跳至主内容

安装安全代理 - 标准流程

为保护物理和虚拟终端,需在每个终端安装安全代理。该代理除管理本地终端防护外,还会与 控制中心 通信以接收管理员指令并发送执行结果。

了解可用安全代理,请参阅 安全代理 .

Windows Linux 设备上,安全代理可承担两种角色,您可通过以下方式安装:

  1. 作为终端的基础安全代理。

  2. 作为 中继 ,既充当安全代理,又作为网络中其他终端的通信、代理及更新服务器。

    警告

    • 首个安装防护的终端必须具有 中继 角色,否则无法在同一网络内远程安装安全代理至其他终端。

    • 中继 终端必须保持开机在线状态,才能使已连接的代理与 控制中心 .

macOS 设备上,安全代理无法作为中继运行。

您可通过本地运行安装包或从 控制中心 .

务必仔细阅读并遵循安装准备说明。

常规模式下,安全代理仅提供最小化用户界面,仅允许用户查看防护状态及执行基础安全任务(更新与扫描),不开放设置访问权限。

若网络管理员通过安装包及安全策略启用,Windows终端上的安全代理可运行于高级用户模式,允许终端用户查看及修改策略设置。但 控制中心 管理员始终可强制指定生效的策略设置,覆盖高级用户模式。

默认情况下,受保护Windows终端的界面显示语言将根据您的 GravityZone 账户。

在Mac上,用户界面的显示语言根据终端操作系统语言在安装时设定。Linux系统的安全代理没有本地化用户界面。

若需在特定Windows终端以其他语言安装用户界面,可创建安装包并在配置选项中设置首选语言。此选项不适用于Mac和Linux终端。有关创建安装包的更多信息,请参阅 创建安装包 .

安装准备

安装前请遵循以下预备步骤以确保流程顺利:

  1. 确保目标终端符合 终端防护 最低系统要求。

    部分终端可能需要安装最新操作系统服务包或释放磁盘空间。

    列出不符合要求的终端以便将其排除在管理范围外。

  2. 彻底卸载(而非仅禁用)目标终端上现有的反恶意软件或互联网安全软件。

    安全代理与其他安全软件在终端上同时运行可能影响其功能并导致系统严重问题。

    安装过程中会自动检测并移除多数不兼容的安全程序。

    注意

    • Windows安全功能(Windows Defender、Windows防火墙)会在初始化代理安装前自动关闭。

    • 安全代理安装完成后,若存在强制实施方法(如GPO),Windows Defender会自动重新启用,或可通过Windows控件手动启用。启用后,由于缺少Windows操作中心,安全代理不再管理Windows Defender激活状态。此行为可能出现在以下工作站和服务器上:

      • Windows 7、Windows 8、Windows 8.1

      • Windows Server 2016、Windows Server 2019、Windows Server 2022

      Windows 10和11系统中该功能由操作中心动态控制。

    了解更多信息并查看 Bitdefender终端安全工具 检测到的安全软件列表,请参阅 与Bitdefender终端安全工具 不兼容的软件 .

    重要提示

    若需在已安装 Bitdefender Mac版杀毒软件5.X,您必须先手动卸载后者。具体操作步骤请参考 在已安装 Bitdefender终端安全工具 的机器上部署 Bitdefender Mac版杀毒软件 .

  3. 安装需要管理员权限和互联网连接。若目标终端处于Active Directory域中,应使用域管理员凭证进行远程安装。否则请确保已备妥所有终端所需的凭证。

  4. 终端必须能够连接至 控制中心 .

  5. 建议为 中继 服务器配置静态IP地址。若未设置静态IP,请使用机器主机名。

  6. 通过Linux中继部署代理时,还需满足以下附加条件:

    • 中继终端必须安装Samba软件包( smbclient )4.1.0或更高版本,以及用于部署Windows代理的 net 二进制文件/命令。

      注意

      net 二进制文件/命令通常随samba-client和/或samba-common软件包提供。在某些Linux发行版(如CentOS 7.4)中, net 命令仅在安装完整Samba套件(Common + Client + Server)时才会安装。请确保您的中继终端已安装 net 命令。

    • 目标Windows终端必须启用管理共享和网络共享功能。

    • 目标Linux和Mac端点必须启用SSH,且必须通过用户名和密码设置连接。

  7. 在macOS上,安装 Bitdefender终端安全工具 (手动或远程)后,系统会提示用户批准 Bitdefender 在其终端上的扩展。若用户未批准 Bitdefender 扩展,部分功能将无法使用。具体操作步骤请参阅 Bitdefender 系统扩展在macOS中被阻止 .

    对于macOS Big Sur(版本11), BEST 因苹果对操作系统的变更需要额外用户授权。详情请参考 macOS Big Sur及更高版本中 Mac终端安全的变更 :网络扩展、代理配置及SSL证书 .

    为避免用户手动操作,可通过Mobile Device Management工具(如Jamf)将 Bitdefender 扩展加入白名单进行预批准。详情参见 在Jamf Pro 10.x中白名单 Bitdefender 扩展 .

本地安装

在终端上安装安全代理的一种方法是本地运行安装包。

您可以在 网络 > 安装包 页面。

installation_packages_cl_op_en.PNG

警告

  • 首台安装防护的机器必须具有 中继 角色,否则无法在网络中的其他终端上部署安全代理。

  • 中继机器必须保持开机和在线状态,以便客户端与 控制中心 .

安装首个客户端后,将基于网络发现机制用于检测同一网络中的其他终端。有关网络发现的详细信息,请参阅 网络发现工作原理 .

若要在终端本地安装安全代理,请按以下步骤操作:

  1. 根据需求 创建安装包。

    注意

    若您的账户下已存在针对该网络的安装包,此步骤非必须。

  2. 在目标终端上 下载安装包。

    您也可以 通过电子邮件向网络中的多个用户发送安装包下载链接

  3. 在目标终端上 运行安装包。

创建安装包

创建安装包的步骤:

  1. 连接并登录 控制中心 .

  2. 进入 网络 > 安装包 页面从左侧菜单。

  3. 点击 创建 按钮在表格上方。将显示配置窗口。

    installation_packages_phasr.png

  4. 为您要创建的安装包输入一个醒目的名称和描述。

  5. 语言 字段中,选择客户端界面所需的语言。

    注意

    此选项仅适用于Windows操作系统。

  6. 选择操作模式。这将影响通过包部署在您的终端上安装的安全代理的行为。

    注意

    此步骤仅适用于包含 EDR 模块的许可证。

    • 检测与防护 - 此操作模式允许您自定义包中包含的模块,并设置防护和检测模块以启用并利用阻止和报告功能。

    • EDR (仅报告) - 此操作模式预先配置您的包结构以包含一组特定模块,并设置防护和检测模块仅启用和利用报告功能。

    注意

    包含在 EDR (仅报告)包中的模块是 高级威胁防护 , EDR 传感器, 网络保护 包含 内容控制 网络攻击防护 .

  7. 选择需要安装的保护模块。

    注意

    仅会安装各操作系统支持的模块。每个模块右侧图标显示其兼容的操作系统。

    更多信息请参阅 Bitdefender终端安全工具 .

  8. 选择目标终端角色:

    • 中继 ,为具有中继角色的终端创建安装包。详情参见 Bitdefender终端安全工具 .

      警告

      中继角色仅适用于Windows和Linux系统,旧版操作系统不支持。

      更多信息请参阅 支持的操作系统 .

    • 补丁管理缓存服务器 ,将中继设为分发软件补丁的内部服务器。

      注意

      此角色仅在选中 中继 角色时显示。详情参见 补丁缓存服务器 相关章节 Bitdefender终端安全工具 .

    • Exchange保护 ,用于安装Microsoft Exchange服务器的保护模块,包括针对Exchange电子邮件流量的反恶意软件、反垃圾邮件、内容及附件过滤功能,以及对Exchange数据库的按需反恶意软件扫描。

      更多信息请参阅 安装Exchange保护 .

  9. 移除竞品软件 。建议保持勾选此选项,以便在 Bitdefender 代理安装至终端时自动移除不兼容的安全软件。若取消勾选, Bitdefender 代理将与其他现有安全解决方案共存。您可后续自行手动卸载先前安装的安全解决方案,但需自行承担风险。

    重要提示

    在终端上同时运行 Bitdefender 代理与其他安全软件可能会影响其运行,并导致系统出现严重问题。

  10. 扫描模式 。选择最适合您网络环境及终端资源的扫描技术。您可通过以下类型之一定义扫描模式:

    可用扫描模式:

    • 本地扫描

    • 轻量引擎混合扫描(公有云)

    • 混合扫描

    • 公有或私有云中央扫描

    • 中央扫描(通过 安全服务器 在公有或私有云进行扫描)并回退至本地扫描(完整引擎)

    • 中央扫描(通过 安全服务器 )并回退至混合扫描(轻量引擎公有云)

    • 混合扫描并回退至中央扫描

    有关扫描模式的更多信息,请参阅 反恶意软件

    可用扫描类型:

    • 自动 。此时,安全代理将自动检测终端配置并相应调整扫描技术:

      • 公有或私有云中央扫描(使用 安全服务器 )并回退至混合扫描(轻量引擎),适用于硬件性能较低的物理终端和虚拟机。此场景要求网络中至少部署一台 安全服务器

      • 本地扫描(完整引擎)适用于高性能硬件物理终端。

      • 中央扫描并回退至混合扫描(适用于虚拟机)

      注意

      使用中央扫描前,必须首先部署 安全服务器 。有关安装 安全服务器 的详细信息,请参阅 安全服务器 .

      低性能终端指CPU频率低于1.5 GHz或内存小于1 GB的设备。

    • 自定义 。此时可手动为物理机和虚拟机选择扫描技术:

      • 公有或私有云中央扫描(使用 安全服务器 ),可回退*至本地扫描(完整引擎)或混合扫描(轻量引擎)

      • 混合扫描(轻量引擎)

      • 本地扫描(完整引擎)

      默认扫描模式:

      • 对于 EC2实例 的默认扫描模式为本地扫描(安全内容存储在已安装的安全代理上,并在机器本地运行扫描)。若需通过 安全服务器 扫描EC2实例,需相应配置安全代理安装包及应用策略。

        注意

        此种情况下,系统将自动分配位于目标EC2实例对应AWS区域的 Bitdefender 安全服务器

      • 对于 Microsoft Azure虚拟机 的默认扫描模式为本地扫描(安全内容存储在已安装的安全代理上,并在机器本地运行扫描)。若需通过 安全服务器 扫描Microsoft Azure虚拟机,需相应配置安全代理安装包及应用策略。

      • 当使用Bitdefender for Security Containers BEST for Linux v7 插件时,其默认扫描模式为:

        • 混合扫描,适用于物理终端(含容器主机)及节点(Kubernetes场景)。

        • 集中式扫描,并回退至混合扫描模式,适用于虚拟机或基于 GravityZone 集成支持的云基础设施(IaaS或PaaS)的终端(含容器主机)及节点(Kubernetes场景)。

          注意

          需确保有可用的 安全服务器 才能应用此扫描模式。若无可用服务器,扫描模式将设为混合模式。

      有关可用扫描技术的更多信息,请参阅 反恶意软件 .

  11. 安全服务器 分配 .

    当使用公共或私有云( 安全服务器 )扫描自定义扫描引擎时,需选择本地安装的 安全服务器 并配置其在 安全服务器 分配 部分的优先级:

    1. 点击表格标题中的 安全服务器 列表。检测到的 安全服务器 列表将显示。

      部分 Bitdefender 合作伙伴可将其 安全服务器 共享给客户。此处可查看 安全服务器 (若您的 Bitdefender 合作伙伴具备此权限且已为您分配)。

    2. 选择实体。

    3. 点击 add.png 添加 按钮(位于 操作 列标题。

      安全服务器 已添加到列表中。

      在安全服务器分配部分,您可以为 安全服务器 指定名称和IP地址。分配名称后,点击 inline-menu-icon.png 进行编辑。

    4. 按照相同步骤添加多个安全服务器(如有)。此时,您可以使用 up-arrow.png 上移 down-arrow.png 下移箭头(位于每个实体右侧)配置其优先级。当首个 安全服务器 不可用时,系统将自动使用下一个,依此类推。

    5. 要从列表中删除某个实体,请点击表格上方对应的 delete_inline.png 删除 按钮。

    您可以选择通过勾选 安全服务器 使用SSL 选项来加密连接。

    对于EC2实例,系统会自动分配对应AWS区域托管的 Bitdefender 安全服务器 ,因此无需配置 安全服务器 分配 部分。

  12. 在Windows终端上, Bitdefender终端安全工具 默认安装在默认安装目录中。若需将 使用自定义安装路径 Bitdefender终端安全工具 安装至其他位置,请选择 并在对应字段中输入目标路径。输入路径时请遵循Windows规范(例如 D:\文件夹 )。若指定文件夹不存在,安装过程中将自动创建该文件夹。

    在Linux终端上, Bitdefender终端安全工具 默认安装于 /opt 目录。

  13. 建议设置密码以防止用户移除防护。

    选择 设置卸载密码 并在对应字段中输入密码。

  14. 若目标终端位于 自定义群组 的网络清单中,您可选择在安全代理部署完成后立即将其移至指定文件夹。

    选择 使用自定义文件夹 并在对应表格中选择文件夹。

  15. 部署器 部分,选择终端将连接的通信实体。终端安装仅通过中继进行,该中继无需与安装包中指定的中继相同。

    部署器 部分的 选定中继 字段中,您可以从 中继表 .

    • Bitdefender ,如果您希望直接从互联网更新客户端。

      这种情况下,如果目标终端通过代理连接互联网,您还可以定义代理设置。选择 使用代理进行通信 并在下方字段中输入所需的代理设置。

    • 终端安全中继 ,如果您希望将终端连接到网络中安装的中继客户端。网络中检测到具有 中继 角色的所有机器将显示在下方表格中。选择您需要的中继机器。连接的终端将仅通过指定的中继与 控制中心 通信。

      重要提示

      必须开放7074端口,才能通过 Bitdefender终端安全工具中继 进行部署。

      如果您的某个中继具有多个网络适配器,您可以使用它向与 BEST 隔离的终端部署 GravityZone 。这种情况下,在 自定义服务器名称/IP 列中,添加未连接到 GravityZone .

      例如,该中继有两个网络适配器, 192.168.0.16192.168.12.12 。只有第一个IP地址会与 GravityZone 通信。当您将第二个IP地址添加为自定义IP后,目标终端将使用中继服务器作为通信服务器来安装安全代理。

      要添加所需IP地址,请按以下步骤操作:

      1. 点击三点菜单。

      2. 点击 编辑自定义服务器名称/IP .

        installation_package_deployer_custom_ip_47136_en.png

      3. 在可编辑字段中输入IP地址。

      4. 点击 ok-icon.png 确定 图标确认更改。

  16. 点击 保存 .

新创建的安装包将被添加到包列表中。

注意

安装包中配置的设置将在安装后立即应用于终端。当策略应用到客户端时,策略中配置的设置将强制执行,并替换某些安装包设置(如通信服务器或代理设置)。

下载安装包

要下载安全代理的安装包:

  1. 登录到 控制中心 (从您要安装防护的终端上)。

  2. 在左侧菜单中转到 网络 > 安装包页面

  3. 选择您要下载的安装包。

  4. 点击 下载 在表格上方,并从下拉列表中选择您要使用的安装程序类型。可用的安装文件类型包括:

    • 下载器 。该下载器首先从 Bitdefender 云服务器下载完整安装包,然后开始安装。

      下载器体积小巧,可运行于32位、64位(Windows和Linux)系统、ARM64系统(仅限Windows)或64位macOS系统(包括Intel x86和Apple ARM架构),便于分发。缺点是需保持网络连接。

    • 分阶段发布环的下载器 。这些下载器按操作系统分类,适用于 生产环 , 测试环1 测试环2 。关于分阶段发布环的详细信息,请参阅 分阶段更新 .

    • 完整安装包 。完整安装包体积较大,需在特定操作系统类型上运行。

      完整安装包适用于网络缓慢或无网络连接的终端设备安装防护。将此文件下载至联网终端后,可通过外接存储介质或网络共享分发至其他终端。

      注意

      可用的完整安装包版本:

      • Windows操作系统: 32位、64位及ARM系统

      • Linux操作系统: 32位和64位系统

      • macOS: 86位Intel、macOS下载器及Apple M系列系统

      请确保使用与安装系统相匹配的正确版本。

      每分钟只能下载一个安装包,因此每次下载尝试之间需间隔60秒。

  5. 将文件保存至终端设备。

    警告

    • 不得重命名下载器可执行文件,否则将无法从 Bitdefender 服务器下载安装文件。

    • 安装包及链接均为私有且为每家公司独立生成,请勿传播。

  6. 此外,若选择下载器方式,可为Windows终端创建MSI安装包。详情请参阅 通过MSI安装包 部署Bitdefender端点安全工具 .

通过邮件发送安装包下载链接

如需快速通知其他用户安装包已就绪,请按以下步骤操作:

  1. 前往左侧菜单栏 网络 > 安装包 页面。

  2. 选择目标安装包。

  3. 点击 发送下载链接 选项,将弹出配置窗口。

  4. 输入每位接收者的邮箱(多个地址用逗号分隔),按 回车键 或点击 添加 按钮生成邮件列表。

    注意

    请确保每个输入的电子邮件地址均有效且唯一。

  5. 选择首选更新环: 慢速环 , 生产环 , 测试环1 测试环2 .

    有关分阶段更新的详细信息,请参阅 更新分阶段部署 .

  6. 安装链接在通过电子邮件发送前也会显示在此窗口中。

  7. 点击 发送 。包含安装链接的电子邮件将发送至每个指定的电子邮件地址。

运行安装包

要使安装生效,必须使用管理员权限运行安装包。

该安装包在不同操作系统上的安装方式如下:

  • 在Windows和macOS操作系统上:

    1. 在目标终端上,从 控制中心 下载安装文件或从网络共享中复制。

    2. 若已下载完整套件,请从存档中解压文件。

    3. 运行可执行文件。

    4. 按照屏幕上的指示操作。

    注意

    在macOS上,安装文件为DMG格式。打开时,该文件会挂载两个位置:一个在桌面,另一个在Finder中(位于左侧菜单的 位置 ).

    macOS上的安全代理需要“完全磁盘访问”权限。由于安装过程中代理不会主动请求这些权限,您必须在安装完成后在终端设备上手动批准。详情请参阅 macOS中未允许 Bitdefender终端安全工具 的完全磁盘访问权限 .

    安全代理还要求您批准终端设备上的 Bitdefender 系统扩展。详情请参阅 macOS中 Bitdefender系统扩展被阻止 .

  • 在Linux操作系统上:

    1. 连接并登录 控制中心 .

    2. 将安装文件下载或复制到目标终端设备。

    3. 如果下载了完整套件,请从压缩包中解压文件。

    4. 通过运行 sudo su 命令获取root权限。

    5. 修改安装文件权限以便执行: 

      #chmod +x installer

    6. 运行安装文件: 

      #./installer

    7. 要验证代理是否已安装到终端设备,请运行以下命令: 

      $systemctl status bdsec*

安全代理安装完成后,终端设备将在几分钟内显示为受控状态于 控制中心 ( 网络 页面)。

重要提示

若使用VMware Horizon View Persona Management,建议通过Active Directory组策略排除以下 Bitdefender 进程(无需完整路径):

  • bdredline.exe

  • epconsole.exe

  • epintegrationservice.exe

  • epprotectedservice.exe

  • epsecurityservice.exe

  • epupdateservice.exe

  • epupdateserver.exe

只要安全代理在终端运行,这些排除项必须持续应用于 GravityZone 。详情请参阅 VMware Horizon官方文档页面 .

观看完整视频教程请点击:

远程安装

控制中心 允许您通过安装任务在网络检测到的终端上远程安装安全代理。

当您本地安装首个具有 中继 角色的客户端后,网络中的其他终端可能需要几分钟才会显示在 控制中心 。此后,您可通过安装任务远程管理终端设备上的安全代理。 控制中心 .

Bitdefender终端安全工具 包含自动网络发现机制,可检测同一网络中的其他终端。检测到的终端在 未受管理 状态下显示于 网络 页面。

要启用网络发现功能,网络中至少需有一台终端已安装 Bitdefender终端安全工具 。该终端将用于扫描网络并在未受保护的终端上安装 Bitdefender终端安全工具

有关网络发现的详细信息,请参阅 网络发现工作原理 .

远程安装要求

远程安装需满足以下条件:

  • Bitdefender终端安全工具中继 必须部署在您的网络中。

  • Windows系统要求:

    • 需启用 admin$ 管理共享。配置每台目标工作站禁用高级文件共享功能。

    • 根据目标终端运行的操作系统配置用户账户控制(UAC)。若终端处于Active Directory域中,可通过组策略配置用户账户控制。具体操作详见 Bitdefender终端安全工具 远程部署准备工作站 .

    • 禁用Windows防火墙或配置其允许文件和打印机共享协议通信。

    注意

    远程部署仅适用于现代操作系统,从Windows 7/Windows Server 2008 R2起, Bitdefender 提供全面支持。更多信息请参阅 支持的操作系统 .

  • 在Linux上:必须启用SSH。

  • 在macOS上:必须启用远程登录和文件共享。

运行远程安装任务

要运行远程安装任务:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 网络 页面。

  3. 从左侧面板选择所需群组。

    所选群组包含的实体将显示在右侧面板表格中。

    可选操作:可应用筛选器仅显示未受管端点。在左上角点击 递归查看数据 ,然后进入 管理状态 筛选器并选择 未受管 .

    处理EC2实例时,还可选择 实体类型 筛选器并勾选 EC2实例 选项。

  4. 选择要安装防护的实体(终端或终端组)。

  5. 点击表格上方的 操作 按钮并选择 安装代理 .

    系统将显示 安装代理 页面。

    Install_agent_action_network.png

  6. 选项 部分配置安装时间:

    • 立即 ,即刻启动部署。

    • 计划 ,设置部署重复间隔。此时需选择所需时间间隔(每小时、每天或每周)并根据需求进行配置。

      例如,若目标机器在安装客户端前需执行特定操作(如卸载其他软件并重启操作系统),可将部署任务设置为每2小时运行一次。该任务将在每台目标机器上每2小时启动,直至部署成功。

  7. 如需目标终端自动重启以完成安装,请勾选 自动重启(如需) .

  8. 凭证管理器 部分,指定目标终端远程认证所需的管理员凭证。可通过输入各目标操作系统的用户名和密码来添加凭证。

    重要提示

    对于Windows 8.1工作站,需提供内置管理员账户或域管理员账户的凭证。

    添加操作系统凭证的步骤:

    1. 在表头对应字段中输入管理员账户的用户名和密码。

      若计算机处于域中,仅需输入域管理员凭证即可。

      输入用户账户名称时请遵循Windows规范:

      • 对于 Active Directory 机器,请使用以下语法: username@domain.com domain\username 。为确保输入的凭据有效,请以两种形式添加( username@domain.com domain\username ).

      • 对于工作组机器,只需输入用户名,无需输入工作组名称。

      可选地,您可以添加描述以便更轻松地识别每个账户。

    2. 在表头对应的字段中输入管理员账户的用户名。

      输入域用户账户名称时,请遵循 Windows 惯例,例如 user@domain.com domain\user 。为确保输入的凭据有效,请以两种形式添加( user@domain.com domain\user ).

      注意

      如果计算机位于域中,只需输入域管理员的凭据即可。

      输入域用户账户名称时,请遵循 Windows 惯例,例如 user@domain.com domain\user 。为确保输入的凭据有效,请以两种形式添加( user@domain.com 域名\用户名 ).

    3. 从菜单中选择认证类型:

      • 密码 ,以使用管理员密码。

      • 上传.pem文件 ,以使用私钥。

    4. 若使用密码认证,请在菜单旁字段输入密码。

    5. 若使用私钥认证,请点击 浏览 按钮并选择包含对应私钥的 .pem 文件。

    6. 可选添加描述信息,以便更轻松识别各账户。

    7. 点击 add_inline.png 添加 按钮。该账户将被添加至凭证列表。

      指定凭证将自动保存至凭证管理器,下次无需重复输入。要访问 凭证管理器 ,请点击控制台右上角的 control_center_user_menu_icon.png 用户图标。

      重要提示

      若提供无效凭证,客户端部署将在对应终端失败。当目标终端修改操作系统凭证时,请务必在凭证管理器中更新已输入的凭证。

  9. 勾选要使用的账户对应复选框。

    只要未选择任何凭证,系统将持续显示警告信息。此步骤为远程安装终端安全代理的必要条件。

  10. 部署器 部分,配置目标终端将连接的 中继服务器 以安装和更新客户端:

    • 网络中检测到具有 中继 角色的所有机器将显示在 部署器 部分下方的表格中。每个新客户端必须连接到同一网络中至少一个 中继 客户端,该客户端将作为通信和更新服务器。选择您希望与目标端点关联的 中继 。连接的端点将仅通过指定的 控制中心 进行通信 中继 .

      重要提示

      必须开放端口7074,才能通过 中继 代理进行部署。

      Install_agent_action_deployer_network.png

    • 如果目标端点通过代理与 中继 代理通信,您还需要定义代理设置。在这种情况下,请选择 使用代理进行通信 并在下方字段中输入所需的代理设置。

  11. 您需要为当前部署选择一个安装包。点击 使用包 列表并选择所需的安装包。此处可找到您账户下先前创建的所有安装包,以及 控制中心 .

  12. 如需修改所选安装包的某些设置,可点击 自定义 按钮(位于 使用安装包 字段。

    安装包的设置将显示在下方,您可以根据需要进行修改。有关编辑安装包的更多信息,请参阅 创建安装包 .

    若要将修改另存为新安装包,请选择 另存为安装包 选项(位于包设置列表底部),并为新安装包命名。

  13. 点击 保存 .

    随后将显示确认消息。

您可以在 网络 > 任务 页面查看和管理该任务。

若使用VMware Horizon View Persona Management,建议通过Active Directory组策略排除以下 Bitdefender 进程(无需完整路径):

  • bdredline.exe

  • epconsole.exe

  • epintegrationservice.exe

  • epprotectedservice.exe

  • epsecurityservice.exe

  • epupdateservice.exe

  • epupdateserver.exe

只要终端运行安全代理,这些排除项就必须生效。详情请参阅 VMware Horizon文档页面 .

为实时扫描准备Linux系统

Bitdefender终端安全工具 的Linux版本包含适用于特定Linux发行版和内核版本的实时扫描功能。更多信息请参阅 Linux 系统要求。

使用DazukoFS进行实时扫描的要求

要使DazukoFS与实时扫描协同工作,需满足一系列条件。请检查以下任一陈述是否适用于您的Linux系统,并遵循指南以避免问题。

  • SELinux策略必须禁用或设置为 宽松模式 。要检查和调整SELinux策略设置,请编辑 /etc/selinux/config 文件。

  • Bitdefender终端安全工具 仅兼容安装包中包含的DazukoFS版本。如果系统中已安装DazukoFS,请在安装 Bitdefender终端安全工具 .

  • DazukoFS支持特定内核版本。如果 Bitdefender终端安全工具 附带的DazukoFS包与系统内核版本不兼容,模块将无法加载。此时,您可以将内核更新至受支持版本,或为当前内核版本重新编译DazukoFS模块。您可以在 Bitdefender终端安全工具 安装路径中找到DazukoFS包: 

    /opt/bitdefender-security-tools/share/dazukofs-modules.tar.gz

  • 当使用NFS、UNFSv3或Samba等专用服务器共享文件时,需按以下顺序启动服务:

    1. 通过 控制中心 .

    2. 启动网络共享服务。

      对于NFS: 

      #service nfs start

      对于UNFSv3: 

      #service unfs3 start

      对于Samba: 

      #service smbd start

    重要提示

    NFS服务方面,DazukoFS仅兼容NFS用户服务器。

网络发现工作原理

除与Active Directory集成外, GravityZone 还包含自动网络发现机制,用于检测工作组终端。

GravityZone 依赖多种网络扫描技术执行网络发现。在Windows系统中,系统信息通过功能发现、Active Directory(当系统加入域时)等多渠道采集。因此,网络发现识别并报告的系统列表可能与 文件资源管理器 > 网络 中显示的机器列表存在差异(在运行网络探测器的机器上)。

在Linux系统中,网络发现依赖于 ARP 协议来探测局域网设备,并通过端口扫描实现可靠机器识别。

相比之下,macOS系统不会主动参与网络发现,但允许被探测。

要实现自动网络发现,需先在网络中至少一台Windows或Linux终端安装Bitdefender终端安全工具中继,并应用已勾选 自动发现新终端 的策略。该终端将用于扫描网络。

除自动网络发现外,还可通过选择任意受管理的Windows或Linux终端并应用 运行网络发现 任务来执行一次性网络发现。

重要说明

对于已加入域的Linux系统,Active Directory不作为信息来源。

BEST Relay 仅查询网络以获取工作站和服务器列表(称为浏览列表),然后将其发送至 控制中心 . 控制中心 处理该浏览列表,将新检测到的终端添加到其 非托管终端 列表中。

先前检测到的终端在新网络发现查询后不会被删除,因此您必须手动排除并删除已不在网络中的终端。

注意

BEST Relay 执行网络发现并与 控制中心 通过 epintegrationservice (Windows)和 epagng服务 (Linux)进行通信。

在macOS设备上,安全代理无法充当Relay。

浏览列表的初始查询由网络中首个安装的 BEST Relay 执行。

  • Relay 安装在工作组终端上,则其工作组将作为信息来源。

  • Relay 安装在域终端上,则其域将作为信息来源。只有来自该域及 Relay 所属网络的终端才会显示在 控制中心 。若与中继器安装所在域存在信任关系,则可检测到来自其他域的终端。 中继器

重要提示

网络发现功能会利用终端上所有可用信息源。例如,若某Windows终端运行了功能发现服务且已加入域,网络发现将同时从这两个来源获取数据。

当应用策略中勾选 自动发现新终端 时,系统将每4小时定期执行后续网络发现查询。每次新查询时, 控制中心 会将受管终端空间划分为可见性区域,并指派每个区域中的一台 中继器 执行该任务。

可见性区域是指能相互检测的终端群组。通常由工作组或域定义,但具体取决于网络拓扑和配置。某些情况下,一个可见性区域可能包含多个域和工作组。

若选定的 中继器 执行查询失败, 控制中心 将等待下一次计划查询,而不会选择其他 中继器 重试。

为实现完整网络可见性,应在网络每个工作组或域中至少一台终端上安装 中继器 ,并应用已勾选 自动发现新终端 的策略。理想情况下, Bitdefender终端安全工具 应在每个子网至少一台终端上安装。

网络发现将报告所发现终端的IPv4地址。

网络发现要求

为成功发现所有需从 控制中心 管理的终端(服务器和工作站),网络扫描技术需满足以下设置和服务要求:

Windows系统

  • 终端已加入工作组或域,并通过IPv4本地网络连接。

  • 媒体流功能已开启。

  • 控制面板 > 网络和共享中心 > 更改高级共享设置 部分中已启用网络发现功能。

  • 以下服务正在运行:

    • DNS客户端

    • 功能发现提供程序主机

    • 功能发现资源发布

    • SSDP发现

    • UPnP设备主机

  • 多域环境下,需配置域间信任关系且终端可访问其他域的浏览列表。

Linux系统

  • 运行由自定义wsdd服务实现的Web服务发现主机守护进程(适用于Ubuntu操作系统)。

Mac系统

  • 已启用文件共享功能。

注意

满足上述所有要求时可获得最佳发现效果(即发现最多终端)。

本节内容 :