Travailler avec la protection anti-sabotage pour le Client Cato

Cet article fournit des informations sur le mécanisme d'anti-altération pour le Client Cato pour Windows.

Remarque

Remarque : Disponible à partir de Client Windows v5.14 et supérieur. De plus, le Client Windows 5.14 installe un pilote supplémentaire pour prendre en charge la fonctionnalité anti-sabotage. Ce pilote n'est pas chargé à moins que vous n'activiez la fonctionnalité anti-sabotage.

Vue d'ensemble

L'anti-altération empêche les utilisateurs de faire des modifications au Client Cato que vous, en tant qu'administrateur, ne souhaitez pas qu'ils fassent. Par exemple, un utilisateur pourrait essayer de désactiver certains paramètres globaux configurés par un administrateur ou tenter de forcer l'arrêt du processus ou service du Client. Les altérations sont généralement effectuées pour l'une des raisons suivantes :

Acteurs malveillants qui veulent désactiver divers mécanismes de défense pour pouvoir mener leurs attaques.
Employés qui n'aiment pas les limitations imposées par les administrateurs et cherchent à les contourner.

L'anti-altération protège les différentes ressources sur les hôtes contre toute tentative de modifier ou de désactiver ces mécanismes de défense, même si l'utilisateur dispose de privilèges d'administrateur local.

Que prévient l'Anti-Tampering

L'Anti-Tampering empêche les modifications non autorisées du Client. Lorsque l'anti-altération est activé, les utilisateurs ne peuvent pas faire ce qui suit :

Modifier l'entrée du registre du Client Cato
Modifier ou créer des fichiers et des répertoires sous :
- C:\Program Files (x86)\Cato Networks\Client Cato
- C:\ProgramData\CatoNetworks
Mettre à niveau ou désinstaller le Client Cato

Les utilisateurs peuvent contacter leurs administrateurs pour recevoir un code permettant de désactiver temporairement les différentes protections.

Pour désactiver la protection anti-sabotage pour apporter des modifications au système d'exploitation, par exemple éditer le registre ou désinstaller une application, voir Protéger les Utilisateurs avec la Sécurité Toujours active.
Pour désactiver la protection anti-sabotage pour vous permettre de mettre à niveau le Client Windows, consultez Désactiver la Protection Anti-Sabotage pour Activer les Mises à Niveau du Client. (Vous n'avez pas besoin de désactiver la protection anti-sabotage si vos Clients sont automatiquement mis à niveau via le service de mise à niveau Cato)
Pour désactiver la protection anti-sabotage pour désinstaller le Client, consultez Désactiver la Protection Anti-Sabotage pour Permettre la Désinstallation du Client

Cas d'utilisation

Lorsque l'anti-altération est appliqué, les utilisateurs ne peuvent pas désinstaller le Client. Cependant, lorsque l'administrateur souhaite désinstaller plusieurs clients en même temps, il n'est pas possible de demander à l'administrateur de contourner chaque hôte individuellement. Au lieu de cela, ils peuvent utiliser un seul code pour tous les Clients, qui est valable pendant 2 semaines.

Désactivation de la protection anti-altération pour permettre les mises à niveau du client

Dans le cadre des protections anti-altération, lorsque l'anti-altération est activé, par conception, le Client ne peut pas être mis à niveau. Pour activer une mise à niveau manuellement ou en utilisant un MDM, il existe un code de contournement spécifique qui n'est pas lié à la désactivation de l'anti-altération pour la durée configurée. Vous n'avez pas besoin de désactiver la protection anti-sabotage si vos Clients sont automatiquement mis à niveau via le service de mise à niveau Cato.

Pour désactiver l'anti-altération pour les mises à niveau du client :

Accédez à Accès > Déploiement du Client.
Sous la version pertinente du système d'exploitation client, copiez le code de mise à niveau. Si la politique de mise à niveau pour ce système d'exploitation est réglée sur Géré par l'administrateur, copiez le code dans votre MDM, ou fournissez le code à un utilisateur spécifique pour une mise à niveau manuelle.

Désactivation de la protection anti-altération pour permettre la désinstallation du client

Dans le cadre des protections anti-altération, lorsque l'anti-altération est activé, le Client ne peut pas être désinstallé. Pour permettre aux administrateurs de désinstaller le Client, soit manuellement, soit en utilisant un MDM, il existe un code de contournement spécifique qui n'est pas lié à la désactivation de l'anti-altération pour la durée configurée.

Si vous n'êtes pas sûr qu'un Client spécifique ait l'anti-altération activé, vous pouvez toujours insérer le code – si l'anti-altération n'est pas activé, la mise à niveau fonctionnera quand même.

Pour désactiver l'anti-altération pour désinstaller le Client :

Naviguez vers Accès > Accès Client VPN.
Dans la section Code de désinstallation du client, copiez le code de contournement dans votre MDM, ou fournissez le code à un utilisateur spécifique pour une désinstallation manuelle.

Configuration des exclusions pour l'anti-sabotage

Dans des scénarios spécifiques et contrôlés, vous pourriez avoir besoin de permettre à des outils ou flux de travail de confiance d'interagir avec des composants protégés. Les exclusions d'anti-sabotage vous permettent d'autoriser explicitement ces actions sans désactiver complètement l'anti-sabotage, vous aidant à maintenir la protection tout en évitant une interruption opérationnelle.

Vous devriez utiliser les exclusions d'anti-sabotage avec parcimonie et uniquement pour des cas d'utilisation bien compris et validés, car des exclusions trop larges affaiblissent votre posture de sécurité.

Cas d'utilisation

ABC Company utilise plusieurs outils de gestion des points de terminaison et de sécurité qui doivent interagir avec des composants de point de terminaison protégés dans le cadre des opérations normales. Par exemple, l'équipe informatique utilise un outil de déploiement logiciel de confiance pour installer des mises à jour et effectuer la maintenance sur les points de terminaison gérés.

Lorsque l'anti-sabotage est activé, ces outils tentent de modifier les services et fichiers protégés, et leurs actions sont bloquées. Cela empêche les mises à jour de s'achever avec succès et provoque une perturbation opérationnelle.

Pour remédier à cela, l'équipe informatique crée une exclusion anti-sabotage ciblée pour le processus de confiance spécifique utilisé par l'outil de déploiement. L'exclusion permet à l'outil d'effectuer les actions requises, tandis que l'anti-sabotage continue de protéger tous les autres composants et processus sur le point de terminaison.

Configuration des exclusions

Pour configurer une exclusion anti-sabotage :

À partir du menu de navigation, sélectionnez Accès > Politique Toujours Activée et cliquez sur l'onglet Exclusions Anti-Sabotage.
Cliquez sur Nouveau et configurez les éléments suivants :
- Nom et description de la règle
- Sous Utilisateurs/Groupes, définissez à qui la règle s'applique
- Sous Objets, configurez le :
  - Type - Sélectionnez ce que vous excluez (par exemple, un processus ou un chemin de fichier)
  - Valeur - Entrez le nom ou le chemin exact de l'entité exclue
  - Déterminez si vous souhaitez vérifier la signature de la valeur. Ceci est recommandé pour les meilleures pratiques de sécurité
Cliquez sur Appliquer et dans la page de politique, cliquez sur Enregistrer.

Travailler avec la protection anti-sabotage pour le Client Cato

Remarque

Vue d'ensemble

Que prévient l'Anti-Tampering

Cas d'utilisation

Désactivation de la protection anti-altération pour permettre les mises à niveau du client

Désactivation de la protection anti-altération pour permettre la désinstallation du client

Configuration des exclusions pour l'anti-sabotage

Cas d'utilisation

Configuration des exclusions

Cet article vous a-t-il été utile ?

0 commentaire