Cómo ver y administrar la Directiva de cliente traps en el extremo (explorador de capturas)

En este artículo se describen los pasos sugeridos para ver, interpretar y administrar la Directiva de cliente que se ejecuta en extremos protegidos por las versiones de agente de capturas 3.3. x.

1,1 ver la Directiva de cliente en el extremo con TrapsExplorer

Para facilitar el funcionamiento de la visualización de la Directiva de cliente en el punto final, hemos hecho disponible la utilidad TrapsExplorer.
Como la configuración de tuning exploit Protection modules (EPMs) es el escenario más común, la versión actual de TrapsExplorer sólo mostrará la configuración de módulos de protección de vulnerabilidad (EPMs). Encuéntralo adjunto a este artículo.

Ejecute la utilidad TrapsExplorer como administrador.

• Al inicio, TrapsExplorer seleccionará la política ' predeterminada ' que se aplica a todos los procesos protegidos. Seleccione cualquier proceso de la lista de procesos protegidos en el lado izquierdo para mostrar la configuración de los módulos de protección de exploit (EPMs) para ese proceso.
• Al salir, TrapsExplorer solicitará la introducción de la contraseña de desinstalación para devolver la configuración de protección del servicio al estado inicial.

Nota: para que TrapsExplorer funcione, la protección del servicio necesita ser desactivada. Si la protección del registro está activada, TrapsExplorer mostrará un mensaje de alerta y la barra de estado mostrará el siguiente mensaje en rojo "estado de protección del registro: habilitado--haga clic aquí para habilitar". Haga clic una vez en la barra de estado para activar o desactivar la protección de servicio. Es necesario introducir la contraseña de desinstalación.

1,2 ver la Directiva de cliente en el extremo 

Cuando el explorador de trampas no está disponible, la Directiva de cliente todavía se puede investigar y se puede encontrar en los extremos en dos ubicaciones.

1. El archivo XML ClientPolicy. XML almacena la Directiva de cliente completa procedente de Endpoint Security Manager (ESM). Este archivo se puede encontrar en estas ubicaciones:
   
   Windows Vista y superior: C:\PROGRAMDATA\CYVERA\LOCALSYSTEM
   Windows XP: C:\Documents and Settings\All Users\Application Data\Cyvera\LocalSystem
   
   
2. Limitado a la configuración del agente, los módulos de protección contra ataques (EPMs) y la configuración de módulos de protección contra malware (MPMs), la Directiva de cliente se almacena en la siguiente ruta del registro. Esta es la configuración que es utlimately aplicada por los módulos de protección.
   
   

   HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy
   
   

   Nota: la ruta del registro anterior es accesible sólo para lectura si la protección del servicio, específicamente la protección del registro, está deshabilitada en el agente. Es posible configurar la protección de servicio para los agentes de la página Configuración > agente > configuración en la consola de Endpoint Security Manager (ESM). También es posible comprobar y controlar el estado de protección del servicio en el extremo, mediante la utilidad de la línea de comandos cytool. Por ejemplo:
   
   

   "C:\Archivos de Files\Palo alto Networks\Traps\cytool.exe" proteger consulta

   
   Para obtener más información acerca de la utilidad de la línea de comandos cytool, consulte la sección ' cytool ' de la guía del administrador de trampas para la versión 3.3. x.
   https://www.paloaltonetworks.com/documentation/33/Endpoint/Endpoint-Admin-Guide/ Troubleshooting/cytool.html

1,3 interpretar la Directiva de cliente en el extremo

Sin TrapsExplorer, la configuración de los módulos de protección contra ataques (EPMs) y de los módulos de protección contra malware (MPMs) de la Directiva de cliente del registro y del archivo ClientPolicy. XML requiere el conocimiento de los códigos de los módulos y de la clave del registro Estructura. Encuentre abajo una descripción rápida:

Los módulos de protección contra ataques (EPMs) y la configuración de los módulos de protección contra malware (MPMs) se pueden encontrar para cada proceso protegido individualmente o para todos los procesos protegidos.

La clave HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default almacena la configuración que se aplica a todos los procesos protegidos.
Las<Process_Name> claves HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\ almacenan la configuración específica del proceso que se aplica sobre la configuración ' predeterminada ' cuando el proceso está configurado específicamente.</Process_Name>

Por ejemplo:

• Un "Enable" DWORD con el valor ' 0 ' en HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default\J01 significa que la mitigación JIT (J01) está deshabilitada de forma predeterminada para todos los procesos protegidos.
• Un "Enable" DWORD con el valor ' 1 ' en HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\acrobat.exe\J01 significa que la mitigación JIT (J01) está habilitada para Acrobat. exe. Esta configuración reemplaza la configuración predeterminada de Acrobat. exe.
  El resultado final de este ejemplo es que la mitigación de JIT (J01) está deshabilitada para todos los procesos protegidos, pero activada para Acrobat. exe.

2,1 administrar la Directiva de cliente en el extremo sin TrapsExplorer

La Directiva que se ejecuta en el extremo se debe administrar desde la consola de Endpoint Security Manager (ESM).

En algunas circunstancias, durante el aislamiento de problemas de compatibilidad, por ejemplo, puede ser útil administrar la Directiva directamente en el extremo. Lo más comúnmente posible, los módulos de protección contra ataques (EPMs) y los módulos de protección contra malware (MPMs) se pueden cambiar temporalmente en el registro para confirmar el resultado de una configuración determinada, antes de aplicarla desde la consola de Endpoint Security Manager (ESM).

Siga estos pasos para cambiar temporalmente la Directiva de cliente en el extremo:

1. Si es necesario, deshabilite la protección de servicio.
   
   Esto es necesario para conceder acceso a la clave pertinente en el registro de Windows.
   Se puede hacer desde la configuración > agente > configuración de la página en la consola de Endpoint Security Manager (ESM), o mediante la utilidad cytool desde un símbolo del sistema elevado. 
   
   Tenga en cuenta que es necesario introducir la contraseña de desinstalación para continuar con este paso utilizando la utilidad cytool.
   
   

   "C:\Archivos de Files\Palo alto Networks\Traps\cytool.exe" Protect Disable

2. Detenga el servicio Windows NT de las trampas.
   
   Ejecute lo siguiente desde un indicador de comandos elevado en el extremo.
   
   Nota: Asegúrese de que el servicio de trampas permanecerá detenido durante toda la duración de esta actividad. El tipo de inicio de servicio se puede establecer en "deshabilitado" si es necesario.
   
   

   SC STOP CyveraService

3. Cambiar la configuración y realizar las pruebas necesarias.
   
   Acceda al registro de Windows y modifique el contenido de la siguiente clave, según la configuración deseada.
   Tenga en cuenta que para que se apliquen los cambios de configuración, es necesario reiniciar las interrupciones de proceso que se inyecten. Si el proceso inyectado es un proceso de Windows que no se puede terminar dentro de esta sesión de Windows (es decir, LogonUI. exe), se requiere un cierre de sesión o reinicio.
   
   
4. DeVuelva el extremo al estado inicial.
   
   Si se deshabilitó la protección de servicio en el paso (1) anterior, vuelva a activarla. Se puede hacer desde la configuración > agente > configuración de la página en la consola de Endpoint Security Manager (ESM), o mediante la utilidad cytool desde un símbolo del sistema elevado. Tenga
   
   en cuenta que es necesario introducir la contraseña de desinstalación para continuar con este paso utilizando la utilidad cytool.
   
   

   "C:\Archivos de Files\Palo alto Networks\Traps\cytool.exe" proteja la política

   
   Ejecute lo siguiente desde un indicador de comandos elevado en el extremo. Una vez que se inicia el servicio de capturas y se completa un latido cardíaco, la Directiva del cliente volverá a la del administrador de seguridad de Endpoint (ESM). No se requiere ninguna acción adicional. Nota: Asegúrese de que
   
   el tipo de inicio de servicio de trampas está devuelto al valor original si se modificó en el paso (2) anterior.
   
   

   SC Start CyveraService

5. Aplicar la nueva configuración.
   
   Una vez que se ha completado el aislamiento, la configuración del módulo de protección contra ataques (EPM) del Endpoint Security Manager (ESM) se puede actualizar con los nuevos hallazgos.
   
   Por ejemplo, si se encontró que la desactivación de la seguridad de la dll (DllSec) en el Bloc de notas + +. exe permite trabajar en torno a un problema compatibilidad, esta configuración se puede crear ahora en la consola de Endpoint Security Manager (ESM) para los extremos relevantes.
   
   
6. Informe a la ayuda. Póngase en
   
   contacto con el soporte de Palo Alto Networks para informar del problema original, junto con cualquier información encontrada durante esta investigación.
   https://www.paloaltonetworks.com/Company/Contact-Support

¡Importante! Por favor proceda con cautela durante los pasos anteriores. Al solucionar problemas de la Directiva de cliente, el extremo debe aislarse de la red y protegerse. Mientras se detiene el servicio de trampas, los incendios forestales, las restricciones y los informes de procesos no funcionarán. Los módulos de Endpoint Protection Module (EPM) y módulo de protección contra malware (MPM) lo harán. Además, el agente no se comunicará con el Endpoint Security Manager (ESM), por lo que los cambios en las directivas no se aplicarán siempre que el servicio CyveraService se detenga en el extremo.