation wird beendet. Klicken Sie auf "Schließen"
Frage: Was bedeutet das Schildsymbol in der Taskleiste? (Sophos Endpoint Agent)Unter Windows, verbirgt sich hinter dem Schild-Symbol in der Taskleiste, der Sophos Endpoint Agent. Über den Sophos Endpoint Agent, kann man sich den aktuellen Status der lokalen Sophos Intercept X Installation ansehen.
Frage: Wie startet man manuell ein Update von Sophos Intercept X? (Windows)In der Taskleiste klicken Sie mit der rechten Maustaste auf das Sophos Schild-Symbol und wählen dort Informationen aus. Unter dem Stichwort Update-Status klicken Sie auf den Schalter Jetzt updaten.
Frage: Wie startet man einen manuellen Scan? (Windows)Dazu klicken Sie in der Taskleiste mit der rechten Maustaste auf das Sophos Schild-Symbol und wählen dort Informationen aus. Im nächsten Fenster klicken Sie auf den Button "Scan" Ein vollständiger Scan wird gestartet und kann je nach Größe des Datenspeichers andauern.
Frage: Wie kann ich eine verdächtige Datei überprüfen? (Windows)Wenn Sie verdächtige Dateien oder Webseiten haben, können Sie diese über folgende Online-Dienste überprüfen lassen.
Vertrauliche Dokumente und Unterlagen mit personenbezogenem Inhalt, sollten Sie allerdings keinem dieser Dienste zur Verfügung stellen.
- Virustotal ist ein Online-Dienst in Besitz von Google und prüft Webseiten und Dateien mit vielen verschiedenen Virenscannern.
- Intelix ist ein öffentlicher Dienst von Sophos, der ebenfalls online Dateien oder URLs überprüfen kann.
Alternativ kann man auch mit dem lokalen Sophos Intercept X eine Datei überprüfen. Dazu klicken Sie in der Taskleiste mit der rechten Maustaste auf das Sophos Schild-Symbol und wählen dort Informationen aus. Klicken Sie dann auf Endpoint Self Help Tool öffnen In dem geöffneten Fenster wählen Sie oben den Reiter Tools und dann links den Punkt File Info. Die verdächtige Datei können Sie dort per Drag&Drop in das Feld ziehen oder browse for a file auswählen und überprüfen.
Frage: Sophos Boot-Datenträger sind für Intercept X nicht verfügbar. Alternative? (Windows)Für Sophos Intercept X sind keine Boot-Datenträger zum scannen des Systems verfügbar. Sie können hierzu das kostenlose Programm Sophos Scan&Clean verwenden. Speichern Sie es z.B. auf einem externen Datenträger und führen es von dort, auf dem betroffenen System aus. Das Tool ist nur für Windows 32/64 Bit verfügbar.
Zum Download: https://www.sophos.com/de-de/free-tools/virus-removal-tool/free-download
Registrieren Sie sich zum Download mit Vor-/Nachname sowie Ihrer TUHH-E-Mail-Adresse.
Frage: Mein Computer wurde isoliert!? (Windows)Falls es aus Sicherheitsgründen notwendig ist, kann über Sophos Central ein Computer isoliert werden. An einem Computer, der isoliert wurde, können Sie lokal weiter arbeiten aber Zugriffe über Datennetz (LAN wie WLAN) sind nicht mehr möglich. Diese Massnahme kann notwendig sein, wenn die Sicherheit des Computers oder des TUHH-Netzwerkes unmittelbar gefährdet ist. Die Meldung über die Isolation wird für einen kurzen Moment angezeigt und es findet sich danach entsprechende Hinweise in den Benachrichtigungen und nach Doppel-Klick auf das Schild-Symbol auch im Status des Sophos Endpoint Agent. Sollte Ihr Rechner betroffen sein, nehmen Sie bitte Kontakt zum Rechenzentrum auf.
Mail an das Servicedesk des TUHH Rechenzentrums
Hinweis: Duplizieren "klonen" von Systemen (Windows / Linux)Bitte beachten Sie beim duplizieren von virtuellen oder auch physikalischen Systemen, die folgenden Hinweise!
Wenn Sie eine kommerzielle Software oder Freeware zum Klonen von Festplatten oder virtuellen Maschinen verwenden, installieren Sie vor der Duplizierung, kein Sophos Intercept X auf dem "Master-System"!
Eine Duplizierung des "Master-Systems" mit bereits installiertem Sophos hätte zur Folge, dass die "Klone" in der Sophos Central Cloud, mit identischer Sophos-ID, IP-Adresse sowie Hostname registriert wären. Eine beliebige Statusveränderung eines Klons, würde den neuen Datensatz im Sophos Central für beide Klone schreiben, obwohl der Status der Systeme unterschiedlich sein könnte.
1. Richten Sie für das Duplikat einen eindeutigen Hostname und eine freie IP-Adresse, in Ihrem IP-Adressbereich (IPAM) ein.
2. Melden Sie sich als lokaler Administrator am Duplikat an. Ändern Sie den Hostname (FQDN) dem IPAM entsprechend. Wenn Sie DHCP verwenden, kontrollieren Sie auf dem Duplikat die DHCP-Einstellung. Andernfalls richten Sie eine statische IP-Adresse gemäß IPAM ein. Starten Sie das System neu.
Im letzten Schritt installieren Sie Sophos Intercept X, auf dem vorbereiteten System.
Sophos empfiehlt die Erstellung eines Gold-Image. Bitte folgen Sie hierzu der Anleitung für Ihr System.
Hinweis: Ich habe Probleme mit der Installation von Sophos Intercept X (Windows)Wenn Sie das Setup ausgeführt haben und die Installation fehlerhaft verlief oder mehrfach scheiterte, befolgen Sie bitte die Anleitung "Wie kann ich Sophos Intercept X deinstallieren?" auf dieser Seite.
Hinweis: Ein oder mehrere Sophos-Dienste fehlen oder werden nicht ausgeführt (Windows)Dienste werden in der Regel als fehlend oder nicht ausgeführt gemeldet, wenn die Installation oder Aktualisierung einer Sophos-Komponente fehlgeschlagen ist oder nicht abgeschlossen wurde. Den Status der Dienste, sehen Sie in der Windows Computerverwaltung oder im Sophos "Endpoint Self Help Tool". Stellen Sie sicher, dass Sie die Sophos-Software auf einem unterstützten Betriebssystem installiert und das Gerät neu gestartet haben. Prüfen Sie in der Computerverwaltung den Status der Dienste. Die korrekten Einstellungen sind: Starttyp "automatisch" und Status "wird ausgeführt". Der Sophos Dienst "HitmanPro.Alert service" fehlt im Screenshot. Sie finden ihn in alphabetischer Anordnung. Sollte sich der Status eines fehlenden Dienstes nicht ändern, installieren Sie Sophos nach einer De-Installation neu.
Hinweis: Sophos Intercept X lässt sich auf einem DELL Gerät nicht installieren (Windows)Es ist möglich, dass nach der Ausführung des Sophos-Setup folgende Meldung auf einem Dell Gerät erscheint:
Invincea ist installiert. Der Installer ist nicht mit Invincea kompatibel.
Der Grund dafür ist, dass auf Dell Geräten möglicher Weise "Dell Protected Workspace" installiert ist. Das Programm beinhaltet den Dienst “Dell Threat Defence” und muss vorher deinstalliert werden.
Hinweis: Sophos Intercept X lässt sich nicht installieren (Linux)Die Installation von Sophos Protection for Linux (SPL) schlägt fehl, wenn das Paket "libcap" auf dem System fehlt.
Lösung:
Sofern die Installation nicht oder nur teilweise erfolgreich war, deinstallieren Sie Sophos sofern vorhanden und starten das System neu.
sudo /opt/sophos-spl/bin/./uninstall.sh
1. Führen Sie nach dem Neustart die entsprechenden Plattformbefehle auf dem Linux-Server aus, um das erforderliche libcap-Paket zu installieren:
apt install libcap2-bin
yum install libcap
oder auf SLES
zypper install libcap-progs
2. Installieren Sie Sophos erneut.
Siehe: https://support.sophos.com/support/s/article/KB-000041952?language=en_US
Hinweis: Auf dem MacBook werden 2 oder mehr Dienste nicht gestartet (macOS)In den meisten Fällen werden die Dienste "Sophos Network Extension" und "Sophosscand" nicht gestartet.
Das Problem kann nach der Installation von System Updates für macOS auftreten. Eventuell auch nach einem Sophos-Upgrade.
Die Dienste können gestartet indem Sie in den Sicherheitseinstellungen für „Sophos Network Extension“ und „Sophosscand“ die Berechtigung zum Ausführen der Dienste erteilen. Möglicherweise müssen Sie dies mehr als einmal tun, da Apple seine Sicherheitsanforderungen häufig aktualisiert. Weitere Informationen und Screenshots der Sicherheitseinstellungen finden Sie hier: Sophos