Probleemoplossing voor beveiligde endpoints die geïsoleerd zijn geraakt met herstelmethoden

Downloadopties

  • PDF     (650.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (497.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (408.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 november 2022
Document-id:218064

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft het proces om een endpoint te herstellen met de Secure Endpoint-connector die is geïnstalleerd vanuit de isolatiemodus.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Secure Endpoint-connector
    • Secure Endpoint-console
    • Endpoint Isolation-functie

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Secure Endpoint console versie v5.4.2021092321
    • Secure Endpoint voor Windows-connector versie v7.4.5.20701
    • Secure Endpoint Mac-verbindingsversie v1.21.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De procedure die in dit document wordt beschreven, is handig in situaties waarin het eindpuntapparaat in deze toestand is vastgezet en het niet mogelijk is de isolatiemodus uit te schakelen.

    Endpoint isolation is een functie waarmee u netwerkactiviteit (IN en OUT) op een computer kunt blokkeren om bedreigingen zoals gegevensexfiltratie en malware-propagatie te voorkomen. Het is beschikbaar op:

    • 64-bits versies van Windows die versie 7.0.5 en hoger van de Windows-connector ondersteunen
    • Mac-versies die versie 1.21.0 en hoger van de Mac-connector ondersteunen. 


    Endpoint isolatiesessies hebben geen invloed op de communicatie tussen de connector en de Cisco-cloud. Er is hetzelfde niveau van bescherming en zichtbaarheid op uw eindpunten als voor de sessie. U kunt IP Isolation Allow Lists van adressen configureren om te voorkomen dat de connector de IP-adressen blokkeert terwijl een actieve endpointisolatiesessie actief is. U kunt hier meer gedetailleerde informatie over de functie Endpoint Isolation bekijken.

    Stoppen met isoleren

    Als u de Isolatie van het Endpoint op een computer wilt stoppen, voert u deze snelle stappen uit via de Secure Endpoint console of opdrachtregel.

    Isolatiesessie stoppen vanaf de console

    Om een isolatiesessie te stoppen en al het netwerkverkeer te herstellen naar een eindpunt.


    Stap 1. Navigeer in de console naar Management > Computers.
    Stap 2. Zoek de computer die u wilt stoppen met de isolatie en klik om de details weer te geven.
    Stap 3. Klik op de knop Isolatie stoppen, zoals in de afbeelding.

    stop isolation

    Stap 4. Voer opmerkingen in over de reden waarom u de isolatieoptie op het eindpunt hebt gestopt.

    Isolatiesessie stoppen vanaf de opdrachtregel

    Als een geïsoleerd eindpunt zijn verbinding met de Cisco-cloud verliest en u de isolatiesessie vanaf de console niet kunt stoppen. In deze situaties kunt u de sessie lokaal stoppen vanaf de opdrachtregel met de ontgrendelingscode.

    Stap 1. Navigeer in de console naar Management > Computers.

    Stap 2. Zoek de computer die u wilt stoppen met de isolatie en klik om de details weer te geven. 

    Stap 3. Let op de Unlock Code, zoals in de afbeelding.

    unlock code error2

    Stap 4. U kunt de Unlock Code ook vinden als u naar Account > Auditlogboek navigeert, zoals in de afbeelding wordt getoond.

    audit log, unlock code

    Stap 5. Open op de geïsoleerde computer een opdrachtprompt met administratorrechten.

    Stap 6. Navigeer naar de map waarin de connector is geïnstalleerd

    Windows: C:\Program Files\Cisco\AMP\[versienummer]

    Mac: /opt/cisco/amp

    Stap 7. De stopopdracht uitvoeren

    Windows: sfc.exe -n [unlock code]

    cmd unlcok

    Mac: ampcli isolate stop [unlock code]

    Waarschuwing: als de unlock code 5 keer onjuist is ingevoerd, moet u 30 minuten wachten voordat u nog een unlock poging doet.

    Probleemoplossing voor herstel

    Indien u alle wegen uitput en u nog steeds niet in staat bent om een geïsoleerd eindpunt te herstellen van de Secure Endpoint console of lokaal met de unlock code; u kunt het geïsoleerde eindpunt herstellen met de noodherstel methoden. 

    Mac-herstel:

    Verwijder de isolatieconfiguratie en start de Secure Endpoint Service opnieuw

    sudo rm /Library/Application\ Support/Cisco/Secure\ Endpoint/endpoint_isolation.xml
    sudo launchctl unload /Library/LaunchDaemons/com.cisco.amp.daemon.plist
    sudo launchctl load /Library/LaunchDaemons/com.cisco.amp.daemon.plist

    Windows Herstel:

    Herstel Isolatiemethode vanaf de opdrachtregel

    In situaties waar uw eindpuntapparaat in isolatie wordt vastgeplakt en het niet mogelijk is om isolatie via de Secure Endpoint console of met de unlock code uit te schakelen, doe deze stappen.

    Stap 1. Stop de aansluitservice via de gebruikersinterface van de connector of Windows Services.

    Stap 2. Zoek de Secure Endpoint connector-service en stop de service.

    Stap 3. Open op de geïsoleerde computer een opdrachtprompt met administratorrechten.

    Stap 4. Voer de opdracht reg verwijderen "HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect" /v "unlock_code" /f zoals in de afbeelding.

    reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect" /v "unlock_code" /f

    hkey unlock

    Stap 5. Het bericht De met succes voltooide bewerking geeft aan dat de bewerking is voltooid. (Als een ander bericht wordt weergegeven, zoals "Fout: Toegang wordt geweigerd", moet u de Secure Endpoint connector service stoppen voordat u de opdracht uitvoert.)

    Stap 6. Start de Secure Endpoint connector-service.

    Tip: Als u de Secure Endpoint connector service niet kunt stoppen via de connector-gebruikersinterface of Windows Services, kunt u een Safe-boot doen. 

    Ga op het geïsoleerde eindpunt naar Systeemconfiguratie > Opstarten > Opstartopties en selecteer Veilig opstarten, zoals in de afbeelding.

    safe boot

    Herstel isolatiemethode zonder de opdrachtregel

    Als uw endpointapparaat in isolatie vastzit en het niet mogelijk is om isolatie via de Secure Endpoint console of met de unlock code uit te schakelen of zelfs als u de opdrachtregel niet kunt gebruiken, doe dan de volgende stappen:

    Stap 1. Stop de aansluitservice via de gebruikersinterface van de connector of Windows Services.

    Stap 2. Navigeer naar de map waarin de connector is geïnstalleerd (C:\Program Files\Cisco\AMP\) en verwijder het bestand jobs.db, zoals in de afbeelding.

    file name jobs

    3. Start de computer opnieuw op.

    Daarnaast, als u de Isolatie-gebeurtenis in de console ziet, kunt u naar Error Details navigeren om de foutcode en de beschrijving ervan te bekijken, zoals in de afbeelding.

    error_code

    Verifiëren

    Om te verifiëren dat het eindpunt zich weer in de isolatie bevindt of niet langer geïsoleerd is, kunt u de gebruikersinterface van de Secure Endpoint-connector zien om de isolatiestatus weer te geven als niet geïsoleerd, zoals in het beeld wordt weergegeven.

    user interface

    Vanuit de Secure Endpoint console, als u navigeert in Management > Computers, en de computer in kwestie vindt, kunt u klikken om details weer te geven. De isolatiestatus wordt niet weergegeven als geïsoleerd, zoals in het beeld wordt weergegeven.

    console event

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    02-Nov-2022
    Toegevoegd: Mac versie, Mac stop commando, Mac recovery methode
    1.0
    19-Aug-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Brenda Marquez
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten