1、版本名称
EDR3.5.10
2、版本概述
EDR3.5.10版本于2021 年 8 月 27日正式发布,主要价值点如下。
合入BD引擎,病毒检出率提升:
合入BD(BitDefender)引擎,病毒检出率提升,整体安全能力增强。
新增支持Mac杀毒:
支持Mac苹果系统病毒查杀与处置。
部署优化:
支持批量部署,以及安装包支持静默安装,直接一步安装到位,无需中途干预。
等保基线优化:
新增基线的覆盖范围,且支持自定义基线扫描与结果导出。
远程协助新增密码远程方式:
新增密码方式远程终端,且支持终端自主开、关,保护隐私。
3、新功能介绍
3.1. 安全能力增强,合入新的 BD 引擎及扫描性能优化
3.1.1.问题与价值
进一步解决EDR查杀能力弱、病毒处置不掉、对Rootkit无检测能力等问题。通过引入国际知名引擎,替换现有的小红伞、火绒。提高杀毒能力,提升运维场景下病毒检出率和修复率,提升PK场景下的杀毒检出率以提高胜率。
3.1.2.引擎介绍
BD 引擎是 BitDefender(比特梵德)杀毒软件的杀毒引擎,属于基因特征码引擎,是当前国际杀软流行的一个引擎。拥有超过 453 万超大病毒库,可实时更新,具有反病毒引擎功能以及互联网过滤技术,在查杀已知病毒的变种能力方面较突出。
3.1.3.功能说明
在3.5.10版本中,如果为全新安装,EDR默认引擎配置模式为标准模式,即开启BD引擎。
但如果为版本3.5.6及以前版本升级,系统默认引擎模式为自定义模式,自动开启,save人工智能引擎、基因特征引擎、行为分析引擎、云查引擎。但此前版本默认未勾选行为引擎。相关截图如下:
基于BD引擎自身的特征,开启BD引擎后,扫描速度将适度延长,同时扫描内存大约增加200M。如电脑硬件配置较低,则推荐选择资源低耗模式。如需深度扫描,则建议开启BD引擎。具体细节可查看配置介绍。点击链接即可。具体链接截图如下:
3.1.4.BD引擎注意事项
BD引擎开启后,实时扫描时间将延长。此外病毒扫描时内存将增加200M。
3.5.2及以前版本升级后,病毒扫描和实时防护2者默认引擎模式为自定义模式,均开启BD引擎。
BD引擎合入后,安装包略有增加。
3.1.5.查杀文件与内存优化
为提升客户杀毒运维体验,减少对办公和业务的影响。解决EDR扫描速度慢问题。新增低危图形与视频文件类型。具体文件格式为:dwg,dwt,jpg ,jpeg,jp2,png,gif,bmp,tif ,tiff,flv,ogg,wav ,avi,mp3,mp4 ,m4a,m4v ,3gp 共19种。
扫描时将图形文件排除,从而缩短扫描时间。
此外,为进一步缩短扫描时间,优化本地信誉库,减少文件送引擎的次数。从而达到缩短扫描时间的效果。
再者,为解决EDR内存占用过高问题,对闲时内存进行相应的优化。针对sfavsvc、EDR_agent、sfavtray.exe这3个进程闲时做一定优化,每半小时内将刷新2次,超过100M, 则强制刷新至20–50M之间。
3.2. 新增支持 Mac 杀毒
3.2.1.问题与价值
为解决跨国企业、中大型企业分支机构、互联网企业、智能制造公司、合资企业中部分外籍与港籍人员人员苹果电脑系统无需额外投入,统一一个杀毒平台问题。
3.2.2.功能说明
3.5.10版本仅支持病毒的扫描和处置,其它功能暂不支持!具体后续功能请留意后续版本升级。
管理平台的https和升级端口要求为443,否则,Mac终端将无法安装与升级 。
3.2.3.Mac支持列表
Mac 11.0
Mac10.13
Mac10.14
Mac10.15
3.3.4.操作简介
系统管理–终端部署,选择Mac,下载安装包,参考截图如下:
安装后效果图:
3.3. 部署优化,支持批量部署与静默安装
3.3.1.问题与价值
为解决技服和渠道技术支持人员,部署EDR agent时缺乏批量部署工具,需要手工一步步安装问题。引入windows和linux批量部署工具。同时,提供静默安装包,双击运行
后无需干预,一步安装到位。从而提高部署的效率。
3.3.2.功能说明
批量部署工具主要新增为AD批量部署脚本与工具包;桌管批量部署工具包。linux批量部署工具包、同时linux系统一并新增命令行部署、网页推广部署、与虚拟机模板部署。
管理员根据相应的环境决定适合的部署方式。
3.3.3.操作步骤
不同的使用环境下,批量部署的操作步骤略有差异。以windows为例,首先需下载批量部署包和安装文档。然后结合windows AD域策略,新建组策略。其次,将域策略中开机脚本设置为预设的批处理文件,让终端开机自动执行预设的批处理文件。其中,批处理文件中需要预设windows AD域具有安装权限的账号和密码,以及局域网访问共享的路径,其它设置保持默认即可。详细教程参考EDR平台终端部署页面AD批量部署中内置的操作文档。
3.4. 等保基线优化
3.4.1.问题与价值
为进一步确保提供给管理员的基线扫描结果的更具备参考价值,提高基线的准确率和覆盖范围,根据等保2.0,三级等保内容,此次新增部分基线内容。
此外,为解决安全管理员与运维分别隶属于不同的岗位场景,安全人员需要将基线扫描结果,导出给IT运维或资产负责人。特新增基线结果导出功能。
再者,不同企业的业务安全基线标准不一致,管理员需要一种灵活的方式来自定义基线检查的内容,基于此,引入基线自主选择项。
3.4.2.操作简介
为确保基线结果导出,在页面的左侧新增导出按钮,用户可根据需要是否导出基线的结果至本地,相关参考如下:
同时,为解决基线自主选择问题。在原基线检查的正下方,增设基线自主选择框。点击进入后,可根据不同的基线内容选择是否检测,勾选或取消相关基线项。具体截图如下:
3.5. 远程协助新增密码远程方式
3.5.1.问题与价值
为解决医院排队电脑、打印工作站、无人售票机、出现故障时,无人响应,导致管理员无法远程终端问题。以及当终端中病毒,发生违规事件需要紧急处置时,而终端用户离开座位无法及时响应问题。管理员需要一种方式,能直接远程,而不需要终端用户确认。但直接远程存在一定风险,因此,使用当前管理员密码验证远程,确保非法用户无法直接远程终端。同时支持终端用户亦能自主开启远程开关,确保在正常工 作期间,能自主决定是否开启远程。再者,设置未操作自动断开时间,从而一定程度上保障被远程的终端安全。
3.5.2.解决方案
策略中心和终端同时设置远程开关,同时新增密码方式远程,远程时验证当前管理
员密码,具体组合如下:
平台确认+终端不允许远程 = 确认 (终端点同意远程按钮方可远程)
平台确认+终端允许远程 = 确认 (终端点同意远程按钮方可远程)
平台密码+终端不允许远程 = 确认+密码 (终端点同意远程按钮+管理员密码验证)
平台密码+终端允许远程 = 密码 (管理员密码远程)
辅助安全措施:
超时退出时间:30—720分钟,默认30分钟,即接入终端后,累计30分钟内无操作,则倒计时60秒退出终端。
远程权限只对admin和安全管理员这2个角色开放,其它用户无权限远程。
管理员密码远程累计出错5次,锁定当前用户远程5分钟,到时自动解锁。
所有的远程行为均会被系统记录,具体明细请查看运维日志。
策略中心默认远程选项为需要终端同意。
策略中心配置截图如下:
EDR终端授权开关截图如下:
3.5.3.备注
为解决此前windows8,windows8.1用户无法远程问题,在winXP、windows7,windows10基础上,新增支持windows8和windows8.1系统远程。
4、升级指导
4.1.升级注意事项
- 3.5.10支持从3.2.21、3.2.32、3.2.33、3.2.36、3.5.2、3.5.6版本直接升级。
- 如果终端数量多,建议升级管理平台前,先设置部分终端先升级,观察没有问题
后再放开所有终端升级,如下图:
4.2.获取升级包
访问深信服社区(bbs.sangfor.com.cn),在/自助服务/软件下载/终端检测响应平台下载升级包。如下图:
4.3.升级路径
支持从以下版本升级
EDR3.2.21 ->EDR3.5.10
EDR3.2.32 ->EDR3.5.10
EDR3.2.33 ->EDR3.5.10
EDR3.2.36 ->EDR3.5.10
EDR3.5.6 ->EDR3.5.10
4.4.升级方法
1.下载升级包。
2.在管理平台的升级页面【系统管理/升级管理/平台和终端升级】,点击【导入升级包】加载升级包并升级,如下图:
3.确认平台及终端版本都是3.5.10版本,说明升级成功。
- 注意事项
- 开启BD引擎扫描后(标准模式、低误报模式、高检出模式、自定义模式),扫描内存和时间将增加,建议杀毒PK场景和高检出场景开启。
- Mac系统暂只支持病毒扫描和处置,其它功能暂不支持,后续功能支持请留意后续版本功能说明
