本帖最后由 深信服张建永 于 2023-2-20 22:31 编辑
1.现象和背景:客户网络环境云桌面和EDR部署在内网,客户给内网终端漏洞扫描发现漏洞扫描失败,无法修复内网终端漏洞风险,目标客户想要实现以后定期扫描内网终端漏洞并做出修复
2.EDR漏洞修复原理上为:EDR管理平台下发使终端执行dism命令安装cab格式的官方漏洞补丁,原理还是终端去连外网去下载补丁,显然这种方式与客户需求不一致,客户需求是内网终端不允许上外网,但是EDR可以连通补丁服务器下载,这个时候就要修改EDR平台基本设置-“当终端无法从内置服务器下载补丁包,允许管理平台主动下载补丁包文件配置” 配置完成这个就说明外网的补丁包是主动通过EDR平台去下载的,而不是终端去下载的
其中部分报错为EDR定义的报错信息,如网络错误;其他部分报错为系统返回的报错信息,报错可以尝试在微软社区查找案例,详细报错代码见——附件漏洞修复错误码分析及解决措施.xlsx表格
3.调整好MGR平台策略之后,MGR测试给终端做漏洞扫描,测试修复终端漏洞补丁,发现大部分是可以修复的,存在个别漏洞涉及到补丁依赖关系或者安装问题导致无法修复,如果存在补丁安装出问题,可以去相应被扫描主机的C:\Program Files\Sangfor\EDR\agent\var\log\sfpatch\patch\install目录下查询安装日志,不会看安装日志可以咨询400帮忙处理,首先查看补丁代码对应具体报错解决参考方案,详情见漏洞修复错误码分析及解决措施.xlsx(这个表格是研发那边目前已经确定出现的问题)
4.补丁修复成功之后,在被修复主机上面通过在命令行输入systeminfo查看有没有新打上的补丁包,查询补丁更新记录,如果有相应的补丁包说明修复成功,如果没有说明可能是windows更新异常或者其他原因,需要另行排查。 | 
发表于 2024-10-21 10:02
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级 
