手動安裝 Security Controls Agent

您必須在防火牆保護的電腦上手動安裝 Security Controls Agent。您可以將安裝檔案複製到所需的目標電腦，然後在每部電腦執行 Security Controls Agent 安裝精靈來進行安裝。

說明如何進行！

針對此主題有可用的視訊教學課程。若要存取視訊，請按一下下列連結:

觀看相關影片 (07:00)

需求

目標電腦必須能夠與控制台進行通訊。
您必須至少設定一個 Security Controls Agent 原則，才能手動安裝。如需詳細資訊，請參閱準備使用代理程式。
您必須指定代理程式如何在註冊程序期間向控制台驗證。如需詳細資訊，請參閱代理程式選項。
Security Controls 核發憑證必須位於各目標電腦的憑證存放區內，以確保與控制台之間的安全連線。
在分發伺服器安裝代理程式屬特殊情況，因為需要伺服器電腦的系統帳戶才能獲得分發伺服器資料夾的讀取權限。如需詳細資訊，請參閱設定系統帳戶權限。

Windows 安裝程序

有兩種不同方法可用於手動安裝代理程式。

選項 1: PowerShell 指令碼安裝方法

前往代理程式選項索引標籤，瞭解如何使用 PowerShell 指令碼將核發憑證複製到目標電腦的憑證存放區，並將代理程式安裝在目標電腦上。

選項 2: 手動安裝方法

若您不想使用提供的 PowerShell 指令碼，則必須將核發憑證手動複製到目標電腦的憑證存放區，然後執行代理程式安裝精靈。

將控制台憑證複製到目標電腦

從控制台電腦上的「受信任根授權」存放區匯出「ST 根授權」憑證。
將憑證匯入遠端電腦上的「受信任根授權」。

使用安裝精靈安裝代理程式

在 Security Controls 控制台上，找出 STPlatformUpdater.exe 檔案。
檔案位於 C:\ProgramData\Ivanti\Security Controls\Console\DataFiles 目錄。
將 .exe 檔複製到所需的目標電腦。
您可以使用 Active Directory 散佈這個檔案，也可以直接將它複製到 CD 或快閃磁碟機之類的實體媒體，並手動散佈到所需的電腦。

散佈這個檔案時，您可以選擇建立安裝指令檔，自動將所有必要的資訊傳送到安裝精靈。

使用管理員帳戶登入目標電腦。
按兩下名稱為 STPlatformUpdater.exe 的檔案。
隨即安裝代理程式。安裝完成時，將顯示代理程式登錄對話方塊。
按一下我有控制台的直接連線。

如果您透過雲端安裝代理程式，將使用我透過雲端連線到控制台按鈕。

隨即顯示以下對話方塊。

提供所需資訊。

主機名稱:輸入 Security Controls 控制台的主機名稱或 IP 位址。範例:Myconsole 或 192.168.1.100。

如果使用 IP 位址，必須將 IP 位址新增到控制台別名清單。

代理程式服務連接埠:指定將資訊轉送到控制台所用的連接埠號碼。 3121 是預設連接埠號碼。
設定 Proxy:按一下這個按鈕可讓您指定代理程式在登錄期間將使用的 Proxy 設定。如需詳細資訊，請參閱設定 Proxy 伺服器設定。
複雜密碼: 輸入在工具 > 選項 > 代理程式對話方塊上指定的複雜密碼。
選取原則:按一下取得原則清單連線到控制台，並且使用所有可用代理程式原則的清單填寫選取原則方塊。選取想要指派給此代理程式的原則。

在代理程式登錄對話方塊中，按一下登錄。
在代理程式安裝精靈對話方塊中，按一下完成。

代理程式安裝常式將:

在 C:\Program Files\LANDESK\Shavlik Protect Agent 目錄中安裝必要的 .exe 和其他支援檔案
安裝與控制台進行安全通訊所需的認證
需要代理程式授權
擷取指派的原則、引擎元件和資料檔案並加以儲存。

檔案儲存於 C:\ProgramData\LANDESK\Shavlik Protect\Agent 目錄。

下載完成時，代理程式將自動啟動。您可以使用 Security Controls Agent 用戶端程式檢查代理程式的狀態，選取開始 > 所有程式 > Security Controls > Security Controls Agent就能夠使用這個用戶端程式。您可以使用這個程式設定標記為使用者可設定的任何設定。

Linux 安裝程序

使用 Security Controls 控制台，選取工具 >選項 > 代理程式並確認是否已啟用複雜密碼選項且指定了複雜密碼。
在控制台電腦上，將 ISeC 核發憑證匯出為 DER 檔案。

若您已使用您自己的授權單位憑證取代預設 Security Controls 憑證，請匯出該憑證而非 ISeC 核發憑證。您產生的授權單位憑證可能會包含在中繼憑證存放區中。

使用 Microsoft Management Console (MMC)，移至憑證 - 本機電腦 > 可信任的根憑證授權單位 > 憑證資料夾。對名為 ST 根授權單位憑證按一下滑鼠右鍵，接著選取全部工作 > 匯出。

遵循「憑證匯出精靈」內的步驟進行操作。出現提示時，請指定您不想要匯出私密金鑰。使用易記檔案名稱將檔案以 DER 編碼二進位 X.509 格式儲存至您的控制台電腦 (例如 ISECCert.cer)。

在控制台電腦上尋找適當的 ISecAgent TAR 檔案。
TAR 檔案位於 C:\ProgramData\Ivanti\Security Controls\Console\DataFiles 目錄。請確保所找檔案與 Linux 電腦上所用作業系統相關聯。例如，若您擁有的是 RedHat 7.x 電腦，則需名為 ISecAgent-Rhel7.tar 的檔案。
將 TAR 檔案複製到資料夾中，而該資料夾即為在步驟 2 內供匯出憑證檔案的同一資料夾。
將憑證檔案及 TAR 檔案分發至所需的目標電腦。
您可以採用對貴組織而言最合適的機制來執行此作業。您可以使用安全的檔案傳輸工具 (如 WinSCP) 進行，或者您也可以直接將檔案複製到實體媒體 (如隨身碟)，然後再手動將這些項目分發至需要的電腦上。
在 Linux 電腦上，啟動終端並變更包含憑證檔案及 TAR 檔案的路徑。
解壓縮 TAR 檔案的內容。

例如:

# tar -xf ISecAgent-Rhel7.tar

顯示已解壓縮檔案的清單。

# ls

應會列出 install.sh 檔案。

使用 install.sh 檔案安裝代理程式，接著對控制台註冊該項目。

# ./install.sh --host <consolename> --port 3121 --passphrase <passphrase> --issuer-certificate <exported_root_cert.cer> --selected-policy <agent_policy_name>

其中:

<consolename> 是控制台電腦的名稱。您所指定的名稱必須與控制台別名清單中的條目相符。
3121 是預設連接埠號碼，不過可透過編輯 C:\Program Files\Ivanti\Security Controls\STEnvironment.config 檔案的方式進行設定。
<passphrase> 是您在工具 > 選項 > 代理程式索引標籤上指定的複雜密碼。
<exported_root_cert.cer> 是匯出的根憑證檔案名稱。
<agent_policy_name> 是要指派給代理程式的代理程式原則的名稱。

若程序順利完成，您將會看到代理程式已完整註冊訊息。對每個 Linux 電腦重複步驟 6 - 9。

您可以使用 stagentctl 命令列公用程式來管理代理程式。如需詳細資訊，請參閱在目標電腦上使用代理程式。