Aktionssperren bearbeiten

Wenn Sie verhindern möchten, dass der Tanium Client das Tanium-Paketskript auf bestimmten Endpunkten ausführt, können Sie eine Aktionssperre einsetzen. Eine Aktionssperre verhindert, dass Aktionen ausgeführt werden, außer solche, die Paketen zugeordnet sind, bei denen die Option Ignore action lock (Aktionssperre ignorieren) aktiviert ist (siehe Ein Paket erstellen). Das Inhaltspaket Default Content (Standard-Inhalt) enthält Aktionssperren-Pakete für Windows- und Nicht-Windows-Endpunkte. Dieses Inhaltspaket beinhaltet auch einen Sensor mit der Bezeichnung Action Lock Status (Status der Aktionssperre) und gespeicherte Fragen, die diesen Sensor verwenden, wodurch Sie die Tanium Clients verfolgen können, die die Aktionssperre aktiviert haben.

Aktionssperre aktivieren

  1. Stellen Sie eine Zielfrage, wie z. B. Computername und Status der Aktionssperre von allen Maschinen abrufen.
  2. Wählen Sie die Ergebniszeilen für Endpunkte aus, die eine Aktionssperre erfordern, und klicken Sie auf Deploy Action (Aktion bereitstellen).
  3. Wählen Sie das Paket Tanium Client – Set Action Lock On (Tanium Client – Aktionssperre aktivieren), und wählen Sie die entsprechende Action Group (Aktionsgruppe) aus.
  4. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren) und dann auf Deploy Action (Aktion bereitstellen).
  5. Überwachen Sie den Aktionsstatus. Wenn Sie die Aktionssperre testen möchten, zeichnen Sie die Action ID (Aktions-ID) auf und warten Sie, bis die Aktion abgeschlossen ist.

Aktionssperre testen

  1. Stellen Sie die gespeicherte Frage Clients That Cannot Take Actions – Action Lock On (Clients, die keine Aktionen durchführen können – Aktionssperre aktiviert).
  2. Melden Sie sich bei einem Endpunkt an, der in den Ergebnissen der Frage enthalten ist, und überprüfen Sie die Einstellungen. Das Aktivieren der Aktionssperre erstellt eine ActionLockFlag-Einstellung auf Endpunkten und stellt den Wert auf 1 ein. Bei Windows-Endpunkten ist diese Einstellung ein Registry-Schlüssel.
  3. Öffnen Sie am Endpunkt das zugehörige Aktionsprotokoll und suchen Sie nach einer Nachricht, die anzeigt, dass die Aktionssperre aktiviert ist. Aktionsprotokolle befinden sich im Ordner <Tanium_Client_installation_directory>/Downloads. Sie können das Protokoll für eine bestimmte Aktion anhand des Protokolldateinamens identifizieren (Action_<ID>.txt), der die Action ID (Aktions-ID) enthält, die auf der Seite Action Status (Aktionsstatus)Action Summary (Aktionszusammenfassung) oder Administration > Actions (Aktionen) > Action History (Aktionsverlauf) angezeigt wird.
  4. Eine Aktion am Endpunkt durchführen (siehe Bereitstellen von Aktionen). Nachdem die Seite Action Status (Aktionsstatus)Action Summary (Aktionszusammenfassung) geöffnet wurde, wird für die Aktion letztendlich eine Zeitüberschreitung ausgelöst und ihr Status ändert sich zu Expired (Abgelaufen). Nach Ablauf der Aktion zeigt die Action History (Aktionshistorie) den Status (Status) als Closed (Geschlossen) an.

Aktionssperre deaktivieren

  1. Stellen Sie die gespeicherte Frage Clients That Cannot Take Actions – Action Lock On (Clients, die keine Aktionen durchführen können – Aktionssperre aktiviert).
  2. Wählen Sie die Ergebniszeilen für Endpunkte aus, die eine deaktivierte Aktionssperre erfordern, und klicken Sie auf Deploy Action (Aktion bereitstellen).
  3. Wählen Sie das Paket Tanium Client – Set Action Lock Off (Tanium Client – Aktionssperre auf Aus setzen), und wählen Sie die entsprechende Action Group (Aktionsgruppe) aus.
  4. Klicken Sie auf Show Preview to Continue (Vorschau anzeigen, um fortzufahren) und dann auf Deploy Action (Aktion bereitstellen).

  5. Überwachen Sie den Aktionsstatus und warten Sie, bis die Aktion abgeschlossen ist. Siehe Aktionszusammenfassung und Status anzeigen.

    Führen Sie die verbleibenden Schritte durch, um zu überprüfen, ob die Aktionssperre ausgeschaltet ist.

  6. Stellen Sie die gespeicherte Frage Clients That Cannot Take Actions – Action Lock On (Clients, die keine Aktionen durchführen können – Aktionssperre aktiviert) und überprüfen Sie, dass die Ergebnisse nicht die Endpunkte beinhalten, für die Sie die Aktionssperre deaktiviert haben.
  7. Melden Sie sich bei einem Endpunkt an, der in den Frageergebnissen nicht enthalten ist, und überprüfen Sie die Einstellungen. Wenn Sie die Aktionssperre deaktivieren, wird die Einstellung ActionLockFlag auf den Endpunkten entfernt.
  8. Öffnen Sie am Endpunkt das zugehörige Aktionsprotokoll und suchen Sie nach einer Nachricht, die anzeigt, dass die Aktionssperre deaktiviert ist. Aktionsprotokolle befinden sich im Ordner <Tanium_Client_installation_directory>/Downloads. Sie können das Protokoll für eine bestimmte Aktion anhand des Protokolldateinamens identifizieren (Action_<ID>.txt), der die Action ID (Aktions-ID) enthält, die auf der Seite Action Status (Aktionsstatus)Action Summary (Aktionszusammenfassung) oder Administration > Actions (Aktionen) > Action History (Aktionsverlauf) angezeigt wird.