如何查看和管理端点上的陷阱客户端策略 (陷阱资源管理器)

本文介绍在受陷阱代理版本3.3.x 保护的端点上运行的客户端策略的查看、解释和管理建议的步骤。

1.1 使用 TrapsExplorer 查看端点上的客户端策略

为了便于在端点查看客户端策略的操作, 我们已经提供了TrapsExplorer实用程序.
由于优化利用保护模块 (EPMs) 配置是最常见的方案, 因此当前版本的 TrapsExplorer 将只显示利用保护模块 (EPMs) 配置. 找到它附加到这篇文章。

以管理员身份运行 TrapsExplorer 实用程序。

• 开始时, TrapsExplorer 将选择适用于所有受保护进程的 "默认" 策略。从左侧受保护进程列表中选择任何进程, 以显示该进程的开发保护模块 (EPMs) 配置。
• 退出时, TrapsExplorer 将请求输入卸载密码, 以将服务保护配置返回到初始状态。

注意:要 TrapsExplorer 工作, 需要禁用服务保护. 如果启用了注册表保护, TrapsExplorer 将显示一条警告消息, 状态栏将在红色 "注册表保护状态: 启用" 中显示以下消息, 请单击此处启用 ""。在状态栏上单击一次, 打开或关闭服务保护。需要输入卸载密码。

1.2 查看端点上的客户端策略 

当陷阱资源管理器不可用时, 仍可以对客户端策略进行调查, 并且可以在两个位置的端点上找到。

1. xml 文件 ClientPolicy 存储来自端点安全管理器 (ESM) 的完整客户端策略。此文件可在以下位置找到:
   
   windows Vista 和以上内容: C:\ProgramData\Cyvera\LocalSystem
   windows XP: C:\Documents 和设置 \ 所有用户 \ 应用程序数据 \ Cyvera \ 本地
   
   系统
2. 仅限于代理设置、开发保护模块 (EPMs) 和恶意软件保护模块 (MPMs) 配置, 客户端策略存储在以下注册表路径中。这是保护模块 utlimately 应用的配置。
   
   

   HKEY_LOCAL_MACHINE \ 系统 \ Cyvera \ 策略
   
   

   注意:只有在代理上禁用了服务保护 (特别是注册表保护) 时, 上面的注册表路径才可用于读取. 可以从端点安全管理器 (ESM) 控制台的 "设置 > 代理 > 设置" 页设置代理的服务保护。通过使用cytool命令行实用工具 , 还可以检查和控制端点上的服务保护状态。例如 ︰
   
   

   "C:\Program 文件 \ 帕洛阿尔托网络 \ 陷阱 \ cytool exe" 保护查询

   
   有关 cytool 命令行实用程序的详细信息, 请参阅陷阱管理员指南3.3.x 版的 "cytool" 部分.
   https://www.paloaltonetworks.com/documentation/33/endpoint/endpoint-admin-guide/疑难解答/cytool. html

1.3 解释端点上的客户端策略

如果没有 TrapsExplorer, 请从注册表和 ClientPolicy. xml 文件中的客户端策略解释开发保护模块 (EPMs) 和恶意软件保护模块 (MPMs) 配置, 要求了解模块代码和注册表项结构。在快速概览下面查找:

可以为每个受保护的进程单独或为所有受保护的进程找到开发保护模块 (EPMs) 和恶意软件保护模块 (MPMs) 配置。

HKEY_LOCAL_MACHINE \ 系统 \ Cyvera \ 策略 \ 组织 \ 进程 \ 默认密钥存储应用于所有受保护进程的配置。
HKEY_LOCAL_MACHINE \ 系统 \ Cyvera \ 策略 \ 组织 \ 进程 \<Process_Name>密钥存储在特定配置的进程中应用于 "默认" 配置时所采用的进程特有的配置.</Process_Name>

例如 ︰

• HKEY_LOCAL_MACHINE\SYSTEM\Cyvera\Policy\Organization\Process\Default\J01 中具有值 "0" 的 "启用" DWORD 意味着默认情况下, 对所有受保护进程禁用 JIT 缓解 (J01)。
• 在 HKEY_LOCAL_MACHINE \ 系统 \ Cyvera \ 策略 \ 组织 \ 进程 \ acrobat J01 中, "启用" 值为 "1" 的 DWORD 表示为 acrobat.exe 启用了 JIT 缓解 (J01)。此配置将覆盖 acrobat.exe 的默认配置。
  此示例的最终结果是, 对所有受保护进程禁用 JIT 缓解 (J01), 但对 acrobat.exe 启用.

2.1 在没有 TrapsExplorer 的端点上管理客户端策略

应从端点安全管理器 (ESM) 控制台管理端点上运行的策略。

例如, 在某些情况下, 在隔离兼容性问题时, 直接在端点上管理策略可能会有帮助。通常, 在注册表上可以临时更改开发保护模块 (EPMs) 和恶意软件保护模块 (MPMs) 设置, 以确认给定配置的结果, 然后再从端点安全管理器 (ESM) 控制台应用它。

按照下列步骤临时更改端点上的客户端策略:

1. 如果需要, 请禁用服务保护。
   
   这是在 Windows 注册表中授予对相关密钥的访问权限所必需的.
   可以从端点安全管理器 (ESM) 控制台上的 "设置 > 代理 > 设置" 页或通过提升的命令提示符使用 cytool 实用程序来完成。 
   
   请注意, 必须输入卸载密码才能使用 cytool 实用程序继续执行此步骤。
   
   

   "C:\Program 文件 \ 帕洛阿尔托网络 \ 陷阱 \ cytool exe" 保护禁用

2. 停止陷阱 Windows NT 服务。
   
   从端点上的提升命令提示符运行以下内容。
   
   注意: 确保在整个活动期间, 陷阱服务将保持停止. 如果需要, 服务启动类型可以设置为 "禁用"。
   
   

   sc 停止 CyveraService

3. 更改配置并执行必要的测试。
   
   根据所需的配置访问 Windows 注册表并修改以下项的内容。
   请注意, 要应用配置更改, 需要重新启动将插入的进程陷阱. 如果注入的进程是无法在该 windows 会话中终止的 windows 进程 (即 logonui.exe), 则需要进行注销或重新启动。
   
   
4. 将端点返回到初始状态。
   
   如果上面的步骤 (1) 禁用了服务保护, 请再次启用它. 可以从端点安全管理器 (ESM) 控制台上的 "设置 > 代理 > 设置" 页或通过提升的命令提示符使用 cytool 实用程序来完成。
   
   请注意, 必须输入卸载密码才能使用 cytool 实用程序继续执行此步骤.
   
   

   "C:\Program 文件 \ 帕洛阿尔托网络 \ 陷阱 \ cytool exe" 保护策略

   
   从端点上的提升命令提示符运行以下内容。一旦启动陷阱服务并完成心跳, 客户端策略就会从端点安全管理器 (ESM) 恢复到一个。不需要采取进一步的行动。
   
   注意:如果在上面的步骤 (2) 上修改了陷阱服务启动类型, 请确保将其设置回原始值.
   
   

   sc 启动 CyveraService

5. 应用新配置。
   
   隔离完成后, 端点安全管理器 (ESM) 上的开发保护模块 (吸盘) 配置可以用新的发现进行更新。
   
   例如, 如果发现在记事本 ++ .exe 上禁用 DLL 安全性 (DllSec) 可以解决兼容性问题, 则现在可以在端点安全管理器 (ESM) 控制台上为相关端点创建此配置.
   
   
6. 报告支持。
   
   请联系帕洛阿尔托网络支持, 报告原始问题, 以及在调查中发现的任何信息。
   https://www.paloaltonetworks.com/company/contact-support

重要！请在上述步骤中谨慎行事. 在对客户端策略进行故障排除时, 应该从网络隔离端点并进行安全保护。当陷阱服务停止时, 野火、限制和进程报告将无法正常工作. 端点保护模块 (吸盘) 和恶意软件保护模块 (模块) 将会。此外, 代理不会与端点安全管理器 (ESM) 通信, 因此, 只要在端点上停止 CyveraService 服务, 对策略的更改就不会应用。