ЕдиныйАгент Безопасность в Windows

Материал из Документация Ключ-АСТРОМ

Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, Ключ-Астром требует привилегированного доступа к вашей операционной системе как во время установки, так и во время работы.

Примечание: ЕдиныйАгент тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности.

Разрешения

ЕдиныйАгент требует права администратора в Windows как для установки, так и для работы.

Установка

Установщику ЕдиногоАгента требуются права администратора для:

  • Создание службы ЕдиногоАгента.
  • Изменение определенных разделов реестра.
  • Установка WinPcap.
  • Установка устройства oneagentmon.

Операция

ЕдиныйАгент требует прав администратора для:

  • Список всех процессов.
  • Получения статистики памяти для всех процессов.
  • Чтения командной строки и среды каждого процесса.
  • Просмотра описания исполняемых файлов.
  • Чтения конфигурации приложений для Apache и IIS
  • Просмотра списка библиотек, загруженных для каждого процесса.
  • Чтения разделов реестра Windows.
  • Чтения домена приложений .NET для .NET 2.0, 3.0 и 3.5.
  • Мониторинга сетевого трафика.
  • Разбора исполняемых файлов для обнаружения Go.
  • Сбора данных мониторинга, связанных с контейнерами Docker.

Изменения в операционной системе

ЕдиныйАгент выполняет следующие изменения в вашей системе:

Установка

Установщик ЕдиногоАгента изменяет следующие аспекты вашей системы:

  • Начиная с версии 1.195, учетная запись пользователя не создается для запуска расширений ЕдиногоАгента. Вместо этого используется привилегированная системная учетная запись NT AUTHORITY\SYSTEM. Дополнительные сведения см. в разделе настраиваемый пользователь ЕдиногоАгента.
  • Создается служба Ключ-Астром ЕдиныйАгент.
  • Программа Ключ-Астром ЕдиныйАгент регистрируется в программе установки Windows.
  • устанавливается драйвер oneagentmon и создается устройство OneAgentMon. Это необходимо для обеспечения автоматического внедрения в процессы.
  • устанавливается WinPcap
  • Создаются поддеревья реестра:
Операция

Каждый раз, когда служба Docker обнаруживается и группируется, dtuser добавляется в список управления доступом \\.\pipe\docker_engine с правами GENERIC_ALL.

Добавленны файлы

Установка

Установщик ЕдиногоАгента добавляет в вашу систему следующие файлы:

  • Двоичные файлы и файлы конфигурации ЕдиногоАгента сохраняются в %PROGRAMFILES%\key-astrom\oneagent. Обратите внимание, что вы можете изменить местоположение, используя параметр INSTALL_PATH.
  • Временные файлы установщика сохраняются в C:\AI_RecycleBin. Папка будет удалена после завершения установки.
Операция
  • Временные файлы ЕдиногоАгента и конфигурация среды выполнения сохраняются в %PROGRAMDATA%\key-astrom\oneagent\runtime.
  • Постоянная конфигурация ЕдиногоАгента сохраняется в %PROGRAMDATA%\key-astrom\oneagent\config.
  • Большие данные во время выполнения, такие как дампы памяти, сохраняются в %PROGRAMDATA%\key-astrom\oneagent\datastorage. Обратите внимание, что вы можете изменить расположение больших данных во время выполнения, используя параметр DATA_STORAGE.

Системные журналы, загруженные ЕдинымАгентом

ЕдиныйАгент загружает системные журналы безопасности, системы и приложений за последние 14 дней, чтобы Ключ-Астром могла диагностировать проблемы, которые могут быть вызваны условиями в вашей среде. Чаще всего такие проблемы связаны с глубоким мониторингом или автоматическими обновлениями.

Отмена доступа к системным журналам

Чтобы отменить доступ к системным журналам, используйте команду oneagentctl с параметром --set-system-logs-access-enabled, установленным в значение false.

Дополнительные сведения см. в разделе Настройка одного агента через интерфейс командной строки

Глобально доступные для записи каталоги

Структура каталогов ЕдиногоАгента содержит глобально доступные для записи каталоги (каталоги, в которые группа пользователей Everyone может записывать, изменять или выполнять). Изменение этих разрешений пользователями не поддерживается.

Механизм инъекций ЕдиногоАгента

Такие разрешения для выбранного набора каталогов необходимы для успешного внедрения ЕдиногоАгента в процессы на отслеживаемых хостах. Когда ЕдиныйАгент внедряется в процесс, модуль кода, ответственный за внедрение, выполняется в контексте исходного внедренного процесса. Следовательно, пользователям, под управлением которых выполняются эти процессы, необходимо разрешить запись в структуру каталогов ЕдиногоАгента, что является причиной глобальных разрешений на запись, которые позволяют это.

Аналогичным образом, для некоторых файлов журнала требуются глобальные разрешения на запись, чтобы приложения, работающие под управлением разных пользователей, могли выполнять в них запись.

Безопасность системы

Мы знаем, что глобальные разрешения на чтение и запись в каталогах ЕдиногоАгента помечаются эвристикой проверки безопасности, но мы можем заверить вас, что они полностью безопасны.

  • Мы максимально ограничиваем количество каталогов, доступных для глобальной записи.
  • Мы используем расширенные права доступа к файлам и используем разрешение Владельца создателя для ограничения доступа к файлам.

Подписание установщика

Установщик ЕдиногоАгента подписан на один или несколько корневых сертификатов DigiCert. Для систем с регулярным обслуживанием Windows проверяет, что установщик ЕдиногоАгента был опубликован проверенным издателем.

Если ваша система под управлением Windows была отключена от сети с марта 2021 года или дольше, Windows не сможет проверить установщик, а издатель установщика ЕдиногоАгента будет отображаться как Неизвестный издатель при попытке установки или обновления. В таком случае вам необходимо загрузить последнюю версию сертификата из корневых сертификатов DigiCert и добавить его в свою систему. Среди всех сертификатов DigiCert глобальный корневой сертификат DigiCert G3 является обязательным для успешной проверки установщика ЕдиногоАгента.

Windows 2008 R2

Начиная с версии 1.225 ЕдиногоАгента, установщик подписывается с использованием алгоритма SHA-2. Следовательно, на хостах Windows 2008 R2 должна быть установлена поддержка подписи кода SHA-2. Если вы используете Центр обновления Windows, обновления были предложены вам автоматически (KB4474419 и KB4490628). Однако, если ваша система Windows 2008 R2 не поддерживает проверку установщиков, подписанных SHA-2, автоматическое обновление и установка ЕдиногоАгента не будут работать, если Applocker настроен на блокировку неизвестных издателей и / или могут отображаться предупреждения о безопасности. Дополнительные сведения см. в объявлении Microsoft 2019 о требованиях к поддержке подписи кода SHA-2 для Windows и WSUS.