Recuperar un sistema protegido contra manipulaciones

Contraseña de protección contra manipulaciones de terminales y servidores eliminados

Si el equipo fué eliminado recientemente de Sophos Central, es posible que la contraseña de protección contra manipulaciones aún se encuentre disponible. Por favor, consulte Sophos Central Admin: recuperar contraseñas de protección contra manipulaciones.

Nota:

  • La contraseña en la parte superior de la lista es la más reciente y se puede usar para autenticarse en el punto final o servidor local, lo que permite el acceso a la Configuración y la opción de desactivar la Protección contra manipulaciones.
  • El informe mostrará los puntos finales y los servidores que se han eliminado durante los 90 días anteriores. Para conservar los datos más allá del período de 90 días, puede exportar los informes para sus propios registros.

Recomendamos utilizar varios métodos para desactivar la protección contra manipulaciones en un dispositivo Windows, como se detalla en el artículo Sophos Endpoint: Desactivar la protección contra manipulaciones.

Protección contra manipulaciones en el registro

Realice los siguientes pasos de recuperación si todos los demás métodos no son viables.

Windows 10 y posteriores y Windows Server 2012 y posteriores

  1. Para Windows 10, Windows Server 2016 y 2019, vaya a Configuración, Actualización y seguridad, Recuperación en Inicio avanzado y haga clic en Reiniciar ahora.
This image has an empty alt attribute; its file name is 88MYxaHe7Qcj.png

Para Windows Server 2012, reinicie hasta la recuperación manteniendo presionada la tecla Shift en su teclado, haciendo clic en Encendido y luego haciendo clic en Reiniciar.

This image has an empty alt attribute; its file name is JhjAIAOWiggj.png
  1. En Elegir una opción, haga clic en Solucionar problemas, luego haga clic en Opciones avanzadas y Símbolo del sistema:
This image has an empty alt attribute; its file name is LcMKKp4vBEu9.png

Nota: Hay casos en los que las opciones avanzadas no están disponibles. Puede acceder a medios de recuperación, como un ISO, como opción alternativa.

  1. Después del reinicio, seleccione una cuenta administrativa para continuar e ingrese la contraseña.
  2. Abra el símbolo del sistema.
  3. Escriba C: y presione Entrar. Nota: Su unidad de arranque puede diferir de C. Si es así, use DiskPart y use list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
  4. Escriba cd Windows\System32\drivers y presione Entrar.
  5. Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
  6. Escriba exit y presione Entrar.
  7. Haga clic en Continuar.
  8. Una vez de regreso en Windows, abra el Editor del Registro.
  9. Haga una copia de seguridad del registro.
  10. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
  11. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).

    Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).

    Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
  12. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
  13. Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.

Windows Server Core Edition 2012 y posterior

  1. Escriba bcdedit /set {bootmgr} displaybootmenu yes y presione Entrar.
  2. Escriba shutdown /r /t 00 y presione Entrar para reiniciar el servidor inmediatamente.
  3. Cuando el servidor reinicie en el Administrador de arranque de Windows, presione F8 y seleccione Reparar su computadora.
  4. Seleccione Solucionar problemas y luego seleccione Símbolo del sistema.
  5. Seleccione una cuenta administrativa para continuar e ingrese la contraseña.
  6. Escriba C: y presione Entrar. Nota: Su unidad de arranque puede diferir de C. Si es así, use DiskPart con list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
  7. Escriba cd Windows\System32\drivers y presione Entrar.
  8. Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
  9. Escriba bcdedit /set {bootmgr} displaybootmenu no y presione Entrar.
  10. Escriba exit y presione Entrar.
  11. Seleccione Continuar.
  12. Inicie sesión en el servidor e inicie regedit para abrir el Editor del Registro.
  13. Haga una copia de seguridad del registro.
  14. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
  15. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).

    Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).

    Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
  16. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
  17. Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.

Windows 7 y Windows Server 2008 R2

  1. Encienda o reinicie el punto final o el servidor.
  2. Presione F8 para abrir Opciones de arranque avanzadas.
  3. Seleccione Reparar su computadora y presione Entrar.
  4. En la pantalla Opciones de recuperación del sistema, seleccione un idioma y un método de entrada de teclado y haga clic en Siguiente.
  5. Seleccione una cuenta administrativa local para iniciar sesión y haga clic en Aceptar.
  6. En Opciones de recuperación del sistema, haga clic en Símbolo del sistema:

    
  7. Abra el símbolo del sistema con privilegios de administrador.
  8. Escriba D: y presione Entrar. Nota: Su unidad de arranque puede diferir de D. Si es así, use un comando como DiskPart y use list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
  9. Escriba cd Windows\System32\drivers y presione Entrar.
  10. Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
  11. Escriba exit y presione Entrar.
  12. Haga clic en Reiniciar.
  13. Una vez de regreso en Windows, abra el Editor del Registro.
  14. Haga una copia de seguridad del registro.
  15. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
  16. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).

    Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).

    Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
  17. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
  18. Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.

Windows XP y 2003 Server

NOTA: Estas plataformas NO son soportadas por Sophos. Las indicaciones mostradas podrían no ser exactas o no funcionar del todo.

  1. Inicie el equipo an modo seguro.
  2. Presione Inicio, después Ejecutar y escriba services.msc. Confirme con Entrar o haga click en Aceptar.
  3. Busque el servicio Sophos Anti-Virus y haga click sobre el.
  4. Del menú contextual, seleccione Propiedades y en la pestaña General seleccione Deshabilitado en Tipo de inicio. Puede cerrar el gestor de servicios.
  5. De nuevo, presione Inicio, después Ejecutar y escriba regedit. Confirme con Entrar o haga click en Aceptar.
  6. En el editor de registro, cambie la siguiente ubicación: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca el valor Start de tipo REG_DWORD en 0x00000004
  7. Después, en el editor de registro, cambie la siguiente ubicación: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca and set the following SAVEnabled de tipo REG_DWORD en 0.
  8. Finalmente, en el editor de registro, ir a la ubicación HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection en 0.
  9. Ahora reinicie el sistema en modo normal.