管理终端保护解决方案

本文解释了如何管理已安装在终端上的EPP代理。

概览

在环境中安装代理后,您可能需要对终端进行操作,以便日常管理EPP解决方案。

您可以检查环境中受保护的终端,如有必要,可采取多种措施管理EPP。 代理程序一次执行一个操作,您可以随时选择终止操作,如果在7天内没有执行操作,则操作将过期。

您可以在CMA中触发一些对终端执行的操作,具体有:

如有必要,您还可以手动升级终端上的代理程序。

审查已保护的端点

使用代理令牌注册端点后,解决方案开始实时报告数据,例如:

  • 每个端点使用的版本

  • 应用于每个终端的配置文件

2023-03-16_16-27-48.png

注意

注意: 位于中国的设备由于区域限制无法注册其 EPP 到 Cato。

审查受保护的终端:

  • 在导航菜单中,点击 访问 > 受保护的终端

    受保护的终端屏幕打开。

了解受保护端点表的列

下表解释了受保护的终端表中的列。

解释

端点ID

EPP代理的唯一ID。

端点名称

端点的计算机名称。

用户

最后登录端点的用户。 在共享设备上,用户可能会随时间变化。

IP

端点的IP地址。

操作系统版本

端点的操作系统。

EPP版本

安装在终端上的EPP解决方案版本。

配置文件

分配给端点的EPP配置文件。

该列中显示的时钟符号表示终端尚未收到EPP配置文件。 下一次终端上线时将分配EPP配置文件。

隔离文件

终端上被隔离的文件数量。

状态

EPP解决方案的状态。 可能的状态有:

  • 正在启动:EPP解决方案正在终端上安装

  • 已受保护:EPP解决方案在线并保护终端

  • 未受保护:EPP解决方案已设为监控模式的反恶意软件配置文件

  • 错误:EPP解决方案有一个错误。 将鼠标悬停在问号图标上,以获取有关错误的更多信息。

    有关如何解决错误的更多信息,请参阅EPP故障排除。

导出受保护的端点表

您可以将受保护的端点表格的内容导出为CSV文件,以与MDM对齐,并确保所有相关端点都出现在表格中。

要导出受保护的端点列表:

  1. 在导航菜单中,点击 访问 > 受保护的终端

    受保护的端点屏幕打开。

  2. 点击页面右上角的导出

保护卡托的EPP解决方案

Cato的EPP默认启用防篡改保护。 这可以保护EPP解决方案使用的进程、文件、服务和注册表免受恶意修改或终止尝试。 这还可以防止不小心地用户操作而可能损害安全。

禁用EPP的保护

您可以临时解锁防篡改保护15分钟,例如:如果您需要卸载解决方案。 此时间结束后,或如果终端重新启动,则会重新启用防篡改保护。

解锁保护:

  1. 从导航菜单中,点击访问 > 受保护的端点

    显示受保护的终端屏幕。

  2. 点击端点上的三个点(Three_Dots.png),在您要解锁保护的端点上。

  3. 点击 解锁防篡改

    防篡改保护暂时已禁用。

从端点中移除EPP

如果终端不再需要EPP,可以卸载并在必要时从账户中删除。 卸载解决方案后,EPP引擎无法扫描恶意活动,也不会报告任何事件。 端点仍留在受保护的终端表中,直到被删除。

  • 卸载会完全移除EPP客户端,但如果重新安装客户端,将自动注册为卸载前的用户。
  • 删除会删除此端点与账户的关联;将停止保护,不再上传事件等。 删除还将允许客户端使用令牌重新注册

卸载和删除端点

您可以从端点卸载EPP,并在一次操作中从您的帐户中删除该端点。

注意

注意: 支持从EPP Agent v1.1。 如果您尝试删除和卸载EPP Agent v1.0,则在Agent升级到v1.1之前不会进行任何操作。

要卸载和删除端点:

  1. 从导航菜单中,点击访问 > 受保护的端点

    将显示受保护的终端屏幕。

  2. 点击您要删除的端点上的三个点(Three_Dots.png)。

  3. 点击移除终端

    将显示移除终端对话框。

  4. 点击移除终端 & 卸载代理程序

    EPP从端点上卸载,端点从您的帐户中删除。

卸载端点

您可以在一个端点上卸载EPP,这样EPP引擎就不能扫描恶意活动,也不会报告事件。 在端点被删除之前,它在受保护的端点表中可见。

要卸载端点:

  1. 从导航菜单中,点击访问 > 受保护的端点

    将显示受保护的终端屏幕。

  2. 点击您要卸载的端点上的三个点(Three_Dots.png)。

  3. 点击卸载代理程序

    将显示卸载代理程序对话框。

  4. 单击卸载代理

    EPP从端点上卸载。

删除端点

如果EPP不再安装在端点上,则可以从受保护的端点表中删除该端点。

注意

注意: 在EPP卸载之前,不要从受保护的端点表中删除端点。

要删除端点:

  1. 从导航菜单中,点击访问 > 受保护的端点

    将显示受保护的终端屏幕。

  2. 点击您要删除的端点上的三个点(Three_Dots.png)。

  3. 点击移除终端

    将显示移除终端对话框。

  4. 单击移除端点

    端点已从受保护的端点屏幕中删除。

终止操作

创建操作后,您可随时终止。

要终止操作:

  1. 从导航菜单中,点击访问 > 受保护的端点

  2. 点击操作历史标签页。

  3. 点击您要终止操作的动作上的三个点(Three_Dots.png)。

  4. 点击取消操作

查看端点操作

您可以查看发送到EPP代理的操作的近实时状态和历史记录。 EPP代理每30秒发送一次关于其接收的操作状态的更新。

注意

注意: 从代理版本1.2及更高版本开始,可以查看操作。

Actions_EPP.png

要查看端点操作:

  1. 从导航菜单中,点击访问 > 受保护的端点

  2. 点击操作历史标签页。

理解操作历史表格列

以下描述了操作历史表格。

解释

操作 ID

操作的唯一参考。

端点ID

EPP代理的唯一ID。

创建于

创建操作时的时间戳。

端点名称

端点的计算机名称。

操作

在端点上执行的操作。

状态

操作的近实时状态。 可能的状态是:

  • 待处理: 操作已发送到EPP代理,但尚未交付。

  • 已交付: 操作已由EPP代理接收,但尚未执行。

  • 运行中: 操作正在运行。

  • 完成: 操作已成功完成。

  • 已过期: 7天后未执行操作。

  • 终止待定: 终止请求已发送至EPP代理,但尚未收到。

  • 终止已送达: EPP代理已收到终止请求。

  • 已终止: 操作已停止。

  • 错误: 发生了一个问题。

详细信息

有关操作的附加信息。

最后更新时间

上次收到操作更新的时间戳。

创建者

创建操作的管理员。

终端状态

端点的状态。

手动升级代理

当发布新代理版本时,您账户中的代理会自动逐步升级到最新版本。 出于各种原因,您可能需要手动升级代理。

手动升级代理:

  1. 禁用端点上的防篡改:

    • 对于在线代理:可以在CMA中完成。 查看更多信息

    • 对于离线代理:在文件路径C:\Program Files\Cato Networks\CatoEndPointProtection创建一个名为disable_anti_tamper的空文件(无扩展名)

      注意: 这仅适用于v1.3以下的代理

  2. 在CMA中,从导航菜单中,单击访问 > 客户端部署并下载EPP代理。

  3. 使用MDM分发代理或手动安装到端点。

    注意:

    • 如果您从CMA中禁用了防篡改,则必须在禁用防篡改后15分钟内分发代理

    • 如果您使用文件禁用了防篡改,请在升级完成后删除文件

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论