7.1.8 Windows沙箱排障工具(工作空间调试器)

7.1.8.1 工作空间调试器使用方法

开启UEM客户端调试模式

  1. SDPC服务端为2.5.9及以下版本

    7.1.8.1.1.png

    • 服务端打开用户策略-->客户端设置-->终端运维设置-->开启UEM客户端调试模式
    • aTrus登录后打开工作台-->诊断修复-->运维工具-->工作空间调试器
    • 获取TOTP动态口令(当前测试阶段需要研发手动提供动态码,正式发布后会通过公司企业微信-->aTrust令牌获取),输入到工作空间调试器的激活窗口中

    注意: 工作空间调试器验证完TOTP动态口令后, 调试器会话有效时间为1小时, 1小时后工作空间调试会话自动结束, 且会自动触发客户端注销.

  1. SDPC服务端为2.5.10及以上版本

    7.1.8.1.2.png

    • 服务端打开用户策略-->客户端设置-->终端运维设置-->允许终端使用UEM调试器,并获取激活码
    • aTrus登录后打开工作台-->诊断修复-->运维工具-->工作空间调试器
    • 输入激活码到工作空间调试器的激活窗口中

    注意:

    1. 工作空间调试器验证完激活码后, 调试器会话有效时间由上述截图中的开关启用配置后面的倒计时决定, 到期后会自动触发客户端注销.
    2. 验证激活码后, 再修改上述截图中的开关关闭时间, 对已有的调试器会话无影响
    3. 激活码只有五分钟的有效时间, 过期后可以点击查看来重新生成, 点击保存后可以使用新的激活码.
    4. 点击保存后, 开关的倒计时会重新开始算

运行工作空间调试器

  1. 打开aTrust工作台-->诊断修复-->运维工具-->工作空间调试器,然后输入上一节中获取的动态码或者激活码

    7.1.8.1.3.png

    备注: 当客户环境Portal有定制时, 诊断修复工具页面会被服务端定制Portal覆盖, 导致上述运维工具-->工作空间调试器入口不存在, 这个时候可以使用快捷键Ctrl+Alt+Shift+U拉起工作空间调试器

  2. 工作空间调试界面

    7.1.8.1.4.png

    • 如上图所示,在模块级调试界面,可以控制某个模块是否启用和禁用。CTI在排查问题过程中,主要是在模块级调试界面,通过禁用某个模块后观察问题是否消失来定位当前问题和某个模块有关。
    • 精细化调试界面,可以在更加细微层面来控制沙箱模块的运行逻辑来定位和解决问题,主要给技术支持使用。

7.1.8.2 工作空间调试器使用场景

工作空间的应用工作异常,但是从现象上看不像是沙箱导致的问题,例如某个功能无法正常使用,怀疑个人空间也存在该问题

  1. 模块级调试界面,禁用"全部安全模块"-->点击"立即生效", 提示重新登录后点击确定
  2. 因为所有模块被禁用,重新登录aTrust后进入aTrust接入模式(沙箱未拉起)后,验证应用是否工作正常,如果正常则说明问题和沙箱有关

    工作空间的应用工作异常,从现象看很可能和沙箱网络隔离有关,例如连接被拒绝,浏览器插件加载失败

  3. 模块级调试界面,禁用"网络管控模块"-->点击"立即生效"
  4. 验证问题是否消失,如果问题消失,则继续定位具体被拦截的进程和访问地址。
  5. 启用"网络管控模块",复现问题后,检查%public%\sangfor\ssl\uem\NetBlockLog\UemNetBlock.txt, 根据问题时间点,分析其中对应的拦截日志。
  6. 精细化调试界面界面,"网络隔离"-->"出站规则", 根据上一步获取的拦截日志,设置对应的放行规则,再验证问题是否消失
  7. 如果问题消失,则可以将该规则配置到控制台,如果问题仍然存在则需要继续分析是否有其它被拦截的进程和地址。

工作空间应用异常,且从UemNetBlock.txt中基本确定了导致该异常的连接被拦截的具体进程和目标IP端口,管理员不同意直接修改控制台网络规则,需要技术支持明确问题原因后才能修改控制台规则

  1. 精细化调试界面界面,"网络隔离"-->"出站规则", 根据上一步获取的拦截日志,设置对应的放行规则,验证问题是否消失。
  2. 如果问题消失,则可以将该规则配置到控制台,如果问题仍然存在则需要继续分析是否有其它被拦截的进程和地址。
  3. 否则需要再分析UemNetBlock.txt日志确认没有其它当前应用相关的被拦截的记录,如果有则精细化调试界面中继续添加放行规则。

工作空间的应用工作异常,从现象看很可能和Hook模块有关,例如应用崩溃,某个功能无法正常使用,应用操作卡顿

  1. 模块级调试界面,禁用"Hook模块"-->点击"立即生效"
  2. 验证问题是否消失,如果问题消失,则继续通过"Hook子模块启禁用"来验证具体是哪个子模块导致的。
  3. 确认某个"Hook子模块"导致的问题后,可以将结论转技术支持定位具体原因

    工作空间的应用工作异常,已排除了沙箱网络隔离和Hook模块的影响

  4. 模块级调试界面,禁用"文件重定向模块"-->点击"立即生效",验证问题是否消失,将结论同步给技术支持定位具体原因
  5. 模块级调试界面,禁用"文件加解密模块"-->点击"立即生效",提示重新登录后点击确认,重新登录后验证问题是否消失,将结论同步给技术支持定位具体原因

注意事项

  1. 禁用"全部安全模块", "文件重定向模块", 和"文件加解密模块",点击立即生效后需要重新登录aTrust才能真正应用该bypass策略 (会有重新登录提示).
  2. 精细化调试配置, 部分配置修改后需要重新登录才生效, 例如"文件重定向模块"中的精细化配置.
  3. 精细化调试配置, 适用程序支持手动输入进程名和进程路径或者从本地选择程序路径, 但是客户端匹配时只会匹配进程名.
  4. 手动退出工作空间调试器时, 会提示该操作会注销当前客户端; 服务端禁用UEM调试器, 调试器会话超时会触发客户端自动注销.
  5. UEM调试器被强杀导致其和客户端的心跳超时, 也会触发客户端的自动注销, 因此在打开工作空间调试器的情况下, 如果需要重新登录, 不要直接退出aTrust客户端, 因为这会导致UEM调试器被强杀.
  6. 工作空间调试器的激活码需要使用TOTP动态码,需要在研发内网获取,可以企微 @邹安狄 获取.
深信服科技 all right reserved,powered by Gitbook本文档更新于: 2025-11-25 16:04

results matching ""

    No results matching ""