防止 Elastic Agent 卸载
编辑防止 Elastic Agent 卸载
编辑对于已注册 Elastic Defend 的主机,您可以通过在 Agent 策略上启用Agent 防篡改保护来防止未经授权尝试卸载 Elastic Agent 和 Elastic Endpoint。 这通过防止用户绕过或禁用 Elastic Defend 的端点保护来提供额外的安全层。
启用后,只能通过在卸载 CLI 命令中包含卸载令牌来在主机上卸载 Elastic Agent 和 Elastic Endpoint。 每个 Agent 策略都会生成一个唯一的卸载令牌,您可以在 Agent 策略的设置中或在 Fleet UI 中检索卸载令牌。
启用 Agent 防篡改保护
编辑您可以通过配置 Elastic Agent 策略来启用 Agent 防篡改保护。
- 在导航菜单中找到 Fleet 或使用全局搜索字段。
- 选择 Agent 策略,然后选择要配置的 Agent 策略。
- 在策略详细信息页面上,选择 设置 选项卡。
-
在 Agent 防篡改保护 部分,打开 防止 Agent 篡改 设置。
这将使 获取卸载命令 链接可用,如果您需要卸载此策略上的 Agent,您可以按照该链接获取卸载令牌和 CLI 命令。
您还可以在 Fleet 页面的 卸载令牌 选项卡上访问 Agent 策略的卸载令牌。 有关更多信息,请参阅访问卸载令牌。
- 选择 保存更改。
访问卸载令牌
编辑如果您需要卸载令牌以从端点删除 Elastic Agent,您可以通过以下几种方式找到它:
- 在 Agent 策略上 — 转到 Agent 策略的 设置 选项卡,然后单击 获取卸载命令 链接。 将打开 卸载 Agent 弹出窗口,其中包含带有令牌的完整卸载命令。
-
在 Fleet 页面上 — 选择 卸载令牌,查看为您的 Agent 策略生成的卸载令牌列表。 您可以
- 单击 令牌 列中的 显示令牌 图标以显示特定令牌。
- 单击 操作 列中的 查看卸载命令 图标以打开 卸载 Agent 弹出窗口,其中包含带有令牌的完整卸载命令。