【华北区交付直播】记EDR+AC准入审计部署

学习了，这个功能我还没用过哦。

一、需求背景

纯内网环境，客户需要在保证终端安全的前提下对访问内网服务的pc做准入限制，且需要审计pc访问的业务。

客户所有访问业务的流量都会经过服务器的汇聚交换机且ac性能不足无法网桥部署在内网中，所以旁挂在服务器的汇聚交换机上

二、配置流程

1.AC旁路部署,配置管理口和镜像口以及监控网段，服务器网段

2.针对内网pc网段配置portal认证策略

3.配置联动edr

4.配置终端检查规则

5.配置终端检查策略

适用对象选择要匹配上该策略的用户

6.配置业务审计策略

ps：若客户需审计https的业务，需要配置ssl内容识别

7.edr上配置定期对pc进行杀毒

三、测试效果

1.PC未安装准入插件和edr，首先会提示安装准入插件

2.安装准入插件之后匹配杀软的准入规则，访问页面自动跳转到edr的下载地址

edr安装完成后正常访问内网的业务系统

3.通过内置数据中心查看访问业务情况：

PS:有时候可能会出现pc没有跳出准入终端能够直接上网的情况，这个时候就需要去在线用户列表里面看看这个终端是否正常识别：

4.显示正在识别，可能认为成不支持运行准入系统的终端，默认允许上网

只有正常识别为windows后才能匹配准入规则（识别效果在13.0.8版本有很大的优化）