一.版本名称
EDR3.2.21
二.版本概述
EDR3.2.21 版本于2020 年7 月 3 日正式发布,该版本主要新增和优化如下功能。
1.远程登录保护
攻击者通常通过RDP 爆破拿到入侵内网服务器权限。为了防止攻击者通过RDP 成功爆破后拿到内网权限造成内网失陷,EDR 提供了远程登录保护功能,即攻击者成功通过RDP 爆破后,EDR 对服务器进行锁屏,需要输入解锁密码后才能操作服务器,从而进一步保护了服务器安全。
2.违规外联
客户希望能够及时发现并阻止终端通过违规外联访问公司禁止访问的服务器或外部地址。EDR 客户端向禁止访问的地址发起ping 探测,如果能够通信,则说明是违规外联,并对违规终端弹告警提示、关机或断网操作。
3.等保合规需求合入
从此版本开始,合入了等保合规则需求,详见如下。
(1)管理员帐号支持三权分立
(2)管理员帐号支持双因素认证(密码+ukey 认证)
(3)支持设置管理员帐号只允许在指定的IP 范围登录
(4)支持设置管理员帐号密码安全策略、登录超时时间设置、登录失败次数锁定设置
(5)支持日志自动删除设置
(6)支持syslog
4.性能提升
(1)从此版本开始,单个管理平台支持接入1 万个终端;
(2)在桌面云等终端性能不足的场景下,支持“资源优化模式”运行。
三.新功能介绍
1.远程登录保护
攻击者通常通过RDP 爆破拿到入侵内网服务器权限。为了防止攻击者通过RDP 成功爆破后拿到内网权限造成内网失陷,EDR 提供了远程登录保护功能,即攻击者成功通过RDP 爆破后,EDR 对服务器进行锁屏,需要输入解锁密码后才能操作服务器,从而进一步保护了服务器安全。
打开【终端管理】->【策略中心】,如下图。远程登录保护策略位于“安全加固”策略下。
远程登录保护敏感时段设置:设置远程登录保护时间,默认为所有时间。
远程登录二次验证密码:设置解锁保护的密码。当启用此功能后,可以复制提示信息通知服务器管理员,告之解锁服务器远程登录保护的密码。
远程登录信任IP 白名单:设备允许通过RDP 远程桌面访问被保护服务器的终端地址。
启用远程登录保护功能后,当通过远程桌面登录服务器时,效果如下,需要验证密码才能对服务器进行解锁。
注意事项:
(1)此功能只对windows Server 有效。
(2)此功能默认开启,所以使用此版本前,需要提前客户说明,以免变更影响客户使用。
(3)此功能只对通过RDP 远程登录有效,其它方式登录无效。
(4)从低版本升级或者全新使用此版本,此功能默认启,首次登录管理平台会引导客户修改二次验证密码,如下图。
2.违规外联
客户希望能够及时发现并阻止终端通过违规外联访问公司禁止访问的服务器或外部地址。EDR 客户端向禁止访问的地址发起ping 探测,如果能够通信,则说明是违规外联,并对违规终端弹告警提示、关机或断网操作。
当客户端存在违规外联行为时,EDR 弹出告警提示、并进行关机或断开网络操作,如下图。
3.等保合规需求合入
从此版本开始,合入了等保合规则需求,具体如下。
(7)管理员帐号支持三权分立
(8)管理员帐号支持双因素认证(密码+ukey 认证)
(9)支持设置管理员帐号只允许在指定的IP 范围登录
(10)支持设置管理员帐号密码安全策略、登录超时时间设置、登录失败次数锁定设置
(11)支持日志自动删除设置
(12)支持syslog
4.性能提升
(1) 由于软件架构瓶颈,3.2.21 之前版本单个管理平台支持接入2500 左右终端。3.2.21 版本软件架构重构,单个管理平台支持接入10000 点,管理平台服务器推荐配置为CPU:8 核、内存:16G、硬盘:1T。
(2) 资源优化模式可以更大程度上限制EDR 对终端的CPU 资源占用,默认没有开启,桌面云环境使用务必启用,性能不足的终端使用建议开启。
四.升级说明
1.升级注意事项
如果终端数量多,建议升级管理平台前,先设置部分终端先升级,观察没有问题后再放开所有终端升级,如下图:
2.获取升级包
访问深信服社区(bbs.sangfor.com.cn),在/自助服务/软件下载/终端检测响应平台下载升级包。如下图:
3.升级路径
3.2.21 支持从3.2.15、3.2.16、3.2.17、3.2.17R1、3.2.19 版本升级,升级不需要重启服务器,配置平滑。
4.升级方法
步骤1:下载好升级包。
步骤2:在管理平台的升级页面,点击【导入升级包】加载升级包并升级,如下图:
步骤3:确认平台及终端版本都是3.2.21 版本,说明升级成功。
五.注意事项
使用3.2.21 版本(无论是升级还是全新使用)需要和客户提前说明,此版本增加远程登录二次验证功能、且默认开启(远程桌面登录服务器会被EDR 锁屏),需要将二次验证密码提前通知到服务器管理员,以免影响服务器管理员使用。
