本帖最后由 天罡星 于 2021-12-10 23:03 编辑
目的:因为单位上网计算机太多,逐一部署工作量太大,希望通过AC与EDR联动,实现不安装EDR就无法正常连接互联网,让职工主动自觉地安装EDR,并且能实现全覆盖。经过多次研究与深信服工程师沟通,把我实现的案例与大家分享。
设备版本信息:深信服EDR 版本:3.5.15(调试的时候是3.2.8.0)
深信服上网行为管理AC 版本AC12.0.44
可以通过两种方式实现:
1、在EDR系统管理-联动管理中增加与AC的联动。
2、在AC上网安全-安全能力-安全配置中配置与EDR的联动。
3、点击推送配置,配置需要推送的网段和推送页面(推送页面我是自己做了一个)。
实现效果: 局域网中电脑没有安装EDR的电脑,打开网页的时候就会自动跳转到我指定的页面地址。
优点:配置简单。 缺点:准确率低,不能实现全部准入控制跳转,例如打开HTTPS加密的页面AC就不能识别自动跳转。
1、在AC中对象定义-准入规则库新建准入规则 (1)、进程判断
(2)文件判断
(3)提示内容
(4)组合规则
准入规则说明一下:edr_agent.exe、edr_sec_plan.exe两个进程是我自己找的,edr_monitor.exe进程个是客服说的(我就没发现有这个进程),我自己也不知道那个进程是准确的,所以我添加了三个,开始只使用一个进程判断发现很多电脑安装了EDR还是会被封杀,所以增加一个文件判断。我做了一个组合规则就是要进程和文件都不存在的才进行封杀,主要是担心误判增加维护工作量。
2、AC中策略管理-上网策略-新增一条准入策略。
注意:路由器或者不需要控制的可以在策略中适用对象中进行排除。
3、AC中系统管理-系统配置-终端提示页面定制-网络准入客户端页面定制 可以修改一下络准入客户端页面,让被封杀的用户知道是什么原因被封杀。
优点:准确控制。 缺点:配置复杂,电脑必须先安装准入插件,再安装EDR。因为对准入规则的判断是通过准入插件进行的,相当于用户的电脑要安装两个东西。
经验总结:我是两种方法结合使用,确保控制不误判。
希望厂商改进的意见建议: 1、使用AC网络准入控制是最有效的,但是我翻遍了手册也没找到一个对EDR进程100%准确的判断的进程说明。
2、使用AC网络准入控制,终端电脑必须先安装准入插件,再安装EDR。为什么EDR不能集成AC准入控制的功能,省去多安一个软件。我看新版本的EDR3.5.15已经集成全网行为准入功能,什么时候EDR也能支持上网行为准入功能。
3、网络准入控件需要不断连接AC地址进行验证,使用深信服VPN连接后,因为找不到AC的地址造成VPN反复掉线不能正常使用,联系深信服工程师也不能解决。
4、使用云图功能要在EDR中安装一个补丁,每次升级都要工程师远程修改后才能升级,升完级又要打一次补丁,这个补丁为什么就不能集成在平台中,每次升级都要重复这个操作。(3.5.15版本已解决) |