StratoProbe 是一个可执行程序,可以安装在单台机器上。本页面介绍了安装 StratoProbe 的硬件和软件要求。
硬件要求
为获得最佳性能,根据您需要扫描的资产数量,安装 StratoProbe 的实体机器或虚拟机必须符合以下规范:
- 500 个资产以下:1 个 CPU 核心、4 GB RAM、10 GB 可用空间。
- 1,000 个资产以下:2 个 CPU 核心、8 GB RAM、20 GB 可用空间。
- 5,000 个资产以下:4 个 CPU 核心、16 GB RAM、40 GB 可用空间。
安装在单台机器上的 StratoProbe 应用可以从数以千计的资产中收集数据。但是,这可能会降低扫描周期的频率,因而导致每个资产收集的数据点减少。
操作系统要求
如需安装 StratoProbe,您的机器必须具有以下操作系统之一:
- Windows Server 2012 R2 及更高版本
- Windows 桌面客户端 8.1 版及更高版本(64 位)
软件要求
如需安装 StratoProbe,您的机器必须安装以下软件:
- Microsoft .NET 桌面运行时 6.0.22
- Microsoft Visual C++ 2019 Redistributable x64 版本 14.29.30135
- Microsoft Visual C++ 2019 Redistributable x86 版本 14.29.30135
如果有任何必要的软件尚未安装,则 StratoProbe 安装程序会提示您进行安装。如需完成新软件的安装,您可能需要重启机器。
PostgreSQL 会作为 StratoProbe 安装的一部分进行安装,并且在机器上安装 StratoProbe 之前,您必须移除所有现有的 PostgreSQL 安装。
连接要求
如需与您的资产和 StratoZone 门户建立连接,StratoProbe 必须满足以下要求:
- StratoProbe 必须有权访问 StratoZone Web API,才能向门户发送数据。
- StratoProbe 必须能够从安装它的机器访问目标资产。
其他要求可能适用,具体取决于您的基础架构配置。
- 如果您有多个不可路由的安全可用区,请在每个可用区、网域或 VLAN 中使用不同的 StatoProbe 数据收集器,以避免防火墙配置更改。
- 如果您有多个不可路由的安全可用区,并希望使用单个数据收集器跨这些可用区访问资产,请使用以下防火墙排除项在收集器的 IP(来源)和目标资产之间进行通信:
- Linux SSH:允许 TCP 入站端口 22。
- Windows WMI:允许 TCP 入站端口 135 和 TCP 入站动态端口,如下所示:
- Windows Server 2008 及更高版本的端口 49152-65535。
- Windows Server 2003 及更早版本的端口 1025-5000。
- 对于批量扫描选项,您需要允许 ICMP 回显请求。
- 如果您需要通过代理服务器进行访问连接到互联网,请从设置标签页启用此功能。如需了解详情,请参阅启用代理。
适合度评估使用 Windows 注册表发送数据,并且仅在 PowerShell 脚本可以使用 ExecutionPolicy Bypass 运行的目标环境中运行。
如需停用适合度评估收集,请执行以下操作:
- 修改 StratoProbe 文件夹中的 Service.DataCollector.dll.config。
- 将
Enable mFit值设置为false。 - 在 Windows 服务中重启 StratoZone 数据收集器服务。
如需详细了解如何使用 StratoZone 收集的数据进行评估,请参阅 mFit 评估文档。
保护机器
如需保护安装 StratoProbe 的机器,请遵循以下建议:
- 在客户管理的强化型操作系统上安装 StratoProbe。
- 维护和监控对安装了 StatoProbe 的机器和操作系统的安全访问。
- 请勿共享安装了 StatoProbe 的机器和操作系统的凭据。
- 使用新服务账号进行评估,并在评估完成后停用该账号。
- 评估完成后,使用 Windows 添加/移除应用功能卸载 StratoProbe 收集器。
后续步骤
- 详细了解 StratoProbe 安装过程。
- 详细了解 StratoProbe 收集方法。