端点自我保护功能
编辑端点自我保护功能编辑
Elastic Endpoint 会保护自身免受用户和攻击者的攻击,这些用户和攻击者可能试图干扰其功能。保护功能会不断增强,以防止攻击者使用更新、更复杂的技术来干扰 Elastic Endpoint。自我保护在 Elastic Endpoint 安装到支持的平台时默认启用,支持的平台如下所示。
以下 64 位 Windows 版本启用了自我保护
- Windows 8.1
- Windows 10
- Windows 11
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
以下 macOS 版本也启用了自我保护
- macOS 10.15 (Catalina)
- macOS 11 (Big Sur)
- macOS 12 (Monterey)
其他 Windows 和 macOS 变体(以及所有 Linux 发行版)没有自我保护功能。
对于 Elastic Stack 版本 >= 7.11.0,自我保护定义以下权限
- 用户(即使是管理员/root)不能删除 Elastic Endpoint 文件(位于 Windows 上的
c:\Program Files\Elastic\Endpoint和 macOS 上的/Library/Elastic/Endpoint)。 - 用户不能终止 Elastic Endpoint 程序或服务。
- 管理员/root 用户可以读取 Endpoint 的文件。在 Windows 上,读取 Endpoint 文件最简单的方法是启动管理员
cmd.exe提示符。在 macOS 上,管理员可以使用sudo命令。 - 管理员/root 用户可以停止 Elastic Agent 的服务。在 Windows 上,运行
sc stop "Elastic Agent"命令。在 macOS 上,运行sudo launchctl stop elastic-agent命令。