AC与EDR 联动可实现客户端统一安装和使用、统一AC和EDR客户端托盘、AC联动EDR下发病毒查杀、AC联动EDR从终端封堵防代理软件。

联动条件

AC与EDR联动需要满足以下版本要求和服务端口开放要求，防火墙需要终端与设备之间、设备与设备之间以下通信端口。

设备类型	版本	服务端口	备注
AC	13.0.70及以上版本	TCP80：客户端portal认证端口； TCP88：准入客户端上报合规检查结果； TCP886：客户端上报审计日志； TCP817：客户端自动升级及安装； TCP61111：终端代理解密上报SSL密钥； UDP667：客户端发送保活心跳； UDP61182：UDP自动找网关端口； TCP61182：TCP自动找网关端口 TCP9998：AC联动通信端口
EDR管理端	3.5.26及以上版本	TCP 443：控制台访问端口（可修改） TCP 4430：Agent组件更新和病毒库更新（可修改） TCP 8083：Agent和管理端业务通信端口 TCP 54120：管理端控制Agent禁用/启用/卸载 ICMP：Agent安装时，到管理端连通性探测

 

 

联动配置

1.EDR管理端接入配置

在[系统管理/系统设置/网络设置/高级配置/管理端端口设置]页面，可以修改EDR管理端控制台端口和终端程序升级安装端口，建议保持默认配置端口。

EDR管理端接口如果存在多个IP地址，需要在[管理端多IP设置]页面配置EDR管理端所有IP地址。

 

2.设备对接配置 

（1）AC生成联动码

登陆AC管理端，在[终端行为安全/终端安全联动]页面，选择联动设备通信的IP地址后，点击生成联动授权码。

 

（2）EDR接入联动设备 

登录EDR管理端，在[系统管理/]联动管理]页面，点击接入联动设备，选择[使用联动码接入]，粘贴AC上生成的联动码。

点击<下一步>后可以读取到AC的连接信息，选择与AC通信的IP地址后点击确定即可。

配置完成后，点击<连通性测试>测试联动配置是否成功。

通过AC也可以看到EDR联动状态已经成功。

 

：

也可以在EDR生成联动码，在AC识别联动码生成关联关系。

 

3.启用集成策略

（1）AC集成策略配置

在AC管理端[接入管理/终端检查/检测规则/终端插件检查规则]页面，新增[客户端集成规则]，输入规则名称、规则类型、规则描述，客户端需要集成的设备选择配置的联动的EDR设备。

新增检查策略，将创建的集成策略关联给需要安装AIO客户端的用户。

 

：

准入策略启用后，目标终端会显示准入安装页面，上网过程会中断直至准入安装完毕，建议开启策略前提前通知用户。

 

（2）EDR集成策略配置

用户如果需要通过先安装EDR再联动安装AC客户端，还需在EDR管理端[系统管理/系统设置/基本设置]页面勾选[客户端集成并下载AC零信任客户端]选项。

 

：

如果所有用户均通过先安装AC准入客户端再联动下载EDR客户端，也可不开启该选项。

 

 

联动效果

1.统一客户端

（1）客户端安装

全新安装场景(客户当前无AC准入和EDR)

该场景面向用户新上AC准入和EDR场景。

AC开启准入策略后，用户上网流量经过AC，AC会重定向用户至安装准入客户端页面。

下载安装完成后，如果未开启准入认证客户端，可在任务管理器看到准入进程。

用户关联了集成安装策略，EDR客户端会在后台静默下载安装（由于EDR安装包比较大，内网环境需要等待5-10分钟）。

：

当前版本EDR后台安装暂时没有下载和安装进度可以展示。

 

等待EDR客户端安装完成后，如果用户未开启AC准入认证，系统托盘只有EDR客户端。

如果用户开启了AC准入认证客户端，系统托盘会展示AIO融合后的图标。

：

AC+EDR场景下，AIO系统托盘主界面为EDR客户端。

  

 

加装场景(客户当前有AC，但是没有EDR)

该场景面向已经部署AC准入客户端，新增部署EDR客户端的用户。

1.用户如果部署的AC为非AIO版本，需要先完成AC设备升级，并完成EDR设备部署和联动配置，具体各项配置与前述基本一致。

2.客户端AC准入找到网关后，客户端会静默升级，升级完成后会在后台静默安装EDR客户端，EDR静默安装过程需要耐心等待。

3.客户端升级安装全部完成后，客户端系统托盘会融合成一个，具体过程与新装和升级场景基本一致。

 

加装场景(客户当前有EDR，但是没有AC)

该场景面向已经部署EDR客户端，新增部署AC准入客户端的用户。

1.用户如果部署的EDR为非AIO本，需要先完成EDR管理端升级，并完成AC设备部署和联动配置，各项配置与前述基本一致。

2.EDR平台升级完成以后，客户端会自动静默升级，升级过程需要耐心等待。

3.EDR管理端如果同步开启了【客户端集成并下载AC准入客户端】选项，客户端更新成功后会自动在后台静默安装AC准入客户端。

4.客户端升级安装全部完成后，客户端系统托盘会融合成一个，具体过程与新装和升级场景基本一致。

 

（2）客户端使用

当EDR与AC集成时，当AC开启准入认证策略，并且终端用户未认证前，托盘上方显示“上网认证”的按钮。

用户如果已经认证在线，则看到的是用户认证信息。

   

 

 

（3）客户端退出 

AC和EDR无法一次性整体退出，右键点击系统托盘，点击退出选项，输入EDR退出密码，退出的是EDR的单独客户端。

EDR客户端退出后，系统托盘将变为独立的AC认证客户端托盘，如需整体退出，还需要单独再次退出AC的认证客户端，AC认证客户端退出后，用户会注销下线。

：

AC认证客户端退出仅关闭认证客户端，准入运行进程依然会常驻运行。

 

（4）客户端卸载

当前版本各产品线卸载相互独立，互不干扰。

 

 

：

AC与EDR终端AIO功能当前仅支持 win 7、win 8、win8.1、win10和win11系统，不支持MAC OS、Linux和Windows Server操作系统。

 

 

2.用户信息同步功能

EDR平台可配置开启用户信息同步、实现人机对应，且可配置接受AC/aTrust用户信息的优先级，优先接受AC还是aTrust传来的信息。

 

AIO场景下，在终端管理平台登录AC，AC会将登陆的用户名发送给EDR，EDR上报到平台。AC登录用户名变化时，EDR会收到新登录用户名消息，并上报给平台。如果aTrust优先级高，且aTrust此时上报了用户名消息，则会用aTrust的用户名信息。

 

在EDR Agent界面填写后，会上报到平台，查看配置中心会发现信息来源为EDR。

登录AC后，AC将用户名发送给EDR，EDR终端和平台的用户名显示均为AC上报的用户名。

 

3.联动下发病毒查杀

当AC开启“僵尸主机检测”，并识别到风险终端时，可以联动EDR进行查杀。打开AC设备[终端行为安全/终端上网安全/安全状态/风险用户]，如下图。

点击<查看明细>，如下图。

点击<联动EDR分析>，下发对风险终端病毒查杀操作，并返回查杀结果，如下图。从AC设备可以对联动查杀发现的威胁文件可以进行“隔离”、“信任”、“忽略”等操作。

 

 

4.联动封锁防代理软件

当AC检测到终端存在防代理软件时，可以联动EDR对终端防代理软件进行封堵，解决防代理软件通过网络侧设备封堵效果不佳的问题。

打开AC[终端行为安全/终端防翻墙]，启用『代理工具检测』，如下图。

 

点击<配置选项>，启用『EDR联动阻断违规代理』，如下图。

当EDR检测到终端存在代理软件在运行，立即进行封堵，并弹窗告警，如下图。

打开AC[终端行为安全/终端防翻墙]，如下图，显示终端的代理软件已经被EDR阻断。

 

5.推广部署Agent

推广部署Agent是早期AC与EDR联动安装EDR客户端方案，此版本推出了AC与EDR联动终端AIO方案，可优先采用AIO方案。

此方案适用于在不安装AC准入客户端的情况下安装EDR客户端。

打开[终端行为安全/终端上网安全/安全能力/健全配置/终端检测与响应（EDR）]，点击<推送配置>配置推广安装Agent客户端的地址范围及重定向下载Agent客户端的地址，如下图。

策略适用范围：填写需要安装Agent客户端的内网电脑IP范围。

重定向地址：终端电脑上网被重定向到下载Agent客户端的地址，填写管理端[系统管理/终端部署]，上网行为管理系统联动部署中的地址，如下图。

配置完成，用户打开网页被重定向到通知部署Agent页面，此页面定时弹出，直到用户安装了Agent为止, 如下图所示。