Cato 클라이언트용 변조 방지 기능 사용

이 문서는 Windows용 Cato 클라이언트의 변조 방지 메커니즘에 대한 정보를 제공합니다.

참고

참고: Windows 클라이언트 v5.14 에서 사용 가능. 게다가, Windows 클라이언트 5.14는 Anti-Tampering을 지원하기 위해 추가 드라이버를 설치합니다. Anti-Tampering을 활성화하지 않으면 이 드라이버는 로드되지 않습니다.

개요

변조 방지는 사용자가 관리자 입장에서 원치 않는 Cato 클라이언트에 대한 변경을 하지 못하도록 방지합니다. 예를 들어, 사용자가 관리자가 구성한 특정 전역 설정을 비활성화하거나 클라이언트의 프로세스 또는 서비스를 강제 중단하려고 할 수 있습니다. 변조는 일반적으로 다음과 같은 이유로 수행됩니다:

  • 악의적인 행위자가 다양한 방어 메커니즘을 비활성화하여 공격을 수행하려고 합니다.

  • 관리자가 부과한 제약을 좋아하지 않는 직원이 이를 우회하려고 합니다.

변조 방지는 사용자가 로컬 관리자 권한을 가지더라도 이러한 방어 메커니즘을 변경하거나 비활성화하려는 모든 시도로부터 호스트의 다양한 자원을 보호합니다.

변조 방지 기능은 어떤 것을 방지합니까

변조 방지 기능은 클라이언트의 무단 수정을 방지합니다. 변조 방지가 활성화되면 사용자는 다음 작업을 수행할 수 없습니다:

  • Cato 클라이언트 레지스트리 항목 편집

  • 다음 아래의 파일 및 디렉토리를 수정하거나 생성합니다:

    • C:\Program Files (x86)\Cato Networks\Cato 클라이언트

    • C:\ProgramData\CatoNetworks

  • Cato 클라이언트 업그레이드 또는 제거

사용자는 관리자로부터 코드를 받아 일시적으로 서로 다른 보호 기능을 비활성화할 수 있습니다.

사용 사례

변조 방지가 시행되면 사용자는 클라이언트를 제거할 수 없습니다. 그러나 관리자가 동시에 여러 클라이언트를 제거하려고 할 때는 호스트를 개별적으로 우회하도록 관리자를 요청할 수 없습니다. 대신 모든 클라이언트에 유효한 코드를 사용할 수 있으며, 이 코드는 2주 동안 유효합니다.

클라이언트 업그레이드를 위한 변조 방지 비활성화

변조 방지 보호의 일환으로 변조 방지가 활성화되면 클라이언트를 업그레이드할 수 없습니다. 업그레이드를 수동으로 수행하거나 MDM을 사용하는 경우 설정된 기간에 대한 변조 방지 비활성화와 연결되지 않은 특정 우회 코드가 있습니다. 클라이언트가 자동으로 업그레이드되는 경우 Cato 업그레이드 서비스를 사용하면 변조 방지 보호를 비활성화할 필요가 없습니다.

클라이언트 업그레이드를 위해 변조 방지를 비활성화하려면:

  1. 액세스 > 클라이언트 배포 구성으로 이동합니다.

  2. 관련 클라이언트 운영 체제 버전 아래에서 업그레이드 코드를 복사합니다. 해당 운영 체제의 업그레이드 정책이 MDM에 의해 관리됨으로 설정된 경우 코드를 MDM에 복사하거나 수동 업그레이드를 위한 특정 사용자에게 코드를 제공합니다.

클라이언트 제거를 위한 변조 방지 비활성화

변조 방지 보호의 일환으로 변조 방지가 활성화되면 클라이언트를 제거할 수 없습니다. 관리자가 클라이언트를 수동으로 제거하거나 MDM을 사용하여 제거할 수 있도록, 설정된 기간에 대한 변조 방지 비활성화와 연결되지 않은 특정 우회 코드가 있습니다.

특정 클라이언트에 변조 방지가 활성화되어 있는지 확실하지 않은 경우라면, 코드를 삽입할 수 있습니다. 변조 방지가 활성화되어 있지 않더라도 업그레이드는 여전히 작동합니다.

클라이언트를 제거하기 위해 변조 방지를 비활성화하려면:

  1. 액세스 > 클라이언트 액세스로 이동합니다.

  2. 클라이언트 제거 코드 섹션에서 우회 코드를 MDM에 복사하거나 수동 제거를 위한 특정 사용자에게 코드를 제공합니다.

변조 방지 제외 구성

특정하게 제어된 시나리오에서는 보호된 구성 요소와 상호 작용하기 위해 신뢰된 도구나 워크플로를 허용해야 할 수 있습니다. 변조 방지 제외는 변조 방지를 완전히 비활성화하지 않고 이러한 작업을 명시적으로 허용하여 보호를 유지하면서 운영 중단을 방지할 수 있게 합니다.

보안을 약화시키지 않도록 잘 이해되고 검증된 사용 사례에만 변조 방지 제외를 제한적으로 사용해야 합니다.

사용 사례

ABC 회사는 정상 작업의 일환으로 보호된 엔드포인트 구성 요소와 상호 작용하기 위해 여러 엔드포인트 관리 및 보안 도구를 사용합니다. 예를 들어, IT 팀은 관리 엔드포인트에서 업데이트를 설치하고 유지보수를 수행하기 위해 신뢰할 수 있는 소프트웨어 배포 도구를 사용합니다.

변조 방지가 활성화되면 이 도구들은 보호된 서비스와 파일을 수정하려고 시도하지만 그들의 작업이 차단됩니다. 이로 인해 업데이트가 성공적으로 완료되지 않고 운영에 중단이 발생합니다.

이를 해결하기 위해 IT 팀은 배포 도구에서 사용하는 특정 신뢰된 프로세스를 위한 목표한 변조 방지 제외를 생성합니다. 제외는 도구가 필요한 작업을 수행할 수 있도록 허용하며, 변조 방지는 엔드포인트의 다른 모든 구성 요소 및 프로세스를 계속 보호합니다.

예외 구성

변조 방지 예외를 구성하려면:

  1. 내비게이션 메뉴에서 접근 > 항상 적용 정책을 선택하고 변조 방지 제외 탭을 클릭합니다.

  2. 신규를 클릭하고 다음을 구성합니다:

    • 규칙의 이름과 설명

    • 사용자/그룹에서 규칙이 적용되는 대상을 정의합니다

    • 객체에서 다음을 구성합니다:

      • 유형 - 제외하는 것(예: 프로세스 또는 파일 경로)을 선택합니다

      • - 제외된 엔터티의 정확한 이름이나 경로를 입력합니다

      • 값의 서명을 확인할지 결정합니다. 보안 모범 사례로 권장됩니다.

  3. 적용을 클릭하고 정책 페이지에서 저장을 클릭합니다.

도움이 되었습니까?

5명 중 4명이 도움이 되었다고 했습니다.

댓글 0개