Modification de configuration recommandée pour atténuer une attaque potentielle contournant Sentinelone EDR
Modification de configuration recommandée pour atténuer une attaque potentielle contournant Sentinelone EDR
Le 7 mai 2025, N-able a publié une recommandation importante concernant la configuration de SentinelOne EDR pour renforcer la sécurité des systèmes Windows. Cette mise à jour vise à prévenir les attaques potentielles exploitant les processus de mise à jour ou de rétrogradation des agents SentinelOne.
🔒 Pourquoi cette modification est-elle cruciale ?
Les cybercriminels cherchent constamment à exploiter les failles dans les processus de mise à jour des logiciels de sécurité. En particulier, les mises à jour locales non autorisées peuvent être utilisées pour contourner les protections existantes. Pour contrer cette menace, N-able recommande d'activer l'option "Autorisation de mise à niveau locale" dans la console de gestion SentinelOne.
Cette fonctionnalité permet de contrôler strictement les mises à jour ou rétrogradations locales des agents Windows. Une fois activée, seules les actions planifiées et autorisées seront permises, bloquant ainsi toute tentative non approuvée.
⚙️ Détails techniques à connaître
- Versions concernées : Agents Windows à partir de la version 22.3.
Type d'installateur pris en charge : Uniquement les packages EXE de SentinelOneInstaller.
Installateurs non pris en charge : Les installateurs MSI ne sont pas compatibles avec cette fonctionnalité.
Méthodes d'installation affectées :
Exécution directe de l'installateur.
Exécution via la ligne de commande.
Utilisation d'outils de déploiement tels que SCCM, Intune, N-Sight, N-Central ou les stratégies de groupe.
🛠️ Comment activer l'autorisation de mise à niveau locale ?
Dans la console de gestion SentinelOne, ouvrez le panneau des portées en cliquant sur la flèche en haut à gauche.
Sélectionnez le site souhaité.
Dans la barre d'outils "Sentinels", cliquez sur "Politique".
Dans les paramètres de l'agent, activez l'option "Autorisation en ligne pour la mise à niveau/rétrogradation locale".
Une fois cette option activée, il est essentiel de définir des fenêtres de mise à jour et d'autoriser les actions au niveau du site pour que les mises à jour locales réussissent.
⚠️ Points d'attention
Scripts automatisés : L'activation de cette fonctionnalité peut affecter les scripts automatisés de mise à jour ou de rétrogradation, notamment ceux utilisant des outils comme SCCM. Il est donc nécessaire d'adapter ces scripts pour intégrer le processus d'autorisation.
Documentation : Une documentation complète sera bientôt disponible pour guider les utilisateurs dans cette configuration.
🧩 Pourquoi est-ce important pour nous ?
En tant qu'infogéreur, la sécurité de vos systèmes est primordiale. Les cyberattaques évoluent constamment, et les attaquants cherchent à exploiter la moindre faille. En activant l'autorisation de mise à niveau locale, vous ajoutez une couche de protection supplémentaire, empêchant les mises à jour non autorisées qui pourraient compromettre votre système.
Cette mesure proactive nous aide à maintenir l'intégrité de vos agents SentinelOne et à garantir que seules les mises à jour approuvées sont appliquées.
