步骤1、在[系统管理/特性中心]中开启特性“一体化终端”。
步骤2、在[安全中心/深信服联动设备]中,点击<联动码设置>,然后输入本机名称和本设备IP地址后,点击<立即生成>,然后将联动码复制下来。
:
在aTrust设备上生成联动码时,填写“本设备IP地址”有以下几个方面需要注意:
7、深信服EDR设备可以通过aTrust的联动码读取出aTrust设备的通讯地址和端口。
8、当aTrust用户接入地址使用443端口时,在联动码设置处填写“本设备IP地址”时,可以不带端口号。
9、如果aTrust用户接入地址使用的是非443端口,例如当用户接入地址的URL是https://1.1.1.1:1443时,则“本设备IP地址”处应填1.1.1.1:1443。
10、如果EDR设备使用公网IP为源的方式访问aTrust的时(即EDR和aTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),在生成联动码时,应填写aTrust设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:1443。
11、一个联动码仅能使用一次。
12、如果aTrust控制中心组建了集群,则“本设备IP地址”应填写集群IP。
步骤3、在EDR设备控制台[系统管理/联动管理]处,点击<接入联动设备>,并输入联动码,点击<下一步>。
检查各项信息是否正确,尤其是“本机IP”,如确认无误,则点击<确定>。
:
EDR设备的“本机IP”填写规范,和步骤2中所述的注意事项一致(重点关注第3点)。
即:如果EDR的接入地址使用的是非443端口,例如当用户接入地址的URL是https://1.1.1.1:4431时,则“本设备IP地址”处应填1.1.1.1:4431。
如果EDR设备使用公网IP为源的方式访问aTrust的时(即EDR和aTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),在生成联动码时,应填写EDR设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:4431。
步骤4、等待约半分钟后,设备联动即可成功,可以在EDR设备的[系统管理/联动管理]中看到已经接入的aTrust设备,点击<连通性测试>,可以测试成功即代表联动正常。
在aTrust控制台[安全中心/深信服联动设备]处也可以看到已经联动成功的EDR设备。
步骤5、在EDR的[终端管理/策略中心/本级中心/环境感知]勾选<开启环境感知>,为方便后面测试功能(EDR其它功能的使用方法请参考EDR用户手册),此处勾选最下方的“开启Windows防火墙监控”,设置未开启时扣分40。最后点击<应用到下级分组>,确保接入到该EDR的终端都会按照此标准进行环境检测。
步骤6、在[业务管理/策略管理]中启用EDR客户端联动,这里有两种方式开启联动:
1)在全局策略中启用EDR联动并选择对应的已联动设备;
2)在个人策略中启用EDR联动并选择对应的已联动设备。
:
关于在策略管理中开启EDR联动的说明:
1、如果在全局策略中开启,则对所有用户都生效,所有用户都会在登录后自动安装EDR客户端,此方式适用于全局推广EDR且无外部用户(即不需要安装EDR的用户)的场景。
2、如果全局策略不开启,仅在个人策略中开启EDR客户端联动,则只有该策略中的对应用户再登录后才会自动安装EDR。
3、注意:当前版本支持对接多个EDR,但仅支持使用其中的一个:
a.如果全局策略中关联的是EDR1,用户策略中关联的是EDR2,此时将以全局策略为准;
b.如果全局策略未开启联动EDR,但是用户A关联的是EDR1,用户B关联的是EDR2,则可能会产生不可预期的故障,请勿这样配置。
1)全局策略开启方式:
2)个人策略开启方式:
步骤7、在aTrust控制台[安全中心/安全基线/应用防护策略]中,点击<新增>以新增一条应用防护策略,适用用户选择测试用户。
在Windows系统条件中,设置EDR终端检测评分大于80分时,才允许访问应用,否则将被处置,处置动作选择“阻止访问”。
至此,服务端的配置完成。
建议使用Chrome浏览器访问!
