跳至主内容

安装安全代理 - 标准流程

为保护物理和虚拟终端设备,您需在每个设备上安装安全代理。除管理本地终端防护外,该代理还会与 控制中心 通信以接收管理员指令并发送操作结果。

了解可用安全代理,请参阅 安全代理 .

Windows Linux 设备上,安全代理可具备两种角色,安装方式如下:

  1. 作为终端设备的普通安全代理。

  2. 作为 中继 ,既担任安全代理,又充当网络中其他终端的通信、代理及更新服务器。

macOS 设备上,安全代理无法充当中继。

您可以通过本地运行安装包或从 控制中心 .

仔细阅读并遵循安装准备说明至关重要。

在正常模式下,安全代理具有极简的用户界面,仅允许用户检查防护状态并执行基本安全任务(更新和扫描),不提供设置访问权限。

若网络管理员通过安装包和安全策略启用,安全代理还可在Windows终端上以高级用户模式运行,允许终端用户查看和修改策略设置。但 控制中心 管理员始终可控制实际生效的策略设置,覆盖高级用户模式。

默认情况下,受保护Windows终端用户界面的显示语言基于您的 GravityZone 账户语言在安装时设定。

Mac端用户界面语言根据终端操作系统语言在安装时设定。Linux端安全代理无本地化用户界面。

若需在特定Windows终端上安装其他语言界面,可创建安装包并在配置选项中设置首选语言。此选项不适用于Mac和Linux终端。有关创建安装包的更多信息,请参阅 创建安装包 .

安装准备

安装前请遵循以下准备步骤以确保顺利进行:

  1. 确保目标终端满足 终端防护 最低系统要求。

    部分终端可能需要安装最新操作系统服务包或释放磁盘空间。

    列出不符合要求的终端以便将其排除在管理范围外。

  2. 彻底卸载(非仅禁用)目标终端上现有的反恶意软件或互联网安全软件。

    终端上同时运行安全代理与其他安全软件可能影响其操作并导致系统严重问题。

    安装过程中会自动检测并移除多数不兼容的安全程序。

    注意

    • Windows安全功能(Windows Defender、Windows防火墙)会在初始化代理安装前自动关闭。

    • 安全代理安装完成后,若存在强制执行方法(如GPO),Windows Defender将自动重新启用,或您可通过Windows控件手动启用。由于缺少Windows操作中心,启用后安全代理将不再管理Windows Defender激活状态。此行为可能出现在以下工作站和服务器上:

      • Windows 7、Windows 8、Windows 8.1

      • Windows Server 2016、Windows Server 2019、Windows Server 2022

      在Windows 10和11系统上,该功能由Windows通过操作中心动态控制。

    要了解更多信息并查看 Bitdefender终端安全工具 检测到的安全软件列表,请参阅 Bitdefender终端安全工具 .

    重要提示

    若需在已安装 Bitdefender Mac版杀毒软件5.X的终端部署安全代理,必须先手动卸载后者。具体步骤请参考 在装有 Bitdefender终端安全工具 的机器上部署 Bitdefender Mac版杀毒软件 .

  3. 安装需具备管理员权限和互联网接入。若目标终端处于Active Directory域中,应使用域管理员凭证进行远程安装。否则请确保已备妥所有终端的必要凭证。

  4. 终端必须与 GravityZone 设备保持网络连接。

  5. 建议为 中继 服务器配置静态IP地址。若未设置静态IP,请使用机器主机名。

  6. 通过Linux中继部署代理时,还需满足以下附加条件:

    • 中继终端必须安装Samba软件包( smbclient )4.1.0或更高版本,且 net 二进制文件/命令以部署Windows代理。

      注意

      net 二进制文件/命令通常随samba-client和/或samba-common软件包提供。在某些Linux发行版(如CentOS 7.4)中, net 命令仅在安装完整Samba套件(Common + Client + Server)时才会被安装。请确保您的Relay端点具备可用的 net 命令。

    • 目标Windows端点必须启用管理员共享和网络共享功能。

    • 目标Linux和Mac端点必须启用SSH,且连接需通过用户名和密码进行设置。

  7. 在macOS上,无论是手动还是远程安装 Bitdefender端点安全工具 后,系统会提示用户批准其端点上的 Bitdefender 扩展。若用户未批准这些 Bitdefender 扩展,部分功能将无法使用。具体操作步骤请参阅 macOS中Bitdefender系统扩展被阻止 .

    在macOS Big Sur(版本11)中, BEST 因苹果对操作系统的变更需要额外用户授权。详情参见 macOS Big Sur及后续版本中 Mac端点安全 的变更:网络扩展、代理配置及SSL证书 .

    为避免用户手动操作,可通过移动设备管理工具(如Jamf)预先批准 Bitdefender 扩展程序,可通过Jamf等移动设备管理工具将其加入白名单。详情请参阅 白名单设置 Bitdefender 在Jamf Pro 10.x中的扩展程序 .

  8. Amazon EC2 资源清单中部署代理时,需在Amazon EC2 侧边菜单 > 网络与安全 > 安全组 中按如下方式配置需保护实例的关联安全组:

    • 远程安装时,需允许来自EC2实例的SSH*访问。

    • 本地安装时,需允许来自连接终端的SSH*和RDP(远程桌面协议)访问。

    * 在Linux实例上进行远程安装时,必须允许使用用户名和密码进行SSH登录。

  9. 在Microsoft Azure资源清单中部署代理时:

    • 目标虚拟机必须与 GravityZone 设备处于同一虚拟网络。

    • 当目标虚拟机与中继器处于同一虚拟网络时,该中继器需与 GravityZone 设备通信(若后者位于其他网络)。

本地安装

在终端上安装安全代理的一种方法是本地运行安装包。

您可以在 网络 > 安装包 页面。

installation_packages_cl_op_en.PNG

首个客户端安装完成后,将基于网络发现机制自动探测同一网络内的其他终端。有关网络发现的详细信息,请参阅 网络发现工作原理 .

若要在终端本地安装安全代理,请按以下步骤操作:

  1. 根据需求 创建安装包。

    注意

    若您的账户下已存在针对该网络的安装包,此步骤非必选。

  2. 在目标终端上 下载安装包。

    您也可以 通过电子邮件向网络内多个用户发送安装包下载链接

  3. 在目标终端上 运行安装包。

创建安装包

创建安装包步骤如下:

  1. 连接并登录至 控制中心 .

  2. 通过左侧菜单进入 网络 > 安装包 页面。

  3. 点击表格上方的 创建 按钮,系统将显示配置窗口。

    Installation_packages_module_list_on-prem.png

  4. 为您要创建的安装包输入一个直观的名称和描述。

  5. 语言 字段中,选择客户端界面所需的语言。

    注意

    此选项仅适用于Windows操作系统。

  6. 选择操作模式。这将影响通过包部署在终端上安装的安全代理的行为。

    注意

    此步骤仅适用于包含 EDR 模块的许可证。

    • 检测与防护 - 此操作模式允许您自定义包中包含的模块,并设置防护和检测模块以启用并同时利用拦截和报告功能。

    • EDR (仅报告) - 此操作模式会预先配置您的包结构以包含特定模块集,并将防护和检测模块设置为仅启用并利用报告功能。

    注意

    包含在 EDR (仅报告)包中的模块是 高级威胁控制 , EDR 传感器、 网络保护 (含 内容控制 网络攻击防御 .

  7. 选择您要安装的保护模块。

    注意

    仅会安装各操作系统支持的模块。每个模块右侧将显示图标,标明该模块兼容的操作系统。

    更多信息请参阅 Bitdefender终端安全工具 .

  8. 选择目标终端角色:

    • 中继 ,为具有中继角色的终端创建安装包。更多信息请参阅 Bitdefender终端安全工具 .

      警告

      中继角色仅适用于Windows和Linux操作系统,旧版操作系统不支持此功能。

      更多信息请参阅 支持的操作系统 .

    • 补丁管理缓存服务器 ,将中继设为用于分发软件补丁的内部服务器。

      注意

      此角色仅在 中继 角色被选中时显示。更多信息请参阅 补丁缓存服务器 章节,该章节与 Bitdefender终端安全工具 .

    • Exchange保护 ,安装Microsoft Exchange服务器的保护模块,包括针对Exchange邮件流量的反恶意软件、反垃圾邮件、内容及附件过滤功能,以及Exchange数据库的按需反恶意软件扫描。

      更多信息请参阅 安装Exchange保护 .

  9. 移除竞争对手软件 。建议保持勾选此复选框,以便在 Bitdefender 代理安装至终端时自动移除不兼容的安全软件。若取消勾选此选项, Bitdefender 代理将与现有安全解决方案并存。您可后续自行手动卸载先前安装的安全解决方案,但需自行承担风险。

    重要提示

    在终端上同时运行 Bitdefender 代理与其他安全软件可能会影响其运行,并导致系统出现严重问题。

  10. 扫描模式 。选择最符合您网络环境及终端资源的扫描技术。您可通过以下类型之一定义扫描模式:

    可用扫描模式:

    • 本地扫描

    • 混合扫描(轻量引擎+公有云)

    • 混合扫描

    • 公有云或私有云集中扫描

    • 集中扫描(通过 安全服务器 进行公有/私有云扫描)并回退至本地扫描(完整引擎)

    • 集中扫描(通过 安全服务器 进行公有/私有云扫描)并回退至混合扫描(公有云轻量引擎)

    • 混合扫描并回退至集中扫描

    有关扫描模式的更多信息,请参阅 反恶意软件

    可用扫描类型:

    • 自动 。此模式下,安全代理将自动检测终端配置并相应调整扫描技术:

      • 公有云或私有云中的中央扫描(需配合 安全服务器 ),并回退至混合扫描(轻量引擎),适用于硬件性能较低的物理终端和虚拟机。此场景要求网络中至少部署一台 安全服务器

      • 本地扫描(完整引擎)适用于硬件性能较高的物理终端。

      • 针对虚拟机的中央扫描(可回退至混合扫描)

      • 针对EC2实例和Microsoft Azure虚拟机的本地扫描。

      注意

      中央扫描必须首先部署 安全服务器 。有关安装 安全服务器 的详细信息,请参阅 安全服务器 .

      低性能终端指CPU频率低于1.5 GHz或内存小于1 GB的设备。

    • 自定义 。此时您可通过选择以下扫描技术为物理机和虚拟机配置扫描模式:

      • 公有云或私有云中的中央扫描(需配合 安全服务器 ),可回退*至本地扫描(完整引擎)或混合扫描(轻量引擎)

      • 混合扫描(轻量引擎)

      • 本地扫描(完整引擎)

      默认扫描模式:

      • 对于 EC2实例 的默认扫描模式为本地扫描(安全内容存储在已安装的安全代理上,并在机器本地运行扫描)。若需通过 安全服务器 扫描EC2实例,需相应配置安全代理安装包及应用策略。

        注意

        在这种情况下, Bitdefender 安全服务器 将自动分配到与目标EC2实例对应的AWS区域。

      • 默认扫描模式对于 Microsoft Azure虚拟机 是本地扫描(安全内容存储在已安装的安全代理上,并在本地机器上运行扫描)。若需使用 安全服务器 扫描Microsoft Azure虚拟机,需相应配置安全代理安装包及应用策略。

      • 默认扫描模式对于 BEST for Linux v7(当使用Bitdefender for Security Containers 插件时)为:

        • 混合扫描,适用于物理终端(包括容器主机)和节点(如Kubernetes环境)。

        • 集中扫描并回退至混合扫描,适用于虚拟机或基于 GravityZone 集成支持的云基础设施(IaaS或PaaS)的终端(含容器主机)及节点。

          注意

          需有可用的 安全服务器 才能应用此扫描。若无可用服务器,扫描模式将设为混合。

      有关可用扫描技术的更多信息,请参阅 反恶意软件 .

  11. 安全服务器 分配 .

    当使用公有或私有云( 安全服务器 )扫描时,您需要选择本地安装的 安全服务器 并配置其在 安全服务器分配 部分的优先级:

    1. 点击表格标题中的 安全服务器 列表。检测到的 安全服务器 将显示。

    2. 选择一个实体。

    3. 点击 add.png 添加 按钮(位于 操作 列标题处)。

      安全服务器 将被添加至列表。

      在安全服务器分配部分,您可为 安全服务器 指定名称及IP地址。分配名称后点击 inline-menu-icon.png 进行编辑。

    4. 若有多个安全服务器,请按相同步骤添加。此时可通过每行右侧的 up-arrow.png 上移 down-arrow.png 下移箭头配置优先级。当首个 安全服务器 不可用时,系统将自动使用下一个,以此类推。

    5. 如需删除列表中某个实体,请点击对应 delete_inline.png 删除 表格上方的按钮。

    您可以选择加密与 安全服务器 的连接,方法是勾选 使用SSL 选项。

  12. 其他设置 .

    您可以为目标终端上的多种文件类型配置以下选项:

    • 提交崩溃转储 。选择此选项后,若安全代理崩溃,内存转储文件将发送至 Bitdefender 实验室进行分析。崩溃转储将帮助工程师查明问题原因并防止其再次发生。不会发送任何个人信息。

    • 每隔(小时)向 Bitdefender 实验室提交隔离文件 。默认情况下,隔离文件每小时自动发送至 Bitdefender 实验室。您可以调整隔离文件发送的时间间隔。样本文件将由 Bitdefender 恶意软件研究人员进行分析。若确认存在恶意软件,将发布签名以便清除该恶意软件。

    • Bitdefender 提交可疑可执行文件 Bitdefender 实验室进行分析。

    • 发送安全代理运行状况反馈

      选择此选项可发送关于终端的匿名遥测数据。

    • 使用 Bitdefender 全球防护网络(GPN)以增强保护

      选择此选项可将检测结果提交至 Bitdefender 以提高 反恶意软件 网络防护 模块的效率。

      若禁用此选项,可能会出现以下情况:

      • 大量误报/漏报检测

      • 零日攻击检测延迟

      • 混合扫描 引擎效率显著降低

      • 网络流量 过滤功能受到负面影响

      • 依赖 反恶意软件 的其他模块也会受影响

      重要提示

      若您正在使用 混合扫描 引擎,必须在禁用此选项前切换或回退至本地扫描引擎。

  13. 在Windows终端上, Bitdefender终端安全工具 默认安装于系统预设目录。如需将 使用自定义安装路径 请选择此选项, Bitdefender终端安全工具 安装到其他位置。此时请在对应字段中输入目标路径。输入路径时请遵循Windows规范(例如 D:\文件夹 )。如果指定文件夹不存在,将在安装过程中自动创建。

    在Linux终端上, Bitdefender端点安全工具 默认安装于 /opt 目录。

  14. 建议设置密码以防止用户移除防护。

    勾选 设置卸载密码 并在对应字段输入所需密码。

  15. 若目标终端位于 自定义群组 下的网络清单中,您可选择在安全代理部署完成后立即将其移至指定文件夹。

    选择 使用自定义文件夹 并在对应表格中选定文件夹。

  16. 部署器 部分,选择终端将连接的通信实体。终端可通过中继或 GravityZone 设备进行安装,该中继无需与安装包中指定的相同。

    部署器 部分的 选中中继 字段中,可查看从 中继表 .

    • GravityZone 设备 ,当终端直接连接到 GravityZone 设备时。

      这种情况下,您还可以定义:

      • 如需自定义通信服务器设备,请输入其IP地址或主机名。

      • 代理设置(若目标终端需通过代理与 GravityZone 设备通信)。此时请选择 使用代理进行通信 并在下方字段中输入所需的代理设置。

    • 终端安全中继 (若需将终端连接至您网络中安装的Relay客户端)。网络中检测到具有 Relay 角色的所有机器将显示在下方的表格中。选择所需的中继机器,连接的终端将仅通过指定 控制中心 进行通信。

      重要提示

      必须开放7074端口才能通过 Bitdefender终端安全工具中继 进行部署。

      若您的中继具有多个网络适配器,可将其用于向与 BEST 隔离的终端部署 GravityZone 。此时请在 自定义服务器名称/IP 列中添加未连接到 GravityZone .

      例如,中继服务器配备了两块网卡, 192.168.0.16192.168.12.12 。仅第一块网卡与 GravityZone 保持通信。将第二个IP地址添加为自定义IP后,目标终端将使用该中继服务器作为通信服务器来安装安全代理。

      添加目标IP地址需按以下步骤操作:

      1. 点击三点菜单。

      2. 选择 编辑自定义服务器名称/IP .

        installation_package_deployer_custom_ip_47136_en.png

      3. 在可编辑字段中输入IP地址。

      4. 点击 ok-icon.png 确定 图标确认更改。

  17. 点击 保存 .

新创建的安装包将被添加到包列表中。

注意

安装包内配置的设置将在安装后立即应用于终端设备。当策略应用到客户端时,策略中配置的设置将强制生效,并覆盖部分安装包设置(如通信服务器或代理设置)。

下载安装包

下载安全代理安装包的步骤如下:

  1. 从需要安装防护的终端登录 控制中心

  2. 进入 网络 > 安装包页面 位于左侧菜单中。

  3. 选择您要下载的安装包。

  4. 点击 下载 表格上方的按钮,并从下拉列表中选择要使用的安装程序类型。可用的安装文件类型包括:

    • 下载器 。该下载器首先从 Bitdefender 云服务器下载完整安装包,然后开始安装。

      下载器体积小巧,可运行于32位、64位(Windows和Linux)系统、ARM64系统(仅限Windows)或64位macOS系统(Intel x86和Apple ARM架构),便于分发。缺点是需保持网络连接。

    • 完整包 。完整安装包体积较大,且需在特定操作系统类型上运行。

      完整包适用于网络缓慢或无网络连接的终端安装防护。请先将此文件下载至联网终端,再通过外部存储介质或网络共享分发至其他终端。

      注意

      可用的完整包版本:

      • Windows操作系统: 32位、64位及ARM系统

      • Linux操作系统: 32位和64位系统

      • macOS: 86位Intel、macOS下载器及Apple M系列系统

        下载macOS安装包(Apple M系列)后,必须将其发布至 更新 > 组件 页面(位于 GravityZone 控制中心 ),否则安全代理安装将失败。

      请确保使用与目标系统匹配的正确版本。

      每分钟最多下载一个安装包,每次下载尝试需间隔60秒。

  5. 将文件保存至终端设备。

    警告

    • 下载器可执行文件不得重命名,否则将无法从 Bitdefender 服务器下载安装文件。

    • 安装包及链接为私有资源,每个公司均会生成唯一版本。请勿传播。

  6. 此外,若选择下载器,您可为Windows终端创建MSI安装包。详情请参阅 通过MSI安装包 部署Bitdefender终端安全工具 .

通过邮件发送安装包下载链接

如需快速通知其他用户安装包已就绪,请按以下步骤操作:

  1. 进入左侧菜单栏 网络 > 安装包 页面。

  2. 选择目标安装包。

  3. 勾选 发送下载链接 选项,配置窗口将弹出。

  4. 输入每位接收者的邮箱(多个地址请用逗号分隔)。按 回车键 或点击 添加 按钮生成邮件发送列表。

    注意

    请确保每个邮箱地址有效且唯一。

  5. 发送前可在此窗口预览安装链接。

  6. 点击 发送 。包含安装链接的邮件将发送至每个指定邮箱地址。

运行安装包

安装需以管理员权限运行安装包方可生效。

不同操作系统的安装方式如下:

  • Windows与macOS系统:

    1. 在目标终端上,从 控制中心 下载安装文件或从网络共享位置复制。

    2. 若下载完整套件,请从压缩包中解压文件。

    3. 运行可执行文件。

    4. 按照屏幕指引操作。

    注意

    macOS的安装文件为DMG格式。打开后会挂载两个位置:桌面一处,Finder一处(左侧菜单栏 位置 ).

    macOS安全代理需获取全磁盘访问权限。由于安装时不会主动提示,必须在安装完成后于终端手动批准。详情参见 macOS中未允许 Bitdefender终端安全工具 获取全磁盘访问权限 .

    安全代理还需批准终端上的 Bitdefender 系统扩展。详情参见 macOS中 Bitdefender系统扩展被拦截 .

  • Linux系统:

    1. 连接并登录 控制中心 .

    2. 将安装文件下载或复制至目标终端。

    3. 若已下载完整套件,请从压缩包中解压文件。

    4. 通过运行以下命令获取root权限: sudo su

    5. 修改安装文件权限以确保可执行: 

      #chmod +x installer

    6. 运行安装文件: 

      #./installer

    7. 执行以下命令可验证代理是否已安装于终端: 

      $systemctl status bdsec*

安全代理安装完成后,终端将在数分钟内显示为 控制中心 ( 网络 页面)中的受管设备。

重要提示

若使用VMware Horizon View Persona Management,建议配置Active Directory组策略以排除下列 Bitdefender 进程(无需完整路径):

  • bdredline.exe

  • epconsole.exe

  • epintegrationservice.exe

  • epprotectedservice.exe

  • epsecurityservice.exe

  • epupdateservice.exe

  • epupdateserver.exe

这些排除项必须持续生效 GravityZone 只要安全代理在终端上运行。详情请参阅 VMware Horizon文档页面 .

观看完整视频教程请点击:

远程安装

控制中心 允许您通过安装任务,在已与 控制中心 集成的环境中的终端上远程安装安全代理,以及安装在网络中检测到的其他终端。在VMware环境中,远程安装依赖VMware Tools;在Citrix XenServer和Nutanix Prism Element环境中,则依赖Windows管理共享和SSH。

安全代理安装到终端后,可能需要几分钟时间,网络中的其他终端才会显示在 控制中心 .

Bitdefender终端安全工具 包含自动网络发现机制,可检测未加入Active Directory的终端。检测到的终端会显示为 未管理 状态,位于 网络 页面的 终端 视图下,归入 自定义组 . 控制中心 会自动从检测到的终端列表中移除Active Directory终端。

要启用网络发现功能,您必须安装 Bitdefender终端安全工具 已在网络中至少一个终端上安装。该终端用于扫描网络并在未受保护的终端上安装 Bitdefender端点安全工具

有关网络发现的详细信息,请参阅 网络发现工作原理 .

远程安装要求

要实现远程安装需满足以下条件:

  • Windows系统:

    • 必须启用 admin$ 管理共享。配置每台目标工作站不使用高级文件共享功能。

    • 根据目标终端运行的操作系统配置用户账户控制(UAC)。若终端处于Active Directory域中,可通过组策略配置用户账户控制。详情参见 Bitdefender端点安全工具 远程部署准备工作站 .

    • 禁用Windows防火墙或配置其允许文件和打印机共享协议通信。

    注意

    远程部署仅适用于现代操作系统(从Windows 7/Windows Server 2008 R2起),且 Bitdefender 提供完整支持的系统。更多信息请参阅 支持的操作系统 .

  • Linux系统:需启用SSH。

  • macOS系统:需启用远程登录和文件共享。

执行远程安装任务

要执行远程安装任务:

  1. 连接并登录至 控制中心 .

  2. 转到 网络 页面(通过左侧菜单)。

  3. 从视图选择器中 选择终端与虚拟机

  4. 在左侧面板中选择目标群组。

    所选群组包含的实体将显示在右侧面板表格中。

    注意

    (可选)可应用筛选器仅显示未受管终端。点击 筛选器 菜单并选择以下选项: 未受管 (位于 安全 选项卡)和 递归包含所有项目 (位于 深度 选项卡)。

  5. 选择需要安装防护的实体(终端或终端群组)。

  6. 点击表格上方的 task.png 任务 按钮并选择 安装代理 .

    系统将显示 安装代理任务 向导。

    install_agent_task_47136_en.png

  7. 选项 部分,配置安装时间:

    • 立即 ,以立即启动部署。

    • 计划 ,设置部署重复间隔。此时,选择所需的时间间隔(每小时、每天或每周)并根据需求进行配置。

      注意

      例如,当目标机器在安装客户端前需要执行某些操作(如卸载其他软件并重启操作系统)时,可将部署任务设置为每两小时运行一次。该任务将在每台目标机器上每两小时启动一次,直至部署成功。

  8. 若希望目标端点自动重启以完成安装,请勾选 自动重启(如需) .

  9. 凭证管理器 部分,指定目标端点远程认证所需的管理员凭据。可通过输入每个目标操作系统的用户名和密码来添加凭据。

    重要

    对于Windows 8.1工作站,需提供内置管理员账户或域管理员账户的凭据。

    添加所需操作系统凭据的步骤:

    1. 在表头对应字段中输入管理员账户的用户名和密码。

      若端点在域中,仅需输入域管理员的凭据。

      输入用户账户名称时请遵循Windows规范:

      • 对于Active Directory机器,请使用以下语法: username@domain.com domain\username .

        为确保输入的凭据有效,请以两种形式同时添加( username@domain.com domain\username ).

      • 对于工作组计算机,只需输入用户名,无需输入工作组名称。

      您还可以添加描述信息以便更轻松地识别每个账户。

    2. 点击 add_inline.png 添加 按钮。该账户将被添加到凭证列表中。

      注意

      指定的凭证将自动保存至凭证管理器,下次无需重复输入。

      要访问 凭证管理器 ,请点击 control_center_user_menu_icon.png 控制台右上角的用户图标。

      重要提示

      若提供的凭证无效,客户端部署将在对应终端上失败。

      当目标终端上的操作系统凭证变更时,请务必在凭证管理器中更新已输入的凭证。

  10. 勾选您要使用的账户对应的复选框。

    注意

    只要未选择任何凭证,系统就会显示警告信息。

    此步骤是远程在终端上安装安全代理的必要条件。

  11. 部署器 下选择目标终端将连接以安装和更新代理的实体:

    • GravityZone 设备 (当终端直接连接至 GravityZone 设备时)。

      此情况下您还可定义:

      • 如需,可通过输入IP或主机名指定自定义通信服务器设备。

      • 代理设置(当目标终端通过代理与 GravityZone 设备通过代理连接。此时请选择 使用代理进行通信 并在下方字段中输入所需的代理设置。

    • 终端安全中继 (若需将终端连接到 中继 客户端,该客户端需安装于您的网络中)。网络中检测到具有 中继 角色的所有机器将显示在下表中。请选择所需的 中继 机器。已连接的终端将仅通过指定的 控制中心 中继 .

      重要提示

      必须开放7074端口,才能通过中继代理完成部署。

      install_agent_deployer_47136_en.png

    • 若中继配备多个网络适配器,可将其用于向与 BEST 隔离的终端部署 GravityZone 。此时请在 自定义服务器名称/IP 列中点击相应字段,添加未连接至 GravityZone .

      例如,该中继有两个网络适配器: 192.168.0.16192.168.12.12 。只有第一个IP地址会与 GravityZone 通信。添加第二个IP地址作为自定义IP后,目标终端将使用中继服务器作为通信服务器来安装安全代理。

      install_agent_custom_ip_47136_en.png

  12. 若需将客户端部署至网络清单未显示的特定机器,请使用 附加目标 功能。展开该部分并在专用字段中输入这些机器的IP地址或主机名(以逗号分隔),可根据需要添加任意数量的IP地址。

  13. 需为当前部署选择一个安装包。点击 使用安装包 下拉列表并选择所需安装包。此处可查看为账户创建的所有历史安装包,以及 控制中心 .

  14. 如需修改选定安装包的设置,可点击 自定义 按钮(位于 使用安装包 字段旁)。

    安装包设置将显示在下方,您可进行必要修改。有关编辑安装包的详细信息,请参阅 创建安装包 .

    若要将修改保存为新安装包,请选择位于包设置列表底部的 另存为安装包 选项,并为新安装包命名。

  15. 点击 保存 .

    系统将显示确认信息。

您可在 网络 > 任务 页面。

若使用VMware Horizon View Persona Management,建议配置Active Directory组策略以排除以下 Bitdefender 进程(无需完整路径):

  • bdredline.exe

  • epconsole.exe

  • epintegrationservice.exe

  • epprotectedservice.exe

  • epsecurityservice.exe

  • epupdateservice.exe

  • epupdateserver.exe

只要安全代理在终端运行,这些排除项就必须生效。详情请参阅 VMware Horizon文档页面 .

为Linux系统准备实时扫描

Bitdefender终端安全工具 Linux版包含适用于特定Linux发行版和内核版本的实时扫描功能。更多信息请参考 Linux 系统要求。

使用DazukoFS进行实时扫描的要求

要使DazukoFS与实时扫描协同工作,需满足一系列条件。请检查以下陈述是否适用于您的Linux系统,并遵循指南以避免问题。

  • SELinux策略必须禁用或设置为 宽容模式 。要检查和调整SELinux策略设置,请编辑 /etc/selinux/config 文件。

  • Bitdefender终端安全工具 仅与安装包内附的DazukoFS版本兼容。若系统中已安装DazukoFS,请在安装 Bitdefender终端安全工具前卸载之 .

  • DazukoFS仅支持特定内核版本。若安装包内附带的 Bitdefender终端安全工具 DazukoFS模块与系统内核版本不兼容,该模块将无法加载。此时您可选择升级至受支持的内核版本,或为当前内核版本重新编译DazukoFS模块。您可在 Bitdefender终端安全工具 安装路径下获取DazukoFS安装包: 

    /opt/bitdefender-security-tools/share/dazukofs-modules.tar.gz

  • 使用NFS、UNFSv3或Samba等专用服务器共享文件时,需按以下顺序启动服务:

    1. 通过策略启用实时扫描(需从 控制中心 .

    2. 启动网络共享服务

      NFS服务: 

      #service nfs start

      UNFSv3服务: 

      #service unfs3 start

      Samba服务: 

      #service smbd start

    重要提示

    DazukoFS仅兼容NFS用户服务器模式

网络发现机制原理

除Active Directory集成外, GravityZone 还内置自动网络发现机制,用于检测工作组终端设备。

GravityZone 采用多种网络扫描技术实现网络发现。在Windows系统中,系统信息通过功能发现、Active Directory(当系统加入域时)等多渠道采集。因此网络发现识别并上报的系统列表可能与 文件资源管理器 > 网络 在运行网络探测器的机器上。

在Linux系统中,网络发现依赖于 ARP 协议来探测局域网内的实体,并通过端口扫描以确保可靠识别设备。

相比之下,macOS系统不会主动参与网络发现,但允许被探测到。

要启用自动网络发现功能,需确保Bitdefender终端安全工具中继至少已安装在网络内一台Windows或Linux终端上,并且该终端已应用包含 自动发现新终端 勾选策略。该终端将被用于扫描网络。

除自动网络发现外,还可通过选择任意受管理的Windows或Linux终端并应用 运行网络发现 任务来执行一次性网络发现。

重要提示

对于已加入域的Linux系统,Active Directory不会作为信息来源使用。

BEST中继 仅通过查询网络获取工作站和服务器列表(称为浏览列表),随后将其发送至 控制中心 . 控制中心 会处理该浏览列表,将新检测到的终端添加至其 未管理终端 列表中。

先前检测到的终端不会因新的网络发现查询而被删除,因此需手动排除并删除已不在网络中的终端。

注意

BEST中继 执行网络发现并通过 控制中心 epintegrationservice 适用于Windows和 epagng服务 适用于Linux。

在macOS设备上,安全代理无法充当Relay。

浏览列表的初始查询由网络中首个安装的 BEST Relay 执行。

  • Relay 安装在工作组终端上,则其所在工作组将作为信息来源。

  • Relay 安装在域终端上,则其所在域将作为信息来源。只有该域及 Relay 所属网络中的终端会显示在 Control Center 中。若与 Relay 安装域存在信任关系,则可检测其他域的终端。

重要说明

网络发现会使用终端上所有可用信息来源。例如,若Windows终端运行了功能发现服务且已加入域,则网络发现会同时从这两个来源获取数据。

当应用策略中启用 自动发现新终端 功能时,后续网络发现查询会每4小时定期执行。每次新查询时, Control Center 会将受管终端空间划分为可见性区域,并指定每个区域中的一台 Relay 执行任务。

可见性区域是指能相互检测的终端组。通常由工作组或域定义,但具体取决于网络拓扑和配置。某些情况下,可见性区域可能包含多个域和工作组。

若选定 中继 若查询执行失败, 控制中心 将等待下一次计划查询,而不会选择其他 中继 重试。

为实现全网可见性, 中继 需部署在您网络中每个工作组或域的至少一个终端上,并应用已勾选 自动发现新终端 的策略。理想情况下, Bitdefender终端安全工具 应安装在每个子网的至少一个终端上。

网络发现将报告被探测终端的IPv4地址。

网络发现要求

为成功发现所有将通过 控制中心 管理的终端(服务器和工作站),网络扫描技术需满足以下设置和服务要求:

Windows系统

  • 终端需加入工作组或域,并通过IPv4本地网络连接。

  • 媒体流功能已开启。

  • 网络发现功能已在 控制面板 > 网络和共享中心 > 更改高级共享设置 部分启用。

  • 以下服务需保持运行:

    • DNS客户端

    • 功能发现提供程序主机

    • 功能发现资源发布

    • SSDP发现服务

    • UPnP设备主机

  • 在多域环境中,需建立域间信任关系,使终端能访问其他域的浏览列表。

Linux系统

  • 运行由自定义wsdd服务实现的Web服务发现主机守护进程(适用于Ubuntu操作系统)。

Mac系统

  • 已启用文件共享功能。

注意

满足上述所有要求时效果最佳,即可发现最大数量的终端。

本节内容 :