跳至主内容

安装安全代理 - 使用场景

工作站准备 Bitdefender终端安全工具 远程部署

为确保成功部署 Bitdefender终端安全工具 至目标系统,需满足以下先决条件:

  1. 操作系统要求

    • 目标终端必须满足最低系统要求。

      部分终端可能需要安装最新的操作系统服务包,或释放磁盘空间。

      列出不符合要求的终端以便将其排除在管理范围外。

    • 通过Linux中继部署代理时,还需满足以下附加条件:

      • 中继端点必须安装Samba软件包( smbclient )4.1.0或更高版本,同时需要 samba-client 依赖项及 samba-common 软件包,以及 net 二进制文件/命令以部署Windows代理。

        注意

        net 二进制文件/命令通常随samba-client和/或samba-common软件包提供。在某些Linux发行版(如CentOS 7.4)中, net 命令仅在安装完整Samba套件(Common + Client + Server)时才会安装。请确保您的中继端点具备可用的 net 命令。

      • 目标Windows端点必须启用管理共享和网络共享功能。

      • 目标Linux和macOS端点必须启用SSH并关闭防火墙。

  2. 管理员权限

    安装需要管理员权限。请确保您已准备好所有端点所需的凭证。

    • 对于工作组中的目标端点 ,请使用具有管理员权限的用户凭证。

    • 对于加入Active Directory域的目标计算机 ,请使用属于 域用户 组且同时是目标计算机本地 管理员 组成员的用户凭证,或是 域管理员 组。同时,请确保该用户不属于 受保护用户 组。

      若管理员需配置任务并为域管理员安全组成员提供部署凭证,可通过配置组策略对象(GPO)应用以下安全组设置:

      [计算机配置->策略->Windows设置->安全设置->本地策略->安全选项]

      策略

      设置

      用户账户控制:管理员批准模式下管理员权限提升提示行为

      无需提示直接提升

      用户账户控制:检测应用程序安装并提示权限提升

      禁用

      用户账户控制:在管理员批准模式下运行所有管理员

      启用

      1342_1.png

      注意

      作为安全最佳实践,部署周期结束后请将设置恢复为默认值。关于 用户访问控制 (UAC)默认配置,请参阅此 微软文章 .

    • 对于Windows部署端与目标端 ,当部署使用目标端本地用户账户时,该用户必须是目标端本地 管理员 组成员。此外,必须禁用所有限制目标端远程操作的UAC设置。

      要禁用远程限制,请将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy 注册表键值设为1。

    • 对于Linux或macOS目标端 ,用于部署的用户账户必须存在于 sudoers 文件中。

  3. 连接性要求

    必须配置防火墙以允许以下安全组件使用的通信端口,这些端口需在所有待管理工作站和服务器上开放,且这些设备需与 GravityZone 控制台建立网络连接:

    • 443 : GravityZone 控制台与 Bitdefender终端安全工具 之间的通信端口。所有网络计算机均需放行此端口。

    • 7074 : 通过 Bitdefender终端安全工具中继 .

      注意

      这些端口不得被网络中任何其他应用程序占用。

    建议为中继服务器配置静态IP地址。若未设置静态IP,请使用机器主机名。

    • 确保启用 文件和打印机共享 协议。该服务使用TCP端口 139 , 445 及UDP端口 137 , 138 。要验证 文件和打印机共享 协议是否启用,必须:

      1. 前往 开始 > 控制面板 > 网络和共享中心 .

      2. 识别已建立的网络连接并点击它。

      3. 点击 属性 .

        1342_4.png

    注意

    为确保连接成功:

    • 禁用Windows防火墙,或配置其允许通过 文件和打印机共享 协议的流量。要禁用Windows防火墙,请打开 控制面板 > Windows防火墙 并点击 关闭。

    • 允许ICMP流量(以便能成功PING通工作站)。

    要检查工作站是否正确配置,您必须:

    • PING相应的工作站。

    • 尝试登录到管理共享。

  4. 第三方安全软件移除

    从计算机上卸载(不仅仅是禁用)任何现有的反恶意软件、防火墙或互联网安全软件。在终端上同时运行安全代理与其他安全软件可能会影响其操作并导致系统出现重大问题。

    许多不兼容的安全程序在安装时会自动检测并移除。

    要了解更多信息并查看由 Bitdefender终端安全工具 针对Windows操作系统(Windows 7/Windows Server 2008 R2及更高版本),请参阅 Bitdefender终端安全工具 .

    若需在已安装 Bitdefender Mac版杀毒软件的计算机上部署安全代理,需先手动卸载后者。具体操作步骤请参考 在装有 Bitdefender终端安全工具 的机器上部署 Bitdefender Mac版杀毒软件 .

Linux版 BEST 在Oracle-SAP环境下的远程部署

本节介绍如何远程部署 BEST Linux版至Oracle-SAP系统

在Linux Oracle系统中,由于SFTP服务限制无法通过SSH进行远程部署。此问题同样存在于Unbreakable Oracle系统

解决方案:

  1. 编辑 sshd_config文件

  2. 查找以以下内容开头的行: Subsystem

  3. 注释并添加如下行: Subsystemsftpinternal-sftp

Bitdefender终端安全工具

创建卸载密码

在某些情况下,拥有管理员权限的用户可卸载 Bitdefender终端安全工具 ( BEST ),导致系统失去保护。

您可通过 GravityZone 控制中心 .

警告

BEST Linux v7版本当前不支持卸载密码功能。

设置密码

您必须为以下情况设置卸载密码:

新部署

为保护未来接入的终端,请在部署前通过安装包设置卸载密码。

通过安装包设置卸载密码的步骤:

  1. 登录 GravityZone 控制中心 .

  2. 通过左侧菜单进入 网络 页面。

  3. 点击 安装包 区域。

  4. 选择要安装的安装包或 创建新安装包 .

  5. 设置 中,勾选 设置卸载密码 复选框。

  6. 输入符合复杂度要求的密码。

  7. 点击 保存

使用此安装包部署 BEST 至终端。该密码将阻止用户后续卸载代理程序。

现有安装

您可以通过策略保护网络中已有的终端。编辑应用于终端的策略以配置卸载密码。

若需为环境中共享同一策略的不同终端组设置多个密码,请使用安装包的卸载密码设置功能。

通过策略配置卸载密码的步骤:

  1. 登录 GravityZone 控制中心 .

  2. 从左侧菜单进入 策略 页面。

  3. 选择已应用于终端的策略。

    若当前应用的是默认策略,则需创建并分配新策略。

  4. 进入 常规 > 设置 页面。

  5. 卸载密码配置 ,请勾选 设置卸载密码 复选框。

  6. 根据复杂度要求输入密码。

  7. 点击 保存 .

确保将策略应用于目标终端。

注意

应用策略时,请确认已配置卸载密码。应用新策略将覆盖安全代理上所有现有设置。

在已安装 Bitdefender终端安全工具 的机器上部署 Bitdefender Mac版杀毒软件

本文说明如何将 Bitdefender终端安全工具 商业版部署至已安装 Bitdefender Mac个人版杀毒软件的机器。

若选择用 Bitdefender 终端安全工具替换Mac版杀毒软件 Bitdefender Endpoint Security Tools ,请注意需先手动卸载个人版产品才能部署后者。

这是因为 Bitdefender Mac版杀毒软件配有防篡改模块,该组件会阻止任何影响产品完整性的外部操作,导致无法通过静默部署或手动安装完成卸载。

要部署 Bitdefender终端安全工具 到已安装 Bitdefender Mac版杀毒软件的设备时,请遵循以下步骤:

  1. 手动卸载 Bitdefender Mac版杀毒软件,使用 Bitdefender 专用卸载程序。

    有时标准版 Bitdefender 卸载程序可能失效,或 Bitdefender Mac版杀毒软件未存在于默认路径。此时必须使用磁盘工具进行卸载。

  2. 重启您的Mac设备。

  3. 按照 Bitdefender终端安全工具 常规流程部署,具体操作指南参见 此处 .

通过Jamf Pro安装 Bitdefender终端安全工具 Jamf Pro(原Casper Suite)是专为Apple平台开发的macOS与iOS管理软件,提供软件包构建、资产清点、镜像管理、远程映像、远程更新、iOS移动设备管理等全方位功能,以及强大的自动化支持框架。

本文介绍如何通过Jamf Pro在macOS计算机上安装

Bitdefender终端安全工具 通过Jamf Pro 10.x部署

Bitdefender终端安全工具 本章节说明如何远程安装

Bitdefender终端安全工具 Bitdefender终端安全工具 通过Jamf Pro 10.x进行部署。

准备工作

安装完成后 Bitdefender终端安全工具 后,用户需在其Mac上批准 Bitdefender 系统扩展。在用户批准 Bitdefender 扩展前,部分功能将无法使用。详情请参阅 Bitdefender 系统扩展在macOS中被阻止 .

作为管理员,您可通过移动设备管理工具(如Jamf Pro)预先批准 Bitdefender 扩展并将其加入白名单,从而避免用户手动操作。详情请参阅 白名单设置 Bitdefender 扩展在Jamf Pro 10.x中 .

通过Jamf Pro安装时,您有以下选择:

mac-downloader.png

注意

  • 以下步骤基于Jamf Pro 10.5版本界面描述。后续版本的Jamf Pro界面可能存在差异。

  • 本节截图仅供参考,实际界面可能因Jamf Pro版本和设置而有所不同。

使用macOS下载器安装 Bitdefender终端安全工具

您可以使用 macOS下载器 在配备Intel或Apple处理器的计算机上安装 Bitdefender终端安全工具 。在此场景下,macOS下载器会在安装过程中自动下载完整套件。

注意

目标计算机必须能够访问 GravityZone 或中继服务器才能下载macOS套件。

  1. GravityZone 控制中心 中,请确保已在 网络 > 安装包

  2. 点击页面顶部的 下载 按钮。

  3. 从下拉菜单中选择 macOS下载器 并将 setup_downloader.dmg 文件保存到本地。

  4. 双击 setup_downloader.dmg 以查看内容。

    img-02-setup-downloader-mac.png

  5. 同时拖拽 SetupDownloader.appinstaller.xml 到一个文件夹。例如: /Users/Shared .

  6. 将包含这些文件的文件夹拖入Jamf Composer,并创建一个可以是DMG或PKG格式的安装文件。

  7. 登录Jamf Pro。

  8. 在控制台右上角,点击 设置 。确保计算机具有 用户批准的MDM 状态。

  9. 点击 计算机管理 ,然后 软件包 .

    通用 选项卡中,您可以编辑 显示名称 字段。

    img-03-setup-downloader.png

  10. 将安装文件上传到Jamf Pro。

  11. 在左侧菜单中,转到 策略 并为安装文件创建一个策略。

    img-04-new-policy.png

  12. 转到 软件包 > 配置 并选择之前上传的软件包。

    设置 操作 安装 .

    jamf_policy_install_68372_en.png

  13. 点击 脚本 并配置 文件与进程 载荷。

  14. 脚本 标签页输入以下命令: 

    /Users/Shared/SetupDownloader.app/Contents/MacOS/SetupDownloader --silent
    img-06-script-setup.png

  15. 将策略分配给计算机后点击 保存 .

使用完整macOS工具包安装 Bitdefender端点安全工具

当安装 Bitdefender端点安全工具 时,若使用完整工具包,必须注意所选版本。不可在Apple芯片的Mac上安装Intel版macOS工具包,反之亦然。

  1. GravityZone 控制中心 中,确保已配置好安装包(路径: 网络 > 安装包

  2. )。点击 下载 在页面顶部。

  3. 在下拉菜单中,选择 macOS套件(Intel x86) macOS套件(Apple M1) .

    下载相应文件所需时间比 macOS下载器 更长,因为其体积更大。

  4. 双击 Bitdefender_for_MAC.dmg (Intel文件)或 Bitdefender_for_MAC_ARM.dmg (Apple M1文件)以查看内容。

    13945_3.png

  5. antivirus_for_mac.pkginstaller.xml 拖拽至文件夹。例如: /Users/Shared .

  6. 将包含这些文件的文件夹拖入Jamf Composer,创建可为DMG或PKG格式的安装文件。

  7. 登录Jamf Pro。

  8. 在控制台右上角点击 设置 。确保计算机具有 用户批准的MDM 状态。

  9. 点击 计算机管理 ,然后 软件包 .

    通用 标签页中,可编辑 显示名称 文件名 字段。

    13945_4.png

  10. 将安装文件上传至Jamf Pro。

  11. 在左侧菜单中,进入 策略 并为安装文件创建策略。

    13945_5.png

  12. 策略 > 软件包 中选择安装文件,并将 操作 设为 安装 .

    13945_6.png

  13. 点击 脚本 并配置 文件与进程 负载。

  14. 脚本 标签页中输入以下命令: 

    installer -pkg /Users/Shared/antivirus_for_mac.pkg -target /
    13945_7.png

  15. 将策略分配给计算机并点击 保存 .

注意

在Jamf Pro部署过程中,若通过Jamf Pro脚本部署SSL证书失败,该流程完全由Jamf管理。若通过 Bitdefender 代理GUI手动部署或信任SSL证书成功,则问题可能与Jamf Pro SSL部署脚本相关。此类情况下,请联系Jamf支持团队获取进一步协助。

配置Jamf Pro以部署 BEST 至macOS Big Sur 11.0或更高版本

Bitdefender端点安全工具 ( BEST )在macOS Big Sur 11.0或更高版本上部署时,需在Jamf Pro中创建配置描述文件。在该配置描述文件中需预先批准以下内容:

  • Bitdefender 系统扩展

  • 流量代理

  • 全磁盘访问权限

所有批准均为确保 Bitdefender端点安全工具 正常运行所必需,且无需终端用户交互。

Bitdefender 系统扩展

首先需创建一个配置描述文件,预先批准 Bitdefender 系统扩展。

创建描述文件的步骤如下:

  1. 登录Jamf Pro。

  2. 前往 计算机 > 配置描述文件 并点击 新建 .

  3. 在新配置文件的左侧菜单中,向下滚动至 系统扩展 .

  4. 点击 配置 .

  5. 允许的团队ID和系统扩展 下方,配置以下设置:

    • 显示名称 栏中输入 Bitdefender

    • 系统扩展类型 下拉列表中,选择 允许的系统扩展 .

    • 团队标识符 栏中输入 GUNFMW623Y

    • 允许的系统扩展 栏中输入以下字符串: com.bitdefender.cst.net.dci.dci-network-extension

    jamf_bitdefender_extension_allowed_92066_en.png

  6. 点击 + (加号)按钮以配置允许在必要时卸载 Bitdefender 安全代理的设置。

  7. 在新的 允许的团队ID和系统扩展 表单中,配置以下设置:

    • 显示名称 下,输入 Bitdefender

    • 系统扩展类型 下拉列表中,选择 可移除系统扩展 .

    • 团队标识符 下,输入 GUNFMW623Y

    • 可移除系统扩展 下,输入以下字符串: com.bitdefender.cst.net.dci.dci-network-extension

    jamf_bitdefender_extension_removable_92066_en.png

  8. 点击 保存 .

完整的配置配置文件应如下图所示。

jamf_bitdefender_extension_profile_92066_en.png

流量代理

BEST 使用隧道应用程序(如VPN)来过滤流量。

要预先批准此应用程序,请按照以下步骤操作:

  1. 在配置文件的左侧菜单中,转到 内容过滤器 .

  2. 过滤器名称 下,输入 Bitdefender .

  3. 标识符 下,输入 com.bitdefender.epsecurity.BDLDaemonApp .

  4. 网络过滤器 下,输入以下字符串:

    • 对于 网络过滤器包标识符 :

      com.bitdefender.cst.net.dci.dci-network-extension

    • 对于 网络过滤器指定要求 :

      anchorapplegenericandidentifier"com.bitdefender.cst.net.dci.dci-network-extension"and(certificateleaf[field.1.2.840.113635.100.6.1.9]/*exists*/orcertificate1[field.1.2.840.113635.100.6.2.6]/*exists*/andcertificateleaf[field.1.2.840.113635.100.6.1.13]/*exists*/andcertificateleaf[subject.OU]=GUNFMW623Y)

    002-content-filter.png

  5. 点击 保存 .

全磁盘访问

要为 Bitdefender终端安全工具 启用全磁盘访问,请按以下步骤操作:

  1. 在配置文件的左侧菜单中,进入 隐私偏好策略控制 .

  2. 您需要为以下应用程序授予完全访问权限:

    • BDLDaemon.app

      1. 标识符 栏中输入:

        com.bitdefender.epsecurity.BDLDaemonApp

      2. 标识符类型 栏中,选择 Bundle ID .

      3. 代码要求 栏中输入:

        anchorapplegenericandidentifier"com.bitdefender.epsecurity.BDLDaemonApp"and(certificateleaf[field.1.2.840.113635.100.6.1.9]/*exists*/orcertificate1[field.1.2.840.113635.100.6.2.6]/*exists*/andcertificateleaf[field.1.2.840.113635.100.6.1.13]/*exists*/andcertificateleaf[subject.OU]=GUNFMW623Y) .

      4. 点击屏幕右侧的 添加 按钮。

      5. 应用或服务 栏中选择 SystemPolicyAllFiles 从下拉列表中选择。确保 访问权限 设置为 允许 .

      6. 点击 保存 .

    • EndpointSecurityforMac.app

      重要提示

      从7.16.42.200020版本开始,代理不再需要为 EndpointSecurityforMac 进程授予全磁盘访问权限。

      1. 点击屏幕右侧的 + 按钮以添加另一个模板。

      2. 标识符类型 下,选择 Bundle ID .

      3. 标识符 下,输入:

        com.bitdefender.EndpointSecurityforMac

      4. 代码要求 下,输入:

        标识符"com.bitdefender.EndpointSecurityforMac"且锚定苹果通用证书及证书1[field.1.2.840.113635.100.6.2.6]/*存在*/且证书叶子[field.1.2.840.113635.100.6.1.13]/*存在*/且证书叶子[subject.OU]=GUNFMW623Y

      5. 点击 添加 屏幕右侧的按钮。

      6. 应用或服务 下,从下拉列表中选择 SystemPolicyAllFiles 。确保 访问权限 设置为 允许 .

      7. 点击 保存 .

        003-disk-access.png

  3. 点击 保存 .

有关 Bitdefender端点安全工具 在macOS Big Sur中所需审批的详细信息,请参阅 macOS Big Sur及更高版本中 Mac端点安全 的变更:网络扩展、代理配置和SSL证书 .

要通过Jamf Pro 10.x安装 Bitdefender端点安全工具 ,在创建配置配置文件后,请参阅 安装 Bitdefender端点安全工具 通过Jamf Pro .

白名单设置 Bitdefender 在Jamf Pro 10.x中的扩展

本文说明如何在Jamf Pro 10.x中将 Bitdefender 扩展列入白名单。

安装 Bitdefender终端安全工具 ( BEST )后,无论是手动还是远程在macOS中操作,系统都会提示用户批准其计算机上的 Bitdefender 扩展。在用户批准 Bitdefender 扩展之前,部分 BEST 功能将无法使用。详情请参阅 macOS中Bitdefender系统扩展被阻止 .

您可以通过MDM工具(如Jamf Pro)将 Bitdefender 扩展列入白名单来预先批准这些扩展,从而避免用户干预。此功能自macOS 10.13.2和Jamf Pro 10.3.0版本起支持。 Bitdefender

Bitdefender 扩展列入白名单的流程涉及在Jamf Pro 10.x中创建并应用MDM配置描述文件。

注意

目标计算机必须具有 用户批准的MDM 状态。

有关用户批准的MDM的详细信息,请参阅以下文章:

如何创建MDM配置配置文件

要为白名单创建MDM配置配置文件 Bitdefender 扩展,请按照以下步骤操作:

  1. 登录Jamf Pro。

  2. 转到 计算机 > 配置配置文件 > 新建 .

  3. 向下滚动到 已批准的内核扩展 .

  4. 输入 显示名称 团队ID .

    Bitdefender 团队ID为 GUNFMW623Y .

    15210_1.png

    注意

    无需单独指定需要批准的扩展名。

  5. 保存更改。

  6. 将配置文件部署到计算机。

重要提示

如果部署到macOS Big Sur(版本11)或更高版本,请不要在同一配置配置文件中包含内核扩展。否则在尝试安装配置文件时会出现以下错误:

“当前系统配置不允许执行所请求的操作。”

为避免此问题:

  • 如果部署到运行macOS Big Sur或更高版本的Mac,请从当前配置配置文件中移除内核扩展。

  • 为内核扩展单独创建一个配置配置文件。

通过Jamf Pro部署 Bitdefender端点安全工具 的SSL证书

在Mac上安装后, Bitdefender端点安全工具 ( BEST )需要SSL证书才能正常工作。为了让 Bitdefender 代理加载并使用证书,通过Jamf Pro部署时需注意以下事项:

  • Bitdefender端点安全工具 安装包必须配置卸载密码。

    必须在macOS终端上生效的策略中指定卸载密码,否则证书部署可能失败。

  • 需要使用卸载密码的MD5哈希值创建PFX证书(使用PEM和KEY文件)。

  • 必须通过Jamf Pro的 配置配置文件 将PFX证书安装到目标计算机上。

  • 您必须通过Jamf Pro的策略将相同的PFX证书部署到目标计算机的路径 /Library/DeployCert 下。建议部署到路径 /Library/DeployCert 的证书仅对 root 用户拥有 读取 写入 权限。

当PFX证书安装完成、在钥匙串中受信任并部署到 /Library/DeployCert , BEST 将使用该证书进行中间人攻击(MITM)防护,本地用户不再会被提示安装SSL证书。

通过Jamf Pro部署到 /Library/DeployCert 的证书优先级高于钥匙串中已安装且受信任的 Bitdefender CA SSL证书。按照此流程操作后, BEST 将停止使用 Bitdefender CA SSL证书,转而加载新证书。

SSL证书部署方法

对于现有 BEST 安装环境或新代理部署前,均可执行以下步骤:

  1. GravityZone 控制中心 ,请在应用于目标端点的策略中设置卸载密码以部署证书。

    要设置卸载密码,请前往策略中的 常规 > 设置 部分。 了解更多 .

  2. 生成包含关联私钥的PEM证书。

    创建PEM证书的示例命令行: 

    /usr/bin/openssl req -new -days 1825 -nodes -x509 -subj '/C=RO/ST=Bucharest/L=Bucharest/O=Endpoint/CN=NewName
CA SSL' -keyout rootCA.key -out rootCA.pem

    注意

    创建证书时,必须使用唯一的通用名称(CN)。 BitdefenderCASSL 是默认证书名称,必须替换且不可重复使用以避免冲突。例如: CN=我的证书CASSL .

  3. 使用上一步的PEM和KEY文件生成名为 certificate.pfx 的PFX证书。

    注意

    证书名称必须为 certificate.pfx 。若名称不同将导致部署失败。

    该证书需设置为始终受信任,并通过 GravityZone .

    可通过终端命令 md5-s'密码' 或其他MD5计算工具生成MD5值。例如字符串 1234 的MD5值为 81dc9bdb52d04dc20036dbd8313ed055 .

    创建 certificate.pfx 文件的命令行示例: 

    openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out certificate.pfx

    此时需设置导出密码,该密码应为卸载密码的MD5哈希值。

    certificatePFXcommand.png

  4. 在Jamf中创建 配置描述文件 并上传预先配置好的 certificate.pfx 文件。

    jamf_certificate_upload_144052_en.png

  5. 将策略分配给目标计算机后,证书将以始终受信状态安装至钥匙串。

  6. 创建 /Library/DeployCert 文件夹并将 certificate.pfx 文件复制到 /Library/DeployCert .

    使用 Jamf Composer 创建包含 /Library/DeployCert/certificate.pfx .

  7. 在Jamf中,前往 计算机管理 > 软件包 并上传上一步生成的PKG文件。

    img-04-upload-certificate.png

  8. 同样在Jamf中,进入 策略 并创建新策略。

    img-05-new-policy.png

  9. 配置先前上传的软件包。将 操作 设置为 安装 并分配该策略。

    随后 certificate.pfx 文件将被部署至目标计算机。

    jamf_policy_install_68372_en.png

通过Kandji为 Bitdefender终端安全工具 部署SSL证书

在Mac上安装后, Bitdefender终端安全工具 需要SSL证书才能正常运行。此时, Bitdefender 代理会提示本地用户安装证书以启用SSL保护。

使用Kandji平台安装证书时需注意:

  • 部署所用的安装包已在 GravityZone .

  • 需使用卸载密码的MD5哈希值创建PFX证书,并通过Kandji的配置描述文件将其安装到设备上。

  • 需将相同PFX证书部署至设备的以下路径: /Library/DeployCert .

要安装SSL证书,请按以下步骤操作:

  1. Bitdefender终端安全工具 创建安装包,该安装包位于 GravityZone 中,并包含卸载密码。详情请参阅 安装安全代理 - 标准流程 .

  2. 在终端中创建包含关联私钥的PEM证书。

    创建PEM证书的命令行示例: 

    /usr/bin/openssl req -new -days 1825 -nodes -x509 -subj
'/C=RO/ST=Bucharest/L=Bucharest/O=Endpoint/CN=YourCertName CA SSL' -keyout
rootCA.key -out rootCA.pem

    注意

    确保创建的证书名称(命令行中CN的值)与默认证书名称“Bitdefender CA SSL”不同。例如: CN=MyCertificateCASSL

  3. 在终端中创建名为 certificate.pfx 的PFX证书,使用上一步生成的PEM和KEY文件。

    此证书需始终受信任,并通过 GravityZone .

    创建 certificate.pfx 文件的命令行示例: 

    openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out certificate.pfx

  4. 在此步骤中,终端会提示输入密码。请确保输入的是 Bitdefender终端安全工具 安装包中设置的卸载密码的MD5哈希值。

    您可以使用以下命令计算MD5: 在终端输入md5-s'password' 或使用其他MD5计算工具。例如,字符串 1234 的MD5值为 81dc9bdb52d04dc20036dbd8313ed055 .

  5. 在Kandji中,进入 资源库 > 新增 > 证书 .

  6. 点击 添加并配置 以创建证书配置文件,将PFX证书推送至计算机。

  7. 选择需要分配证书的 蓝图

  8. 指定证书详细信息:

    • 证书类型 中选择 PKCS #12格式证书 .

    • 添加证书名称。

    • 输入证书密码(即 Bitdefender 卸载密码的MD5哈希值)。

  9. PFX证书还需部署到本地机器的以下路径: /资源库/DeployCert

    为实现此目的,请将此证书以ZIP压缩包形式添加到 Bitdefender端点安全工具 安装包中。

  10. 您可以略微调整Kandji安装后脚本,使其包含将证书放置到正确位置所需的步骤。

    示例: 

    # 创建DeployCert文件夹

mkdir -p /资源库/DeployCert

 

# 将证书移至DeployCert文件夹

mv /var/tmp/certificate.pfx /资源库/DeployCert/

 

# 调整权限

chmod -x /资源库/DeployCert 

chmod +w /资源库/DeployCert

当PFX证书完成安装、钥匙串信任设置并部署至 /资源库/DeployCert , Bitdefender端点安全工具 将使用该证书进行中间人攻击防护,且本地用户不再会收到安装SSL证书的提示。

通过Kandji部署到 /资源库/DeployCert 的证书将优先于 BitdefenderCASSL 证书(该证书先前已安装并受钥匙串信任)。遵循此流程后, Bitdefender端点安全工具 将停止使用 BitdefenderCASSL 并转而加载新证书。

通过MSI包安装 Bitdefender端点安全工具

Bitdefender端点安全工具 ( BEST ) 作为 GravityZone 安全代理,采用单一安装包适用于任何环境(物理或虚拟)。在Windows系统上, GravityZone 提供的安装包仅以 .EXE 格式的可执行工具包形式交付。若需通过Windows组策略或其他支持MSI包的第三方应用程序部署代理,此方式可能不便。

解决方案是对Windows Downloader(BEST的标准轻量安装程序)应用MSI封装器。本节提供下载安装程序的指南,以及几种使用MSI包部署 BEST 的方法。 BEST 的步骤说明。

获取Windows Downloader

警告

  • 请勿修改Windows Downloader文件名,否则将无法从 Bitdefender 服务器下载安装文件。

  • 由于Microsoft Edge可能截断长文件名(如Windows Downloader),建议使用其他浏览器。

下载 BEST 安装程序需执行以下操作:

  1. 登录 GravityZone 控制中心 .

  2. 转至 网络 > 安装包 页面。

  3. 选择需要下载的安装包。

    重要提示

    当前流程不支持带有代理设置的安装包。

  4. 点击 下载 表格上方的 Windows下载器 .

    安装包将以 .EXE 文件形式保存至默认下载位置。

部署 BEST 使用Microsoft端点配置管理器(SCCM)

重要提示

本流程不支持带有代理设置的安装包。

要通过SCCM部署 BEST 请按以下步骤操作:

1. 获取安装程序哈希值

可通过以下任一方式完成:

发送下载链接

  1. 登录 GravityZone 控制中心 .

  2. 进入 网络 > 安装包 页面。

  3. 展开 安装链接 区域。

  4. 从方括号[ ]之间提取安装程序哈希值并保存。

    sccm2.JPG

  5. 选择要部署的安装包。

  6. 点击 发送 下载链接。

Windows下载器

警告

  • 请勿修改Windows下载器的文件名,否则将无法从Bitdefender服务器下载安装文件。

  • 由于Microsoft Edge可能会截断长文件名(如Windows下载器的文件名),建议使用其他浏览器。

要下载 BEST 安装程序,您必须:

  1. 登录 GravityZone 控制中心 .

  2. 转到 网络 > 安装包 页面。

  3. 选择要部署的安装包。

  4. 点击 下载 表格上方的按钮并选择 Windows下载器 .

  5. 从方括号[ ]之间提取安装程序哈希值并保存。

    sccm3.JPG

2. 创建安装MSI包

  1. 下载 MSI封装工具 .

    BESTmsi.PNG

  2. 将MSI文件从Configuration Manager复制到软件库共享。

  3. 转到 Configuration Manager > 软件库 > 应用程序

    sccm1.JPG

  4. 点击 创建应用程序 按钮。

  5. 定位MSI封装文件并点击 下一步 .

    newsccm4.JPG

  6. 等待信息导入完成后点击 下一步 .

  7. 常规信息 页面,向安装程序命令行添加以下参数: 

    msiexec /i "BEST_downloaderWrapper.msi" /qn GZ_PACKAGE_ID=安装包哈希值REBOOT_IF_NEEDED=1

    编辑后的命令行应如下所示: 

    msiexec /i "BEST_downloaderWrapper.msi" /qn GZ_PACKAGE_ID=aHR0cHM6Ly9jbG91ZGd6LWVjcy5ncmF2aXR5em9ucS5iaXRkZWZlbmRlci5jb20vUGFja2FnZXMvQlNUV0lOLzAvcV9Ib0VML2luc3RhbGxlci54bWw-bGFuZz1lbi1VUw== REBOOT_IF_NEEDED=1

  8. 安装行为 下,选择 若资源为设备则为系统安装;否则为用户安装 .

    newsccm5.JPG

  9. 点击 下一步 以应用设置。

  10. 检查信息并点击 下一步 以创建应用程序。

  11. Bitdefender终端安全工具 将显示在应用程序列表中。

    sccm6.JPG

3. 部署安装包

  1. 右键点击应用程序并选择 部署 .

    sccm7.JPG

  2. 点击 浏览 并将集合指定为 所有系统 。点击 下一步 .

    sccm8.JPG

  3. 要添加分发点,请在 添加 中选择您的分发点。

    sccm9.JPG

  4. 操作 ,选择 安装 。在 目的 中,选择 必需 .

    sccm10.JPG

  5. 点击 下一步

  6. 安排部署并点击 下一步 .

    sccm11.JPG

  7. 配置 用户通知 并点击 下一步 .

    sccm12.JPG

  8. 指定警报选项并点击 下一步 .

    sccm13.JPG

  9. 确认设置并点击 下一步 .

    sccm14.JPG

  10. 等待操作完成并点击 关闭 .

    sccm15.JPG

您可以在SCCM下查看设备数量递增的部署:

sccm16.JPG

如需查看已部署应用程序的信息,请转至 监控 > 部署 在控制台左侧:

sccm17.JPG

部署 最佳 通过msiexec.exe命令行

此方法适用于接受带参数指令的命令行部署工具。该方法使用 msiexec 命令,以MSI封装程序和安装程序ID作为参数。该MSI封装程序由 Bitdefender .

注意

当前流程不支持含代理设置的安装包。

  1. 登录 GravityZone 控制中心 .

  2. 选择需要下载的安装包。

  3. 点击 下载 表格上方的 Windows下载器 .

    安装包将以 .EXE 文件形式保存至默认下载位置。

  4. 下载 MSI封装程序 .

  5. 打开 命令提示符 以管理员身份运行。

  6. 执行以下命令部署 BEST :

    msiexec/i"完整路径\BEST_downloaderWrapper.msi"/qnGZ_PACKAGE_ID=字符串 REBOOT_IF_NEEDED=1 参数

    其中:

    • 完整路径 指MSI包装器的实际路径。

    • 字符串 是与Windows下载器名称中包含的加密字符串相同。

    • 参数 (可选)- 在部署 BEST 覆盖竞争对手产品时重启机器。

      1 = 真

      系统将在重启前向用户发送10分钟倒计时通知。

    例如:

    msiexec/iC:\我的下载\BEST_downloaderWrapper.msi/qnGZ_PACKAGE_ID=aHR0cH-bGFuZz1lbi1VUw==REBOOT_IF_NEEDED=1

    本例中 GZ_PACKAGE_ID 的值为: aHR0cH-bGFuZz1lbi1VUw== .

    注意

    示例中的字符串仅用于说明目的,实际字符串不同且长度更长。

Jamf Pro终端安装 Bitdefender端点安全工具 适用于macOS

要通过Jamf Pro远程安装 Bitdefender端点安全工具 请按照以下步骤操作:

  1. 将PKG文件复制到目标机器。

  2. 在终端中运行以下命令: 

path/to/Installer.app/Contents/MacOS/InstallationDeployer --install installer -pkg /path/to/the_package_to_be_installed.pkg -target /

Installer.app/Contents/MacOS/InstallationDeployer 是Jamf Pro中用于安装PKG文件的应用程序。

安装 Bitdefender端点安全工具 在Linux虚拟机上的手动安装

本节描述如何从 GravityZone 云环境中手动安装 GravityZone 安全代理到Linux虚拟机。

要求和前提条件

安装前请检查 Linux上的安全代理要求 .

许可

Linux端点使用 服务器操作系统 .

安装

该流程包括如何下载适当的安装包到机器、解压归档文件并通过终端会话手动安装。

  1. GravityZone 控制中心 中,前往 网络 > 软件包 .

  2. 选择您要使用的安装包。若无可用安装包,请创建并选择。

  3. 点击页面顶部的 发送下载链接 按钮。

    10359_5.png

  4. 在对应字段输入用于下载软件包的邮箱地址,然后按 回车键 。您需要从待安装安全代理的虚拟机访问该邮箱账户。

  5. 点击 发送 。几分钟内,包含安全代理下载链接的预设邮件将发送至指定地址。

  6. 连接到需安装安全代理的Linux虚拟机,并访问先前使用的邮箱账户。

  7. 打开来自 Bitdefender 的邮件,点击Linux安装程序链接,将Linux安装包下载至虚拟机。

    注意

    安装程序会首先从 Bitdefender 云服务器下载完整安装包。该安装包体积小,可同时运行于32位和64位系统。

  8. 使用具备管理员权限的账户,在Linux虚拟机上打开终端会话。

  9. 运行以下命令解压并执行安装程序:

    cd/root

    tar–xvffullKit_unix64.tar

    chmod+xinstaller

    ./installer

    注意

    cd/root 命令用于指定虚拟机中已传输安装包的目录,上述包名仅为示例。您需输入实际下载的安装包名称。

  10. Bitdefender端点安全工具 即将开始安装Linux版本。要验证终端是否安装成功,请执行以下命令:

    /opt/bitdefender-security-tools/bin/bdstatus

安全代理安装完成后数分钟内,该终端将作为受控设备显示在 GravityZone 网络清单中。

安装 Bitdefender端点安全工具 使用非root用户凭证

在已集成 控制中心 的环境中,您可通过安装任务远程部署 Bitdefender端点安全工具 。此类任务需要目标系统的管理员权限。在Linux系统上,您可使用root用户或具备管理员权限的非root用户凭证。

要通过非root用户安装 BEST ,请按以下步骤操作:

  1. 在每个目标系统上:

    1. root 身份执行以下命令,安全编辑/etc/sudoers配置文件:

      #visudo

    2. 输入I启用编辑模式。

    3. 确保您的用户可通过sudo命令执行软件包安装:

      1. 找到如下行:

        rootALL=(ALL)ALL

        接下来的几行中应存在与上述类似但包含用户名的条目。

      2. 若未找到相应用户的行,请按如下格式添加:

        用户名ALL=(ALL)ALL

        此设置授予用户对所有需要 root 权限的命令使用sudo的权利。

    4. 注释以下行:

      Defaultsrequiretty

      Defaultstargetpw

      Defaultsrunaspw

      Defaultsrootpw

      Defaults!visiblepw

    5. 保存文件并退出:按ESC键后输入:wq。

  2. 通过 控制中心 ,按照 安装 Bitdefender端点安全工具 在Linux虚拟机上的手动部署步骤 .

    当提示输入凭证时,请提供非root用户的认证信息。

配置Faronics Deep Freeze以兼容 Bitdefender端点安全工具

本文说明如何配置Faronics Deep Freeze Enterprise以允许安装 Bitdefender端点安全工具 .

Faronics Deep Freeze 通过使计算机配置不可破坏,有效消除计算机损坏和停机问题。一旦在计算机上安装Deep Freeze,任何对计算机的更改——无论意外还是恶意——都不会永久保留。该软件能即时抵御当今困扰计算机的诸多问题:不可避免的配置偏移、意外系统错误配置、恶意软件活动以及系统性能的渐进性下降。

概述

在计算机上安装Faronics Deep Freeze Enterprise后,由 BEST 在每次系统重启时被删除。

本节旨在帮助您了解如何配置Faronics Deep Freeze Enterprise以与 BEST 协同工作且互不冲突:

  • 系统重启后的签名更新

  • 控制中心

  • BEST 产品更新

安装 BEST 与Faronics Deep Freeze Enterprise

您有两种安装 BEST :

  • 手动配置

  • 脚本配置

手动配置

  1. 在您网络中的服务器上安装Faronics Deep Freeze Enterprise 8或更高版本。

  2. 使用Deep Freeze配置管理工具设置密码并新建一个容量至少为 T:\ 的分区(例如: 1.5 GB )作为解冻空间。该空间包含Deep Freeze激活状态下系统重启后仍需保留的文件。

  3. 在Deep Freeze配置管理工具中,前往 文件 > 创建工作站安装程序 并为受Deep Freeze保护的系统创建安装包。

  4. 在目标机器上安装新创建的安装包。

  5. 打开Deep Freeze Enterprise并选择 启动解冻 复选框,位于 启动控制 选项卡中。此选项将在下次重启时禁用Deep Freeze,以便安装Faronics Data Igloo和 BEST .

  6. 重启目标机器。

  7. 安装Faronics Data Igloo。

  8. 在目标机器上,按下Win + R键打开 运行 窗口。

  9. 输入 regedit 并按Enter键打开注册表编辑器。

  10. 创建以下注册表项: HKEY_LOCAL_MACHINE\Software\Bitdefender .

  11. 使用Faronics Data Igloo,将 HKEY_LOCAL_MACHINE\Software\Bitdefender 项的目标更改为位于 T:\ 分区上的文件夹。

  12. 在包含操作系统的分区上,创建以下文件夹:

    • %ProgramFiles%\Bitdefender\EndpointSecurity\Signatures

    • %ProgramFiles%\Bitdefender\EndpointSecurity\ThreatScanner

    • %ProgramFiles%\Bitdefender\EndpointSecurity\settings

    • %ProgramFiles%\Bitdefender\EndpointSecurity\epagng

  13. 使用 文件夹重定向 标签页,在Faronics Data Igloo中将这三个文件夹重定向到 T:\ 分区下的文件夹。

  14. 安装 BEST 到目标计算机上。

脚本配置

  1. 在您网络中的服务器上安装Faronics Deep Freeze企业版8或更高版本。

  2. 使用Deep Freeze配置管理工具设置密码并新建一个分区(例如: T:\ ),其容量至少为 1.5GB 作为解冻空间。解冻空间包含在Deep Freeze激活状态下系统重启后仍保留的文件。

  3. 在Deep Freeze配置管理工具中,转到 文件 > 创建工作站安装程序 并为受Deep Freeze保护的系统创建安装包。

  4. 在目标计算机上安装新创建的包。计算机将自动重启。

  5. 打开Deep Freeze企业版,在 启动解冻 复选框(位于 启动控制 标签页中)打勾。此选项将在下次重启时禁用Deep Freeze,以便您安装Faronics Data Igloo和 BEST .

  6. 重启目标计算机。

  7. 安装Faronics Data Igloo。

  8. 下载 Bitdefender 重定向脚本从 此处 .

  9. 从压缩包中提取VBS脚本文件并运行。

    注意

    在启用 用户账户控制 的操作系统上,请以管理员身份打开 命令提示符 (cmd.exe)并通过命令行运行脚本。

  10. 在目标机器上安装 BEST

运行 BEST 产品更新

重要提示

此过程中目标系统将重启两次。

要成功运行 BEST 产品更新:

  1. 将目标机器切换至 启动解冻 模式。Deep Freeze需重启才能进入 启动解冻 模式。

  2. 更新 任务运行 控制中心 。此外,您也可以从本地控制台运行更新。

    注意

    在某些情况下, BEST 可能需要重启目标机器。

  3. 登录 控制中心 ,通过生成 更新状态 报告来确认产品更新已成功安装。

  4. 将目标机器切换至 启动冻结 模式。Deep Freeze需要重启才能进入 启动冻结 模式。

macOS Big Sur及更高版本中 Mac端点安全 的变更:网络扩展、代理配置及SSL证书

从macOS Big Sur开始,苹果采用了影响 Mac端点安全 代理行为的技术。

具体而言,苹果已用运行在用户空间的系统扩展取代了旧版macOS中的内核扩展。因此, Bitdefender 也将 Mac端点安全 从内核扩展切换为系统扩展。其中网络扩展这一系统扩展需要用户特别关注。

为确保 Mac端点安全 的某些功能或网络组件(反钓鱼、流量扫描及 内容控制 模块,以及 EDR 传感器)需要用户授予以下批准:

  • 网络扩展的批准

  • 用于过滤互联网流量的隧道应用程序的批准

  • SSL证书的批准

如果网络扩展、隧道应用程序和SSL证书未获批准, Mac版终端安全 会每隔三小时显示警告消息。

重要提示

版本4.15.127.200127 , Mac版终端安全 全面支持 内容控制 在macOS Big Sur 11.2中(参见发布说明)。此前在macOS Big Sur 11.0和11.1上,当终端上安装了带有网络扩展的其他应用程序(例如Cisco AnyConnect VPN)时,内容控制会进入直通模式并停止所有连接过滤。这是由于操作系统的兼容性问题导致的。在这种情况下, GravityZone 控制台会显示以下错误消息:“未知问题(Product.NetworkExtensionIsDisabled.NetworkExtensionIncompatibility)”。

有关 Mac版终端安全 在macOS Big Sur中的支持详情,请参阅 Bitdefender对macOS Big Sur的支持 .

注意

本文包含macOS Big Sur中可用的程序和截图。这些程序也适用于macOS的后续版本,如Monterey和Ventura,但 用户界面可能有所不同 ,因此在按照步骤操作时请注意。

网络扩展

安装时

在较早的 macOS 版本中,内核扩展仅在首次安装 Mac 版端点安全 时需要批准。从 macOS Big Sur 开始,每次安装或重新安装代理或网络组件时(除非已安装其他组件),网络扩展都需要重新批准。

安装时,Mac 用户会收到以下 系统扩展被阻止 针对网络扩展的警告消息:

"程序 'SecurityNetworkInstallerApp' 尝试加载新的系统扩展。若要启用这些扩展,请打开'安全性与隐私'系统偏好设置。"

big-sur-01.png

要在 macOS Big Sur 及更早版本中批准网络扩展,请按以下步骤操作。

若需在 macOS Sequoia 及后续版本中批准网络扩展,请参阅 Bitdefender 在 macOS 中被阻止的系统扩展 .

macOS Big Sur 中的网络扩展批准流程

  1. 点击 打开安全性偏好设置 .

  2. 前往 安全性与隐私 > 隐私 > 通用 .

  3. 点击窗口底部的锁形图标以进行更改。

    big-sur-02.png

  4. 输入系统凭证并点击 解锁 .

    big-sur-03.png

  5. 为被阻止的系统扩展点击 允许

  6. 若网络扩展未获批准, Mac 版端点安全 将显示 您正处于风险中 警告,并在 查看问题 窗口中显示以下消息:

    "安装并允许网络扩展以启用全面保护。"

    big-sur-04.png

解决问题的方法:

  1. 点击 立即安装 以打开 安全 > 隐私 窗口。

  2. 点击窗口底部的锁以进行更改。

  3. 输入系统凭据并点击 解锁 .

  4. 点击 允许 以解除被阻止的系统扩展。

注意

在macOS Ventura中,这些控制选项位于 隐私与安全 页面。

卸载时

从macOS Big Sur及更高版本开始,当代理或网络组件被卸载时(没有其他组件保留安装),网络扩展需要用户批准。

big-sur-05.png

如果用户不批准更改,代理或组件将不会被卸载。

隧道应用程序(代理配置)

系统扩展在用户空间中运行,因此 Mac端点安全 使用隧道应用程序(如VPN)来过滤流量。此应用程序也需要批准。

"BDLDaemon"请求添加代理配置 窗口中,点击 允许 .

big-sur-06-ok.png

若应用程序未获批准, Mac端点安全防护 会显示 您处于风险中 警告及以下信息于 查看问题 窗口:

"请允许BDLDaemon.app添加代理配置以安装网络组件。"

big-sur-07.png

代理配置将被添加至 系统偏好设置 > 网络 .

big-sur-08-ok.png

Bitdefender DCI仅在网络扩展获批准时连接。

big-sur-09.png

SSL证书

为过滤HTTPS流量, Mac端点安全防护 需要SSL证书的授权。

big-sur-10.png

若未更新信任设置, Mac端点安全防护 将显示 您处于风险中 警告及以下信息于 查看问题 窗口:

"SSL证书不受信任。请信任该证书以启用SSL保护。"

big-sur-11.png

信任SSL证书的方法:

  1. 点击 打开钥匙串访问 .

  2. 双击 Bitdefender CA SSL .

    big-sur-13.png

  3. 展开 信任 部分。

    big-sur-14.png

  4. 点击 使用此证书时 并选择 始终信任 .

    big-sur-16.png

  5. 关闭窗口。

  6. 输入系统凭据并点击 更新设置 .

    big-sur-17.png

重要提示

除上述步骤外, BEST 在macOS Big Sur中需要全磁盘访问权限。详情请参阅 未授予全磁盘访问权限给 Bitdefender终端安全工具 在macOS Mojave (10.14)及更高版本中 .

部署 BEST Linux v7版通过Ansible

本文包含创建必要配置文件和部署的基本指南 BEST 使用Ansible playbook在Linux上部署

  1. 创建配置文件以记录资产清单:

    inventory.yaml 

    虚拟机:
  主机:
    ubuntu22.04:
      ansible主机: 10.17.15.240

    注意

    有关如何创建Ansible配置文件的更多信息,请参阅 如何构建资产清单 .

  2. 创建配置文件以组织 BEST Linux v7的部署流程:

    deploy.yaml 

    - 主机: 虚拟机
  变量:
    - 工作目录: /root/bitdefender
    - 测试文件: /home/eicar.com
  任务:
    - 名称: 创建工作目录
      文件:
        路径: "{{ 工作目录 }}"
        状态: 目录
    - 名称: 下载Bitdefender安装程序
      获取URL:
        URL: https://cloudgz.gravityzone.bitdefender.com/Packages/NIX/0/3i0Aov/setup_downloader.tar
        目标: "{{ 工作目录 }}/setup_downloader.tar"
    - 名称: 解压Bitdefender安装程序
      解压:
        源: "{{ 工作目录 }}/setup_downloader.tar"
        目标: "{{ 工作目录 }}"
        远程源: 是
    - 名称: 调整Bitdefender安装程序权限
      文件:
        路径: "{{ 工作目录 }}/installer"
        状态: 文件
        模式: u+x
    - 名称: 启动Bitdefender安装程序
      命令:
        命令: "{{ 工作目录 }}/installer"
        工作目录: "{{ 工作目录 }}"
    - 名称: 等待产品初始化
      暂停:
        秒数: 60
    - 名称: 测试反恶意软件功能是否正常
      复制:
        目标: "{{ 测试文件 }}"
        内容: |
          X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    - 名称: 检查EICAR测试文件是否已被删除
      等待:
        路径: "{{ 测试文件 }}"
        状态: 不存在
        超时: 5
    - 名称: 删除工作目录
      文件:
        路径: "{{ 工作目录 }}"
        状态: 不存在

  3. 运行以下命令: 

    ansible-playbook -i inventory.yaml -u root deploy.yaml

输出应类似于以下示例: 

执行 [虚拟机] *********************************************************************************************************************************************************************************************************************

任务 [收集信息] *********************************************************************************************************************************************************************************************************************
成功: [ubuntu22.04]

任务 [创建工作目录] ********************************************************************************************************************************************************************************************************
成功: [ubuntu22.04]

任务 [下载Bitdefender安装程序] **************************************************************************************************************************************************************************************************
已更改: [ubuntu22.04]

任务 [解压Bitdefender安装程序] ***************************************************************************************************************************************************************************************************
已更改: [ubuntu22.04]

任务 [调整Bitdefender安装程序权限] ****************************************************************************************************************************************************************************************
已更改: [ubuntu22.04]

任务 [启动Bitdefender安装程序] ****************************************************************************************************************************************************************************************************
已更改: [ubuntu22.04]

任务 [等待产品初始化] **************************************************************************************************************************************************************************************************
暂停60秒
(按ctrl+C后'C'=提前继续,ctrl+C后'A'=中止)
成功: [ubuntu22.04]

任务 [测试反恶意软件功能是否正常] ******************************************************************************************************************************************************************************
已更改: [ubuntu22.04]

任务 [检查EICAR测试文件是否已被删除] *************************************************************************************************************************************************************************************
成功: [ubuntu22.04]

任务 [删除工作目录] ********************************************************************************************************************************************************************************************************
已更改: [ubuntu22.04]

执行总结 *********************************************************************************************************************************************************************************************************************************
ubuntu22.04                : 成功=10   已更改=6    不可达=0    失败=0    跳过=0    挽救=0    忽略=0

部署 Bitdefender终端安全工具 通过Microsoft Intune在Mac上部署

本文介绍如何部署 Bitdefender终端安全工具 ( BEST )在macOS计算机上通过Microsoft Intune。要使安全代理完全正常运行而无需本地用户交互,您必须遵循以下步骤:

部署 BEST 使用自定义脚本

您可以部署 Bitdefender终端安全工具 通过Microsoft Intune使用自定义脚本部署到客户端设备。该脚本会连接至 GravityZone ,下载并安装套件,同时执行快速清理。

注意

使用该脚本时, BEST 不会作为应用程序显示在Microsoft Intune中。

以下示例是测试期间使用的概念验证(POC),成功通过Microsoft Intune部署安装了 BEST 

#!/bin/bash

BD_TEMP="/var/tmp/temp_bd"	
mkdir -p $BD_TEMP && cd $_
curl -L -O [您的安装包URL]
hdiutil attach setup_downloader.dmg
/Volumes/Endpoint\ for\ MAC/SetupDownloader.app/Contents/MacOS/SetupDownloader --silent
hdiutil detach /Volumes/Endpoint\ for\ MAC/
rm -rf $BD_TEMP

重要提示

请在脚本中将 [your_installation_package_url] 替换为贵公司对应的链接。因此该行应类似以下格式: curl-L-Ohttps://cloudgz.gravityzone.bitdefender.com/Packages/MAC/0/xxxxxx/setup_downloader.dmg .

要获取安装包链接,请登录 GravityZone 控制中心 ,进入 网络 > 安装包 > 发送下载链接 并复制 macOS下载器 的链接。具体操作请参阅 通过电子邮件发送安装包下载链接 .

由于该脚本以最高权限执行,可根据用户偏好轻松自定义。

要通过Microsoft Intune部署脚本,请按以下步骤操作:

  1. 在Microsoft Endpoint Manager中,转至 设备 > 脚本 .

  2. 点击 添加 并选择 macOS .

    microsoft_intune_09_add_script_283723_en.png

  3. 输入脚本名称后点击 下一步 .

    microsoft_intune_10_add_script_basics_283723_en.png

  4. 上传脚本并点击 下一步 .

    microsoft_intune_11_upload_script_283723_en.png

  5. 选择组分配后点击 下一步 .

    microsoft_intune_12_script_assignments_283723_en.png

  6. 检查设置并点击 添加 .

    microsoft_intune_13_script_assignments_283723_en.png

脚本将根据组和用户分配执行。

部署SSL证书

本节介绍如何通过Microsoft Intune部署所需SSL证书,以实现自动批准并无需用户交互即可使用。

截至2023年3月,Microsoft Intune不支持部署PFX格式证书,但支持常规CER格式。

重要提示

要使此流程生效, Bitdefender GravityZone 中创建的安装包必须 已设置卸载密码。

部署SSL证书的步骤如下:

  1. 获取用于该安装包的 GravityZone 中卸载密码设置的MD5哈希值。

    可通过多种GUI工具实现,或在终端中运行以下命令: 

    md5 -s '您的卸载密码'

  2. 使用PEM和KEY文件生成PFX格式证书。

    示例: 

    # 生成证书
openssl req -new -days 1825 -nodes -x509 -subj '/C=RO/ST=Bucharest/L=Bucharest/O=Endpoint/CN=NewName CA SSL' -keyout rootCA.key -out rootCA.pem

# 用之前生成的.key和.pem文件创建PFX证书
openssl pkcs12 -inkey rootCA.key -in rootCA.pem -export -out certificate.pfx

    注意

    执行此步骤后,系统会提示输入密码。请确保输入步骤1中获取的 BEST 安装包上设置的卸载密码的MD5哈希值。

  3. 创建CER格式的证书。

    示例: 

    openssl x509 -inform PEM -in rootCA.pem -outform DER -out certificate.cer

    完成此步骤后,您将同时拥有 certificate.cercertificate.pfx 文件。

  4. 通过Microsoft Intune部署CER证书。步骤如下:

    1. 转到 设备 > 配置配置文件 .

    2. 选择 创建配置文件 ,然后 平台:macOS 配置文件类型:模板 .

    3. 选择 受信任的证书 并点击 创建 .

    4. 基础 选项卡中,输入名称并点击 下一步 .

    5. 配置设置 选项卡中,选择之前生成的certificate.cer文件并点击 下一步 .

    6. 分配 选项卡中,您必须分配适当的组和用户,并完成设置。

  5. 在目标机器上部署PFX证书。

    注意

    PFX证书需存放在目标机器的以下路径: /Library/DeployCert .

    要部署PFX证书,可将证书托管在客户端可访问的资源上,并通过Microsoft Intune运行脚本将其复制到目标机器。

    以下示例脚本演示了如何从Web服务器下载证书并复制到指定位置。 

    #!/bin/bash

BD_TEMP="/var/tmp/temp_bd"
mkdir -p $BD_TEMP && cd $_

# 假设证书托管在10.25.99.228:8000的Web服务器上
curl -L -O http://10.25.99.228:8000/certificate.pfx
mkdir -p /Library/DeployCert
mv certificate.pfx /Library/DeployCert
rm -rf $BD_TEMP

    注意

    通过此流程部署到 /Library/DeployCert 的证书优先级高于 Bitdefender CA SSL证书(该证书已预先安装并受信任于钥匙串)。完成此流程后, Bitdefender终端安全工具 将停止使用 Bitdefender CA SSL证书,转而加载新证书。

创建MDM配置描述文件

本节介绍如何在Microsoft Endpoint Manager中创建MDM配置描述文件以实现以下自动操作:

  • BDLDaemonEndpointSecurityForMac 进程启用全磁盘访问权限

    重要说明

    从7.16.42.200020版本开始,代理不再需要为 EndpointSecurityforMac 进程申请全磁盘访问权限。

  • 批准 Bitdefender 系统扩展

  • 批准 Bitdefender DCI扩展

通过这种方式, BEST 可访问Mac上所有必要资源,且无需用户交互即可实现全功能运行。

创建配置文件的步骤如下:

  1. 在Microsoft Endpoint Manager中,转至 设备 > 配置配置文件 .

  2. 选择 创建配置文件 ,然后选择 平台:macOS 配置文件类型:模板 .

  3. 选择 自定义 并点击 创建 .

  4. 基础 选项卡中,输入名称并点击 下一步 .

  5. 配置设置 选项卡中,于 自定义配置配置文件名称 处输入名称,将 部署渠道 设置为 设备渠道 并上传 此处 .

    microsoft_intune_14_configuration_profile_283723_en.png

  6. 点击 下一步 .

  7. 分配 选项卡中,分配适当的组和用户并完成设置。

部署 Bitdefender终端安全工具 通过Microsoft Intune实现Windows端部署

本文介绍如何通过Microsoft Intune在Windows端点上部署 Bitdefender终端安全工具 ( BEST )。

此部署使用 BEST Windows安装程序,借助Microsoft Win32内容准备工具打包为Windows应用程序(Win32),随后通过Microsoft Intune进行部署。

重要提示

请确保目标端点已注册Intune并保持活跃的互联网连接。

创建 BEST 安装包

按照以下步骤创建安装包:

  1. 创建一个用于后续操作的文件夹。

    本示例中 C:\test 将被用作目标路径。

  2. GravityZone .

  3. 下载 BEST 安装程序并保存到先前创建的文件夹中。

  4. 下载官方 Microsoft Win32内容准备工具 .

  5. 打开命令提示符。

  6. 导航至Microsoft Win32内容准备工具安装程序所在文件夹。

  7. 运行Microsoft Win32内容准备工具并按照显示说明操作。

下表使用步骤1中提到的文件夹总结了每个步骤:

步骤

摘要

源文件夹:

安装程序所在的源文件夹。本示例中路径为 C:\test .

安装文件:

安装包名称。本示例中文件应为: setupdownloader_[base64哈希值].exe

输出文件夹:

由Microsoft Win32内容准备工具创建的安装包将存放的输出文件夹。您也可以使用与源文件夹相同的路径作为输出位置。

创建安装包后,输出文件夹中将会生成一个新文件。该文件名称与 BEST Windows安装程序相同,但会追加 .intunewin 作为扩展名。此文件即为需要上传至Intune的安装包,将在下一阶段部署中使用。

注意

有关准备和部署Win32应用程序的更多信息,请参阅 微软官方文档 .

部署 BEST

BEST 安装包准备就绪后,请按以下步骤在Microsoft Intune中配置应用程序:

  1. 打开Microsoft Intune管理中心。

  2. 导航至 应用 > Windows .

  3. 选择 添加 .

  4. 选择应用类型 窗口中,选择 Windows应用(Win32) .

  5. 点击 选择 .

  6. 应用信息 选项卡中,点击 选择应用包文件 .

  7. 应用包 文件菜单中,选择之前创建的 .intunewin 文件。

  8. 点击 确定 .

    必须填写 应用信息 窗口中关于上传包的以下必填信息:

    字段

    摘要

    名称

    应用程序名称: Bitdefender终端安全工具 .

    描述

    可为此应用程序添加的简短描述。

    发布者

    发布者名称: Bitdefender .

  9. 信息添加完成后,点击 下一步 .

  10. 程序 窗口中包含以下必填字段:

    字段

    摘要

    安装命令

    这是 最佳 安装命令。您必须为新安装程序添加常规安装命令,并支持静默安装选项:

    setupdownloader_[base64_hash].exe/bdparams/silent

    重要提示

    请确保 [base64_hash] 是您创建并下载的安装包中实际包含的字符串。

    以下是使用 base64 编码字符串的指令示例: setupdownloader_[aHR0cHM6Ly9leGFtcGxlLW9mLXRoZS1wYXRoLXRvLWdyYXZpdHl6b25lLWluc3RhbGxlci54bWw=].exe/bdparams/silent

    卸载命令

    最佳 卸载流程 应通过 GravityZone 控制,但由于此字段为必填项,可填写: .

    允许可用卸载

    此选项必须设置为 最佳 卸载流程必须通过 GravityZone .

    安装行为

    此字段必须选择 系统 .

  11. 删除 返回代码 部分下所有可能指示安装后行为的条目。这可确保您在后续步骤中正确控制安装后状态。

  12. 点击 下一步 .

  13. 要求 窗口中,以下字段为必填项:

    字段

    摘要

    操作系统架构

    由于您使用我们自己的安装包,可同时选择 32位64位 .

    最低操作系统

    必须使用Windows 10版本1607(首个RS版本)。

  14. 点击 下一步 .

  15. 检测规则 窗口中,转到 使用自定义脚本 > 选择文件 并上传以下脚本作为 .ps1 文件: 

    if ((Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Endpoint Security" -Name "InstallLocation")`
-and ((Get-Service EPIntegrationService).status -like "Running")`
-and (Get-Service EPSecurityService).status -like "Running" )

{
    Write-Output "Bitdefender终端安全工具已成功安装"
    exit 0
} else {
    Write-Output "Bitdefender终端安全工具未安装"
    exit 1
}

    强烈建议对检测脚本进行代码签名,并将 强制执行脚本签名检查并静默运行脚本 选项设置为 。 这确保脚本来自可信来源且签名后未被篡改。该选项允许脚本在无需额外确认或提示的情况下运行。

    若选择不对检测脚本进行代码签名,可将 强制执行脚本签名检查并静默运行脚本 选项设为 。 虽然不推荐此操作,但如果目标终端上的PowerShell执行策略设置为受限状态,运行脚本时将出现确认提示。

    该脚本通过验证 BEST 是否安装(检查注册表项 HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EndpointSecurity ),同时确保 EPSecurityServiceEPIntegrationService 服务处于运行状态。

  16. 依赖项 取代关系 窗口中可保留默认值。

  17. 通过 分配 窗口可配置允许使用安装程序的用户或用户组。

  18. 审阅 + 创建 窗口中,选择 创建 .

应用程序将开始安装。同时,该应用会显示在Intune管理控制台中,并在各终端的托管应用部分标记为已安装。

为macOS设备准备 Bitdefender端点安全工具 通过Relay部署

在中大型macOS环境中,可通过 Bitdefender端点安全工具 ( BEST )从 GravityZone 控制中心 借助Relay计算机实现更快速便捷的部署。Relay角色仅支持Windows和Linux操作系统。

请按以下步骤为macOS设备准备 Bitdefender端点安全工具 通过Relay进行部署。

1. 在Windows或Linux机器上添加Relay角色

远程部署 Bitdefender端点安全工具 需要另一台已安装 Bitdefender 代理并配置Relay角色的机器。要添加Relay角色,请在该机器上执行 重新配置代理 任务。步骤如下:

  1. GravityZone 控制中心 中,从左侧菜单进入 网络 页面。

  2. 网络 资产清单中,选择要安装Relay角色的Windows或Linux机器。

  3. 点击操作工具栏中的 任务 按钮并选择 重新配置代理 .

    或者,右键点击机器名称并选择 任务 > 重新配置代理 .

  4. 运行 重新配置代理 任务以将中继角色添加至目标计算机。

    有关如何使用 重新配置代理 任务的详细信息,请参阅 重新配置代理 .

当通过Linux中继向Mac部署 Bitdefender端点安全工具 时,必须在Linux计算机上安装Samba软件包( smbclient )4.1.0或更高版本,以及samba-client依赖项和samba-common软件包。详情请参见 Bitdefender端点安全工具 远程部署准备工作站 .

2. 运行网络发现任务

中继计算机会每4小时自动执行一次网络发现任务,并在必要时将新条目添加到 GravityZone 控制中心 的网络清单中。但您也可以手动运行网络发现任务以查找网络中包括Mac在内的所有计算机。请按以下步骤操作:

  1. GravityZone 控制中心 中,通过左侧菜单进入 网络 页面。

  2. 在网络清单中,选择要安装中继角色的Windows或Linux计算机。

  3. 点击操作工具栏中的 任务 按钮并选择 运行网络发现 .

    或者,右键点击机器名称并选择 任务 > 运行网络发现 .

有关网络发现任务工作原理的详细信息,请参阅 理解网络发现 .

3. 确保macOS机器的连接性

对于您打算部署 Bitdefender终端安全工具 的macOS机器,需要启用 远程登录 选项。

您可以在 远程登录 选项中启用 系统偏好设置 > 通用 > 共享 .

mac_sharing_settings_335164_en.png

此外,macOS机器必须在 系统偏好设置 > 网络 .

mac_firewall_335164_en.png

4. 验证从Relay访问macOS文件和文件夹的权限

为确保 Bitdefender端点安全工具 的部署顺利进行,请确认您可以从Relay机器访问Mac上的文件和文件夹。如果是Windows机器,请按照以下步骤操作:

  1. 按下 Windows + R 键打开 运行 应用程序。

  2. 输入macOS机器的IP地址。

  3. 出现提示时,输入macOS凭据。

    windows_network_password_335164_en.png

    请注意,您还必须在 凭据管理器 中的 GravityZone 控制中心 输入这些凭据。如果要部署 BEST 到多台macOS机器上,必须为所有机器输入用户账户凭据。

    credentials_manager_335164_en.png

如果连接成功,则可以从作为中继的Windows机器访问macOS共享。

relay_to_mac_en_335164_en.png

现在您可以开始实际部署 Bitdefender端点安全工具 到macOS机器上。具体步骤请参考 安装安全代理 - 标准流程 .

本节 :