Gestion des verrouillages d’action

Lorsque vous souhaitez empêcher le client Tanium d’exécuter des scripts de package Tanium sur certains endpoint, vous pouvez déployer un verrouillage d’action. Un verrouillage d’action empêche toute action de s’exécuter, à l’exception des packages avec l’option Ignore action lock (Ignorer le verrouillage d’action) activée (reportez-vous à la section Créer un package). Le pack de contenus par défaut inclut des packages de verrouillage d’action pour les endpoints Windows et autres que Windows. Ce contenu comprend également un sensor nommé Action Lock Status (Statut de verrouillage d’action) et des questions enregistrées qui utilisent ce sensor, ce qui vous permet de suivre les clients Tanium avec verrouillage d’action activé.

Activer le verrouillage d’action

  1. Posez une question de ciblage, telle que Get Computer Name and Action Lock Status from all machines (Obtenir le nom de l’ordinateur et le statut de verrouillage d’action de toutes les machines).
  2. Sélectionnez les lignes de résultat pour les endpoints qui nécessitent le verrouillage d’action, puis cliquez sur Deploy Action (Déployer une action).
  3. Sélectionnez le package Tanium Client - Set Action Lock On (Client Tanium - Activer le verrouillage d’action) et sélectionnez le Action Group (Groupe d’actions) approprié.
  4. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer) puis sur Deploy Action (Déployer une action).
  5. Surveillez le statut de l’action. Si vous souhaitez tester le verrouillage d’action, enregistrez l’Action ID (ID d’action) et attendez que l’action soit effectuée.

Tester le verrouillage d’action

  1. Émettez la question enregistrée Clients That Cannot Take Actions - Action Lock On (Clients qui ne peuvent pas effectuer d’actions - Verrouillage d’action activé).
  2. Connectez-vous à un endpoint qui est inclus dans les résultats de la question et passez en revue les paramètres. L’activation du verrouillage d’action crée un paramètre ActionLockFlag sur les endpoints et définit la valeur sur 1. Sous Windows, ce paramètre est une clé de registre.
  3. Sur le endpoint, ouvrez le journal des actions associé et recherchez un message indiquant que le verrouillage d’action est activé. Les journaux des actions se trouvent dans le dossier <Tanium_Client_installation_directory>/Downloads (Téléchargements). Vous pouvez identifier le journal pour une action spécifique par le nom de fichier journal (Action_<ID>.txt), qui contient la valeur Action ID (ID d’action) affichée sur la page Action Status (Statut de l’action)Actions Summary (Résumé des actions) ou sur la page Administration (Administration) > Actions (Actions) > Action History (Historique des actions).
  4. Déployez une action sur le endpoint (reportez-vous à la section Déployer des actions). Une fois que la page Action Status (Statut de l’action)Action Summary (Résumé des actions) s’ouvre, l’action finit par expirer et son statut change et devient Expired (Expirée). La page Action History (Historique des actions) indique le Status (Statut) réglé sur Closed (Fermée) une fois l’action expirée.

Désactiver le verrouillage d’action

  1. Émettez la question enregistrée Clients That Cannot Take Actions - Action Lock On (Clients qui ne peuvent pas effectuer d’actions - Verrouillage d’action activé).
  2. Sélectionnez les lignes de résultat pour les endpoints qui nécessitent la désactivation du verrouillage d’action, puis cliquez sur Deploy Action (Déployer une action).
  3. Sélectionnez le package Tanium Client - Set Action Lock Off (Client Tanium - Désactiver le verrouillage d’action) et sélectionnez le Action Group (Groupe d’actions) approprié.
  4. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer) puis sur Deploy Action (Déployer une action).
  5. Surveillez le statut de l’action et attendez que l’action soit effectuée. Reportez-vous à la section Afficher le résumé et le statut des actions.

    Effectuez les étapes restantes pour vérifier que le verrouillage d’action est désactivé.

  6. Émettez la question enregistrée Clients That Cannot Take Actions - Action Lock On (Clients qui ne peuvent pas effectuer d’action - Verrouillage d’action activé), et vérifiez que les résultats n’incluent pas les endpoints pour lesquels vous avez désactivé le verrouillage d’action.
  7. Connectez-vous à un endpoint qui n’est pas inclus dans les résultats de la question et passez en revue les paramètres. La désactivation du verrouillage d’action supprime le paramètre ActionLockFlag sur les endpoints.
  8. Sur le endpoint, ouvrez le journal des actions associé et recherchez un message indiquant que le verrouillage d’action est désactivé. Les journaux des actions se trouvent dans le dossier <Tanium_Client_installation_directory>/Downloads (Téléchargements). Vous pouvez identifier le journal pour une action spécifique par le nom de fichier journal (Action_<ID>.txt), qui contient la valeur Action ID (ID d’action) affichée sur la page Action Status (Statut de l’action)Action Summary (Résumé des actions) ou sur la page Administration (Administration) > Actions (Actions) > Action History (Historique des actions).