Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 7 replies
  • Answers 1 answer
  • Subscribers 2 subscribers
  • Views 6311 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Client blocken bei nicht vorhandener Endpoint Protection

Kekschen

Guten Tag,

ist es möglich einen Client vom Netzwerk auszuschließen solange die Sophos Endpoint Protection nicht installiert ist?

Hintergrund ist folgender: Wir haben hier jemanden der es geschafft hat die Sophos Endpoint Protection zu manipulieren und zu deaktivieren (trotz Manipulationsschutz).

Wahrscheinlich durch irgendeine Boot CD oder Ähnliches. 

 

Da ist mir die Idee gekommen das die Sophos UTM ja einen Client (IP/MAC Adress) solange sperren kann bis die Endpoint Protection entdeckt wurde. Ist das möglich mit NAC?

Es muss auch möglich sein Bestimmte Geräte wie IP Telefone oder IP Drucker davon auszuschließen.

 

 

Gruß

 



This thread was automatically locked due to age.
Parents
  • 0

    Nein das ist so nicht möglich. Die UTM hat keine Möglichkeit zu schauen ob auf dem Client etwas installiert ist oder nicht.

    Wichtiger für dich wäre aus meiner Sicht raus zu finden wie jemand die Endpoint-Protecion abschalten konnte.

    Ich würde hier mal vermuten das hier jemand das Admin-Passwort hat... und würde dir dringend empfehlen für alle Admin-Accounts das Passwort zu ändern.

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • 0 in reply to zaphod

    Danke für deine Antwort. Das ist ziemlich schade. Ich werde das auf jeden Fall mal als Verbesserungsvorschlag einreichen.

     

    Ich schätze mal das ist ziemlich einfach. Es gibt genug Boot Disks die Zugang zum Betriebssystem/Registry etc. verschaffen oder eines der vordefinierten Konten wie den "Administrator" zu aktivieren und das Kennwort zu ändern. Die Ordner von Sophos unter Programme waren noch drin. Nur gab es keine Einträge mehr z.B. in msconfig unter den Diensten bspw.

    Wir haben ja alles über Device Control etc. gesperrt, USB Ports, Optische Laufwerke usw. Bei einem Rechnerstart hat dies natürlich keinerlei Wirkung. BIOS Kennwort bringt nichts zum CD ROM Boot deaktivieren; da nimmt man 5 min die Batterie raus und kommt ohne Kennwort ins Bios.

    Wenn wir jeden PC jetzt in einen Käfig sperren müssen bräuchten wir auch keine Device Control Funktion mehr.

     

    Gruß

     

     

  • 0 in reply to Kekschen

    hmm ja an deiner Antwort merke ich schon das ihr schon recht viel versucht habt ;-)

    Physikalischen Zugriff unterbinden ist meist eins der effektivsten Mittel... sonst greifen die BIOS-Einstellungen nunmal nicht...

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • 0 in reply to zaphod

    Okay ich habe das mal als Verbesserungsvorschlag eingereicht, weil ich finde dies ist schon eine erhebliche Sicherheitslücke.

  • 0 in reply to Kekschen

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    It took me about two hours to build a script from How to uninstall Sophos Endpoint Security and Control from the command line or with a batch file.  I have a client that's changing from UTM Endpoint to Cloud Endpoint.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

    der Link funktioniert leider nicht.

     

    Your link doesn't work.

     

    Server Error in '/' Application

  • 0 in reply to Kekschen

    Ich habe den repariert - kannst nun hingehen. [:)]

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply Children
No Data