跳至主内容

安装安全代理 - 使用场景

为工作站进行 Bitdefender终端安全工具 远程部署准备

要成功部署 Bitdefender终端安全工具 到目标系统,需满足以下先决条件:

  1. 操作系统要求

    • 目标终端必须满足最低系统要求。

      部分终端可能需要安装最新的操作系统服务包,或释放磁盘空间。

      请列出不符合必要要求的终端清单,以便将其排除在管理范围之外。

    • 通过Linux中继部署代理时,还需满足以下附加条件:

      • 中继终端必须已安装Samba软件包( smbclient )4.1.0或更高版本,同时安装 samba-client 依赖项及 samba-common 软件包,并具备 net 二进制文件/命令以部署Windows代理。

        注意

        net 二进制文件/命令通常随samba-client和/或samba-common软件包提供。在某些Linux发行版(如CentOS 7.4)中, net 命令仅在安装完整Samba套件(Common + Client + Server)时才会安装。请确保您的中继终端已启用 net 命令。

      • 目标Windows终端必须启用管理共享和网络共享功能。

      • 目标Linux和macOS终端必须启用SSH并关闭防火墙。

  2. 管理员权限

    安装需要管理员权限。请确保您已掌握所有终端所需的凭据。

    • 对于工作组环境中的目标终端 ,请使用具备管理员权限的用户凭据。

    • 对于已加入Active Directory域的目标计算机 ,请使用隶属于 域用户 组,并且同时是目标计算机本地 管理员 组的成员,或是 域管理员 组成员的账户。此外,请确保该用户不属于 受保护用户 组。

      若管理员需配置任务并提供属于域管理员安全组成员的用户部署凭据,可通过配置组策略对象(GPO)应用以下安全组设置:

      [计算机配置->策略->Windows设置->安全设置->本地策略->安全选项]

      策略

      设置

      用户账户控制: 管理员批准模式下管理员的提升提示行为

      不提示直接提升

      用户账户控制: 检测应用程序安装并提示提升

      禁用

      用户账户控制: 以管理员批准模式运行所有管理员

      启用

      1342_1.png

      注意

      作为安全最佳实践,部署周期完成后请将设置恢复为默认值。有关 用户访问控制 (UAC)默认配置,请参阅 微软官方文档 .

    • 对于Windows部署器与目标机 ,当部署使用目标机本地用户账户时,该用户必须是目标机本地 管理员 组成员。此外,必须禁用所有限制目标机远程操作的UAC设置。

      要禁用远程限制,请将注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy 注册表键值设置为1。

    • 对于Linux或macOS目标 ,用于部署的用户账户必须存在于 sudoers 文件中。

  3. 连接性要求

    您需要配置防火墙,在所有需要管理且需与 GravityZone 控制台建立网络连接的工作站和服务器上,允许以下安全组件使用的通信端口:

    • 443 GravityZone 控制台与 Bitdefender终端安全工具 之间的通信端口。该端口需在所有网络计算机上放行。

    • 7074 :通过 Bitdefender终端安全工具中继 .

      注意

      这些端口不得被网络中安装的其他应用程序占用。

    建议为中继服务器使用静态IP地址。若未设置静态IP,请使用机器主机名。

    • 确保启用 文件和打印机共享 协议。该服务使用TCP端口 139 , 445 及UDP端口 137 , 138 。要验证 文件和打印机共享 协议是否启用,您必须:

      1. 转到 开始 > 控制面板 > 网络和共享中心 .

      2. 识别已建立的网络连接并点击它。

      3. 点击 属性 .

        1342_4.png

    注意

    为确保连接成功:

    • 禁用Windows防火墙,或配置其允许通过 文件和打印机共享 协议的流量。要禁用Windows防火墙,请打开 控制面板 > Windows防火墙 并点击 关闭

    • 。允许ICMP流量(以便能成功PING通工作站)。

    要检查工作站是否正确配置,您必须:

    • PING对应工作站。

    • 尝试登录管理共享。

  4. 第三方安全软件移除

    从计算机上卸载(不仅是禁用)任何现有的反恶意软件、防火墙或互联网安全软件。安全代理与其他安全软件同时在终端上运行可能会影响其操作并导致系统出现重大问题。

    许多不兼容的安全程序在安装时会自动检测并移除。

    要了解更多信息并查看由 Bitdefender终端安全工具 检测到的安全软件列表(适用于Windows 7/Windows Server 2008 R2及更高版本的Windows操作系统),请参阅 Bitdefender终端安全工具 .

    如果您想在已安装 Bitdefender Mac版杀毒软件 的计算机上部署安全代理,必须先手动卸载后者。具体步骤请参考 在装有 Bitdefender Mac版杀毒软件 的机器上部署 Bitdefender终端安全工具 .

在Oracle-SAP系统上远程部署 BEST Linux版

本节介绍如何远程部署 BEST Linux版至Oracle-SAP系统。

在Linux Oracle系统上,由于SFTP服务限制无法通过SSH进行远程部署。此问题同样存在于Unbreakable Oracle系统。

解决方案:

  1. 编辑 sshd_config文件

  2. 查找以以下内容开头的行: Subsystem

  3. 注释并添加以下行: 子系统sftpinternal-sftp

为以下产品创建卸载密码 Bitdefender终端安全工具

概述

在某些情况下,拥有管理员权限的用户可能会卸载 Bitdefender终端安全工具 ( BEST ),导致系统失去保护。

您可以通过在 GravityZone 控制中心 .

警告

BEST Linux v7版本目前不支持卸载密码功能。

设置密码

您必须为以下情况设置卸载密码:

新部署

为保护未来部署的终端,请在部署前通过安装包设置卸载密码。

通过安装包设置卸载密码的步骤:

  1. 登录 GravityZone 控制中心 .

  2. 进入左侧菜单中的 网络 页面。

  3. 点击 安装包 部分。

  4. 点击您要安装的包或 创建新包 .

  5. 设置 中,勾选 设置卸载密码 复选框。

  6. 根据复杂度要求输入密码。

  7. 点击 保存

使用此包安装 BEST 到终端。该密码将阻止用户后续卸载代理程序。

现有安装

您可以通过策略保护网络中现有的终端。编辑应用于终端的策略以设置卸载密码。

若需为共享同一策略的不同终端组设置多个密码,请使用安装包的卸载密码设置功能。

通过策略配置卸载密码的步骤:

  1. 登录 GravityZone 控制中心 .

  2. 进入 策略 页面(通过左侧菜单)。

  3. 选择应用于终端的策略。

    若当前应用的是默认策略,则需创建并分配新策略。

  4. 前往 常规 > 设置 页面。

  5. 卸载密码配置 下,勾选 设置卸载密码 复选框。

  6. 根据复杂度要求输入密码。

  7. 点击 保存 .

确保将策略应用到目标终端。

注意

应用策略时,请确认已配置卸载密码。应用新策略将覆盖安全代理上的所有现有设置。

在装有 Bitdefender终端安全工具 的机器上部署 Bitdefender Mac版杀毒软件

本文介绍如何将 Bitdefender终端安全工具 商业产品部署到已安装 Bitdefender Mac版杀毒软件(消费者版)的机器。

若选择用 Bitdefender 终端安全工具替换 Mac版杀毒软件 请注意,只有在手动移除消费级产品后,才能部署后者。

这是因为 Bitdefender Mac版杀毒软件配备了防篡改保护模块,该组件会阻止任何可能影响产品完整性的外部操作,使得通过静默部署或手动安装的卸载过程无法完成。

要在已安装 Bitdefender终端安全工具 的机器上部署 Bitdefender Mac版杀毒软件,请按照以下步骤操作:

  1. 手动移除 Bitdefender Mac版杀毒软件,使用 Bitdefender 官方卸载工具。

    有时,标准的 Bitdefender 卸载工具可能会失败,或者 Bitdefender Mac版杀毒软件在其默认位置不存在。这种情况下,必须使用磁盘工具。

  2. 重启您的Mac。

  3. 按照 Bitdefender终端安全工具 常规部署流程操作,遵循 此处 .

通过Jamf Pro安装 Bitdefender终端安全工具 Jamf Pro(原Casper Suite)是一款专为Apple平台开发的macOS和iOS管理软件,提供包括软件包构建、库存管理、镜像管理、远程镜像、远程更新、iOS移动设备管理以及自动化支持强大框架在内的广泛功能。

本文介绍如何安装

Bitdefender终端安全工具 Bitdefender终端安全工具 通过Jamf Pro在macOS计算机上安装

Bitdefender终端安全工具 通过Jamf Pro 10.x安装

本节介绍如何远程部署 Bitdefender终端安全工具 通过Jamf Pro 10.x。

准备工作

安装完成后 Bitdefender终端安全工具 ,用户必须在其Mac上批准 Bitdefender 系统扩展。在用户批准 Bitdefender 扩展之前,部分功能将无法使用。详情请参阅 Bitdefender 系统扩展在macOS中被阻止 .

作为管理员,您可以通过在Jamf Pro等移动设备管理工具中将 Bitdefender 扩展加入白名单进行预批准,从而避免用户干预。详情请参阅 白名单设置 Bitdefender 扩展在Jamf Pro 10.x中 .

要通过Jamf Pro安装,您有以下选择:

  • 使用macOS下载器 ,该工具可检测处理器架构并自动下载安装适用于Intel或Apple M1的对应套件。

    推荐在混合处理器环境中使用此选项以节省时间和精力。

  • 手动下载并安装完整的macOS套件 ,注意根据您的处理器架构(无论是Intel还是Apple)选择正确的安装包。

mac-downloader.png

注意

  • 以下步骤基于Jamf Pro 10.5版本界面描述。后续版本的Jamf Pro界面可能存在差异。

  • 本节截图仅供参考,实际界面可能因Jamf Pro版本和设置而有所不同。

使用macOS下载器安装 Bitdefender端点安全工具

您可以使用 macOS下载器 在配备Intel或Apple处理器的计算机上安装 Bitdefender端点安全工具 。此场景下,macOS下载器将在安装过程中自动下载完整套件。

注意

目标计算机必须能够访问 GravityZone 或中继服务器才能下载macOS套件。

  1. GravityZone 控制中心 中,请确保已在 网络 > 安装包

  2. 点击页面顶部的 下载 按钮。

  3. 从下拉菜单中选择 macOS下载器 并将 setup_downloader.dmg 文件保存至本地。

  4. 双击 setup_downloader.dmg 以查看内容。

    img-02-setup-downloader-mac.png

  5. SetupDownloader.appinstaller.xml 拖拽至文件夹。例如: /Users/Shared .

  6. 将包含文件的文件夹拖入Jamf Composer,并创建DMG或PKG格式的安装文件。

  7. 登录Jamf Pro。

  8. 在控制台右上角点击 设置 。确保计算机具有 用户批准的MDM 状态。

  9. 点击 计算机管理 ,然后选择 软件包 .

    通用 标签页中,可编辑 显示名称 字段。

    img-03-setup-downloader.png

  10. 将安装文件上传至Jamf Pro。

  11. 在左侧菜单中,前往 策略 并为安装文件创建策略。

    img-04-new-policy.png

  12. 前往 软件包 > 配置 并选择先前上传的软件包。

    操作 设置为 安装 .

    jamf_policy_install_68372_en.png

  13. 点击 脚本 并配置 文件与进程 负载。

  14. 脚本 标签页中输入以下命令: 

    /Users/Shared/SetupDownloader.app/Contents/MacOS/SetupDownloader --silent
    img-06-script-setup.png

  15. 将策略分配给计算机并点击 保存 .

使用完整的macOS套件安装 Bitdefender端点安全工具

安装 Bitdefender端点安全工具 时若使用完整套件,必须注意所选版本。不可在Apple芯片的Mac上安装Intel版macOS套件,反之亦然。

  1. GravityZone 控制中心 中,请确保已配置好安装包于 网络 > 安装包

  2. 点击 下载 页面顶部的按钮。

  3. 在下拉菜单中,选择 macOS套件(Intel x86) macOS套件(Apple M1) .

    由于文件体积较大,下载对应文件所需时间比 macOS下载器 更长。

  4. 双击 Bitdefender_for_MAC.dmg (Intel文件)或 Bitdefender_for_MAC_ARM.dmg (Apple M1文件)以查看内容。

    13945_3.png

  5. antivirus_for_mac.pkginstaller.xml 拖至同一文件夹。例如: /Users/Shared .

  6. 将包含这些文件的文件夹拖入Jamf Composer,创建DMG或PKG格式的安装文件。

  7. 登录Jamf Pro。

  8. 在控制台右上角点击 设置 。确保计算机具有 用户批准的MDM 状态。

  9. 点击 计算机管理 ,然后选择 软件包 .

    通用 选项卡中,可编辑 显示名称 文件名 字段。

    13945_4.png

  10. 将安装文件上传至Jamf Pro。

  11. 在左侧菜单中,进入 策略 并为安装文件创建策略。

    13945_5.png

  12. 策略 > 软件包 中选择安装文件,并将 操作 设置为 安装 .

    13945_6.png

  13. 点击 脚本 并配置 文件与进程 有效载荷。

  14. 脚本 选项卡中输入以下命令: 

    installer -pkg /Users/Shared/antivirus_for_mac.pkg -target /
    13945_7.png

  15. 将策略分配给计算机并点击 保存 .

注意

在Jamf Pro部署过程中,若通过Jamf Pro脚本部署SSL证书失败,该流程完全由Jamf管理。若通过 Bitdefender 代理GUI手动部署或信任SSL证书成功,则问题可能与Jamf Pro SSL部署脚本相关。此类情况下,请联系Jamf支持团队获取进一步协助。

配置Jamf Pro以部署 BEST 至macOS Big Sur 11.0或更高版本

Bitdefender端点安全工具 ( BEST )在macOS Big Sur 11.0或更高版本上部署时,需在Jamf Pro中创建配置描述文件。需在该文件中预先批准以下内容:

  • Bitdefender 系统扩展

  • 流量代理

  • 全盘访问权限

所有批准均为确保 Bitdefender端点安全工具 正常运行所必需,无需终端用户交互操作。

Bitdefender 系统扩展

首先需创建配置描述文件,预先批准 Bitdefender 系统扩展。

创建配置文件的步骤如下:

  1. 登录Jamf Pro。

  2. 转到 计算机 > 配置描述文件 并点击 新建 .

  3. 在新配置文件的左侧菜单中,向下滚动至 系统扩展 .

  4. 点击 配置 .

  5. 允许的团队ID和系统扩展 下,配置以下设置:

    • 显示名称 下,输入 Bitdefender

    • 系统扩展类型 下拉列表中,选择 允许的系统扩展 .

    • 团队标识符 ,输入 GUNFMW623Y

    • 允许的系统扩展 下,输入以下字符串: com.bitdefender.cst.net.dci.dci-network-extension

    jamf_bitdefender_extension_allowed_92066_en.png

  6. 点击 + (加号)按钮以配置允许在必要时卸载 Bitdefender 安全代理的设置。

  7. 在新的 允许的团队ID和系统扩展 表单中,配置以下设置:

    • 显示名称 下,输入 Bitdefender

    • 系统扩展类型 下拉列表中,选择 可移除系统扩展 .

    • 团队标识符 下,输入 GUNFMW623Y

    • 可移除系统扩展 下,输入以下字符串: com.bitdefender.cst.net.dci.dci-network-extension

    jamf_bitdefender_extension_removable_92066_en.png

  8. 点击 保存 .

完整的配置配置文件应如下图所示。

jamf_bitdefender_extension_profile_92066_en.png

流量代理

BEST 使用隧道应用程序(如VPN)来过滤流量。

要预先批准此应用程序,请按照以下步骤操作:

  1. 在配置文件的左侧菜单中,转到 内容过滤器 .

  2. 过滤器名称 下,输入 Bitdefender .

  3. 标识符 下,输入 com.bitdefender.epsecurity.BDLDaemonApp .

  4. 网络过滤器 下,输入以下字符串:

    • 对于 网络过滤器捆绑标识符 :

      com.bitdefender.cst.net.dci.dci-network-extension

    • 对于 网络过滤器指定要求 :

      锚点苹果通用标识符"com.bitdefender.cst.net.dci.dci-network-extension"且(证书叶[field.1.2.840.113635.100.6.1.9]/*存在*/或证书1[field.1.2.840.113635.100.6.2.6]/*存在*/且证书叶[field.1.2.840.113635.100.6.1.13]/*存在*/且证书叶[subject.OU]=GUNFMW623Y)

    002-content-filter.png

  5. 点击 保存 .

全磁盘访问

要为 Bitdefender终端安全工具 启用全磁盘访问,请按以下步骤操作:

  1. 在配置文件的左侧菜单中,转到 隐私偏好策略控制 .

  2. 您需要为以下应用程序允许完全访问权限:

    • BDLDaemon.app

      1. 标识符 下方输入:

        com.bitdefender.epsecurity.BDLDaemonApp

      2. 标识符类型 下选择 套件ID .

      3. 代码要求 下输入:

        锚点苹果通用标识符"com.bitdefender.epsecurity.BDLDaemonApp"且(证书叶[field.1.2.840.113635.100.6.1.9]/*存在*/或证书1[field.1.2.840.113635.100.6.2.6]/*存在*/且证书叶[field.1.2.840.113635.100.6.1.13]/*存在*/且证书叶[subject.OU]=GUNFMW623Y) .

      4. 点击 点击 屏幕右侧的

      5. 应用或服务 下选择 SystemPolicyAllFiles 从下拉列表中。确保 访问权限 设置为 允许 .

      6. 点击 保存 .

    • EndpointSecurityforMac.app

      重要提示

      从7.16.42.200020版本开始,代理程序不再需要为 EndpointSecurityforMac 进程授予全磁盘访问权限。

      1. 点击 + 按钮在屏幕右侧以添加另一个模板。

      2. 标识符类型 下选择 Bundle ID .

      3. 标识符 下输入:

        com.bitdefender.EndpointSecurityforMac

      4. 代码要求 下输入:

        标识符"com.bitdefender.EndpointSecurityforMac"且锚定苹果通用证书1[field.1.2.840.113635.100.6.2.6]/*存在*/以及叶子证书[field.1.2.840.113635.100.6.1.13]/*存在*/且叶子证书[subject.OU]=GUNFMW623Y

      5. 点击 添加 屏幕右侧的按钮。

      6. 应用或服务 下选择 SystemPolicyAllFiles 从下拉列表中。确保 访问权限 设置为 允许 .

      7. 点击 保存 .

        003-disk-access.png

  3. 点击 保存 .

有关 Bitdefender终端安全工具 在macOS Big Sur中所需审批的详细信息,请参阅 macOS Big Sur及更高版本中 Mac终端安全 的变更:网络扩展、代理配置和SSL证书 .

要安装 Bitdefender端点安全工具 通过Jamf Pro 10.x,在创建配置描述文件后,请参考 安装 Bitdefender端点安全工具 通过Jamf Pro .

白名单设置 Bitdefender 在Jamf Pro 10.x中的扩展

本文说明如何在Jamf Pro 10.x中将 Bitdefender 扩展加入白名单。

在手动或远程安装 Bitdefender端点安全工具 ( BEST )后,macOS会提示用户批准 Bitdefender 扩展。若用户未批准 Bitdefender 扩展,部分 BEST 功能将无法使用。详情参见 Bitdefender 系统扩展在macOS中被阻止 .

您可以通过白名单预批准 Bitdefender 扩展,从而避免用户手动操作 Bitdefender 扩展程序可通过移动设备管理工具(如Jamf Pro)进行预批准。此功能自macOS 10.13.2和Jamf Pro 10.3.0版本起支持。

白名单设置流程 Bitdefender 扩展程序需在Jamf Pro 10.x中创建并应用MDM配置描述文件。

注意

目标计算机必须具有 用户批准的MDM 状态。

有关用户批准MDM的详细信息,请参阅以下文章:

如何创建MDM配置描述文件

要为 Bitdefender 扩展程序创建白名单MDM配置描述文件,请按以下步骤操作:

  1. 登录Jamf Pro。

  2. 进入 计算机 > 配置描述文件 > 新建 .

  3. 向下滚动至 已批准的内核扩展 .

  4. 输入 显示名称 团队ID .

    Bitdefender 团队ID为 GUNFMW623Y .

    15210_1.png

    注意

    无需单独指定需要批准的扩展项。

  5. 保存更改。

  6. 将配置文件部署到目标计算机。

重要提示

若部署至macOS Big Sur(版本11)或更高版本系统,请勿在同一配置文件中包含内核扩展。否则尝试安装配置文件时将出现以下错误:

"当前系统配置不允许执行该操作"

解决方案:

  • 若目标设备运行macOS Big Sur或更高版本,请从当前配置文件中移除内核扩展。

  • 为内核扩展单独创建配置文件。

通过Jamf Pro为 Bitdefender终端安全工具 部署SSL证书

在Mac端安装完成后, Bitdefender终端安全工具 ( BEST )需配置SSL证书才能正常运行。为确保 Bitdefender 代理能正常加载使用证书,通过Jamf Pro部署时需注意:

  • Bitdefender终端安全工具 安装包必须配置卸载密码。

    必须在macOS终端生效的策略中指定卸载密码,否则证书部署可能失败。

  • 您需要使用卸载密码的MD5哈希值创建PFX证书(使用PEM和KEY文件)。

  • 必须通过 配置描述文件 将PFX证书安装到目标计算机上,该描述文件来自Jamf Pro。

  • 您需要通过Jamf Pro策略将相同的PFX证书部署到目标计算机的 /Library/DeployCert 路径下。建议部署到 /Library/DeployCert 路径的证书仅对 root 用户具有 权限。

当PFX证书完成安装、被钥匙串信任并部署到 /Library/DeployCert , BEST 将使用该证书进行中间人攻击防护,本地用户不再会收到安装SSL证书的提示。

通过Jamf Pro部署到 /Library/DeployCert 的证书优先级高于 Bitdefender CA SSL证书(该证书先前已安装且被钥匙串信任)。按照此流程操作后, BEST 将停止使用 Bitdefender CA SSL证书,转而加载新证书。

如何部署SSL证书

对于现有的 BEST 安装环境,或在新代理部署开始前,您可以执行以下步骤。

  1. GravityZone 控制中心 中,为需要部署证书的终端所应用的策略设置卸载密码。

    要设置卸载密码,请进入策略中的 常规 > 设置 部分。 了解更多 .

  2. 生成带有关联私钥的PEM证书。

    创建PEM证书的命令行示例: 

    /usr/bin/openssl req -new -days 1825 -nodes -x509 -subj '/C=RO/ST=Bucharest/L=Bucharest/O=Endpoint/CN=NewName
CA SSL' -keyout rootCA.key -out rootCA.pem

    注意

    创建证书时,必须使用唯一的通用名称(CN)。 BitdefenderCASSL 是默认证书名称,必须替换且不可重复使用以避免冲突。例如: CN=MyCertificateCASSL .

  3. 使用上一步的PEM和KEY文件生成名为 certificate.pfx 的PFX证书。

    注意

    证书名称必须为 certificate.pfx 若证书名称不同,部署将失败。

    该证书需设置为始终信任,并通过 GravityZone .

    可通过终端命令 md5-s'密码' 或其他MD5计算工具生成MD5值。例如字符串 1234 的MD5值为 81dc9bdb52d04dc20036dbd8313ed055 .

    创建 certificate.pfx 文件的命令行示例: 

    openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out certificate.pfx

    此时需输入导出密码(即卸载密码的MD5哈希值)。

    certificatePFXcommand.png

  4. 在Jamf中创建 配置描述文件 并上传预先配置好的 certificate.pfx 文件。

    jamf_certificate_upload_144052_en.png

  5. 将策略分配给目标计算机后,证书将以始终信任状态安装至钥匙串。

  6. 创建 /Library/DeployCert 文件夹,并将 certificate.pfx 文件复制到 /Library/DeployCert .

    使用 Jamf Composer 创建一个包含 /Library/DeployCert/certificate.pfx .

  7. 在Jamf中,进入 计算机管理 > 软件包 并上传上一步生成的PKG文件。

    img-04-upload-certificate.png

  8. 同样在Jamf中,前往 策略 并创建新策略。

    img-05-new-policy.png

  9. 配置先前上传的软件包,将 操作 设为 安装 并分配该策略。

    随后 certificate.pfx 文件将被部署至目标计算机。

    jamf_policy_install_68372_en.png

通过Kandji为 Bitdefender终端安全工具 部署SSL证书

在Mac上安装后, Bitdefender终端安全工具 需要SSL证书才能正常运行。此时, Bitdefender 代理会提示本地用户安装证书以启用SSL保护。

以下是使用Kandji平台安装证书时需注意的事项:

  • 用于部署的安装包在 GravityZone .

  • 您需使用该卸载密码的MD5哈希值创建PFX证书,并通过Kandji的配置配置文件将其安装到目标设备上。

  • 请将相同的PFX证书部署至设备的以下路径: /Library/DeployCert .

安装SSL证书的步骤如下:

  1. Bitdefender终端安全工具 GravityZone 中创建带卸载密码的安装包。具体操作请参考 《安全代理安装标准流程》 .

  2. 在终端中创建包含关联私钥的PEM证书。

    创建PEM证书的示例命令行: 

    /usr/bin/openssl req -new -days 1825 -nodes -x509 -subj
'/C=RO/ST=Bucharest/L=Bucharest/O=Endpoint/CN=YourCertName CA SSL' -keyout
rootCA.key -out rootCA.pem

    注意

    请确保所创建证书的名称(命令行中CN参数值)与默认证书名称"Bitdefender CA SSL"不同。例如: CN=MyCertificateCASSL

  3. 在终端中,使用上一步生成的PEM和KEY文件创建名为 certificate.pfx 的PFX证书。

    该证书需设置为始终信任,并用 GravityZone .

    创建 certificate.pfx 文件的示例命令行: 

    openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out certificate.pfx

  4. 在此步骤中,终端会提示输入密码。请确保输入的是 Bitdefender Endpoint Security Tools 安装包中设置的卸载密码的MD5哈希值。

    可通过命令 md5-s'password' 在终端或其他MD5计算工具中计算。例如字符串 1234 的MD5值为 81dc9bdb52d04dc20036dbd8313ed055 .

  5. 在Kandji中进入 资源库 > 新增 > 证书 .

  6. 点击 添加并配置 创建证书配置文件,将PFX证书推送至计算机。

  7. 选择分配证书的 蓝图

  8. 指定证书详细信息:

    • 证书类型 中选择 PKCS #12格式证书 .

    • 添加证书名称。

    • 输入证书密码,该密码与 Bitdefender 卸载密码的MD5哈希值相同。

  9. PFX证书还需部署到本地计算机的以下路径: /Library/DeployCert

    为此,请将此证书以ZIP压缩包形式添加到 Bitdefender终端安全工具 安装包中。

  10. 可稍作调整Kandji安装后脚本,添加将证书放置到正确位置所需的步骤。

    示例: 

    # 创建DeployCert文件夹

mkdir -p /Library/DeployCert

 

# 将证书移至DeployCert文件夹

mv /var/tmp/certificate.pfx /Library/DeployCert/

 

# 调整权限

chmod -x /Library/DeployCert 

chmod +w /Library/DeployCert

当PFX证书完成安装、在钥匙串中受信任并部署至 /Library/DeployCert , Bitdefender终端安全工具 将使用该证书进行中间人攻击防护,本地用户不再会收到安装SSL证书的提示。

通过Kandji部署到 /Library/DeployCert 的证书将优先于钥匙串中已安装且受信任的 BitdefenderCASSL 证书。按照此流程操作后, Bitdefender终端安全工具 将停止使用 BitdefenderCASSL 并转而加载新证书。

通过MSI包安装 Bitdefender终端安全工具 Bitdefender终端安全工具

Bitdefender终端安全工具 ( BEST ) GravityZone 安全代理采用单一安装包适配所有环境(物理或虚拟)。在Windows系统中, GravityZone 提供的安装包仅以 .EXE 格式的可执行工具包形式分发。若需通过Windows组策略或支持MSI包的其他第三方应用程序部署代理,此方式可能不便。

解决方案是为Windows Downloader(BEST的标准轻量安装程序)添加MSI封装层。本节提供下载安装程序的指南,以及通过MSI包部署 BEST 的若干方法。 BEST 的若干方法。

获取Windows Downloader

警告

  • 切勿修改Windows Downloader文件名,否则将无法从 Bitdefender 服务器下载安装文件。

  • 由于Microsoft Edge可能截断长文件名(如Windows Downloader),建议使用其他浏览器。

下载 BEST 安装程序需执行以下操作:

  1. 登录 GravityZone 控制中心 .

  2. 转至 网络 > 安装包 页面。

  3. 选择您需要下载的安装包。

    重要提示

    当前流程不支持带有代理设置的安装包。

  4. 点击 下载 表格上方的 Windows下载器 .

    安装包将以 .EXE 文件形式保存至默认下载位置。

部署 BEST 使用Microsoft端点配置管理器(SCCM)

重要提示

本流程不支持带有代理设置的安装包。

要通过SCCM部署 BEST 请按以下步骤操作:

1. 获取安装程序哈希值

可通过以下任一方式完成:

发送下载链接

  1. 登录 GravityZone 控制中心 .

  2. 进入 网络 > 安装包 页面。

  3. 展开 安装链接 区域。

  4. 从方括号[ ]之间提取安装程序哈希值并保存。

    sccm2.JPG

  5. 选择要部署的安装包。

  6. 点击 发送 下载链接。

Windows下载器

警告

  • 请勿修改Windows下载器的文件名,否则将无法从Bitdefender服务器下载安装文件。

  • 由于Microsoft Edge可能会截断长文件名(如Windows下载器的文件名),建议使用其他浏览器。

要下载 BEST 安装程序,您必须:

  1. 登录 GravityZone 控制中心 .

  2. 转到 网络 > 安装包 页面。

  3. 选择要部署的安装包。

  4. 点击 下载 在表格上方点击 Windows下载器 .

  5. 从方括号[ ]之间提取安装程序哈希值并保存。

    sccm3.JPG

2. 创建安装MSI包

  1. 下载 MSI封装工具 .

    BESTmsi.PNG

  2. 将MSI文件从Configuration Manager复制到软件库共享。

  3. 转到 Configuration Manager > 软件库 > 应用程序

    sccm1.JPG

  4. 点击 创建应用程序 按钮。

  5. 定位MSI封装文件并点击 下一步 .

    newsccm4.JPG

  6. 等待信息导入完成后点击 下一步 .

  7. 常规信息 页面中,向安装程序命令行添加以下参数: 

    msiexec /i "BEST_downloaderWrapper.msi" /qn GZ_PACKAGE_ID=安装包哈希值REBOOT_IF_NEEDED=1

    编辑后的命令行应如下所示: 

    msiexec /i "BEST_downloaderWrapper.msi" /qn GZ_PACKAGE_ID=aHR0cHM6Ly9jbG91ZGd6LWVjcy5ncmF2aXR5em9ucS5iaXRkZWZlbmRlci5jb20vUGFja2FnZXMvQlNUV0lOLzAvcV9Ib0VML2luc3RhbGxlci54bWw-bGFuZz1lbi1VUw== REBOOT_IF_NEEDED=1

  8. 安装行为 下,选择 若资源为设备则为系统安装;否则为用户安装 .

    newsccm5.JPG

  9. 点击 下一步 以应用设置。

  10. 检查信息并点击 下一步 以创建应用程序。

  11. Bitdefender终端安全工具 将显示在应用程序列表中。

    sccm6.JPG

3. 部署安装包

  1. 右键点击应用程序并选择 部署 .

    sccm7.JPG

  2. 点击 浏览 并指定集合为 所有系统 。点击 下一步 .

    sccm8.JPG

  3. 要添加分发点,请点击 添加 并选择您的分发点。

    sccm9.JPG

  4. 操作 中,选择 安装 。在 目的 中,选择 必需 .

    sccm10.JPG

  5. 点击 下一步

  6. 安排部署并点击 下一步 .

    sccm11.JPG

  7. 配置 用户通知 并点击 下一步 .

    sccm12.JPG

  8. 指定警报选项并点击 下一步 .

    sccm13.JPG

  9. 确认设置并点击 下一步 .

    sccm14.JPG

  10. 等待操作完成并点击 关闭 .

    sccm15.JPG

您可以在SCCM下查看按设备数量递增的部署:

sccm16.JPG

如需查看已部署应用程序的信息,请转至 监控 > 部署 在控制台左侧:

sccm17.JPG

部署 BEST 通过msiexec.exe命令行

此方法适用于接受带参数指令的命令行部署工具。该方法使用 msiexec 命令,以MSI封装器和安装程序ID作为参数。该MSI封装器由 Bitdefender .

注意

当前流程不支持含代理设置的安装包。

  1. 登录 GravityZone 控制中心 .

  2. 选择要下载的安装包。

  3. 点击 下载 在表格上方并选择 Windows下载器 .

    安装包将保存至默认下载位置,格式为 .EXE 文件。

  4. 下载 MSI封装器 .

  5. 以管理员身份 打开命令提示符

  6. 运行以下命令部署 BEST :

    msiexec/i"完整路径\BEST_downloaderWrapper.msi"/qnGZ_PACKAGE_ID=字符串 REBOOT_IF_NEEDED=1 参数

    其中:

    • 完整路径 指MSI封装器的实际路径。

    • 字符串 指与Windows下载器名称中包含的加密字符串相同。

    • 参数 (可选)- 在部署 BEST 覆盖竞争对手产品时重启机器。

      1 = 真

      系统将在重启前向用户发送10分钟倒计时通知。

    例如:

    msiexec/iC:\MyDownloads\BEST_downloaderWrapper.msi/qnGZ_PACKAGE_ID=aHR0cH-bGFuZz1lbi1VUw==REBOOT_IF_NEEDED=1

    本例中 GZ_PACKAGE_ID 的值为: aHR0cH-bGFuZz1lbi1VUw== .

    注意

    示例中的字符串仅用于说明目的。实际字符串不同且更长。

Jamf Pro终端安装 Bitdefender端点安全工具 (适用于macOS)

要通过Jamf Pro远程安装 Bitdefender端点安全工具 ,请按以下步骤操作:

  1. 将PKG文件复制到目标计算机。

  2. 在终端中运行以下命令: 

path/to/Installer.app/Contents/MacOS/InstallationDeployer --install installer -pkg /path/to/the_package_to_be_installed.pkg -target /

Installer.app/Contents/MacOS/InstallationDeployer 是Jamf Pro中用于安装PKG文件的应用程序。

在Linux虚拟机上手动安装 Bitdefender端点安全工具

本节介绍如何从 GravityZone 云环境中手动为Linux虚拟机安装 GravityZone 安全代理。

要求和前提条件

安装前请检查 Linux系统上的安全代理要求 .

授权

Linux终端设备从服务器操作系统的许可证池中占用许可席位 服务器操作系统 .

安装

该流程包括如何将安装包下载至目标机器、解压归档文件并通过终端会话手动安装。

  1. GravityZone 控制中心 中,前往 网络 > 安装包 .

  2. 选择需要使用的安装包。若无可用安装包,请创建并选择。

  3. 点击页面顶部的 发送下载链接 按钮。

    10359_5.png

  4. 在对应字段输入用于下载安装包的邮箱地址,然后按下 回车键 。您需要从待安装安全代理的虚拟机访问该邮箱账户。

  5. 点击 发送 。几分钟后,包含安全代理下载链接的预设邮件将发送至指定地址。

  6. 连接到待安装安全代理的Linux虚拟机,并访问之前使用的邮箱账户。

  7. 打开来自 Bitdefender 的邮件,点击Linux安装程序链接以下载安装包至虚拟机。

    注意

    安装程序会首先从 Bitdefender 云服务器下载完整安装包。该安装包体积较小,可同时运行于32位和64位系统。

  8. 使用具备管理员权限的账户在Linux虚拟机上打开终端会话。

  9. 运行以下命令解压并执行安装程序:

    cd/root

    tar–xvffullKit_unix64.tar

    chmod+xinstaller

    ./installer

    注意

    cd/root 命令仅作为指定虚拟机文件夹的示例(您需将下载的安装包转移至此)。上述包名同样为示例,您必须输入实际下载的特定包名称。

  10. Bitdefender终端安全工具 将在几分钟内完成Linux版安装。要验证终端是否已安装代理程序,请运行以下命令:

    /opt/bitdefender-security-tools/bin/bdstatus

安全代理安装完成后数分钟内,该终端将作为受管设备显示在 GravityZone 网络清单中。

使用非root用户凭证安装 Bitdefender终端安全工具

在与 控制中心 集成的环境中,您可通过安装任务远程部署 Bitdefender终端安全工具 。此类任务要求目标系统具备管理员权限。在Linux系统上,您可提供具有管理访问权限的root或非root用户凭证。

要通过非root用户安装 BEST ,请按以下步骤操作:

  1. 在每个目标系统上:

    1. root 身份运行以下命令,安全编辑/etc/sudoers配置文件:

      #visudo

    2. 输入I启用编辑模式。

    3. 确保您的用户可以通过sudo命令执行软件包安装:

      1. 定位以下行:

        rootALL=(ALL)ALL

        后续行中应存在与上述内容类似但包含用户名的条目。

      2. 若未找到相应用户的行,请按如下格式添加:

        usernameALL=(ALL)ALL

        此设置授予用户对所有需要 root 权限的命令使用sudo的权限。

    4. 注释以下行:

      Defaultsrequiretty

      Defaultstargetpw

      Defaultsrunaspw

      Defaultsrootpw

      Defaults!visiblepw

    5. 保存文件并退出:按ESC键后输入:wq。

  2. 控制中心 中,按照 安装 Bitdefender端点安全工具 于Linux虚拟机的手动部署步骤操作 .

    当提示输入凭证时,请提供非root用户的认证信息。

配置Faronics Deep Freeze以兼容 Bitdefender端点安全工具

本文说明如何配置Faronics Deep Freeze企业版以允许安装 Bitdefender端点安全工具 .

Faronics Deep Freeze 通过使计算机配置坚不可摧,有效消除设备损坏和停机问题。一旦在计算机上安装Deep Freeze,任何对设备的更改——无论意外还是恶意——都将不会永久保留。该方案能即时免疫当今计算机常见的诸多问题:不可避免的配置偏移、意外的系统错误配置、恶意软件活动以及系统性能的渐进性退化。

概述

在计算机上安装Faronics Deep Freeze企业版会导致 BEST 安装的特征码更新在每次系统重启时被删除。

本节旨在指导您配置Faronics Deep Freeze企业版,使其与 BEST 协同工作时不会阻断以下功能:

  • 系统重启后的特征码更新

  • 来自 控制中心

  • 的策略分配 BEST产品更新

安装 BEST 与Faronics Deep Freeze企业版

您有两种安装 BEST :

  • 手动配置

  • 脚本配置

手动配置

  1. 在您网络的服务器上安装Faronics Deep Freeze企业版8或更高版本。

  2. 使用Deep Freeze配置管理工具设置密码并新建一个最小容量为 T:\ 的分区(例如: 1.5GB )作为解冻空间。该空间将保存Deep Freeze运行状态下系统重启后仍需保留的文件。

  3. 在Deep Freeze配置管理工具中,转至 文件 > 创建工作站安装程序 并为受Deep Freeze保护的系统创建安装包。

  4. 在目标机器上安装新创建的软件包。

  5. 打开Deep Freeze企业版并勾选 启动解冻 复选框(位于 启动控制 选项卡)。此选项将在下次重启时禁用Deep Freeze,以便您安装Faronics Data Igloo和 BEST .

  6. 重启目标机器。

  7. 安装Faronics Data Igloo。

  8. 在目标机器上,按Win + R打开 运行 窗口。

  9. 输入 regedit 并按Enter键打开注册表编辑器。

  10. 创建以下注册表项: HKEY_LOCAL_MACHINE\Software\Bitdefender .

  11. 使用Faronics Data Igloo,将 HKEY_LOCAL_MACHINE\Software\Bitdefender 项的目标更改为位于 T:\ 分区的文件夹。

  12. 在包含操作系统的分区上创建以下文件夹:

    • %ProgramFiles%\Bitdefender\端点安全\签名库

    • %ProgramFiles%\Bitdefender\端点安全\威胁扫描器

    • %ProgramFiles%\Bitdefender\端点安全\设置

    • %ProgramFiles%\Bitdefender\端点安全\epagng

  13. 使用 文件夹重定向 选项卡(位于Faronics Data Igloo中),将这三个文件夹重定向至 T:\ 分区中的某个文件夹。

  14. 在目标计算机上安装 BEST

脚本配置

  1. 在您网络中的服务器上安装Faronics Deep Freeze企业版8或更高版本。

  2. 使用Deep Freeze配置管理工具设置密码并新建一个最小容量为 T:\ )作为解冻空间(thawspace)。解冻空间包含在Deep Freeze激活状态下系统重启后需保留的文件。 1.5 GB 的分区(例如:

  3. 在Deep Freeze配置管理工具中,转至 文件 > 创建工作站安装程序 并创建用于Deep Freeze保护系统的安装包。

  4. 在目标计算机上安装新创建的包。计算机将自动重启。

  5. 打开Deep Freeze企业版,勾选 启动解冻 复选框(位于 启动控制 选项卡)。此选项将在下次重启时禁用Deep Freeze,以便您安装Faronics Data Igloo。 BEST .

  6. 重启目标计算机。

  7. 安装Faronics Data Igloo。

  8. Bitdefender 下载重定向脚本 此处 .

  9. 从压缩包中提取VBS脚本文件并运行。

    注意

    在启用了 用户账户控制 的操作系统上,请以管理员身份打开 命令提示符 (cmd.exe)并通过命令行运行脚本。

  10. 在目标计算机上安装 BEST

运行 BEST 产品更新

重要提示

在此过程中,目标系统将重启两次。

要成功运行 BEST 产品更新:

  1. 将目标计算机切换至 启动解冻 模式。Deep Freeze需重启才能进入 启动解冻 模式。

  2. 运行 更新 任务,通过 控制中心 。此外,您也可以从本地控制台运行更新。

    注意

    在某些情况下, BEST 可能要求目标机器重新启动。

  3. 登录 控制中心 ,通过生成 更新状态 报告来确认产品更新已成功安装。

  4. 将目标机器切换至 启动冻结 模式。Deep Freeze 将需要重新启动以进入 启动冻结 模式。

macOS Big Sur 及更高版本中 Mac 终端安全 的变更:网络扩展、代理配置及 SSL 证书

从 macOS Big Sur 开始,苹果采用了影响 Mac 终端安全 代理行为的技术。

具体而言,苹果已将以内核扩展形式存在于旧版 macOS 中的组件替换为运行在用户空间的系统扩展。因此, Bitdefender 已将 Mac终端安全防护 也从内核扩展转向了系统扩展。其中有一个系统扩展需要用户特别注意:网络扩展。

为了正常运行, Mac终端安全防护 的部分功能或网络组件( 内容控制 模块中的反钓鱼、流量扫描和网络访问控制,以及 EDR 传感器)需要用户授予以下权限:

  • 网络扩展的批准

  • 用于过滤互联网流量的隧道应用程序的批准

  • SSL证书的批准

如果网络扩展、隧道应用程序和SSL证书未获批准, Mac终端安全防护 会每隔三小时显示警告信息。

重要提示

版本4.15.127.200127 , Mac终端安全防护 全面支持 内容控制 功能在macOS Big Sur 11.2中的运行(详见版本说明)。此前在macOS Big Sur 11.0和11.1上,当终端安装了其他带有网络扩展的应用程序(例如Cisco AnyConnect VPN)时,内容控制会进入直通模式并停止所有连接过滤。这是由于操作系统存在兼容性问题导致的。这种情况下, GravityZone 控制台会显示以下错误信息:“未知问题(Product.NetworkExtensionIsDisabled.NetworkExtensionIncompatibility)”。

有关 Mac终端安全防护 在macOS Big Sur中支持的详细信息,请参阅 Bitdefender对macOS Big Sur的支持文档 .

注意

本文包含适用于macOS Big Sur的操作流程和截图。这些流程同样适用于后续版本的macOS(如Monterey和Ventura),但 用户界面可能有所不同 ,因此执行步骤时请务必留意。

网络扩展

安装时

在旧版macOS中,内核扩展仅在首次安装 Mac版端点安全 时需要批准。从macOS Big Sur开始,每次安装或重新安装代理程序或网络组件时(除非已安装其他组件),网络扩展都需要重新获得批准。

安装过程中,Mac用户会收到以下 系统扩展被阻止 关于网络扩展的警告信息:

"程序"SecurityNetworkInstallerApp"尝试加载新的系统扩展。若要启用这些扩展,请打开安全性与隐私系统偏好设置。"

big-sur-01.png

要在macOS Big Sur及其他旧版macOS中批准网络扩展,请按以下步骤操作。

若需在macOS Sequoia及后续版本中批准网络扩展,请参阅 Bitdefender 在macOS中被阻止的系统扩展 .

macOS Big Sur中的网络扩展批准流程

  1. 点击 打开安全偏好设置 .

  2. 前往 安全 > 隐私 > 通用 .

  3. 点击窗口底部的锁形图标以进行更改。

    big-sur-02.png

  4. 输入系统凭证并点击 解锁 .

    big-sur-03.png

  5. 点击 允许 被阻止的系统扩展。

  6. 若网络扩展未获批准, Mac端点安全 会在 您处于风险中 警告,并在 查看问题 窗口中显示以下信息:

    "安装并允许网络扩展以启用全面保护。"

    big-sur-04.png

解决方法:

  1. 点击 立即安装 以打开 安全性与隐私 窗口。

  2. 点击窗口底部的锁形图标以进行更改。

  3. 输入系统凭证并点击 解锁 .

  4. 点击 允许 被阻止的系统扩展。

注意

在macOS Ventura系统中,这些控制选项位于 隐私与安全性 页面。

卸载时

从macOS Big Sur及更高版本开始,当代理或网络组件被卸载时(无其他组件保留安装),网络扩展需获得用户批准。

big-sur-05.png

若用户未批准该变更,则代理或组件将不会被卸载。

隧道应用程序(代理配置)

系统扩展运行在用户空间,因此 Mac端点安全 使用隧道应用程序(如VPN)来过滤流量。该应用程序同样需要获得批准。

"BDLDaemon"想要添加代理配置 窗口中,点击 允许 .

big-sur-06-ok.png

若应用程序未获批准, Mac端点安全 会显示 您处于风险中 警告及以下信息在 查看问题 窗口中:

"通过允许BDLDaemon.app添加代理配置来安装网络组件。"

big-sur-07.png

代理配置将被添加到 系统偏好设置 > 网络 .

big-sur-08-ok.png

Bitdefender DCI仅在网络扩展获得批准时才会连接。

big-sur-09.png

SSL证书

为过滤HTTPS流量, Mac端点安全 需要SSL证书的批准。

big-sur-10.png

若未更新信任设置, Mac端点安全 会显示 您处于风险中 警告并在 查看问题 窗口中显示以下信息:

"SSL证书不受信任。请信任该证书以启用SSL保护。"

big-sur-11.png

信任SSL证书的操作步骤:

  1. 点击 打开钥匙串访问 .

  2. 双击 Bitdefender CA SSL .

    big-sur-13.png

  3. 展开 信任 部分。

    big-sur-14.png

  4. 点击 使用此证书时 并选择 始终信任 .

    big-sur-16.png

  5. 关闭窗口。

  6. 输入系统凭证后点击 更新设置 .

    big-sur-17.png

重要提示

除上述流程外, BEST 在macOS Big Sur中需获取全磁盘访问权限。详情参见 未授予全磁盘访问权限 Bitdefender终端安全工具 在macOS Mojave (10.14)及后续版本中的情况 .

部署 BEST Linux v7版通过Ansible

本文包含创建必要配置文件并通过Ansible剧本部署 BEST Linux的基本操作指南。

  1. 创建配置文件以记录资产清单:

    inventory.yaml 

    虚拟机:
  主机:
    ubuntu22.04:
      ansible主机地址: 10.17.15.240

    注意

    如需了解创建Ansible配置文件的更多信息,请参阅 如何构建资产清单 .

  2. 创建配置文件以组织 BEST Linux v7版部署流程:

    deploy.yaml 

    - 主机: 虚拟机
  变量:
    - 工作目录: /root/bitdefender
    - 测试文件: /home/eicar.com
  任务:
    - 名称: 创建工作目录
      文件模块:
        路径: "{{ 工作目录 }}"
        状态: 目录
    - 名称: 下载Bitdefender安装程序
      获取URL模块:
        URL地址: https://cloudgz.gravityzone.bitdefender.com/Packages/NIX/0/3i0Aov/setup_downloader.tar
        目标路径: "{{ 工作目录 }}/setup_downloader.tar"
    - 名称: 解压Bitdefender安装程序
      解压模块:
        源文件: "{{ 工作目录 }}/setup_downloader.tar"
        目标路径: "{{ 工作目录 }}"
        远程源文件: 是
    - 名称: 调整安装程序权限
      文件模块:
        路径: "{{ 工作目录 }}/installer"
        状态: 文件
        权限模式: u+x
    - 名称: 运行安装程序
      命令模块:
        命令: "{{ 工作目录 }}/installer"
        工作目录: "{{ 工作目录 }}"
    - 名称: 等待产品初始化
      暂停模块:
        秒数: 60
    - 名称: 测试反恶意软件功能
      复制模块:
        目标路径: "{{ 测试文件 }}"
        内容: |
          X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    - 名称: 验证EICAR测试文件是否被清除
      等待模块:
        路径: "{{ 测试文件 }}"
        状态: 不存在
        超时: 5
    - 名称: 删除工作目录
      文件模块:
        路径: "{{ 工作目录 }}"
        状态: 不存在

  3. 运行以下命令: 

    ansible-playbook -i inventory.yaml -u root deploy.yaml

输出应类似以下示例: 

执行 [虚拟机] *********************************************************************************************************************************************************************************************************************

任务 [收集信息] *********************************************************************************************************************************************************************************************************************
成功: [ubuntu22.04]

任务 [创建工作目录] ********************************************************************************************************************************************************************************************************
成功: [ubuntu22.04]

任务 [下载Bitdefender安装程序] **************************************************************************************************************************************************************************************************
已变更: [ubuntu22.04]

任务 [解压安装程序] ***************************************************************************************************************************************************************************************************
已变更: [ubuntu22.04]

任务 [调整安装程序权限] ****************************************************************************************************************************************************************************************
已变更: [ubuntu22.04]

任务 [运行安装程序] ****************************************************************************************************************************************************************************************************
已变更: [ubuntu22.04]

任务 [等待产品初始化] **************************************************************************************************************************************************************************************************
暂停60秒
(按ctrl+C后'C'键提前继续,按ctrl+C后'A'键中止)
成功: [ubuntu22.04]

任务 [测试反恶意软件功能] ******************************************************************************************************************************************************************************
已变更: [ubuntu22.04]

任务 [验证EICAR测试文件清除] *************************************************************************************************************************************************************************************
成功: [ubuntu22.04]

任务 [删除工作目录] ********************************************************************************************************************************************************************************************************
已变更: [ubuntu22.04]

执行摘要 *********************************************************************************************************************************************************************************************************************************
ubuntu22.04                : 成功=10   已变更=6    不可达=0    失败=0    跳过=0    恢复=0    忽略=0

部署 Bitdefender终端安全工具 Mac版通过Microsoft Intune

本文描述如何部署 Bitdefender终端安全工具 ( BEST )在macOS计算机上通过Microsoft Intune部署。要使安全代理完全正常运行且无需本地用户交互,您必须遵循以下步骤:

部署 BEST 使用自定义脚本

您可以通过Microsoft Intune使用自定义脚本在客户端计算机上部署 Bitdefender端点安全工具 。该脚本会连接至 GravityZone ,下载并安装套件,同时执行快速清理。

注意

使用脚本时, BEST 不会作为应用程序显示在Microsoft Intune中。

以下示例是测试期间使用的概念验证(POC),成功通过Microsoft Intune部署安装了 BEST 

#!/bin/bash

BD_TEMP="/var/tmp/temp_bd"	
mkdir -p $BD_TEMP && cd $_
curl -L -O [您的安装包URL]
hdiutil attach setup_downloader.dmg
/Volumes/Endpoint\ for\ MAC/SetupDownloader.app/Contents/MacOS/SetupDownloader --silent
hdiutil detach /Volumes/Endpoint\ for\ MAC/
rm -rf $BD_TEMP

重要提示

在脚本中,请将 [您的安装包URL] 替换为适用于您公司的链接。因此,该行应类似于以下格式: curl-L-Ohttps://cloudgz.gravityzone.bitdefender.com/Packages/MAC/0/xxxxxx/setup_downloader.dmg .

要获取您的安装包链接,请登录 GravityZone 控制中心 ,转至 网络 > 安装包 > 发送下载链接 并复制 macOS下载器 的链接。详情请参阅 通过电子邮件发送安装包下载链接 .

由于该脚本以最高权限执行,可根据用户偏好轻松定制。

要通过Microsoft Intune部署脚本,请按以下步骤操作:

  1. 在Microsoft Endpoint Manager中,转至 设备 > 脚本 .

  2. 点击 添加 并选择 macOS .

    microsoft_intune_09_add_script_283723_en.png

  3. 输入脚本名称后点击 下一步 .

    microsoft_intune_10_add_script_basics_283723_en.png

  4. 上传脚本并点击 下一步 .

    microsoft_intune_11_upload_script_283723_en.png

  5. 选择组分配后点击 下一步 .

    microsoft_intune_12_script_assignments_283723_en.png

  6. 检查设置并点击 添加 .

    microsoft_intune_13_script_assignments_283723_en.png

脚本正根据组和用户分配执行。

部署SSL证书

本节描述如何通过Microsoft Intune部署所需的SSL证书,使其自动获批并准备就绪,无需用户交互即可使用。

截至2023年3月,Microsoft Intune不支持部署PFX格式的证书,但支持常规CER格式。

重要提示

要使此流程生效, Bitdefender GravityZone 中创建的安装包必须 已设置卸载密码。

部署SSL证书的步骤如下:

  1. 获取 GravityZone 中为所用安装包设置的卸载密码的MD5哈希值。

    可通过多种GUI工具实现,或在终端中运行以下命令: 

    md5 -s '您的卸载密码'

  2. 使用PEM和KEY文件生成PFX证书。

    示例: 

    # 生成证书
openssl req -new -days 1825 -nodes -x509 -subj '/C=RO/ST=Bucharest/L=Bucharest/O=Endpoint/CN=NewName CA SSL' -keyout rootCA.key -out rootCA.pem

# 使用之前生成的.key和.pem文件创建PFX证书
openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out certificate.pfx

    注意

    完成此步骤后,系统将提示输入密码。请确保输入步骤1中获取的 BEST 安装包上设置的卸载密码的MD5哈希值。

  3. 创建CER格式的证书。

    示例: 

    openssl x509 -inform PEM -in rootCA.pem -outform DER -out certificate.cer

    完成此步骤后,您将同时拥有 certificate.cer 以及 certificate.pfx 文件。

  4. 通过Microsoft Intune部署CER证书。请按以下步骤操作:

    1. 前往 设备 > 配置配置文件 .

    2. 选择 创建配置文件 ,然后设置 平台:macOS 配置文件类型:模板 .

    3. 选择 受信任证书 并点击 创建 .

    4. 基础 选项卡中输入名称,点击 下一步 .

    5. 配置设置 选项卡中,选择之前生成的certificate.cer文件并点击 下一步 .

    6. 分配 选项卡中,您必须分配适当的组和用户,并完成设置。

  5. 在目标机器上部署PFX证书。

    注意

    PFX证书需在目标机器的以下路径中可用: /Library/DeployCert .

    要部署PFX证书,可将证书托管在客户端可访问的资源上,并通过Microsoft Intune运行脚本将其复制到机器上。

    以下是从Web服务器下载证书并复制到指定位置的示例脚本: 

    #!/bin/bash

BD_TEMP="/var/tmp/temp_bd"
mkdir -p $BD_TEMP && cd $_

# 假设证书托管在10.25.99.228:8000的Web服务器上
curl -L -O http://10.25.99.228:8000/certificate.pfx
mkdir -p /Library/DeployCert
mv certificate.pfx /Library/DeployCert
rm -rf $BD_TEMP

    注意

    通过此流程部署到 /Library/DeployCert 的证书将优先于 Bitdefender CA SSL证书(该证书已预先安装并受钥匙串信任)。此后, Bitdefender终端安全工具 将停止使用 Bitdefender CA SSL,转而加载新证书。

创建MDM配置配置文件

本节介绍如何在Microsoft Endpoint Manager中创建MDM配置配置文件,以自动执行以下操作:

  • BDLDaemonEndpointSecurityForMac 进程

    重要提示

    从版本7.16.42.200020开始,代理不再需要为 EndpointSecurityforMac 进程授予全磁盘访问权限。

  • 批准 Bitdefender 系统扩展

  • 批准 Bitdefender DCI扩展

这样, BEST 即可访问Mac上所有必要资源,且无需用户交互即可实现完整功能。

创建配置文件的步骤如下:

  1. 在Microsoft Endpoint Manager中,转至 设备 > 配置配置文件 .

  2. 选择 创建配置文件 ,接着选择 平台:macOS 配置文件类型:模板 .

  3. 选择 自定义 并点击 创建 .

  4. 基础 选项卡中,输入名称并点击 下一步 .

  5. 配置设置 选项卡中,于 自定义配置文件名称 处输入名称,将 部署渠道 设置为 设备渠道 并上传 此处 .

    microsoft_intune_14_configuration_profile_283723_en.png

  6. 点击 下一步 .

  7. 分配 选项卡中,分配适当的组和用户并完成设置。

通过Microsoft Intune部署 Bitdefender端点安全工具 (适用于Windows)

本文介绍如何通过Microsoft Intune在Windows端点上部署 Bitdefender端点安全工具 ( BEST )。

本次部署采用 BEST Windows安装程序,通过Microsoft Win32内容准备工具打包为Windows应用程序(Win32),随后通过Microsoft Intune进行部署。

重要提示

确保目标终端已注册Intune并保持活跃的互联网连接。

创建 BEST 安装包

创建安装包需遵循以下步骤:

  1. 新建一个用于后续操作的文件夹。

    本示例中 C:\test 将被用作工作目录。

  2. GravityZone .

  3. 下载 BEST 安装程序并保存至先前创建的文件夹。

  4. 下载官方 Microsoft Win32内容准备工具 .

  5. 打开命令提示符。

  6. 导航至Microsoft Win32内容准备工具的下载目录。

  7. 运行Microsoft Win32内容准备工具并按照界面指引操作。

下表汇总了各步骤要点(使用步骤1中所述的文件夹):

步骤

摘要

源文件夹:

安装程序所在的源文件夹。本示例中路径为 C:\test .

安装文件:

安装包的名称。在本示例中,文件应为: setupdownloader_[base64哈希值].exe

输出文件夹:

Microsoft Win32内容准备工具生成的包将放置在此输出文件夹中。您也可以使用相同的源文件夹作为输出位置。

创建安装包后,输出文件夹中会出现一个新文件。该文件名称将与 BEST Windows安装程序相同,但会添加 .intunewin 作为扩展名。此包将在下一节上传至Intune并用于部署。

注意

有关准备和部署Win32应用的更多信息,请参阅 微软官方文档 .

部署 BEST

BEST 安装包准备就绪后,您需要按照以下步骤在Microsoft Intune中准备应用程序:

  1. 打开Microsoft Intune管理中心。

  2. 导航至 应用 > Windows .

  3. 选择 添加 .

  4. 选择应用类型 窗口中,选择 Windows 应用 (Win32) .

  5. 点击 选择 .

  6. 应用信息 标签页中,点击 选择应用包文件 .

  7. 应用包 文件菜单中,选择之前创建的 .intunewin 文件。

  8. 点击 确定 .

    必须填写 应用信息 窗口中关于上传包的以下必填信息:

    字段

    摘要

    名称

    应用程序名称: Bitdefender 终端安全工具 .

    描述

    可为该应用程序添加的简短说明。

    发布者

    发布者名称: Bitdefender .

  9. 信息添加完成后,点击 下一步 .

  10. 程序 窗口包含一些必须填写的必填字段:

    字段

    摘要

    安装命令

    这是 最佳 安装命令。您必须为新安装程序添加常规安装命令,并支持静默安装选项:

    setupdownloader_[base64_hash].exe/bdparams/silent

    重要提示

    请确保 [base64_hash] 是您创建并下载的安装包中包含的实际字符串。

    这是一个使用 base64 编码字符串的命令示例: setupdownloader_[aHR0cHM6Ly9leGFtcGxlLW9mLXRoZS1wYXRoLXRvLWdyYXZpdHl6b25lLWluc3RhbGxlci54bWw=].exe/bdparams/silent

    卸载命令

    最佳 卸载过程必须通过 GravityZone 控制,但由于该字段标记为必填项,您可以添加: .

    允许可用卸载

    此选项必须设置为 BEST 卸载过程必须通过 GravityZone .

    安装行为

    此字段必须选择 系统 .

  11. 删除 返回代码 部分下所有可能指示安装后行为的条目。这确保您能在后续步骤中正确控制安装后状态。

  12. 点击 下一步 .

  13. 要求 窗口中,以下字段为必填项:

    字段

    摘要

    操作系统架构

    由于您使用的是我们自己的安装工具包,可以同时选择 32位64位 .

    最低操作系统要求

    必须使用Windows 10版本1607(首个RS版本)。

  14. 点击 下一步 .

  15. 检测规则 窗口中,转至 使用自定义脚本 > 选择文件 并上传以下脚本作为 .ps1 文件: 

    if ((Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Endpoint Security" -Name "InstallLocation")`
-and ((Get-Service EPIntegrationService).status -like "Running")`
-and (Get-Service EPSecurityService).status -like "Running" )

{
    Write-Output "Bitdefender终端安全工具已成功安装"
    exit 0
} else {
    Write-Output "Bitdefender终端安全工具未安装"
    exit 1
}

    强烈建议对检测脚本进行代码签名,并将 强制执行脚本签名检查并静默运行脚本 选项设置为 。 这能确保脚本来自可信来源且签名后未被篡改。该选项允许脚本在无需额外确认或提示的情况下运行。

    若选择不对检测脚本进行代码签名,可将 强制执行脚本签名检查并静默运行脚本 选项设为 。 虽然不推荐此操作,但如果目标终端的PowerShell执行策略设置为受限状态,运行脚本时将需要手动确认。

    该脚本用于检查 BEST 是否已安装,通过验证 HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EndpointSecurity 注册表项。此外,它还确保 EPSecurityServiceEPIntegrationService 服务正在运行。

  16. 依赖项 取代 窗口中可保留默认值。

  17. 分配 窗口中,可设置允许使用安装程序的用户或用户组。

  18. 查看 + 创建 窗口中,选择 创建 .

应用程序将开始安装。此外,它还将在Intune管理控制台中显示,并在每个端点的托管应用部分标记为已安装。

为通过Relay部署 Bitdefender端点安全工具 准备macOS设备

在中大型macOS环境中,您可以从 Bitdefender端点安全工具 ( BEST )更快更轻松地部署 GravityZone 控制中心 通过中继计算机实现。中继角色仅适用于Windows和Linux操作系统。

按照以下步骤为macOS设备进行 Bitdefender端点安全工具 通过中继部署的准备工作。

1. 在Windows或Linux设备上添加中继角色

远程部署 Bitdefender端点安全工具 需要另一台已安装 Bitdefender 代理且配置中继角色的设备。要添加中继角色,请在该设备上执行 重新配置代理 任务。步骤如下:

  1. GravityZone 控制中心 中,通过左侧菜单进入 网络 页面。

  2. 网络 资产清单中,选择要安装中继角色的Windows或Linux设备。

  3. 点击操作工具栏中的 任务 按钮并选择 重新配置代理 .

    或者,右键点击设备名称并选择 任务 > 重新配置代理 .

  4. 运行 重新配置代理 任务,将中继角色添加到目标计算机。

    有关如何使用 重新配置代理 任务的详细信息,请参阅 重新配置代理 .

当通过Linux中继向Mac部署 Bitdefender端点安全工具 时,Linux计算机上必须安装Samba软件包( smbclient )4.1.0或更高版本,以及samba-client依赖项和samba-common软件包。详情请参阅 Bitdefender端点安全工具 远程部署准备工作站 .

2. 运行网络发现任务

中继计算机每4小时自动执行一次网络发现任务,并在 GravityZone 控制中心 的网络清单中添加新条目(如有)。但您也可以手动运行网络发现任务以查找网络中的所有计算机,包括Mac。请按照以下步骤操作:

  1. GravityZone 控制中心 中,转到 网络 页面,从左侧菜单中选择。

  2. 在网络清单中,选择要安装中继角色的Windows或Linux机器。

  3. 点击 任务 按钮,在操作工具栏中选择 运行网络发现 .

    或者,右键点击机器名称并选择 任务 > 运行网络发现 .

有关网络发现任务如何工作的详细信息,请参阅 理解网络发现 .

3. 确保macOS机器的连接性

对于您打算部署 Bitdefender端点安全工具 的macOS机器,它们需要启用 远程登录 选项。

您可以在 远程登录 选项中启用 系统偏好设置 > 通用 > 共享 .

mac_sharing_settings_335164_en.png

此外,macOS设备必须在 系统偏好设置 > 网络 .

mac_firewall_335164_en.png

4. 验证从Relay访问macOS文件和文件夹的权限

为确保 Bitdefender端点安全工具 的部署顺利进行,请确认您可以从Relay机器访问Mac上的文件和文件夹。若Relay为Windows机器,请按以下步骤操作:

  1. 按下 Windows + R 键打开 运行 应用程序。

  2. 输入macOS设备的IP地址。

  3. 根据提示输入macOS凭据。

    windows_network_password_335164_en.png

    请注意,您还需在 凭据管理器 中的 GravityZone 控制中心 输入这些凭据。若需在多个macOS设备上部署 BEST ,必须为所有设备输入用户账户凭据。

    credentials_manager_335164_en.png

若连接成功,则表示作为Relay的Windows机器可访问macOS共享资源。

relay_to_mac_en_335164_en.png

现在您可以开始实际部署 Bitdefender端点安全工具 到macOS设备。具体步骤请参考 安装安全代理 - 标准流程 .

本节内容 :