Migrieren von Makroausschlüssen für die Skriptsteuerung in die neue Speicherschutz-Konfiguration (nur Windows)

Wenn Sie zuvor Makroausschlüsse auf der Registerkarte „Skriptsteuerung“ Ihrer Geräterichtlinien hinzugefügt haben, müssen Sie diese Ausschlüsse in die neue Speicherschutz-Konfiguration für Aurora Protect Desktop für Windows 3.x migrieren. Wenn Sie die Ausschlüsse für die Skriptsteuerung manuell migrieren möchten, können Sie einfach die Ausschlüsse aufzeichnen, die Sie auf der Registerkarte „Skriptsteuerung“ Ihrer Geräterichtlinien hinzugefügt haben, und dann dieselben Ausschlüsse auf der Registerkarte „Speicheraktionen“ in Ihren Geräterichtlinien hinzufügen.

Führen Sie die folgenden Schritte aus, wenn Sie die vorhandenen Ausschlüsse für die Skriptsteuerung mit einem PowerShell-Skript migrieren möchten, das von Arctic Wolf bereitgestellt wird.

Anmerkung: Die folgenden Schritte gelten für Mandanten, die mit der Endpoint Defense-Konsole verwaltet werden. Falls Sie Mandanten mit der Mandantenfähigen Konsole verwalten, rufen Sie KB 42221231386907 auf.
  • Stellen Sie sicher, dass PowerShell auf Ihrem Computer installiert ist und dass die PowerShell-Skripte nicht durch Sicherheitssoftware blockiert sind, einschließlich Aurora Protect Desktop. Wenn Aurora Protect Desktop auf Ihrem Computer installiert ist, stellen Sie sicher, dass in der Ihrem Gerät zugewiesenen Geräterichtlinie die Option Skriptsteuerung > Verwendung der PowerShell-Konsole blockieren deaktiviert ist.
  • Fügen Sie in der Endpoint Defense-Konsole über eine Integration mit den folgenden API-Berechtigungen hinzu und erfassen Sie die resultierende Anwendungs-ID und den geheimen Anwendungsschlüssel:
    • Richtlinien: Lesen, Ändern
    • Benutzer: Gelesen
  • Erfassen Sie unter Einstellungen > Integrationen die Mandanten-ID.
  • Wenn Sie das Skript ausführen, geben Sie die E-Mail-Adresse eines Administratorkontos für die Endpoint Defense-Konsole an. Stellen Sie sicher, dass das Konto, das Sie verwenden möchten, über Administratorrechte verfügt.
  • Überprüfen Sie in den Geräterichtlinien, in denen Sie Ausschlüsse von der Skriptsteuerung zum Speicherschutz migrieren möchten, ob die Skriptsteuerung aktiviert ist und ob Makroausschlüsse vorhanden sind.
    • Das Skript ignoriert Richtlinien, bei denen die Skriptsteuerung deaktiviert ist, und Richtlinien, für die keine Ausschlüsse definiert wurden.
    • Das Skript migriert keine Ausschlüsse mit Multibyte-Zeichen. Sie müssen diese Ausschlüsse manuell hinzufügen.
  • Laden Sie das PowerShell-Skript herunter.
  1. Öffnen Sie eine PowerShell-Eingabeaufforderung und ändern Sie das Verzeichnis zum Speicherort des Skripts.
  2. Führen Sie das Skript mit den entsprechenden Parametern aus der folgenden Tabelle aus.
    • Führen Sie das Skript zuerst im -dryRun-Modus aus, um eine Vorschau der Migration anzuzeigen, ohne Änderungen vorzunehmen. Dadurch wird eine Ausgabedatei erzeugt, mit der Sie Probleme identifizieren und beheben können.
    • Führen Sie das Skript für die spezifischen Geräterichtlinien aus, die Sie für Tests verwenden möchten. Nach dem Testen und Validieren des 3.x-Agenten können Sie mit dem Skript die Migration auf Ihre Produktionsgeräterichtlinien anwenden.

    Parameter

    Erforderlich oder optional

    Beschreibung

    -copySCExclusions

    Erforderlich

    Mit diesem Befehl werden Makroausschlüsse aus der Konfiguration der Skriptsteuerung in die neue Speicherschutz-Konfiguration migriert.

    -allPolicies

    ODER

    -policy ‘policy_name

    Erforderlich

    -allPolicies führt die Migration für alle Geräterichtlinien in Ihrem Mandanten aus.

    -policy ‘policy_name>’' führt die Migration für eine angegebene Geräterichtlinie aus.

    -dryRun

    Optional

    Mit diesem Befehl wird eine Vorschau der Skriptausführung angezeigt, ohne Änderungen vorzunehmen. Wenn Sie das Skript in diesem Modus ausführen, wird eine Ausgabedatei in dem Verzeichnis erstellt, aus dem das Skript ausgeführt wird.

    -tenantId ‘tenant_ID

    Erforderlich

    Dieser Befehl gibt die ID Ihres Aurora Endpoint Security-Mandanten an.

    -apiKey ‘application_ID

    Erforderlich

    Dieser Befehl gibt die Anwendungs-ID der Integration an, die Sie unter „Einstellungen > Integrationen“ hinzugefügt haben.

    -apiSecret ‘application_secret

    Erforderlich

    Mit diesem Befehl wird der geheime Anwendungsschlüssel der Integration angegeben, die Sie unter „Einstellungen > Integrationen“ hinzugefügt haben.

    -userEmail ‘admin_email

    Erforderlich

    Dieser Befehl gibt die E-Mail-Adresse des Administratorkontos der Endpoint Defense-Konsole an, mit dem Sie die Migration ausführen möchten. Das Konto muss über Administratorrechte verfügen.

    -region ‘region_code

    Erforderlich
    Dieser Befehl gibt die Region Ihres Aurora Endpoint Security-Mandanten an. Verwenden Sie einen der folgenden Werte:
    • Nordamerika: na (Standardwert, wenn nicht angegeben)
    • Japan: apne1
    • Australien: au
    • Europa: euc1
    • Südamerika: sae1
    • GovCloud: us

    -Ignore158xWarning

    Optional

    Mit diesem Befehl ignorieren Sie bei der Migration Fehler im Zusammenhang mit der Maximalgröße für Speicherschutz-Ausschlüsse, die von 64 KB bei älteren Aurora Protect Desktop-Versionen auf 2 MB bei Version 3.x erhöht wurde.

    Anmerkung: Verwenden Sie diesen Parameter nur, wenn alle Geräte, die mit der Zielgeräterichtlinie verknüpft sind, Agent 3.x oder höher verwenden.

    -ignore158xCompatibility

    Optional

    Dieser Befehl bezieht sich auf einen bestimmten Fehler mit Aurora Protect Desktop für Windows 2.1.1580 und 1584 (siehe KB 42221299286939). Die Korrektur des Fehlers (Hinzufügen eines zusätzlichen Sternchens (*) zum Platzhalterwert in einem Ausschlusspfad, um den Platzhalter ** zu erhalten) ist standardmäßig in das Skript integriert. Wenn Sie diesen Parameter verwenden, wird die im Skript integrierte Korrektur deaktiviert.

    Anmerkung: Verwenden Sie diesen Parameter, wenn die Zielgeräterichtlinie Geräten mit Agent 1578 oder niedriger und Geräten mit Agent 3.x oder höher zugeordnet ist. Verwenden Sie diesen Parameter nicht, wenn die Richtlinie mit Geräten mit Agent 158x verknüpft ist.

    -includeExtensionsextensions

    Optional

    Dieser Befehl gibt die Erweiterungen an, die zur Speicherschutzkonfiguration migriert werden sollen (zum Beispiel -includeExtensions ps1, ja, xlxs).

    Wenn Sie diesen Parameter nicht verwenden, werden alle Erweiterungen migriert.
Anmerkung: Wenn Sie das Skript im -dryRun-Modus ausführen, tritt möglicherweise der folgende Fehler in der Ausgabedatei auf: “Entering Modify 'Richtlinienname' Policy... logError : The requested policy has not been converted to MemoryProtection v2.” Dies kann auftreten, wenn eine Geräterichtlinie längere Zeit nicht bearbeitet wurde. Um dieses Problem zu beheben, öffnen und speichern Sie die Richtlinie in der Verwaltungskonsole.

Die PowerShell-Ausgabe zeigt an, ob bestimmte Ausschlüsse für die Skriptsteuerung nicht migriert werden konnten. Sie müssen diese Ausschlüsse manuell zur Speicherschutz-Konfiguration hinzufügen.

Beispiel: Führen Sie das Skript im Modus -dryRun aus

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -dryRun -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'

Beispiel: Führen Sie das Skript für eine bestimmte Geräterichtlinie aus

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -policy 'userPolicy' -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'

Beispiel: Führen Sie das Skript für alle Geräterichtlinien aus

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
  • Prüfen Sie auf der Registerkarte „Speicheraktionen“ der Richtlinien für das Zielgerät die migrierten Ausschlüsse und löschen Sie alle, die nicht für den neuen Verletzungstyp „Gefährliche VBA-Makros“ gelten.
  • Löschen Sie die PowerShell-Integration, die Sie der Verwaltungskonsole hinzugefügt haben.