Elastic Endpoint 自保护功能
编辑Elastic Endpoint 自保护功能
编辑Elastic Endpoint,作为执行 Elastic Defend 威胁监控和防御的已安装组件,可以保护自身免受用户和攻击者的干扰,这些用户和攻击者可能会试图干扰其功能。 保护功能会不断增强,以防止攻击者尝试使用更新、更复杂的方法来干扰 Elastic Endpoint。 当 Elastic Endpoint 安装在下面列出的受支持平台上时,默认启用自保护。
在以下 64 位 Windows 版本上启用自保护
- Windows 8.1
- Windows 10
- Windows 11
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
在以下 macOS 版本上也会启用自保护
- macOS 10.15 (Catalina)
- macOS 11 (Big Sur)
- macOS 12 (Monterey)
其他 Windows 和 macOS 变体(以及所有 Linux 发行版)不具有自保护功能。
对于 Elastic Stack 版本 >= 7.11.0,自保护定义了以下权限
- 用户(即使是管理员/root)不能删除 Elastic Endpoint 文件(在 Windows 上位于
c:\Program Files\Elastic\Endpoint,在 macOS 上位于/Library/Elastic/Endpoint)。 - 用户 不能终止 Elastic Endpoint 程序或服务。
- 管理员/root 用户可以读取 Elastic Endpoint 的文件。在 Windows 上,读取 Elastic Endpoint 文件的最简单方法是启动管理员
cmd.exe提示符。在 macOS 上,管理员可以使用sudo命令。 - 管理员/root 用户 可以停止 Elastic Agent 的服务。在 Windows 上,运行
sc stop "Elastic Agent"命令。在 macOS 上,运行sudo launchctl stop elastic-agent命令。