Cisco Secure Endpoint 명령줄 스위치

소개

이 문서에서는 Cisco Secure Endpoint 및 ipsupporttool.exe와 함께 사용할 수 있는 명령줄(CLI) 스위치에 대해 설명합니다.

배경 정보

특정 환경에서는 엔드포인트와 물리적으로 상호작용하거나 GUI(그래픽 사용자 인터페이스)를 통한 상호작용이 항상 이용 가능하지 않습니다. Cisco Secure Endpoint는 상호 작용을 위한 다양한 접근 방식을 제공하며, 이 문서에서는 CLI용 스위치를 제공합니다. 

참고: 설치 관리자용 CLI 스위치는 여기(https://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118587-technote-fireamp-00.html)에서 사용할 수 있습니다. 재부팅 요구 사항 매트릭스는 여기(https://www.cisco.com/c/en/us/support/docs/security/amp-endpoints/214848-amp-for-endpoints-windows-connector-upda.html)에 표시됩니다.

Cisco Secure Endpoint 명령줄 스위치

보안 엔드포인트 sfc.exe 스위치

1. Windows에서 명령 프롬프트를 엽니다.
2. 명령 프롬프트에서 폴더로 이동합니다. 기본 경로: C:\Program Files\Cisco\AMP\X.X.X\, X.X는 버전 번호를 나타냅니다. 

   cd C:\Program Files\Cisco\AMP\7.5.1\

3. 제공된 사용 가능한 스위치를 실행합니다.

참고: 스위치 실행 시 반향된 출력이 없습니다.

sfc.exe와 함께 사용할 수 있는 스위치

•  -s: Immunet Protect(Windows 커넥터) 서비스를 시작합니다. 서비스를 시작하려면 SCM에 서비스가 이미 등록되어 있어야 합니다.

sfc.exe -s

• -k: Immunet Protect(Windows 커넥터) 서비스를 중지합니다. Connector Protection이 활성화된 경우 다음을 사용하여 서비스를 중지할 수 있습니다. sfc.exe -k _password_

sfc.exe -k
sfc.exe -k examplepassword

• -i: Immunet Protect(Windows 커넥터) 서비스를 설치합니다. 또한 서비스가 충돌할 경우 수행할 기본 작업을 설정합니다.

sfc.exe -i

• -u: Immunet Protect(Windows Connector) 서비스를 제거합니다. Windows SCM(서비스 제어 관리자)에서 서비스 등록 취소 이 옵션은 제거 프로그램에서 Windows 커넥터 서비스를 제거하는 데 사용됩니다.

sfc.exe -u

• -r: Immunet Protect(Windows 커넥터) 서비스를 재설정합니다. 이는 -i 옵션과 매우 유사하지만 서비스를 설치하지 않습니다. 이것은 local.xml 손상을 해결하는 데 유용합니다.

sfc.exe -r

• -l은 활성화로 시작하고-l은 비활성화로 중지합니다. (트리거는 소문자 L입니다) - 디버그 및 커널 로깅을 동적으로 전환합니다. 이 상태는 전환되거나, 서비스가 다시 시작되거나, 로깅 수준을 변경하도록 새 정책이 구성될 때까지 계속됩니다.

sfc.exe -I start
sfc.exe -I stop

• -unblock SHA_of_the_file: 이 옵션은 실행 차단을 해제합니다. 이 명령 스위치를 실행하면 애플리케이션 차단 목록의 로컬 커널 캐시에서 애플리케이션이 제거됩니다.
  이 명령 스위치를 사용하는 상황은 오탐 또는 실수로 인해 애플리케이션이 차단되었을 때 30분 동안 기다리지 않고 애플리케이션을 신속하게 차단하거나 시스템을 재부팅하고자 합니다.

sfc.exe -unblock f5b6ab29506d5818a2f8d328029bb2fcb5437695702f3c9900138140f3cd980c

• -reregister(Connector v.6.2.1 이상): 이 옵션은 서비스가 실행되는 동안 local.xml 및 레지스트리에서 uuid 및 certs를 지우고 재등록을 트리거합니다. Local.xml 및 레지스트리가 새 값으로 업데이트됩니다. 그러나 ID 동기화가 활성화되어 있고 기본적으로 커넥터가 기존 UUID를 다시 가져오는 경우에는 이 기능이 차단됩니다.  초기 설치에 사용된 설치 패키지를 수정한 경우 다시 등록한 후 커넥터를 기본 그룹/정책에 배치할 수 있습니다. 커넥터 보호가 활성화된 경우 다음을 입력해야 합니다. sfc.exe -reregister _password_

sfc.exe -reregister
sfc.exe -reregister examplepassword

• -forceupdate(Connector v.7.2.7 이상): 이 옵션은 커넥터가 TETRA 정의를 강제로 업데이트합니다.

sfc.exe -forceupdate

보안 엔드포인트 ipsupporttool.exe 스위치

1. Windows에서 명령 프롬프트를 엽니다.
2. 명령 프롬프트에서 폴더로 이동합니다. 기본 경로: C:\Program Files\Cisco\AMP\X.X.X\, theX.X.X는 버전 번호를 나타냅니다. 

   cd C:\Program Files\Cisco\AMP\6.1.7\

3. 제공된 사용 가능한 스위치를 실행합니다.

참고: 스위치 실행 시 반향된 출력이 없습니다.

ipsupporttool.exe에서 사용 가능한 스위치

주의: 폴더 선택을 참조하는 모든 스위치에서는 세부 항목을 지정하기 전에 폴더를 만들어야 합니다.

• -d: Windows 지원 도구에서 파일을 검색할 폴더를 지정합니다.
  - 지정하지 않으면 지원 툴이 현재 커넥터 디렉토리에서 파일을 검색합니다.

ipsupporttool.exe -d C:\Program Files\Cisco\AMP\6.1.7\TestFolder\

• -o: 지원 도구의 출력 폴더를 지정합니다. 이 옵션을 지정하지 않으면 기본적으로 바탕 화면이 표시됩니다.

ipsupporttool.exe -o C:\Program Files\Cisco\AMP\6.1.7\TestFolder\

• -t: 지정된 시간 동안 Windows 지원 도구에서 Timed 디버그 수준 진단을 실행합니다. 기간은 분 단위로 지정됩니다.

ipsupporttool.exe -t 5

보안 엔드포인트 IPTray.exe 스위치

• -f: 명령줄에서 클라이언트 사용자 인터페이스를 활성화할 수 있습니다..  이는 엔드포인트가 정책을 통해 GUI가 꺼져 있고 "Start Client User Interface(클라이언트 사용자 인터페이스 시작)"가 선택되지 않은 경우에만 필요합니다.  

iptray.exe -f

관련 정보

• 기술 지원 및 문서 − Cisco Systems
• Cisco 보안 엔드포인트 - TechNotes
• Cisco Secure Endpoint - 사용 설명서