Безопасность : Cisco AMP for Endpoints

Отобразите или клонируйте компьютер с установленным разъёмом FireAMP

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Как Системный администратор, можно хотеть создать образ диска или клонировать жесткий диск и реплицировать его на другую физическую или действительную систему. Это позволяет вам экономить время и ресурсы. Если пользователи в организации выполняют определенное, некоторый программное обеспечение, можно хотеть включать ее на "основном образе", так, чтобы каждая клонированная система имела копию того программного обеспечения. Некоторые программные обеспечения, такие как FireAMP требуют, чтобы была однозначно определена система. Этот документ описывает процессы, чтобы препятствовать тому, чтобы несколька компьютеров пытались использовать тот же Глобально уникальный идентификатор (GUID), который может препятствовать тому, чтобы двойные компьютерные объекты появились в облачной информационной панели FireAMP. Это позволяет FireAMP работать должным образом на клонированную систему.

Внесенный Nazmul Rajib, Кэли Ноулзом, и Александром Дипэскуэлом, разработкой Cisco.

Клонируйте компьютер с установленным разъёмом FireAMP

Если вы хотите создать образ диска или клонировать жесткий диск, существует два подхода, которые можно проявить:

  • Ручной способ
  • Идентификационная синхронизация

Ручной способ

Можно вручную создать "основной образ" компьютера с установленным Разъёмом FireAMP. Существует два основных шага в этот процесс:

  • Предварительная установка
  • Постустановка

Предварительная установка

Выполните следующие шаги для подготовки компьютера к обработке изображений:

1. Выполните установщик Настройки FireAMP.

FireAMPSetup.exe /S

2. Откройте командную строку как администратора и остановите Разъём FireAMP путем выполнения следующей команды:

net stop immunetprotect

3. Определите местоположение fireAMP продукта. По умолчанию является %PROGRAMFILES %\Sourcefire\fireAMP

4. Удаление Сервис Разъёма FireAMP от Панели управления путем выполнения sfc.exe-u от папки версии.

"%PROGRAMFILES%\Sourcefire\fireAMP\4.0.2\sfc.exe" -u

5. Если вы хотите снова использовать существующий компьютерный объект, необходимо резервировать существующий local.xml файл. local.xml найден в придерживающемся каталоге:

%PROGRAMFILES%\Sourcefire\fireAMP\

Примечание: Это идеально для частного лица, повторно захватывают образ, но может не быть практичным для методов обработки изображений один ко многим, поскольку это хранит уникальную информацию, такую как GUID одиночного компьютера.

6. После того, как вы выполняете резервное копирование local.xml или если вы не должны снова использовать компьютерный объект в информационной панели, удалите local.xml.

del local.xml

Постустановка

Выполните следующие шаги после развертывания образа:

Примечание: При начале сервиса FireAMP с local.xml файла общего назначения он создает новый компьютерный объект. Если у вас есть исходный local.xml файл, можно восстановить их на компьютер, чтобы снова использовать объект.

1. Восстановите local.xml файл к этому каталогу в это время при поддержке его до повторно захватывания образ. Если вы не восстанавливаете local.xml файл, мы должны все еще создать общего назначения для разъёма для регистрации правильно. 

echo ^<config^>^</config^> > "%PROGRAMFILES%\Sourcefire\fireAMP\local.xml"

2. Зарегистрируйте Разъём в сервисе путем выполнения sfc-r от папки версии. Этот шаг завершает local.xml файл для компьютера.

"%PROGRAMFILES%\Sourcefire\fireAMP\4.0.2\sfc.exe" -r

Установите Разъём к Панели управления Сервисов путем выполнения sfc.exe-i от папки версии.

"%PROGRAMFILES%\Sourcefire\fireAMP\4.0.2\sfc.exe" -i

Запустите Разъём путем выполнения команды:

net start immunetprotect

 

На этом этапе клиент FireAMP должен быть в порядке. Можно использовать интерфейс веба - пользователя для подтверждения подключения и что работает сервис.

Идентификационная синхронизация

Когда компьютеры повторно захвачены образ, идентификационная Синхронизация позволяет вам поддерживать непротиворечивый журнал событий в виртуальных средах или. Можно связать Разъём с MAC-адресом или именем хоста так, чтобы новый журнал событий не был создан каждый раз, когда новый виртуальный сеанс начат, или компьютер повторно захвачен образ. Можно принять решение применить эту установку с глубиной детализации по другой политике, или по всей организации.

Примечание: В некоторых случаях клонированная виртуальная машина может быть размещена в Группу по умолчанию, а не группу, от которой это было клонировано. Если это происходит, переместите виртуальную машину в корректную группу в Консоли FireAMP.

Для включения Идентификационной Синхронизации необходимо настроить политику, что вы хотите примениться к компьютерам.

Идентификационная Синхронизация работает хорошо в лабораторной среде , потому что можно протестировать и управлять аспектами среды. Однако это имеет несколько ограничений:

  • Идентификационная Синхронизация только работает через прокси с версиями агента 4.1.x и позже.
  • Идентификационная Синхронизация синхронизируется одиночным MAC-адресом. Это означает, если у вас есть портативный ПК с проводным и беспроводной картой, вы могли бы получить две личности в облаке.
  • Идентификационная Синхронизация синхронизируется Полным доменным именем. Это означает, если у вас есть DHCP server, выделяющий Суффикс домена, идентичность может не измениться.
  • Идентификационная Синхронизация должна быть настроена в политике по начальной установке. Если вы включаете Идентификационную постустановку Синхронизации, то можно закончить с копиями.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.