手动安装 Security Controls Agent

必须在受防火墙保护的计算上手动安装 Security Controls Agent。 要执行此操作,可以将代理安装文件复制到所需的目标计算机,然后在每个计算机上运行 Security Controls Agent 安装向导。

请展示!

提供有关此主题的视频教程。 要访问该视频,请单击以下链接:

观看相关视频 (07:00)

要求

  • 目标计算机必须能够与控制台通信。
  • 在手动安装代理前,必须至少配置一个 Security Controls Agent策略。 有关详细信息,请参阅准备使用代理
  • 必须指定在注册过程中代理向控制台验证自己的方式。 有关详细信息,请参阅代理选项
  • Security Controls 发行证书必须位于每个目标机器的证书存储中,以确保与控制台的安全连接。
  • 在分发服务器上安装代理是一种特殊情况,要求服务器计算机的系统帐户有权读取分发服务器文件夹。 有关详细信息,请参阅配置系统帐户权限

可以使用两种不同的方法来手动安装代理。

选项 1:PowerShell 脚本安装方法

转到代理选项选项卡,了解如何使用 PowerShell 脚本将发行证书复制到目标计算机的证书存储中,并在目标计算机上安装代理。

选项 2:手动安装方法

如果不希望使用提供的 PowerShell 脚本,则必须手动将发行证书复制到目标机器的证书存储中,然后运行代理安装向导。

将控制台证书复制到目标计算机

  1. 从控制台计算机的可信根颁发机构存储中导出 ST 根颁发机构证书。
  2. 将证书导入远程计算机上的可信根颁发机构。

使用安装向导安装代理

  1. Security Controls 控制台中,找到 STPlatformUpdater.exe 文件。
    文件位于 C:\ProgramData\Ivanti\Security Controls\Console\DataFiles 目录中。
  2. 将 .exe 文件复制到所需的目标计算机。
    可以使用 Active Directory 分发此文件,或者可以只将其复制到 CD 或闪存驱动器等物理媒体,然后手动将其分发到所需的计算机。

    3. 分发此文件时,可以选择创建将所有必要的信息自动传递至安装向导的安装脚本

  3. 使用管理员帐户登录目标计算机。
  4. 双击名为 STPlatformUpdater.exe 的文件。
    随即安装代理。 安装完成后,会显示代理注册对话框。
  5. 单击我拥有至控制台的直接连接

    6. 如果您通过云安装代理,则使用我通过云连接到控制台按钮。

    随即显示以下对话框。

  6. 提供所需的信息。
    • 主机名:键入 Security Controls 控制台的主机名或 IP 地址。 示例:Myconsole 或 192.168.1.100。

      • 如果使用 IP 地址,则 IP 地址必须添加至“控制台别名”列表

    • 代理服务端口:指定用于将信息转发到控制台的端口号。 3121 为默认端口号。
    • 配置 proxy:单击此按钮以指定代理在注册过程中使用的 proxy 设置。 有关详细信息,请参阅配置 Proxy 服务器设置
    • 密码:键入在工具 > 选项 > 代理对话框中指定的密码
    • 选择策略:单击获取策略列表以连接至控制台,然后通过所有可用代理策略的列表来填充选择策略。 选择要分配至此代理的策略。
  7. 代理注册对话框上,单击注册
  8. 代理设置向导对话框上,单击完成

代理安装程序将:

  • C:\Program Files\LANDESK\Shavlik Protect Agent 目录中安装必要的 .exe 和其他支持文件
  • 安装与控制台安全通信所需的证书
  • 获取代理许可证
  • 检索分配的策略、引擎组件和数据文件并进行存储。

    • 这些文件位于 C:\ProgramData\LANDESK\Shavlik Protect\Agent 目录。

下载完成后会自动启动代理。 可以使用 Security Controls Agent客户端程序检查代理的状态,该客户端程序通过选择开始 > 所有程序 > Security Controls > Security Controls Agent获得。 可以使用此程序配置任何标记为用户可配置的设置。

  1. 使用 Security Controls 控制台,选择工具 > 选项 > 代理,然后验证是否已启用密码选项并指定密码。
  2. 在控制台计算机上,将 ISeC 发行证书导出到 DER 文件。

    3. 如果您已将默认 Security Controls 证书 替换为您自己的机构证书,请导出该证书,而非 ISeC 发行证书。 您生成的机构证书将很可能包含在中间认证存储中。

    使用 Microsoft 管理控制台 (MMC),转到证书 - 本地计算机 > 可信根证书颁发机构 > 证书文件夹。 右键单击名为 ST 根权限的证书,然后选择所有任务 > 导出

    按照证书导出向导中的步骤进行操作。 出现提示时,指定您不想导出私钥。 使用容易记住的文件名将文件以 DER 编码二进制 X.509 格式保存到控制台计算机(例如, ISECCert.cer)。

  3. 在控制台计算机上,找到相应的 ISecAgent TAR 文件。
    TAR 文件位于 C:\ProgramData\Ivanti\Security Controls\Console\DataFiles 目录中。 确保找到与 Linux 计算机所用操作系统相关联的文件。 例如,如果您拥有 RedHat 7.x 计算机,则需要名为“ISecAgent-Rhel7.tar”的文件。
  4. 将 TAR 文件复制到与步骤 2 中导出的证书文件所在的相同文件夹。
  5. 将证书文件和 TAR 文件分发到所需目标计算机。
    您可以使用最适合您组织的任何机制来执行此操作。 您可以使用 WinSCP 等安全的文件传输工具,也可以只将文件复制到闪存驱动器等物理媒介,然后手动将其分发到所需计算机。
  6. 在 Linux 计算机上启动终端,然后切换到内含证书文件和 TAR 文件的路径。
  7. 解压缩 TAR 文件的内容。

    8. 例如:

    # tar -xf ISecAgent-Rhel7.tar

  8. 显示解压缩文件列表。

    9. # ls

    应列出 install.sh 文件。

  9. 使用 install.sh 文件安装代理并使用控制台对其进行注册。

    10. # ./install.sh --host <consolename> --port 3121 --passphrase <passphrase> --issuer-certificate <exported_root_cert.cer> --selected-policy <agent_policy_name>

    其中:

    • <consolename> 是控制台计算机的名称。 您指定的名称必须与控制台别名列表中的条目相匹配。
    • 3121 是默认端口号,但可以通过编辑 C:\Program Files\Ivanti\Security Controls\STEnvironment.config 文件进行配置。
    • <passphrase> 是在工具 > 选项 > 代理选项卡上指定的密码。
    • <exported_root_cert.cer> 是导出的根证书文件的名称。
    • <agent_policy_name> 是要分配到代理的代理策略名称。

如果该过程成功完成,您将看到消息代理已完全注册。 对每台 Linux 计算机重复步骤 6 - 9。

您可以使用 stagentctl 命令行实用程序来管理代理。 有关详细信息,请参阅使用目标计算机上的代理

相关主题

准备使用代理

通过控制台安装代理

通过云安装代理