本帖最后由 普光老吕 于 2024-4-2 14:11 编辑
EDR的轻补丁漏洞免疫功能一、实验环境 利用vmware虚拟机xp,与tss漏扫工具,针对windows server 2012安装edr前后,漏扫对比,看深信服EDR轻补丁功能。
二、Windows server 2012操作系统情况
3、未安装edr漏扫情况(关闭防火墙情况下):
4、安装edr, windows server2012(关闭防火墙情况下)漏扫报告 如在edr管理平台,查看已经安装好了edr
查看edr终端: 依然把防火墙关闭
然后看漏扫结果:
然后,利用edr查杀与漏扫扫描.看结果: 漏洞情况:
通过EDR漏扫,发现有137项高危,共145项潜在威胁。 然后,我再重启windows server 2012,再用TSS工具漏扫一遍
通过实验,我们可疑点得出如下结论: 一、安装好EDR,如果不重启,安装完后不做第一次扫描,通过TSS漏扫工具,发现得问题,与安装EDR前,变化不大;
二、TSS工具扫描出得漏洞,没有SASE-EDR得全面,如这次TSS没有发现高危漏洞,而EDR却扫描发现137个高危漏洞;
三、当EDR安装完后,并重启系统后,因开启了漏洞免疫(轻补丁)功能,通过TSS扫描出得东西很少,基本上发现不了可利用漏洞;
结论:EDR安装完后,确实对Windows存在得漏洞进行较为全面得了免疫。 另一个发现,就是TSS工具没有主机杀毒软件扫描出来的漏洞全面。 所以,建议,一是安装杀毒EDR,二是可结合杀毒软件漏扫与TSS扫描验证与查看系统漏洞情况。 |