概要
この資料は AMP クラウド ダッシュボードに現われるためにクローンとして作るためにステップかイメージを重複したコンピュータ オブジェクトを避けるように同じグローバルに固有の 識別子(GUID)の使用を試みるように複数のコンピューターを防ぐためにインストールされる Advanced Malware Protection (AMP)コネクタが付いているコンピュータ説明したものです。
システム アドミニストレータとして、マスター Windows PC イメージの AMP コネクタを含みたいと思います。 AMP はシステムが識別することができることを必要とします。
前提条件
- ナビゲートおよび編集ウィンドウ レジストリのナレッジ。
- Windows OS コマンド プロンプトの使用。
- Linux OS コマンドの入力ターミナルの使用。
Windows の場合
識別が配置環境のために永続性正しく設定 されることを確認して下さい。 VDI 環境は MAC アドレスをクローンとして作りがちです従って MAC による同期化は推奨されません。 VDI のための最良の方法はポリシーを渡るホスト名によって同期化行います。 適切な機能性に関しては、すべての識別永続性はビジネスを渡って一致するはずです。 1 ポリシーが「ポリシーを渡る同期化」のために設定 される場合、識別永続性を使用してすべてのポリシーは「ポリシーを渡る同期化」を使用する必要があります。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
バージョン 6.3.1 および それ 以降
6.2.X より新しいバージョンについては次の技術情報を参照して下さい
6.3.1 およびそれ以降 Windows AMP コネクタの金イメージを準備をする方法
インストール前-バージョン 6.2.1+
イメージングのコンピュータを準備をするためにこれらのステップを実行して下さい:
1.マシンのインターネットアクセスを無効に して下さい。
2.マスター イメージで AMP コネクタをインストールして下さい。
FireAMPSetup.exe /S

3. AMP サービスを停止して下さい。
wmic service where "name like '%%i%%m%%.%%.%%'" call stopservice

コネクタ 保護を有効に してもらう場合次のコマンドを使用して下さい。 パスワードはコマンド プロンプトで目に見えます。
"%PROGRAMFILES%\Cisco\AMP\X.X.X\sfc.exe" -k protectionpassword
注: 非常に Policy.xml (%PROGRAMFILES% \ Cisco \ AMP \ Policy.xml)をチェックし、<Install><Token> のためのエントリがあることを確認することを助言します。 これは正しいグループ/ポリシーで登録されていてコネクタ用の必要です。 最良の方法は包みます次のステップを何らかの理由で繰り返されなければなっていませんそのファイルのコピーを保存することです。
注: AMP サービスが再度開始する場合、マスター イメージ regenerateslocal.xml。 マスター イメージを再度中和するためにこれらのステップを繰り返す必要があります。 マスター イメージ準備プロセスにこれらのステップを含めることを忘れないでいて下さい。
4. Deletelocal.xml.
del "%PROGRAMFILES%\Cisco\AMP\local.xml"
5.ブランク local.xmlfile を作成して下さい。
echo ^<config^>^</config^> > "%PROGRAMFILES%\Cisco\AMP\local.xml"


6. KEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet からのレジストリからの GUID および証明書情報を保護しますクリアして下さい。

注: 6.2.1 から開始して、GUID および証明書はまた不具合 CSCvi92800 のための治療としてレジストリで保存されます
。
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect" /v "client_cert" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect" /v "client_keypair" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect" /v "est_cert" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect" /v "guid" /f

7. サービスを再度開始しなければまたはこの技術情報に続かなければならなくて下さい。 サービスはブートで開始する必要があります。
プレインストール- 6.1.7 へのバージョン 4.1.4
イメージングのコンピュータを準備をするためにこれらのステップを実行して下さい:
1.マシンのインターネットアクセスを無効に して下さい。
2.マスター イメージで AMP コネクタをインストールして下さい。
FireAMPSetup.exe /S

3. AMP サービスを停止して下さい。
wmic service where "name like '%%i%%m%%.%%.%%'" call stopservice

コネクタ 保護を有効に してもらう場合次のコマンドを使用して下さい。 パスワードはコマンド プロンプトで目に見えます。
4.2 and Lower: Not Available
4.3 to 5.0: "%PROGRAMFILES%\Sourcefire\fireAMP\X.X.X\sfc.exe" -k protectionpassword
5.1 and Above: "%PROGRAMFILES%\Cisco\AMP\X.X.X\sfc.exe" -k protectionpassword
注: それは非常に advisedto チェック Policy.xml (%PROGRAMFILES% \ Cisco \ AMP \ Policy.xml)で、<Install><Token> のためのエントリがあることを確認します。 これは正しいグループ/ポリシーで登録されていてコネクタ用の必要です。 最良の方法は包みます次のステップを何らかの理由で繰り返されなければなっていませんそのファイルのコピーを保存することです。
注: AMP サービスが再度開始する場合、マスター イメージは local.xml を再生します。 マスター イメージを再度中和するためにこれらのステップを繰り返す必要があります。 マスター イメージ準備プロセスにこれらのステップを含めることを忘れないでいて下さい。
4. local.xml を削除して下さい。
5.0 and Lower: del "%PROGRAMFILES%\Sourcefire\fireAMP\local.xml"
5.1 and Above: del "%PROGRAMFILES%\Cisco\AMP\local.xml"
5.ブランク local.xml ファイルを作成して下さい。
5.0 and Lower: echo ^<config^>^</config^> > "%PROGRAMFILES%\Sourcefire\fireAMP\local.xml"
5.1 and Above: echo ^<config^>^</config^> > "%PROGRAMFILES%\Cisco\AMP\local.xml"


6. Donotstart はサービス再度またはあなたこの技術情報に続かなければならない必要があります。 サービスはブートで開始する必要があります。
インストール後-バージョン 4.1.4 または それ 以降
AMP コネクタ バージョン 4.1.4 および それ 以上は自動的にコネクタ サービスがブランク local.xml ファイルを検出するとき新しい regisration およびユニバーサル固有の識別番号(UUID)を生成します。
注: 組織のデフォルト グループに置かれるブランク local.xml ファイルと登録するマシンことが期待されます。 これらのマシンを手動で移動するか、またはそれらのマシンのための望ましいグループであるためにデフォルト グループを変更したいと思うかどうか決定して下さい。
この時点で AMP クライアントは作動中であるはずです。 サービスが実行されていること接続を確認するのにユーザインターフェイスを使用。 ユーザインターフェイスが開始するために設定 されない場合これらのコマンドで手動で開始することができます。 現在アップデートすることをインストール済み バージョンのためのバージョン番号を忘れないでいて下さい。
5.0 and Lower: "%PROGRAMFILES%\Sourcefire\fireAMP\X.X.X\iptray.exe" -f
5.1 and Above: "%PROGRAMFILES%\Cisco\AMP\X.X.X\iptray.exe" -f

Linux
Linux のためのマシンをクローンとして作るための一般的なステップに新しい識別がです Windows に類似したあり。 ステップおよびコマンドはここにあります:
1.マスター イメージで AMP をインストールして下さい
$ (sudo) yum install filename.rpm
2. AMP サービスを停止して下さい
$ (sudo) initctl stop cisco-amp
3. local.xml を削除して下さい
$ (sudo) rm /opt/cisco/amp/etc/local.xml
異なるコンピューターがクローンとして作られたイメージと起動する場合、AMP サービスは自動的に開始し、新しい識別を生成します。 それはクラウドのグループのすべての通信コネクタを渡ってユニークである必要があります(かどうかパブリック、か private)。
関連情報