Migrer les exclusions de macro de contrôle de script vers la nouvelle configuration de protection de la mémoire (Windows uniquement)

Si vous avez précédemment ajouté des exclusions de macro dans l'onglet Contrôle de script de vos stratégies de terminal, vous devez migrer ces exclusions vers la nouvelle configuration de protection de la mémoire pour Aurora Protect Desktop pour Windows 3.x. Si vous souhaitez migrer manuellement les exclusions de contrôle de script, il vous suffit d'enregistrer les exclusions que vous avez ajoutées dans l'onglet Contrôle de script de vos stratégies de terminal, puis d'ajouter les mêmes exclusions dans l'onglet Actions de mémoire de vos stratégies de terminal.

Suivez les étapes ci-dessous si vous souhaitez migrer les exclusions de contrôle de script existantes à l'aide d'un script PowerShell fourni par Arctic Wolf.

Remarque : Les étapes ci-dessous s'appliquent aux locataires gérés à l'aide de la console Endpoint Defense. Si vous gérez des locataires à l'aide de la Console multilocataire, consultez l'article KB 42221231386907.
  • Vérifiez que PowerShell est installé sur votre ordinateur et que les scripts PowerShell ne sont pas bloqués par le logiciel de sécurité, y compris Aurora Protect Desktop. Si Aurora Protect Desktop est installé sur votre ordinateur, dans la stratégie attribuée à votre terminal, vérifiez que Contrôle de script > Bloquer l'utilisation de la console PowerShell est désactivé.
  • Dans la console Endpoint Defense, ajoutez une intégration avec les privilèges d'API suivants et enregistrez l'ID et le code secret d'application obtenus :
    • Stratégies : lecture, modification
    • Utilisateurs : Lire
  • Dans Paramètres > Intégrations, enregistrez l'ID de locataire.
  • Lorsque vous exécutez le script, spécifiez l'adresse e-mail d'un compte administrateur de la console Endpoint Defense. Vérifiez que le compte que vous souhaitez utiliser a le rôle Administrateur.
  • Dans les stratégies de terminal où vous souhaitez migrer les exclusions du contrôle de script vers la protection de la mémoire, vérifiez que le contrôle de script est activé et que les exclusions de macro sont présentes.
    • Le script ignorera les stratégies pour lesquelles le contrôle de script est désactivé et les stratégies qui ne comportent pas d'exclusions de contrôle de script.
    • Le script ne migre pas les listes d'exclusion contenant des caractères multioctets. Vous devez ajouter ces exclusions manuellement.
  • Téléchargez le script PowerShell.
  1. Ouvrez une invite de commande PowerShell et remplacez le répertoire par l'emplacement du script.
  2. Exécutez le script en utilisant les paramètres appropriés du tableau ci-dessous.
    • Commencez par exécuter le script en mode -dryRun pour prévisualiser la migration sans apporter de modifications. Cela génère un fichier de sortie que vous pouvez utiliser pour identifier et corriger les problèmes.
    • Exécutez le script pour les stratégies de terminal spécifiques que vous prévoyez d'utiliser pour les tests. Après avoir testé et validé l'agent 3.x, vous pouvez utiliser le script pour appliquer la migration à vos stratégies de terminal de production.

    Paramètre

    Obligatoire ou facultative

    Description

    -copySCExclusions

    Requis

    Cette commande exécute la migration des exclusions de macro de la configuration de contrôle de script vers la nouvelle configuration de protection de la mémoire.

    -allPolicies

    OU

    -policy ‘policy_name

    Requis

    -allPolicies exécute la migration de toutes les stratégies de terminal de votre locataire.

    -policy ‘policy_name>’' exécute la migration d'une stratégie de terminal spécifique.

    -dryRun

    Facultative

    Cette commande affiche un aperçu de l'exécution du script sans apporter de modifications. Lorsque vous exécutez le script dans ce mode, il crée un fichier de sortie dans le répertoire à partir duquel le script est exécuté.

    -tenantId ‘tenant_ID

    Requis

    Cette commande spécifie l'ID de votre locataire Aurora Endpoint Security.

    -apiKey ‘application_ID

    Requis

    Cette commande spécifie l'ID d'application de l'intégration que vous avez ajoutée dans Paramètres > Intégrations.

    -apiSecret ‘application_secret

    Requis

    Cette commande spécifie le secret d'application de l'intégration que vous avez ajoutée dans Paramètres > Intégrations.

    -userEmail ‘admin_email

    Requis

    Cette commande spécifie l'adresse e-mail du compte administrateur de la console Endpoint Defense que vous souhaitez utiliser pour exécuter la migration. Le compte doit avoir le rôle Administrateur.

    -region ‘region_code

    Requis
    Cette commande spécifie la région de votre locataire Aurora Endpoint Security. Utilisez une des valeurs suivantes :
    • Amérique du Nord : na (valeur par défaut si non spécifiée)
    • Japon : apne1
    • Australie : au
    • Europe : euc1
    • Amérique du Sud : sae1
    • GovCloud : us

    -Ignore158xWarning

    Facultative

    Cette commande permet au processus de migration d'ignorer les erreurs liées à la limite de taille des exclusions de protection de la mémoire, qui est passée de 64 Ko pour les versions antérieures de Aurora Protect Desktop à 2 Mo pour la version 3.x.

    Remarque : Utilisez ce paramètre uniquement si tous les terminaux associés à la stratégie de terminal cible utilisent l'agent de version 3.x ou versions ultérieures.

    -ignore158xCompatibility

    Facultative

    Cette commande est liée à un défaut spécifique de Aurora Protect Desktop sur Windows 2.1.1580 et 1584 (consulter l'article 42221299286939 de la base de connaissances). La correction du défaut (en ajoutant un astérisque (*) supplémentaire à la valeur du caractère générique dans un chemin d'exclusion pour faire du caractère générique **) est intégrée au script par défaut. Si vous utilisez ce paramètre, la correction intégrée au script est désactivée.

    Remarque : Utilisez ce paramètre si la stratégie de terminal cible est associée à des terminaux avec l'agent 1578 ou versions antérieures et à des terminaux avec l'agent 3.x ou versions ultérieures. Si la stratégie est associée à des terminaux avec l'agent 158x, n'utilisez pas ce paramètre.

    -includeExtensionsextensions

    Facultative

    Cette commande spécifie les extensions à migrer vers la configuration de protection de la mémoire (par exemple, -includeExtensions ps1, ja, xlxs).

    Si vous n'utilisez pas ce paramètre, toutes les extensions sont migrées.
Remarque : Lorsque vous exécutez le script en mode -dryRun, il se peut que vous rencontriez l'erreur suivante dans le fichier de sortie : “Entering Modify 'nom_stratégie' Policy... logError : The requested policy has not been converted to MemoryProtection v2.” Ceci peut se produire si aucune stratégie de terminal n'a été modifiée depuis un certain temps. Pour résoudre ce problème, ouvrez et enregistrez la stratégie dans la console de gestion.

La sortie PowerShell indique si des exclusions de contrôle de script n'ont pas pu être migrées. Vous devez ajouter manuellement ces exclusions à la configuration de protection de la mémoire.

Exemple : exécutez le script en mode -dryRun

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -dryRun -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'

Exemple : exécutez le script pour une stratégie de terminal spécifique

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -policy 'userPolicy' -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'

Exemple : exécutez le script pour toutes les stratégies de terminal

CODE 
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
  • Sous l'onglet Actions de mémoire des stratégies de terminal cible, vérifiez les exclusions migrées et supprimez celles qui ne s'appliquent pas au nouveau type de violation de macro VBA dangereux.
  • Supprimez l'intégration PowerShell que vous avez ajoutée à la console de gestion.