《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 18-EDR終端管理（一）；19-EDR終端管理（二）

EDR終端管理（一）掌握如何管理終端組織結(jié)構(gòu)掌握EDR可以采集終端哪些信息，以及在實(shí)際場(chǎng)景中能夠指導(dǎo)客戶如何使用教學(xué)目標(biāo)終端分組管理終端清點(diǎn)目錄內(nèi)網(wǎng)電腦數(shù)量多，不同部門電腦系統(tǒng)版本不一樣、不同終端類型需要配置的安全策略也不一樣，管理員缺少一種對(duì)全網(wǎng)電腦進(jìn)行管理的方式、給運(yùn)維帶來(lái)不便。EDR終端分組是樹形組織結(jié)構(gòu)，能根據(jù)客戶不同需求對(duì)終端進(jìn)行靈活分組，如按業(yè)務(wù)部門、按終端類型（客戶端和服務(wù)器）等進(jìn)行分組，并且可以對(duì)各個(gè)分組配置個(gè)性化的安全策略，從而做到內(nèi)網(wǎng)眾多電腦進(jìn)行分類管理、方便運(yùn)維。需求背景需求背景分組不多的情況可以使用新增分組，如下圖：新增分組分組數(shù)量多的情況，可以使用excel表格先制作好分組，再導(dǎo)入EDR，如下圖：導(dǎo)入分組當(dāng)需要根據(jù)IP地址自動(dòng)上線到匹配的組，可以使用自動(dòng)分組管理，如下圖：自動(dòng)分組導(dǎo)出分組/終端，對(duì)分組/終端進(jìn)行備份或批量編輯，如下圖：導(dǎo)出分組或終端終端分組管理終端清點(diǎn)目錄對(duì)資產(chǎn)“看得清、理得清”已成為IT日常安全建設(shè)的重要內(nèi)容，客戶無(wú)需額外采購(gòu)其他資產(chǎn)管理的軟件，即可實(shí)現(xiàn)看清、理清終端信息。終端清點(diǎn)功能能夠幫助管理員看清全網(wǎng)主機(jī)資產(chǎn)全貌，理清全網(wǎng)主機(jī)風(fēng)險(xiǎn)暴露面，從而削減全網(wǎng)主機(jī)攻擊面。需求背景終端清點(diǎn)是由EDR客戶端讀取終端操作系統(tǒng)信息、已安裝的應(yīng)用軟件信息、開放的監(jiān)聽端口信息、終端的系統(tǒng)賬戶信息和終端硬件信息，上報(bào)給EDR管理平臺(tái)進(jìn)行集中展示和分析。原理介紹操作系統(tǒng)信息安裝軟件信息開放端口信息系統(tǒng)賬戶信息終端硬件信息EDR客戶端EDR管理平臺(tái)采集上報(bào)集中分析展示功能介紹：清點(diǎn)終端操作系統(tǒng)功能介紹：清點(diǎn)終端應(yīng)用軟件功能介紹：清點(diǎn)終端監(jiān)聽端口功能介紹：清點(diǎn)終端帳戶功能介紹：清點(diǎn)終端基本信息終端詳情可以展示終端操作系統(tǒng)、CPU、內(nèi)存占用情況，終端基本信息、運(yùn)行信息、應(yīng)用軟件和監(jiān)聽端口信息等，如下圖:應(yīng)用場(chǎng)景1：全網(wǎng)非授權(quán)軟件使用統(tǒng)計(jì)IT管理員可以通過應(yīng)用軟件清點(diǎn)了解全網(wǎng)主機(jī)所安裝軟件是否都符合單位授權(quán)要求。如下圖所示，通過“終端清點(diǎn)”->“應(yīng)用軟件”頁(yè)面，管理員可以根據(jù)軟件類型、軟件廠商搜索單位全網(wǎng)哪些主機(jī)安裝了單位禁止使用的軟件，如某個(gè)廠商（如中天xxxx公司）的某款非正版軟件（如software3）。應(yīng)用場(chǎng)景1：全網(wǎng)非授權(quán)軟件使用統(tǒng)計(jì)點(diǎn)擊上圖“終端數(shù)量”列的數(shù)字，管理員可以查看所有安裝了這款軟件的主機(jī)詳情，可以通知主機(jī)進(jìn)行整改，如下圖所示。應(yīng)用場(chǎng)景2：全網(wǎng)主機(jī)風(fēng)險(xiǎn)賬戶梳理IT管理員可以通過“終端清點(diǎn)”->“終端賬戶”頁(yè)面，全局了解企業(yè)內(nèi)網(wǎng)主機(jī)的賬號(hào)風(fēng)險(xiǎn)情況（如是否存在隱藏賬號(hào)、弱密碼賬號(hào)、可疑root權(quán)限賬號(hào)、長(zhǎng)期未使用賬號(hào)等），如下圖所示：應(yīng)用場(chǎng)景2：全網(wǎng)主機(jī)風(fēng)險(xiǎn)賬戶梳理可以將存在風(fēng)險(xiǎn)賬號(hào)的主機(jī)導(dǎo)出excel表格，并通過郵件或其他方式通知相關(guān)責(zé)任人進(jìn)行自查和整改（或配合EDR的主機(jī)隔離功能，對(duì)未能在規(guī)定時(shí)間內(nèi)整改完成的主機(jī)進(jìn)行斷網(wǎng)隔離）。應(yīng)用場(chǎng)景3：統(tǒng)一封堵風(fēng)險(xiǎn)端口通過監(jiān)聽端口功能，可以將管理終端所監(jiān)聽的端口進(jìn)行統(tǒng)計(jì)并展示，同時(shí)針對(duì)風(fēng)險(xiǎn)端口有特殊的展示效果應(yīng)用場(chǎng)景3：統(tǒng)一封堵風(fēng)險(xiǎn)端口針對(duì)風(fēng)險(xiǎn)端口，可對(duì)其進(jìn)行統(tǒng)一封堵或接觸封堵終端分組管理終端清點(diǎn)總結(jié)EDR終端管理（二）掌握EDR終端發(fā)現(xiàn)功能使用掌握EDR基線檢查功能使用掌握EDR遠(yuǎn)程協(xié)助功能使用教學(xué)目標(biāo)終端發(fā)現(xiàn)終端基線檢查遠(yuǎn)程協(xié)助目錄終端電腦數(shù)量很多的情況下，管理員很難知道哪些終端未安裝EDR客戶端進(jìn)行防護(hù)，從而帶來(lái)潛在的安全風(fēng)險(xiǎn)。終端發(fā)現(xiàn)功能可以幫助管理員發(fā)現(xiàn)內(nèi)網(wǎng)沒有安裝EDR客戶端的電腦，及時(shí)做好安全防護(hù)，降低風(fēng)險(xiǎn)暴露面。需求背景EDR集成了Nmap掃描工具實(shí)現(xiàn)終端發(fā)現(xiàn)功能。管理員觸發(fā)內(nèi)網(wǎng)掃描（Nmap掃描）對(duì)內(nèi)網(wǎng)終端進(jìn)行活躍探測(cè)，掃描返回結(jié)果中的IP說明主機(jī)是活躍的，EDR將活躍的主機(jī)IP和EDR管理平臺(tái)中在線的終端IP比較，得出EDR管理平臺(tái)中不存在的活躍主機(jī)即為未安裝EDR客戶端的終端。原理介紹EDR管理平臺(tái)安裝EDR客戶端的Linux服務(wù)器發(fā)起Nmap全網(wǎng)掃描活躍主機(jī)PC1PC2PC3PC4........................PCn活躍主機(jī)與EDR管理平臺(tái)中的終端比較EDR管理平臺(tái)存在以下終端PC1PC2EDR管理平臺(tái)不存在以下終端PC3PC4已安裝EDR客戶端PC1PC2未安裝EDR客戶端PC3PC4已安裝EDR客戶端未安裝EDR客戶端注：內(nèi)網(wǎng)使用終端發(fā)現(xiàn)功能可能會(huì)導(dǎo)致內(nèi)網(wǎng)安全設(shè)備識(shí)別為異常掃描行為，需要提前和客戶溝通功能介紹發(fā)起掃描設(shè)備”可以設(shè)置由EDR管理平臺(tái)發(fā)起掃描，或由已經(jīng)安裝了EDR客戶端的Linux終端發(fā)起掃描（不能是windows客戶端）。如果掃描范圍大，為了增加掃描速度，建議設(shè)置由多個(gè)已經(jīng)安裝了EDR客戶端的Linux終端發(fā)起掃描。功能介紹終端發(fā)現(xiàn)終端基線檢查遠(yuǎn)程協(xié)助目錄需求背景信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)已經(jīng)成為國(guó)內(nèi)企業(yè)信息安全建設(shè)的標(biāo)準(zhǔn)。國(guó)家規(guī)定，有些行業(yè)（如金融、教育、能源、電商等）是有要求自己的信息安全建設(shè)過等保測(cè)評(píng)的。等保從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理等方面對(duì)信息安全建設(shè)都做了相應(yīng)的規(guī)范要求。如果客戶業(yè)務(wù)系統(tǒng)需要準(zhǔn)備等保測(cè)評(píng)，那么業(yè)務(wù)系統(tǒng)當(dāng)前安全狀態(tài)與等保安全要求之間的差距在哪里，需要幫助客戶梳理出來(lái)，進(jìn)行整改。EDR的基線檢查功能是根據(jù)三級(jí)等保合規(guī)性要求對(duì)windows和linux系統(tǒng)進(jìn)行合規(guī)性檢查，幫助客戶發(fā)現(xiàn)內(nèi)網(wǎng)不合規(guī)終端及不合規(guī)項(xiàng)，并提供加固整改建議。功能介紹基線檢查能夠?qū)indows和Linux系統(tǒng)的以下5項(xiàng)安全策略進(jìn)行合規(guī)性檢查：功能介紹每項(xiàng)安全策略檢查的具體內(nèi)容如下，檢查到具體內(nèi)容不符合安全性要求時(shí)，則以紅色顯示，始下圖，紅色顯示內(nèi)容為不合規(guī)項(xiàng)。功能介紹基線檢查設(shè)置如下，可以對(duì)指定的終端（windows或linux）進(jìn)行檢查。功能介紹基線檢查的效果如下，列出具體不合規(guī)項(xiàng)，并提供加固文檔。終端發(fā)現(xiàn)終端基線檢查遠(yuǎn)程協(xié)助目錄需求背景

當(dāng)被管控的終端出現(xiàn)故障時(shí)，管理員需要遠(yuǎn)程協(xié)助功能對(duì)終端進(jìn)行遠(yuǎn)程控制，快速、安全的響應(yīng)解決終端問題。原理介紹基于遠(yuǎn)程控制開源軟件UltraVNC（分為客戶端和服務(wù)端），EDR客戶端默認(rèn)附帶UltraVNC服務(wù)端程序。通過在EDR管理平臺(tái)發(fā)起遠(yuǎn)程，下載運(yùn)行UltraVNC客戶端程序，輸入被遠(yuǎn)程端的IP、端口以及授權(quán)碼即可實(shí)現(xiàn)遠(yuǎn)程控制。功能介紹遠(yuǎn)程協(xié)助功能當(dāng)前支持WinXPsp3，Win7和Win10系統(tǒng)，下面介紹使用方法策略中心-桌面管控，支持是否需要終端用戶同意功能介紹遠(yuǎn)程協(xié)助功能當(dāng)前支持WinXPsp3，Win7和Win10系統(tǒng)，下面介紹使用方法選中被控制電腦，發(fā)起遠(yuǎn)程協(xié)助功能介紹發(fā)起控制電腦上下載vnc-viewer，如果已下載，跳過此步。被控制電腦接受管理員控制請(qǐng)求，允許控制功能介紹功能介紹生成授權(quán)碼和隨機(jī)端口功能介紹發(fā)起遠(yuǎn)程的電腦通過vnc-viewer輸入被控制電腦IP、端口、授權(quán)碼進(jìn)行遠(yuǎn)程協(xié)助注意事項(xiàng)1、遠(yuǎn)程協(xié)助只支持遠(yuǎn)程端和被遠(yuǎn)程終端網(wǎng)絡(luò)互通的情況下使用，NA