更新时间:2023-07-03
AC+EDR配置案例
需求背景
随着企业在终端安全侧的投入越来越大,针对不同的安全需求部署不同的安全策略,以往传统的终端安全策略每个独立的产品需要安装独立的客户端,多个客户端对终端PC的资源消耗,终端兼容性问题以及终端管理问题日益突出,企业需要具备端点、网络、应用程序工作负载、数据、通信、以及用户工作负载访问控制高度集成的一体化端点安全安全办公解决方案。
方案介绍
深信服终端All in one(以下简称AIO)针对深信服各安全产品,提供统一客户端安装、统一系统托盘、产品功能联动等特性,结合EDR的全面部署应用,提供全网终端病毒、木马、入侵攻击等威胁防御能力,提供行之有效的整体安全防御体系,办公安全一端足矣
实现效果
- 统一安装:管理员通过配置客户端集成规避了重复推端,用户只需要安装一次就可以安装完所需安装的深信服客户端(EDR、AC),简化了管理员的客户端推广工作,简化了用户的安装体验,并在一定程度上减少投诉。
- 统一系统托盘:用户可以通过统一的深信服产品托盘进入不同产品界面,在一定程度上降低用户对多客户端托盘的排斥,在一定程度上减少用户的抱怨与投诉,补齐在与友商竞争中一体化客户端的短板。
部署方案
- AC网桥模式部署在互联网出口,针对内网用户开启准入功能。
- EDR管理平台(172.31.2.110)部署在运维区,用户可直接通过EDR管理平台获取EDR客户端完成安装。
产品线 |
版本 |
备注 |
EDR |
3.7.10 |
|
AC |
13.0.80 |
|
:
AC联动通信端口为AC开放接口端口TCP9998,aTrust控制器、EDR管理平台的联动端口均为TCP443,内网如果有防火墙之类的安全设备,需要放通联动端口。
功能配置
设备对接配置
步骤1.在[系统管理/系统设置/网络设置/高级配置/管理平台端口设置]页面,可以修改EDR管理平台控制台端口和终端程序升级安装端口。
步骤2.需要在EDR[管理平台多IP设置]页面,将客户端下载的地址配置进来,如果EDR有多个IP,或者用户通过公网接入,需要将用户可以下载的IP地址,以及前置网关映射的公网IP地址都填入进来。
:
联动规则是读取EDR的这两处配置,生成客户端下载安装地址,下发给客户端。
步骤3.登陆AC控制台,在[终端行为安全/终端安全联动]页面,选择跟联动设备通信的IP地址后,点击生成联动授权码。
步骤4.在EDR管理端[系统管理/联动管理]页面,点击接入联动设备,粘贴AC上生成的联动码,点击<下一步>后可以读取到AC的连接信息,选择与AC通信的IP地址后点击确定即可。
步骤5.配置完成后,点击【连通性测试】测试联动配置是否成功。
步骤6.通过AC也可以看到EDR联动状态已经成功。
:
也可以在EDR生成联动码,在AC识别联动码生成关联关系。
启用集成策略
步骤7.在AC控制台[接入管理/终端检查/检测规则/终端插件检查规则]页面,新增[客户端集成规则],输入规则名称、规则类型、规则描述,客户端需要集成的设备选择配置的联动的EDR设备。
步骤8.在AC[接入管理/终端检查/检查策略]新增检查策略,将创建的集成策略关联给需要安装AIO客户端的用户。
步骤9.在AC[接入管理/终端检查//准入客户端配置]页面开启准入推送策略
:
准入策略启用后,目标终端会显示准入安装页面,上网过程会中断直至准入安装完毕,建议开启策略前提前通知用户。
步骤10.用户如果需要通过先安装EDR再联动安装AC客户端,还需在[系统管理/系统设置/基本设置]页面勾选[客户端集成并下载AC零信任客户端]选项。
:
1.如果所有用户均通过先安装AC准入客户端再联动下载EDR客户端,也可不开启该选项。
2.以EDR为起点联动推送安装AC和aTrust为全局推送,不支持指定用户推送。
客户端使用
• 客户端安装
- 全新安装场景(客户当前无AC准入和EDR),该场景面向用户新上AC准入和EDR场景。
步骤1.AC开启准入策略后,用户上网流量经过AC,AC会重定向用户至安装准入客户端页面。
步骤2.下载安装完成后,如果未开启准入认证客户端,可在任务管理器看到准入进程。
步骤3.用户关联了集成安装策略,EDR客户端会在后台静默下载安装(由于EDR安装包比较大,内网环境需要等待5-10分钟)。
:
当前版本EDR后台安装暂时没有下载和安装进度可以展示。
步骤4.等待EDR客户端安装完成后,如果用户未开启AC准入认证,系统托盘只有EDR客户端。
步骤5.如果用户开启了AC准入认证客户端,系统托盘会展示AIO融合后的图标。
:
AC+EDR场景下,AIO系统托盘主界面为EDR客户端。
- 升级场景(客户当前有AC和EDR客户端),该场景面向已经部署过老版本AC和EDR客户端的用户。
步骤1.首先需要升级AC和EDR至AIO版本,具体升级过程请参考各产品线升级操作指导。
步骤2.设备升级完成后,AC准入客户端和EDR均会静默升级,可通过EDR管理平台查看终端升级状态,升级完成后,系统图标会融合成一个。
:
由于EDR客户端升级包比较大,内网环境下升级预计5-10分钟,升级过程需要耐心等待。
- 加装场景(客户当前有AC,但是没有EDR),该场景面向已经部署AC准入客户端,新增部署EDR客户端的用户。
步骤1.用户如果部署的AC为非AIO版本,需要先完成AC设备升级,并完成EDR设备部署和联动配置,具体各项配置与前述基本一致。
步骤2.客户端AC准入找到网关后,客户端会静默升级,升级完成后会在后台静默安装EDR客户端,EDR静默安装过程需要耐心等待。
步骤3.客户端升级安装全部完成后,客户端系统托盘会融合成一个,具体过程与新装和升级场景基本一致。
- 加装场景(客户当前有EDR,但是没有AC),该场景面向已经部署EDR客户端,新增部署AC准入客户端的用户。
步骤1.用户如果部署的EDR为非AIO本,需要先完成EDR管理平台升级,并完成AC设备部署和联动配置,各项配置与前述基本一致。
步骤2.EDR平台升级完成以后,客户端会自动静默升级,升级过程需要耐心等待。
步骤3.EDR管理平台如果同步开启了【客户端集成并下载AC准入客户端】选项,客户端更新成功后会自动在后台静默安装AC准入客户端。
步骤4.客户端升级安装全部完成后,客户端系统托盘会融合成一个,具体过程与新装和升级场景基本一致。
• 客户端使用
- 当EDR与AC集成时,当AC开启准入认证策略,并且终端用户未认证前,托盘上方显示“上网认证”的按钮。
- 用户如果已经认证在线,则看到的是用户认证信息。
• 客户端退出
步骤1.AC和EDR无法一次性整体退出,右键点击系统托盘,点击退出选项,输入EDR退出密码,退出的是EDR的单独客户端。
步骤2.EDR客户端退出后,系统托盘将变为独立的AC认证客户端托盘,如需整体退出,还需要单独再次退出AC的认证客户端,AC认证客户端退出后,用户会注销下线。
• 客户端卸载
当前版本各产品线卸载相互独立,互不干扰。
注意事项
- AIOv3.0版本当前仅支持windows PC版本中文操作系统,暂不支持MAC、linux以及windows server版操作系统。
产品线 |
Win XP |
Win 7 |
Win 8 |
Win 8.1 |
Win 10 |
Win 11 |
EDR |
Y |
Y |
Y |
Y |
Y |
Y |
AC |
Y |
Y |
Y |
Y |
Y |
Y |
aTrust |
N |
Y |
N |
N |
Y |
Y |
- 用户如果手动卸载客户端以后,注册表会保留已安装过的标记,重新安装任意客户端AIO将不再联动下载安装其他客户端,避免用户手动卸载后重复推送,如果用户想重新安装其他客户端,也需要手动下载安装(如需恢复联动下载,可在注册表删除软件安装标识HKEY_LOCAL_MACHINE\SOFTWARE)。
- AC主主、主备模式场景下,因为联动ID集群模式为一个,当主节点异常使得另一台节点工作并以新节点管理IP+联动ID与EDR或atrust建立互信时,因为管理IP变化会被拒绝,因此当前版本暂不建议在AC高可用环境下使用AIO集成安装策略。
- EDR PC基础版的授权不支持AIO联动,其他PC高级版、全量版、服务器旗舰版、全量版均支持AIO,探针版也支持AIO,不过探针版没有托盘统一。
AC+EDR+aTrust配置案例
需求背景
随着企业在终端安全侧的投入越来越大,针对不同的安全需求部署不同的安全策略,以往传统的终端安全策略每个独立的产品需要安装独立的客户端,多个客户端对终端PC的资源消耗,终端兼容性问题以及终端管理问题日益突出,企业需要具备端点、网络、应用程序工作负载、数据、通信、以及用户工作负载访问控制高度集成的一体化端点安全办公解决方案
方案介绍
深信服终端All in one(以下简称AIO)针对深信服各安全产品,提供统一客户端安装、统一系统托盘、产品功能联动等特性,结合EDR的全面部署应用,提供全网终端病毒、木马、入侵攻击等威胁防御能力,提供行之有效的整体安全防御体系,结合零信任安全办公,在终端与接入建立控制点,为客户提供内网办公、远程办公、混合办公一体化的整体解决方案,办公安全一端足矣。
实现效果
- 统一安装:管理员通过配置客户端集成规避了重复推端,用户只需要安装1次就可以安装完所需安装的深信服客户端(aTrust、EDR、AC),简化了管理员的客户端推广工作,简化了用户的安装体验,并在一定程度上减少投诉。
- 统一系统托盘:用户可以通过统一的深信服产品托盘进入不同产品界面,在一定程度上降低用户对多客户端托盘的排斥,在一定程度上减少用户的抱怨与投诉,补齐在与友商竞争中一体化客户端的短板。
- 统一客户端工作台:围绕安全办公场景,atrust提供客户端工作台,可在工作台上进行认证登录和访问资源;并在工作台融合EDR、AC功能访问入口,在工作台安全页面进行EDR客户端功能快捷操作和状态集成。
- EDR和aTrust联动:通过EDR对终端环境进行检测,当存在风险时,禁止用户通过不安全终端访问业务,隔离来自终端的风险。
部署环境
- SDP采用控制器+代理网关的部署架构,控制器(172.31.2.100)部署在运维区,代理网关(172.31.1.100)部署在业务区。
- AC网桥模式部署在互联网出口,针对内网用户开启准入认证功能。
- EDR管理平台(172.31.2.110)部署在运维区,用户可直接通过EDR管理平台获取EDR客户端完成安装。
- 互联网出口防火墙对外发布aTrust、AC和EDR管理平台相关服务。
- 用户内外网访问业务系统均通过aTrust代理访问,保持业务访问体验一致性。
产品线 |
版本 |
备注 |
EDR |
3.7.10 |
|
aTrust |
2216 |
|
AC |
13.0.80 |
|
:
AC联动通信端口为AC开放接口端口TCP9998,aTrust控制器、EDR管理平台的联动端口均为TCP443,内网如果有防火墙之类的安全设备,需要放通联动端口。
功能配置
AC、EDR、aTrust基础网络部署请参考安装部署手册,以下配置为终端All in one联动相关配置。
接入配置
步骤1.登录AC管理页面,在[接入管理/准入客户端配置]页面修改准入找网关方式为指定地址,即选择[设置准入客户端网关地址],并配置网关主、备IP地址。
:
1.联动规则读取的是该地址推送给终端进行联动下载AC准入客户端,因此需要务必确保测试PC能够与设置的IP地址正常通信,具体通信端口详见4.3章节服务端口清单。
2.该地址需要在配置集成安装策略前完成配置,如果配置完集成安装策略在再修改该地址,需要先关闭再重开集成策略触发更新,例如,在aTrust集成安装AC准入客户端时,需要在aTrust全局/用户策略把集成AC的选项的勾关闭,再打开进行触发更新。
步骤2.登录EDR管理平台,在[系统管理/系统设置/网络设置/高级配置/管理平台端口设置]页面,可以修改EDR管理平台控制台端口和终端程序升级安装端口。
步骤3.需要在[管理平台多IP设置]页面,将客户端下载的地址配置进来,如果EDR有多个IP,或者用户通过公网接入,需要将用户可以下载的IP地址,以及前置网关映射的公网IP地址都填入进来。
:
联动规则是读取EDR的这两处配置,生成客户端下载安装地址,下发给客户端。
联动码配置
步骤4.登陆aTrust管理端,在[系统管理/特性中心],开启[一体化终端]特性。
步骤5.在aTrust管理端[安全中心/深信服联动设备]页面,点击[联动码设置],生成联动码。
步骤6.登陆AC管理端,在[终端行为安全/终端安全联动]页面,选择跟联动设备通信的IP地址后,点击生成联动授权码。
:
每个联动码仅可使用一次,有多台联动设备接入时,需要为每一台联动设备重新生成一个联动码。
接入联动设备配置
步骤7.登录EDR管理平台,在[系统管理/联动管理]页面,点击接入联动设备,粘贴aTrust上生成的联动码,点击<下一步>后可以读取到aTrust的连接信息,选择与aTrust控制器通信的IP地址后点击确定即可。
步骤8.配置完成后,点击【连通性测试】测试联动配置是否成功。
步骤9.通过SDP也可以看到EDR联动状态已经成功。
:
EDR如需接入AC设备,联动接入过程与上述基本一致。
步骤10.登录AC管理页面,在[终端行为安全/终端安全联动]页面,点击接入联动设备,粘贴aTrust上生成的联动码,点击<下一步>后可以读取到aTrust的连接信息,选择与aTrust控制器通信的IP地址,配置联动设备名称后点击确定即可。
步骤11.配置完成后,点击【连通性测试】测试联动配置是否成功。
步骤12.通过SDP也可以看到AC联动状态已经成功。
:
联动对接任意一方作为主动连接设备都可以,例如也可以在EDR、AC生成联动码,在aTrust控制器识别联动码生成关联关系。
启用集成策略配置
步骤13.在aTrust管理端[业务管理/策略管理/全局策略]页面,勾选[强制安装客户端]开启终端强制安装。
:
如果不开启强制安装客户端,纯WEB资源环境下不会主动推送aTrust客户端。
步骤14.aTrust可以设置全局推送或者针对指定用户定向推送集成安装策略。
• 如果针对全部用户推广,可在全局策略勾选[EDR客户端联动]和[AC客户端联动]选项,并选择联动的EDR和AC。
• 如果只针对部分用户推广,可以在aTrust管理端[业务管理/策略管理/用户策略]页面添加策略。
选择适用用户,[EDR客户端联动]和[AC客户端联动]选项,并选择联动的EDR和AC。
步骤15.在AC管理端[接入管理/终端检查/检测规则/终端插件检查规则]页面,新增[客户端集成规则],输入规则名称、规则类型、规则描述,客户端需要集成的设备选择配置的联动的aTrust、EDR设备。
步骤16.在AC管理端[接入管理/终端检查/检查策略]页面,新增检查策略,将创建的EDR、aTrust集成规则关联给需要安装AIO客户端的用户。
步骤17.在AC管理端[接入管理/终端检查/准入客户端配置]页面开启准入推送策略
:
如果以AC为起点安装客户端,当准入策略启用后,目标终端会显示准入安装页面,上网过程会中断直至准入安装完毕,建议开启策略前提前通知用户。
步骤18.用户如果需要通过先安装EDR再联动安装aTrust客户端,还需在[系统管理/系统设置/基本设置]页面勾选[客户端集成并下载aTrust零信任客户端]选项。
:
如果所有用户均通过aTrust登录客户端并联动下载EDR客户端,也可不开启该选项。
客户端使用
• 客户端安装
- 全新安装场景(客户当前无aTrust、AC和EDR),该场景面向用户新上aTrust、AC和EDR场景。
步骤1.当用户需要远程访问aturst代理的业务系统,提示用户需要安装aTrust客户端。
步骤2.下载安装完成后,可在客户端看到aTrust系统托盘。
步骤3.通过点击系统托盘图标或双击桌面快捷方式,可以打开客户端工作台,并在工作台上可以看到AC和EDR下载和安装进度。(由于EDR安装包比较大,内网环境需要等待5-10分钟,公网环境根据实际的带宽情况可能会比较久)。
:
如果没有开启全局策略,只开启了用户策略的话,需要对应用户认证登录成功以后才会联动下载AC和EDR。
步骤4.等待AC和EDR客户端安装完成后,在工作台可以看到AC[入网认证]选项,通过[安全]模块可以进行EDR客户端功能快捷操作和状态查看;系统aTrust托盘上会融合 “终端检测响应”的图标。
- 升级场景(客户当前有aTrust、AC和EDR客户端),该场景面向已经部署过老版本aTrust、AC和EDR客户端的用户。
步骤1.首先需要升级aTrust控制器、代理网关和EDR至AIO版本,具体升级过程请参考各产品线升级操作指导。
步骤2.当用户接入aTrust发布的业务系统时,会提示客户端升级更新,点击立即更新。
步骤3.EDR默认开启终端自动更新,aTrust、AC和EDR均升级成功后,系统图标会融合成一个。
步骤4.aTrust升级为支持工作台的版本后,点击系统图标可以打开aTrust工作台。
:
由于EDR客户端升级包比较大,内网环境下升级预计5-10分钟,公网环境根据实际的带宽情况可能会比较久,升级过程需要耐心等待,可通过EDR管理平台查看终端升级状态。
- 加装场景(客户当前有aTrust,但是没有EDR),该场景面向已经部署aTrust客户端,新增部署EDR客户端的用户。
步骤1.用户如果部署的aTrust为非AIO版本,需要先完成aTrust设备升级,并完成EDR设备部署和联动配置,具体各项配置与前述基本一致。
步骤2.客户端登录aTrust后,aTrust会提示升级并在后台静默安装EDR客户端,EDR静默安装过程需要耐心等待。
步骤3.客户端升级安装全部完成后,客户端系统托盘会融合成一个,具体过程与新装和升级场景基本一致。
- 加装场景(客户当前有EDR,但是没有aTrust),该场景面向已经部署EDR客户端,新增部署aTrust客户端的用户。
步骤1.用户如果部署的EDR为非AIO本,需要先完成EDR管理平台升级,并完成aTrust设备部署和联动配置,各项配置与前述基本一致。
步骤2.EDR平台升级完成以后,客户端会自动静默升级,升级过程需要耐心等待。
步骤3.EDR管理平台如果同步开启了[客户端集成并下载aTrust零信任客户端]选项,客户端更新成功后会自动在后台静默安装aTrust客户端。
步骤4.客户端升级安装全部完成后,客户端系统托盘会融合成一个,具体过程与新装和升级场景基本一致。
• 客户端使用
- 在atrust工作台点击【开始办公】即可接入atrust,认证后可访问业务系统。
:
工作台不支持第三方认证和证书认证,包括:证书认证、LDAP认证、CAS、OAuth认证等。如需使用,在工作台选择对应认证时,会调出浏览器打开认证页面。
- 在[安全]模块页面,点击对应的功能会直接调出EDR客户端页面执行相应的任务。
- 点击【入网认证】选项,可以打开AC认证客户端界面。
- 通过系统托盘图标也可以调用对应的功能模块进行客户端操作。
• 客户端退出
整体退出
- 右键点击系统托盘,点击退出客户端选项。
- 在对话中选择同时退出“EDR终端检测响应”,可以同时退出aTrust、AC和EDR客户端。
- EDR客户端退出需要输入防护密码,需要由管理员提供,输入密码后即可整体退出客户端。
:
客户端完整退出后,重新打开aTrust工作台,此时只会拉起独立的aTrust客户端,需要手动拉起EDR客户端,工作台上才会融合EDR安全模块。同理,如果只单独打开EDR客户端,也只会开启EDR独立客户端。
分开退出
- 右键点击系统托盘,点击退出客户端选项,在对话中缺省不选择同时退出“EDR终端检测响应”选项,可单独退出aTrust客户端。
- 退出aTrust客户端后,系统托盘将变更为EDR独立客户端托盘。
- 如需单独退出EDR,可点击进入EDR托盘图标以后,再点击退出选项,即可单独退出EDR客户端。
• 客户端卸载
当前版本各产品线卸载相互独立,互不干扰。
注意事项
- AIOv3.0版本当前仅支持windows PC版本中文操作系统,暂不支持MAC、linux以及windows server版操作系统,各产品线兼容列表如下。
产品线 |
Win XP |
Win 7 |
Win 8 |
Win 8.1 |
Win 10 |
Win 11 |
EDR |
Y |
Y |
Y |
Y |
Y |
Y |
AC |
Y |
Y |
Y |
Y |
Y |
Y |
aTrust |
N |
Y |
N |
N |
Y |
Y |
- 用户如果手动卸载客户端以后,注册表会保留已安装过的标记,重新安装任意客户端AIO将不再联动下载安装其他客户端,避免用户手动卸载后重复推送,如果用户想重新安装其他客户端,也需要手动下载安装(如需恢复联动下载,可在注册表删除软件安装标识HKEY_LOCAL_MACHINE\SOFTWARE)。
- AC主主、主备模式场景下,因为联动ID集群模式为一个,当主节点异常使得另一台节点工作并以新节点管理IP+联动ID与EDR或atrust建立互信时,因为管理IP变化会被拒绝,因此当前版本暂不建议在AC高可用环境下使用AIO集成安装策略。
- aTrust、AC和EDR联动环境感知场景下,如果安全策略条件为运行指定杀毒软件为“Sangfor Defender 防病毒程序”,客户端手动卸载EDR后,仍能命中安全策略,原因是EDR卸载没有清理Windows安全中心标记,SDP会认为还是安装了EDR,客户端手动重启系统后,会自动清理该标记。
- aTrust、AC和EDR联动环境感知场景下,aTrust只开启了环境感知评分,未开启用户必须安装EDR的准入策略,如果用户是首次安装aTrust、AC和EDR客户端,用户登录aTrust完成客户端安装后,由于EDR安装尚未完成,aTrust暂时无法获取终端评分,缺省用户评分为100分。
- aTrust、AC和EDR联动环境感知场景下,aTrust只开启了环境感知评分,未开启用户必须安装EDR的准入策略,如果aTrust控制器与EDR管理平台不通,aTrust也无法获取终端评分,缺省用户评分为100分。
- 用户环境如果部署了多台EDR管理平台并接入到SDP,如果客户端登录时全局策略联动的EDR设备为A,客户端登录以后,管理员修改全局策略联动的EDR设备为B,SDPC会从EDR-B设备获取评分,导致客户端真实评分失真。
- 当前AIO1.0与AIO2.0不兼容,不可以使用不同迭代版本的产品线开启联动,例如atrust2.1.17版本目前仅合入AIO1.0,所以不支持与EDR3.5.18开启联动。
- AIO3.0向下兼容2.0,可与2.0版本联动,例如atrust2.2.6版本支持和edr3.5.18-24配置aio联动。
- EDR PC基础版的授权不支持AIO联动,其他PC高级版、全量版、服务器旗舰版、全量版均支持AIO,探针版也支持AIO,不过探针版没有托盘统一。