Categoría: Central

Al realizar su compra de suscripciones de firewall, recibió un certificado de licencia, en el cual se le indica, entre otras cosas, el número de serie de su dispositivo, su identificador de licencia (License ID), fechas de vigencia, y principalmente, la llave de suscripción relacionada con éste. El certificado se verá de una forma similar a ésto:

Es posible que, dependiendo de las condiciones de la compra, baste con sincronizar su licencia en el firewall, para que éste tome en cuenta las suscripciones y la vigencia. Puede encontrar información sobre la aplicación local de las licencias y sincronización en éste artículo.

Si después de sincronizar no puede observar sus suscripciones adquiridas, entonces deberá aplicarlas. En éste documento le explicamos como hacerlo desde Sophos Central.

1. Acceda a su cuenta en el portal de Sophos Central, https://central.sophos.com/. Una vez dentro, acceda al menú de su perfil presionando el ícono ubicado en la esquina superior derecha:

2. Luego, acceda a la sección Licensing, y después seleccione Firewall Licenses:

3. Del listado de equipos, encuentre el correspondiente a su certificado de licencia y haga click sobre la flecha > para visualizar el estado de su licenciamiento. Después, haga click sobre Apply subscriptions para ingresar su llave de suscripción:

4. Una vez ingresada, presione el botón Preview subscription y verifique si la llave de suscripción ingresada coincide con lo indicado en su certificado de licencia. Si es así, acepte la suscripción. De lo contrario, le recomendamos cancelar el procedimiento antes de aceptar y ponerse en contacto con su ejecutivo de ventas.

5. Finalmente, acceda a su dispositivo y verifique si la licencia ya fué aplicada al mismo. De no ser así, puede sincronizar de nuevo su licencia, después de lo cual la licencia ya debería mostrarse disponible.

En caso de que tenga problemas para aplicar su licencia, puede acudir al equipo de soporte NetX.

Contraseña de protección contra manipulaciones de terminales y servidores eliminados

Si el equipo fué eliminado recientemente de Sophos Central, es posible que la contraseña de protección contra manipulaciones aún se encuentre disponible. Por favor, consulte Sophos Central Admin: recuperar contraseñas de protección contra manipulaciones.

Nota:

• La contraseña en la parte superior de la lista es la más reciente y se puede usar para autenticarse en el punto final o servidor local, lo que permite el acceso a la Configuración y la opción de desactivar la Protección contra manipulaciones.
• El informe mostrará los puntos finales y los servidores que se han eliminado durante los 90 días anteriores. Para conservar los datos más allá del período de 90 días, puede exportar los informes para sus propios registros.

Recomendamos utilizar varios métodos para desactivar la protección contra manipulaciones en un dispositivo Windows, como se detalla en el artículo Sophos Endpoint: Desactivar la protección contra manipulaciones.

Protección contra manipulaciones en el registro

Realice los siguientes pasos de recuperación si todos los demás métodos no son viables.

Windows 10 y posteriores y Windows Server 2012 y posteriores

1. Para Windows 10, Windows Server 2016 y 2019, vaya a Configuración, Actualización y seguridad, Recuperación en Inicio avanzado y haga clic en Reiniciar ahora.

Para Windows Server 2012, reinicie hasta la recuperación manteniendo presionada la tecla Shift en su teclado, haciendo clic en Encendido y luego haciendo clic en Reiniciar.

2. En Elegir una opción, haga clic en Solucionar problemas, luego haga clic en Opciones avanzadas y Símbolo del sistema:

Nota: Hay casos en los que las opciones avanzadas no están disponibles. Puede acceder a medios de recuperación, como un ISO, como opción alternativa.

3. Después del reinicio, seleccione una cuenta administrativa para continuar e ingrese la contraseña.
4. Abra el símbolo del sistema.
5. Escriba C: y presione Entrar. Nota: Su unidad de arranque puede diferir de C. Si es así, use DiskPart y use list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
6. Escriba cd Windows\System32\drivers y presione Entrar.
7. Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
8. Escriba exit y presione Entrar.
9. Haga clic en Continuar.
10. Una vez de regreso en Windows, abra el Editor del Registro.
11. Haga una copia de seguridad del registro.
12. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
13. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).
    
    Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).
    
    Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
    
14. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
15. Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.

Windows Server Core Edition 2012 y posterior

1. Escriba bcdedit /set {bootmgr} displaybootmenu yes y presione Entrar.
2. Escriba shutdown /r /t 00 y presione Entrar para reiniciar el servidor inmediatamente.
3. Cuando el servidor reinicie en el Administrador de arranque de Windows, presione F8 y seleccione Reparar su computadora.
4. Seleccione Solucionar problemas y luego seleccione Símbolo del sistema.
5. Seleccione una cuenta administrativa para continuar e ingrese la contraseña.
6. Escriba C: y presione Entrar. Nota: Su unidad de arranque puede diferir de C. Si es así, use DiskPart con list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
7. Escriba cd Windows\System32\drivers y presione Entrar.
8. Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
9. Escriba bcdedit /set {bootmgr} displaybootmenu no y presione Entrar.
10. Escriba exit y presione Entrar.
11. Seleccione Continuar.
12. Inicie sesión en el servidor e inicie regedit para abrir el Editor del Registro.
13. Haga una copia de seguridad del registro.
14. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
15. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).
    
    Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).
    
    Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
    
16. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
17. Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.

Windows 7 y Windows Server 2008 R2

1. Encienda o reinicie el punto final o el servidor.
2. Presione F8 para abrir Opciones de arranque avanzadas.
3. Seleccione Reparar su computadora y presione Entrar.
   
4. En la pantalla Opciones de recuperación del sistema, seleccione un idioma y un método de entrada de teclado y haga clic en Siguiente.
5. Seleccione una cuenta administrativa local para iniciar sesión y haga clic en Aceptar.
6. En Opciones de recuperación del sistema, haga clic en Símbolo del sistema:
   
   
7. Abra el símbolo del sistema con privilegios de administrador.
8. Escriba D: y presione Entrar. Nota: Su unidad de arranque puede diferir de D. Si es así, use un comando como DiskPart y use list volume para mostrar los volúmenes disponibles. Puede salir de DiskPart con exit.
9. Escriba cd Windows\System32\drivers y presione Entrar.
10. Escriba ren SophosED.sys SophosED.sys.old y presione Entrar.
11. Escriba exit y presione Entrar.
12. Haga clic en Reiniciar.
13. Una vez de regreso en Windows, abra el Editor del Registro.
14. Haga una copia de seguridad del registro.
15. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca la Información del valor de Start en 0x00000004
16. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services y en cada subclave de esta ubicación, establezca la Información de valor de Protected en 0 (cero).
    
    Ejemplo: vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Services\hmpalert y establezca la Información del valor de Protected en 0 (cero).
    
    Si lo desea, puede utilizar este archivo para modificar todos los valores en un solo movimiento. Solamente descárguelo, cambie su extensión a .reg y ejecútelo bajo el administrador de archivos de Windows. Este archivo solo es utilizable en Windows 7, 2008R2 y posteriores.
    
17. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca la Información del valor de SEDEnabled en 0 (cero).
18. Reinicie el terminal o el servidor para desactivar completamente la protección contra manipulaciones.

Windows XP y 2003 Server

NOTA: Estas plataformas NO son soportadas por Sophos. Las indicaciones mostradas podrían no ser exactas o no funcionar del todo.

1. Inicie el equipo an modo seguro.
2. Presione Inicio, después Ejecutar y escriba services.msc. Confirme con Entrar o haga click en Aceptar.
3. Busque el servicio Sophos Anti-Virus y haga click sobre el.
4. Del menú contextual, seleccione Propiedades y en la pestaña General seleccione Deshabilitado en Tipo de inicio. Puede cerrar el gestor de servicios.
5. De nuevo, presione Inicio, después Ejecutar y escriba regedit. Confirme con Entrar o haga click en Aceptar.
6. En el editor de registro, cambie la siguiente ubicación: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent y establezca el valor Start de tipo REG_DWORD en 0x00000004
7. Después, en el editor de registro, cambie la siguiente ubicación: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config y establezca and set the following SAVEnabled de tipo REG_DWORD en 0.
8. Finalmente, en el editor de registro, ir a la ubicación HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection en 0.
9. Ahora reinicie el sistema en modo normal.

Eventualmente, puede encontrar algún equipo con estado de salud “Cuestionable” (Rojo) en Sophos Central. Esto puede tener varias causas, pero la mas frecuente es malware encontrado y puesto en cuarentena que no ha podido ser limpiado automáticamente.

Puede tomar ésto como ejemplo:

En éste caso, todos los servicios de Sophos se encuentran en ejecución hasta el último reporte (una hora antes). Sin embargo, se identifica el estado de salud en cuestionable ya que se ha encontrado malware o aplicaciones potencialmente no deseadas, y éstas fueron colocadas en cuarentena.

No debe alarmarse: si Sophos detectó malware, no permitirá su ejecución. Sin embargo, en ocasiones es necesario realizar acciones extras para descartar amenaza alguna.

En éste ejemplo, una de las amenazas fué encontrada en un archivo zip. Ya que el contenedor zip por si mismo no es malicioso, sino uno de los archivos en él, no es posible eliminar solamente dicho archivo sin alterar la integridad del contenedor ZIP. Un administrador tendrá entonces que asegurar el archivo para determinar la acción a realizar, la cual generalmente es eliminar el contenedor zip completo.

En el segundo ejemplo, se encontró malware en un archivo “.LNK”, extensión usada generalmente por sistemas operativos Microsoft Windows© para los atajos o shortcuts, y que ha sido utilizado para contener malware. En éste caso, parece tratarse de una unidad extraíble que, potencialmente, puede estar protegida contra escritura. Siendo así, el producto no podrá eliminar el archivo.

En cualquier caso, conviene que un administrador de seguridad conduzca una investigación para verificar que la amenaza haya sido contenida debidamente, y una vez que ésta sea resuelta, podrá indicárselo a Sophos Central a través de la misma interfaz, en la opción “Select Action” junto a cada registro de amenaza:

Cuando la amenaza haya sido resuelta, el estado del equipo cambiará a un estado saludable (Verde).

En caso de que le sea requerido por su ingeniero de soporte, puede ser necesario habilitar el acceso a NetX a su cuenta de Sophos Central para proporcionar soporte a sus productos Sophos.

Si es así, tendrá que realizar los pasos siguientes:

• Acceder a su cuenta en Sophos Central.
  
• Validar que NetX sea su canal asignado:

• Habilitar el acceso de NetX para asistencia en su cuenta de Sophos Central:

• Una vez habilitado el soporte para NetX, el ingeniero de soporte podrá acceder a su consola de configuración en Sophos Central.
  
• Dependiendo del soporte requerido, es posible que le sea requerido habilitar la Asistencia Remota para Sophos, para lo cual deberá además habilitar la opción “Remote Assistance“. Cuando Sophos se lo solicite, también deberá proporcionar el ID único para su instancia de Sophos Central, indicado en el párrafo “The unique ID for this Sophos Central account is“. Tome nota del identificador de 32 caracteres y proporciónelo al ingeniero de soporte que se lo solicite.