一.版本名称
EDR3.5.6
二.版本概述
EDR3.5.6 版本于 2021 年 6 月 25 日正式发布,主要价值点如下。
1.授权重构:
授权支持在线激活、积分计算方式,解决了原有授权不支持在线激活、加点续费不方便、授权已用时间计算不灵活等问题。
2.安全能力加强:
(1)合入了Linux专杀引擎,可查杀Linux主流的Top20流行病毒
(2)webshell检测优化,合入了wsk3.0引擎,提高了webshell检测能力、简化了webshell测试方法
(3)远程桌面二次认证,解决了原有RDP二次认证使用不便、客户不愿意用的问题,开启后能有效阻止攻击者通过远程桌面入侵服务器进行勒索。
(4)自保护加强,驱动级对抗,增加了对抗成本、防止Agent被恶意停止。
3.体验性优化
三.新功能介绍
1.授权重构
(1)新授权类型
新授权分为 PC 终端授权和服务器授权,其中 PC 终端授权可选基础版或高级版、服务器授权为主机旗舰版。
(2)新授权可用时长计算方式
授权使用时间按实际已安装终端使用时长转换为积分计算,每个已安装终端使用1 天少 1 个积分。
举例说明如下:
客户购买 200 点 PC 授权、总时长 1 年,已安装使用 100 点、已用时长 6 个月。
则积分计算如下:
PC 授权总积分:200*365=73000 积分 PC 已用授权积分:100*180=18000 积分
PC 剩余可用授权积分:
73000-18000=55000 积分,PC 可用 1 到 200 点、对应可用 275 到 55000 天。
(3)新老授权对比
(4)授权使用场景
全新部署场景
说明: 在线激活是主流激活方式,全新部署场景授权激活方法参考 3.5.6 版本用户手册[安装部署/产品激活章节]
老版本升级场景
授权类型转换
授权可用时长转换
老授权可用时长转化为新授权可用积分。
举例:客户购买 200 点 PC 授权、总时长 1 年,已安装使用 100 点、已用时长 6个月,转换如下:老授权可用时长:200 点、可用 6 个月。
转换为新授权,新授权可用积分:200*180=36000 积分,PC 可用 1 到 200 点,对应可用时间 180 天到 36000 天。
加点续费场景
新版本加点续费:现有可用授权数+加点/续费授权数 重新开授权
老版本加点续费:老版本升级至 3.5.6 版本,按现有可用授权数+加点/续费授权数重新开授权
重新授权场景
授权允许激活两次,即首次激活和授权失效后激活。授权信息和管理平台硬件有关,如果硬件信息发生变化,则原有授权失效。当第一次授权失效时,打开[系统管理/授权管理],点击<重新激活>即可,如下图。
级联授权场景
总部多分支环境,有多个管理平台,授权总数固定,各分支授权数需要动态调整时,可以采用级联授权。上级管理平台开通授权总资源,下级管理平台不需要开通授权,上级管理平台和下级管理平台组成级联部署,即可通过上级管理平台将授权资源动态调整到下级管理平台。
打开[系统管理/分支管控/分支平台管理],级联效果如下图。
2.安全能力加强
(1)勒索防护加强
远程桌面二次认证优化
原有的 RDP 二次认证主要存在以下问题:EDR 管理员和服务器管理员不是同一人,EDR 管理员启用 RDP 二次认证后,服务器管理员不知道二次认证密码,导致很多客户关闭此功能、不愿意使用,最终真正有攻击发生时,服务器被勒索。
场景一:远程桌面登录二次认证
防止黑客通过远程桌面登录服务器、轻松拿到服务器权限,可以设置认证方式为远程桌面登录二次认证。
设置认证方式为远程桌面登录二次认证后,当黑客成功通过远程桌面登录服务器时,EDR 对服务器进行锁屏保护,如下图,需要通过 EDR 二次认证才能拿到服务器权限,从而保护服务器安全,建议认证方式选择此项。
场景 二:远程桌面文件信任二次认证
防止黑客将病毒文件加入 EDR 信任名单、并植入勒索病毒进行勒索,可以设置认证方式为远程桌面文件信任二次认证。适用有高频的服务器运维需求,避免每次远程登录都需要二次认证。
黑客成功登录服务器并尝试植入勒索病毒,由于服务器安装了 EDR 进行保护,勒索病毒默认无法运行。如果黑客将勒索病毒加入信任名单,则可以成功植入勒索病毒并进行勒索。当认证方式设置为远程桌面文件信任二次认证后,黑客对文件加信任时,需要通过 EDR 二次认证才可以加信任,避免了病毒文件植入,如下图。
自保护加强:对 EDR 程身本身注册表、服务、进程、文件等保护,无法删除及结束 EDR 文件和进程。
(2)webshell 检测优化
合入了 wsk3.0 检测引擎,加强了 webshell 检测能力。
webshell 检测支持自定义检测目录,简化了功能测试难度。
(3)Linux 挖矿查杀加强
合入 Linux 专杀框架,当前支持 TOP20 Linux 挖矿病毒查杀,后续新的 Linux病毒可以实现快速更新专杀。
(4)支持和等保自检平台联动
合规自检平台是部署 SIP、云镜、云图、X-SEC 上的等保合规检测工具。合规自检平台与 EDR 联动可实现对终端联动下发等保基线检查,并对检查结果进行分析,给出整改建议。
3.体验性优化
(1)远程重启终端
支持管理员从管理平台远程重启终端,只支持远程重启 windows 终端。打开[终端管理/终端分组管理],选中需要重启的终端,如下图:
(2)漏洞补丁安装后终端重启
部分实体补丁安装完成,需要终端重启才生效。打开[终端管理/策略中心/漏洞防护]设置补丁安装后终端重启策略及通知内容,可以设置[强制终端安装补丁后立即重启]或[弹窗提醒终端用户重启]
(3)支持导出一段时间病毒查杀记录。
(4)策略中心锁只控制客户端是否有权限自己修改终端策略,锁上表示客户端无法自己修改、锁打开表示客户端可以自己修改;无论锁是什么状态,管理端的配置都会下发到客户端。
(5)响应中心,威胁事件视角,支持根据病毒名称、文件路径中的关键字搜索威胁事件
(6)隔离区自动清理优化:隔离威胁文件时,支持选择是否自动清理终端隔离区
(7)从管理平台恢复已处理文件时,支持可选是否同时恢复其它终端上相同 MD5的文件
(8)日志报表优化,支持按自定义时间 导出日志报表
四.升级说明
1.升级注意事项
(1)3.5.6 支持从 3.2.21、3.2.32、3.2.33、3.2.36、3.5.2 版本直接升级。
(2)如果终端数量多,建议升级管理平台前,先设置部分终端先升级,观察没有问题后再放开所有终端升级,如下图:
2.获取升级包
访问深信服社区(bbs.sangfor.com.cn),在/自助服务/软件下载/终端检测响应平台 下载升级包。如下图:
3.升级路径
支持从以下版本升级
EDR3.2.21 ->EDR3.5.6
EDR3.2.32 ->EDR3.5.6
EDR3.2.33 ->EDR3.5.6
EDR3.2.36 ->EDR3.5.6
4.升级方法
步骤 1:下载升级包。
步骤 2:在管理平台的升级页面【系统管理/升级管理/平台和终端升级】,点击【导入升级包】加载升级包并升级,如下图:
步骤 3:确认平台及终端版本都是 3.5.6 版本,说明升级成功。
五.注意事项
1.已购买项目实施需注意:
由于新老版本的授权不能相互激活,所以交付前要先查看订单确认交付的产品版本。老版本订单(下单中有智防、智控、智响应模板)需要用老版本交付(3.5.2版本交付);新版本订单(下单中有基础版/高级版、旗舰版)需要用新版本交付(3.5.6 版本交付)。如果是老版本订单用新版本交付会导致授权没法激活,同样如果是新版本订单用老版本交付也会导致授权没法激活。
备注:试用项目不受此影响,可以直接使用此版本。
2.启用远程桌登录二次认证
登录控制台时会提示开启,如下图。按照提示启用远程桌面登录二次认证,避免服务器被攻击者远程桌面登录爆破、拿到服务器权限,最终导致服务被勒索。
认证方式选择『远程桌面登录二次认证』;认证密钥选择『验证码验证』,且正确配置 EDR 管理员的姓名和手机号,即密钥为 EDR 管理员手机号后 6 位,便于服务器管理员远程桌面登录服务器时能方便获取获取认证密钥。
代理商-724x1024.jpg)
