【价值交付】AES交付-策略篇

注意事项：

本帖针对AES 3.8.6及以下，以技术为主，不着重流程

新设备实施虽不同于售后问题处理，但是也要保持敬畏之心，错误操作也会造成事故，数据无价，谨慎操作

一、前期准备

需求确认、设备上架接线、授权导入等事宜完成

二、基础环境配置

1.设备到货后需先检查版本，目前以AES 3.8.6为准，低版本需先安排升级。注意，版本确认完成后，先巡检，检查是否有加固补丁、规则库需要升级，避免出现实施完成后，客户无法进行补丁加固情况

2.系统设置-基本设置-时间/日期，客户环境如有ntp服务器，尽量与ntp服务器同步，否则与互联网时间同步，确保后期安全日志等排查不受影响

3.配置网口和路由，保障AES可以正常访问全部被管理终端。注意，一定要手动配置路由，AES没有默认网关的设置

4.设备联动，将AES与客户云图账号进行关联，协助客户关联微信小程序-深信服云图，帮助客户后期便捷运营（详情参考云脑方面帖子）。客户现场环境如有其他安全设备注意接入，可以有效提高整体安全能力

5.资产分组，如果允许，可以通过资产发现，检查所有资产，再将各个不同区域划分开，个人PC、服务器等，为后续策略细化做准备

6.微隔离，按需配置，设置好之间的acl控制

三、策略配置

1.基本策略

终端资产信息登记，推荐开启，具体登记项根据客户情况，主要方便后续快速定位问题主机，防止出现xxx.xxx.xxx.xxx这个IP的主机有问题，但是我确不知道这个主机在哪

终端管理员联系方式设置，推荐开启，可以选择填写客户运维、渠道运维等，方便维持下级用户和管理员的联系，做的尽早联系，尽早处理

终端弹窗提醒设置，推荐关闭，需要根据客户下级用户是否有安全的判断能力开启，大量用户无网络安全辨别能力，最后就会演变成为全放通的情况，所以推荐关闭

终端防护中心密码包护策略，推荐全开启，防退出、防卸载默认开启，可以有效保障下级用户随意卸载导致的防护漏洞，白名单推荐理由同上弹窗提醒，很多客户无安全辨别能力，开启只会导致大量文件夹、文件被加白，从而形成防护漏洞，加白的文件夹也会导致病毒有机可乘，

终端行为与日志采集上报设置，推荐开启，这个功能大部分选项是针对对接MSS、XDR等安全服务设备和部分AES功能，平常保持全开。

2.病毒查杀

双系统理由一致

定时查杀，必须开启，定时查杀也是杀毒类软件通用功能，防护千层不如检查一下。选择客户业务低峰期，中午12点-2点这段时间，做一下快速扫描。如果客户环境业务不大，设备性能较高，也可选择全盘扫描，保障防护能力

查杀扫描，推荐默认，文件类型可不选择低风险文件，可以有效提高查杀速度，但金融等对安全能力需求极高场景，需要全开，保障防护级别。扫描文件跳过50M最大扫描3层压缩包，这个可以保持默认，提高查杀效率，但个人建议，将50M文件限制改为100，很多病毒现在会夹杂在PPT、PDF等文件中，50M个人觉得较小，不过一切以客户现场环境为主。其他扫描配置，开启即可，移动存储设备向来受病毒喜爱。发现威胁可以选择业务优先，但是金融等，可以选择安全优先，理由如上。引擎配置也是标准就行，但现在确实有客户现场设备性能极低，大量老旧设备，无法支持多引擎查杀的需要，可以按需调低，并且向客户推荐一波桌面云（重点！！！）。资源占用控制，按照现场环境选择，没有资源占用高场景，不选即可。选第一项需注意，向客户推荐桌面云（重点！！！）

终端病毒库升级，推荐从本控制中心，多节点注意切换为多服务器升级

3.实时防护

双系统理由一致

文件实时防护，必须开启，防护级别一般中即可，金融等场景可选择高，选择低的需要反思，为什么客户没有换桌面云。文件类型，理由如上，建议不勾选低风险文件，其余全部勾选。脚本这块比较特殊，很多研发运维场景会自己编写脚本，确实实时防护勾选会影响用户使用，可以配合终端弹窗提醒功能使用，如果用户还是觉得麻烦，可按客户需求关闭。扫描文件同上，个人推荐100M、三层压缩包。引擎配置、发现威胁同上，因客户现场设备性能不足，选择自定义将全引擎关闭的需要反思

黑客工具防护，推荐开启，这个主要是将现网黑客工具做拦截，不允许允许，对远程后门这种工具手段防护能力较好，设置为客户下班到上班之间就行

WebShell检测，推荐Web服务器开启，主要针对Webshell的防护，个人PC等情况也用不上，在服务器分组开启就行，注意自定义Web目录填写正确

暴力破解检测，推荐开启，RDP和SMB均根据客户情况，和客户确认这块情况就行

异常登录检测，推荐默认，主要是根据登录日志来判断是否有异常登录情况，从而生成告警，按客户需求开启即可。注意此功能需先开启日志采集上报

无文件攻击防护，推荐默认，对power shell脚本允许做检测，一般默认即可，其余按需设置

4.勒索防护

双系统理由一致

勒索病毒防护，必须开启，个人推荐自动处置，这个功能是通过监控诱饵文件进行判断，本身误报率较低，勒索对网络安全、用户数据影响较高，所以个人还是推荐自动处置

远程桌面登录认证，推荐开启，目前只针对windows server，后续会增加更多支持系统，本身就说对远程桌面访问做二次密码认证

服务器可信进程防护，推荐开启，首先打开进程学习，在目标机（个人推荐用新搭建的业务主机，无关进程会更少）上运行正常业务，尽量将所有业务都跑一遍，防止学习疏漏。等一段时间后，对学习到的进程做手动筛选，去除无关进程，只保留业务进程。最后开启进程防护，包护可信进程。防护目录正常选择业务进程目录即可

5.信任名单

白名单设置，按需即可

6.安全通用配置

开发环境智能识别，推荐开启，可以识别代码开发环境，只告警，用户不处理、不提示，降低对用户影响

隔离区管理，推荐开启，将识别到的病毒删除后，存放在隔离区，方便误报文件找回

Agent自动降级，建议关闭，可以在目标机性能占用过高情况下，降低安全级别，降低安全防护能力，部分用户按需开启

Agent性能保护，推荐开启，作为兜底机制，防止在业务卡慢异常情况下还自动运行AES任务或防护进程，对客户业务恢复造成影响。具体配置按照客户现场情况调整

7.漏洞防护

零干扰漏洞免疫，必须开启，AES轻补丁防护，通过AES自动更新的轻补丁，来做到服务器打补丁一样的效果，目标机无需操作，也不影响业务

漏洞补丁安装生效重启设置，推荐默认，在目标机打完补丁后，强制重启，使补丁生效。因为不是强制打补丁，所以默认强制关机即可，防止后期出现打了补丁，没重启生效，导致后期漏洞又被利用

漏洞扫描与补丁修复，推荐开启，对目标机进行漏洞扫描，定期检查是否有漏洞需要修复，推荐针对服务器区域开启，个人PC可以关闭。扫描结果处置建议选择仅上报，不处置，防止补丁重启影响业务，后续手动打包

8.桌面管控

按客户需求配置即可

9.品牌设置

按按客户需求配置即可