Работа с защитой от вмешательства для клиента Cato

Эта статья предоставляет информацию о механизме защиты от вмешательства для Клиента Cato для Windows.

Примечание

Примечание: Доступно в Клиент для Windows v5.14 и выше. Более того, Клиент для Windows 5.14 устанавливает дополнительный драйвер для поддержки Анти-манипуляции. Этот драйвер не загружено, если вы не активировать Анти-манипуляцию.

Обзор

Защита от вмешательства не позволяет пользователям вносить изменения в Клиент Cato, которые вы, как администратор, не хотите разрешать. Например, пользователь может попытаться отключить определённые глобальные настройки, которые администратор настроил, или попытаться остановить процесс или сервис Клиента. Вмешательство обычно осуществляется по одной из следующих причин:

  • Вредоносные субъекты, которые хотят отключить различные механизмы защиты для проведения своих атак.

  • Сотрудники, которым не нравятся ограничения, наложенные администраторами, ищут способы их обойти.

Защита от вмешательства охраняет различные ресурсы на хостах от попыток изменения или отключения этих механизмов защиты, даже если у пользователя есть местные административные привилегии.

Что предотвращает защита от взлома

Защита от взлома предотвращает несанкционированное изменение клиента. Когда защита от вмешательства включена, пользователи не могут делать следующее:

  • Редактировать запись реестра Клиента Cato

  • Изменять или создавать файлы и каталоги по следующим адресам:

    • C:\Program Files (x86)\Cato Networks\Клиент Cato

    • C:\ProgramData\CatoNetworks

  • Обновлять или удалять Клиент Cato

Пользователи могут обратиться к своим администраторам за получением кода для временного отключения различных защит.

Кейс использования

Когда защита от вмешательства применяется, пользователи не могут удалить Клиент. Однако, когда администратор хочет удалить несколько клиентов одновременно, невозможно попросить администратора обойти каждого хоста по отдельности. Вместо этого можно использовать один код для всех клиентов, который действителен в течение 2 недель.

Отключение защиты от вмешательства для обновления Клиента

В рамках защиты от вмешательства, когда защита от вмешательства включена, по замыслу Клиент не может быть обновлён. Для выполнения обновления вручную или с использованием MDM существует специальный код обхода, который не связан с отключением защиты от вмешательства на установленное время. Вам не нужно отключать защиту от вмешательства, если ваши клиенты автоматически обновляются с помощью услуги обновления Cato.

Чтобы отключить защиту от вмешательства для обновления клиента:

  1. Перейдите в Доступ > Развертывание Клиента.

  2. В разделе, соответствующем версии операционной системы клиента, скопируйте код обновления. Если политика обновления для этой операционной системы установлена на Управляется MDM, скопируйте код в ваш MDM или предоставьте код конкретному пользователю для ручного обновления.

Отключение защиты от вмешательства для удаления Клиента

В рамках защиты от вмешательства, когда защита от вмешательства включена, Клиент не может быть удалён. Чтобы позволить администраторам удалить клиент вручную или с использованием MDM, существует специальный код обхода, который не связан с отключением защиты от вмешательства на установленное время.

Если вы не уверены, включена ли защита от вмешательства у конкретного Клиента, вы все равно можете ввести код – если защита от вмешательства не включена, обновление всё равно будет работать.

Чтобы отключить защиту от вмешательства для удаления клиента:

  1. Перейдите к Доступ > Доступ клиента VPN.

  2. В разделе Код удаления клиента скопируйте код обхода в ваш MDM или предоставьте код конкретному пользователю для ручного удаления.

Настройка исключений для защиты от вмешательства

В специфических, контролируемых сценариях может быть необходимо разрешить доверенные инструменты или рабочие процессы для взаимодействия с защищенными компонентами. Исключения защиты от вмешательства позволяют явно разрешить эти действия, не отключая защиту полностью, помогая поддерживать защиту и избегая операционных сбоев.

Следует осторожно использовать исключения защиты от вмешательства и только для хорошо понятных, проверенных случаев использования, так как слишком широкий охват исключений ослабляет вашу безопасность.

Сценарий применения

Компания ABC использует несколько инструментов управления конечными точками и безопасности, которые должны взаимодействовать с защищенными компонентами конечных точек для нормальной работы. Например, команда IT использует доверенный инструмент развертывания программного обеспечения для установки обновлений и проведения технического обслуживания на управляемых конечных точках.

Когда защита от вмешательства включена, эти инструменты пытаются изменить защищенные услуги и файлы, и их действия блокируются. Это препятствует успешному завершению обновлений и вызывает операционные сбои.

Чтобы решить эту проблему, IT-команда создает целевое исключение защиты от вмешательства для специфического доверенного процесса, используемого инструментом развертывания. Исключение позволяет инструменту выполнять необходимые действия, в то время как защита от вмешательства продолжает защищать все другие компоненты и процессы на конечной точке.

Настройка исключений

Для настройки исключения защиты от вмешательства:

  1. В меню навигации выберите Доступ > Политика Always-On и щелкните вкладку Исключения защиты от вмешательства.

  2. Щелкните Новый и настройте следующие параметры:

    • Имя и описание правила

    • В разделе Пользователи/Группы определите, к кому применяется правило

    • В разделе Объекты, настройте:

      • Тип - Выберите, что вы исключаете (например, процесс или путь к файлу)

      • Значение - Введите точное имя или путь исключенной сущности

      • Определите, хотите ли вы проверить подпись значения. Это рекомендуется для обеспечения безопасности с соблюдением лучших практик

  3. Щелкните Применить, а на странице политики щелкните Сохранить.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 5

0 комментариев