Visão geral
Este artigo contém informações sobre como detectar dispositivos duplicados, o que isso significa e as ações necessárias deste alerta.
Quando um dispositivo é registrado no Sophos Central, ele recebe uma ID individual usada como parte do mecanismo de gerenciamento e relatórios. Sob certas condições, por exemplo, dispositivos criados a partir de uma imagem dourada, se essa ID não for exclusiva, isso resultará em vários dispositivos usando a mesma ID, e apenas um registro aparecerá no Sophos Central. Cada vez que um desses dispositivos atualiza seu status, o mesmo registro no Sophos Central será atualizado.
Para evitar isso, os seguintes artigos foram criados aconselhando sobre as etapas necessárias para garantir que cada dispositivo obtenha uma ID exclusiva:
- Linux: Crie uma imagem Linux Gold – Sophos Central Admin
- Windows: Sophos Central Endpoint: Como instalar em uma imagem gold para evitar identidades duplicadas
Atualmente, detectamos dispositivos Windows, Mac e Linux que compartilham IDs e parecem ser clonados e, subsequentemente, os desduplicamos. Isso fará com que o dispositivo seja registrado novamente com um novo ID e apareça como um novo dispositivo no Sophos Central.
Produto e Meio Ambiente
- Ponto de extremidade central do Sophos
- Servidor Sophos Central
Identificando se um dispositivo possui detecção de duplicatas
O seguinte ocorre quando um dispositivo tem uma duplicata:
- Um alerta aparecerá no Painel do Sophos Central com a seguinte mensagem:
Duplicate device detection - A guia Eventos do dispositivo conterá a seguinte mensagem:
Device has been detected as a duplicate device; for more information, see knowledge base article 132029. - Os administradores receberão e-mails com o seguinte assunto:
[Medium] Alert for Sophos Central: We've detected a cloned device
Identificando quais dispositivos foram desduplicados
A guia Eventos do dispositivo afetado mostra a seguinte mensagem:
Device has been de-duplicated from: <DEVICENAME>. For more information, see knowledge base article 132029.
Coisas a verificar em um dispositivo desduplicado
Um dispositivo desduplicado receberá as mesmas políticas, associação de grupo e atribuição de produto do dispositivo do qual foi duplicado. Certifique-se de que os grupos, políticas e atribuições de produto do dispositivo desduplicado estejam corretos.
Posso excluir meu dispositivo que foi duplicado?
Recomendamos que você não exclua o dispositivo que foi duplicado. Isso ocorre porque, uma vez que o dispositivo é excluído, todos os outros dispositivos que compartilham o mesmo ID e seriam subsequentemente desduplicados não podem mais se comunicar com o Central ou ser gerenciados com sucesso por eles.
Você será alertado de que um dispositivo está duplicado para evitar que você o exclua acidentalmente no Central. Este alerta também tem uma caixa para selecionar para concluir a exclusão do dispositivo.
Prossiga com a exclusão se tiver certeza de que nenhum outro dispositivo está tentando se comunicar com o ID marcado para desduplicação. Recomendamos deixá-lo por pelo menos duas semanas, a menos que todos os sistemas sejam contabilizados.
Posso recuperar duplicatas de um dispositivo excluído se eles não puderem mais se comunicar com a Sophos?
Não. A única opção é reinstalar o Sophos nesses dispositivos.
Como isso afeta os ambientes VDI?
O mesmo processo de desduplicação abrange esses ambientes, mas pode se comportar de forma diferente de outros ambientes. Por exemplo, se a imagem gold tiver o Sophos Agent pré-instalado, toda vez que uma nova VM for criada a partir da imagem, ela será forçada a se registrar novamente. Além disso, se as VMs forem redefinidas para um snapshot diariamente ou quando um usuário fizer login/logout, nós as forçaremos a se registrar novamente sempre que isso ocorrer. Isso pode fazer parecer que estamos desduplicando dispositivos repetidamente, mas isso só acontece toda vez que uma nova VM é criada ou uma existente é redefinida para o snapshot. Dependendo da frequência com que isso acontece, isso se relaciona diretamente a quantos novos registros você pode ver no seu console Central.
Se você quiser excluir qualquer dispositivo, não exclua o inicialmente relatado como um dispositivo duplicado. Excluir o dispositivo errado impedirá que todas as VMs sejam gerenciadas pelo Central.
Observação : se você seguir as etapas em Sophos Central Endpoint: evite identidades duplicadas ao instalar em uma imagem gold , você ainda poderá ver mais dispositivos do que o esperado. Embora não os desdupliquemos quando redefinimos para instantâneo, um novo dispositivo será criado cada vez que uma nova VM for criada, o que é um comportamento esperado.
Isso afetará minhas instâncias da AWS ou VMs do Azure?
Sim, eles são cobertos pelos mesmos fluxos de trabalho de desduplicação. Os registros do servidor e da instância/VM não serão vinculados por um tempo, e o dispositivo será tratado como um servidor normal. Isso será resolvido quando as instâncias/VMs forem registradas e vinculadas a um novo registro do servidor.
Os artigos a seguir contêm etapas para evitar a duplicação de instâncias/VMs:
- Sophos Central Server: Instalando o Sophos em uma AWS AMI
- Sophos Central Server: Crie ou configure imagens para servidores Windows no Microsoft Azure
Há algum dispositivo que não será desduplicado?
Sim, há vários casos em que não desduplicaremos um dispositivo:
- Se vários dispositivos compartilharem o mesmo ID, mas com sistemas operacionais diferentes, o computador será detectado como duplicado, mas não será registrado novamente.
- Servidores Windows instalados e bloqueados com o Server Lockdown são excluídos deste processo.
Preciso seguir as orientações da Sophos para evitar que dispositivos duplicados sejam criados?
Embora desduplicaremos dispositivos, há casos detalhados acima em que não faremos isso, juntamente com situações em que a política atribuída pode não estar correta. Recomendamos seguir nossas diretrizes para evitar que dispositivos sejam duplicados em primeiro lugar e para evitar tais casos.
Ainda vejo alertas para dispositivos duplicados mesmo depois de seguir o conselho da Sophos
Imagens douradas podem ser atualizadas e usadas várias vezes (por exemplo, uma nova imagem é criada a cada seis meses). Se as diretrizes fornecidas pela Sophos não forem seguidas antes de criar cada nova imagem, a imagem dourada pode se registrar novamente e obter uma nova ID. Se a imagem for criada após esse processo, isso levará a que todos os dispositivos clonados usem a mesma ID.
Inscreva-se no Serviço de Notificação de Suporte da Sophos para receber alertas proativos por SMS sobre produtos Sophos e serviços Sophos Central.
