Befehlszeilenparameter für den Installer für Windows

Weitere Informationen zu Sophos Central finden Sie unter Häufig gestellte Fragen (FAQs).

Informationen zu den Installern finden Sie hier:

• Häufig gestellte Fragen zum Installer für neue Endpoints
• Meldungen zur Vorprüfung des Installers
• Es konnte keine Internetverbindung hergestellt werden

Befehlszeilenparameter

Sie können die folgenden Befehlszeilenparameter mit dem Sophos Central-Installationsprogramm für Windows verwenden.

Quiet

Führt das Installationsprogramm aus, ohne die Benutzeroberfläche anzuzeigen.

--quiet

Keine Proxy-Erkennung

Versucht nicht, die automatische Proxy-Erkennung durchzuführen.

--noproxydetection

Keine Entfernung von Fremdsoftware

Versucht nicht, Fremdsoftware automatisch zu entfernen. (Nur bei Installation von Sophos Anti-Virus)

--nocompetitorremoval

Sprache

Ermöglicht das manuelle Einstellen der Installationssprache. Standardmäßig verwendet das Installationsprogramm die Systemsprache.

--language=<ID>

Nachgestelltes Argument

Ersetzen Sie <ID> durch die Sprach-ID. Siehe Sprach-IDs.

Gruppe

Gibt die Sophos Central-Gerätegruppe an, mit der das Gerät verbunden werden soll. Sie können diese Option auch verwenden, um einer Untergruppe Geräte hinzuzufügen.

Backslashs geben eine Gruppenhierarchie an. Sie müssen Anführungszeichen für alle Gruppen verwenden, die Leerzeichen in ihren Namen haben.

--devicegroup=<group>

--devicegroup=<group><subgroup>

Nachgestelltes Argument

Ersetzen Sie <group> und <subgroup> durch den Namen der beizutretenden Sophos Central-Gruppe und -Untergruppe. Wenn sie nicht existiert, wird sie erstellt.

CRT-Katalogpfad

Ermöglicht es Ihnen, Ihren eigenen Katalog von Fremdsoftware anzugeben, die entfernt werden soll.

--crtcatalogpath=<path>

Nachgestelltes Argument

Ersetzen Sie <path> durch den vollständigen Pfad zur benutzerdefinierten Katalogdatei.

Message Relay

Gibt eine Liste der zu verwendenden Message Relays an.

--messagerelays=<IPs>

Nachgestelltes Argument

Ersetzen Sie <IPs> durch eine durch Kommas getrennte Liste von Message Relays. Geben Sie für jedes Message Relay den Hostnamen oder die IP-Adresse gefolgt von : und der Portnummer an. Standardmäßig ist der Port 8190.

Server-Standorte von Sophos Central

Gibt die Server-Standorte von Sophos Central an, mit denen eine Verbindung hergestellt werden soll.

--epinstallerserver=<URL>

Nachgestelltes Argument

Ersetzen Sie <URL> durch den vollständig qualifizierten Servernamen, der in der CSV-Datei von Sophos Central Partner angegeben ist.

Proxy-Adresse

Gibt einen benutzerdefinierten Proxy an, der verwendet werden soll.

--proxyaddress=myproxy.local:8080

Nachgestelltes Argument

Hostname oder IP-Adresse gefolgt von : und Portnummer.

Proxy-Konfiguration

Verwenden Sie eine PAC-Datei (Proxy Auto-Configuration) zum Installieren.

--pacurl=<URL>

Nachgestelltes Argument

Ersetzen Sie <URL> durch die URL einer PAC-Datei.

Proxy-Benutzername

Gibt einen Proxy-Benutzernamen an, wenn der Proxy-Server eine Authentifizierung erfordert. Für authentifizierte Proxys wird auf Windows-Endpoints nur Digest-Authentifizierung unterstützt. Geben Sie für unauthentifizierte Proxy-Server keinen Proxy-Benutzernamen an.

--proxyusername=<user>

Nachgestelltes Argument

Ersetzen Sie <user> durch den Benutzernamen des Proxys.

Proxy-Kennwort

Wenn ein benutzerdefinierter Proxy und Benutzername angegeben wurden, legen Sie das Kennwort mit diesem Parameter fest.

--proxypassword=<pw>

Nachgestelltes Argument

Ersetzen Sie <pw> durch das Passwort für den Proxy.

Überschreiben des Computernamens

Überschreibt den Namen des Geräts, der in Sophos Central verwendet werden soll.

--computernameoverride=<name>

Nachgestelltes Argument

Ersetzen Sie <name> durch den benutzerdefinierten Computernamen.

Überschreiben des Domainnamens

Überschreibt den Domainnamen des Geräts, das in Sophos Central verwendet werden soll.

--domainnameoverride=<domain>

Nachgestelltes Argument

Ersetzen Sie <domain> durch den benutzerdefinierten Domänennamen.

Kunden-Token

Gibt das Token des Sophos Central-Kunden an, mit dem das Gerät verknüpft werden soll.

--customertoken=<UUID>

Nachgestelltes Argument

Ersetzen Sie <UUID> durch die UUID, die einem Kunden zugeordnet ist.

Zu installierende Produkte

Gibt eine Liste der zu installierenden Produkte an. Wenn Sie ein Produkt angeben, für das Sie keine Lizenz besitzen, wird es nicht installiert.

--products=<products>

Nachgestelltes Argument

Ersetzen Sie <products> durch das oder die zu installierenden Produkte. Falls es mehr als ein Produkt gibt, listen Sie diese durch Kommas getrennt auf.

Folgende Optionen stehen zur Verfügung: endpoint, xdr, xdr sensor, deviceEncryption, ztna, all, oder none.

• endpoint installiert lediglich einen Malware-Schutz. Es beinhaltet keine XDR-Funktionen (Extended Detection and Response).

• xdr umfasst die Sophos XDR-Funktionen sowie alle Funktionen von endpoint. Wenn Sie xdrverwenden, benötigen Sie endpoint nicht.

• xdr sensor beinhaltet die Sophos XDR-Funktionen, installiert aber keinen Malware-Schutz. Damit Ihre Geräte geschützt sind, muss ein Fremdanbieter-Produkt installiert sein.

• xdr und xdr sensor bieten außerdem Unterstützung für den Sophos MDR-Dienst (Managed Detection and Response), sofern Sie über eine MDR-Lizenz verfügen.

• all installiert alle Produkte, für die Sie Lizenzen besitzen, und ignoriert die übrigen.

• none installiert ausschließlich unsere Kernagenten für Computer oder Server. Diese Option könnte sinnvoll sein, wenn Sie den Schutz später schrittweise hinzufügen möchten, um die Kompatibilität mit Anwendungen von Drittanbietern zu gewährleisten.

Geräte-Tags

Mit Sophos Central können Sie Tags erstellen und diese Ihren Geräten zuweisen. Tags helfen Ihnen, Ihre Geräte schnell zu verwalten und wiederzufinden.

Sie können Geräten während der Installation Tags zuweisen, indem Sie diese Befehlszeilenoption verwenden:

--tag=<tagname:value>

Das Tag besteht aus einem Namen, z. B. „TimeZone“, und einem Wert, z. B. „UTC“. Ein Tag kann auch nur aus einem Namen bestehen, zum Beispiel „HeadQuarters“.

Hier ist ein Beispielbefehl zum Installieren eines Geräts mit Tags, die Land, Stadt und Benutzertyp (VIP) anzeigen.

SophosSetup.exe --tag=Country:UK "--tag=City:London" --tag=VIP

Weitere Informationen zu Geräte-Tags finden Sie unter Tags verwalten.

Lokale Installationsquelle

Gibt eine lokale Installationsquelle an, die während der Installation verwendet werden soll. Dies ermöglicht eine Installation, ohne dass die Installationsdateien heruntergeladen werden müssen.

--localinstallsource=<path>

Ersetzen Sie <Pfad> durch den Pfad zur Installationsquelle.

Es ist nicht erforderlich, die lokale Installationsquelle anzugeben, wohl aber muss ein SophosLocalInstallSource-Ordner erstellt werden.

Wenn ein leerer Ordner angegeben wird, werden bei der ersten Installation Daten eingefügt.

Wenn Sie schon vorher Cache-Daten einfügen möchten, können Sie eine Kopie der Dateien von einem bereits installierten Gerät verwenden. Sie müssen die folgenden Ordner verwenden:

• %ProgramData%\Sophos\AutoUpdate\data\repo
• %ProgramData%\Sophos\UpdateCache\www\v3

Auch wenn eine mit Daten versehene lokale Installationsquelle bereitgestellt wird, ist weiterhin ein Internetzugang erforderlich, und einige Dateien werden heruntergeladen. Die Menge der heruntergeladenen Daten hängt von verschiedenen Faktoren ab, z. B.:

• Ob sich die Plattform des Installations-Geräts von den bereits mit Daten unterlegten Dateien unterscheidet.
• Ob sich das Installationsprogramm seit Unterlegung der lokalen Installationsquelle mit Daten geändert hat.

Message-Trail-Protokollierung

Aktiviert die Protokollierung von Nachrichteninhalten zwischen dem Gerät und Sophos Central während der Installation.

Sie müssen diese Option nach der Installation ausschalten, siehe Aktivieren eines Diagnosemeldungspfads von Sophos MCS.

--traillogging

Nur Registrieren

Mit diesem Befehl können Sie ein Gerät erneut registrieren, auf dem bereits Sophos Protection installiert ist.

--registeronly

Sie können diese Option verwenden, wenn Sie Geräte von einem Konto in ein anderes verschieben. Beispiele:

• Sie verschieben Regionen in Sophos Central.
• Sie sind ein Partner und eines Ihrer Geräte ist nicht beim richtigen Kunden registriert.
• Sie sind ein Enterprise-Administrator und Sie möchten Geräte zwischen Verwaltungseinheiten verschieben.

Um diesen Befehl zu verwenden, deaktivieren Sie den Manipulationsschutz auf dem Gerät und führen Sie das Installationsprogramm in dem Konto aus, in das Sie das Gerät mit --registeronly verschieben möchten.

Gold-Image

Sie können Geräte so konfigurieren, dass sie als Gold-Image für Virtual Desktop Infrastructure (VDI) verwendet werden. Wenn ein Klon aus dem Gold-Image erstellt wird, registrieren wir ihn bei Sophos Central Admin. Sie können ein Gold-Image im Timeout- oder Benachrichtigungsmodus installieren und erstellen.

Anhand einer der folgenden Optionen können Sie ein Gold-Image auf einem neuen Gerät installieren und erstellen oder ein vorhandenes Gerät zur Verwendung als Gold-Image konfigurieren:

• --goldimage: Verwenden Sie diese Option, um die Installation im Timeout-Modus durchzuführen.
• --goldimage --notificationmode: Verwenden Sie diese Option, um die Installation im Benachrichtigungsmodus durchzuführen.

Weitere Informationen finden Sie in den folgenden Abschnitten:

• Gold-Image-Zeitüberschreitung
• Gold-Image Benachrichtigung

Sie können auch ein Gold Image installieren und angeben, dass geklonte Geräte nach Gebrauch automatisch entfernt werden können. Siehe Nicht persistentes Gold Image.

Sie können Optionen auch kombinieren. Wenn Sie ein Gold-Image sowohl mit --goldimage und --devicegroup installieren, registrieren wir das Gold-Image-Gerät und die Klone in Sophos Central in der zugewiesenen Gerätegruppe.

Weitere Informationen zum Einrichten eines Gold-Images finden Sie unter Erstellen Sie Gold-Images und klonen Sie neue Geräte.

Dieser Prozess wird auf Computern und Servern unterstützt, wenn Sie den Thin Installer und aktuelle Versionen der Core-Agents verwenden. Sie benötigen die folgenden Versionen:

• Thin Installer 1.14 oder höher
• Sophos Core Agent 2022.1.0.78 oder höher
• Sophos Server Core Agent 2022.1.0.78 oder neuer

Gold-Image-Zeitüberschreitung

Wenn Sie eine virtuelle Maschine starten, ermitteln wir anhand einer Änderung des Gerätenamens, ob Sie einen neuen Klon starten. Bei einer Namensänderung wird die vorhandene Sophos-Konfiguration bereinigt und wir registrieren ein neues Gerät in Sophos Central Admin. Wir behandeln diesen Klon als ein eindeutiges Gerät.

Wenn der Gerätename nicht geändert wird, gehen wir davon aus, dass Sie das Gold-Image-Gerät starten.

Wir warten standardmäßig zwei Minuten, nachdem Sie das Gold-Image-Gerät gestartet haben, bevor die Kommunikation mit Sophos Central stattfindet. Dadurch wird die Erstellung duplizierter Geräte vermieden, wenn die Änderung der Identität eines neuen Klons länger dauert als erwartet.

Wenn die Änderung der Identität länger als die standardmäßigen zwei Minuten dauert, verwenden Sie diese Option, um die Standardeinstellung zu ändern.

--goldimagetimeout=<time-in-seconds>

Nachgestelltes Argument

Ersetzen Sie <time-in-seconds> durch die Anzahl der Sekunden für das Timeout.

Weitere Informationen zum Einrichten eines Gold-Images finden Sie unter Erstellen Sie Gold-Images und klonen Sie neue Geräte.

Gold-Image Benachrichtigung

Der Benachrichtigungsmodus dient der Verbesserung des Gold-Image-Prozesses mit VMware Horizon Instant-Clone.

Im Timeout-Modus wird eine Änderung des Gerätenamens verwendet, um festzustellen, ob Sie einen neuen Klon starten. Unabhängig davon, ob der Timeout standardmäßig oder vom Administrator festgelegt wurde, überprüft der Gold-Image-Prozess den Gerätenamen, sobald er verstrichen ist. Wenn sich der Gerätename ändert, wird die virtuelle Maschine, auf der der Timeout erreicht ist, in eine geklonte virtuelle Maschine umgewandelt. Dies gilt auch, wenn es sich um ein Zwischengerät im Rahmen des VMware Horizon Instant-Clone-Workflows handelt.

Wenn Sie die Installation im Benachrichtigungsmodus durchführen, verhindert dies jegliche Kommunikation mit Sophos Central, bis der Administrator oder die VDI-Plattform eine Benachrichtigung erhält. Dies bedeutet, dass die Maschinen nur registrieren, wenn der Klonvorgang abgeschlossen ist oder der Administrator das Gold Image aktiviert. Dadurch werden Deduplizierungsprobleme vermieden, die bei der Verwendung des Timeout-Modus auftreten können.

Wenn Sie Thin Installer und aktuelle Versionen der Core Agents verwenden, benötigen Sie die folgenden Versionen:

• Thin Installer 1.20.627 oder höher
• Sophos Core Agent 2024.2.0.527 oder höher
• Sophos Server Core Agent 2024.2.0.534 oder höher

Nachdem Sie ein Gold-Image im Benachrichtigungsmodus installiert und erstellt haben, registriert es sich bei Sophos Central und ermöglicht die Kommunikation bis zum Neustart. Nach dem Neustart wird die Kommunikation deaktiviert, bis Sie eine der folgenden Aktionen ausführen:

• Ausführen GoldImageCli.exe activate.
• Klicken Sie im Sophos Endpoint Agent auf Info und dann auf Aktivieren und Aktualisieren.

Weitere Informationen zum Einrichten eines Gold-Images finden Sie unter Erstellen Sie Gold-Images und klonen Sie neue Geräte.

Nicht persistentes Gold Image

Bei der Installation eines Gold Image können Sie angeben, dass die Klone nach der Verwendung entfernt werden können. Dazu verwenden Sie die Option --nonpersistent :

--goldimage --nonpersistent

Sophos Central kann dann automatisch geklonte Geräte entfernen, die inaktiv sind, wenn Sie VDI-Desktops dauerhaft entfernen in den Entfernungseinstellungen ausgewählt haben. Siehe Alle inaktiven Geräte entfernen.

Windows-Beispiele

Installation von Sophos Anti-Virus und Intercept X ohne Benutzereingriff:

SophosSetup.exe --products=antivirus,intercept --quiet

Nur Installation von ZTNA:

SophosSetup.exe --products=ztna

Installation mit einem Proxy:

SophosSetup.exe --proxyaddress=<IP/FQDN>:<port>

Ersetzen Sie <IP/FQDN> durch die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des Proxys und <port> durch die Port des Proxys.

Installation mit einem Message Relay:

SophosSetup.exe --messagerelays=192.168.10.100:8190

Installation in eine Untergruppe:

SophosSetup.exe --devicegroup="Application Servers\Terminal Servers"

Setzt einen installierten Server in die Untergruppe „Terminalserver“ der Gruppe „Anwendungsserver“. Sie müssen Anführungszeichen für alle Gruppen verwenden, die Leerzeichen in ihren Namen haben.

ACS-Systemprüfung umgehen

Sie können die ACS-Systemprüfung (Azure Code Signing) mit dem --bypassacscheck-Installer umgehen. Durch Umgehen der ACS-Systemprüfung kann die Software auf einem Endpoint installiert werden, auf dem die zur Unterstützung von ACS erforderlichen Patches nicht installiert sind.

Überprüfung der Taegis-Mandanten-ID umgehen

Sie können die Überprüfung der Taegis-Mandanten-ID anhand von --bypasstaegisidcheck umgehen. Wenn Sie die Überprüfung der Taegis-Mandanten-ID umgehen, können Sie mit der Installation der Endpoint-Software fortfahren, selbst wenn die zugewiesene Taegis-Mandanten-ID in Sophos Central nicht mit der Taegis-Mandanten-ID übereinstimmt, die am Endpoint vorhanden ist.

Sprach-IDs