Wenn auf einem System mit Sophos Endpoint Protection oder Sophos Central Endpoint Protection der Manipulationsschutz aktiv ist, das System jedoch seine Verbindung mit dem Central Server oder mit der Enterprise Console verloren hat bzw. aufgrund eines Fehlers nicht mehr in der Lage ist mit seinem Server zu kommunizieren, so muss der Manipulationsschutz manuell aufgehoben werden um das System wiederherzustellen.

Häuftig ist es auch der Fall, dass ein Gerät aus der Windows-Domäne entfernt wird um folgend als Stand-Alone-System weiter verwendet zu werden, oder ein Gerät zur Gänze ausscheidet. Fehler in der Netzwerkverbindung können auch zum beschriebenen Problem führen. Die beschriebenen Situationen haben gemein, dass der AntiVirus-Client nicht mehr verwaltbar ist, da die Kommunikation mit der Management-Komponente nicht mehr möglich ist.

Untenstehend finden Sie beschrieben, wie der Manipulationsschutz deaktiviert werden kann. Danach kann Sophos de-installiert oder auch neu installiert werden (je nach Anforderung).

Tipp: Wenn Sie bewusst ein System aus der Domäne etc. entfernen, deaktivieren Sie zuvor den Manipulationsschutz für dieses Gerät (Sophos Central) oder weisen Sie dem Gerät eine Manipulationsschutz-Richtlinie ohne aktiven Manipulationsschutz zu (On-Premise, Enterprise Console).

Lösung:
(Administrative Rechte vorausgesetzt)

Sophos Enterprise Console verwalteter Client

1. Windows im Abgesicherten Modus starten (teilweise können Sie diesen Punkt sogar auslassen).
2. WIN+R > services.msc > Rechtsklick auf Sophos Anti-Virus service > Eigenschaften > Auf Deaktiviert setzen > OK
3. WIN+R > regedit > OK
4. Zu folgenden Pfad in der Registrierung wechseln: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config
5. Folgenden DWORD-Wert auf 0 setzen: SAVEnabled und SEDEnabled
6. Zu folgendem Pfad in der Registrierung wechseln: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection und den REG_DWORD- Wert Enabled auf 0 setzen
7. System im normalen Modus neu starten

Sie haben nun wieder Zugriff und können den AntiVirus de-installieren (appwiz.cpl) . Für eine Neu-Installation sollten Sie das System natürlich nach der De-Installation neu starten.

Sophos Central verwalteter Client

1. Windows im Abgesicherten Modus starten (teilweise können Sie diesen Punkt sogar auslassen).
2. WIN+R > services.msc > Rechtsklick auf Sophos Anti-Virus service > Eigenschaften > Auf Deaktiviert setzen > OK
3. WIN+R > regedit > OK
4. Zu folgendem Pfad in der Registrierung wechseln: ```HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agen```` und den REG_DWORD Wert Start auf 0x00000004 setzen
5. Zu folgenden Pfad in der Registrierung wechseln: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Confi und REG_DWORD Wert SAVEnabled und SEDEnabled auf 0 setzen.
6. Zu folgenden Pfaden in der Registrierung wechseln (WOW6432 ist nur bei 64Bit vorhanden): HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\SAVService\TamperProtection und den REG_DWORD Wert Enabled auf 0 setzen
7. WIN+R > services.msc > Alle "Sophos xy" und "Hitman xy" Dienste stoppen

Sie haben nun wieder Zugriff und können den AntiVirus de-installieren (appwiz.cpl) . Für eine Neu-Installation sollten Sie das System natürlich nach der De-Installation neu starten.