Inleiding
Dit document beschrijft het proces om een endpoint te herstellen met de Secure Endpoint-connector die is geïnstalleerd vanuit de isolatiemodus.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Secure Endpoint-connector
- Secure Endpoint-console
- Endpoint Isolation-functie
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Secure Endpoint console versie v5.4.2021092321
- Secure Endpoint voor Windows-connector versie v7.4.5.20701
- Secure Endpoint Mac-verbindingsversie v1.21.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
De procedure die in dit document wordt beschreven, is handig in situaties waarin het eindpuntapparaat in deze toestand is vastgezet en het niet mogelijk is de isolatiemodus uit te schakelen.
Endpoint isolation is een functie waarmee u netwerkactiviteit (IN en OUT) op een computer kunt blokkeren om bedreigingen zoals gegevensexfiltratie en malware-propagatie te voorkomen. Het is beschikbaar op:
- 64-bits versies van Windows die versie 7.0.5 en hoger van de Windows-connector ondersteunen
- Mac-versies die versie 1.21.0 en hoger van de Mac-connector ondersteunen.
Endpoint isolatiesessies hebben geen invloed op de communicatie tussen de connector en de Cisco-cloud. Er is hetzelfde niveau van bescherming en zichtbaarheid op uw eindpunten als voor de sessie. U kunt IP Isolation Allow Lists van adressen configureren om te voorkomen dat de connector de IP-adressen blokkeert terwijl een actieve endpointisolatiesessie actief is. U kunt hier meer gedetailleerde informatie over de functie Endpoint Isolation bekijken.
Stoppen met isoleren
Als u de Isolatie van het Endpoint op een computer wilt stoppen, voert u deze snelle stappen uit via de Secure Endpoint console of opdrachtregel.
Isolatiesessie stoppen vanaf de console
Om een isolatiesessie te stoppen en al het netwerkverkeer te herstellen naar een eindpunt.
Stap 1. Navigeer in de console naar Management > Computers.
Stap 2. Zoek de computer die u wilt stoppen met de isolatie en klik om de details weer te geven.
Stap 3. Klik op de knop Isolatie stoppen, zoals in de afbeelding.
Stap 4. Voer opmerkingen in over de reden waarom u de isolatieoptie op het eindpunt hebt gestopt.
Isolatiesessie stoppen vanaf de opdrachtregel
Als een geïsoleerd eindpunt zijn verbinding met de Cisco-cloud verliest en u de isolatiesessie vanaf de console niet kunt stoppen. In deze situaties kunt u de sessie lokaal stoppen vanaf de opdrachtregel met de ontgrendelingscode.
Stap 1. Navigeer in de console naar Management > Computers.
Stap 2. Zoek de computer die u wilt stoppen met de isolatie en klik om de details weer te geven.
Stap 3. Let op de Unlock Code, zoals in de afbeelding.
Stap 4. U kunt de Unlock Code ook vinden als u naar Account > Auditlogboek navigeert, zoals in de afbeelding wordt getoond.
Stap 5. Open op de geïsoleerde computer een opdrachtprompt met administratorrechten.
Stap 6. Navigeer naar de map waarin de connector is geïnstalleerd
Windows: C:\Program Files\Cisco\AMP\[versienummer]
Mac: /opt/cisco/amp
Stap 7. De stopopdracht uitvoeren
Windows: sfc.exe -n [unlock code]
Mac: ampcli isolate stop [unlock code]
Waarschuwing: als de unlock code 5 keer onjuist is ingevoerd, moet u 30 minuten wachten voordat u nog een unlock poging doet.
Probleemoplossing voor herstel
Indien u alle wegen uitput en u nog steeds niet in staat bent om een geïsoleerd eindpunt te herstellen van de Secure Endpoint console of lokaal met de unlock code; u kunt het geïsoleerde eindpunt herstellen met de noodherstel methoden.
Mac-herstel:
Verwijder de isolatieconfiguratie en start de Secure Endpoint Service opnieuw
sudo rm /Library/Application\ Support/Cisco/Secure\ Endpoint/endpoint_isolation.xml
sudo launchctl unload /Library/LaunchDaemons/com.cisco.amp.daemon.plist
sudo launchctl load /Library/LaunchDaemons/com.cisco.amp.daemon.plist
Windows Herstel:
Herstel Isolatiemethode vanaf de opdrachtregel
In situaties waar uw eindpuntapparaat in isolatie wordt vastgeplakt en het niet mogelijk is om isolatie via de Secure Endpoint console of met de unlock code uit te schakelen, doe deze stappen.
Stap 1. Stop de aansluitservice via de gebruikersinterface van de connector of Windows Services.
Stap 2. Zoek de Secure Endpoint connector-service en stop de service.
Stap 3. Open op de geïsoleerde computer een opdrachtprompt met administratorrechten.
Stap 4. Voer de opdracht reg verwijderen "HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect" /v "unlock_code" /f zoals in de afbeelding.
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect" /v "unlock_code" /f
Stap 5. Het bericht De met succes voltooide bewerking geeft aan dat de bewerking is voltooid. (Als een ander bericht wordt weergegeven, zoals "Fout: Toegang wordt geweigerd", moet u de Secure Endpoint connector service stoppen voordat u de opdracht uitvoert.)
Stap 6. Start de Secure Endpoint connector-service.
Tip: Als u de Secure Endpoint connector service niet kunt stoppen via de connector-gebruikersinterface of Windows Services, kunt u een Safe-boot doen.
Ga op het geïsoleerde eindpunt naar Systeemconfiguratie > Opstarten > Opstartopties en selecteer Veilig opstarten, zoals in de afbeelding.
Herstel isolatiemethode zonder de opdrachtregel
Als uw endpointapparaat in isolatie vastzit en het niet mogelijk is om isolatie via de Secure Endpoint console of met de unlock code uit te schakelen of zelfs als u de opdrachtregel niet kunt gebruiken, doe dan de volgende stappen:
Stap 1. Stop de aansluitservice via de gebruikersinterface van de connector of Windows Services.
Stap 2. Navigeer naar de map waarin de connector is geïnstalleerd (C:\Program Files\Cisco\AMP\) en verwijder het bestand jobs.db, zoals in de afbeelding.
3. Start de computer opnieuw op.
Daarnaast, als u de Isolatie-gebeurtenis in de console ziet, kunt u naar Error Details navigeren om de foutcode en de beschrijving ervan te bekijken, zoals in de afbeelding.
Verifiëren
Om te verifiëren dat het eindpunt zich weer in de isolatie bevindt of niet langer geïsoleerd is, kunt u de gebruikersinterface van de Secure Endpoint-connector zien om de isolatiestatus weer te geven als niet geïsoleerd, zoals in het beeld wordt weergegeven.
Vanuit de Secure Endpoint console, als u navigeert in Management > Computers, en de computer in kwestie vindt, kunt u klikken om details weer te geven. De isolatiestatus wordt niet weergegeven als geïsoleerd, zoals in het beeld wordt weergegeven.
Gerelateerde informatie