Windows系统部署Agent支持小规模部署和大规模批量部署。
1.小规模(无第三方工具)部署包括:下载器部署、静默包部署、离线全量包部署和网页推广部署
2.大规模(有第三方工具)批量部署包括:AD域控批量部署、桌管批量部署、准入设备联动批量部署和虚拟机模板部署。
2.4.2.1.下载器部署
下载器部署是小规模场景最常用的部署方式,管理员从EDR管理端下载Agent安装包,并通过U盘等移动介质将其拷入终端进行安装部署,安装过程如下:
步骤1:从EDR管理端下载安装程序。打开[系统管理/终端部署],选中[Windows/下载器部署]下载Agent安装包,如下图。
• 说明:
PC客户端安装程序默认命名(类似edr_installer_管理端IP_4430.exe)包含EDR管理端通讯地址信息,下载后请勿更改安装程序名。
步骤2:将安装程序拷贝至需要安装的终端,并双击执行安装程序。预留1.5-2G空间安装文件包。安装路径默认在C盘,无需更改。若需安装在其他盘上,则需判断其他盘符的权限是足够的,提前给足权限,提升到超级管理员权限,否则默认即可。
阅读免责声明并勾选同意“免责声明”,点击<立即安装>,安装程序连接EDR管理端下载必要的安装组件进行安装,如下图。
从管理端获取相关组件并且等待安装
安装完成,点击<开启防护>完成资产信息上报登记,如下图。
完成资产登记后,自动弹出EDR终端页面,即完成终端部署
PS:已经安装了其它安全软件的电脑再安装EDR时,EDR在安装前会自动检测到与该软件不兼容,弹窗由用户选择“直接安装”或“兼容模式安装”,如下图。
选择直接安装:EDR安装完成后终端文件实时防护默认开启(实时防护依赖管理端策略,管理端默认开启文件实时防护)
选择兼容模式安装:EDR安装完成后终端文件实时防护默认关闭
2.4.2.2.静默包部署
静默包安装全程无感知,适用于安装过程无感知、不需要人为干预场景。管理员从EDR管理端下载Agent安装包,并通过U盘等移动介质将其拷入终端进行安装部署,安装过程如下:
步骤1:从EDR管理端下载安装程序。下载路径[系统管理/终端部署],选中[Windows/下载器部署]下载Agent安装包,如下图。
步骤2:右键以管理员身份运行或双击静默包自动安装、全程无感知,安装成功后,终端 Agent 自动连接EDR管理端,在管理端[终端管理/终端分组管理]可以看到终端上线信息。即完成终端部署
• 说明:
PC客户端安装程序默认命名(类似edr_installer_管理端IP_4430_silence.exe)包含EDR管理端通讯地址信息,下载后请勿更改安装程序名,静默包带静默“silence”字样
PS:验证安装过程:可打开<任务管理器>查看到有fget.exe进程在运行,正在获取文件,进行EDR静默安装中;也可右键打开EDR默认安装目录SF/EDR/agent/bin,通过不断刷新查看有新文件正在产生
EDR安装完成后,终端右下角出现EDR角标,弹出资产登记(按管理端Mgr策略配置是否强制填写),也可在任务管理器看到edr_agent.exe核心进程与sfavui终端ui页面进程正在运行,此时为完成安装部署。
2.4.2.3.离线全量包部署
集团多分支场景,EDR管理端部署在集团,EDR客户端安装时需要通过vpn或专线接入集团管理端下载组件,导致下载占用专线带宽、安装过程慢。使用终端全量包安装时可以直接安装、无需从管理端下载组件,避免占用专线带宽。
打开[系统管理/终端部署],选中[Windows],打开[通用部署/离线全量包部署],如下图。
终端离线全量安装包步骤如下:
步骤1:下载离线全量安装包
点击<前往深信服社区>,根据64/32位系统选择,下载终端离线全量包,如下图:
步骤2:修改安装包文件名
全量包安装之前,需要先修改安装包文件名,本地EDR客户端和SASE EDR客户端安装包文件名修改不同,分别如下。
(1)修改本地EDR客户端安装包文件名
安装包文件名默认如‘edr_installerFullX64_IP_PORT.exe或edr_installerFullX86_IP_PORT.exe’,本地EDR客户端安装前需要修改文件名中的IP和PORT
IP:修改为管理端IP地址
PORT:修改为终端和管理端通信端口,默认为4430。可在管理端修改此端口,如下图,如果端口有修改,则文件名中端口需要同步修改。
或者到[系统管理/终端部署/离线全量包]复制管理平台提供的名称将文件重命名
例1:本地EDR Windows全量包修改文件名
例如,管理端地址是10.0.0.1,终端和管理端通信端口为4430,则修改安装包文件名如下:
64位环境安装包:edr_installerFullX64_10.0.0.1_4430.exe
32位环境安装包:edr_installerFullX86_10.0.0.1_4430.exe
或重命名为:edr_installer_10.0.0.1_4430.exe
(2)修改SASE EDR客户端安装包文件名
安装包文件名默认如‘edr_installerFullX64_IP_PORT.exe或edr_installerFullX86_IP_PORT.exe’,SASE EDR客户端安装前需要修改文件名中的IP和PORT,并在文件名最后加上‘_客户ID’。
IP:修改为edrinterconnection.sangfor.com.cn
PORT:修改为443
企业ID:填写客户的客户ID。客户ID需要登录深信服云图获取,如下图。
或者到[系统管理/终端部署/离线全量包]复制管理平台提供的名称将文件重命名
例2:SASE EDR Windows全量包修改文件名
例如,客户ID为36138639,则SASE EDR修改安装包文件名如下:
64位环境安装包:
edr_installerFullX64_edrinterconnection.sangfor.com.cn_443_36138639.exe
32位环境安装包:
edr_installerFullX86_edrinterconnection.sangfor.com.cn_443_36138639.exe
或重命名为:edr_installer_edrinterconnection.sangfor.com.cn_443_36138639.exe
步骤3:全量包执行安装
双击安装包,或右键以管理员身份运行,进行安装。
管理端看到终端状态正常上线,即完成终端部署
2.4.2.4.网页推广部署
管理员发布部署通知的web页面,将发布页链接通过邮件、OA等方式发送至终端,终端用户自行下载Agent安装包进行安装部署。
打开[系统管理/终端部署],选中[Windows],打开[通用部署/网页推广部署],如下图。
编辑推广通知页面标题和内容,点击<下一步>,生成推广链接,如下图。
管理员将推广链接通过邮件、OA等方式发送至终端,终端用户自行下载Agent安装包进行安装部署,如下图。
2.4.2.5.AD域控推送批量部署
客户内网已有微软AD域控,终端均接入域控统一管理。通过域控下发组策略,实现开机自动静默安装EDR客户端。
通过AD域控推送批量部署Agent配置部署如下:
下载安装包
下载安装包和对应的操作文档,如下图:
下载安装包如下图,安装包文件名中IP地址为EDR管理端地址,端口为连接EDR管理端端口。安装包文件名不可以修改(文件名修改会导致安装失败)。
新建组策略
登录域服务器,打开组策略管理器,新建组策略,如下图
输入GPO名称后,点击确定。
编辑组策略
选择刚刚新建的GPO,然后进行编辑。
依次打开[计算机配置->策略->脚本(启动/关机)]中,选择并点击<启动>。
点击<显示文件>,打开启动脚本目录,并将安装包和推送脚本放到此目录,如下图。
将安装包和批处理推送脚本放到此目录,如下图。
复制上图开机启动脚本目录地址栏路径,为下面修改edr.bat脚本使用。
使用记事本打开edr.bat脚本,按如下要求进行修改。
需要修改脚本中Route和EDR_EXE参数值。
Route值修改为安装包和推送脚本所在目录,即文档中开机启动脚本目录。
EDR_EXE是安装包程序名。
脚本修改完成保存关闭。
点击添加按钮进行脚本的添加,如下图。
选择浏览按钮添加edr.bat脚本。
点击确定即可。
链接组策略
选一个可以用于测试的OU链接组策略进行小范围测试,再将组策略关联到域中所有计算机。
注意:OU下需要有计算机才生效,如果只有域用户则不生效,因为组策略是配置“计算机配置”、非“用户配置”。
例如,给域中test OU链接组策略,如下图。
选择刚新建的组策略(如图为 EDRSetup),然后点击确定后完成开机脚本部署。
验证安装效果
测试电脑重启验证客户端推送安装。打开终端电脑任务管理器,查看存在“EDR终端防护中心”进程说明EDR客户端正在安装。
安装过程需要几分钟,安装完成后,在桌面生成EDR图标,如下图。
注意:当验证测试OU电脑可以正常推送安装EDR客户端时,扩大组策略范围,将组策略关联到域中所有计算机。如图,在域edr197.com处右键链接组策略,则组策略对加入域的所有计算机生效。
• 说明:
1.组策略链接的OU下需要有计算机才生效,如果只有域用户则不生效。因为组策略是配置了“计算机配置”,此时组策略和域用户无关、计算机开机加入域即自动获取组策略推送安装;如果组策略是配置了“用户配置”,则此时组策略和域用户有关、计算机开机域用户登录时自动获取组策略,且需要域用户具备管理员权限才能安装。
2.终端安装过程中会先从管理端下载必要组件进行安装,大量终端同时安装会占用带宽,为了避免大量终端同时下载而导致网络被占满,建议限制单次批量部署最大终端数,保障安装稳定性。
若是 100Mb 的带宽,也是 12.5MB ,每个终端下载的最大带宽限制在 2MB,建议一次批量部署最大终端数是 5 台终端,预留 0.5 MB。
若是 1000Mb 的带宽,也就是 125 MB,每个终端下载的最大带宽限制在 2MB,建议一次批量部署最大终端数是 60 台终端,预留 5 MB。
3.已经安装EDR客户的电脑再次重启不会重复推送安装EDR客户端。。
2.4.2.6.桌管推送批量部署
适用于客户有桌管软件且支持软件分发,可以通过桌管软件分发安装Agent,从而达到批量部署的目的。
场景一:桌管软件分发安装支持设置静默安装参数。
桌管软件分发安装支持设置静默安装参数场景,可以直接下载Agent常规安装包,并设置静默安装参数(-Silence=Y)分发安装。打开[系统管理/终端部署],选中[Windows/批量部署/桌管批量部署]下载Agent常规安装包,如下图。
场景二:桌管软件分发安装不支持设置静默安装参数。
桌管软件分发安装不支持设置静默安装参数场景,需要下载Windows静默安装包分发安装。打开[系统管理/终端部署],选中[Windows/批量部署/桌管批量部署]下载Agent静默安装包,如下图。
2.4.2.7.准入设备联动批量部署
通过联动准入设备,检测到未安装Agent的终端则拦截终端上网流量,并引导至Agent下载页面进行安装部署,主要步骤如下:
如果同时有使用深信服行为管理(AC)产品,可以通过AC和EDR联动推广部署EDR Agent。打开[系统管理/终端部署],选中[Windows/批量部署/准入设备部署],参考AC与EDR联动部署方案,如下图。
2.4.2.8.虚拟机模板派生批量部署
虚拟机模板部署适用于虚拟化环境,管理员将安装Agent的虚拟机制作成模板,通过模板批量派生成多个虚拟机。打开[系统管理/终端部署],选中[Windows/批量部署/虚拟机模板部署]如下图。
步骤1:下载安装包进行常规安装,可参考5.2.1/2/3/4章节,完成后终端正常上线
步骤2:需要在导出虚拟机前,找到Agent终端安装路径xxx/bin/clone_tool工具,右键管理员执行,然后再导出虚拟机,才可保障虚拟机派生场景Agent-id的唯一性
找到工具目录,默认为C:/Program Files/SF/EDR/agent/bin
右键以管理员身份运行,出现复制标志成功‘create copying flag success’即可
步骤3:以HCI虚拟化平台为例导出虚拟机
确认导出格式,推荐选择OVA
虚拟机派生完成,即可拿该OVA进行派生批量部署
建议使用Chrome浏览器访问!
