行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.102
{{sendMatomoQuery("行为管理AC","AC+EDR+aTrust配置案例")}}

AC+EDR+aTrust配置案例

更新时间:2023-09-22

需求背景

随着企业在终端安全侧的投入越来越大,针对不同的安全需求部署不同的安全策略,以往传统的终端安全策略每个独立的产品需要安装独立的客户端,多个客户端对终端PC的资源消耗,终端兼容性问题以及终端管理问题日益突出,企业需要具备端点、网络、应用程序工作负载、数据、通信、以及用户工作负载访问控制高度集成的一体化端点安全办公解决方案

方案介绍

深信服终端All in one(以下简称AIO)针对深信服各安全产品,提供统一客户端安装、统一系统托盘、产品功能联动等特性,结合EDR的全面部署应用,提供全网终端病毒、木马、入侵攻击等威胁防御能力,提供行之有效的整体安全防御体系,结合零信任安全办公,在终端与接入建立控制点,为客户提供内网办公、远程办公、混合办公一体化的整体解决方案,办公安全一端足矣。

实现效果

  1. 统一安装:管理员通过配置客户端集成规避了重复推端,用户只需要安装1次就可以安装完所需安装的深信服客户端(aTrustEDRAC),简化了管理员的客户端推广工作,简化了用户的安装体验,并在一定程度上减少投诉。
  1. 统一系统托盘:用户可以通过统一的深信服产品托盘进入不同产品界面,在一定程度上降低用户对多客户端托盘的排斥,在一定程度上减少用户的抱怨与投诉,补齐在与友商竞争中一体化客户端的短板。
  2. 统一客户端工作台:围绕安全办公场景,atrust提供客户端工作台,可在工作台上进行认证登录和访问资源;并在工作台融合EDRAC功能访问入口,在工作台安全页面进行EDR客户端功能快捷操作和状态集成。
  3. EDRaTrust联动:通过EDR对终端环境进行检测,当存在风险时,禁止用户通过不安全终端访问业务,隔离来自终端的风险。

部署环境

  1. SDP采用控制器+代理网关的部署架构,控制器(172.31.2.100)部署在运维区,代理网关(172.31.1.100)部署在业务区。
  1. AC网桥模式部署在互联网出口,针对内网用户开启准入认证功能。
  2. EDR管理平台(172.31.2.110)部署在运维区,用户可直接通过EDR管理平台获取EDR客户端完成安装。
  3. 互联网出口防火墙对外发布aTrustACEDR管理平台相关服务。
  4. 用户内外网访问业务系统均通过aTrust代理访问,保持业务访问体验一致性。

产品线

版本

备注

EDR

3.7.10

aTrust

2216

AC

13.0.102

AC联动通信端口为AC开放接口端口TCP9998aTrust控制器、EDR管理平台的联动端口均为TCP443,内网如果有防火墙之类的安全设备,需要放通联动端口。

功能配置

ACEDRaTrust基础网络部署请参考安装部署手册,以下配置为终端All in one联动相关配置。

接入配置

步骤1.登录AC管理页面,在[接入管理/终端管理/准入客户端配置]页面修改准入找网关方式为指定地址,即选择[设置准入客户端网关地址],并配置网关主、备IP地址。

1.联动规则读取的是该地址推送给终端进行联动下载AC准入客户端,因此需要务必确保测试PC能够与设置的IP地址正常通信,具体通信端口详见4.3章节服务端口清单。

2.该地址需要在配置集成安装策略前完成配置,如果配置完集成安装策略在再修改该地址,需要先关闭再重开集成策略触发更新,例如,在aTrust集成安装AC准入客户端时,需要在aTrust全局/用户策略把集成AC的选项的勾关闭,再打开进行触发更新。

步骤2.登录EDR管理平台,在[系统管理/系统设置/网络设置/高级配置/管理平台端口设置]页面,可以修改EDR管理平台控制台端口和终端程序升级安装端口。

步骤3.需要在[管理平台多IP设置]页面,将客户端下载的地址配置进来,如果EDR有多个IP,或者用户通过公网接入,需要将用户可以下载的IP地址,以及前置网关映射的公网IP地址都填入进来。

联动规则是读取EDR的这两处配置,生成客户端下载安装地址,下发给客户端。

联动码配置

步骤1.登陆aTrust管理端,在[系统管理/特性中心],开启[一体化终端]特性。

步骤2.aTrust管理端[安全中心/深信服联动设备]页面,点击[联动码设置],生成联动码。

步骤3.登陆AC管理端,在[终端行为安全/终端安全联动]页面,选择跟联动设备通信的IP地址后,点击生成联动授权码。

每个联动码仅可使用一次,有多台联动设备接入时,需要为每一台联动设备重新生成一个联动码。

接入联动设备配置

步骤1.登录EDR管理平台,在[系统管理/联动管理]页面,点击接入联动设备,粘贴aTrust上生成的联动码,点击<下一步>后可以读取到aTrust的连接信息,选择与aTrust控制器通信的IP地址后点击确定即可。

步骤2.配置完成后,点击【连通性测试】测试联动配置是否成功。

步骤3.通过SDP也可以看到EDR联动状态已经成功。

EDR如需接入AC设备,联动接入过程与上述基本一致。

步骤4.登录AC管理页面,在[终端行为安全/终端安全联动]页面,点击接入联动设备,粘贴aTrust上生成的联动码,点击<下一步>后可以读取到aTrust的连接信息,选择与aTrust控制器通信的IP地址,配置联动设备名称后点击确定即可。

步骤5.配置完成后,点击【连通性测试】测试联动配置是否成功。

步骤6.通过SDP也可以看到AC联动状态已经成功。

联动对接任意一方作为主动连接设备都可以,例如也可以在EDRAC生成联动码,在aTrust控制器识别联动码生成关联关系。

启用集成策略配置

步骤1.aTrust管理端[业务管理/策略管理/全局策略]页面,勾选[强制安装客户端]开启终端强制安装。

如果不开启强制安装客户端,纯WEB资源环境下不会主动推送aTrust客户端。

步骤2.aTrust可以设置全局推送或者针对指定用户定向推送集成安装策略。

如果针对全部用户推广,可在全局策略勾选[EDR客户端联动][AC客户端联动]选项,并选择联动的EDRAC

如果只针对部分用户推广,可以在aTrust管理端[业务管理/策略管理/用户策略]页面添加策略。

选择适用用户,[EDR客户端联动][AC客户端联动]选项,并选择联动的EDRAC

步骤3.AC管理端[接入管理/终端管理/终端检查规则/插件检查规则]页面,新增[客户端集成规则],输入规则名称、规则类型、规则描述,客户端需要集成的设备选择配置的联动的aTrustEDR设备。

步骤4.AC管理端[接入管理/终端管理/终端检查策略]页面,新增检查策略,将创建的EDRaTrust集成规则关联给需要安装AIO客户端的用户。

步骤5.AC管理端[接入管理/终端管理/准入客户端配置]页面开启准入推送策略

如果以AC为起点安装客户端,当准入策略启用后,目标终端会显示准入安装页面,上网过程会中断直至准入安装完毕,建议开启策略前提前通知用户。

步骤6.用户如果需要通过先安装EDR再联动安装aTrust客户端,还需在[系统管理/系统设置/基本设置]页面勾选[客户端集成并下载aTrust零信任客户端]选项。

如果所有用户均通过aTrust登录客户端并联动下载EDR客户端,也可不开启该选项。

客户端使用

客户端安装

  1. 全新安装场景(客户当前无aTrustACEDR),该场景面向用户新上aTrustACEDR场景。

步骤7.当用户需要远程访问aturst代理的业务系统,提示用户需要安装aTrust客户端。

步骤1.下载安装完成后,可在客户端看到aTrust系统托盘。

步骤2.通过点击系统托盘图标或双击桌面快捷方式,可以打开客户端工作台,并在工作台上可以看到ACEDR下载和安装进度。(由于EDR安装包比较大,内网环境需要等待5-10分钟,公网环境根据实际的带宽情况可能会比较久)。

如果没有开启全局策略,只开启了用户策略的话,需要对应用户认证登录成功以后才会联动下载ACEDR

步骤3.等待ACEDR客户端安装完成后,在工作台可以看到AC[入网认证]选项,通过[安全]模块可以进行EDR客户端功能快捷操作和状态查看;系统aTrust托盘上会融合 “终端检测响应”的图标。

  1. 升级场景(客户当前有aTrustACEDR客户端),该场景面向已经部署过老版本aTrustACEDR客户端的用户。

步骤1.首先需要升级aTrust控制器、代理网关和EDRAIO版本,具体升级过程请参考各产品线升级操作指导。

步骤2.当用户接入aTrust发布的业务系统时,会提示客户端升级更新,点击立即更新。

步骤3.EDR默认开启终端自动更新,aTrustACEDR均升级成功后,系统图标会融合成一个。

步骤4.aTrust升级为支持工作台的版本后,点击系统图标可以打开aTrust工作台。

由于EDR客户端升级包比较大,内网环境下升级预计5-10分钟,公网环境根据实际的带宽情况可能会比较久,升级过程需要耐心等待,可通过EDR管理平台查看终端升级状态。

  1. 加装场景(客户当前有aTrust,但是没有EDR),该场景面向已经部署aTrust客户端,新增部署EDR客户端的用户。

步骤1.用户如果部署的aTrust为非AIO版本,需要先完成aTrust设备升级,并完成EDR设备部署和联动配置,具体各项配置与前述基本一致。

步骤2.客户端登录aTrust后,aTrust会提示升级并在后台静默安装EDR客户端,EDR静默安装过程需要耐心等待。

步骤3.客户端升级安装全部完成后,客户端系统托盘会融合成一个,具体过程与新装和升级场景基本一致。

  1. 加装场景(客户当前有EDR,但是没有aTrust),该场景面向已经部署EDR客户端,新增部署aTrust客户端的用户。

步骤1.用户如果部署的EDR为非AIO本,需要先完成EDR管理平台升级,并完成aTrust设备部署和联动配置,各项配置与前述基本一致。

步骤2.EDR平台升级完成以后,客户端会自动静默升级,升级过程需要耐心等待。

步骤3.EDR管理平台如果同步开启了[客户端集成并下载aTrust零信任客户端]选项,客户端更新成功后会自动在后台静默安装aTrust客户端。

步骤4.客户端升级安装全部完成后,客户端系统托盘会融合成一个,具体过程与新装和升级场景基本一致。

客户端使用

  1. atrust工作台点击【开始办公】即可接入atrust,认证后可访问业务系统。

工作台不支持第三方认证和证书认证,包括:证书认证、LDAP认证、CASOAuth认证等。如需使用,在工作台选择对应认证时,会调出浏览器打开认证页面。

  1. [安全]模块页面,点击对应的功能会直接调出EDR客户端页面执行相应的任务。

  1. 点击【入网认证】选项,可以打开AC认证客户端界面。

  1. 通过系统托盘图标也可以调用对应的功能模块进行客户端操作。

客户端退出

整体退出

  1. 右键点击系统托盘,点击退出客户端选项。

  1. 在对话中选择同时退出“EDR终端检测响应”,可以同时退出aTrustACEDR客户端。

  1. EDR客户端退出需要输入防护密码,需要由管理员提供,输入密码后即可整体退出客户端。

客户端完整退出后,重新打开aTrust工作台,此时只会拉起独立的aTrust客户端,需要手动拉起EDR客户端,工作台上才会融合EDR安全模块。同理,如果只单独打开EDR客户端,也只会开启EDR独立客户端。

分开退出

  1. 右键点击系统托盘,点击退出客户端选项,在对话中缺省不选择同时退出“EDR终端检测响应”选项,可单独退出aTrust客户端。

  1. 退出aTrust客户端后,系统托盘将变更为EDR独立客户端托盘。

  1. 如需单独退出EDR,可点击进入EDR托盘图标以后,再点击退出选项,即可单独退出EDR客户端。

客户端卸载

当前版本各产品线卸载相互独立,互不干扰。

注意事项

  1. AIOv3.0版本当前仅支持windows PC版本中文操作系统,暂不支持MAClinux以及windows server版操作系统,各产品线兼容列表如下。

产品线

Win XP

Win 7

Win 8

Win 8.1

Win 10

Win 11

EDR

Y

Y

Y

Y

Y

Y

AC

N

Y

Y

Y

Y

Y

aTrust

N

Y

N

N

Y

Y

  1. 用户如果手动卸载客户端以后,注册表会保留已安装过的标记,重新安装任意客户端AIO将不再联动下载安装其他客户端,避免用户手动卸载后重复推送,如果用户想重新安装其他客户端,也需要手动下载安装(如需恢复联动下载,可在注册表删除软件安装标识HKEY_LOCAL_MACHINE\SOFTWARE)。
  2. AC主主、主备模式场景下,因为联动ID集群模式为一个,当主节点异常使得另一台节点工作并以新节点管理IP+联动IDEDRatrust建立互信时,因为管理IP变化会被拒绝,因此当前版本暂不建议在AC高可用环境下使用AIO集成安装策略。
  3. aTrustACEDR联动环境感知场景下,如果安全策略条件为运行指定杀毒软件为“Sangfor Defender 防病毒程序”,客户端手动卸载EDR后,仍能命中安全策略,原因是EDR卸载没有清理Windows安全中心标记,SDP会认为还是安装了EDR,客户端手动重启系统后,会自动清理该标记。
  4. aTrustACEDR联动环境感知场景下,aTrust只开启了环境感知评分,未开启用户必须安装EDR的准入策略,如果用户是首次安装aTrustACEDR客户端,用户登录aTrust完成客户端安装后,由于EDR安装尚未完成,aTrust暂时无法获取终端评分,缺省用户评分为100分。
  5. aTrustACEDR联动环境感知场景下,aTrust只开启了环境感知评分,未开启用户必须安装EDR的准入策略,如果aTrust控制器与EDR管理平台不通,aTrust也无法获取终端评分,缺省用户评分为100分。
  6. 用户环境如果部署了多台EDR管理平台并接入到SDP,如果客户端登录时全局策略联动的EDR设备为A,客户端登录以后,管理员修改全局策略联动的EDR设备为BSDPC会从EDR-B设备获取评分,导致客户端真实评分失真。
  7. 当前AIO1.0AIO2.0不兼容,不可以使用不同迭代版本的产品线开启联动,例如atrust2.1.17版本目前仅合入AIO1.0,所以不支持与EDR3.5.18开启联动。
  8. AIO3.0向下兼容2.0,可与2.0版本联动,例如atrust2.2.6版本支持和edr3.5.18-24配置aio联动。
  9. EDR PC基础版的授权不支持AIO联动,其他PC高级版、全量版、服务器旗舰版、全量版均支持AIO,探针版也支持AIO,不过探针版没有托盘统一。