Migrer les exclusions de macro de contrôle de script vers la nouvelle configuration de protection de la mémoire (Windows uniquement)
Windows
uniquement)Si vous avez précédemment ajouté des exclusions de macro dans l'onglet Contrôle de script de vos stratégies de terminal, vous devez migrer ces exclusions vers la nouvelle configuration de protection de la mémoire pour
CylancePROTECT Desktop
Windows
3.x. Si vous souhaitez migrer manuellement les exclusions de contrôle de script, il vous suffit d'enregistrer les exclusions que vous avez ajoutées dans l'onglet Contrôle de script de vos stratégies de terminal, puis d'ajouter les mêmes exclusions dans l'onglet Actions de mémoire de vos stratégies de terminal.
Suivez les étapes ci-dessous si vous souhaitez migrer les exclusions de contrôle de script existantes à l'aide d'un script PowerShell fourni par
BlackBerry
.Les étapes ci-dessous s'appliquent aux locataires gérés à l'aide de la console
Cylance
. Si vous gérez des locataires à l'aide de la Console multilocataire, consultez l' article KB 92149.- Vérifiez que PowerShell est installé sur votre ordinateur et que les scripts PowerShell ne sont pas bloqués par le logiciel de sécurité, y comprisCylancePROTECT Desktop. SiCylancePROTECT Desktopest installé sur votre ordinateur, dans la stratégie attribuée à votre terminal, vérifiez queContrôle de script > Bloquer l'utilisation de la console PowerShellest désactivé.
- Dans la consoleCylance, ajoutez une intégration avec les privilèges d'API suivants et enregistrez l'ID et le code secret d'application obtenus :
- Stratégies: lecture, modification
- Utilisateurs: lecture
- DansParamètres > Intégrations, enregistrez l'ID de locataire.
- Lorsque vous exécutez le script, spécifiez l'adresse e-mail d'un compte administrateur de la consoleCylance. Vérifiez que le compte que vous souhaitez utiliser a le rôle Administrateur.
- Dans les stratégies de terminal où vous souhaitez migrer les exclusions du contrôle de script vers la protection de la mémoire, vérifiez que le contrôle de script est activé et que les exclusions de macro sont présentes.
- Le script ignorera les stratégies pour lesquelles le contrôle de script est désactivé et les stratégies qui ne comportent pas d'exclusions de contrôle de script.
- Le script ne migre pas les listes d'exclusion contenant des caractères multioctets. Vous devez ajouter ces exclusions manuellement.
- Ouvrez une invite de commande PowerShell et remplacez le répertoire par l'emplacement du script.
- Exécutez le script en utilisant les paramètres appropriés du tableau ci-dessous.
- Commencez par exécuter le script en mode-dryRunpour prévisualiser la migration sans apporter de modifications. Cela génère un fichier de sortie que vous pouvez utiliser pour identifier et corriger les problèmes.
- Exécutez le script pour les stratégies de terminal spécifiques que vous prévoyez d'utiliser pour les tests. Après avoir testé et validé l'agent 3.x, vous pouvez utiliser le script pour appliquer la migration à vos stratégies de terminal de production.
ParamètreObligatoire ou facultativeDescription-copySCExclusionsRequisCette commande exécute la migration des exclusions de macro de la configuration de contrôle de script vers la nouvelle configuration de protection de la mémoire.-allPoliciesOU-policy ‘<policy_name>’Requis-allPoliciesexécute la migration de toutes les stratégies de terminal de votre locataire.-policy ‘exécute la migration d'une stratégie de terminal spécifique.<policy_name>’'-dryRunFacultativeCette commande affiche un aperçu de l'exécution du script sans apporter de modifications. Lorsque vous exécutez le script dans ce mode, il crée un fichier de sortie dans le répertoire à partir duquel le script est exécuté.-tenantId ‘<tenant_ID>’RequisCette commande spécifie l'ID de votre locataireCylance Endpoint Security.-apiKey ‘<application_ID>’RequisCette commande spécifie l'ID d'application de l'intégration que vous avez ajoutée dans Paramètres > Intégrations.-apiSecret ‘<application_secret>’RequisCette commande spécifie le secret d'application de l'intégration que vous avez ajoutée dans Paramètres > Intégrations.-userEmail ‘<admin_email>’RequisCette commande spécifie l'adresse e-mail du compte administrateur de la consoleCylanceque vous souhaitez utiliser pour exécuter la migration. Le compte doit avoir le rôle Administrateur.-region ‘<region_code>’RequisCette commande spécifie la région de votre locataireCylance Endpoint Security. Utilisez une des valeurs suivantes :- Amérique du Nord :na(valeur par défaut si ce champ n'est pas spécifié)
- Japon :apne1
- Australie :au
- Europe :euc1
- Amérique du Sud :sae1
- GovCloud :us
-Ignore158xWarningFacultativeCette commande permet au processus de migration d'ignorer les erreurs liées à la limite de taille des exclusions de protection de la mémoire, qui est passée de 64 Ko pour les versions antérieures deCylancePROTECT Desktopà 2 Mo pour la version 3.x.Utilisez ce paramètre uniquement si tous les terminaux associés à la stratégie de terminal cible utilisent l'agent de version 3.x ou versions ultérieures.-ignore158xCompatibilityFacultativeCette commande est liée à un défaut spécifique deCylancePROTECT DesktopsurWindows2.1.1580 et 1584 (consulter l' article KB 88218). La correction du défaut (en ajoutant un astérisque (*) supplémentaire à la valeur du caractère générique dans un chemin d'exclusion pour faire du caractère générique **) est intégrée au script par défaut. Si vous utilisez ce paramètre, la correction intégrée au script est désactivée.Utilisez ce paramètre si la stratégie de terminal cible est associée à des terminaux avec l'agent 1578 ou versions antérieures et à des terminaux avec l'agent 3.x ou versions ultérieures. Si la stratégie est associée à des terminaux avec l'agent 158x, n'utilisez pas ce paramètre.-includeExtensions<extensions>FacultativeCette commande spécifie les extensions à migrer vers la configuration de protection de la mémoire (par exemple, -includeExtensions ps1, ja, xlxs).Si vous n'utilisez pas ce paramètre, toutes les extensions sont migrées.
Lorsque vous exécutez le script en mode
-dryRun
, l'erreur suivante peut se produire dans le fichier de sortie : « Accès à la modification '<policy_name>
' Stratégie... logError : la stratégie demandée n'a pas été convertie en Memoryprotection v2 ». Cette erreur peut survenir si une stratégie de terminal n'a pas été modifiée depuis un certain temps. Pour résoudre ce problème, ouvrez et enregistrez la stratégie dans la console de gestion.
La sortie PowerShell indique si des exclusions de contrôle de script n'ont pas pu être migrées. Vous devez ajouter manuellement ces exclusions à la configuration de protection de la mémoire.
Exemple : exécutez le script en mode -dryRun
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -dryRun -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
Exemple : exécutez le script pour une stratégie de terminal spécifique
.\sc2memdef_copy.ps1 -copySCExclusions -policy 'userPolicy' -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
Exemple : exécutez le script pour toutes les stratégies de terminal
.\sc2memdef_copy.ps1 -copySCExclusions -allPolicies -tenantId '00000000-0000-0000-0000-000000000000' -apiKey '00000000-0000-0000-0000-000000000000' -apiSecret '00000000-0000-0000-0000-000000000000' -userEmail 'user@blackberry.com' -region 'na'
- Sous l'onglet Actions de mémoire des stratégies de terminal cible, vérifiez les exclusions migrées et supprimez celles qui ne s'appliquent pas au nouveau type de violation de macro VBA dangereux.
- Supprimez l'intégration PowerShell que vous avez ajoutée à la console de gestion.