Elastic Endpoint 自保护功能
编辑Elastic Endpoint 自保护功能
编辑Elastic Endpoint 是已安装的组件,负责执行 Elastic Defend 的威胁监控和防护功能,它可以保护自身免受可能试图干扰其功能的用户和攻击者的攻击。保护功能不断增强,以防止攻击者尝试使用更新、更复杂的策略来干扰 Elastic Endpoint。在支持的平台(如下所示)上安装 Elastic Endpoint 时,自保护功能默认启用。
以下 64 位 Windows 版本启用了自保护功能:
- Windows 8.1
- Windows 10
- Windows 11
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
以下 macOS 版本也启用了自保护功能:
- macOS 10.15 (Catalina)
- macOS 11 (Big Sur)
- macOS 12 (Monterey)
其他 Windows 和 macOS 版本(以及所有 Linux 发行版)均未启用自保护功能。
对于 Elastic Stack 版本 >= 7.11.0,自保护功能定义了以下权限:
- 用户(即使是管理员/root 用户)无法 删除 Elastic Endpoint 文件(位于 Windows 系统上的
c:\Program Files\Elastic\Endpoint和 macOS 系统上的/Library/Elastic/Endpoint)。 - 用户无法 终止 Elastic Endpoint 程序或服务。
- 管理员/root 用户可以 读取 Elastic Endpoint 的文件。在 Windows 系统上,读取 Elastic Endpoint 文件最简单的方法是启动管理员
cmd.exe命令提示符。在 macOS 系统上,管理员可以使用sudo命令。 - 管理员/root 用户可以 停止 Elastic Agent 服务。在 Windows 系统上,运行
sc stop "Elastic Agent"命令。在 macOS 系统上,运行sudo launchctl stop elastic-agent命令。