Este artigo fornece informações sobre o mecanismo Anti-Violação para o Cliente Cato para Windows.
Nota
Nota: Disponível de Cliente Windows v5.14 e superior. Além disso, o Cliente Windows 5.14 instala um driver adicional para suporte a Anti-Tampering. Este driver não é carregado a menos que você ative Anti-Tampering.
A Anti-Violação impede que os usuários façam alterações no Cliente Cato que você, como administrador, não deseja que eles façam. Por exemplo, um usuário pode tentar desativar certas configurações globais que um administrador configurou ou tentar forçar o processo ou serviço do Cliente a parar. A violação geralmente é feita por um dos seguintes motivos:
-
Atores maliciosos que desejam desativar vários mecanismos de defesa para que possam realizar seus ataques.
-
Funcionários que não gostam das limitações impostas pelos administradores e procuram contorná-las.
A Anti-Violação protege os vários recursos nos hosts de qualquer tentativa de alterar ou desativar esses mecanismos de defesa, mesmo que o usuário tenha privilégios de administrador local.
A proteção Anti-tampering previne modificações não autorizadas no Cliente. Quando a Anti-Violação está ativada, os usuários não podem fazer o seguinte:
-
Editar a entrada de registro do Cliente Cato
-
Modificar ou criar arquivos e diretórios em:
-
C:\Program Files (x86)\Cato Networks\Cliente Cato
-
C:\ProgramData\CatoNetworks
-
-
Atualizar ou desinstalar o Cliente Cato
Os usuários podem entrar em contato com seus administradores para receber um código para desativar temporariamente as diferentes proteções.
-
Para desativar a proteção Anti-Violação para fazer alterações no sistema operacional, por exemplo, editar o registro ou desinstalar uma aplicação, consulte Protegendo Usuários com Segurança Sempre Ativa.
-
Para desativar a proteção Anti-Violação para permitir a atualização do Cliente Windows, respectivamente, consulte Desativando Proteção Anti-Violação para Permitir Atualizações do Cliente. (Você não precisa desativar a proteção Anti-Violação se seus Clientes forem automaticamente atualizados usando o Serviço de atualização Cato)
-
Para desativar a proteção Anti-Violação para desinstalar o Cliente, consulte Desativando Proteção Anti-Violação para Permitir Desinstalação do Cliente
Quando a Anti-Violação é aplicada, os usuários não podem desinstalar o Cliente. No entanto, quando o administrador deseja desinstalar vários clientes ao mesmo tempo, não é possível pedir ao administrador que ignore cada host individualmente. Em vez disso, eles podem usar um único código para todos os Clientes, que é válido por 2 semanas.
Como parte das proteções Anti-Violação, quando a Anti-Violação está ativada, por design, o Cliente não pode ser atualizado. Para habilitar uma atualização manualmente ou usando um MDM, existe um código de desvio específico que não está conectado à desativação da Anti-Violação para a duração configurada. Você não precisa desativar a proteção Anti-Violação se seus Clientes forem automaticamente atualizados usando o Serviço de atualização Cato.
Para desativar a Anti-Violação para atualizações de Cliente:
-
Navegue para Acesso > Implementação do Cliente.
-
Sob a versão relevante do sistema operacional cliente, copie o Código de Atualização. Se a política de atualização para esse sistema operacional estiver definida como Gerenciado pelo administrador, copie o código para seu MDM ou forneça o código a um usuário específico para uma atualização manual.
Como parte das proteções Anti-Violação, quando a Anti-Violação está ativada, o Cliente não pode ser desinstalado. Para permitir que os administradores desinstalem o Cliente manualmente ou usando um MDM, existe um código de desvio específico que não está conectado à desativação da Anti-Violação para a duração configurada.
Se você não tem certeza se um Cliente específico tem Anti-Violação ativada, ainda pode inserir o código – se a Anti-Violação não estiver ativada, a atualização ainda funcionará.
Em cenários específicos e controlados, pode ser necessário permitir que ferramentas ou fluxos de trabalho confiáveis interajam com componentes protegidos. As exclusões de anti-violação permitem que você permita explicitamente essas ações sem desativar completamente o anti-violação, ajudando a manter a proteção enquanto evita interrupções operacionais.
Você deve usar exclusões de anti-violação com moderação e apenas para casos de uso bem compreendidos e validados, pois exclusões muito amplas enfraquecem sua postura de segurança.
A Empresa ABC usa várias ferramentas de gerenciamento e segurança de endpoints que precisam interagir com os componentes protegidos do endpoint como parte das operações normais. Por exemplo, a equipe de TI usa uma ferramenta de implantação de software confiável para instalar atualizações e realizar manutenção em endpoints gerenciados.
Quando o anti-violação está ativado, essas ferramentas tentam modificar serviços e arquivos protegidos, e suas ações são bloqueadas. Isso impede que as atualizações sejam concluídas com sucesso e causa interrupção operacional.
Para resolver isso, a equipe de TI cria uma exclusão de anti-violação direcionada para o processo específico confiável usado pela ferramenta de implantação. A exclusão permite que a ferramenta execute as ações necessárias, enquanto o anti-violação continua protegendo todos os outros componentes e processos no endpoint.
Para configurar uma exclusão de anti-violação:
-
No menu de navegação, selecione Acesso > Política Sempre Ativa e clique na guia Exclusões de Anti-Violação.
-
Clique em Novo e configure o seguinte:
-
Nome e descrição da regra
-
Em Usuários/Grupos, defina para quem a regra se aplica
-
Em Objetos, configure o:
-
Tipo - Selecione o que você está excluindo (por exemplo, um processo ou caminho de arquivo)
-
Valor - Insira o nome exato ou caminho da entidade excluída
-
Determine se deseja verificar a assinatura do valor. Isso é recomendável para melhores práticas de segurança
-
-
-
Clique em Aplicar e na página de política, clique em Salvar.
0 comentário
Artigo fechado para comentários.