跳至主要内容

安装安全代理 - 标准流程

为保护物理及虚拟终端设备,需在每个终端安装安全代理。除管理本地终端防护外,安全代理还会与 控制中心 通信以接收管理员指令并回传执行结果。

了解可用安全代理类型,请参阅 安全代理 .

Windows Linux 系统中,安全代理可承担两种角色,安装方式如下:

  1. 作为终端设备的简易安全代理。

  2. 作为 中继 ,既充当安全代理,又作为网络中其他终端设备的通信、代理和更新服务器。

    警告

    • 首个安装防护的终端设备必须具有 中继 角色,否则无法在同一网络的其他终端设备上远程安装安全代理。

    • 中继 终端 必须保持开机和在线状态,以便连接的代理与 控制中心 .

macOS 设备上,安全代理无法充当中继。

您可以通过本地运行安装包或从 控制中心 .

仔细阅读并遵循安装准备说明至关重要。

在普通模式下,安全代理具有极简用户界面,仅允许用户查看防护状态及执行基本安全任务(更新和扫描),不提供设置访问权限。

若网络管理员通过安装包和安全策略启用,Windows终端上的安全代理还可运行于高级用户模式,允许终端用户查看和修改策略设置。但 控制中心 管理员始终可控制最终生效的策略设置,覆盖高级用户模式。

默认情况下,受保护Windows终端用户界面的显示语言根据您的 GravityZone 账户语言在安装时设定。

Mac设备上,用户界面显示语言根据终端操作系统语言在安装时设定。Linux设备的安全代理无本地化用户界面。

若需在特定Windows终端上以其他语言安装用户界面,可创建安装包并在配置选项中设置首选语言。此选项不适用于Mac和Linux终端。有关创建安装包的更多信息,请参阅 创建安装包 .

安装前准备

安装前请遵循以下预备步骤以确保流程顺利:

  1. 确保目标终端设备符合 终端防护 最低系统要求。

    部分终端设备可能需要安装最新的操作系统服务包或释放磁盘空间。

    列出不符合必要要求的终端设备清单,以便将其排除在管理范围之外。

  2. 从目标终端设备上卸载(不仅是禁用)所有现有的反恶意软件或互联网安全软件。

    在终端设备上同时运行安全代理与其他安全软件可能会影响其运行并导致系统严重问题。

    许多不兼容的安全程序会在安装过程中被自动检测并移除。

    注意

    • Windows安全功能(Windows Defender、Windows防火墙)会在初始化代理安装前自动关闭。

    • 安全代理安装完成后,若存在强制执行措施(如组策略对象),Windows Defender将自动重新启用,或您可通过Windows控制面板手动启用。启用后,由于缺少Windows操作中心,安全代理将不再管理Windows Defender的激活状态。此情况可能出现在以下工作站和服务器上:

      • Windows 7、Windows 8、Windows 8.1

      • Windows Server 2016、Windows Server 2019、Windows Server 2022

      在Windows 10和11系统中,该功能由Windows通过操作中心动态控制。

    了解更多信息并查看 Bitdefender终端安全工具 检测到的安全软件列表,请参阅 Bitdefender终端安全工具 .

    重要提示

    若需在装有 Bitdefender Antivirus for Mac 5.X的终端设备上部署安全代理,必须先手动卸载后者。具体步骤请参考 在装有 Bitdefender终端安全工具 的设备上部署 Bitdefender Mac版杀毒软件 .

  3. 安装需要管理员权限和互联网接入。若目标终端处于Active Directory域中,应使用域管理员凭证进行远程安装。否则请确保已备妥所有终端所需的凭证。

  4. 终端必须保持与 控制中心 .

  5. 建议为 中继 服务器配置静态IP地址。若未设置静态IP,请使用机器主机名。

  6. 通过Linux中继部署代理时,需满足以下附加条件:

    • 中继终端必须安装Samba软件包( smbclient )4.1.0及以上版本,以及用于部署Windows代理的 net 二进制文件/命令。

      注意

      net 二进制文件/命令通常随samba-client和/或samba-common软件包提供。在某些Linux发行版(如CentOS 7.4)中,仅当安装完整Samba套件(Common + Client + Server)时才会安装 net 命令。请确保您的中继终端已启用 net 命令。

    • 目标Windows终端必须启用管理共享和网络共享功能。

    • 目标Linux和Mac终端必须启用SSH,且需通过用户名密码建立连接。

  7. 在macOS系统上,无论是手动还是远程安装 Bitdefender终端安全工具 后,系统都会提示用户批准 Bitdefender 终端上的扩展程序。在用户批准 Bitdefender 扩展之前,部分功能将无法使用。具体操作步骤请参阅 Bitdefender 系统扩展在macOS中被阻止 .

    从macOS Big Sur(版本11)开始, BEST 由于苹果对操作系统进行的更改,需要额外用户授权。详情请参考 macOS Big Sur及后续版本中 Mac端点安全 的变更:网络扩展、代理配置及SSL证书 .

    若要免除用户手动操作,可通过Jamf等移动设备管理工具将 Bitdefender 扩展加入白名单进行预批准。具体操作请参阅 在Jamf Pro 10.x中白名单 Bitdefender 扩展程序 .

本地安装

一种在终端安装安全代理的方法是本地运行安装包。

您可以在 网络 > 安装包 页面创建和管理安装包。

installation_packages_partner_en.PNG

警告

  • 首台安装防护的计算机必须具有 中继 角色,否则您将无法在网络中的其他终端上部署安全代理。

  • 中继机器必须保持开机和在线状态,以便客户端能够与 控制中心 .

安装首个客户端后,系统将基于网络发现机制自动检测同一网络中的其他终端。关于网络发现的详细信息,请参阅 网络发现工作原理 .

若要在终端上本地安装安全代理,请按以下步骤操作:

  1. 根据需求 创建安装包。

    注意

    若您的账户已为当前网络创建过安装包,此步骤可跳过。

  2. 在目标终端上 下载安装包。

    您也可以 通过电子邮件向网络内多个用户发送安装包下载链接

  3. 在目标终端上 运行安装包。

创建安装包

您可为自有公司或账户下的每个公司创建安装包。安装包仅对创建时的指定公司有效。与某公司关联的安装包不可用于 控制中心 .

每个安装包仅在 控制中心 对创建者及安装包关联公司下的用户账户可见。

创建安装包的步骤:

  1. 连接并登录 控制中心 .

  2. 前往 网络 > 安装包 页面(通过左侧菜单)。

  3. 点击表格上方的 创建 按钮,将显示配置窗口。

    installation_packages_phasr.png

  4. 为您要创建的安装包输入一个具有提示性的名称和描述。

  5. 语言 字段中,选择客户端界面所需的语言。

    注意

    此选项仅适用于Windows操作系统。

  6. 选择操作模式。这将影响通过包部署在端点上安装的安全代理的行为。

    注意

    此步骤仅适用于包含 EDR 模块的许可证。

    • 检测与防护 - 此操作模式允许您自定义包中包含的模块,并设置防护和检测模块以启用并利用阻止和报告功能。

    • EDR (仅报告) - 此操作模式预先配置您的包结构以包含特定模块集,并设置防护和检测模块以仅启用和利用报告功能。

    注意

    包含在 EDR (仅报告)包中的模块是 高级威胁控制 , 终端检测与响应 传感器, 网络保护 内容控制 网络攻击防御 .

  7. 选择需要安装的防护模块。

    注意

    仅会安装各操作系统支持的模块。每个模块右侧图标显示其兼容的操作系统。

    更多信息请参阅 Bitdefender终端安全工具 .

  8. 选择目标终端角色:

    • 中继 ,以创建具有中继角色的终端安装包。详情请参阅 Bitdefender终端安全工具 .

      警告

      中继角色仅适用于Windows和Linux系统,旧版操作系统不支持。

      更多信息请参阅 支持的操作系统 .

    • 补丁管理缓存服务器 ,将中继设为分发软件补丁的内部服务器。

      注意

      此角色仅在选中 中继 角色时显示。详情请参阅 补丁缓存服务器 章节相关内容 Bitdefender终端安全工具 .

    • Exchange保护 ,用于安装Microsoft Exchange服务器的保护模块,包括针对Exchange电子邮件流量的反恶意软件、反垃圾邮件、内容及附件过滤功能,以及Exchange数据库的按需反恶意软件扫描。

      更多信息请参阅 安装Exchange保护 .

  9. 选择将使用此安装包的公司。

  10. 移除竞争对手产品 。建议保持勾选此选项,以便在 Bitdefender 代理安装到终端时自动移除不兼容的安全软件。若取消此选项, Bitdefender 代理将安装在现有安全解决方案旁边。您可后续自行手动移除先前安装的安全解决方案,但需自行承担风险。

    重要提示

    在终端上同时运行 Bitdefender 代理与其他安全软件可能会影响其运行并导致系统出现严重问题。

  11. 扫描模式 。选择最符合您网络环境及终端资源的扫描技术。您可通过以下类型之一定义扫描模式:

    可用扫描模式:

    • 本地扫描

    • 轻量引擎混合扫描(公有云)

    • 混合扫描

    • 公有或私有云中央扫描

    • 中央扫描(通过 安全服务器 在公有或私有云进行扫描)并回退至本地扫描(完整引擎)

    • 中央扫描(使用公共或私有云扫描配合 安全服务器 ),并回退至混合扫描(轻量引擎公共云)

    • 混合扫描并回退至中央扫描

    有关扫描模式的更多信息,请参阅 反恶意软件

    可用扫描类型:

    • 自动 。此时,安全代理将自动检测终端配置并相应调整扫描技术:

      • 公共或私有云中央扫描(配合 安全服务器 )并回退至混合扫描(轻量引擎),适用于硬件性能较低的物理终端和虚拟机。此场景要求网络中至少部署一台 安全服务器

      • 本地扫描(完整引擎)适用于高性能硬件物理终端。

      • 虚拟机中央扫描并回退至混合扫描

      注意

      中央扫描必须首先部署 安全服务器 。有关安装 安全服务器 的更多信息,请参阅 安全服务器 .

      低性能终端指CPU频率低于1.5 GHz或内存小于1 GB的设备。

    • 自定义 。此时您可为物理机和虚拟机选择以下扫描技术配置扫描模式:

      • 公共或私有云中央扫描(配合 安全服务器 ),可回退*至本地扫描(完整引擎)或混合扫描(轻量引擎)

      • 混合扫描(使用轻量引擎)

      • 本地扫描(使用完整引擎)

      默认扫描模式:

      • 针对 EC2实例 的默认扫描模式为本地扫描(安全内容存储于已安装的安全代理上,扫描在机器本地运行)。若需通过 安全服务器 扫描EC2实例,需相应配置安全代理安装包及应用策略。

        注意

        此时系统会自动分配位于目标EC2实例对应AWS区域的 Bitdefender 安全服务器

      • 针对 Microsoft Azure虚拟机 的默认扫描模式为本地扫描(安全内容存储于已安装的安全代理上,扫描在机器本地运行)。若需通过 安全服务器 扫描Microsoft Azure虚拟机,需相应配置安全代理安装包及应用策略。

      • 当使用Bitdefender安全容器 BEST for Linux v7 插件时,默认扫描模式为:

        • 对物理终端(含容器主机)和节点(Kubernetes环境下)采用混合扫描。

        • 对虚拟机或基于 GravityZone 集成的云基础设施(IaaS或PaaS)的终端(含容器主机)及节点(Kubernetes环境下),采用中央扫描并回退至混合扫描。

          注意

          需有可用的 安全服务器 才能执行此扫描。若无可用的服务器,扫描模式将设为混合扫描。

      有关可用扫描技术的更多信息,请参阅 反恶意软件 .

  12. 安全服务器 分配 .

    使用公有云或私有云( 安全服务器 )扫描自定义扫描引擎时,您需要选择要使用的本地安装的 安全服务器 ,并在 安全服务器 分配 部分配置其优先级:

    1. 点击 安全服务器 列表中的表头。检测到的 安全服务器 列表将显示。

      某些 Bitdefender 合作伙伴可以与客户共享其 安全服务器 。此处您可以查看 安全服务器 您的 Bitdefender 合作伙伴已分配给您的(前提是其具备此权限)。

    2. 选择一个实体。

    3. 点击 add.png 添加 按钮,位于 操作 列标题处。

      安全服务器 将被添加至列表中。

      在安全服务器分配区域,您可为 安全服务器 指定名称与IP地址。分配名称后,点击 inline-menu-icon.png 进行编辑。

    4. 按相同步骤添加多个安全服务器(如有)。此时可通过每项右侧的 up-arrow.png 上移 down-arrow.png 下移箭头调整优先级。当首台 安全服务器 不可用时,系统将自动启用下一台,依此类推。

    5. 如需删除列表中某项,点击表格上方对应的 delete_inline.png 删除 按钮。

    您可通过勾选 安全服务器 使用SSL 选项启用连接加密。

    对于EC2实例,系统会自动分配对应AWS区域托管的 Bitdefender 安全服务器 ,因此无需配置 安全服务器 分配 部分。

  13. 在Windows终端上, Bitdefender终端安全工具 默认安装在标准目录中。若需将 使用自定义安装路径 勾选此项可将 Bitdefender终端安全工具 安装至其他位置。此时需在对应字段输入目标路径。路径输入需遵循Windows规范(例如 D:\文件夹 )。若指定文件夹不存在,安装过程中将自动创建。

    在Linux终端上, Bitdefender终端安全工具 默认安装于 /opt 目录。

  14. 建议设置密码以防止用户移除防护。

    勾选 设置卸载密码 并在对应字段输入密码。

  15. 若目标终端位于网络清单的 自定义分组 下,可在安全代理部署完成后立即将其移至指定文件夹。

    选择 使用自定义文件夹 并在对应表格中选择文件夹。

  16. 部署器 部分,选择终端将连接的通信实体。终端安装仅通过中继进行,该中继无需与安装包中指定的相同。

    部署器 部分,在 所选中继 字段中,您可以看到从 中继表 .

    • Bitdefender (若需直接从互联网更新客户端)。

      此时若目标终端通过代理连接互联网,您还可定义代理设置。选择 使用代理通信 并在下方字段输入所需代理配置。

    • 终端安全中继 (若需将终端连接至您网络中安装的中继客户端)。网络中所有检测到 中继 角色的机器将显示在下表。选择所需中继机器,所连终端仅能通过指定中继与 控制中心 通信。

      重要提示

      必须开放7074端口才能通过 Bitdefender终端安全工具中继 进行部署。

      若中继配有多网卡,可将其用于向与 BEST 隔离的终端部署 GravityZone 。此时请在 自定义服务器名称/IP 列添加未连接 GravityZone .

      例如,中继服务器有两个网络适配器, 192.168.0.16192.168.12.12 。只有第一个适配器与 GravityZone 通信。将第二个IP地址添加为自定义IP后,目标终端将使用该中继服务器作为通信服务器来安装安全代理。

      要添加所需IP地址,请按以下步骤操作:

      1. 点击三点菜单。

      2. 点击 编辑自定义服务器名称/IP .

        installation_package_deployer_custom_ip_47136_en.png

      3. 在可编辑字段中输入IP地址。

      4. 点击 ok-icon.png 确定 图标确认更改。

  17. 点击 保存 .

新创建的安装包将被添加到目标公司的安装包列表中。

注意

安装包中的配置将在安装后立即应用于终端。当策略应用到客户端时,策略中配置的设置将强制生效,并替换某些安装包设置(如通信服务器或代理设置)。

下载安装包

要下载安全代理的安装包:

  1. 登录到 控制中心 (从需要安装防护的终端访问)。

  2. 转到 网络 > 安装包页面 位于左侧菜单中。

  3. 公司 列标题中选择终端所在的公司。仅显示所选公司可用的安装包。

  4. 选择要下载的安装包。

  5. 点击 下载 在表格上方,并从下拉列表中选择要使用的安装程序类型。可用的安装文件类型包括:

    • 下载器 。下载器首先从 Bitdefender 云服务器下载完整安装包,然后开始安装。

      下载器体积小,可在32位、64位(Windows和Linux)系统、ARM64系统(仅限Windows)或64位macOS系统(Intel x86和Apple ARM架构)上运行,便于分发。缺点是它需要有效的互联网连接。

    • 分阶段环的下载器 。这些下载器按操作系统提供,适用于每个 生产环 , 测试环1 测试环2 。有关分阶段环的详细信息,请参阅 更新分阶段 .

    • 完整安装包 。完整安装包体积较大,必须在特定的操作系统类型上运行。

      完整安装包用于在互联网连接缓慢或没有互联网连接的终端上安装防护。将此文件下载到已连接互联网的终端,然后通过外部存储介质或网络共享分发到其他终端。

      注意

      可用的完整安装包版本:

      • Windows操作系统: 32位、64位及ARM架构系统

      • Linux操作系统: 32位与64位系统

      • macOS: 86位Intel处理器、macOS下载器及Apple M系列芯片系统

      请确保为安装目标系统选择正确版本。

      每分钟仅允许下载一个安装包,因此每次下载尝试需间隔60秒。

  6. 将文件保存至终端设备。

    警告

    • 下载器可执行文件不可重命名,否则将无法从 Bitdefender 服务器下载安装文件。

    • 安装包及链接为私有资源,每个公司均生成独立版本。请勿对外分发。

  7. 此外,若选择下载器方式,可为Windows终端创建MSI安装包。详情参见 通过MSI包安装 Bitdefender终端安全工具 .

通过电子邮件发送安装包下载链接

如需快速通知公司管理员安装包已就绪,请按以下步骤操作:

  1. 进入 网络 > 安装包 页面(位于左侧菜单栏)。

  2. 选择目标安装包。

  3. 勾选 发送下载链接 选项,此时将弹出配置窗口。

  4. 输入需接收安装包下载链接的用户邮箱(多个邮箱请用逗号分隔),按 输入 或点击 添加 按钮以创建接收安装包的电子邮件地址列表。

    注意

    请确保每个输入的电子邮件地址均有效且唯一。

  5. 选择首选更新通道: 慢速通道 , 生产通道 , 测试通道1 测试通道2 .

    有关分阶段更新的详细信息,请参阅 更新分阶段 .

  6. 在通过电子邮件发送前,安装链接也会显示在此窗口中。

  7. 点击 发送 。包含安装链接的邮件将发送至每个指定邮箱。

运行安装包

为确保安装成功,必须使用管理员权限运行安装包。

不同操作系统的安装方式如下:

  • 在Windows和macOS操作系统上:

    1. 在目标终端上,从 控制中心 下载安装文件,或从网络共享位置复制。

    2. 若下载完整套件,请从压缩包中解压文件。

    3. 运行可执行文件。

    4. 按照屏幕上的指示操作。

    注意

    在macOS上,安装文件为DMG格式。打开后,该文件会挂载到两个位置:一个在桌面,另一个在Finder中(位于左侧菜单的 位置 ).

    macOS上的安全代理需要“完全磁盘访问”权限。由于安装过程中代理不会主动请求这些权限,您必须在安装完成后在终端上手动批准。详情请参阅 macOS中未允许 Bitdefender终端安全工具 的完全磁盘访问权限 .

    安全代理还要求您批准终端上的 Bitdefender 系统扩展。详情请参阅 macOS中阻止了 Bitdefender系统扩展 .

  • 在Linux操作系统上:

    1. 连接并登录到 控制中心 .

    2. 将安装文件下载或复制到目标终端。

    3. 如果您下载了完整套件,请从存档中提取文件。

    4. 通过运行 sudo su 命令获取root权限。

    5. 更改安装文件的权限以便执行: 

      #chmod +x installer

    6. 运行安装文件: 

      #./installer

    7. 要验证终端是否已安装代理程序,请运行以下命令: 

      $systemctl status bdsec*

安全代理安装完成后,终端将在数分钟内显示为 控制中心 ( 网络 页面)中的受管设备。

重要提示

若使用VMware Horizon View Persona Management,建议通过Active Directory组策略排除以下 Bitdefender 进程(无需完整路径):

  • bdredline.exe

  • epconsole.exe

  • epintegrationservice.exe

  • epprotectedservice.exe

  • epsecurityservice.exe

  • epupdateservice.exe

  • epupdateserver.exe

只要终端运行着安全代理,这些排除项就必须对 GravityZone 生效。详情请参阅 VMware Horizon文档页面 .

观看完整视频教程:

远程安装

控制中心 支持通过安装任务对网络中检测到的终端进行安全代理远程部署。

当您完成首台具备 中继 角色的客户端本地安装后,网络中的其余终端可能需要数分钟才会显示在 控制中心 中。此后,您可通过 控制中心 .

Bitdefender终端安全工具 内置自动网络发现机制,可检测同一网络中的其他终端。被发现的终端将在 未受管 状态下列示于 网络 页面。

启用网络发现功能需确保 Bitdefender终端安全工具 已安装在网络内至少一个终端上。该终端将用于扫描网络并向未受保护终端安装 Bitdefender终端安全工具

网络发现功能的详细说明请参阅 网络发现工作原理 .

远程安装要求

实现远程安装需满足以下条件:

  • Bitdefender终端安全工具中继 需部署在您的网络中。

  • Windows系统要求:

    • 需启用 admin$ 管理共享。请将每台目标工作站配置为不使用高级文件共享。

    • 根据目标终端运行的操作系统配置用户账户控制(UAC)。若终端处于Active Directory域中,可通过组策略配置用户账户控制。具体操作请参考 为工作站准备 Bitdefender终端安全工具 远程部署 .

    • 禁用Windows防火墙或配置其允许通过文件和打印机共享协议的流量。

    注意

    远程部署仅适用于现代操作系统,从Windows 7/Windows Server 2008 R2开始, Bitdefender 提供全面支持。更多信息,请参阅 支持的操作系统 .

  • 在Linux上:必须启用SSH。

  • 在macOS上:必须启用远程登录和文件共享。

运行远程安装任务

要运行远程安装任务:

  1. 登录到 GravityZone 控制中心 .

  2. 从左侧菜单进入 网络 页面。

  3. 从左侧面板选择所需的组。

    所选组包含的实体将显示在右侧面板表格中。

    可选地,您可以应用筛选器仅显示未管理的终端。在左上角点击 递归查看数据 ,然后进入 管理状态 筛选器并选择 未管理 .

    处理EC2实例时,您还可以通过 实体类型 筛选器选择 EC2实例 选项。

  4. 选择需要安装防护的实体(终端或终端组)。

  5. 点击表格上方的 操作 按钮并选择 安装代理 .

    系统将显示 安装代理 页面。

    Install_agent_action_network.png

  6. 选项 部分配置安装时间:

    • 立即 (即刻启动部署)

    • 定时 (设置循环部署间隔)。此时需选择所需时间间隔(每小时/每天/每周)并按需配置。

      例如:若目标机器需先执行卸载其他软件、重启系统等操作,可将部署任务设置为每2小时运行一次。该任务将在每台目标机器上每2小时启动,直至部署成功。

  7. 如需目标终端自动重启以完成安装,请勾选 自动重启(如需) .

  8. 凭证管理器 部分指定目标终端远程认证所需的管理凭证。您可通过输入各目标操作系统的用户名密码来添加凭证。

    重要提示

    对于Windows 8.1工作站,您需要提供内置管理员账户或域管理员账户的凭据。

    添加所需操作系统凭据的步骤:

    1. 在表头对应字段中输入管理员账户的用户名和密码。

      若计算机处于域中,仅需输入域管理员的凭据即可。

      输入用户账户名称时请遵循Windows规范:

      • 对于Active Directory计算机,请使用以下语法: username@domain.com domain\username 。为确保输入的凭据有效,请以两种形式同时添加( username@domain.com domain\username ).

      • 对于工作组计算机,仅需输入用户名即可,无需包含工作组名称。

      您还可以添加描述信息以便更轻松地识别每个账户。

    2. 在表头对应字段中输入管理员账户的用户名。

      输入域用户账户名称时请遵循Windows规范,例如 user@domain.com domain\user 。为确保输入的凭据有效,请以两种形式同时添加( user@domain.com domain\user ).

      注意

      若计算机处于域中,仅需输入域管理员的凭据即可。

      输入域用户账户名称时请遵循Windows规范,例如 user@domain.com 域名\用户名 。为确保输入的凭据有效,请以两种形式同时添加( user@domain.com 域名\用户名 ).

    3. 从菜单中选择认证类型:

      • 密码 ,以使用管理员密码。

      • 上传.pem文件 ,以使用私钥。

    4. 若使用密码认证,请在菜单旁字段输入密码。

    5. 若使用私钥认证,请点击 浏览 按钮并选择包含对应私钥的 .pem 文件。

    6. 可选添加描述信息,以便更轻松识别各账户。

    7. 点击 add_inline.png 添加 按钮,账户将加入凭据列表。

      指定凭据会自动保存至凭据管理器,避免下次重复输入。要访问 凭据管理器 ,请点击控制台右上角的 control_center_user_menu_icon.png 用户图标。

      重要提示

      若提供无效凭据,客户端部署将在对应终端失败。当目标终端修改操作系统凭据时,请务必在凭据管理器中更新已输入的凭据。

  9. 勾选要使用的账户对应复选框。

    未选择任何凭据时将显示警告信息。此步骤为远程安装终端安全代理的必要条件。

  10. 部署器 部分,配置目标终端将连接的 中继 以安装和更新客户端:

    • 网络中检测到具有 中继 角色的所有机器将显示在 部署器 部分下方的表格中。每个新客户端必须连接到同一网络中至少一个 中继 客户端,该客户端将作为通信和更新服务器。选择您希望与目标终端关联的 中继 。连接的终端将仅通过指定的 控制中心 中继 .

      重要提示

      必须开放7074端口,才能通过 中继 代理完成部署。

      Install_agent_action_deployer_network.png

    • 如果目标终端通过代理与 中继 代理通信,您还需定义代理设置。此时请选择 使用代理进行通信 并在下方字段中输入所需的代理设置。

  11. 您需要为当前部署选择一个安装包。点击 使用包 列表并选择所需的安装包。此处可查看为您的账户创建的所有历史安装包,以及默认安装包(包含 控制中心 .

  12. 如需修改所选安装包的某些设置,可点击 自定义 按钮(位于 使用安装包 字段旁)。

    安装包设置将显示在下方,您可按需进行调整。有关编辑安装包的更多信息,请参阅 创建安装包 .

    若要将修改保存为新安装包,请选择包设置列表底部的 另存为安装包 选项,并为新安装包命名。

  13. 点击 保存 .

    系统将显示确认消息。

您可在 网络 > 任务 页面查看和管理该任务。

若使用VMware Horizon View Persona Management,建议通过Active Directory组策略排除以下 Bitdefender 进程(无需完整路径):

  • bdredline.exe

  • epconsole.exe

  • epintegrationservice.exe

  • epprotectedservice.exe

  • epsecurityservice.exe

  • epupdateservice.exe

  • epupdateserver.exe

只要安全代理在终端运行,这些排除项就必须生效。详情请参阅 VMware Horizon文档页面 .

为实时扫描准备Linux系统

Bitdefender终端安全工具 Linux版包含适用于特定Linux发行版和内核版本的实时扫描功能。更多信息请参考 Linux 系统要求。

使用DazukoFS进行实时扫描的要求

要使DazukoFS与实时扫描协同工作,必须满足一系列条件。请检查以下陈述是否适用于您的Linux系统,并遵循指南以避免问题。

  • SELinux策略必须禁用或设置为 宽容模式 。要检查和调整SELinux策略设置,请编辑 /etc/selinux/config 文件。

  • Bitdefender终端安全工具 仅与安装包中包含的DazukoFS版本兼容。如果系统中已安装DazukoFS,请在安装 Bitdefender终端安全工具 .

  • DazukoFS支持特定内核版本。如果 Bitdefender终端安全工具 附带的DazukoFS包与系统内核版本不兼容,模块将无法加载。此时,您可以将内核更新至受支持版本,或为当前内核版本重新编译DazukoFS模块。您可以在 Bitdefender终端安全工具 安装路径中找到DazukoFS包: 

    /opt/bitdefender-security-tools/share/dazukofs-modules.tar.gz

  • 当使用NFS、UNFSv3或Samba等专用服务器共享文件时,必须按以下顺序启动服务:

    1. 通过策略从 控制中心启用实时扫描 .

    2. 启动网络共享服务。

      对于NFS: 

      #service nfs start

      对于UNFSv3: 

      #service unfs3 start

      对于Samba: 

      #service smbd start

    重要提示

    对于NFS服务,DazukoFS仅兼容NFS用户服务器。

网络发现工作原理

除与Active Directory集成外, GravityZone 还包含自动网络发现机制,用于检测工作组终端。

GravityZone 依赖多种网络扫描技术执行网络发现。在Windows上,系统信息从多个来源收集,例如功能发现、Active Directory(当系统加入域时)。因此,网络发现识别并报告的系统列表可能与 文件资源管理器 > 网络 中显示的机器列表不同(在运行网络探测器的机器上)。

在Linux上,系统网络发现依赖于 ARP 协议来发现局域网中的实体,并通过端口扫描可靠识别机器。

相比之下,macOS系统不会主动参与网络发现,但允许被探测到。

要启用自动网络发现,Bitdefender终端安全工具中继应已安装在网络中至少一个Windows或Linux终端上,并且应已应用包含 自动发现新终端 勾选策略。该终端将用于扫描网络。

除了自动网络发现功能外,还可以通过选择任意受管理的Windows或Linux终端并应用 运行网络发现 任务来执行一次性网络发现。

重要提示

对于已加入域的Linux系统,Active Directory不会作为信息来源使用。

BEST中继 仅通过查询网络获取工作站和服务器的列表(称为浏览列表),随后将其发送至 控制中心 . 控制中心 会处理该浏览列表,将新检测到的终端添加至其 未受管终端 列表中。

先前检测到的终端不会因新的网络发现查询而被删除,因此您必须手动排除并删除已不在网络中的终端。

注意

BEST中继 执行网络发现并与 控制中心 通过 epintegrationservice服务 (Windows系统)和 epagng服务 (Linux系统)进行通信。

macOS设备上的安全代理无法充当中继。

对浏览列表的初始查询由网络中首个安装的 BEST中继 执行。

  • 中继 安装在工作组终端上,则其所在工作组将作为信息来源。

  • 若将 中继 安装在域端点上,则其所属域将作为信息来源。只有该域及 中继 所属网络中的端点会显示在 控制中心 中。若与安装 中继 的域存在信任关系,则可检测其他域的端点。

重要说明

网络发现会利用端点上的所有可用信息来源。例如,若Windows端点运行了功能发现服务且已加入域,则网络发现会同时从这两个来源获取数据。

当在应用策略中勾选 自动发现新端点 时,后续网络发现查询将每4小时定期执行一次。每次执行新查询时, 控制中心 会将受管端点空间划分为可见性区域,并指定每个区域中的一台 中继 执行该任务。

可见性区域是指能相互检测的端点组。通常由工作组或域定义,但具体取决于网络拓扑和配置。某些情况下,一个可见性区域可能包含多个域和工作组。

若选定的 中继 未能执行查询, 控制中心 将等待下一次计划查询,而不会选择其他 中继 重试。

为实现完整网络可见性,应在网络中每个工作组或域的至少一个端点上安装 中继 ,并为其应用包含 自动发现新端点 已勾选。理想情况下, Bitdefender端点安全工具 应在每个子网中至少安装于一个终端上。

网络发现功能将报告所发现终端的IPv4地址。

网络发现要求

要成功发现所有需通过 控制中心 管理的终端(服务器和工作站),网络扫描技术需要满足以下设置和服务:

Windows系统

  • 终端已加入工作组或域,并通过IPv4本地网络连接。

  • 媒体流功能已开启。

  • 控制面板 > 网络和共享中心 > 更改高级共享设置 部分中启用了网络发现。

  • 以下服务正在运行:

    • DNS客户端

    • 功能发现提供程序主机

    • 功能发现资源发布

    • SSDP发现

    • UPnP设备主机

  • 对于多域环境,需设置域间信任关系,且终端可访问其他域的浏览列表。

Linux系统

  • 运行由自定义wsdd服务实现的Web服务发现主机守护进程(适用于Ubuntu操作系统)。

Mac系统

  • 已启用文件共享功能。

注意

当满足上述所有要求时,可获得最佳效果,即发现最大数量的终端。

本节内容 :