Stappen om een computer te klonen of een beeld te geven terwijl de AMP-connector is geïnstalleerd
Inhoud
Inleiding Voorwaarden
Versie 6.3.1 en hoger
Installatie vooraf - versie 6.2.1+
Voorinstallatie - versies 4.1.4 t/m 6.1.7 Post-installatie - versies 4.1.4 of hoger Linux
Gerelateerde informatie
Inleiding
Dit document beschrijft de stappen naar Clone of Image a computer met de geïnstalleerde
Advanced Malware Protection (AMP), om meerdere computers te voorkomen om het gebruik van hetzelfde Global Unifier-algoritme (oundboard) te proberen, om dubbele computerobjecten te voorkomen om in AMP-wolkendashboard te verschijnen.
Als systeembeheerder wilt u de AMP-connector op uw Windows PC-afbeeldingen toevoegen.
AMP vereist dat systemen uniek kunnen worden geïdentificeerd.
Voorwaarden
Kennis van het navigeren en bewerken van Windows-register.
●
Gebruik van Windows OS-opdrachtprompt.
●
De Linux OS opdrachtterminal gebruiken.
●
Voor Windows
Controleer of de persistentie van de identiteit correct is ingesteld voor de implementatieomgeving.
VDI-omgevingen hebben de neiging MAC-adressen te klonen zodat sync door MAC niet wordt aanbevolen. Best practice for VDI is Sync by Hostname over Policy. Voor een goede
functionaliteit moet alle Persistentie van de Identiteit in het gehele bedrijf gelijk zijn. Als één beleid wordt ingesteld voor "Sync Over Policy", moet elk beleid dat gebruik maakt van
identiteitspersistentie de "Sync Over Policy" gebruiken.
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Versie 6.3.1 en hoger
Raadpleeg het volgende artikel voor versies nieuwer dan 6.2.X
Hoe een Gouden Afbeelding voor 6.3.1 en een latere Windows-AMP-connector wordt voorbereid
Installatie vooraf - versie 6.2.1+
Volg deze stappen om een computer voor te bereiden op afbeeldingen:
1. Schakel internettoegang in de machine uit.
2. Installeer de AMP-aansluiting op uw hoofdafbeelding.
FireAMPSetup.exe /S
3. Stop de AMP-dienst.
wmic service where "name like '%%i%%m%%.%%.%%'" call stopservice
Gebruik de volgende opdracht als de verbindingsbeveiliging is ingeschakeld. Het wachtwoord wordt weergegeven in de opdrachtmelding.
"%PROGRAMFILES%\Cisco\AMP\X.X.X\sfc.exe" -k protectionpassword
Opmerking: Het is sterk aangeraden om Policy.xml te controleren
(%PROGRAMFILES%\Cisco\AMP\Policy.xml) en te controleren of er een item is voor
<Install><Token>. Dit is nodig om de connector in de juiste groep/beleid te kunnen
registreren. De beste praktijk zou zijn om een kopie van dat bestand te bewaren wanneer de volgende stappen om welke reden dan ook moeten worden herhaald.
Opmerking: Als de AMP-service opnieuw wordt gestart, genereert de hoofdafbeelding local.xml. Je moet deze stappen herhalen om de hoofdafbeelding opnieuw te neutraliseren.
Verzeker u ervan dat deze stappen in het proces voor de voorbereiding van uw hoofdafbeelding zijn opgenomen.
4. Deletelocal.xml.
del "%PROGRAMFILES%\Cisco\AMP\local.xml"
5. Maak een leeg lokaal.xmlfile.
echo ^
> "%PROGRAMFILES%\Cisco\AMP\local.xml"
6. Wis de positie van de positie van de IoC en de certificeringsinformatie in het register van KEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect.
Opmerking: Vanaf 6.2.1, worden de debuut en de certificaten ook opgeslagen in de registratie als sanering voor bug CSCvi92800 .
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect" /v "client_cert" /f reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect" /v "client_keypair" /f reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect" /v "est_cert" /f reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Immunet Protect" /v "guid" /f
7. Start de service niet opnieuw of u moet dit artikel opvolgen. De service dient te starten.
Voorinstallatie - versies 4.1.4 t/m 6.1.7
Volg deze stappen om een computer voor te bereiden op afbeeldingen:
1. Schakel internettoegang in de machine uit.
2. Installeer de AMP-aansluiting op uw hoofdafbeelding.
FireAMPSetup.exe /S
3. Stop de AMP-dienst.
wmic service where "name like '%%i%%m%%.%%.%%'" call stopservice
Gebruik de volgende opdracht als de verbindingsbeveiliging is ingeschakeld. Het wachtwoord wordt weergegeven in de opdrachtmelding.
4.2 and Lower: Not Available
4.3 to 5.0: "%PROGRAMFILES%\Sourcefire\fireAMP\X.X.X\sfc.exe" -k protectionpassword 5.1 and Above: "%PROGRAMFILES%\Cisco\AMP\X.X.X\sfc.exe" -k protectionpassword
Opmerking: Het is sterk aanbevolen om Policy.xml te controleren
(%PROGRAMFILES%\Cisco\AMP\Policy.xml) en te controleren of er een item is voor
<Install><Token>. Dit is nodig om de connector in de juiste groep/beleid te kunnen
registreren. De beste praktijk zou zijn om een kopie van dat bestand te bewaren wanneer de volgende stappen om welke reden dan ook moeten worden herhaald.
Opmerking: Als de AMP-service opnieuw wordt gestart, genereert de hoofdafbeelding local.xml. Je moet deze stappen herhalen om de hoofdafbeelding opnieuw te neutraliseren.
Verzeker u ervan dat deze stappen in het proces voor de voorbereiding van uw hoofdafbeelding zijn opgenomen.
4. Verwijdert local.xml.
5.0 and Lower: del "%PROGRAMFILES%\Sourcefire\fireAMP\local.xml"
5.1 and Above: del "%PROGRAMFILES%\Cisco\AMP\local.xml"
5. Maak een leeg bestand van local.xml.
5.0 and Lower: echo ^
> "%PROGRAMFILES%\Sourcefire\fireAMP\local.xml"
5.1 and Above: echo ^ > "%PROGRAMFILES%\Cisco\AMP\local.xml"
6. Zet de dienst opnieuw op of je moet dit artikel volgen. De service dient te starten.
Post-installatie - versies 4.1.4 of hoger
AMP-connector versie 4.1.4 en hoger genereert automatisch een nieuw register en Universal Uniforme Identifier (UUID) wanneer de verbindingsservice een leeg bestand local.xml detecteert.
Opmerking: Er wordt verwacht dat machines die zich registreren met een leeg bestand local.xml, in de standaardgroep van uw organisaties worden geplaatst. U moet beslissen of u deze machines handmatig wilt verplaatsen of dat u uw standaardgroep wilt wijzigen in de gewenste groep voor deze machines.
Op dit moment moet de AMP-client in bedrijf zijn. U kunt de gebruikersinterface gebruiken om de connectiviteit te verifiëren en dat de service loopt. Als de gebruikersinterface niet is ingesteld om te starten, kan deze opdracht handmatig worden gestart. Vergeet niet het versienummer voor de momenteel geïnstalleerde versie bij te werken.
5.0 and Lower: "%PROGRAMFILES%\Sourcefire\fireAMP\X.X.X\iptray.exe" -f 5.1 and Above: "%PROGRAMFILES%\Cisco\AMP\X.X.X\iptray.exe" -f
Linux
De algemene stappen voor het klonen van een machine voor Linux en een nieuwe identiteit hebben is gelijk aan Windows. Hier volgen de stappen en opdrachten:
1. Installeer de Advanced Malware Protection op uw hoofdafbeelding
$ (sudo) yum install filename.rpm
2. Stop de AMP-dienst
$ (sudo) initctl stop cisco-amp
3. Verwijdert local.xml
$ (sudo) rm /opt/cisco/amp/etc/local.xml
Wanneer een andere machine met de gekloonde afbeelding opstart, wordt de AMP-service automatisch gestart en genereert u een nieuwe identiteit. Het moet uniek zijn voor alle communicerende connectors in een groep in de cloud (ongeacht of het publiek of privaat is).
Gerelateerde informatie
Technische ondersteuning en documentatie – Cisco Systems
●
Een gouden beeld met AMP voorbereiden voor endpoints
●
Een gouden beeld opnieuw bedenken nadat de AMP-services zijn hervat
●
Schakel de AMP-connector uit en in
●
Cisco Advanced Malware Protection voor endpoints - TechNotes
●
Cisco Advanced Malware Protection voor endpoints - gebruikershandleiding
●