漏洞防护包含“零”干扰漏洞免疫（即轻补丁漏洞免疫）和实体漏洞补丁修复两部分。漏洞补丁管理方案采用以实体补丁为主、轻补丁为辅的管理方案。终端系统漏洞应优先通过实体补丁修复从根本上解决漏洞问题，同时开启轻补丁免疫功能，对于未及时修复实体补丁的漏洞（例如因实体补丁修复导致服务器重启影响业务、修复失败等原因未及时修复的情况），轻补丁可以保护终端免受漏洞攻击。

•   说明：

此功能支持windows、linux、信创桌面、信创服务器终端。

3.3.7.1.轻补丁漏洞免疫

轻补丁漏洞免疫介绍

“零”干扰漏洞免疫，也可称为“轻补丁漏洞免疫”，具备对业务系统“零侵害、无干扰”的优点，可在业务或终端正常运行的情况下进行免疫，防御流行的高危和0day漏洞利用攻击，无需重启或中断业务，不存在兼容性问题，过程轻量化，同时具备修复速度快、防御效果好等特性。

勾选“开启轻补丁漏洞免疫”，开启该功能。

“”表示禁止客户端设置；点击该图标，“”则表示允许客户端设置。

点击上图“兼容性说明”，兼容性说明如下图

当开启轻补丁漏洞免疫功能时，存在对应漏洞的电脑将会自动免疫。打开[响应中心/漏洞响应/轻补丁漏洞免疫]，如下图。

当终端不需要对某漏洞进行免疫时，如上图，选中漏洞，点击<取消免疫>。

轻补丁漏洞免疫效果

当终端检测到漏洞攻击时，成功拦截攻击并弹窗提醒如下图。

登录管理端，打开[日志报表/安全日志]，选择轻补丁防护日志，如下图。查询最近一段时间轻补丁功能拦截漏洞攻击日志记录。

3.3.7.2.实体漏洞补丁修复

实体补丁修复指通过EDR检测Windows/linux/信创桌面/信创服务器存在的漏洞，并通过EDR下发修复策略（修复仅支持windows终端和信创终端），终端无感知进行漏洞修复。

漏洞补丁安装生效重启设置

部分实体补丁安装完成，需要终端重启才生效。这里定义补丁安装后终端重启策略及通知内容，可以设置[强制终端安装补丁后立即重启]或[弹窗提醒终端用户重启]

打开[威胁检测/终端漏洞查补]进行漏洞检测与修复。检测到有补丁安装需要重启时，提示如下，管理员可选是否[根据漏洞补丁安装生效重启设置进行重启]，如下图。

当管理员可选中[根据漏洞补丁安装生效重启设置进行重启]，且重启策略设置为[弹窗提醒终端用户重启]，则终端收到弹窗提醒如下图。

当管理员可选中[根据漏洞补丁安装生效重启设置进行重启]，且重启策略设置为[强制终端安装补丁后立即重启]，则终端收到弹窗提醒如下图。

漏洞扫描与补丁修复

勾选“开启定期自动扫描”，可以开启该功能，实现在指定时间段进行扫描。

其中：

• 定期漏洞扫描：定义漏洞定时检测的时间段。

• 漏洞扫描结果：定义发现系统漏洞后的处置方法，处置方法包括[扫描完自动修复]和[仅上报，不修复]（推荐）。

• 终端补丁包获取服务器地址设置：定义终端下载漏洞补丁的服务器，默认是深信服CDN服务器、微软漏洞补丁服务器及本管理端。

隔离网场景实体漏洞修复

终端无法连接互联网、EDR管理端可以连接互联网场景，此时终端无法从互联网服务器下载漏洞补丁包。点击图中<去设置>，跳转至[系统管理/系统设置/基本设置]，如下图，选中“当终端无法从内置服务器下载补丁包时，允许管理端主动下载补丁包文件”，即可实现由管理端代理终端下载补丁包完成补丁修复。

•   说明：