Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》Sophos Central測試記錄 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題  «12
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線
《分享》網站黑白名單設定引用回覆 編輯/刪除文章 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos Central的Policy有網頁防護控管,
依照Sophos的分類,定義了網頁類別的存取限制。

但若我們想要對某站台,進行黑白名單的限制,那該如何進行呢?

Sophos Central的自定義網頁類別在 CONFIGURE / System Settings / General Settings / Website Management 中。



我們可以按下Add按鈕來建立自行定義的網站。



然後在TAG中,增加自行定義的標籤。




自定義的網站標籤完成後,若該標籤網頁要套用到所有成員,
那我們可以在預設的 Base Policy,Web Control項目中,把這個新標籤加進去。





若是允許站台,其Action可選Allow;若是拒絕站台,其Action可選Block。



完成後,按下右上方Save儲存修改。



安裝Sophos Central的使用者在開啟這網站時,就會依照Action的動作放行或拒絕!




若只要對部分成員發生效果,
那我們可以新增一Policy,並指定對應成員,
然後在此新Policy的Web Control項目中,新增此標籤的對應規範即可發生效果∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2017-04-12, 17:43 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線
《分享》應用程式黑白名單設定引用回覆 編輯/刪除文章 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos Central其實並沒有應用程式的黑名單設定,
若要將某個合法、無毒的應用程式做限制,
順子認為要從AD的GPO來著手,從根本限制程式的安裝與執行。

但若我們想要針對某個被Sophos Central判斷為有問題的程式設定為白名單,允許其執行時,
那我們可以怎麼做?



若是要套用到全體成員,在Sophos Central上有兩個做法,
第一,設定Global Scanning Exclusions (全域掃描例外);
第二,在Base Policy上設定Threat Protection的Scanning Exclusions

  • Global Scanning Exclusions
    要設定全域的掃描例外請在 CONFIGURE / System Settings / Endpoint Protection 的Global Scanning Exclusions中進行。



    將要放行的程式名稱,或完整程式路徑與名稱進行設定。



    然後按下Save按鈕,就可以生效。



  • Base Policy的Threat Protection Scanning Exclusions
    若要在預設對全體成員都有效的Base Policy上進行例外設定,請點入Base Policy。



    然後在Threat Protection項目中,取消“Use recommended settings”的勾選,以進行個別子項目的編輯。



    拉到最下面,Scanning Exclusions的區塊,按下“Add Exclusion”



    將要放行的程式名稱,或完整程式路徑與名稱進行設定。



    然後按下右上方Save按鈕,讓設定生效。



    完成後,原本被Sophos Central判斷有問題的程式就可以執行了∼




同樣的,若只想針對某些成員進行開放,
那麼我們可以新增一條Policy,並指定對應成員,
然後在此新Policy的Threat Protection項目中,新增此程式的例外放行。





這樣,套用這條Policy的成員就可以順利執行此程式了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2017-04-12, 18:17 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線
《分享》Linux的安裝、防護引用回覆 編輯/刪除文章 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos Central號稱也支援Linux的防護,
那麼也讓順子來試試在上如何安裝與能進行何種防護。

在安裝上,登入Sophos Central後,請在 CONFIGURE / Protect Devices 的Server Protection下載Linux sh安裝檔。



然後在Linux中,切換到root權限,變更sh安裝檔的執行權限後,進行安裝。



安裝完成後,在Sophos Central就可以看到這台被保護的Linux電腦。




Sophos Central在Linux中能做到何種保護?
經順子測試,在Server Policy中提供的Peripheral Control與Web Control等安全防護全都無法發生效果!

Sophos Community 上提問後,官方給我一個啼笑皆非的回答,
這類安全防護主要是用於前端用戶,而Linux Desktop的用戶很少,所以在Linux上目前只支援基本的存取掃描防護。

若您有授權數量上的考量,基本上Linux就不要裝Sophos Central了,
以免吃了一個授權,又達不到預期的防護效果...


參考資料
如何在Linux上安裝Sophos Endpoint



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2017-04-18, 10:47 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線
《分享》安裝失敗,錯誤碼80041f19引用回覆 編輯/刪除文章 搜尋由 發表的其他文章 回報給版主 IP 位置 回此頁最上方

安裝Sophos Central EndPoint時,會檢查系統中有無衝突軟體。
如果有衝突軟體未能移除,就會出現錯誤碼80041f19的錯誤。



然後Sophos相關服務也會出現問題。



參考 Sophos KB 125402 查看如下路徑的log,可查到衝突軟體清單。

C:\WINDOWS\TEMP\avremove.log


以順子客戶的例子來說,該log內容如下。
...
12 May 2017 14:10:21 Info: Starting removal of Microsoft Security Client x64 version 4.9.0218.0
12 May 2017 14:10:21 Debug: Removing Microsoft Security Client x64 version 4.9.0218.0
12 May 2017 14:10:21 Info: Creating new process C:\Windows\System32\\MsiExec.exe /X {3061DCA5-2D0B-48F9-800F-9D7C1FEB5E78} /q REBOOT=ReallySuppress
12 May 2017 14:13:20 Info: Removal process ended normally: exit code 1603
12 May 2017 14:13:20 Debug: Opening key SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3061DCA5-2D0B-48F9-800F-9D7C1FEB5E78}
12 May 2017 14:13:20 Debug: Opening key SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3061DCA5-2D0B-48F9-800F-9D7C1FEB5E78} (64-bit)
12 May 2017 14:13:20 Debug: Key {3061DCA5-2D0B-48F9-800F-9D7C1FEB5E78} was found
12 May 2017 14:13:20 Failure: Removal of Microsoft Security Client x64 version 4.9.0218.0 failed
12 May 2017 14:13:20 Failure: Return code 1603
12 May 2017 14:13:20 Info: Competitor Removal Tool exit code 16
12 May 2017 14:13:20 Info: AVRemove finished. 1 product found, 0 products removed. Report logged to : C:\WINDOWS\TEMP\avremove.log
Sophos Anti-Virus software detector - Version 2.12.0.38
Copyright (C) 2003-2017 Sophos Limited. All rights reserved.
Running OS: Microsoft Windows 8 [Version 6.02.9200]
Removing detected products...
AVRemove finished. 1 product found, 0 products removed. Report logged to : C:\WINDOWS\TEMP\avremove.log

發現衝突的軟體為Microsoft Security Client。



參考另一個 KB 121447,依照以下指令來進行移除。
MsiExec.exe /I{...對應的機碼鍵值...}


成功移除衝突軟體後,Sophos EndPoint就可以成功安裝了∼






但在順子的案例中,移除掉Win10上的Microsoft Security Client並沒有那容易!
因為正常的Win10上是沒有Microsoft Security Client的,取而代之的應該是Defender。
且移除時出現了指定帳號已經存在而無法移除的特殊狀況!







再沒有其它辦法的情況下,順子做了最壞的處置,
備份Uninstall路徑下的對應機碼後,直接刪掉此機碼,
然後重新安裝Sophos EndPoint軟體。
幸運的解決了安裝失敗的問題∼

但直接刪機機碼並不是正規作法喔,
可以的話,還是要依照正常程序來移除衝突軟體喔!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
2017-05-16, 12:02 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
 «12   « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR