Piszki Lab

Analiza przypadku w języku przodków…

Deep Security: Odinstalowanie osieroconego Agenta

| 0 comments

Motto: Gdy Agent traci kontakt z Bazą, należy go zlikwidować Uśmiech

W związku z ostatnimi aktualizacjami Trend Micro Deep Security, musiałem przeprowadzić akcję masowego podnoszenia agentów do nowej wersji. W trakcie tej operacji, ze zdumieniem stwierdziłem, że jedna z wirtualnych maszyn funkcjonuje w trybie dziwnego zawieszenia. Utraciła ochronę zapewnianą przez DSVA a Agent “wisi” z komunikatem “Activation delayed” (w nieskończoność). Migracja maszyny na innego hosta nic nie dała, tak samo jak ponowna instalacja VMware Tools. Bardzo niepokojącym faktem jest to, że ten stan nie generował żadnego Alertu!

agent3

Oczywiście odinstalowanie aktywowanego Agenta to nie jest taka prosta sprawa. Oprogramowanie aktywie broni się przed manipulacjami (removal or modification of this application is prohibited by its security settings), nie można tak po prostu wyłączyć serwisu “Trend Micro Deep Security Agent”. Jeśli jednak możemy zrestartować bezpiecznie maszynę to najlepiej przestawić serwis w pozycję “disabled” i wykonać restart.

agent1

W innym wypadku musimy jako administrator zabić następujące trzy procesy:

coreServicesShell.exe

coreFrameworkHost.exe

ds_agent.exe

Gdy już mamy wyłączone procesy Agenta, należy w rejestrze systemu Windows, w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\Deep Security Agent

Przestawić parametr” Self Protect” z jeden na zero.

agent4

W tym momencie możemy bezpiecznie odinstalować Agenta. Zanim wykonamy kolejne kroki, warto upewnić się, czy na maszynie działa vShield Driver. Wystarczy (o ile jest to system Windows) uruchomić msinfo32.exe:

agent10

W tym momencie możemy już zainstalować nową wersję agenta. W DSM9 nastąpiła zmiana na plus, można już ponownie reaktywować wcześniej aktywowanego agenta, w wersji DSM8 było to nie możliwe.

W opisywanym przeze mnie przypadku, mimo przeczesania Internetu i stron wsparcia Trend Micro, nie udało mi się sprawić, aby DSM zobaczył ponownie wspomnianą maszynę (jej stan dla niego był niezmienny). Niepowodzeniem skończyła się każda aktywacja reinstalowanego agenta. Ostatecznie sprawę zgłosiłem do wsparcia technicznego. Wsparcie Trend Micro muszę generalnie pochwalić, wykazali się sporym zaangażowaniem w problem. Ostatecznie sprawę udało się rozwiązać, jak zawsze trochę przypadkiem. Problem prawdopodobnie leżał w DSM, w którymś momencie zostały na jego maszynie zainstalowane poprawki systemowe, a następnie zrestartowany cały serwer. Po restarcie DSM w końcu odświeżył sobie informacje o feralnej maszynie i całość ruszyła do przodu.

Jak widzicie, metody rodem z Windows 95 ciągle działają, restart jest dobry na wszystko Uśmiech

Jako posłowie, daję linka do wyszperanego przy tej okazji opracowania. Jest to najbardziej komplementarne opracowanie na temat bezpieczeństwa w środowisku VMware do jakiego dotarłem. Zupełnie inne niż normalna dokumentacja lub wpisy w blogach, jest to praca  magisterska, więc z pełną metodologią naukową. Naprawdę warto przeczytać.

English

Oceń ten artykuł:
[Głosów:0    Średnia:0/5]

Dodaj komentarz

Required fields are marked *.


.

Podobał się wpis? Wesprzyj Piszki Lab, kliknij w reklamę! :-)

.