Elastic Endpoint 自我保护功能
Elastic Stack Serverless Security
Elastic Endpoint 是执行 Elastic Defend 威胁监控和预防的已安装组件,它可以保护自身免受可能试图干扰其功能的用户和攻击者的侵害。保护功能不断增强,以防止攻击者可能尝试使用更新、更复杂的策略来干扰 Elastic Endpoint。当 Elastic Endpoint 安装在以下受支持的平台上时,默认启用自我保护。
以下 64 位 Windows 版本已启用自我保护
- Windows 8.1
- Windows 10
- Windows 11
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
以下 macOS 版本也启用了自我保护
- macOS 10.15 (Catalina)
- macOS 11 (Big Sur)
- macOS 12 (Monterey)
注意
其他 Windows 和 macOS 变体(以及所有 Linux 发行版)没有自我保护。
对于 Elastic Stack 版本 >= 7.11.0,自我保护定义了以下权限
- 用户(即使是管理员/root)**不能** 删除 Elastic Endpoint 文件(位于 Windows 上的
c:\Program Files\Elastic\Endpoint和 macOS 上的/Library/Elastic/Endpoint)。 - 用户**不能**终止 Elastic Endpoint 程序或服务。
- 管理员/root 用户**可以**读取 Elastic Endpoint 的文件。 在 Windows 上,读取 Elastic Endpoint 文件最简单的方法是启动管理员
cmd.exe提示符。 在 macOS 上,管理员可以使用sudo命令。 - 管理员/root 用户**可以**停止 Elastic Agent 的服务。 在 Windows 上,运行
sc stop "Elastic Agent"命令。 在 macOS 上,运行sudo launchctl stop elastic-agent命令。