发现有部分配置只能从终端的配置中修改,如实时监控的弹窗之类的,这样很不方便,我们打算所有普通PC客户端的威胁处置都由EDR自动处理,但现在都是弹窗由本地处理,普通用户一般都不会点击,直接等三十秒就忽略了,甚至也有可能点击到信任之类的。
所以建议: 1.策略中应该包含所有客户端配置选项,并且都能提供锁定或者不锁定的选项,就像现在的实时监控,可以在策略中锁定,这样客户端就没法修改实时监控这一条配置,全部以平台策略为准,如果某些选项想交由客户端自定义,选择不锁定就行。 2.实时监控、病毒查杀等检测应该提供自动处理威胁的选项(服务器之类的可以设置为人工处理),大多数的普通用户都是无法自行甄别威胁的,弹窗询问其实没有意义,不如完善自动处理,提高准确率,降低误杀,将处理结果汇总到平台由安全管理人员进行甄别后再选择下一步处理。
不当之处敬请谅解。 |