操作场景
安装Agent后,您才能为服务器开启主机安全防护。本章节为您介绍如何为华为云主机安装Agent。
如果您使用了CBH,您也可以通过CBH为主机快速安装Agent,操作详情请参考通过CBH安装HSS的Agent。
前提条件
- 安装Agent对安全组出方向端口以及第三方安全软件等有限制要求,为避免安装Agent失败,请您参考检查安装环境,完成相关排查后再安装Agent。
- 通过HSS控制台界面安装方式安装Agent时,请先将VPCOperatePolicy和VPCEPOperatePolicy权限授予HSS,详细操作请参见授权管理。
约束限制
- 华为云云桌面Workspace镜像中已预置HSS Agent,购买云桌面23.6.0及以后版本将会自动安装Agent,无需您手动安装。如果您购买的云桌面是23.6.0以前的版本,可以参照本文手动为云桌面安装Agent。
- 通过控制台界面批量为多台主机安装Agent时,系统会随机选定同VPC内的主机作为执行机。
Agent安装方式说明
HSS提供两种类别的安装方式,两者的区别请参见表1。
通过HSS控制台界面为华为云主机安装Agent
HSS支持直接通过HSS控制台界面执行操作为主机安装Agent,以下是各类安装操作方式,您按需选用即可。
通过账号密码为单台华为云主机安装Agent
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择,进入“主机安装与配置”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择页签。
- 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
- 选择“弹性云服务器ECS安装”,并单击“开始配置”。
- 选择安装方式。
- 选择安装模式:界面安装
- 选择服务器验证模式:账号密码方式
- 选择安装数量:单台
- 选中目标服务器,并单击“下一步”。
- 根据界面提示填写账号密码信息。
- Linux
根据主机是否能通过Root账号直接登录,填写信息。
图1 填写账号密码信息(Linux)
- Windows
填写登录用户名、登录密码。
图2 填写账号密码信息(Windows)
- 确认信息无误后,单击“确认”,Agent开始安装。
您可以查看“Agent状态”列,确认Agent安装进度。Agent状态显示“在线”,表示安装完成。
通过账号密码为多台华为云主机安装Agent
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择,进入“主机安装与配置”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择页签。
- 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
- 选择“弹性云服务器ECS安装”,并单击“开始配置”。
- 选择安装方式。
- 选择安装模式:界面安装
- 选择服务器验证模式:账号密码方式
- 选择安装数量:批量
- 上传安装模板。
- 单击“下载批量模板”,下载批量模板表格至本地。
图3 下载批量模板
- 打开下载好的表格“importTemplate.xlsx”,按表格要求填写服务器相关信息并保存。
- 单击“添加文件”,上传已填写完成的表格“importTemplate.xlsx”。
HSS将自动解析,您填写的服务器。如果服务器解析失败,您可以单击“查看失败主机”,确认失败原因。
- 确认信息无误后,单击“确认”,Agent开始安装。
您可以查看“Agent状态”列,确认Agent安装进度。Agent状态显示“在线”,表示安装完成。
通过云密钥(DEW)为单台或多台华为云主机安装Agent
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择,进入“主机安装与配置”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择页签。
- 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
- 选择“弹性云服务器ECS安装”,并单击“开始配置”。
- 选择安装方式。
- 选择安装模式:界面安装
- 选择服务器验证模式:密钥方式
- 选择密钥来源:云密钥(DEW)
- 选中目标服务器,并单击“确认”,Agent开始安装。
可选服务器列表,仅展示已绑定云密钥(DEW)的服务器。
图4 选择服务器
- 在目标服务器所在行的“Agent状态”列,确认Agent安装进度。
Agent状态显示“在线”,表示安装完成。
通过自建密钥为单台或多台华为云主机安装Agent(仅支持 Linux)
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择,进入“主机安装与配置”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择页签。
- 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
- 选择“弹性云服务器ECS安装”,并单击“开始配置”。
- 选择安装方式。
- 选择安装模式:界面安装
- 选择服务器验证模式:密钥方式
- 选择密钥来源:自建密钥(仅支持Linux)
- 上传安装模板。
- 单击“下载批量模板”,下载批量模板表格至本地。
图5 下载批量模板
- 打开下载好的表格“importTemplate.xlsx”,按表格要求填写服务器相关信息并保存。
- 单击“添加文件”,上传已填写完成的表格“importTemplate.xlsx”。
HSS将自动解析,您填写的服务器。如果服务器解析失败,您可以单击“查看失败主机”,确认失败原因。
- 确认信息无误后,单击“确认”,Agent开始安装。
- 在目标服务器所在行的“Agent状态”列,确认Agent安装进度。
Agent状态显示“在线”,表示安装完成。
通过命令行为华为云主机安装Agent
HSS支持通过命令行为主机安装Agent。以下是不同操作系统的各类安装操作方式,您按需选用即可。
通过命令行为单台华为云Linux主机安装Agent
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择,进入“主机安装与配置”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择页签。
- 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
- 选择“弹性云服务器ECS安装”,并单击“开始配置”。
- 选择安装方式。
- 选择安装模式:命令行安装
- 选择服务器操作系统:Linux
- 选择安装数量:单台
- (可选)选择需要打通网络安装Agent的服务器,并单击“下一步”。
- 仅“华东二”、“西南-贵阳一”区域,需要执行此操作。执行完成后,HSS会自动在VPCEP为您创建一个终端节点,这将占用一个您的虚拟私有云子网IP。每个虚拟私有云仅会为您创建一个终端节点,以确保服务器和HSS服务端能够正常通信。
- 其他区域,请确保您的服务器已放通安全组出方向100.125.0.0/16网段的10180端口,该端口用于与HSS服务端通信。
- 根据界面提示,安装Agent。
“华东二”、“西南-贵阳一”区域请等待网络打通完成(即VPCEP创建完成)后执行如下操作。
- 单击控制台界面“安装主机安全Agent”对话框中复制安装命令。
图6 复制安装命令
- 以Root账号登录服务器,并粘贴执行安装命令。
界面回显如图 Agent安装完成所示,表示Agent安装完成。
图7 Agent安装完成
通过命令行为多台华为云Linux主机安装Agent
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择,进入“主机安装与配置”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择页签。
- 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
- 选择“弹性云服务器ECS安装”,并单击“开始配置”。
- 选择安装方式。
- 选择安装模式:命令行安装
- 选择服务器操作系统:Linux
- 选择安装数量:批量
- 选择服务器验证模式:根据服务器的验证方式,选择“账号密码方式”或“密钥方式”。
- (可选)选择需要打通网络安装Agent的服务器,并单击“下一步”。
- 仅“华东二”、“西南-贵阳一”区域,需要执行此操作。执行完成后,HSS会自动在VPCEP为您创建一个终端节点,这将占用一个您的虚拟私有云子网IP。每个虚拟私有云仅会为您创建一个终端节点,以确保服务器和HSS服务端能够正常通信。
- 其他区域,请确保您的服务器已放通安全组出方向100.125.0.0/16网段的10180端口,该端口用于与HSS服务端通信。
- 根据界面提示,安装Agent。
通过脚本为单台华为云Windows主机安装Agent
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择,进入“主机安装与配置”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择页签。
- 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
- 选择“弹性云服务器ECS安装”,并单击“开始配置”。
- 选择安装方式。
- 选择安装模式:命令行安装
- 选择服务器操作系统:Windows
- 选择安装数量:单台
- (可选)选择需要打通网络安装Agent的服务器,并单击“下一步”。
- 仅“华东二”、“西南-贵阳一”区域,需要执行此操作。执行完成后,HSS会自动在VPCEP为您创建一个终端节点,这将占用一个您的虚拟私有云子网IP。每个虚拟私有云仅会为您创建一个终端节点,以确保服务器和HSS服务端能够正常通信。
- 其他区域,请确保您的服务器已放通安全组出方向100.125.0.0/16网段的10180端口,该端口用于与HSS服务端通信。
- 根据界面提示,安装Agent。
“华东二”、“西南-贵阳一”区域请等待网络打通完成(即VPCEP创建完成)后执行如下操作。
- 单击控制台界面“安装主机安全Agent”对话框中“installAgent.ps1”,下载安装脚本。
图11 下载installAgent.ps1
- 将“installAgent.ps1”文件复制粘贴至C:\Users\Administrator目录下。
- 鼠标右键单击“installAgent.ps1”,选择“使用PowerShell运行”。
- (可选)在弹出的对话框中,键入Y,运行安装脚本安装Agent。
如果未出现对话框,请跳过此步骤。
图12 更改执行策略
- 运行完成后,打开任务管理器,查看存在“hostguard.exe”和“hostwatch.exe”表示Agent安装完成。
图13 Agent安装完成
通过脚本为多台华为云Windows主机安装Agent
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏中,选择,进入“主机安装与配置”界面。
如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。
- 选择页签。
- 在页面右上角,单击“安装主机安全Agent”,弹出“安装主机安全Agent”对话框。
- 选择“弹性云服务器ECS安装”,并单击“开始配置”。
- 选择安装方式。
- 选择安装模式:命令行安装
- 选择服务器操作系统:Windows
- 选择安装数量:批量
- (可选)选择需要打通网络安装Agent的服务器,并单击“下一步”。
- 仅“华东二”、“西南-贵阳一”区域,需要执行此操作。执行完成后,HSS会自动在VPCEP为您创建一个终端节点,这将占用一个您的虚拟私有云子网IP。每个虚拟私有云仅会为您创建一个终端节点,以确保服务器和HSS服务端能够正常通信。
- 其他区域,请确保您的服务器已放通安全组出方向100.125.0.0/16网段的10180端口,该端口用于与HSS服务端通信。
- 根据界面提示,安装Agent。
- “华东二”、“西南-贵阳一”区域请等待网络打通完成(即VPCEP创建完成)后执行如下操作。
- 在任一服务器执行如下操作即可。
- 除了执行脚本的服务器,其他服务器需要设置安全组入方向允许执行脚本的服务器IP访问5985端口;如果安全组规则未允许,HSS会在安装Agent时暂时修改服务器的安全组规则,在Agent安装完成后,删除该规则。
- 单击控制台界面“安装主机安全Agent”对话框中“windows-host-list.xlsx”,下载模板至本地。
图14 下载windows-host-list.xlsx
- 根据模板“windows-host-list.xlsx”要求,填写服务器信息并保存。
- 返回企业主机安全控制台,单击“BatchInstallAgent.ps1”,下载安装脚本。
图15 下载BatchInstallAgent.ps1
- 将“windows-host-list.xlsx”和“BatchInstallAgent.ps1”两个文件复制粘贴到C:\Users\Administrator目录下。
- 鼠标右键单击“BatchInstallAgent.ps1”,选择 “使用PowerShell运行”。
- (可选)在弹出的对话框中,键入Y,运行安装脚本安装Agent。
如果未出现对话框,请跳过此步骤。
图16 更改执行策略
- 脚本运行成功后,在C:\Users\Administrator目录下查看是否存在“BatchInstallAgent.log”文件。
存在“BatchInstallAgent.log”文件表示Agent安装完成。