Procédure d'affichage et de gestion de la stratégie client traps sur le point de terminaison (Explorateur de interruptions)
Resolution
Cet article décrit les étapes suggérées pour afficher, interpréter et gérer la stratégie client s'exécutant sur les points de terminaison protégés par les versions de l'Agent des interruptions 3.3. x.
1,1 afficher la stratégie client sur le point de terminaison avec TrapsExplorer
Pour faciliter le fonctionnement de l'affichage de la stratégie client sur le point de terminaison, nous avons mis à disposition l' utilitaire TrapsExplorer.
Comme la configuration GPE (Tuning exploit protection modules) est le scénario le plus courant, la version actuelle de TrapsExplorer affichera uniquement la configuration des modules de protection d'exploit (GPE). Trouvez-le attaché à cet article.
Exécutez l'utilitaire TrapsExplorer en tant qu'Administrateur.
- Au démarrage, TrapsExplorer sélectionne la stratégie «default» qui s'applique à tous les processus protégés. Sélectionnez un processus dans la liste des processus protégés sur le côté gauche pour afficher la configuration GPE (exploit protection modules) pour ce processus.
- À la sortie, TrapsExplorer demandera d'entrer le mot de passe de désinstallation pour renvoyer la configuration de protection de service à l'état initial.
Remarque: pour que TrapsExplorer fonctionne, la protection de service doit être désactivée. Si la protection du Registre est activée, TrapsExplorer affiche un message d'alerte et la barre d'état affichera le message suivant en rouge "statut des protections du Registre: activé--cliquez ici pour activer". Cliquez une fois sur la barre d'état pour activer ou désactiver la protection de service. La saisie du mot de passe de désinstallation est requise.
1,2 afficher la stratégie client sur le point de terminaison
Lorsque l'Explorateur de captures n'est pas disponible, la stratégie client peut toujours faire l'objet d'une enquête et se trouve sur les points de terminaison à deux emplacements.
- Le fichier XML ClientPolicy. XML stocke la stratégie client complète provenant du gestionnaire de sécurité de point de terminaison (ESM). Ce fichier peut être trouvé dans ces emplacements:
Windows Vista et au-dessus: C:\ProgramData\Cyvera\LocalSystem
Windows XP: C:\Documents and Settings All Users Application Data Data\Cyvera\LocalSystem - Limitée aux paramètres de l'Agent, aux modules de protection d'exploitation (GPE) et à la configuration des modules de protection contre les logiciels malveillants (MPMs), la stratégie client est stockée dans le chemin d'accès du Registre suivant. C'est la configuration qui est utlimately appliquée par les modules de protection.
HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy
Remarque: le chemin d'accès au Registre ci-dessus est accessible pour la lecture uniquement si la protection de service, en particulier la protection du Registre, est désactivée sur l'Agent. Il est possible de définir la protection des services pour les agents à partir de la page Paramètres > agent > paramètres sur la console de Endpoint Security Manager (ESM). Il est également possible de vérifier et de contrôler l'état de protection du service sur le point de terminaison, à l'Aide de l' utilitaire de ligne de commande CYTOOL. Par exemple :
"C:\Program Files\Palo Alto Networks\Traps\cytool.exe" Protect Query
Pour plus d'informations sur l'utilitaire de ligne de commande CYTOOL, reportez-vous à la section «CYTOOL» du Guide de l'administrateur des interruptions pour la version 3.3. x.
https://www.paloaltonetworks.com/documentation/33/Endpoint/Endpoint-Admin-Guide/ Troubleshooting/CYTOOL.html
1,3 interpréter la politique du client sur le point de terminaison
Sans TrapsExplorer, l'interprétation de la configuration des modules de protection de l'exploitation (GPE) et des modules de protection contre les logiciels malveillants (MPMs) à partir de la stratégie client sur le registre et dans le fichier ClientPolicy. xml nécessite la connaissance des codes de modules et de la clé de Registre Structure. Trouver ci-dessous un aperçu rapide:
La configuration des modules de protection d'Exploit (GPE) et des modules de protection contre les logiciels malveillants (MPMs) peut être trouvée pour chaque processus protégé individuellement ou pour tous les processus protégés.
La clé HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default stocke la configuration qui s'applique à tous les processus protégés.
Les<Process_Name> clés HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\ stockent la configuration spécifique au processus qui s'applique sur la configuration'Default'lorsque le processus est spécifiquement configuré.</Process_Name>
Par exemple :
- Un DWORD "Enable" avec la valeur' 0 'dans HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default\J01 signifie que l'atténuation JIT (J01) est désactivée par défaut pour tous les processus protégés.
- Un DWORD "Enable" avec la valeur' 1 'dans HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\acrobat.exe\J01 signifie que l'atténuation JIT (J01) est activée pour Acrobat. exe. Cette configuration remplace la configuration par défaut pour Acrobat. exe.
Le résultat final de cet exemple est que l'atténuation JIT (J01) est désactivée pour tous les processus protégés, mais activée pour Acrobat. exe.
2,1 gérer la stratégie client sur le point de terminaison sans TrapsExplorer
La stratégie s'exécutant sur le point de terminaison doit être gérée à partir de la console de Endpoint Security Manager (ESM).
Dans certaines circonstances, lors de l'isolement des problèmes de compatibilité, par exemple, il peut être utile de gérer la stratégie directement sur le point de terminaison. Le plus souvent, les paramètres GPE (exploit protection modules) et MPMs (Malware Protection modules) peuvent être modifiés temporairement sur le registre pour confirmer le résultat d'une configuration donnée, avant de l'appliquer à la console de Endpoint Security Manager (ESM).
Procédez comme suit pour modifier temporairement la stratégie client sur le point de terminaison:
- Si nécessaire, désactivez la protection de service.
Cela est nécessaire pour accorder l'accès à la clé appropriée dans le Registre Windows.
Il peut être fait à partir de la page Paramètres > agent > paramètres sur la console de Endpoint Security Manager (ESM), ou en utilisant l'utilitaire CYTOOL à partir d'une invite de commande élevée.
Veuillez noter qu'il est nécessaire d'entrer le mot de passe de désinstallation pour procéder à cette étape à l'Aide de l'utilitaire CYTOOL."C: Program Files Files\Palo Alto Networks\Traps\cytool.exe" Protect Disable
- Arrêtez les interruptions du service Windows NT.
Exécutez la commande suivante à partir d'une invite de commandes élevée sur le point de terminaison.
Remarque: Assurez-vous que le service de purge restera arrêté pendant toute la durée de cette activité. Le type de démarrage du service peut être défini sur «désactivé» si nécessaire.SC Stop CyveraService
- Changez la configuration et effectuez les tests nécessaires.
Accédez au registre Windows et modifiez le contenu de la clé suivante, selon la configuration souhaitée.
Notez que pour que les modifications de configuration s'appliquent, les interruptions de processus injectées doivent être redémarrées. Si le processus injecté est un processus Windows qui ne peut pas être terminé dans cette session Windows (i.e. LogonUI. exe), un déconnexion ou un redémarrage est requis. - Retournez le point de terminaison à l'état initial.
Si la protection de service a été désactivée à l'étape (1) ci-dessus, activez-la à nouveau. Il peut être fait à partir de la page Paramètres > agent > paramètres sur la console de Endpoint Security Manager (ESM), ou en utilisant l'utilitaire CYTOOL à partir d'une invite de commande élevée.
Veuillez noter qu'il est nécessaire d'entrer le mot de passe de désinstallation pour procéder à cette étape à l'Aide de l'utilitaire CYTOOL."C:\Program Files\Palo Alto Networks\Traps\cytool.exe" protéger la politique
Exécutez la commande suivante à partir d'une invite de commandes élevée sur le point de terminaison. Une fois que le service interruptions est démarré et qu'un battement de coeur est terminé, la stratégie client reviendra à celle du gestionnaire de sécurité de point de terminaison (ESM). Aucune autre action n'est requise.
Remarque: Assurez -vous que le type de démarrage du service traps est redéfini à la valeur d'origine S'il a été modifié à l'étape (2) ci-dessus.SC Start CyveraService
- Appliquez la nouvelle configuration.
Une fois l'isolation terminée, la configuration du module d'exploitation de protection (EPM) sur le gestionnaire de sécurité de point de terminaison (ESM) peut être mise à jour avec les nouvelles découvertes.
Par exemple, S'il a été constaté que la désactivation de la sécurité dll (DllSec) sur Notepad + +. exe permet de contourner un problème compatibilité, cette configuration peut maintenant être créée sur la console de Endpoint Security Manager (ESM) pour les points de terminaison pertinents. - Rapport à l'Appui.
Veuillez contacter le support de Palo Alto Networks pour signaler le problème original, ainsi que toute information trouvée au cours de cette enquête.
https://www.paloaltonetworks.com/Company/contact-support
Important! Veuillez procéder avec prudence pendant les étapes ci-dessus. Lors du dépannage de la stratégie client, le point de terminaison doit être isolé du réseau et sécurisé. Pendant que le service interruptions est arrêté, les incendies de forêt, les restrictions et les rapports de processus ne fonctionnent pas. Les modules de Endpoint Protection module (EPM) et de module de protection contre les logiciels malveillants (MPM) seront. En outre, l'Agent ne communiquera pas avec le gestionnaire de sécurité de point de terminaison (ESM), ainsi les modifications aux stratégies ne s'appliqueront pas tant que le service CyveraService est arrêté sur le point de terminaison.