【8月12日-技术盲盒】高频知识汇总-EDR篇（四）

一、二次认证1.1二次认证的介绍

二次认证的主要作用是防止黑客通过暴力破解等手段通过密码直接登录服务器，通过二次认证（密码认证）再次校验用户的身份。

1.2二次认证的使用场景

客户通过远程桌面服务（rdp）或者ssh服务运维自己的服务器，建议开启。（通过公网运维服务器一定要开启）。（注意：这个功能是针对Windows Server操作系统和Linux操作系统才有效果，普通windows的远程桌面不具备这个功能）

1.3二次认证支持的版本
标准版本EDR3.2.19及之前 ，EDR不支持远程登录防护功能；
从标准版本EDR3.2.21开始，EDR支持针对windows服务器远程登录防护；
从标准版本aES 3.8.6开始，aES支持针对linux服务器做二次认证；

1.4二次认证的使用效果

二次认证的密码设置有两种方式：
方式一：验证码验证：可以设置为管理员手机号后6位

方法二：自定义密码认证：默认密码是随机的，可手动设置密码

二、轻补丁

2.1轻补丁的介绍

轻补丁是通过在内存中对有漏洞的代码进行修复，避免遭受漏洞攻击。具备对业务系统“零侵害、无干扰”的优点，可在业务或终端正常运行的情况下进行免疫，如实体补丁一样，防御 流行的高危和0day漏洞利用攻击，无需重启或中断业务，不存在兼容性问题，过程轻量化，同时具备修复速度快、防御效果好等特性。（和客户介绍这个功能模块不要过度承诺，因为我们仅支持38个Windows Server系统的漏洞）

2.2轻补丁的使用场景

轻补丁功能常用于以下场景：
Windows Server操作系统，承载了关键业务如数据库，客户不愿意因为补丁修复而停机，并且确实有安全风险的场景。

2.3轻补丁支持的版本

标准版本EDR3.2.33开始，EDR支持轻补丁漏洞免疫技术；（EDR3.2.36不支持轻补丁功能）

轻补丁免疫功能目前支持Windows系统，暂不支持linux和mac系统的轻补丁功能；

EDR轻补丁免疫修复不需要平台可以联网，且终端重启或是离线状态EDR的轻补丁依旧是生效的，终端Agent卸载轻补丁策略不生效，不勾选即关闭；

注意授权要求，需要PC端高级版/全功能版授权、服务器主机旗舰版/全功能版授权；

2.4轻补丁支持防护的补丁目前支持免疫的有38个Windows Server的漏洞，具体查看方式可参考以下位置：EDR可以在【响应中心】-【漏洞管理】-【轻补丁免疫】中查询。
aES可以在【漏洞管理】-【加固与防御】-【轻补丁】中查询。

三、微隔离

3.1微隔离的介绍微隔离（MSS）是一种内网防止横向攻击的技术，原理是调用本机防火墙（Windows防火墙，linux iptables），根据在MGR中制定的策略（匹配五元组（源目IP,源目端口,服务）），放行流量或者阻断流量。

3.2微隔离的使用场景

1.保护服务器：只放通必要的业务端口，禁止所有的非必要的端口，提升业务的安全性。

2.防止感染性病毒蔓延：出现感染性病毒时，通过微隔离将所有终端的共享端口以及远程桌面端口进行封堵，防止病毒蔓延。

3.3微隔离支持的版本从aES6.0.2R1开始不支持微隔离功能（隐藏），测试想使用的可以找研发开，正式使用场景不推荐，想正常使用的可以选择之前的版本。

注意，授权要求：标准版本EDR3.5.6版本之前，微隔离需要智控授权；从标准版本EDR3.5.6开始，PC需要高级版授权或者全量版授权、服务器需要服务器旗舰版授权或者全量版授权才支持微隔离。

四、防勒索

4.1防勒索介绍

Aes 6.0.2之前只能实现防勒索：

EDR勒索病毒防护指在终端操作系统关键目录下投放诱饵文件，当终端感染勒索病毒时，会先加密诱饵文件，EDR客户端及时进行报警拦截，从而更早更及时地发现和清除未知勒索病毒，避免终端系统文件或业务文件被加密。

AES 6.0.2可以实现勒索缓解的效果：
通过内核驱动保障在勒索进程访问和修改文件时同步备份，确保在阻断勒索加密进程后（依赖勒索行为AI引擎对文件IOA行为的判断），可以恢复被加密文件。

PS：动态AI的勒索行为检测引擎；通过采集用户操作系统进程调用的API序列、进程动作序列、文件操作行为序列，并基于专家知识完成可疑行为模式筛选，最终采用模型融合的方式，实现勒索行为的高精度识别，并最终实现勒索病毒3秒内阻断，阻止数据被大范围加密。

勒索诱饵文件

4.2勒索缓解的效果

aES 6.0.2R1版本之前的防勒索功能，知道有这么个功能就行，实现效果不做评价，这边详细介绍下新版本勒索缓解的原理和效果。

原理：

在识别到可疑加密进程之后，对该进程部分文件修改或破坏操作进行实时备份；同时，在3~9秒内集合勒索行为检测给出该可疑进程的鉴定结果，如果鉴定结果为白，则丢弃这段时间的备份数据；如果鉴定为加密行为，则对该进程的备份数据可以避免用户损失这部分文件。

通过对白进程利用投放勒索病毒，aES识别到勒索行为后可以把文件拷贝到隔离区。可以看到文件已经被隔离，可以选择恢复加密文件来进行恢复，可以进入aES控制台查看勒索防护日志。

每天坚持打卡学习签到！！