鸿鹄论坛_edr实验.docx

《鸿鹄论坛_edr实验.docx》由会员分享，可在线阅读，更多相关《鸿鹄论坛_edr实验.docx（25页珍藏版）》请在第一文库网上搜索。

1、一.总部SerVer安装FDR客户端远程mstsc输入总部管理ip,建议记住登录账号密码1.登录EDR服务端控制台，点击系统管理-终端部署-通用部署:2.点击下载安装包。YffV.atZaI*jw9bmr=-bbAJT1”一4rIFWJ99.,ujrUTr-41I,1BaWKr-/a:计Iw1IMTFMBJ1.a4BAB，/,/.IIRJ一ju*mr/,t.4一、M3.双击安装包进行安装45 .勾选同意免责声明，点击开始安装EDR终端防护中心快速羟量极致安全$55路径：C:ProgramFi1esSangforEDRag.、同意免责声明6 .等待安装包从EDR服务端下载一些安装必要文件EDR终

2、端防护中心4大引物术智正在下我5%6.下载完成后，自动进入安装阶段EDR终端防护中心4大引则术智能防护正在安装7.安装完成后，点击开始防护，代表已完成客户端agent安装8.可以在EDR控制台“终端管理”看到该终端上线二.在总部EDR配置微隔高。需要达成以下目标：在微隔高分别新增业务系统Server”和“PC”。快速查杀（172.16.0.150为业务系统SerVer的终端，172.16.0.201业务系统PC的终端）在微隔离中添加服务SMB,协议为TCP,端口为:135、136、137、139、445.配置微隔高策略，源业务系统为PC,目的业务系统为查杀状态Server,拒绝SMB服务和RD

3、P服务。配置完成后，登录总部WindoWsPC,分别运行以下命令登看ute1net172.16.0.1503389vute1net172.16.0.150135w。1、登录总部EDR,在系统管理/终端部署界面中，选择WirIdOWs,在通用部署中点击V下载安装包部署，在下载器部署中下载安装包。2、下载完成后，将安装包通过远程桌面放到总部WindOWSPC和总部SerVe九ditiid11也）回收站xhack-sp1.edr_insta11er172.16.0.10_44302).exe3、分别在总部WindoWSPC和总部SerVer中完成客户端安装。安装完成，开启您的EDR防护之旅吧开启防护

4、4、安装完成后，登录总部EDR,在微隔离/业务系统界面中，新增业务系统。eOea和VSerVer新漕业务系统业务名称：PCDESKTOP-NVN4MV6新增业务系统业务系统名称：Serverwin-svr6、在服务界面中新增SMB服务。添加服务X?胳S称：SMB协议：Qtcp口udp前口：135.136.137.137445|力陛：O其他流星峥流星运维流星备注：用于WWW的眼务的，可以颐网页浏览取消7、在微隔离策略界面中，新增策略。填写参数信息，参数信息参考如下： 策略名称：自定义 源：选择vPC 目的：选择VSerVer 服务：选择VSMB 动作：选择V拒绝新增策略XQ新增旗离黄略下发至终而

5、将费鎏学原有的防火畸啼策略名称：veige1i源：PCA目的：Server三月胳:SMB(TCP:135.136,137,139,445)rdpJCP:3389)O端。陛8、在微隔离策略界面的右上角，开启V策略生效开关。9、登录总部WindOWSPC验证结果。11注意事项1、策略配置完成后，需要勾选V策略生效开关,否则策略不生效。2、开启“流量上报”,可以查看业务系统流量访问情况，包括已放通流量和未放通流量。帮助用户梳理业务系统访问关系及业务系统状态。12实验效果1、未启用微隔离策略之前，在总部Pe上通过命令行窗口执行te1net172.16.0.1503389”和“te1net172.16.

6、0.150135”可以正常联通。mTe1net172.16.15O2、启用微隔离策略之后，在总部PC上通过命令行窗口执行te1net172.16.0.1503389和te1net172.16.0.150135均显示连接失败。C:UsersUserte1net172.16.0.150135正在连接172.16.0.150.无法打开到主机的连接。在端口135:连接失败C:UsersUserte1net172.16.0.1503389正在连接172.16.0.150.无法打开到主机的连接。在端口3389:连接失败三.勒索病毒除杀11登录总部EDR(172.16.0.10admin/Sxf2023)配

7、置测试机所在分组的“勒索病毒防护策略”。依次打开终端管理/策略中心/实时防护,如下图配置，开启“勒索病毒诱饵防护”和“文件实时监控“。妓却!嗫SIftW监所茶口R*C3X51瘦去分母金的线R*awMI文件安gPGIa开篇文件实加中I防崔R别：.上KMTwCr可三卬I中OCOWMj.写入.MM9ffi行.CMNMBMIO-中:外g：I的RI罚文件可执行文蟀的046陋险文怦6W!文大行师RI比Q大于50M8X建大E建3位皿包VS：谒”业S场贸邸沿的弓*fi加检业务。onandRvspomc注意：开启“文件实时监控”，文件类型只选择“文档文件”。因为勒索病毒防护功能，依赖文件实时监控，所以要开启文件

8、实时监控。同时为了避免文件实时监控功能检测出勒索病毒，影响测试效果，所以文件类型不选择可执行文件。“文件实时监控”和“勒索病毒防护”右边图标需点亮开启，点此图标点亮，管理端配置的策略才会下发到终端。2.用mstsc远程测试机(172.16.0.201User/Win#desk),后将“勒索病毒样本”解压到测试机桌面，解压密码为Sangfor。H,172.16.0.201BiX3J嘘入定码输入已加密文件的密码P1anetery在压缁文件勒索病毒样本文件rar输入密码)1叼显示密码(5)用于所有压缩文件(A)管理密码(Q).Isangfor3.为避免运行勒索病毒样本影响其它电脑，在线实验环境的PC

9、均已安装EDR客A端C若学员在电脑本机搭建实验环境，注意做好实验环境的脱机，只放通到MGR的通信，避免勒索病毒在内网横向传播的风险。昉塞，方塞电轻跋的覆废EDR介电-记事本文件(F)MI(E)悟式(。)EV)MK(H)个窥索朝专样本文,*VOP瘦素蜀一造持点品量春测安件支AoS病助平转Nc应事曹eDnve所有最近使用的项目握5G0已阻止威胁严重2023/11/14W2VIo0严重只2023/11/14W21长太.PMB7PvF?此施或应用已从隔离区中股舱或者已还原到设乐BTrajartWin32/0CCamy.CF7a警报费叱产生日期：2023/11/149:52Q糊!1：指S伊木V详缩信息:

10、这个程序很危险，而且执行来向攻击者的命令.母了解更多信5运行样本文件后，Win系统可能会都除掉，在此处还原后重试即可.受彩晌的项目：fi1e:GUsersUseOesktop1SWtiXPanetary.exe主页共享S应用程序工BP掖案勤安专专程本文件俣透访问!13，Tft才I如.OEB片I蜘，音乐OneDrivettE网珞名称修改日期英里,大小OSP1anetary.exe-&WindowsW你的电脑上的应用需要使用以下Windows功能：.NETFramework3.5(包括.NET2.0和3.0)再次运行弹出提示，安装Winde)WS功能即可。下载并安装此功能Windows衿从Wind

11、ows更新中获取所需的件并完成安装.跳过此安装在未使用此功能的5况下，你的应用可能无法正常工作.告诉若关此功*汴烟信旦取消需要安装.NETFramework3.5功能，先在测试机打开浏览器，输入W进行AC上网验证(USerI/admin123)I认证系统yAuthenticationSystem空码认证内部员工，使用用户名密码方式登录只User1记住登录状态修改宅请忘记定码随后打开控制面板进行安装Windows功能。E控制面板P除索控制面扳查看方式：类SU调整计算机的设置系统和安全查看你的计算机状态通过文件历史记录保存你的文件备份副本备许Q(WindOWS7)网络和Internet查看网络状态和任务,/硬件和声音司向，壹看设和打印机PJDiSS用户帐户0更改帐户美型外观和个性化时钟和区域更改日期、时间或数字格式轻松使用使用Windows建议的设置优化视觉显示z-S7=