简介
本文档将逐步介绍如何通过AnyConnect安装高级恶意软件防护(AMP)连接器。
AnyConnect AMP启用程序用作部署面向终端的AMP的媒介。它本身没有任何能力来判定文件性质。它将面向终端的AMP软件从ASA推送到终端。安装AMP后,它将使用云容量来检查文件性质。进一步的AMP服务可以将文件提交到名为ThreatGrid的动态分析,以便对未知文件行为进行评分。如果符合某些人为因素,这些文件可能被认定为恶意文件。这对于零日攻击非常有用。
先决条件
要求
- AnyConnect安全移动客户端版本4.x
- 面向终端的FireAMP/AMP
- 自适应安全设备管理器(ASDM)7.3.2或更高版本
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 自适应安全设备(ASA)5525,软件版本9.5.1
- Microsoft Windows 7 Professional 64位版上的AnyConnect安全移动客户端4.2.00096
- ASDM 版本 7.5.1(112)
通过ASA部署AMP启用程序的AnyConnect
配置中涉及的步骤如下:
- 配置AnyConnect AMP Enabler客户端配置文件。
- 编辑AnyConnect VPN组策略并下载AMP启用程序服务配置文件。
- 登录AMP控制面板以获取连接器URL下载链接。
- 验证用户计算机上的安装。
步骤 1:配置AnyConnect AMP启用程序客户端配置文件
- 导航到配置(Configuration)>远程接入VPN(Remote Access VPN)>网络(客户端)接入(Network [Client] Access)> AnyConnect客户端配置文件(AnyConnect Client Profile)。
- 添加AMP启用程序服务配置文件。


步骤 2:编辑Group-Policy下载AnyConnect AMP启用程序
- 导航到Configuration > Remove Access VPN > Group Policies > Edit。
- 转至Advanced > AnyConnect Client > Optional Client Modules to Download。
- 选择AnyConnect AMP Enabler。

步骤 3:下载FireAMP策略
注意:继续之前,请检查系统是否满足终端AMP Windows连接器的要求。
面向终端的AMP Windows连接器的系统要求
这些是基于Windows操作系统的FireAMP连接器的最低系统要求。FireAMP连接器支持这些操作系统的32位和64位版本。最新的AMP文档可在AMP部署中找到
操作系统 |
处理器 |
内存
|
磁盘空间、
仅云模式
|
磁盘空间
|
Microsoft Windows 7
|
1 GHz或更快的处理器
|
1 GB RAM
|
150 MB可用硬盘空间 — 仅云模式
|
1GB可用硬盘空间 — TETRA
|
Microsoft Windows 8和8.1(需要FireAMP Connector 5.1.3或更高版本)
|
1 GHz或更快的处理器
|
512 MB RAM
|
150 MB可用硬盘空间 — 仅云模式
|
1GB可用硬盘空间 — TETRA
|
Microsoft Windows Server 2003
|
1 GHz或更快的处理器
|
512 MB RAM
|
150 MB可用硬盘空间 — 仅云模式
|
1GB可用硬盘空间 — TETRA
|
Microsoft Windows Server 2008
|
2 GHz或更快的处理器
|
2 GB RAM
|
150 MB可用硬盘空间 — 仅云模式
|
1GB可用硬盘空间 — TETRA
|
Microsoft Windows Server 2012(需要FireAMP Connector 5.1.3或更高版本)
|
2 GHz或更快的处理器
|
2 GB RAM
|
150 MB可用硬盘空间 — 仅云模式
|
1 GB可用硬盘空间 — TETRA
|
最常见的是将AMP安装程序放置在企业Web服务器上。
要下载连接器,请导航到管理>下载连接器。然后选择type和Download FireAMP(Windows、Android、Mac、Linux)。

“下载连接器”(Download Connector)页面允许您下载每种类型的FireAMP连接器的安装软件包。此软件包可以放置在网络共享上,也可以通过管理软件进行分发。

选择用户列表组
- 仅审核:根据通过每个文件计算的SHA-256监控系统。此仅审核模式不会隔离恶意软件,但会发送事件作为警报。
- 保护:使用隔离恶意文件保护模式。监控文件复制和移动。
- 分类:这用于已被入侵/感染的计算机上。
- 服务器:用于Windows服务器的安装套件,其中连接器不使用Tetra引擎和DFC驱动程序进行安装。此组根据其名称专为非域控制器服务器设计。
- 域控制器:此组的默认策略设置为审核模式,与服务器组中一样。关联此组中的所有Active Directory服务器,这意味着连接器将在Windows域控制器上运行。
AMP具有名为TETRA的功能,这是完全的防病毒引擎。此选项根据策略是可选的。
功能
- 安装时进行快速扫描:扫描进程在安装期间运行。执行速度相对较快,建议只运行一次。
- 可再分配:您应下载一个包含32位和64位安装程序的软件包。而不是引导程序,该引导程序可以保持此选项未勾选状态并在执行后下载安装程序文件。
注意:您可以创建自己的组并配置与其相关的策略。目的是将所有(例如Active Directory服务器)置于一个组中,其中策略处于审核模式。
引导程序和可再发行的安装程序还都包含一个policy.xml文件,该文件用作AMP连接器的配置文件。
步骤 4:下载网络安全客户端配置文件
使用AMP安装程序指定公司Web服务器或网络共享。这在各公司中最为常用,目的是节省带宽并将受信任的安装程序集中到某个位置。
请确保在终端上可以访问HTTPS链接而不出现任何证书错误,并且根证书已安装在计算机存储中。
返回之前在ASA上创建的AMP配置文件(第1步),然后编辑AMP启用程序配置文件:
- 对于AMP模式,单击Install AMP Enabler单选按钮。
- 在Windows Installer字段中,添加Web服务器的IP和FireAMP的文件。
- Windows选项是可选的。
单击OK并应用更改。

步骤 5:使用AnyConnect连接并验证模块的安装
当Anyconnect VPN用户连接时,ASA会通过VPN推送AnyConnect AMP启用程序模块。对于已登录的用户,建议先注销,然后重新登录以启用该功能。
10:08:29 AM Establishing VPN session...
10:08:29 AM The AnyConnect Downloader is performing update checks...
10:08:29 AM Checking for profile updates...
10:08:29 AM Checking for product updates...
10:08:31 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 48%
10:08:32 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 91%
10:08:33 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 100%

步骤 6:启动VPN连接安装AMP启用程序和AMP连接器
按下connect按钮启动VPN后,下载新的下载程序模块。这将具有AMP启用程序,并从之前指定的几个步骤中的URL路径下载AMP软件包。

If you look at the event viewer:
AMP enabler install:
Date : 04/24/2017
Time : 10:08:34
Type : Information
Source : acvpndownloader
Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]
步骤 7:检查AnyConnect并验证是否已安装所有设备
连接VPN并安装Web服务器配置后,请检查AnyConnect并验证是否正确安装了所有设备。
在services.msc中,您可以找到名为CiscoAMP_5.1.3的新服务。在Powershell命令中,我们可以看到:
PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*"
Status Name DisplayName
------ ---- -----------
Running CiscoAMP_5.1.3 Cisco AMP for Endpoints Connector 5...

AMP安装程序将新驱动程序添加到Windows操作系统。您可以使用driverquery命令列出驱动程序。
C:\Windows\System32>driverquery /v | findstr immunet
ImmunetProte ImmunetProtectDriver ImmunetProtectDriver File System System Running OK TRUE FA
LSE 4,096 69,632 0 3/17/2017 5:04:20 PM \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192
ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System System Running OK TRUE FA
LSE 4,096 28,672 0 3/17/2017 5:04:08 PM \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192
步骤 8::使用僵尸PDF文件中包含的Eicar字符串进行测试
使用测试计算机中僵尸PDF文件中包含的Eicar字符串进行测试,以验证恶意文件是否被隔离。
Zombies.pdf包含Eicar字符串
步骤 9:部署摘要
此页面显示成功和失败的FireAMP连接器安装以及当前正在安装的连接器安装列表。您可以转到管理>部署摘要。

步骤 10:线程检测验证
Zombies.pdf触发隔离事件,发送到AMP控制面板。
隔离事件
Additional Information
要获取AMP帐户,您可以注册ATS大学。这为您提供了实验室中的AMP功能的概述。
相关信息