在面向终端的FireAMP/AMP上启动计划扫描

简介

您可以根据您的要求每天、每周或每月在FireAMP上运行计划扫描。创建计划扫描时，需要为计算机提供管理用户凭据。本文档介绍成功计划扫描所需的用户帐户权限。

先决条件

要求

• 访问FireAMP控制面板
• Windows PC管理员帐户的凭据
• 适用于Windows XP或更高版本的FireAMP 3.x — 计划扫描
• 适用于Windows XP或更高版本的FireAMP 4.x — 计划扫描和终端IOC扫描

开始使用前 

在FireAMP策略中添加计划扫描时，会增加策略序列号。终端在发送心跳时下拉新策略。FireAMP使用提供的凭证在Windows中创建一个计划任务，然后执行该任务。由于此设计，我们需要确保我们使用的帐户具有正确的权限。

在配置计划之前，扫描您计划使用的用户帐户有两个主要要求。

注意：这些权限也适用于终端IOC扫描。

1. 帐户必须是管理员帐户。这可以是本地管理员或域管理员。
2. 该帐户必须能够以批次身份登录。

“作为批处理登录”权限通过组策略配置。如果未为域配置此配置，则默认情况下管理帐户应能以批处理身份登录。如果为域配置了该帐户，则该帐户必须属于在组策略对象(GPO)中定义的组。

配置

以下步骤适用于运行Windows Server 2008 R2的域控制器：

警告：您有责任确保在Windows服务器上正确配置组策略。思科不对因组策略配置不正确而导致的任何问题负责。 

1. 转至“开始”>“管理工具”>“组策略管理”。
   
   
2. 展开林 > 域 > Your_Domain_Name > 组策略对象。
   
   
   
   
3. 右键单击要修改的策略，然后选择“编辑”。
   
   
4. 导航至“计算机配置”>“策略”>“Windows设置”>“安全设置”> “本地策略”> “用户权限分配”。
   
   
   
   
5. 双击“以批处理作业身份登录”。
   
   
6. 选择添加用户或组。
   
   
7. 单击Browse，然后输入所需的用户或组名称。
   
   
8. 单击检查名称以验证名称。
   
   
9. 单击“OK(确定)” ，直到返回到“Group Policy Management Editor（组策略管理编辑器）”。

如果尚未应用组策略，请将组策略应用到域或组。现在，我们已配置了用户帐户，将在FireAMP控制面板中配置扫描。

1. 登录FireAMP控制面板。
   
   
2. 导航至管理>策略。
   
   
   
   
3. 编辑所需的策略。
   
   
4. 导航至“文件”选项卡>“计划扫描”。输入用户名和密码。
   
   
   

   注意：用户名必须采用域\用户名格式。无需域后缀。

5. 配置计划。使用铅笔、加号和减号图标修改、添加和删除扫描计划。您可以在此处输入多个计划。除了24小时时间外，您还可以选择“每日”、“每周”或“每月”来启动扫描。您还可以选择扫描类型（Flash或Full）。
   
   
   
   
6. 选择保存，然后选择更新以提交策略更改。

确认

在计算机上更新策略后，您应该在Windows任务调度程序中看到一个或多个任务，其名称为Immunet，如下屏幕截图所示：

故障排除

策略已更新，但未找到计划任务

如果策略更新，但您未看到计划任务，这很可能是因为您使用的帐户密码错误或权限不足，无法创建任务（非管理员）。

任务已创建，但无法运行

如果任务已创建但无法运行，则帐户很可能无法以批次身份登录。请查看上述配置步骤，确保您的帐户配置正确。

修订历史记录