与Cato客户端的防篡改功能配合使用

本文提供有关Windows版Cato客户端的防篡改机制的信息。

注意： 可用从 Windows客户端 v5.14 和更高版本。此外，Windows客户端 5.14 安装了一个额外的驱动来支持反篡改。除非启用反篡改，否则此驱动不会加载。

概览

防篡改功能可防止用户更改您作为管理员不希望他们更改的Cato客户端。例如，用户可能会尝试禁用管理员配置的某些全局设置或尝试强制停止客户端的进程或服务。篡改通常是由于以下原因之一：

防篡改功能保护主机上的各种资源免受任何改动或禁用这些防御机制的尝试，即使用户具有本地管理员权限。

反篡改可防止客户端的未经授权的修改。当启用防篡改功能时，用户无法执行以下操作：

编辑Cato客户端注册表项
修改或创建以下目录中的文件：
- C:\Program Files (x86)\Cato Networks\Cato Client
- C:\ProgramData\CatoNetworks
升级或卸载Cato客户端

用户可以联系管理员以获得临时禁用不同保护的代码。

当强制执行防篡改功能时，用户无法卸载客户端。然而，当管理员想要同时卸载多个客户端时，无法逐一请求管理员绕过每台主机。取而代之的是，他们可以使用一个代码对所有客户端，该代码有效期为2周。

作为防篡改保护的一部分，当启用防篡改时，按设计客户端无法升级。要手动升级或使用MDM升级，有特定的绕过代码，而不是为配置的持续时间禁用防篡改。如果您的客户端通过Cato升级服务自动升级，则无需禁用防篡改保护。

禁用客户端升级的防篡改功能：

导航至访问 > 客户端部署。
在相关客户端操作系统版本下，复制升级代码。如果该操作系统的升级政策设置为由MDM管理，则将代码复制到您的MDM，或向特定用户提供代码以进行手动升级。

作为防篡改保护的一部分，当启用防篡改时，客户端无法卸载。为了使管理员可以手动或使用MDM卸载客户端，有特定的绕过代码，而不是为配置的持续时间禁用防篡改。

如果不确定特定客户端是否启用了防篡改，您仍然可以输入代码——如果未启用防篡改，升级仍然有效。

禁用客户端卸载的防篡改功能：

在特定、受控的场景中，您可能需要允许可信工具或工作流与受保护组件交互。防篡改排除项允许您明确允许这些操作，而无需完全禁用防篡改，从而在避免操作中断的同时保持保护。

应谨慎使用防篡改排除项，只用于已明确、已验证的使用案例，因为过于广泛的排除项会削弱您的安全态势。

ABC公司使用若干终端管理和安全工具，这些工具需要作为正常操作的一部分与受保护的终端组件交互。例如，IT团队使用可信的软件部署工具在受管理的终端上安装更新和执行维护。

当启用防篡改时，这些工具尝试修改受保护的服务和文件，其操作将被阻止。这会阻止更新成功完成，并导致操作中断。

为了解决这个问题，IT团队为部署工具使用的特定可信进程创建了一个有针对性的防篡改排除项。排除项允许工具执行所需操作，同时防篡改继续保护终端上的所有其他组件和进程。

配置防篡改排除项：