Безопасность : Cisco AMP for Endpoints

Инициируйте Запланированные Просмотры на FireAMP / AMP для Оконечных точек

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Можно выполнить Запланированные Просмотры на FireAMP ежедневно, еженедельно, или ежемесячно в зависимости от требований. При создании планируемых просмотров необходимо предоставить учетные данные административного пользователя для машин. Этот документ обращается к требуемым разрешениям учетной записи пользователя для успешных запланированных просмотров.

Внесенный Нэзмулом Рэджибом и Александром Дипэскуэлом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

  • Доступ к информационной панели FireAMP
  • Учетные данные для Учетной записи администратора для Компьютеров с операционной системой Windows
  • FireAMP 3.x для Windows XP или позже - Запланированные Просмотры
  • FireAMP 4.x для Windows XP или позже - Запланированные Просмотры и Просмотры IOC Оконечной точки

Перед началом работы

Когда вы добавляете запланированный просмотр в политике FireAMP, это увеличивает серийное число политики. Оконечные точки, выпадающие новая политика, когда они передают биение. Использование предоставленных учетных данных, FireAMP создает запланированную задачу в Windows, и позже выполняет задачу. Из-за этого дизайна мы должны удостовериться, что учетная запись, которую мы используем, имеет соответствующие разрешения.

Прежде чем мы настроим запланированное, просмотр, там два основных требования для учетной записи пользователя, чтобы вы запланировали использовать.

Примечание: Эти разрешения также просят просмотры IOC Оконечной точки.

  1. Учетная запись должна быть учетной записью администратора. Это могло или быть локальным администратором или администратором домена.
  2. Учетная запись должна быть в состоянии Войти в систему как группа.

Вход в систему как пакетные разрешения настроен через групповую политику. Если это не настроено для домена, то административные учетные записи по умолчанию должны быть в состоянии войти в систему как группа. Если это настроено для домена, учетная запись должна принадлежать группе, определенной в Объекте групповой политики (GPO).

Конфигурация

Следующие шаги применяются к Windows Server выполнения контроллера домена 2008 R2:

Внимание.  : Это - обязанность гарантировать корректную конфигурацию групповой политики на Windows Server. Cisco не ответственен ни за какие проблемы, вызванные неправильными конфигурациями групповой политики. 

  1. Перейдите к Пуску> Средства администрирования> менеджмент Групповой политики.

  2. Разверните Лес> Домены> Your_Domain_Name> Объекты Групповой политики.



  3. Щелкните правой кнопкой по политике, вы хотите модифицировать и выбрать "Edit".

  4. Перейдите к Конфигурации компьютера> Политика>> Security Windows Settings Параметры настройки> Локальная политика> Присвоение Прав пользователя.



  5. Двойной щелчок на Входе в систему как пакетное задание.

  6. Выберите Add User или Group.

  7. Нажмите Browse, затем введите требуемого пользователя или имя группы.

  8. Нажмите Check Name для проверения его.

  9. Щелкните по OK, пока вы не возвратитесь к Редактору менеджмента Групповой политики.

Примените групповую политику к домену или группе, если это уже не применено. Теперь, когда мы настроили учетную запись пользователя, мы настроим просмотр в информационной панели FireAMP.

  1. Войдите к информационной панели FireAMP.

  2. Перейдите к менеджменту> Политика.



  3. Отредактируйте требуемую политику.

  4. Перейдите к вкладке File> Запланированные Просмотры. Введите имя пользователя и пароль.


    Примечание: Имя пользователя должно быть в формате domain\username. Суффикс домена не необходим.

  5. Настройте список. Используйте карандаш, плюс и минус значки для изменения, добавьте, удалите списки просмотра. Можно ввести множественные списки здесь. Можно выбрать Daily, Weekly или Monthly в дополнение к 24-часовому времени для инициирования просмотра. Можно также выбрать Scan Type (Flash или Full).



  6. Выберите Save, тогда выбирают Update для совершения изменений политики.

Проверка

После того, как политика обновлена на машинах, необходимо видеть одну или более задач в Windows Task Scheduler с названием Immunet как снимок экрана ниже:

Устранение неисправностей

Политика обновлена, но не найдена запланированная задача

Если политика обновляет, но вы не видите запланированной задачи, это происходит наиболее вероятно из-за учетной записи, вы использовали или наличие неправильного пароля или недостаток полномочий для создания задач (не администратор).

Задача создана, но не в состоянии работать

Если задача создана, но не в состоянии работать, учетная запись наиболее вероятно не имеет возможности Войти в систему как группа. Рассмотрите вышеупомянутые действия настройки, чтобы гарантировать, что учетная запись настроена правильно.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.