7.8 沙箱排障工具(工作空间调试器)
7.8.1 工作空间调试器使用方法
开启UEM客户端调试模式
SDPC服务端为2.5.9及以下版本
- 服务端打开用户策略-》客户端设置-》终端运维设置-》开启UEM客户端调试模式
- aTrus登录后打开工作台-》诊断修复-》运维工具-》工作空间调试器
- 获取TOTP动态口令(当前测试阶段需要研发手动提供动态码,正式发布后会通过公司企业微信-》aTrust令牌获取),输入到工作空间调试器的激活窗口中
SDPC服务端为2.5.10及以上版本
- 服务端打开用户策略-》客户端设置-》终端运维设置-》允许终端使用UEM调试器,并获取激活码
- aTrus登录后打开工作台-》诊断修复-》运维工具-》工作空间调试器
- 输入激活码到工作空间调试器的激活窗口中
运行工作空间调试器
打开aTrust工作台-》诊断修复-》运维工具-》工作空间调试器,然后输入上一节中获取的动态码或者激活码
工作空间调试界面
- 如上图所示,在模块级调试界面,可以控制某个模块是否启用和禁用。CTI在排查问题过程中,主要是在模块级调试界面,通过禁用某个模块后观察问题是否消失来定位当前问题和某个模块有关。
- 精细化调试界面,可以在更加细微层面来控制沙箱模块的运行逻辑来定位和解决问题,主要给技术支持使用。
7.8.2 工作空间调试器使用场景
工作空间的应用工作异常,但是从现象上看不像是沙箱导致的问题,例如某个功能无法正常使用,怀疑个人空间也存在该问题
- 模块级调试界面,禁用"全部安全模块"-》点击"立即生效", 提示重新登录后点击确定
- 因为所有模块被禁用,重新登录aTrust后进入aTrust接入模式(沙箱未拉起)后,验证应用是否工作正常,如果正常则说明问题和沙箱有关
工作空间的应用工作异常,从现象看很可能和沙箱网络隔离有关,例如连接被拒绝,浏览器插件加载失败
- 模块级调试界面,禁用"网络管控模块"-》点击"立即生效"
- 验证问题是否消失,如果问题消失,则继续定位具体被拦截的进程和访问地址。
- 启用"网络管控模块",复现问题后,检查%public%\sangfor\ssl\uem\NetBlockLog\UemNetBlock.txt, 根据问题时间点,分析其中对应的拦截日志。
- 精细化调试界面界面,"网络隔离"-》"出站规则", 根据上一步获取的拦截日志,设置对应的放行规则,再验证问题是否消失
- 如果问题消失,则可以将该规则配置到控制台,如果问题仍然存在则需要继续分析是否有其它被拦截的进程和地址。
工作空间应用异常,且从UemNetBlock.txt中基本确定了导致该异常的连接被拦截的具体进程和目标IP端口,管理员不同意直接修改控制台网络规则,需要技术支持明确问题原因后才能修改控制台规则
- 精细化调试界面界面,"网络隔离"-》"出站规则", 根据上一步获取的拦截日志,设置对应的放行规则,验证问题是否消失。
- 如果问题消失,则可以将该规则配置到控制台,如果问题仍然存在则需要继续分析是否有其它被拦截的进程和地址。
- 否则需要再分析UemNetBlock.txt日志确认没有其它当前应用相关的被拦截的记录,如果有则精细化调试界面中继续添加放行规则。
工作空间的应用工作异常,从现象看很可能和Hook模块有关,例如应用崩溃,某个功能无法正常使用,应用操作卡顿
- 模块级调试界面,禁用"Hook模块"-》点击"立即生效"
- 验证问题是否消失,如果问题消失,则继续通过"Hook子模块启禁用"来验证具体是哪个子模块导致的。
- 确认某个"Hook子模块"导致的问题后,可以将结论转技术支持定位具体原因
工作空间的应用工作异常,已排除了沙箱网络隔离和Hook模块的影响
- 模块级调试界面,禁用"文件重定向模块"-》点击"立即生效",验证问题是否消失,将结论同步给技术支持定位具体原因
- 模块级调试界面,禁用"文件加解密模块"-》点击"立即生效",提示重新登录后点击确认,重新登录后验证问题是否消失,将结论同步给技术支持定位具体原因
注意事项
- 当前工作空间调试器还在测试过程中,使用过程中有任何该工具的相关问题,可以收集问题现象和客户端日志后转 @黄雪辉 定位原因
- 禁用"全部安全模块"和"文件加解密模块",点击立即生效后需要重新登录aTrust才能真正应用该bypass策略 (会有重新登录提示)
- 使用工作空间调试器禁用"全部安全模块","文件加解密模块"后,在退出工作空间调试器后,从数据安全考虑,当前还需要手动注销(正式版本会优化成自动注销)
- 工作空间调试器的激活码需要使用TOTP动态码,需要在研发内网获取,可以企微 @邹安狄 获取