#原创分享#技术配置之深信服EDR终端响应平台Agent控件详细安装流程以及卸载
  

山东_朱文鑫 203775人觉得有帮助

{{ttag.title}}
我是超级大白,我又来了,分享个人知识,像大牛们学习!跟大牛们一起成长!工作经验分享感谢大哥们参阅!

之前我们说过了EDR的MGR控制台不同的部署方式以及部署环境,也跟大哥们说了要出完整的部署,既然是完成的部署,MGR的控制台部署完成,那就剩下EDR的Agent的控件部署方式了,今天也是抽出时间抓紧吧大哥们的要求实现,其实EDR的Agnet的部署方式还是非常好部署的,而且如果要实施一般情况下都要部署多台,一般情况下都是教学一下部署方式,让集成或者客户去协调人来配合装入,不然庞大的授权量,那就需要等量的时间来部署实施了。所以大哥们自行体悟吧,哈哈哈哈!!!!!

这个EDR的 Agent的控件安装对于Windows系统来说无论是终端PC还是Sever服务器,其实装入都一样,跟我们装软件基本没啥区别,Linux系统呢,则需要几条命令去处理就好了。这里又分为离线安装跟在线安装,其实也差不多,就是一个通过访问WEB页面连接下载完直接安装,一个是下载下来通过移动介质去装入其他终端。

首先在Agent部署以前,先注意一下Agent的兼容性如何:(总来说Agent的兼容性还是比较高的)



关于Agent在部署过程中的网络通信状况:


(1)Agent 与 MGR 通信使用了 443、8083、54120 端口(443 为下载 agent 端口,8083 为业务端口,54120 为管理端口),请配置对应的防火墙策略,保证连通性
EDR3.2.8 之前的版本需要使用 8081、8082 和 8083 三个端口)。

(2)MGR 需要能联网,确保到以下服务器联通。
(云脑)漏洞补丁相关:https://upd.sangfor.com.cn
(云脑)接入云脑授权:https://auth.sangfor.com.cn
(云脑)云查服务器:https://analysis.sangfor.com.cn
(云脑)云安全计划:https://clt.sangfor.com.cn
(CDN)漏洞补丁、规则、病毒库地址:http://download.sangfor.com.cn

(3)Agent 需要能联网,确保到以下服务器联通。
(云脑)漏洞补丁相关:https://upd.sangfor.com.cn
(云脑)接入云脑授权:https://auth.sangfor.com.cn
(CDN)漏洞补丁、规则、病毒库地址:http://download.sangfor.com.cn
(微软漏洞补丁服务器)http://download.windowsupdate.com


Agent 可以部署在传统服务器、传统 PC 以及虚拟化环境。
有以下几种部署方案,下载安装包部署、网页推广部署、联动 AC 推广部署、虚拟机模板部署、域推脚本部署、脚本批量部署、离线包部署。部署前建议和客户确认,服务端选择在客户业务非繁忙期间部署。

下面分别从不同场景介绍 Windows PC 部署 Agent、Windows Server 部署 Agent和 Linux 服务器部署 Agent

Windows PC 部署 Agent

Windows PC部署Agent的方式有两种
(1)下载安装包部署(管理员本地下载 agent 安装包,通过 U 盘等移动介质将其导入终端进行安装部署)
(2)网页推广部署(管理员发布部署通知的 web 页面,将发布页链接通过邮件、OA 等方式发送至终端,终端用户自行下载 agent 安装包进行安装部署)

如果通过安装包部署如下操作:

通过 MGR 控制台页面(https://Manager_IP)下载安装脚本。控制台的下载入口
有 2 个地方:
(1)登录页面下载Agent



(2)系统管理页面下载Agnet



注意:下载后的格式为edr_install_ip_端口.exe文件,不要改安装包的文件名,安装过程中会读取文件名中的 IP 和端口,连接管理端下载安装组件,如果文件名被改,安装过程中,需要手动输入 IP 地址

若使用网页推广部署,适合较多的终端授权,客户通过生成的连接,然后通过OA、内部邮件系统等方式通知到个人进行安装使用

将安装包上传到需要安装的终端设备上,直接运行 exe 文件安装。软件的安装路
径为:%ProgramFiles%\Sangfor\EDR

管理员发布部署通知的 web 页面,将发布页链接通过邮件、OA 等方式发送至终端,终端用户自行下载 agent 安装包进行安装部署。

登录MGR控制中心,进入【系统管理】-【终端部署】-【网页推广部署】,填写好部署通知的页面标题和内容,点击保存并生成链接





推广页面如图,终端用户打开推广页面自行下载安装(保证客户端IP可以与MGR通信



一般这些部署方式就满足部署的一些场景了,其他的用到的比较少,但是有如下场景的话还是比较值的尝试部署的

PC有域控场景,就可以通过域推脚本安装的方式安装,通过域控配置策略下发登录执行安装脚本,PC 以域用户登录域时自动执行安装脚本静默安装 Agent,达到域控环境下批量部署 Agent 的目的。

注意:域推脚本安装需要域用户有安装软件权限,如果域用户没有权限,则建议管理员将域用户添加到管理员组,如下图:



安装过程如下:


步骤 1:改写附件 edr.bat 脚本,只需要改图中圈起来的两个地方,Route 后面的 IP 和EDR_EXE 后面的文件名,其中 ROUTE 后面的 IP 为域控服务器的 IP,EDR_EXE 后面的文件名为 EDR 安装文件(安装文件可以用平台下载的安装包,只需要将包名中的 MGRIP 改为客户的平台 IP 即可)




步 骤 2 : 将 edr.bat 脚本与安装包放到域共享目录下,共享目录为“\\域控制器IP\netlogon”。(安装包命名格式为 edr_installer_MGRIP_443.exe,安装文件可以用平台下载的安装包,只需要将包名中的 MGRIP 改为客户的平台 IP 即可。)

步骤 3:选中需要推送安装 Agent 的域控账户,右键属性—>配置文件—>登录脚本处填写“edr.bat”,单击确定。如下图:



注意:如果域用户本身已经有一个登录脚本,我们只需在基础的登录脚本文件最末尾加以下语句即可“\\域控制器 IP\netlogon\edr.bat”,其中域控制器 IP 填写客户真实的 IP。

步骤 5:重启电脑以域用户登录会执行安装脚本静默安装 Agent

如果没有域控场景但是,有深信服的AC设备,也可以通过联动的方式部署Agent(前提是终端的ip要保证受AC管控

AC 设备,配置 EDR 和 AC 联动,当用户打开网页时,未安装 Agent 的 PC 被 AC重定向至安装 Agent 页面,直至终端成功安装 Agent,从而实现推广部署 Agent。

注意:EDR 要求最低版本:3.2.8 ;AC 要求最低版本:AC12.0.14

配置步骤:
步骤 1:EDR 与 AC 联动,EDR 无需配置,在 AC 上配置即可,如下图





步骤 2:联动成功后,在 AC 上可以查看到 EDR 上的联动终端,如下图





步骤 3:配置推送安装策略,如下图:





步骤 4:配置完成,用户打开网页被重定向到通知部署 Agent 页面。此页面定时弹出,直到用户下载并安装了 Agent 为止




还有一种场景就是云桌面(虚拟化环境) ,这个时候直接使用虚拟机模板装入Agent的方式部署,这个就很简单了。

配置步骤:
步骤 1:新建一台虚拟机,通过 Agent 安装包在该虚拟机上安装部署 Agent
步骤 2:将该虚拟机导出为 ova、ovf、vma 等格式的镜像文件,在虚拟化平台导入该模板
文件,部署其他虚拟机;或将虚拟机转化成模板,在需要新虚拟机时,以此模板在此平台上
批量派生虚拟机

还有一种就是客户有桌面软件管理工具或者软件等,这些根据实际情况选择就好了,选择合适的方式就会大幅度减少自己的工作量,提高工作效率。

最后说一下Linux服务器还是作为终端都一样,的部署方式:

配置步骤:

步骤 1:下载安装脚本。提供 2 种下载方式,控制台下载或 Linux 主机通过命令下载。

控制台下载:

通过 MGR 控制台页面(https://Manager_IP)下载安装脚本。控制台的下载入口有 2 个地
方:
(1)登录页面,见下图



(2)系统管理页面,见下图;



命令下载:


使用如下命令在 Linux 主机上直接下载安装脚本: wget --no-check-certificate

https://Manager_IP/html/linux_edr_installer.tar.gz,其中 Manager_IP 为管理平台的实际 IP 地址。(我个人喜欢单独下载一个Linux包,通过SSH导入到Linux直接命令安装,如果按照我这种将包传上去以后直接从步骤二开始就好了




步骤 2:将安装脚本上传到需要安装的终端设备上(命令行下载跳过此步),并执行命令 tar -xzvf linux_edr_installer.tar.gz 解压文件。

步骤 3:执行安装命令。解压目录下执行./agent_installer.sh 命令安装 Agent,默认安装路径为/Sangfor/EDR/agent。

客户也可以指定安装路径,执行./agent_installer.sh 10.251.251.251 /home/EDR/则将 Agent 安装于/home/EDR/下,10.251.251.251 为管理平台的 IP 地址,请根据实际情况修改。

安装过程会建议安装 ipset,您可以选择 y,忽略 ipset 继续安装 Agent;或者选择 n,先不安装 Agent,手动安装 ipset 后再重新安装 Agent



但是以上Linux安装方式适合Linux少的方式,如果比较多,那就需要脚本安装了。

配置步骤:
步骤 1:解压并修改附件 shell 脚本“install_edr.sh”,只需要将图中圈起来的 IP 修改成客户处真实的 EDR 管理平台的 IP 地址。



步骤 2:将修改后的脚本上传至 linux 服务器,执行脚本开始自动下载并安装 agent(如果客户有 linux 服务器集中管理软件,可由管理软件统一上传安装脚本,并执行)

除了上述介绍的 Linux 批量安装方案,还有另一种批量安装方法,如果上述批量安装无法执行,则可以参考下面 linux 批量方案(此方案需要事先知道各 Linux 端点的 root 帐号和密码)

关于Agent的卸载,首先去MGR控制台看一下防卸载密码开启了吗?如果开启了需要输入密码才能卸载。

Windows 系统下卸载 Agent

方式一:在菜单栏点击卸载程序或在控制面板进行卸载,如图



方式二:安装目录%ProgramFiles%\Sangfor\EDR\下,直接运行 uninstall.bat 卸载

Linux 系统下卸载 Agent

安装目录,默认为/Sangfor/EDR/agent/的 bin 目录下,运行 edr_uninstall.sh



注意:3.2.9R1 之前版本,Linux 系统 Agent 卸载命令为 eps_uninstall.sh

管理平台上卸载 Agent

从管理平台卸载 Agent,同时适用卸载 Windows 和 Linux 系统 Agent。在管理平台【终端管理】中,支持对终端状态为在线/已禁用进行卸载 Agent 的操作



还是那句话,总体来说EDR产品还是相对而言比较好部署的,只要先把基本的部署以及安装学会,功能再加以深入,基本就可以掌握了。




EDR的MAGR详细部署介绍与配置链接:https://bbs.sangfor.com.cn/forum ... read&tid=148655


励志分享超清壁纸语句~~:





若不是百炼成钢,谁能饱经风霜;若不是咬紧牙关,谁能一路向前!


好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!










打赏鼓励作者,期待更多好文!

打赏
9人已打赏

磊大发 发表于 2021-8-17 18:29
  
有助于工作!!!!!!!!!!!!!!!!!!!!
山东_杨刚 发表于 2021-8-18 11:00
  

感谢分享,有助于工作,学习学习
山东_刘梦竹 发表于 2021-8-18 17:24
  
有助于工作!!!!!!!!!!!!!!!
gqce 发表于 2021-8-24 17:55
  
新手140415 发表于 2021-8-25 11:59
  
附件在哪里,没看到有下载
水之蓝色 发表于 2021-8-27 21:01
  
感谢分享,有助于工作,学习学习
薛龙龙 发表于 2021-8-31 11:31
  
还是那句话,总体来说EDR产品还是相对而言比较好部署的,只要先把基本的部署以及安装学会,功能再加以深入,基本就可以掌握了。
水之蓝色 发表于 2021-9-11 19:24
  
感谢分享,有助于工作,学习学习
一个无趣的人 发表于 2021-9-25 21:20
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人