防止 Elastic Agent 卸载
编辑防止 Elastic Agent 卸载编辑
对于注册到 Elastic Defend 的主机,您可以在代理策略上启用 Agent 篡改保护,防止对 Elastic Agent 和 Elastic Endpoint 进行未经授权的卸载尝试。这通过阻止用户绕过或禁用 Elastic Defend 的端点保护,提供额外的安全层。
启用后,Elastic Agent 和 Elastic Endpoint 只能通过在卸载 CLI 命令中包含卸载令牌来在主机上卸载。每个代理策略会生成一个唯一的卸载令牌,您可以在代理策略的设置或 Fleet UI 中检索卸载令牌。
启用 Agent 篡改保护编辑
您可以通过配置 Elastic Agent 策略来启用 Agent 篡改保护。
- 转到 Fleet → 代理策略,然后选择要配置的代理策略。
- 在策略详细信息页面上选择 设置 选项卡。
-
在 Agent 篡改保护 部分中,开启 防止代理篡改 设置。
这将使 获取卸载命令 链接可用,您可以点击该链接获取卸载令牌和 CLI 命令,如果您需要 卸载此策略上的 Agent。
您还可以通过 Fleet 页面上的 卸载令牌 选项卡访问代理策略的卸载令牌。有关更多信息,请参阅 访问卸载令牌。
- 选择 保存更改。
访问卸载令牌编辑
如果您需要卸载令牌才能从端点删除 Elastic Agent,可以通过以下几种方式找到它。
- 在代理策略上 — 转到代理策略的 设置 选项卡,然后点击 获取卸载命令 链接。将打开 卸载代理 弹出窗口,其中包含带有令牌的完整卸载命令。
-
在 Fleet 页面上 — 转到 Fleet → 卸载令牌,以查看为您的代理策略生成的卸载令牌列表。您可以
- 点击 令牌 列中的 显示令牌 图标来显示特定令牌。
- 点击 操作 列中的 查看卸载命令 图标来打开 卸载代理 弹出窗口,其中包含带有令牌的完整卸载命令。