1、检查【策略中心】-【勒索防护】-windows二次认证策略配置正常，且存在配置对应源ip的白名单 (堡垒机ip：192.168.1.200和 测试pc的源ip：192.168.60.252)；

2、检查终端在mgr平台上正常上线，且终端测试mgr端口连通性正常；

--telnet   mgr_ip  443/4430/8083/54120 等常见终端平台的通信端口

3、检查windows终端和mgr平台的edr版本一致；

ps：若版本不一致，需要先将终端版本升级到和mgr平台版本一致后再下发二次认证策略

4、进mgr后台查看php日志没有fail和err等异常报错；

--tailf  /ac/var/log/data_center/log/ldb/launch/0/2024xxx.log

5、尝试重启eps进程，并在mgr平台重新禁用-启用二次认证策略 触发策略的手动下发；

 --/sf/edr/manager/bin/eps_services restart      //重启eps服务

6、尝试禁用windows二次认证策略后，通过堡垒机和不通过堡垒机，终端均可直接登录，不需要二次认证，且不弹出二次认证界面了，说明平台下发的二次认证策略可正常生效到该windows终端；

 7、二次认证策略上测试：加白测试机pc的源ip 192.168.60.252，在不通过堡垒机跳转时，测试白名单能生效，windows终端可以直接不用二次认证即可登录；而通过堡垒机跳转登录就会需要二次认证，表象为二次认证白名单不生效。

根据第6/7步测试可以确认是和堡垒机跳转有关，跳转后windows二次认证加白失效。

8、检查通过堡垒机跳转登录的该windows终端，是通过RDP协议跳转登录的

注：EDR上windows二次认证原理：win二次认证实际走的是监听windows的RDP协议端口

9、用堡垒机跳转登录几次，取对应windows agent终端二次认证日志：
日志路径：C:\ProgramData\SF\EDR\log\rdp_protect

检查终端日志查看，每次登录二次认证后会在 C:\ProgramData\SF\EDR\log\rdp_protect\verify 日志文件处打印二次认证的真实ip，如果二次认证弹窗了，在sfavsvc.log里会打印一行日志：CRDPProtect::IsSkipOncecurremotexxxx.ip (后面跟着的是RDP远程登录的真实IP)

1、堡垒机内部本身可能有做源ip映射等，导致真实源ip有变化，使得mgr二次认证策略对原始堡垒机ip加白不生效