文章总结： InvictiEnterprisev25.12部署需先备SQLServer与IIS，按序装WebApp、AuthVerifier、Agent、IASTBridge；WebApp配置数据库连接、密钥、许可证、管理员账号与代理Token，Agent静默装后自动上线，AV组件可选；官方给出硬件指标、防火墙端口、服务权限加固、静默参数与FAQ，支持多代理横向扩容，全过程命令行可脚本化，附备份与监控建议。 综合评分： 84 文章分类： WEB安全,安全工具,安全建设,解决方案,应用安全

---

【网络安全】Invicti Enterprise v25.12 安装步骤详解

原创

利刃信安 利刃信安

利刃信安

2026年1月20日 11:23 北京

Invicti Enterprise v25.12 安装步骤详解

概述

Invicti Enterprise（前身为 Netsparker）是一款企业级 Web 应用安全扫描解决方案。v25.12 版本采用模块化安装方式，包含多个独立的安装程序组件。本文详细介绍 Invicti Enterprise v25.12 的完整安装步骤，帮助您顺利完成部署。

安装组件总览

• • WebAppSetup.exe：核心 Web 应用程序（约 3.8 GB）
• • AgentSetup.exe：扫描代理（约 562 MB）
• • ApiHubServiceSetup.exe：API 集成服务（约 563 MB）
• • AuthVerifierAgentSetup.exe：身份验证代理（约 989 MB）
• • AuthVerifierServiceSetup.exe：身份验证服务（约 262 MB）
• • IASTBridgeSetup.exe：IAST 桥接器（约 22 MB）

---

1 系统要求与准备工作

1.1 硬件与软件要求

在开始安装之前，必须确保目标服务器满足 Invicti Enterprise 的基本运行要求。合理的硬件配置将直接影响系统的扫描性能和稳定性。

应用服务器要求

| 项目 | 最低要求 | 推荐配置 | 高级配置 | | — | — | — | — | | CPU | 2 核 | 2 核 | 4 核 | | RAM | 4 GB | 16 GB | 32 GB | | 磁盘空间 | 5 GB | 20 GB | 50 GB |

软件要求：

• • 操作系统：Windows Server 2016 或更高版本（推荐 Windows Server 2019/2022）
• • Web 服务器：IIS 10（需启用 IIS 角色）
• • .NET Framework：.NET Framework 4.8
• • 数据库：Microsoft SQL Server 2016 或更高版本（推荐 SQL Server 2019）

扫描代理要求

| 资源 | 规格 | | — | — | | CPU | 2 核/每代理 | | RAM | 4 GB/每代理 | | 存储 | 50 GB/每代理 | | .NET | .NET 8 |

网络要求：代理必须能够访问应用服务器的 HTTPS/HTTP 端口（443/80）

数据库服务器要求

重要提示：数据库软件不包含在 Invicti Enterprise 安装包中，需用户自行准备。

• • 数据库要求：SQL Server 2016 或更高版本
• • 权限要求：具有 db_owner 角色的 SQL Server 登录账户
• • 数据库配置：必须为空数据库，排序规则为不区分大小写
• • 端口要求：默认端口 1433

1.2 安全与网络配置

防病毒软件配置

部分防病毒或反恶意软件可能会阻止 Invicti Enterprise 的正常运行或导致性能下降。建议：

• • 将 Invicti Enterprise 的所有文件和文件夹添加到防病毒软件的信任列表
• • 排除实时扫描对安装目录的监控

权限安全要求

安装完成后，必须确保以下用户组没有权限修改或写入服务可执行文件：

| 用户组 | 权限要求 | | — | — | | Everyone | 禁止修改/写入 | | Users | 禁止修改/写入 | | Domain Users | 禁止修改/写入 | | Authenticated Users | 禁止修改/写入 |

网络信任列表配置

如果企业网络安全策略较为严格，可能需要配置以下防火墙规则：

| 通信方向 | 端口 | 说明 | | — | — | — | | 代理 → 应用服务器 | 443/80 | 扫描任务通信 | | AV 代理 → AV 服务 | 5000 | 身份验证验证 | | IAST Bridge | 7880 | IAST 通信 |

1.3 安装包准备

文件完整性检查

将下载的 InvictiEnterprise.zip 文件解压后，确认以下文件完整存在：

InvictiEnterprise/
├── WebAppSetup.exe          # 应用服务器安装程序
├── AgentSetup.exe           # 扫描代理安装程序
├── ApiHubServiceSetup.exe   # API 中心服务（可选）
├── AuthVerifierAgentSetup.exe  # 身份验证代理
├── AuthVerifierServiceSetup.exe  # 身份验证服务
└── IASTBridgeSetup.exe      # IAST 桥接器

安装顺序建议

| 顺序 | 组件 | 说明 | | — | — | — | | 1 | 数据库服务器 | 预先准备 SQL Server | | 2 | 应用服务器 | 核心 Web 应用 | | 3 | 身份验证服务 | 表单认证支持（可选） | | 4 | 扫描代理 | 安全扫描引擎 | | 5 | 身份验证代理 | 登录验证（可选） | | 6 | IAST 桥接器 | IAST 支持（可选） |

推荐架构：将应用服务器、代理和数据库分别部署在不同的服务器上，以最大化系统稳定性。

---

2 应用服务器安装与配置

2.1 应用服务器主程序安装

应用服务器是 Invicti Enterprise 的核心组件，提供 Web 界面用于管理和自动化扫描任务。

安装步骤

1. 1. 启动安装程序

   双击 WebAppSetup.exe

2. 2. 许可协议

• • 阅读最终用户许可协议
• • 勾选同意选项
• • 点击 Next 继续

2. 3. 执行安装

   Ready to Install → Install

4. 4. 身份验证服务提示

   是否同时安装 Authentication Verifier Service？
   - 是：继续 AV 服务安装
   - 否：跳过（需要时再安装）

身份验证服务安装（可选）

如果选择安装 AV 服务：

1. 1. 启动 AuthVerifierServiceSetup.exe
2. 2. 选择安装路径（默认：C:\Program Files (x86)\Invicti Enterprise AV Service）
3. 3. 点击 Install 执行安装
4. 4. 安装完成后点击 Finish

2.2 应用服务器配置向导

应用服务器安装完成后，需要通过配置向导完成各项设置。

配置步骤

步骤 1：数据库连接配置

| 字段 | 说明 | | — | — | | Data Source | SQL Server 实例名称（格式：server/instance） | | Database Name | 数据库名称 | | User Name | 数据库用户名 | | Password | 数据库密码 |

步骤 2：加密密钥配置

• • 下载并安全保管 Secret Key
• • 此密钥用于保护敏感数据
• • 缺少密钥将无法解密已加密的数据

步骤 3：许可证导入

Import a License → 选择 .nsc 许可证文件 → Next

步骤 4：管理员账户设置

| 字段 | 说明 | | — | — | | 用户名 | 管理员账户名 | | 密码 | 强密码（建议 12 位以上） | | 同意协议 | 订阅服务协议 + 隐私政策 |

步骤 5：常规设置

• • 大部分字段预填默认值
• • 根据需求修改扫描超时、并发数量等参数

步骤 6：云服务提供商配置

Cloud Integration 复选框
- 启用：配置 AWS 等云服务
- 禁用：不使用云服务（推荐）

步骤 7：扫描代理安装

| 选项 | 操作 | | — | — | | 安装代理 | 复制 Access Token → 执行 AgentSetup.exe | | 跳过安装 | 勾选 “Continue without installing an agent” |

Access Token：在应用服务器配置过程中生成，用于代理身份验证。

步骤 8：身份验证验证器设置

选项说明：
├─ Install Authentication Verifier  → 完整安装 AV 服务和代理
├─ Skip this step                   → 暂不安装（需要表单认证时再装）
└─ 提示：目标网站不使用表单认证时，可跳过此步骤

步骤 9：通知设置

| 通知类型 | 配置要求 | | — | — | | 电子邮件 | 配置 SMTP 服务器 | | 短信 | 需要 Twilio 账户 | | 禁用 | 取消勾选相应复选框 |

步骤 10：完成配置

Finish → 系统打开 Global Dashboard

首次启动：可能弹出数据共享权限提示，可选择启用或关闭。

2.3 安装路径修改

如果需要更改应用服务器的安装路径：

# 步骤 1：复制安装文件夹
Copy-Item "C:\Program Files (x86)\Invicti Enterprise Web Application" "新路径"

# 步骤 2：修改 IIS 设置
# 打开 IIS Manager → Sites → NetsparkerCloud → Advanced Settings
# 修改 Physical path 为新路径

---

3 扫描代理安装与配置

3.1 代理安装步骤

扫描代理负责执行实际的安全扫描任务，从应用服务器接收任务并报告结果。

安装步骤

1. 1. 启动安装程序

   双击 AgentSetup.exe

2. 2. 安装文件夹

   默认路径：C:\Program Files (x86)\Invicti Enterprise Agent
   或点击 Browse 选择自定义路径 → Next

3. 3. 配置代理设置

   | 字段 | 说明 | | — | — | | Agent Name | 唯一标识名称（便于区分多个代理） | | API URL | 应用服务器 URL（HTTPS 推荐） | | API Token | 从应用服务器配置步骤获取 |

   示例 URL 格式：https://ncserver/

4. 4. 完成安装

   Ready to Install → Install → Finish

默认行为：安装完成后代理服务自动启动。

3.2 代理服务管理

防止服务自动启动

# 安装时阻止服务自动启动
AgentSetup.exe LAUNCH_SERVICE_PROP=0

手动启动服务

方法一：命令行

# 以管理员身份运行
cd "C:\Program Files (x86)\Invicti Enterprise Agent"
AgentSetup.exe -s

方法二：服务管理器

1. 1. 按 Windows + R，输入 services.msc
2. 2. 找到 Netsparker Enterprise Scanning Service - [代理名称]
3. 3. 右键 → 属性 → 启动类型设为 自动 → 点击 启动

3.3 多代理安装配置

在高负载环境下，可在同一服务器安装多个代理实例。

安装步骤

步骤 1：复制代理文件

xcopy "C:\Program Files (x86)\Invicti Enterprise Agent\*.*" ^
      "C:\Program Files (x86)\Invicti Enterprise Agent-2" /yie

步骤 2：配置新代理名称

编辑新代理文件夹中的 appsettings.json，设置唯一的代理名称。

步骤 3：安装为 Windows 服务

cd "C:\Program Files (x86)\Invicti Enterprise Agent-2"
Netsparker.Cloud.Agent.exe /i    # 安装服务
Netsparker.Cloud.Agent.exe /s    # 启动服务

3.4 静默模式安装

对于批量部署场景，支持静默模式安装：

# 静默安装代理
AgentSetup.exe /s

---

4 身份验证验证器安装

4.1 组件说明

身份验证验证器用于验证基于表单的身份验证配置，确保扫描能正确访问需要登录的页面。

| 组件 | 功能 | | — | — | | AuthVerifierServiceSetup.exe | 建立 AV 代理与服务器间的通信 | | AuthVerifierAgentSetup.exe | 执行实际的登录验证任务 |

4.2 身份验证服务安装

1. 1. 运行 AuthVerifierServiceSetup.exe
2. 2. 默认端口：5000
3. 3. 按照向导完成安装

4.3 身份验证代理安装

前置要求：AuthVerifierService 必须已安装并运行。

安装步骤

1. 1. 启动安装程序

   双击 AuthVerifierAgentSetup.exe

2. 2. 选择安装位置

   默认：C:\Program Files (x86)\Invicti Enterprise Auth Verifier Agent
   或点击 Browse 选择自定义路径 → Next

3. 3. 配置代理设置

   | 字段 | 说明 | | — | — | | AV Service URL | 预填的应用服务器 URL | | API Token | 从 API Settings 获取 |

4. 4. 完成安装

   Install → Finish

代理类型说明

| 代理类型 | 适用场景 | | — | — | | Standard | 内部代理模式（Internal） | | Cloud | 云代理模式（Cloud） |

---

5 IAST 桥接器安装

5.1 IAST 桥接器概述

IAST Bridge 支持交互式应用程序安全测试（IAST），通过在应用程序运行时监控其行为来检测安全漏洞。

5.2 安装步骤

1. 1. 启动安装程序

   双击 IASTBridgeSetup.exe

2. 2. 选择安装文件夹

   默认：C:\Program Files (x86)\Invicti IAST Bridge
   或点击 Browse 选择自定义路径 → Next

3. 3. 配置服务端口

   | 参数 | 默认值 | 说明 | | — | — | — | | Service Port | 7880 | IAST 桥接器监听端口 |

4. 4. 完成安装

   Install

5.3 安装后配置

自定义桥接器 URL

如需配置自定义桥接器 URL，请参考 Invicti 官方文档进行设置。

安全加固建议

安装完成后，建议按照官方安全加固指南进行配置：

• • 限制服务账户权限
• • 配置防火墙规则
• • 启用 HTTPS 加密传输

---

6 API 安全组件安装（如适用）

6.1 API 中心服务

如果购买了 Invicti API Security 产品，安装包中包含 ApiHubServiceSetup.exe。

安装步骤

1. 1. 运行 ApiHubServiceSetup.exe
2. 2. 按照屏幕提示完成安装
3. 3. 配置应用服务器连接和 API 令牌

6.2 与主系统集成

API 中心服务安装完成后，需在 Invicti Enterprise 管理界面中启用 API 安全扫描功能。

---

7 安装验证与后续步骤

7.1 验证安装成功

验证项目

| 验证项 | 操作 | 预期结果 | | — | — | — | | Web 界面访问 | 浏览器访问应用服务器 URL | 显示登录页面 | | 代理状态 | Agents 管理页面查看 | 代理显示在线 | | 测试扫描 | 添加目标网站并启动扫描 | 扫描成功执行 |

故障排除

| 问题 | 可能原因 | 解决方案 | | — | — | — | | Web 界面无法访问 | IIS 未正确配置 | 检查 IIS 网站绑定 | | 代理离线 | API Token 错误 | 重新配置代理设置 | | 扫描失败 | 目标无法访问 | 检查网络和防火墙 |

7.2 后续配置建议

备份策略

| 备份项目 | 频率 | 存储位置 | | — | — | — | | 数据库 | 每日 | 独立存储 | | 加密密钥 | 立即 | 安全保险箱 | | 配置文件 | 变更时 | 版本控制 |

用户与权限管理

• • 创建适当的用户账户
• • 分配基于角色的权限
• • 遵循最小权限原则

监控与日志

• • 配置 Windows 事件日志监控
• • 设置 Invicti 应用程序日志
• • 定期检查系统运行状态

扫描策略配置

| 配置项 | 推荐设置 | | — | — | | 扫描频率 | 根据业务需求设置 | | 扫描深度 | 中等（平衡覆盖与性能） | | 通知规则 | 关键漏洞即时通知 |

---

附录 A：静默安装参数

静默安装命令

| 组件 | 命令 | | — | — | | 应用服务器 | WebAppSetup.exe /s | | 代理 | AgentSetup.exe /s | | 身份验证服务 | AuthVerifierServiceSetup.exe /s | | 身份验证代理 | AuthVerifierAgentSetup.exe /s | | IAST 桥接器 | IASTBridgeSetup.exe /s |

静默安装参数

| 参数 | 说明 | | — | — | | /s | 静默安装 | | /v | 传递参数给安装程序 | | LAUNCH_SERVICE_PROP=0 | 安装后不启动服务 |

---

附录 B：常见问题（FAQ）

Q1：安装过程中数据库连接失败怎么办？

1. 1. 检查 SQL Server 服务是否运行
2. 2. 验证数据库连接信息是否正确
3. 3. 确认数据库用户具有 db_owner 权限
4. 4. 检查防火墙是否允许 1433 端口

Q2：代理无法连接到应用服务器？

1. 1. 检查网络连通性（ping 测试）
2. 2. 验证 API URL 和 Token 是否正确
3. 3. 检查防火墙是否允许 443/80 端口
4. 4. 确认应用服务器 IIS 绑定配置

Q3：如何升级到新版本？

1. 1. 下载新版本安装包
2. 2. 停止所有 Invicti 服务
3. 3. 运行新版本安装程序
4. 4. 按照向导完成升级
5. 5. 启动服务并验证功能

Q4：需要安装多个代理吗？

取决于扫描需求：

• • 少量扫描：1-2 个代理足够
• • 大量扫描：每 5-10 个并行扫描需要 1 个代理
• • 高负载：考虑分布式部署多个代理服务器

Q5：身份验证验证器必须安装吗？

不一定。如果扫描目标网站不需要表单登录，可以跳过身份验证验证器的安装。只有当目标网站使用用户名/密码等表单认证时，才需要安装此组件。

---

参考资料

Invicti 官方文档：https://docs.invicti.com

资源获取

如有需要，请前往官网购买。

如需学习，公众号后台回复【Invicti】获取，仅供学习使用。请24小时内删除即可！

更新日志

Invicti Enterprise 本地部署版发行说明

本文档重点介绍了 Invicti Enterprise 本地部署版在最新版本中引入的新功能、改进和已修复问题。每次更新都致力于提升安全性、可用性以及安全团队的集成能力。

2025 年

本节汇总了 2025 年期间新增的所有版本、功能、改进和修复。

版本 v25.12.0

发布日期：2025 年 12 月 11 日

新功能

将 ACX 安全检查集成到报告策略中，使其与 Invicti Standard 中现有的功能保持一致。

OAuth2 中使用的凭据现在可以从密钥库中获取。

在配置 Basic、Digest、NTLM/Kerberos 或 Negotiate 身份验证时，现在支持引用 SEM 集成中的密钥库。

新增安全检查

为 Next.js/React Server Components 远程代码执行漏洞实现了安全检查：

CVE-2025-55182

CVE-2025-66478

改进

为 JIRA 集成添加了”修复版本”字段。

在扫描摘要页面添加了”队列原因”信息。

改进了 IP 限制逻辑。

改进了”未实现 SameSite Cookie”安全检查。

改进了”JWT 签名未验证”安全检查。

已修复问题

InvictiProxy 日志中现在正确屏蔽了代理凭据。

修复了扫描摘要页面上缺失的已知问题和 CVE 详细信息问题。

解决了手动禁用已分配到队列中或正在进行的扫描的代理会导致这些扫描无限期卡住的问题。系统现在会阻止禁用已分配扫描的代理，并显示清晰的错误消息。

增强了 OAuth2 业务逻辑和加密实现。

修复了导致已验证扫描期间登录失败的问题。

防止因自定义安全脚本的语法错误而导致扫描失败。

修复了添加新证书时的布局问题。

修复了用户在没有 API Discovery 许可证的情况下更新设置 > 常规页面上的项目时看到”ApiHub 服务 URL 不能为空”错误的问题。

修复了添加目标时”网站删除继续”的问题。

修复了 Mend 集成中的空列表问题。

修复了 Linux/云代理无法解析密钥库预请求查询参数的问题。

更新了 Java 传感器。

修复了确认短信消息的问题。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：利刃信安 利刃信安 利刃信安《【网络安全】Invicti Enterprise v25.12 安装步骤详解》