需求背景
随着企业在终端安全侧的投入越来越大,针对不同的安全需求部署不同的安全策略,以往传统的终端安全策略每个独立的产品需要安装独立的客户端,多个客户端对终端PC的资源消耗,终端兼容性问题以及终端管理问题日益突出,企业需要具备端点、网络、应用程序工作负载、数据、通信、以及用户工作负载访问控制高度集成的一体化端点安全办公解决方案
方案介绍
深信服终端All in one(以下简称AIO)针对深信服各安全产品,提供统一客户端安装、统一系统托盘、产品功能联动等特性,结合EDR的全面部署应用,提供全网终端病毒、木马、入侵攻击等威胁防御能力,提供行之有效的整体安全防御体系,结合零信任安全办公,在终端与接入建立控制点,为客户提供内网办公、远程办公、混合办公一体化的整体解决方案,办公安全一端足矣。
实现效果
部署环境
| 产品线 |
版本 |
备注 |
| EDR |
3.7.10 |
|
| aTrust |
2216 |
|
| AC |
13.0.102 |
|
:
AC联动通信端口为AC开放接口端口TCP9998,aTrust控制器、EDR管理平台的联动端口均为TCP443,内网如果有防火墙之类的安全设备,需要放通联动端口。
功能配置
AC、EDR、aTrust基础网络部署请参考安装部署手册,以下配置为终端All in one联动相关配置。
接入配置
步骤1.登录AC管理页面,在[接入管理/终端管理/准入客户端配置]页面修改准入找网关方式为指定地址,即选择[设置准入客户端网关地址],并配置网关主、备IP地址。
:
1.联动规则读取的是该地址推送给终端进行联动下载AC准入客户端,因此需要务必确保测试PC能够与设置的IP地址正常通信,具体通信端口详见4.3章节服务端口清单。
2.该地址需要在配置集成安装策略前完成配置,如果配置完集成安装策略在再修改该地址,需要先关闭再重开集成策略触发更新,例如,在aTrust集成安装AC准入客户端时,需要在aTrust全局/用户策略把集成AC的选项的勾关闭,再打开进行触发更新。
步骤2.登录EDR管理平台,在[系统管理/系统设置/网络设置/高级配置/管理平台端口设置]页面,可以修改EDR管理平台控制台端口和终端程序升级安装端口。
步骤3.需要在[管理平台多IP设置]页面,将客户端下载的地址配置进来,如果EDR有多个IP,或者用户通过公网接入,需要将用户可以下载的IP地址,以及前置网关映射的公网IP地址都填入进来。
:
联动规则是读取EDR的这两处配置,生成客户端下载安装地址,下发给客户端。
联动码配置
步骤1.登陆aTrust管理端,在[系统管理/特性中心],开启[一体化终端]特性。
步骤2.在aTrust管理端[安全中心/深信服联动设备]页面,点击[联动码设置],生成联动码。
步骤3.登陆AC管理端,在[终端行为安全/终端安全联动]页面,选择跟联动设备通信的IP地址后,点击生成联动授权码。
:
每个联动码仅可使用一次,有多台联动设备接入时,需要为每一台联动设备重新生成一个联动码。
接入联动设备配置
步骤1.登录EDR管理平台,在[系统管理/联动管理]页面,点击接入联动设备,粘贴aTrust上生成的联动码,点击<下一步>后可以读取到aTrust的连接信息,选择与aTrust控制器通信的IP地址后点击确定即可。
步骤2.配置完成后,点击【连通性测试】测试联动配置是否成功。
步骤3.通过SDP也可以看到EDR联动状态已经成功。
:
EDR如需接入AC设备,联动接入过程与上述基本一致。
步骤4.登录AC管理页面,在[终端行为安全/终端安全联动]页面,点击接入联动设备,粘贴aTrust上生成的联动码,点击<下一步>后可以读取到aTrust的连接信息,选择与aTrust控制器通信的IP地址,配置联动设备名称后点击确定即可。
步骤5.配置完成后,点击【连通性测试】测试联动配置是否成功。
步骤6.通过SDP也可以看到AC联动状态已经成功。
:
联动对接任意一方作为主动连接设备都可以,例如也可以在EDR、AC生成联动码,在aTrust控制器识别联动码生成关联关系。
启用集成策略配置
步骤1.在aTrust管理端[业务管理/策略管理/全局策略]页面,勾选[强制安装客户端]开启终端强制安装。
:
如果不开启强制安装客户端,纯WEB资源环境下不会主动推送aTrust客户端。
步骤2.aTrust可以设置全局推送或者针对指定用户定向推送集成安装策略。
• 如果针对全部用户推广,可在全局策略勾选[EDR客户端联动]和[AC客户端联动]选项,并选择联动的EDR和AC。
• 如果只针对部分用户推广,可以在aTrust管理端[业务管理/策略管理/用户策略]页面添加策略。
选择适用用户,[EDR客户端联动]和[AC客户端联动]选项,并选择联动的EDR和AC。
步骤3.在AC管理端[接入管理/终端管理/终端检查规则/插件检查规则]页面,新增[客户端集成规则],输入规则名称、规则类型、规则描述,客户端需要集成的设备选择配置的联动的aTrust、EDR设备。
步骤4.在AC管理端[接入管理/终端管理/终端检查策略]页面,新增检查策略,将创建的EDR、aTrust集成规则关联给需要安装AIO客户端的用户。
步骤5.在AC管理端[接入管理/终端管理/准入客户端配置]页面开启准入推送策略
:
如果以AC为起点安装客户端,当准入策略启用后,目标终端会显示准入安装页面,上网过程会中断直至准入安装完毕,建议开启策略前提前通知用户。
步骤6.用户如果需要通过先安装EDR再联动安装aTrust客户端,还需在[系统管理/系统设置/基本设置]页面勾选[客户端集成并下载aTrust零信任客户端]选项。
:
如果所有用户均通过aTrust登录客户端并联动下载EDR客户端,也可不开启该选项。
客户端使用
• 客户端安装
步骤7.当用户需要远程访问aturst代理的业务系统,提示用户需要安装aTrust客户端。
步骤1.下载安装完成后,可在客户端看到aTrust系统托盘。
步骤2.通过点击系统托盘图标或双击桌面快捷方式,可以打开客户端工作台,并在工作台上可以看到AC和EDR下载和安装进度。(由于EDR安装包比较大,内网环境需要等待5-10分钟,公网环境根据实际的带宽情况可能会比较久)。
:
如果没有开启全局策略,只开启了用户策略的话,需要对应用户认证登录成功以后才会联动下载AC和EDR。
步骤3.等待AC和EDR客户端安装完成后,在工作台可以看到AC[入网认证]选项,通过[安全]模块可以进行EDR客户端功能快捷操作和状态查看;系统aTrust托盘上会融合 “终端检测响应”的图标。
步骤1.首先需要升级aTrust控制器、代理网关和EDR至AIO版本,具体升级过程请参考各产品线升级操作指导。
步骤2.当用户接入aTrust发布的业务系统时,会提示客户端升级更新,点击立即更新。
步骤3.EDR默认开启终端自动更新,aTrust、AC和EDR均升级成功后,系统图标会融合成一个。
步骤4.aTrust升级为支持工作台的版本后,点击系统图标可以打开aTrust工作台。
:
由于EDR客户端升级包比较大,内网环境下升级预计5-10分钟,公网环境根据实际的带宽情况可能会比较久,升级过程需要耐心等待,可通过EDR管理平台查看终端升级状态。
步骤1.用户如果部署的aTrust为非AIO版本,需要先完成aTrust设备升级,并完成EDR设备部署和联动配置,具体各项配置与前述基本一致。
步骤2.客户端登录aTrust后,aTrust会提示升级并在后台静默安装EDR客户端,EDR静默安装过程需要耐心等待。
步骤3.客户端升级安装全部完成后,客户端系统托盘会融合成一个,具体过程与新装和升级场景基本一致。
步骤1.用户如果部署的EDR为非AIO本,需要先完成EDR管理平台升级,并完成aTrust设备部署和联动配置,各项配置与前述基本一致。
步骤2.EDR平台升级完成以后,客户端会自动静默升级,升级过程需要耐心等待。
步骤3.EDR管理平台如果同步开启了[客户端集成并下载aTrust零信任客户端]选项,客户端更新成功后会自动在后台静默安装aTrust客户端。
步骤4.客户端升级安装全部完成后,客户端系统托盘会融合成一个,具体过程与新装和升级场景基本一致。
• 客户端使用
:
工作台不支持第三方认证和证书认证,包括:证书认证、LDAP认证、CAS、OAuth认证等。如需使用,在工作台选择对应认证时,会调出浏览器打开认证页面。
• 客户端退出
整体退出
:
客户端完整退出后,重新打开aTrust工作台,此时只会拉起独立的aTrust客户端,需要手动拉起EDR客户端,工作台上才会融合EDR安全模块。同理,如果只单独打开EDR客户端,也只会开启EDR独立客户端。
分开退出
• 客户端卸载
当前版本各产品线卸载相互独立,互不干扰。
注意事项
| 产品线 |
Win XP |
Win 7 |
Win 8 |
Win 8.1 |
Win 10 |
Win 11 |
| EDR |
Y |
Y |
Y |
Y |
Y |
Y |
| AC |
N |
Y |
Y |
Y |
Y |
Y |
| aTrust |
N |
Y |
N |
N |
Y |
Y |
建议使用Chrome浏览器访问!
