系统要求
安装 Security Controls 控制台和在客户端计算机中执行操作时,必须满足以下要求。
控制台
限制
- 控制台计算机需要 NTFS 文件系统
- 如果您将控制台安装在使用 LDAP 证书身份验证的域控制器上,您可能需要配置服务器,避免 SSL 证书和 Security Controls 程序证书之间发生冲突。
- 如果在共享数据库的两台或多台计算机上安装控制台,则所有控制台计算机必须具有唯一的安全标识符 (SID) 才能防止用户凭据问题。 如果复制虚拟机或重影计算机,则计算机很可能具有相同的 SID。
- 安装 Security Controls 之前,应尽可能对控制台计算机进行修补。
处理器
- 最低:2 GHz 或更快的双核处理器
- 推荐:2 GHz 或更快的四核处理器(适用于 500 至 2500 席位的许可证)
- 高性能:2 GHz 或更快的八核处理器(适用于 10000 席位以上的许可证)
- 无代理修补程序评估:8+ 核处理器,2GHz 或更快
内存
- 最低:2GB RAM
- 推荐:4 GB RAM(适用于 500 至 2500 席位的许可证)
- 高性能:16GB RAM(适用于 10000 席位以上的许可证)
视频
- 最低:1024 x 768 屏幕分辨率
- 推荐:1280 x 1024 或更高
磁盘空间
- 500 MB 用于应用程序
- 最低 10GB,推荐 100 GB 或更多用于修补程序存储库
以下操作系统之一
- Windows Server 2022 系列
- Windows Server 2019 系列,不包括 Server Core 和 Nano Server(64 位)
- Windows Server 2016 系列,不包括 Server Core 和 Nano Server(64 位)
- Windows 11 系列
- Windows 10 v1607 专业版、企业版或教育版(64 位)
可以使用低于 v1607 的 Windows 10 版本,但需要 WMF 5.1,后者可能需要单独安装。 可以从 Microsoft 下载中心下载 WMF 5.1。
如果可能,建议使用最新可用版本。
数据库
- 使用 Microsoft SQL Server 数据库 [SQL Server 2014 或更高版本]
- 推荐:Microsoft SQL Server 2016 SP1 或更高版本
- 最小:30GB
- 中等:(500 至 2500 席位许可证)30-60GB
- 企业:(10000 席位以上许可证)60-100GB
如果您没有 SQL Server 数据库,则在必备软件安装过程中,将为您提供安装 SQL Server 速成版的选项。
SQL 高可用性
如果设置符合 Microsoft 最佳实践,则 SQL 镜像受到 Security Controls 的支持。
进行自动故障转移需要有见证服务器。 在没有见证服务器的情况下,需要进行手动转换。
SQL 镜像在 SQL Server 2014 上受支持,但在 SQL 速成版上不受支持。
必备软件
- 使用 Microsoft SQL Server
- Microsoft .NET Framework 4.8 或更高版本
- Microsoft Visual C++ Redistributable for Visual Studio 2015-2022
Windows 帐户要求
- 要访问 Security Controls 的完整功能,必须在具有管理员权限的帐户下运行
配置要求
- 您必须将一些 Web URL 添加到防火墙、Proxy 和网页筛选器异常列表中。 Security Controls 会使用这些 URL,以便从第三方供应商处下载修补程序内容。
- 执行控制台计算机的资产扫描时,必须启用 Windows Management Instrumentation (WMI) 服务,并且此协议允许此计算机使用。 在 Windows 防火墙中,此服务称为 Windows Management Instrumentation (WMI)/远程管理。
有关您应当添加的 URL 的完整列表,请参阅 Ivanti 社区(会在新窗口中打开)。
支持的语言
请参阅显示选项对话框中的语言列表。
WINDOWS 客户端(无代理)
操作系统(下列任意系统的 32 和 64 版本)
- Windows Server 2012 Foundation Edition(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows Server 2012 Essentials Edition(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows Server 2012 Standard Edition(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows Server 2012 Datacenter Edition(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows Server 2012 R2 Essentials Edition(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows Server 2012 R2 Standard Edition(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows Server 2012 R2 Datacenter Edition(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows 10 专业版
- Windows 10 企业版
- Windows 10 教育版
- Windows Server 2016 必需版
- Windows Server 2016,Standard Edition(不包括 Nano Server;32 位子系统支持的服务器核心)
- Windows Server 2016,Datacenter Edition(不包括 Nano Server;32 位子系统支持的服务器核心)
- Windows Server 2019 系列(不包括 Nano Server;32 位子系统支持 Server Core)
- Windows 11 系列
- Windows Server 2022 系列
虚拟机(由以下任意项创建的离线虚拟映像)
仅适用于修补程序管理
- VMware ESXi 6.5 或更高版本(虚拟机需要 VMware 工具)
- VMware vCenter(以前称为 VMware VirtualCenter)6.0 或更高版本(虚拟机需要 VMware 工具)。
- VMware Workstation 9.0 或更高版本
配置要求
- 必须运行远程注册表服务
- 必须运行服务器服务
- NetBIOS (TCP 139) 或直接主机 (TCP 445) 端口必须可访问
- 请勿禁用 Windows Update 服务;而必须将其设置为手动或自动以成功部署修补程序。 此外,每个目标计算机上的 Windows Update 设置(控制面板 > 系统和安全 > Windows Update > 更改设置)应设置为从不检查更新。
-
- 有关执行远程计算机的修补程序扫描时的其他要求,请参阅修补程序扫描必备项。
-
如果使用 Windows 10 或 Windows Server 2016,您可以在组策略编辑器中选择禁用配置自动更新,以禁用自动更新。 请参阅“Microsoft 帮助”,了解禁用服务的其他方法指导。
支持的产品(用于修补程序)
- 请参阅 Ivanti 网站(会在新窗口中打开)上的支持产品页面,了解当前列表
磁盘空间(用于修补程序)
- 可用空间的大小是正在部署的修补程序的五倍
支持的语言(用于修补程序)
请参阅显示选项对话框中的修补程序视图下载状态指示器语言列表。
有代理运行的 WINDOWS 客户端
代理计算机需要 NTFS 文件系统。
处理器
- 500 MHz 或更快的 CPU
内存
- 最低:256MB RAM
- 推荐:512MB RAM 或更多
磁盘空间
- 50 MB 用于 Security Controls Agent 客户端
- 最低:2GB 或更多用于修补程序存储库
- 推荐:10GB
操作系统(以下操作系统之一,除家庭版)
- Windows 10 系列
- Windows 11 系列
- Windows Server 2012 系列(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows Server 2012 系列 R2(需要 Microsoft Extended Security Updates (ESU) 和 Ivanti ESU – 请联系您的 Ivanti 供应商)
- Windows Server 2016 系列
- Windows Server 2019 系列
- Windows Server 2022 系列
配置要求
- 必须运行工作站服务
- 兼容的经测试平台:Ivanti 社区(会在新窗口中打开)
- 要运行 Ivanti Security Controls 代理 UI 引擎(请参阅 使用计算上的代理),客户端计算机需要 .Net v8
有代理运行的 LINUX 客户端
操作系统
供应商支持的所有服务器、工作站、客户端以及下列系统的计算机节点变体(64 位)。
所有分发和版本都需要 libicu 程序包和 OpenSSL 1.0.2 或更高版本。
无内容
- CentOS 7
- Oracle Linux 7、8 和 9(Red Hat Compatible Kernel 和 Unbreakable Enterprise Kernel)
- Red Hat Enterprise Linux 7、8 和 9
如果计算机有两个内核,则两个内核都会被扫描和修补。 但是,由于非运行内核未运行,因此不易受到攻击,因而其公告将始终报告为“已安装”。
基于内容
- CentOS 7
- Red Hat Enterprise Linux 7 和 8
端口要求
将代理推送安装到 Linux 计算机时,会使用安全外壳 (SSH) 和端口 22。
身份验证要求
SSH 连接必须使用 SSH 验证类型的密码身份验证,这样推送安装才能成功。 在所有 Linux 端点上,确保在 /etc/ssh/sshd_config 中,将 PasswordAuthentication 设定为是。
编辑此配置文件后,重新启动 sshd 服务方可使更改生效。
配置要求
要从 Security Controls 控制台向 Linux 计算机执行代理推送安装,您可以使用根帐户或无密码 sudo 访问来连接计算机。如需安全理由,推荐最好使用 sudo 访问。 要实施 sudo 访问,您必须作为根手动登录至各 Linux 计算机,调用 Visudo,然后执行以下操作:
- 将以下命令添加至文件。
- 在此文件中查找内容为
Defaults requiretty的行,如果存在,将其更改为Defaults !requiretty。
<installUser> ALL=(ALL) NOPASSWD: /bin/sh /tmp/ivanti-[A-Za-z0-9][A-Za-z0-9][A-Za-z0-9][A-Za-z0-9]/install.sh *
该命令使用 sudo (super user do) 向控制台授予根权限,以便其向 Linux 计算机执行代理推送安装。
此操作通过为计算机上的每个用户禁用 requiretty 标志来绕过已知的操作系统漏洞,使 sudo 能够通过登录会话以外的其他方式运行。 如果您愿意,可以将其更改为 Defaults:><installuser> !requiretty,由此仅为安装用户禁用该标志。
此标志未在最新版的 Red Hat 和 CentOS 中设置。
如果您选择不从控制台使用根或 sudo 访问 Linux 计算机,您可以在各计算机上手动安装代理。
如果 Linux 计算机位于断开连接的环境中,在您为各计算机配置 sudo 访问的同时,您或许可以执行断开连接的配置步骤。
端口要求
以下为默认端口要求。 有些端口号可配置。
在某些已锁定环境中,可能还需要进行专门设置,以便允许通过默认动态端口范围传输流量:49152 - 65535。
| 协议 | 端口 | 源 | 目标 | 已加密 | 说明 |
|---|---|---|---|---|---|
| UDP | 9 | Security Controls 控制台 | 无代理系统 | 否 | 用于 LAN 唤醒 (WoL) 和错误报告 |
| TCP | 22 | Security Controls 控制台 | Linux 代理系统 | Yes | 让控制台能将代理推送安装到 Linux 计算机 |
| TCP | 80 |
Security Controls 控制台 |
分发服务器:HTTP |
否 |
只有在使用 HTTP 时才需要用于分发服务器与控制台同步修补程序 |
| Security Controls 控制台 | 分发服务器:HTTP | 否 | 只有在使用 HTTP 时才需要用于分发服务器与控制台同步修补程序 | ||
| 代理系统 | 分发服务器:HTTP | 否 | 只有在使用 HTTP 时才需要用于分发服务器与控制台同步修补程序 | ||
| Security Controls 控制台 | 修补程序存储库/修补程序配置 | 否 | 修补程序在 HTTPS URL 不可用时下载 | ||
| TCP | 135 | Security Controls 控制台 | 无代理系统 | 否 | 允许 WMI 协议,在资产扫描时需要用到 |
|
UDP 和 TCP (或替代所有三个端口的 TCP 445) |
137-138 139 |
Security Controls 控制台 |
无代理系统 |
否 |
(Windows 文件共享/目录服务)在无代理扫描和部署到工作时需要用到 |
| Security Controls 控制台 | 分发服务器:UNC | 否 | (Windows 文件共享/目录服务)在无代理扫描和部署到工作时需要用到 | ||
| 代理系统 | 分发服务器:UNC | 否 | (Windows 文件共享/目录服务)在无代理扫描和部署到工作时需要用到 | ||
| 无代理系统 | 分发服务器:UNC | 否 | (Windows 文件共享/目录服务)在无代理扫描和部署到工作时需要用到 | ||
| TCP | 443 |
Security Controls 控制台 |
分发服务器:HTTPS |
Yes |
只有在使用 HTTPS 时(云同步)才需要用于分发服务器与控制台同步修补程序 |
| 代理系统 | 分发服务器:HTTPS | Yes | 只有在使用 HTTPS 时(云代理)才需要用于分发服务器与控制台同步修补程序 | ||
| Security Controls 控制台 | 修补程序存储库/修补程序配置 | Yes | 修补程序和内容下载 | ||
| Security Controls 控制台 | VMware vCenter | Yes | 与 vCenter Server 进行连接时使用 | ||
| Security Controls 控制台 | VMware ESXi 虚拟机监控程序 | Yes | 与 ESXi 虚拟机监控程序进行连接时使用 | ||
|
TCP (或替代为 UDP 137-138 和 TCP 139) |
445 |
Security Controls 控制台 |
无代理系统 |
是 (SMBv3) |
(Windows 文件共享/目录服务)在无代理扫描和部署到工作时需要用到 |
| Security Controls 控制台 | 分发服务器:UNC | 是 (SMBv3) | (Windows 文件共享/目录服务)在无代理扫描和部署到工作时需要用到 | ||
| 无代理系统 | 分发服务器:UNC | 是 (SMBv3) |
(Windows 文件共享/目录服务)在无代理扫描和部署到工作时需要用到 |
||
| TCP | 902 | Security Controls 控制台 | VMware vCenter/ESXi 虚拟机监控程序 | 是 (TLS) | 用于离线虚拟机和模板上的磁盘装载 |
| TCP | 3000 | Chrome 浏览器扩展 | 代理系统 | 允许通过浏览器扩展与应用程序控制代理通信;可通过 BrowserCommsPort 设置进行配置 | |
| TCP | 3001 | Chrome 浏览器 | 代理系统 | 允许安装 Chrome 浏览器控件扩展;可通过 BrowserAppStorePort 设置进行配置 | |
| TCP | 3121 |
代理系统 |
Security Controls 控制台 |
Yes
|
针对修补程序部署更新部署跟踪器状态和返回到控制台的代理通信时需要用到 |
|
无代理系统 |
Security Controls 控制台 |
Yes
|
针对修补程序部署更新部署跟踪器状态和返回到控制台的代理通信时需要用到 |
||
| TCP | 4155 | Security Controls 控制台 | 代理系统 | Yes | 让监听代理能够从控制台接收命令 |
| TCP | 5985 | Security Controls 控制台 | 无代理系统 | Yes | 让您能够使用 ITScript 功能 |
可配置的端口
- TCP 3000:Chrome 浏览器扩展与 AC 代理通信
- TCP 3001:Chrome 浏览器扩展安装
- TCP 3121:数据汇总功能
- TCP 4155:监听代理
-
URL 例外列表
对于 Security Controls Cloud,请将以下 URL 添加到允许的 URL 例外列表中:
- isec.ivanticloud.com
- isecagent.blob.core.windows.net
根据您的使用情况,您可能还需要包含其他 URL,如 Ivanti Security Controls 的 URL 例外(在新窗口中打开)中所列。