防止 Elastic Agent 卸载
编辑防止 Elastic Agent 卸载
编辑对于注册到 Elastic Defend 的主机,您可以通过在 Agent 策略上启用Agent 篡改保护来防止未经授权的 Elastic Agent 和 Elastic Endpoint 卸载尝试。这通过阻止用户绕过或禁用 Elastic Defend 的端点保护提供了额外的安全层。
启用后,只有在卸载 CLI 命令中包含卸载令牌才能在主机上卸载 Elastic Agent 和 Elastic Endpoint。每个 Agent 策略都会生成一个唯一的卸载令牌,您可以在 Agent 策略的设置或 Fleet UI 中检索卸载令牌。
启用 Agent 篡改保护
编辑您可以通过配置 Elastic Agent 策略来启用 Agent 篡改保护。
- 在导航菜单中查找Fleet,或者使用全局搜索字段。
- 选择Agent 策略,然后选择要配置的 Agent 策略。
- 在策略详细信息页面上选择设置选项卡。
-
在Agent 篡改保护部分,打开防止 Agent 篡改设置。
这将使获取卸载命令链接可用,如果您需要卸载此策略上的 Agent,您可以点击此链接获取卸载令牌和 CLI 命令。
您也可以在Fleet页面的卸载令牌选项卡上访问 Agent 策略的卸载令牌。有关更多信息,请参阅访问卸载令牌。
- 选择保存更改。
访问卸载令牌
编辑如果您需要卸载令牌才能从端点删除 Elastic Agent,您可以通过多种方式找到它
- 在 Agent 策略上 — 转到 Agent 策略的设置选项卡,然后单击获取卸载命令链接。卸载 Agent浮层将打开,其中包含带有令牌的完整卸载命令。
-
在 Fleet 页面上 — 选择卸载令牌以查看为您的 Agent 策略生成的卸载令牌列表。您可以
- 单击令牌列中的显示令牌图标以显示特定令牌。
- 单击操作列中的查看卸载命令图标以打开卸载 Agent浮层,其中包含带有令牌的完整卸载命令。