#干货满满#EDR3.7.2新版本特性介绍以及搭建升级使用分享

感谢楼主的精彩分享，有助工作!!!

每天学习一点点，每天进步一点点

EDR3.7.2新版本特性介绍：

一、新增国产化操作系统漏洞扫描

新增支持国产化操作系统的漏洞扫描，用户可以通过下发漏洞扫描任务进行国产化终端的漏洞扫描，扫描后可以获知对应终端是否存在漏洞，并提供对应的漏洞修补建议。

二、新增国产化系统磁盘加密功能

       为防止磁盘文件泄密，新增提供磁盘加解密功能，能对国产系统的磁盘下发加解密、定时检测磁盘加密状态、磁盘信息展示的功能。

备注：

截止3.7.2，磁盘加密功能目前只支持统信（桌面版）系统和银河麒麟（桌面版）

平台侧没有磁盘加密的管理员锁，在终端上可自行操作。

仅管理端下发加密 可自定义加密分区；终端自行加密 默认是全部分区（除启动分区），不支持修改。

（1）平台下发磁盘加密策略

（2）终端自行磁盘加密

（3）加密过程中/完成后 均有状态回显（未加密/加密中/已加密/部分加密/解密中）

未加密

加密中

已加密

部分加密

解密中

三、新增USB接入自动查杀能力

备注：

断点续扫仅支持7天的有效期，当发现断点任务的时间距离现在大于7天的时候，不再进行断点续扫。即：

1.如果是管理端发起的扫描任务，直接放弃该任务，下次再下发扫描的时候是重新开始；

2.如果是终端用户发起的任务，则弹窗提示，继续则重新开始，不再继续扫描。

支持USB设备接入后自动查杀，为您提供安全接入、控制风险扩散的能力

新增Windows断点续扫功能

1、当终端发起全盘扫描、自定义扫描（不包括快速扫描）的时候，当终端因为断电等情况宕机，用户重启后有弹窗提示用户是否继续扫描。

2、由MGR下发的全盘扫描，当终端重启后发现存在断点任务，不会做任何操作，等到管理端再次发起相同的扫描任务后继续扫描。

四、离线场景下可以卸载客户端

提供离线终端卸载方案，管理员在管理平台下载Agent免密卸载工具，卸载该管理平台管辖的终端。

五、新增终端硬件变更审计功能

面向防替换/防泄密场景，新增审计终端硬件资产变更，终端首次安装后将会同步资产信息，后续资产变更（新增、去除、更改）将会对比数据，并展示在【终端管理】->【资产管理】->【硬件变更】页面

备注：

若使用OVA / ISO全新部署，则默认底层操作系统由CentOS切换至Ubuntu 20，老版本升级依然是CentOS。

3.7.2管理端安装在信创/非信创服务器，与是否只能纳管信创/非信创终端 没有关系，都支持纳管，靠授权控制。

一、EDR3.7.2全新实施安装：

1、超融合上面创建全新EDR模板

备注：edr3.7.2版本不同于之前版本的底层架构，之前的版本底层是centos的系统，3.7.2版本的底层是Ubuntu系统，所以在建虚拟机的时候需要选择Ubuntu系统。

2、搭建好之后，系统登陆用户名密码为：root/great@cause

3、使用Ubuntu系统的命令进入 /etc/netplan目录下查看到当前设备网卡为：vi 00-installer-config.yami

cd /etc/netplan
ls

4、修改网卡配置文件 （00以后使用TAB补齐即可，手动输入可能报错）
vi 00-installer-config.yami




5、输入ip addr 或者ifconfig命令查看网卡，发现设备地址ok。


6、安装HCI优化工具

二、EDR3.5.30升级到EDR3.7.2

1、社区下载升级包
X86架构下载：https://bbs.sangfor.com.cn/plugi ... cea70b396085fa70246
ARM架构下载：https://bbs.sangfor.com.cn/plugi ... e29aabb19112c90fa20

2、查看EDR授权信息后


3、系统管理-升级管理-平台和终端升级，选择导入3.7.2升级包升级。

4、更新规则库以及EDR客户端

三、EDR3.7.2使用体验

1、用户可以实现对U盘的管控以及升级后更好的U盘防护功能。

U盘管控失效排查故障：

（1）确认是否是全部终端的U盘管控还在，如果是全部，很有可能是保存没有成功，可以尝试换浏览器以及电脑清理缓存重新关闭U盘管控之后保存配置

（2）如果只是部分异常，可以查看之前修改U盘管理的配置范围是否没有包含当前异常主机，不同的组U盘管控配置可以不一样
（3）可尝试重启电脑测试是否能正常识别到U盘

2、提供了客户端卸载工具以后，可以实现针对离线PC进行卸载，方便了客户运维人员离职情况还没有卸载掉EDR的情况。

3、软件盘查可以发现终端有没有安装一些非法禁止的软件

4、新增管理平台自动下载版本更新包

管理平台在联网的状态下能自动在线下载最新安装包，您仅需一键确认便可完成升级，从而告别手动导入上传升级包的方式，更快更简单地获取最新能力。

5、远程桌面二次认证

用户可以防止外来人员或者黑客进行攻击服务器并随意更改参数而不知道的情况。

6、远程协助功能
EDR的远程协助调用的是终端本地的客户端，需要本地终端与需要远程协助的被控终端网络互通。
注意：远程协助只支持远程端和被远程终端网络互通的情况下使用，中间有NAT的场景不支持
远程协助的作用：当被管控的终端出现故障时，管理员可以通过远程协助功能对终端进行远程控制，快 速、安全的响应解决终端问题
系统版本支持情况：EDR远程协助只支持win xpSP3、win7 x86、win7 x64、win8 x86、win8 x64、win8.1 x86、win8.1 x64、win10 x86、win10 x64，不支持window server、Liunx系统和MAC系统
标准版本EDR3.5.24及以上版本支持win11远程协助功能，EDR3.5.24之前版本不支持win11远程协助功能

7、微隔离策略防止一些高危端口的渗透攻击

配置禁用远程端口3389测试效果如下：