Wie man die fallen-Client-RichtLinien auf dem Endpunkt sieht und verwaltet (Traps Explorer)

Dieser Artikel beschreibt die Schritte, die vorgeschlagen wurden, um die Client-RichtLinien zu sehen, zu interpretieren und zu verwalten, die auf Endpunkten laufen, die durch die fallen-Agent-Versionen

1,1 sehen Sie die Client-RichtLinien am Endpunkt mit TrapsExplorer

Um den Betrieb der Client-RichtLinien am Endpunkt zu erleichtern, haben wir das Trapsexplorer-Programm zur Verfügung gestellt .
Da die Konfiguration von Tuning-Exploit-Schutz Modulen (EPMs) das häufigste Szenario ist, wird die aktuelle Version von TrapsExplorer nur die Konfiguration von Exploit-Schutz Modulen (EPMs) anzeigen. Finden Sie es an diesem Artikel angehängt.

Führen Sie das TrapsExplorer-Programm als Administrator aus.

• Am Anfang wählt TrapsExplorer die "Default"-Richtlinie aus, die für alle geschützten Prozesse gilt. Wählen Sie einen beliebigen Prozess aus der Liste der geschützten Prozesse auf der linken Seite aus, um die Konfiguration des Exploit-Schutz-Modulen (EPMs) für diesen Prozess anzuzeigen.
• Bei Exit wird TrapsExplorer die Eingabe des Deinstallations Passworts beantragen, um die Service-Schutz Konfiguration an den Ausgangszustand zurückzugeben.

Hinweis: damit Trapsexplorer arbeiten können, muss der Service-Schutz deaktiviert werden. Wenn der Registry-Schutz aktiviert ist, wird TrapsExplorer eine Alarmmeldung anzeigen und die Statusleiste zeigt die folgende Nachricht in rot "Registry Protection Status: aktiviert-klicken Sie hier, um zu aktivieren". Klicken Sie einmal auf die Statusleiste, um den Service-Schutz ein-oder auszuschalten. Die Eingabe des Deinstallations Passworts ist erforderlich.

1,2 sehen Sie die KundenPolitik am Endpunkt 

Wenn fallen Explorer nicht verfügbar ist, kann die Client-RichtLinie noch untersucht werden und kann an zwei Standorten an den Endpunkten gefunden werden.

1. Die XML-Datei ClientPolicy. XML speichert die vollständige Client-RichtLinie, die vom Endpoint Security Manager (ESM) kommt. Diese Datei kann in diesen Orten gefunden werden:
   
   Windows Vista und höher: C:\programdata\cyvera\localsystem
   Windows XP: C:\Dokumente und Settings\ alle Users\application Data\cyvera\localsystem
   
   
2. Beschränkt auf die Konfiguration von Agenten Einstellungen, Exploit-Schutz Modulen (EPMs) und Malware-Schutz Modulen (MPMs), wird die Client-RichtLinie im folgenden Registry-Pfad gespeichert. Das ist die Konfiguration, die von den Schutz Modulen utlimately angewendet wird.
   
   

   HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy
   
   

   Hinweis: der obige registratweg ist nur zum Lesen zugänglich, wenn der Service-Schutz, insbesondere der Registrierungs Schutz, auf dem Agenten deaktiviert ist. Es ist möglich, den Service-Schutz für die Agenten von der Seite Einstellungen > Agent > Einstellungen auf der Endpunkt Security Manager (ESM) Konsole zu setzen. Es ist auch möglich, den Service-Schutzstatus am Endpunkt zu überprüfen und zu kontrollieren, indem man das cytool- Kommandozeilenprogramm verwendet. Zum Beispiel:
   
   

   "C:\Program Files\Palo Alto Networks\Traps\cytool.exe" Protect Query

   
   Weitere Informationen über das cytool-Kommandozeilenprogramm finden Sie in der Rubrik "Cytool" des Traps-Administrator-LeitFadens für Version 3.3. x.
   https://www.paloaltonetworks.com/Documentation/33/Endpoint/Endpoint-Admin-Guide/ Troubleshooting/cytool.HTML

1,3 interpretieren Sie die Client-Politik am Endpunkt

Ohne TrapsExplorer, die Interpretation der Konfiguration von Exploit-Schutz Modulen (EPMs) und Malware-Schutz Modulen (MPMs) aus der Client-RichtLinie in der Registry und in der ClientPolicy. XML-Datei erfordert Kenntnisse der Modul Codes und des RegistrierungsSchlüssels Struktur. Hier finden Sie einen schnellen Überblick:

Für jeden geschützten Prozess einzeln oder für alle geschützten Prozesse finden sich die Konfigurationen von Exploit-Schutz Modulen (EPMs) und Malware-Schutz Modulen (MPMs).

Der HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default-Schlüssel speichert die Konfiguration, die für alle geschützten Prozesse gilt.
Die HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\<Process_Name> Keys speichern die prozessspezifische Konfiguration, die über die "Default"-Konfiguration gilt, wenn der Prozess in speziell konfiguriert ist.</Process_Name>

Zum Beispiel:

• Ein "enable"-DWORD mit Wert ' 0 ' in HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default\J01 bedeutet, dass JIT-Minderung (J01) standardmäßig für alle geschützten Prozesse deaktiviert ist.
• Ein "enable"-DWORD mit Wert ' 1 ' in HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\acrobat.exe\J01 bedeutet, dass JIT-Minderung (J01) für Acrobat. exe. aktiviert ist. Diese Konfiguration überschreitet die Standardkonfiguration für Acrobat. exe.
  Das Endergebnis dieses Beispiels ist, dass JIT Mitigation (J01) für alle geschützten Prozesse deaktiviert ist, aber für Acrobat. exe. aktiviert ist.

2,1 verwalten Sie die Client-RichtLinien am Endpunkt ohne TrapsExplorer

Die Politik, die am Endpunkt läuft, sollte von der-Konsole Endpoint Security Manager (ESM) aus gesteuert werden.

Unter bestimmten Umständen kann es beispielsweise bei der Isolierung von Kompatibilitätsproblemen hilfreich sein, die Richtlinien direkt am Endpunkt zu verwalten. Am häufigsten können die Einstellungen für das Ausnutzen von Schutz Modulen (EPMs) und Malware-Schutz Modulen (MPMs) vorübergehend auf der Registry geändert werden, um das Ergebnis einer bestimmten Konfiguration zu bestätigen, bevor Sie von der-Konsole Endpoint Security Manager (ESM) angewendet werden.

Folgen Sie diesen Schritten, um die Client-RichtLinien am Endpunkt vorübergehend zu ändern:

1. Bei Bedarf den Service-Schutz deaktivieren.
   
   Dies ist erforderlich, um den Zugriff auf den entsprechenden Schlüssel in der Windows-Registry zu gewähren.
   Es kann von der Seite Einstellungen > Agent > Einstellungen auf der Endpunkt Security Manager (ESM) Konsole oder über das cytool Utility von einer erhöhten Befehlsaufforderung aus erfolgen. 
   
   Bitte beachten Sie, dass es notwendig ist, das Deinstallations Passwort einzugeben, um diesen Schritt mit dem cytool-Dienstprogramm fortzusetzen.
   
   

   "C:\Program Files\Palo Alto Networks\Traps\cytool.exe" Protect deaktivieren

2. Stoppt die fallen Windows NT-Service.
   
   Führen Sie die folgenden von einer erhöhten Befehlsaufforderung am Endpunkt aus.
   
   Hinweis: Vergewissern Sie sich, dass der fallen-Service für die gesamte Dauer dieser Aktivität gestoppt bleibt. Der Service-Startup-Typ kann bei Bedarf auf "deaktiviert" eingestellt werden.
   
   

   SC Stop CyveraService

3. Ändern Sie die Konfiguration und führen Sie die notwendigen Tests durch.
   
   Greifen Sie auf die Windows-Registry zu und ändern Sie den Inhalt des folgenden Schlüssels entsprechend der gewünschten Konfiguration.
   Beachten Sie, dass für die Anwendung von Konfigurationsänderungen die Prozess Falle, die in die Datei aufgenommen werden sollen, neu gestartet werden müssen. Wenn es sich bei dem eingespritzten Prozess um einen Windows-Prozess handelt, der innerhalb dieser Windows-Session (z.b. logonui. exe) nicht beendet werden kann, ist ein abmelden oder Neustart erforderlich.
   
   
4. Geben Sie den Endpunkt in den Ausgangszustand zurück.
   
   Wenn der Service-Schutz auf Schritt (1) oben deaktiviert wurde, aktivieren Sie ihn erneut. Es kann von der Seite Einstellungen > Agent > Einstellungen auf der Endpunkt Security Manager (ESM) Konsole oder über das cytool Utility von einer erhöhten Befehlsaufforderung aus erfolgen.
   
   Bitte beachten Sie, dass es notwendig ist, das Deinstallations Passwort einzugeben, um diesen Schritt mit dem cytool-Dienstprogramm fortzusetzen.
   
   

   "C:\Program Files\Palo Alto Networks\Traps\cytool.exe" Schutz der Politik

   
   Führen Sie die folgenden von einer erhöhten Befehlsaufforderung am Endpunkt aus. Sobald der Traps-Dienst gestartet ist und ein Herzschlag abgeschlossen ist, wird die Client-RichtLinie wieder auf die vom Endpoint Security Manager (ESM) zurückkehren. Es sind keine weiteren Maßnahmen erforderlich. Hinweis: Vergewissern Sie sich
   
   , dass der Starttyp des Traps-Dienstes auf den ursprünglichen Wert zurückgesetzt wird, wenn er auf Schritt (2) oben geändert wurde.
   
   

   SC Start CyveraService

5. Die neue Konfiguration anwenden.
   
   Sobald die Isolierung abgeschlossen ist, kann die Konfiguration des Exploit Protection Moduls (EPM) auf dem Endpoint Security Manager (ESM) mit den neuen Erkenntnissen aktualisiert werden.
   
   Wenn zum Beispiel festgestellt wurde, dass die Deaktivierung der dll Security (Dllsec) auf Notepad + +. exe es erlaubt, um ein Kompatibility-Problem zu arbeiten, kann diese Konfiguration nun auf der Konsole Endpoint Security Manager (ESM) für die relevanten Endpunkte erstellt werden.
   
   
6. Bericht zur UnterStützung.
   
   Bitte wenden Sie sich an Palo Alto Networks, um die ursprüngliche Ausgabe zu melden, zusammen mit allen Informationen, die während dieser Untersuchung gefunden wurden.
   https://www.paloaltonetworks.com/Company/Contact-Support

Wichtig! Bitte gehen Sie bei den obigen Schritten vorsichtig vor. Bei der Fehlerbehebung der Client-RichtLinie sollte der Endpunkt vom Netzwerk isoliert und gesichert werden. Während der Fahndungsdienst gestoppt wird, werden Wildfire, Einschränkungen und Prozess Berichterstattung nicht funktionieren. Die Module Endpunkt Protection Module (EPM) und Malware Protection Module (MPM) werden. Außerdem wird der Agent nicht mit dem Endpoint Security Manager (ESM) kommunizieren, daher werden Änderungen an den Richtlinien nicht gelten, solange der CyveraService-Dienst am Endpunkt gestoppt wird.