Inleiding

In dit document wordt beschreven hoe u de functie Cisco Secure Endpoint Identity Persistence kunt gebruiken. 

Wat is identiteitsvastheid?

Identity Persistence is een functie waarmee u een consistent gebeurtenissenlogboek kunt bijhouden in virtuele omgevingen of wanneer computers opnieuw worden afgebeeld. U kunt een Connector koppelen aan een MAC-adres of hostnaam, zodat er niet telkens een nieuwe connectorrecord wordt gemaakt wanneer een nieuwe virtuele sessie wordt gestart of een computer opnieuw wordt afgebeeld. Deze functie is speciaal ontworpen voor niet-persistente VM- en Lab-omgevingen. De aanbevolen methode is hostnaam voor het hele bedrijf en schakel de functie in op het beleid waar u identiteiten wilt synchroniseren.

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Toegang tot het portaal Cisco Secure Endpoints
• U moet contact opnemen met Cisco TAC om hen de functie Identity Persistence in uw organisatie te laten inschakelen. 
• Identity Persistence wordt alleen ondersteund op Windows Operating System (OS)

Wanneer heb je identiteitsbehoud nodig?

Identity Persistence is functionaliteit op Secure Endpoints die helpt bij de identificatie van Secure Endpoints op het moment van de initiële Connector registratie en overeenkomt met eerder bekende items op basis van identiteitsparameters zoals MAC-adres of Hostname voor die specifieke connector. De implementatie van deze functie helpt niet alleen om een correct aantal licenties te behouden, maar maakt het vooral mogelijk om historische gegevens op niet-persistente systemen goed te volgen.  

Implementatie van virtueel eindpunt

De meest voorkomende toepassing voor identiteitspersistentie in virtuele implementaties is de implementatie van een niet-persistente virtuele-desktopinfrastructuur (VDI). VDI-hostdesktopomgevingen worden geïmplementeerd op verzoek of behoefte van de eindgebruiker. Dit omvat verschillende leveranciers zoals VMware, Citrix, AWS AMI Golden Image Deployment, enzovoort.

Persistent VDI, ook wel 'Stateful VDI' genoemd, is een installatie waarbij de desktop van elke individuele gebruiker uniek aanpasbaar is en 'blijft' van de ene sessie naar de andere. Voor dit type virtuele implementatie is de functionaliteit Identity Persistence niet nodig, omdat het de bedoeling is dat deze machines niet regelmatig opnieuw worden afgebeeld. 

Zoals met alle software die mogelijk kan interageren met de prestaties van het Secure Endpoint, moeten Virtual Desktop-toepassingen worden geëvalueerd op mogelijke uitsluitingen om de functionaliteit te maximaliseren en de impact te minimaliseren.   

Referentie: https://docs.vmware.com/en/VMware-Horizon/2103/horizon-architecture-planning/GUID-AED54AE0-76A5-479B-8CD6-3331A85526D2.html

Implementatie van fysiek eindpunt

Er zijn twee scenario's die van toepassing kunnen zijn voor de implementatie van Identity Persistence op fysieke machines met beveiligde eindpunten:

• Wanneer u een fysiek eindpunt met een gouden image implementeert of een nieuwe image van een image maakt met de vooraf geïnstalleerde Secure Endpoint-connector, moet de markering GoldenImage zijn ingeschakeld. Identiteitsbehoud kan worden gebruikt om duplicatie te voorkomen in gevallen van opnieuw gekopieerde machines, maar is niet vereist. 

• Wanneer u een fysiek eindpunt met een gouden image implementeert of een nieuwe image aanbrengt en later de Secure Endpoint-connector installeert, kan Identity Persistence worden gebruikt om duplicatie te voorkomen in gevallen van systemen met een nieuwe image, maar dit is niet vereist. 

Overzicht van het Identity Persistence Process

1. De connector wordt gedownload met een token in het policy.xml-bestand, waardoor deze weer wordt gekoppeld aan het beleid in kwestie aan de cloudkant.
2. De connector is geïnstalleerd, slaat het token op in local.xml en de connector doet een POST-verzoek aan het portaal met de betreffende token.
3. De Cloud-kant doorloopt deze volgorde van bewerkingen:
   a. De computer controleert het beleid voor de configuratie van het ID-synchronisatiebeleid. Zonder dit gebeurt de registratie normaal.
   b. Afhankelijk van de beleidsinstellingen controleert Registration de bestaande database op de hostnaam of het MAC-adres.
        In het hele bedrijf:Alle beleidsregels worden gecontroleerd op een overeenkomst op Hostname of MAC, afhankelijk van de instelling. De overeenkomende GUID van het object wordt genoteerd en teruggestuurd naar het clientsysteem. Het clientsysteem gaat dan uit van de UUID en neemt alle groep-/beleidsinstellingen van de eerder overeenkomende host aan. Hiermee worden de geïnstalleerde beleids-/groepsinstellingen overschreven.
        Over het beleid heen: het token komt overeen met het beleid aan de cloudkant en zoekt alleen naar een bestaand object met dezelfde hostnaam of hetzelfde MAC-adres BINNEN dat beleid. Als er een bestaat, gaat het uit van de UUID. Als er geen bestaand object is gekoppeld aan dat beleid, wordt een nieuw object gemaakt. Opmerking: duplicaten kunnen bestaan voor dezelfde hostnaam die is gekoppeld aan andere groepen/beleidsregels.
   c. Als er geen overeenkomst kan worden gemaakt met een groep/beleid vanwege een ontbrekend token (eerder geregistreerd, slechte implementatiepraktijk, enzovoort), valt de connector naar de standaardconnectorgroep/het standaardbeleid dat is ingesteld onder het tabblad Bedrijf. Op basis van de instelling van de groep / het beleid, probeert het alle beleid voor een match (in het hele bedrijf), alleen dat beleid in kwestie (over het beleid), of helemaal geen (geen). Met dit in gedachten wordt het over het algemeen aangeraden om uw standaardgroep te plaatsen als een groep die de gewenste ID-synchronisatie-instellingen bevat, zodat machines correct worden gesynchroniseerd in het geval van een tokenprobleem.

Identificeer duplicaten in uw organisatie

Extern beschikbare GitHub-scripts

Zoek de dubbele UUID's: https://github.com/CiscoSecurity/amp-04-find-duplicate-guids

Redenen waarom duplicaten worden gemaakt

Er zijn een paar veel voorkomende gevallen die ervoor kunnen zorgen dat duplicaten aan uw kant worden gezien:

1. Als deze stappen zijn gevolgd terwijl VDI Pool: 

• De eerste implementatie op een niet-persistente VM/VDI wordt uitgevoerd met Identity Persistence uitgeschakeld (gebruik bijvoorbeeld een gouden image).
• Het beleid wordt in de cloud bijgewerkt om Identity Persistence ingeschakeld te hebben, die het gedurende de dag op het eindpunt bijwerkt.
• Machines worden ververst/opnieuw geïmiteerd (gebruik dezelfde gouden afbeelding), waardoor het oorspronkelijke beleid weer op het eindpunt wordt geplaatst zonder identiteitspersistentie.
• Het beleid heeft geen lokale identiteitspersistentie, zodat de registratieserver niet controleert op eerdere records.
• Deze stroom resulteert in Duplicaten.

2. De gebruiker implementeert de oorspronkelijke gouden afbeelding met Identity Persistence ingeschakeld in het beleid in de ene groep en verplaatst vervolgens een eindpunt naar een andere groep vanuit het Secure Endpoints-portaal. Vervolgens heeft het de oorspronkelijke record in de groep 'verplaatst naar', maar maakt vervolgens nieuwe kopieën in de oorspronkelijke groep wanneer de VM's opnieuw worden afgebeeld / opnieuw worden geïmplementeerd.

Opmerking: Dit is geen uitputtende lijst met scenario's die duplicaten kunnen veroorzaken, maar enkele van de meest voorkomende.

Veelvoorkomende problemen/symptomen bij implementatie van onjuiste identiteitspersistentie

Onjuiste implementatie van Identity Persistence kan deze problemen/symptomen veroorzaken:

• Verkeerde stoeltelling van connector
• Verkeerde gerapporteerde resultaten
• Mismatch van gegevens van medisch traject
• Machine name swaps binnen audit logs
• Connectors registreren en deregistreren willekeurig vanaf de console
• Connectors rapporteren niet goed aan de cloud
• UUID-duplicatie
• Machinenaam Duplicatie
• Gegevensinconsistentie
• Machines registreren zich bij de standaardbedrijfsgroep/het standaardbeleid na hersamenstelling

• Handmatig implementeren met Identity Persistence ingeschakeld op het beleid.

- Als u het eindpunt handmatig implementeert via de opdrachtregel switch met Identity Persistence al ingeschakeld in het beleid en vervolgens het eindpunt verwijdert en opnieuw probeert te installeren met pakket uit verschillende groep / beleid, wordt het eindpunt automatisch terug naar het oorspronkelijke beleid switches.

- Uitvoer van SFC-logs die de switch van het beleid op zichzelf weergeven met in 1-10sec

(167656, +0 ms) Dec 14 11:37:17 [1308]: Util::VerifyOsVersion: ret 0
(167656, +0 ms) Dec 14 11:37:17 [1308]: ERROR: ETWEnableConfiguration::IsETWEnabled: ETW not initialized due to incompatibile OS 
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishPolicyInfo: Name -UTMB-WinServer-Protect Serial 819 << ---------------------- Freshly Installed
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishLastPolicyUpdateTime: Publish Last Policy Update time 1670439264
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishAgentVersion: Agent Version 7.5.7.21234
(167656, +0 ms) Dec 14 11:37:17 [1308]: HeartBeat::PolicyNotifyCallback: EXIT
(167656, +0 ms) Dec 14 11:37:17 [1308]: AmpkitRegistrationHandler::PolicyCallback: EXIT (0)
.
.
.
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::UpdateConfiguration: Enter
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::UpdateConfiguration: Aborting - not registered
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::ConnectionStateChanged: Starting Proxy Discovery
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendPolicyReloaded sending policy reloaded to UI. ui.data.policy.policyName -UTMB-WinServer-Audit << --------- Auto Switch to Old Policy
(173125, +0 ms) Dec 14 11:37:22 [4704]: PipeSend: sending message to user interface: 28, id: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus : engine1 (0, 0), engine2 (0, 0)
(173125, +0 ms) Dec 14 11:37:22 [4704]: PipeSend: sending message to user interface: 1, id: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiStatusHandler::ConnectionStateChangedState: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiPublisher::PublishConnectionStatus: State 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpApiServer.cpp:AmpApiServer::PublishScanAvailable:223: Cloud connection status 0, Tetra Available 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Enter
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig proxy server is NULL
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Direct connection detected
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Exit(1)
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiAgentGuidUpdater::ConnectionStateChanged
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiAgentGuidUpdater::RefreshAgentGuidUi: Agent GUID: e1a756e2-65ab-4cd6-a886-ff826d74f05d
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiPublisher::PublishAgentGuid: Agent GUID did not change (e1a756e2-65ab-4cd6-a886-ff826d74f05d)
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitSubscriptionThread::NotificationWorker: Waiting on queue

De andere bijwerking als u probeert de connector te installeren die tot een andere groep behoort. U ziet in het portaal dat de connector is toegewezen aan de juiste groep, maar met "verkeerd" oorspronkelijk beleid

Dit komt door de manier waarop Identity Persistence (ID SYNC) werkt.

Zonder ID SYNC zodra de connector volledig is verwijderd of met behulp van de opdrachtregel-switch opnieuw registreren. U moet de nieuwe datum en connector GUID zien in het geval van het verwijderen van de installatie of alleen de nieuwe connector GUID in het geval van het opnieuw registreren van de opdracht. Met ID SYNC is het echter niet mogelijk ID SYNC te overschrijven met de oude GUID en DATE. Zo 'synchroniseren' we de host.

Als dit probleem wordt waargenomen, moet de oplossing worden geïmplementeerd via de beleidswijziging. U moet het/de getroffen eindpunt(en) terugplaatsen naar de oorspronkelijke groep/het oorspronkelijke beleid en ervoor zorgen dat het beleid wordt gesynchroniseerd. Verplaats vervolgens de eindpunten terug naar de gewenste groep/het gewenste beleid

Best practices voor implementatie

Snapvol-bestand configureren

Als u App Volumes gebruikt voor uw VDI-infrastructuur, wordt u aangeraden deze configuratiewijzigingen aan te brengen in uw snapvol.cfg-configuratie

Deze uitsluitingen moeten worden geïmplementeerd in het bestand snapvol.cfg:

Paden:

• C:\Program Files\Cisco\AMP
• C:\ProgramData\Cisco
• C:\Windows\System32\drivers
• C:\Windows\System32\drivers\ImmunetNetworkMonitor.sys
• C:\Windows\System32\drivers\immunetprotect.sys
• C:\Windows\System32\drivers\immunetselfprotect.sys
• C:\Windows\System32\drivers\ImmunetUtilDriver.sys
• C:\Windows\System32\drivers\trufos.sys

Registratiesleutels:

• HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Immunet beveiligen
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CiscoAMP
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPCEFWDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPELAMDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPHeurDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoOrbital
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoSAM
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoSCMS
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ImmunetProtectDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ImmunetSelfProtectDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Trufos

Voeg op x64-systemen deze toe:

• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Immunet beveiligen
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Immunet beveiligen

Referenties: 

• https://docs.vmware.com/en/VMware-App-Volumes/index.html
• https://docs.vmware.com/en/VMware-App-Volumes/2103/app-volumes-admin-guide/GUID-0B588F2C-4054-4C5B-B491-F55BDA33A028.html

Portal Policy Planning

Dit zijn enkele van de best practices die moeten worden gevolgd wanneer u Identity Persistence implementeert op het Secure Endpoint Portal:

1. Het wordt ten zeerste aanbevolen om afzonderlijke beleidsregels/groepen te gebruiken voor eindpunten voor identiteitspersistentie voor eenvoudigere segregatie.

2. Als u van plan bent Endpoint Isolation te gebruiken en de computer naar groep te verplaatsen na compromisactie. De bestemmingsgroep moet ook Identity Persistence hebben ingeschakeld en mag alleen worden gebruikt voor VDI-computers.

3. Het wordt niet aanbevolen om Identity Persistence in te schakelen op de standaardgroep/het standaardbeleid voor uw organisatie-instellingen, tenzij Identity Persistence is ingeschakeld voor alle beleidsgebieden met Across Organization als bereik van de instellingen.  

Configuratie

Volg deze stappen om de Secure Endpoint-connector met Identity Persistence te implementeren:

Stap 1. Pas de gewenste instelling voor identiteitspersistentie toe op uw beleid:

• Navigeer in de portal Secure Endpoint naar Beheer > Beleid.
• Selecteer het gewenste beleid waarop u Identity Persistence wilt inschakelen en klik vervolgens op Edit.
• Navigeer naar de tab Geavanceerde instellingen en klik vervolgens onderaan op het tabblad Persistentie identiteit.
• Selecteer de keuzelijst Identiteitspersistentie en kies de optie die het meest logisch is voor uw omgeving. Zie deze afbeelding.

Test - 123

Er zijn vijf opties waaruit u kunt kiezen.

• Opmerking: deze functie is niet ingeschakeld. UUID's van de connector worden onder geen enkele omstandigheid gesynchroniseerd met nieuwe Connector-installaties. Elke nieuwe installatie genereert een nieuw machineobject.
• Op MAC-adres voor alle bedrijven: nieuwe of vernieuwde installaties zoeken naar de meest recente Connector-record met hetzelfde MAC-adres om eerdere historische gegevens te synchroniseren met de nieuwe registratie. Deze instelling doorzoekt alle bedrijfsrecords

  voor alle beleidsregels in de organisatie waarvoor Identiteitssynchronisatie is ingesteld op een andere waarde dan Geen. De connector kan het beleid bijwerken om de vorige installatie weer te geven als deze afwijkt van de nieuwe.  

• Door MAC-adres over beleid heen: Nieuwe of vernieuwde installaties zoeken naar de meest recente Connector-record met hetzelfde MAC-adres om eerdere historische gegevens te synchroniseren met de nieuwe registratie. Deze instelling kijkt alleen door de records die zijn gekoppeld aan het beleid dat in de implementatie wordt gebruikt. Als de Connector niet eerder in dit beleid is geïnstalleerd maar eerder in een ander beleid actief was, kan deze duplicaten maken.  
• Nieuwe of vernieuwde installaties zoeken naar de meest recente Connector-record met dezelfde hostnaam om eerdere historische gegevens te synchroniseren met de nieuwe registratie. Deze instelling kijkt door alle bedrijfsrecords, ongeacht de instellingen voor identiteitsbehoud in andere beleidsregels en de Connector kan zijn beleid bijwerken om de vorige installatie weer te geven als deze afwijkt van de nieuwe. Hostname bevat FQDN, zodat duplicaten kunnen optreden als de connector regelmatig tussen netwerken beweegt (zoals een laptop).  
• Nieuwe of vernieuwde installaties zoeken naar de meest recente Connector-record met dezelfde hostnaam om eerdere historische gegevens te synchroniseren met de nieuwe registratie. Deze instelling kijkt alleen door de records die zijn gekoppeld aan het beleid dat voor de implementatie wordt gebruikt. Als de Connector niet eerder in dit beleid is geïnstalleerd maar eerder in een ander beleid actief was, kan deze duplicaten maken. Hostname bevat FQDN, dus duplicaten kunnen ook optreden als de connector regelmatig tussen netwerken beweegt (zoals een laptop). 

Opmerking: Als u Identity Persistence wilt gebruiken, stelt Cisco voor dat u By Hostname gebruikt voor Business of Policy. Een systeem heeft één hostnaam, maar kan meer dan één MAC-adres hebben en veel VM's klonen de MAC-adressen.

Stap 2. Download de Secure Endpoint Connector.

• Ga naar Beheer > Connector downloaden.
• Selecteer de groep voor het beleid dat u in stap 1 hebt bewerkt. 
• Klik op Downloaden voor de Windows Connector zoals weergegeven in de afbeelding.

Stap 3. Connector implementeren op eindpunten.

• U kunt nu de gedownloade connector gebruiken om Secure Endpoint (met Identity Persistence nu ingeschakeld) handmatig op uw eindpunten te installeren.
• Anders kunt u de connector ook implementeren met een gouden afbeelding (zie afbeelding)

Opmerking: u moet het herdistribueerbare installatieprogramma selecteren. Dit is een bestand van ~57 MB (grootte kan variëren met nieuwere versies) dat zowel de 32- als de 64-bits installateurs bevat. Om de connector op meerdere computers te installeren, kunt u dit bestand op een netwerkshare plaatsen of naar alle computers dienovereenkomstig pushen. Het installatieprogramma bevat een bestand policy.xml dat wordt gebruikt als configuratiebestand voor de installatie.

Gouden afbeelding maken

Secure Endpoint versie 8.4.4+:

Nieuw proces voor versies van Secure Endpoint 8.4.4. We raden aan om minimaal naar deze versie te updaten om aan de slag te gaan met uw gouden beeldproces, omdat deze methode zowel gemakkelijker als sneller is. Deze switches zijn bestemd voor gebruik bij het maken van een Windows-image als een implementeerbare golden image (Secure Endpoint Windows-connector versie 8.4.4 en hoger):

• sfc.exe -enablegoldenimage <password>- Stopt de connectorservice, verwijdert de registersleutels en lokale XML-knooppunten die zijn gekoppeld aan queryverbindingen en voegt hostnaam toe aan local.xml voor golden image recognition waarbij <password> het Connector Protection Password is.

Virtuele machine (VMware, Citrix, AWS en Azure)

Volg de richtlijnen voor best practices uit het leveranciersdocument (VMware, Citrix, AWS, Azure, enzovoort) wanneer u een gouden image maakt voor het klonen van VDI. 

Bijvoorbeeld VMware Golden Image Process: https://docs.vmware.com/en/VMware-Horizon/2106/virtual-desktops/GUID-D9C46AEF-1C41-4711-BF9E-84362EBE6ABF.html.

Aangezien u de VMware hebt geïdentificeerd, start het AWS-compositieproces de gekloonde (onderliggende VM's) meerdere keren opnieuw op voordat de VM-configuratie is voltooid. Dit veroorzaakt problemen met het registratieproces voor het beveiligde eindpunt, omdat op dit moment de gekloonde (onderliggende VM's) niet de definitieve/juiste hostnamen hebben toegewezen en de gekloonde (onderliggende VM's) de hostnaam voor het gouden image gebruiken en zich registreren in de beveiligde endpointcloud. Dit doorbreekt het klonen en veroorzaakt problemen.

Dit is geen probleem met het Secure Endpoint-connectorproces, maar incompatibiliteit met het kloonproces en de registratie van Secure Endpoint. Om dit probleem te voorkomen, hebben we een aantal wijzigingen vastgesteld die in het kloneringsproces moeten worden doorgevoerd en die deze problemen helpen oplossen.

Dit zijn de wijzigingen die moeten worden geïmplementeerd op de VM met het Gouden image voordat het image wordt bevroren om te klonen

1. Gebruik altijd de vlag Goldenimage op het Gouden image op het moment dat Secure Endpoint wordt geïnstalleerd. 

2. Implementeer de sectie Golden Image Setup Script en Golden Image Startup Script om de scripts te vinden die zouden helpen de Endpoint-service alleen in te schakelen wanneer we een definitieve hostnaam hebben geïmplementeerd op de gekloonde (onderliggende VM's). Raadpleeg de sectie Problemen met VMware Horizon-duplicatie voor meer informatie.

Verouderd - Golden Image Override Flag voor versies vóór 8.4.4

Wanneer u het installatieprogramma gebruikt, is de vlag voor gouden afbeeldingen / goldenimage 1.

De vlag voor gouden afbeeldingen voorkomt dat de connector wordt gestart en geregistreerd op het basisimage. Bij het volgende begin van het image bevindt de connector zich dus in de functionele status waarin deze is geconfigureerd door het beleid dat eraan is toegewezen.

Voor informatie over andere vlaggen, kunt u gebruik maken van, zie dit artikel.

Wanneer u het installatieprogramma gebruikt, is de nieuwe vlag voor gouden afbeeldingen /goldenimage [1|0]

0 - Standaardwaarde - deze waarde activeert de optie Gouden afbeelding niet en werkt net alsof het installatieprogramma helemaal zonder de optie is uitgevoerd. Sla de registratie van de eerste connector en het opstarten tijdens de installatie niet over.

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 0 [other options…]

1 - Installeer als gouden afbeelding. Dit is de typische optie die wordt gebruikt met de vlag en is het enige verwachte gebruik. Slaat de initiële registratie van de connector en het opstarten tijdens de installatie over.

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 1 [other flags here…]

Stappen voor het maken van gouden afbeeldingen

Het is best practice om de laatste connector te installeren voor de voorbereiding van de Golden Image.

Raadpleeg ook onze aanbeveling in het bovenstaande gedeelte (Secure Endpoint Version 8.4.4+) omdat we het gebruik van versie 8.4.4 en hoger sterk aanmoedigen 

1. Bereid het Windows-image voor op uw behoeften; installeer al uw vereiste software en configuraties voor het Windows-image, met uitzondering van de connector.
2. Installeer de Cisco Secure Endpoint-connector.
3. sfc.exe -enablegoldenimage <password>- Stopt de connectorservice, verwijdert de registersleutels en lokale XML-knooppunten die zijn gekoppeld aan queryverbindingen en voegt hostnaam toe aan local.xml voor golden image recognition waarbij <password> het Connector Protection Password is.
4. Gouden afbeelding bevriezen

Opmerking: U kunt de volgende opdracht gebruiken als u niet langer wilt dat de opdracht de wijzigingen in de hostnaam controleert, omdat de verbinding wordt gestopt en de hostnaam van de gouden afbeelding wordt verwijderd uit local.xml om deze terug te brengen naar de normale operationele status. 

SFC.EXE -DisableGoldenImage <Password if Connector actief>

Als de connector actief is, moet u het wachtwoord voor de connectorbeveiliging invoeren.

*Verouderde methode Voorafgaand aan 8.4.4 onderstaande stappen*

1. Bereid het Windows-image voor op uw behoeften; installeer al uw vereiste software en configuraties voor het Windows-image, met uitzondering van de connector.
2. Installeer de Cisco Secure Endpoint-connector.

Gebruik de vlag van/goldenimage 1 om het installatieprogramma aan te geven dat dit een implementatie van een gouden image is.

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 1

3. Implementeer de scriptlogica (indien nodig) zoals hier beschreven

4. Volledige installatie

5. Bevries uw gouden beeld

Nadat de Golden Image-toepassingen zijn geïnstalleerd, het systeem is voorbereid en Secure Endpoint is geïnstalleerd met de vlag/goldenimageflag, kan de host worden bevroren en gedistribueerd. Zodra de gekloonde host is opgestart, wordt Secure Endpoint gestart en geregistreerd in de cloud. Er is geen verdere actie vereist met betrekking tot het configureren van de connector, tenzij er wijzigingen zijn die u wilt aanbrengen in het beleid of de host. Als er wijzigingen worden aangebracht nadat de gouden afbeelding is geregistreerd, moet dit proces opnieuw worden gestart. De vlag voorkomt dat de connector wordt gestart en geregistreerd op de basisafbeelding. Bij de volgende start van het image bevindt de connector zich in de functionele toestand waarin deze is geconfigureerd op basis van het beleid dat eraan is toegewezen.

Opmerking: als het Gouden image wordt geregistreerd in de Secure Endpoint Cloud voordat u de VM kunt bevriezen, wordt aanbevolen om Secure Endpoint op de VM met het Gouden image te verwijderen en opnieuw te installeren en de VM vervolgens opnieuw te bevriezen om registratie en dubbele connectorproblemen te voorkomen. Het wordt niet aanbevolen om registerwaarden voor Secure Endpoint te wijzigen als onderdeel van dit verwijderingsproces.

Opmerking: Als u de Secure Endpoint-connector implementeert met versie 8.4.4 en hoger, raadpleegt u het gedeelte rechts boven "8.4.4+ Update"

Update de gouden afbeelding

U hebt twee opties wanneer u een Gouden afbeelding moet bijwerken om een niet-geregistreerde connector te behouden.

Aanbevolen proces

1. Verwijder de connector.
2. Installeer de updates/upgrades van de host.
3. Installeer de connector opnieuw na het proces voor de gouden afbeelding met de vlaggen voor de gouden afbeelding.
4. De host mag de connector niet starten als het proces wordt gevolgd.
5. Bevries het beeld.
6. Controleer voordat klonen worden gecentrifugeerd of de Gouden afbeelding niet is geregistreerd bij de portal om ongewenste dubbele hosts te voorkomen.

alternatief proces

1. Zorg ervoor dat de host geen verbinding met internet heeft om te voorkomen dat de connector zich registreert.
2. Stop de connectorservice.
3. Installeer updates.
4. Het image bevriezen zodra de updates zijn voltooid
5. Om te voorkomen dat dubbele hosts optreden, moet worden voorkomen dat de connector zich registreert. Wanneer u connectiviteit verwijdert, voorkomt dit dat het contact opneemt om zich te registreren in de cloud. Ook zal de connector die wordt gestopt, deze in die staat houden tot de volgende herstart, waardoor de klonen zich kunnen registreren als unieke hosts.
6. Controleer voordat klonen worden gecentrifugeerd of de Gouden afbeelding niet is geregistreerd bij de portal om ongewenste dubbele hosts te voorkomen.

Gouden beeldcode

Deze sectie bestaat uit de codefragmenten die kunnen helpen bij het ondersteunen van het proces voor Gouden afbeeldingen en die zouden helpen voorkomen dat de connector dupliceert bij het implementeren van Identity Persistence. 

Golden Image Setup Script

Beschrijving van installatiescript

Het eerste script, 'Setup', wordt uitgevoerd op de Gouden Afbeelding voordat het wordt gekloond. Het moet slechts één keer handmatig worden uitgevoerd. Het belangrijkste doel is om initiële configuraties vast te stellen waarmee het volgende script correct kan functioneren op de gekloonde virtuele machines. Deze configuraties omvatten:

• De opstartprocedure van de Cisco Secure Endpoint-service wijzigen in een handleiding om automatisch starten te voorkomen.
• Een geplande taak maken die het volgende script uitvoert (Opstarten) bij het opstarten van het systeem met de hoogste bevoegdheden.
• Een systeemomgevingsvariabele met de naam "AMP_GOLD_HOST" maken die de hostnaam van het Gouden image opslaat. Dat zou door het Startup-script worden gebruikt om te controleren of we de wijzigingen moeten terugdraaien

Scriptcode instellen

rem Turn AMP to manual start
sc config CiscoAMP start=demand

rem Add host name to a system variable that we can check on startup
setx -m AMP_GOLD_HOST %COMPUTERNAME%

rem Add the startup script to the startup scripts
rem /rp password when there is a password
schtasks /create /tn "Startamp" /tr "C:\Users\XXXXXX\Desktop\VMWareHorizonAMPStartup.bat" /sc onstart /rl highest /np

De scriptcode van Setup is vrij eenvoudig:

Lijn 2: Wijzig het opstarttype van de malware-beveiligingsservice in handmatig.

Lijn 5: Maakt een nieuwe omgevingsvariabele aan met de naam "AMP_GOLD_HOST" en slaat daarin de hostnaam van de huidige computer op.

Regel 9: Maakt een geplande taak met de naam "Startamp" die het opgegeven 'Startup'-script uitvoert tijdens het opstarten van het systeem met de hoogste bevoegdheden, zonder een wachtwoord nodig te hebben.

Golden Image-opstartscript

Beschrijving van opstartscript

Het tweede script, 'Startup', draait op elk systeem opstarten op de gekloonde virtuele machines. Het belangrijkste doel is om te controleren of de huidige machine de hostnaam van de 'Golden Image' heeft:

• Als de huidige machine de Gouden afbeelding is, wordt er geen actie ondernomen en eindigt het script. Secure Endpoint blijft actief bij het opstarten van het systeem, omdat we de geplande taak behouden.
• Als de huidige machine NIET de 'Gouden' afbeelding is, worden de wijzigingen die door het eerste script zijn aangebracht, gereset:
  • De opstartconfiguratie van de Cisco Secure Endpoint-service wijzigen in automatisch.
  • De Cisco Secure Endpoint-service starten.
  • De omgevingsvariabele "AMP_GOLD_HOST" verwijderen.
  • De geplande taak verwijderen die het opstartscript uitvoert en het script zelf verwijderen.

Opstartscriptcode

echo "Current hostname: %COMPUTERNAME% vs %AMP_GOLD_HOST%"

if "%COMPUTERNAME%" == "%AMP_GOLD_HOST%" ( goto same ) else ( goto notsame )

:same
rem Do nothing as we are still the golden image name
goto exit

:notsame
rem Turn AMP to autostart 
sc config CiscoAMP start=auto

rem Turn on AMP
sc start CiscoAMP

rem Remove environment variable
REG delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /F /V AMP_GOLD_HOST
schtasks /delete /tn Startamp

goto exit
:exit

Regel 2: Vergelijkt de huidige hostnaam met de opgeslagen waarde "AMP_GOLD_HOST"; als ze hetzelfde zijn, springt het script naar het label "same", anders springt het naar het label "not same".

Lijn 4-6: Wanneer hetzelfde label wordt bereikt, doet het script niets omdat het nog steeds het Gouden Afbeelding is en gaat het verder naar het label "exit".

Regel 8-16: Als het label "niet hetzelfde" wordt bereikt, voert het script de volgende acties uit:

• Hiermee wijzigt u het opstarttype van de malwarebeveiligingsservice in automatisch.
• Start de malware-beveiligingsservice.
• Verwijdert de omgevingsvariabele "AMP_GOLD_HOST".
• Verwijdert de geplande taak genaamd "Startamp"

Opmerking: De scripts in dit document worden niet officieel ondersteund door TAC.

Opmerking: met deze twee scripts kan de AMP-service van Cisco worden opgestart in gekloonde omgevingen met virtuele machines. Door het Golden image correct te configureren en de opstartscripts te gebruiken, zorgt het ervoor dat het Cisco Secure Endpoint op alle gekloonde virtuele machines met de juiste configuratie wordt uitgevoerd.

AWS-werkruimteproces

Deze oplossing bestaat uit een 'Setup'-script dat voorafgaand aan het klonen op de Gouden Afbeelding wordt uitgevoerd en een 'Startup'-script dat tijdens het opstarten van het systeem op elke gekloonde virtuele machine wordt uitgevoerd. Het primaire doel van deze scripts is om de juiste configuratie van de service te garanderen en tegelijkertijd handmatige interventie te verminderen. Met deze twee scripts kan de Cisco Secure Endpoint-service worden opgestart in gekloonde omgevingen met virtuele machines. Door het Golden image correct te configureren en de opstartscripts te gebruiken, zorgt het ervoor dat de Cisco Secure Endpoint-connector op alle gekloonde virtuele machines met de juiste configuratie wordt uitgevoerd

Raadpleeg de sectie Script Code voor installatie van Gouden afbeelding en Script Code voor opstarten van Gouden afbeelding voor de scriptcode die vereist is voor het implementeren van Gouden afbeelding op AWS Workspace.

Na het uitvoeren van het Setup Script kunnen we controleren of de configuratiewijzigingen succesvol zijn geïmplementeerd.

Aangezien we deze actie op de gouden afbeelding hebben uitgevoerd, hebben alle nieuwe instanties deze configuratie en wordt het opstartscript bij het opstarten uitgevoerd.

Problemen met VMware Horizon-duplicatie

Met VMware Horizon konden we vaststellen dat de Child VM-machines die worden gemaakt, meerdere keren opnieuw worden opgestart als onderdeel van het Horizon-componeerproces. Dit veroorzaakt problemen omdat de Secure Endpoint-services worden ingeschakeld wanneer de onderliggende VM's niet gereed zijn (ze hebben niet de definitieve/juiste NetBios-naam toegewezen). Dit veroorzaakt verdere problemen met Secure Endpoint die in de war raken en daarom breekt het proces. Om te voorkomen dat we tegen dit probleem aanlopen, hebben we een oplossing bedacht voor deze incompatibiliteit met Horizon Process en dit omvat het implementeren van de bijgevoegde scripts op de Golden Image VM en het gebruik van de post-synchronisatie script functionaliteit voor VMware Horizon: https://docs.vmware.com/en/VMware-Horizon/2103/published-desktops-applications.pdf.

Geen configuratie/wijzigingen meer nodig

• U hoeft Secure Endpoint niet langer te verwijderen en opnieuw te installeren als u wijzigingen in het Gouden image wilt aanbrengen na de eerste implementatie.
• U hoeft de Secure Endpoint Service niet in te stellen op Uitgestelde start.

scriptmethodologie

Voorbeelden van de scripts zijn hieronder te vinden. 

• Golden Image Setup Script: Dit script moet worden geïmplementeerd zodra de Secure Endpoint-connector is geïnstalleerd zoals eerder beschreven met de vlaggen zoals eerder gedocumenteerd. Dit script heeft de Secure Endpoint-service gewijzigd in Manual Start en slaat de hostnaam van het Gouden image op als omgevingsvariabele ter referentie in de volgende stap.

• Golden Image Startup Script: Dit script is een logische controle waarbij we de hostnaam op de gekloonde (Child) VM's koppelen aan de hostnaam die is opgeslagen in de vorige stap om ervoor te zorgen dat we identificeren wanneer de gekloonde (Child) VM een hostnaam krijgt die iets anders is dan de Golden Image VM (wat de uiteindelijke hostnaam voor de machine zou zijn) en dan gaat u verder en start u de Secure Endpoint Service op en wijzigt u die in Automatisch. U verwijdert ook de omgevingsvariabele uit het eerder genoemde script. Dit wordt normaal geïmplementeerd met behulp van de mechanismen die beschikbaar zijn in de implementatieoplossing, zoals VMware. Op VMware kunt u postsynchronisatieparameters gebruiken: https://docs.vmware.com/en/VMware-Horizon-7/7.13/virtual-desktops/GUID-E177899E-023D-4E61-B058-AFE3822158AA.html Net als voor AWS kunt u opstartscripts op dezelfde manier gebruiken: https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-windows-user-data.html.

Configuratie VMware Horizon

1. Golden Image VM is voorbereid en alle benodigde toepassingen voor de eerste implementatie van de pool worden op de VM geïnstalleerd.
2. Met deze opdrachtregelsyntaxis wordt een beveiligd eindpunt geïnstalleerd dat de goldenimage Flag bevat. Bijvoorbeeld <ampinstaller.exe> /R /S /goldenimage 1. Houd er rekening mee dat de Golden Image Flag ervoor zorgt dat de Secure Endpoint-service niet wordt uitgevoerd totdat opnieuw wordt opgestart, wat van cruciaal belang is om dit proces correct te laten werken. Raadpleeg https://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118587-technote-fireamp-00.html
3. Voer na de installatie van het beveiligde eindpunt het script VMWareHorizonAMPSetup.bat eerst uit op de VM met gouden afbeelding. In wezen verandert dit script de Secure Endpoint Service in Manual Start en maakt het een omgevingsvariabele die de hostnaam voor Golden Image opslaat voor later gebruik.
4. U moet de VMWareHorizonAMPStartup.bat kopiëren naar een universeel pad op de Golden Image VM zoals "C:\ProgramData" omdat dit in de latere stappen zou worden gebruikt.
5. De Golden Image VM kan nu worden afgesloten en het samenstellingsproces kan worden gestart op VMware Horizon.
6. Dit is de stapsgewijze informatie over hoe het eruit ziet vanuit het perspectief van VMware Horizon:

"Geautomatiseerde desktoppool" selecteren

Zie: https://docs.vmware.com/en/VMware-Horizon/2106/virtual-desktops/GUID-6C3AB7F3-0BCF-4423-8418-30CA19CFC8FC.html

"Instant Clones" selecteren

Zie: https://docs.vmware.com/en/VMware-Horizon-7/7.13/virtual-desktops/GUID-D7C0150E-18CE-4012-944D-4E9AF5B28347.html

Het selecteren van "Floating" type

Zie: https://docs.vmware.com/en/VMware-Horizon-Cloud-Service-on-IBM-Cloud/21.1/horizoncloudhosted.deploy/GUID-34C260C7-A63E-452E-88E9-6AB63DEBB416.html

Namen van desktopgroepen

Naampatroon VMware Horizon: https://docs.vmware.com/en/VMware-Horizon/2103/virtual-desktops/GUID-26AD6C7D-553A-46CB-B8B3-DA3F6958CD9C.html

Golden Image: Dit is de eigenlijke Golden Image VM.

Momentopname: dit is de afbeelding die u wilt gebruiken om de onderliggende VM te implementeren. Dit is de waarde die wordt bijgewerkt wanneer u de Gouden afbeelding bijwerkt met eventuele wijzigingen. Rest zijn enkele van de VMware Environment-specifieke instellingen.

7. Zoals eerder vermeld, is stap 10. in de wizard waar u het scriptpad instelt.

8. Nadat VMware Horizon is voltooid en ingediend, begint de samenstelling en worden de onderliggende VM's gemaakt.

Opmerking: raadpleeg de VMware-handleiding voor informatie over deze stappen, maar ze spreken voor zich.

Dubbele items verwijderen

Er zijn een aantal beschikbare manieren waarop we de dubbele vermeldingen voor de connector kunnen verwijderen:

1. Gebruik de functie voor automatisch verwijderen op het beveiligde Eindpuntportaal om dubbele (inactieve) items te verwijderen:

U kunt deze instelling vinden onder Beheer > Organisatie-instellingen

Met de drempelwaarde voor inactieve computers kunt u opgeven hoeveel dagen een connector kan duren zonder in te checken in de Cisco-cloud voordat deze wordt verwijderd uit de lijst met de pagina Computerbeheer. De standaardinstelling is 90 dagen. Inactieve computers worden alleen uit de lijst verwijderd en alle gebeurtenissen die ze genereren, blijven in uw Secure Endpoint-organisatie. De computer verschijnt opnieuw in de lijst als de connector opnieuw incheckt.

2. Gebruik de beschikbare Orchestration Workflows: https://ciscosecurity.github.io/sxo-05-security-workflows/workflows/secure-endpoint/0056-remove-inactive-endpoints

3. Gebruik het extern beschikbare script om de oude UUID's te verwijderen: https://github.com/CiscoSecurity/amp-04-delete-stale-guids