Rimozione manuale dell’isolamento di un Endpoint con ThreatDown
Questa
guida fornisce istruzioni passo-passo per rimuovere l’isolamento da un
endpoint (Windows) gestito da ThreatDown, quando non è possibile farlo
direttamente dalla console Oneview. L’isolamento può essere rimosso
direttamente dalla console, accedendo al dispositivo e cliccando su “Remove
Isolation”.
L’isolamento
blocca tutte le comunicazioni dell’endpoint tranne quelle con la console
ThreatDown.
Procedura
Per
rimuovere l’isolamento selezionate l’endpoint, cliccate sui 3 pallini in alto a
destra e selezionate “Launch Active Response Shell.”
Se l’Active
Response Shell (ARS) non è selezionabile è possibile che il vostro utente non
abbia i permessi per eseguire la shell.
Abilitare ARS
Per
abilitare il vostro utente ad accedere all’ARS andate in Configure → Users → selezionate il vostro utente → Actions (3 pallini) → Edit → abilitate Access to Active Response Shell e salvate cliccando su “Submit”.
Avvio Active Response Shell
Una volta
avviata l’ARS digita il comando: exec cmd.exe
Questo comando apre una sessione CMD locale sul dispositivo
isolato, successivamente ti basterà eseguire il seguente script:
- Lo script rimuove i riferimenti al componente di isolamento ThreatDown.
- Le chiavi di registro coinvolte appartengono ai Credential Provider e servizi interni associati alla protezione.
Dopo l’esecuzione il dispositivo tornerà a funzionare
correttamente, è consigliato eseguire un riavvio dopo averlo rimosso
dall’isolamento.
Related Articles
Requisiti e impostazioni del firewall per il funzionamento di ThreatDown
Affinché la comunicazione tra la console di ThreatDown by Malwarebytes e gli endpoint funzioni correttamente, è necessario configurare alcune esclusioni per il proprio firewall e per eventuali altri software di sicurezza. In questo articolo sono ...In quali modi posso installare un Endpoint ThreatDown?
Non c’è un solo modo per installare ThreatDown Endpoint Protection sulle proprie macchine. Il metodo più comune consiste nel copiare il file del programma di installazione sull’endpoint ed eseguirlo, ma si può anche eseguire un’installazione da riga ...Come funziona il Rollback di ThreatDown Endpoint Protection and Response?
La funzione di Rollback di ThreatDown by Malwarebytes (parte del modulo di Endpoint Protection and Response – EPR) è strettamente collegata alla funzionalità Attività Sospette (Suspicious activity). Per illustrarla è necessaria una descrizione del ...Come installare un endpoint su MacOSx dalla console OneView di ThreatDown?
Ci sono diversi metodi di installazione, che prevedono o meno l’utilizzo di script. Installazione a partire dal file di setup Il metodo di installazione più semplice consiste nel copiare un file d’installazione nell’endpoint ed eseguirlo. In questo ...Installazione di endpoint ThreatDown su sistemi operativi Linux
ThreatDown Endpoint Protection può essere installato anche su macchine Linux. Nella pagina Download nella console Oneview ci sono istruzioni su come impostare l’origine del repository in modo che punti al repository ThreatDown Linux. Per Ubuntu, ...