本帖最后由 yzy 于 2020-7-28 16:59 编辑
一、EDR3.2.21版本出来了,看看有啥激动人心的新功能
1、远程登录保护 攻击者通常通过 RDP 爆破拿到入侵内网服务器权限。为了防止攻击者通过 RDP 成
功爆破后拿到内网权限造成内网失陷, EDR 提供了远程登录保护功能,即攻击者成功通
过 RDP 爆破后, EDR 对服务器进行锁屏,需要输入解锁密码后才能操作服务器,从而
进一步保护了服务器安全。
2、违规外联 客户希望能够及时发现并阻止终端通过违规外联访问公司禁止访问的服务器或外
部地址。 EDR 客户端向禁止访问的地址发起 ping 探测,如果能够通信,则说明是违规
外联, 并对违规终端弹告警提示、关机或断网操作。
3、等保合规需求合入
1) 管理员帐号支持三权分立 2) 管理员帐号支持双因素认证(密码+ukey 认证)
3) 支持设置管理员帐号只允许在指定的 IP 范围登录
4) 支持设置管理员帐号密码安全策略、登录超时时间设置、登录失败次数锁定设置
5) 支持日志自动删除设置
6) 支持 syslog
就问你心不心动,盘就完了
二、功能介绍 1、远程登录保护 1)在终端管理->策略中心->选择服务器所在的分组->安全加固中勾选开启远程登录防护,选择二次登录验证实际段和二次验证的密码 如果是管理员可以也可以通过添加远程白名单实现免输入二次验证密码
2)启用远程登录保护后我们通过远程桌面系统就会体系需要输出二次验证密码才能登录
为Windows server 服务器增加一道安全门。开启后我们远程桌面登录服务器需要输入EDR配置中的第二次验证密码才能登录,这个功能主要是防止RDP远程桌面被暴力破解,哪怕被暴力破解后也不怕,还是第二道门进行防护,如果是管理员可以通过设置远程登录白名单,这样白名单内的IP都不会要求你输入二次验证密码。
2、违规外联
1)在终端管理->策略中心->选择终端所在的分组->违规外联中勾选开启终端违规外联防护,跟进需求进行配置探测地址(双网隔离环境也可以探测两网之间是否互联,可以根据需求配置),违规后如何处理终端,也可以给终端弹窗提醒,提醒内容也可以自定义,还可以实现违规后通过邮件通知管理员 探测间隔时间是出现外联后多少秒判断为违规,比如设置60秒,连续60秒都能探测通那么就判断违规,再执行违规操作
2、出现违规后30秒执行违规处理操作,如果违规为断开网络,解决外联后可以通过重启恢复正常,如果违规还存在重启也是会继续断网,如果设置违规为关机,,出现违规后倒计时60秒进行关闭,开机后违规再次进行关机,违规动作执行后是无法中断的
这个可以用到涉密或者不可外联的终端中,出现外联违规后立马执行违规动作,确保终端的安全 有两个配置不是很好,间隔实际不能设置少于60秒,断网违规必须要重启才能正常
3、等保合规需求合入 1)支持帐号分权管理,管理员双因素认证(密码+ukey 认证),支持管理员登录IP配置
2)符合等保要求,支持定期强制修改密码(最多能设置365天),防止暴力破解
3)支持日志自动删除,再也不担心日志过多无法自动删除
4)再也不怕日志丢失,通过Syslog把日志同步到外置存储
4、资源优化 不用担心执行杀毒操作会暂用大量的CPU资源,导致无法正常办公 新功能推出了资源自动优化模式,为您保留足够的资源进行办公 |