Inhaltsverzeichnisarrow_drop_down
- Was ist der Manipulationsschutz in Sophos Central?
- Warum muss der Manipulationsschutz manchmal deaktiviert werden?
- Reguläre Deaktivierung über Sophos Central
- Sophos Endpoints: Manipulationsschutz unter Windows deaktivieren
- Sophos Endpoints: Manipulationsschutz auf Mac deaktivieren
- Globale Deaktivierung des Manipulationsschutzes für alle Endpoints
- Fazit: Manipulationsschutz nur im Notfall deaktivieren!
Was ist der Manipulationsschutz in Sophos Central?
Der Manipulationsschutz in Sophos Central, auch bekannt als Tamper Protection, ist ein Sicherheitsfeature der Endpoint Protection von Sophos. Die Funktion schützt verwaltete Endpoints vor unautorisierten Änderungen und stellt sicher, dass Sicherheitsrichtlinien durchgesetzt bleiben. Der Manipulationsschutz verhindert, dass Sophos-Dienste beendet, Sicherheitseinstellungen geändert oder der Sophos Endpoint Agent ohne entsprechende Berechtigungen deinstalliert werden kann.
Hierdurch wird das Risiko minimiert, dass Schadsoftware oder unbefugte Benutzer sicherheitskritische Konfigurationen verändern. Nur Administratoren mit den entsprechenden Rechten oder Benutzer, die über das zugehörige Manipulationsschutz-Kennwort verfügen, können den Manipulationsschutz deaktivieren.
Warum muss der Manipulationsschutz manchmal deaktiviert werden?
Im Administratoren-Alltag gibt es jedoch Situationen, in denen der Manipulationsschutz in Sophos Central vorübergehend oder dauerhaft deaktiviert werden muss.
Beispiele für die Deaktivierung des Manipulationsschutzes der Endpoint Protection sind:
- Fehlersuche und Problembehebung: Bestimmte Einstellungen lassen sich nur ändern, wenn der Manipulationsschutz deaktiviert ist.
- Neuinstallation oder Deinstallation: Vor einer Deinstallation vom Sophos Central Endpoint Agent muss der Schutz entfernt werden.
- Unbekanntes Passwort: Falls das Tamper Protection Passwort nicht mehr bekannt ist oder nicht recovered werden kann, muss der Schutz manuell entfernt werden.
- Lizenzprobleme: Abgelaufene oder widerrufene Lizenzen können Probleme bereiten und die Deinstallation erschweren.
In dieser Anleitung zeigen wir, wie der Manipulationsschutz über Sophos Central deaktiviert werden kann sowie auf Windows und Mac Geräten. Wir weisen darauf hin, dass die Funktion nur in Notfällen deaktiviert werden sollte!
Reguläre Deaktivierung über Sophos Central
Die reguläre Deaktivierung des Manipulationsschutzes erfolgt über Sophos Central. Da der Zugriff über den Browser erfolgt, spielt das Betriebssystem hierbei keine Rolle.
- Anmeldung in Sophos Central.
- Unter Endpoint > Computer das betroffene Gerät auswählen.
- In den Geräteeinstellungen Manipulationsschutz / Tamper Protection ausschalten. Ggf. wird das Manipulationsschutz-Kennwort benötigt.
- Nach wenigen Minuten wird die Änderung synchronisiert und der Schutz ist deaktiviert.
Falls der Zugriff auf das Tamper Protection Passwort nicht mehr möglich ist, gibt es alternative Methoden zur Entfernung. Unter Windows ist eine Deaktivierung per Registrierungs-Editor oder Kommandozeile möglich und auf Macs kann der Schutz über das Terminal entfernt werden.
Sophos Endpoints: Manipulationsschutz unter Windows deaktivieren
Deaktivierung ohne Zugriff auf Sophos Central (Windows)
Methode 1: Deaktivierung über den abgesicherten Modus und Registry-Änderungen
- Windows im abgesicherten Modus starten.
- Dienste deaktivieren:
- Start > Ausführen >
services.msc - Nach Sophos Anti-Virus suchen und den Dienst deaktivieren.
- Start > Ausführen >
- Registrierungswerte anpassen:
- Start > Ausführen >
regedit - Änderungen an folgenden Schlüsseln durchführen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent>Startauf0x00000004setzenHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config>SAVEnabledundSEDEnabledauf0setzen
- Start > Ausführen >
- System neu starten und Änderungen übernehmen.
Methode 2: Automatisierte Deaktivierung per Kommandozeile
- Windows im abgesicherten Modus starten.
- Kommandozeile als Administrator öffnen.
- Folgende Powershell-Befehle ausführen:
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SAVService" /t REG_DWORD /v Start /d 0x00000004 /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent" /t REG_DWORD /v Start /d 0x00000004 /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config" /t REG_DWORD /v SAVEnabled /d 0 /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config" /t REG_DWORD /v SEDEnabled /d 0 /f REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection" /t REG_DWORD /v Enabled /d 0 /f
Sophos Endpoints: Manipulationsschutz auf Mac deaktivieren
Methode: Deaktivierung ohne Zugriff auf Sophos Central über macOS-Terminal
- Terminal öffnen (Programme > Dienstprogramme > Terminal).
- Sophos Dienste beenden:
sudo launchctl unload /Library/LaunchDaemons/com.sophos.*
- Manipulationsschutz entfernen:
sudo rm -rf /Library/Sophos sudo rm -rf /Library/Application\ Support/Sophos sudo rm -rf /Library/LaunchDaemons/com.sophos.*
- System neu starten.
Globale Deaktivierung des Manipulationsschutzes für alle Endpoints
Diese Einstellung gilt für alle verwalteten Endpoints und sollte nur mit Bedacht genutzt werden.
- Anmeldung in Sophos Central.
- In der Sidebar Global Settings öffnen.
- Unter General Settings den Punkt Manipulationsschutz / Tamper Protection auswählen.
- Den Schutz über die entsprechende Option global deaktivieren.
Fazit: Manipulationsschutz nur im Notfall deaktivieren!
Der Manipulationsschutz in Sophos Central ist eine wichtige Sicherheitsfunktion, die unautorisierte Änderungen am Endpoint-Schutz verhindert. Daher sollte die Funktion wirklich nur in Notfällen deaktiviert werden und alsbald wieder aktiviert werden.
