Il software AutoElevate è denominato " AutoElevate System Agent" e viene installato su ciascun computer. Monitora, segnala e risponde a tutti gli eventi relativi ai privilegi UAC e agli attacchi LOTL. L'agente AutoElevate opera in modalità Audit, Policy o Live Elevation. Sono inoltre disponibili modalità Blocker che operano in modalità Disabilitata, Audit o Live . Al momento dell'installazione, gli agenti vengono impostati per impostazione predefinita in modalità Audit per Elevation e Disabilitati per Blocker. Questa variabile può essere modificata nello script di distribuzione.

Come modificare le modalità di elevazione

Nel portale di amministrazione ( https://msp.autoelevate.com ) , nella scheda Computer , seleziona la casella di controllo accanto al/i computer che desideri modificare, quindi, dal menu Azioni , seleziona Imposta modalità di elevazione su Live, Audit o Policy in Modalità di elevazione . Una volta che l'agente effettua il check-in e acquisisce l'impostazione (il check-in avviene ogni 10 minuti), sei pronto per il test. Fai clic sul pulsante "Aggiorna dati" nell'angolo in alto a destra per aggiornare la visualizzazione, quindi controlla la colonna "Modalità agente" per verificare se gli agenti hanno acquisito la nuova impostazione. Guarda l'immagine seguente dal menu Azioni:

Modalità di elevazione definite

• Audit : tutti gli eventi UAC vengono registrati, ma l'agente non risponde né applica le regole definite e, pertanto, non si verifica alcuna modifica all'esperienza utente.
  
• Policy - La modalità Policy applicherà ed elaborerà tutte le regole definite. Tuttavia, per qualsiasi evento senza una regola corrispondente, NON invocherà il processo di valutazione in tempo reale, ma consentirà invece all'utente di visualizzare l'UAC. La modalità Policy consentirà di creare e applicare regole per applicazioni critiche con un vantaggio immediato in termini di casi d'uso. Tuttavia, non richiederà all'utente o al tecnico di valutare elementi sconosciuti.
  
• Live - Tutti gli eventi UAC vengono intercettati e vengono applicate le regole definite (per elevare i privilegi o bloccarli). Per qualsiasi evento senza una regola corrispondente, all'utente finale verrà data la possibilità di procedere con una richiesta di privilegio. La richiesta di privilegio comporta la notifica a qualsiasi tecnico con accesso aziendale e l'apertura di un ticket (se si dispone di un sistema di ticketing PSA integrato). Al tecnico vengono fornite informazioni su chi sta effettuando la richiesta, cosa sta richiedendo, le impostazioni di sicurezza di base del computer e se l'applicazione o l'azione desiderata è sicura, oltre alla possibilità di rispondere alla richiesta dell'utente in tempo reale.
  
  

Come modificare le modalità di blocco

Nel portale di amministrazione ( https://msp.autoelevate.com ) , nella scheda Computer , seleziona la casella di controllo accanto al/i computer che desideri modificare, quindi, dal menu Azioni , seleziona Imposta modalità blocco su Live, Audit o Disabilitato in Modalità blocco . Una volta che l'agente effettua il check-in e acquisisce l'impostazione (il check-in avviene ogni 10 minuti), sei pronto per il test. Fai clic sul pulsante "Aggiorna dati" nell'angolo in alto a destra per aggiornare la visualizzazione, quindi controlla la colonna "Modalità blocco" per verificare se gli agenti hanno acquisito la nuova impostazione della modalità agente. Guarda l'immagine seguente dal menu Azioni:

Nota: queste modalità si trovano nel menu azioni della schermata Computer. Maggiori informazioni su Blocker qui.

Modalità di blocco definite

• Disabilitato - Il driver del filtro dell'agente non è installato o è disinstallato se precedentemente installato. Di conseguenza, in questo stato, nessun processo Windows viene monitorato e nessuna regola di blocco esistente viene applicata. Poiché il blocco è disabilitato, l'esperienza utente non subisce modifiche.
   
• Audit - Il driver del filtro dell'agente è installato. I processi Windows per i file binari utilizzati negli attacchi LOTL vengono monitorati e il loro utilizzo viene analizzato per generare raccomandazioni di blocco. L'agente AE non applica alcuna regola di blocco definita e, pertanto, non vi è alcuna modifica nell'esperienza utente.
   
• Live - Il driver del filtro dell'agente è installato. I processi Windows per i file binari utilizzati negli attacchi LOTL vengono monitorati e il loro utilizzo viene analizzato per generare raccomandazioni di blocco. L'agente AE blocca o consente i processi Windows in base a qualsiasi regola di blocco definita.
  
  

Modalità Tecnico

Questa è una modalità speciale che consente ai tecnici in loco di interagire con i prompt UAC del computer. Per una spiegazione più approfondita, consultare la documentazione della Modalità Tecnico sul nostro sito di supporto. Ecco come appare l'impostazione nel menu Azioni Computer:

Componenti dell'agente AutoElevate

I componenti che costituiscono l'agente di sistema sono il servizio AutoElevate Agent, che è impostato per avviarsi automaticamente all'avvio di Windows e quindi genera le applicazioni AEAlert e AEUACAgent una volta che un utente ha effettuato l'accesso. Quando il servizio AutoElevate Agent viene arrestato, il computer riprende le funzionalità standard di UAC e gli eventi UAC non vengono più monitorati.

Per istruzioni più dettagliate sulle opzioni di distribuzione dell'agente, consultare il documento Installazione dell'agente di sistema .

Il componente AutoElevate Blocker

Il componente che compone Blocker è l'applicazione AEAutoBlocker , che viene eseguita una volta abilitato Blocker in modalità Audit o Live. Anche il driver del filtro non viene installato finché Blocker non è abilitato. Per ulteriori informazioni, vedere: Gestione di Blocker .

Come aggiornare l'agente

Gli aggiornamenti vengono distribuiti automaticamente in base allo stato del tenant. Per aggiornare l'agente, consultare la sezione Azioni della schermata Computer di seguito: