تثبيت الوحدة النمطية AMP وتكوينها من خلال أداة تمكين AnyConnect 4.x و AMP
المحتويات
المقدمة
يمر هذا المستند بخطوات تثبيت موصل "الحماية المتقدمة من البرامج الضارة" (AMP) باستخدام AnyConnect.
يتم إستخدام أداة تمكين AnyConnect AMP كوسيط لنشر AMP لنقاط النهاية. كما أنها لا تملك أي قدرة على إدانة عملية التصرف في الملفات. وهو يدفع برنامج AMP لنقاط النهاية إلى نقطة نهاية من ASA. بمجرد تثبيت AMP، يستخدم سعة السحابة للتحقق من مصير الملفات. يمكن لخدمة AMP الإضافية إرسال الملفات إلى تحليل ديناميكي يسمى ThreatGrid، لتسجيل سلوك ملفات غير معروف. يمكن الحكم على هذه الملفات كملفات ضارة إذا تم الوفاء ببعض النتائج غير الدقيقة. وهذا مفيد على نطاق واسع لهجمات اليوم صفر.
المتطلبات الأساسية
المتطلبات
- AnyConnect Secure Mobility Client، الإصدار 4.x
- FireAMP / AMP لنقاط النهاية
- Adaptive Security Device Manager (ASDM)، الإصدار 7.3.2 أو إصدار أحدث
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- جهاز الأمان القابل للتكيف (ASA) 5525 مع إصدار البرنامج 9.5.1
- AnyConnect Secure Mobility Client 4.2.00096 على نظام التشغيل Microsoft Windows 7 Professional إصدار 64 بت
- ASDM الإصدار 7.5.1(112)
نشر AnyConnect ل AMP Enabler (أداة تمكين ASA)
تكون الخطوات المعنية في التكوين كما يلي:
- تكوين ملف تعريف عميل AnyConnect AMP Enabler.
- قم بتحرير نهج مجموعة AnyConnect VPN وتنزيل ملف تعريف خدمة AMP Enabler.
- قم بتسجيل الدخول إلى لوحة معلومات AMP للحصول على إرتباط تنزيل URL الخاص بالموصل.
- تحقق من التثبيت على جهاز المستخدم.
الخطوة 1: تكوين ملف تعريف عميل AnyConnect AMP Enabler
- انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Network (العميل) Access > AnyConnect Client Profile.
- إضافة ملف تعريف خدمة تمكين AMP.
الخطوة 2: تحرير سياسة المجموعة لتنزيل AnyConnect AMP Enabler
- انتقل إلى التكوين > إزالة Access VPN > نهج المجموعة > تحرير.
- انتقل إلى خيارات متقدمة > AnyConnect Client (عميل AnyConnect) > وحدات العميل الاختيارية لتنزيلها.
- أختر أداة تمكين AnyConnect AMP.
الخطوة 3: تنزيل نهج FireAMP
متطلبات النظام ل AMP لنقاط النهاية Windows Connector
هذه هي الحد الأدنى لمتطلبات النظام لموصل FireAMP استنادا إلى نظام التشغيل Windows. يدعم موصل FireAMP كلا من الإصدارين 32 و 64 بت لأنظمة التشغيل هذه. يمكن العثور على أحدث وثائق AMP في نشر AMP
| نظام تشغيل | المعالج | ذاكرة |
مساحة القرص، وضع السحابة فقط |
مساحة القرص |
| نظام التشغيل Microsoft Windows 7 |
معالج بسرعة 1 جيجاهرتز أو أسرع |
ذاكرة وصول عشوائي (RAM) سعة 1 جيجابايت |
مساحة قرص ثابت متوفرة سعة 150 ميجابايت - وضع السحابة فقط |
مساحة قرص ثابت متوفرة بسعة 1 جيجابايت - Tetra |
| Microsoft Windows 8 و 8.1 (يتطلب موصل FireAMP 5.1.3 أو أحدث) |
معالج بسرعة 1 جيجاهرتز أو أسرع |
ذاكرة وصول عشوائي (RAM) سعة 512 ميجابايت |
مساحة قرص ثابت متوفرة سعة 150 ميجابايت - وضع السحابة فقط |
مساحة قرص ثابت متوفرة بسعة 1 جيجابايت - Tetra |
| نظام التشغيل Microsoft Windows Server 2003 |
معالج بسرعة 1 جيجاهرتز أو أسرع |
ذاكرة وصول عشوائي (RAM) سعة 512 ميجابايت |
مساحة قرص ثابت متوفرة سعة 150 ميجابايت - وضع السحابة فقط |
مساحة قرص ثابت متوفرة بسعة 1 جيجابايت - Tetra |
| نظام التشغيل Microsoft Windows Server 2008 |
معالج بسرعة 2 جيجاهرتز أو أسرع |
ذاكرة وصول عشوائي (RAM) سعة 2 جيجابايت |
مساحة قرص ثابت متوفرة سعة 150 ميجابايت - وضع السحابة فقط |
مساحة قرص ثابت متوفرة بسعة 1 جيجابايت - Tetra |
| Microsoft Windows Server 2012 (يتطلب FireAMP Connector 5.1.3 أو أحدث) |
معالج بسرعة 2 جيجاهرتز أو أسرع |
ذاكرة وصول عشوائي (RAM) سعة 2 جيجابايت |
مساحة قرص ثابت متوفرة سعة 150 ميجابايت - وضع السحابة فقط |
مساحة قرص صلب متوفرة 1 جيجابايت - Tetra |
شائع للغاية هو وضع أداة تثبيت AMP على خادم الويب الخاص بالمؤسسات.
لتنزيل الموصل، انتقل إلى الإدارة > تنزيل الموصل. ثم أختر الكتابة وقم بتنزيل FireAMP (Windows و Android و Mac و Linux).
تتيح لك صفحة "تنزيل الموصل" تنزيل حزم التثبيت لكل نوع من موصلات FireAMP. يمكن وضع هذه الحزمة على مشاركة شبكة أو توزيعها عبر برنامج الإدارة.
تحديد مجموعة
- المراجعة فقط: مراقبة النظام استنادا إلى SHA-256 المحسوب على كل ملف. لا يعمل وضع التدقيق هذا على عزل البرامج الضارة، ولكنه يرسل حدثا كتنبيه.
- الحماية: حماية الوضع باستخدام ملفات ضارة العزل. مراقبة نسخ الملفات ونقلها.
- الفرز: هذا للاستخدام على جهاز كمبيوتر به خلل/مصاب بالفعل.
- الخادم: مجموعة تثبيت لخادم Windows، حيث يتم تثبيت الموصل بدون محرك Tetra وبرنامج تشغيل DFC. تم تصميم هذه المجموعة باستخدام اسمها لخوادم وحدات التحكم غير بالمجال.
- وحدة التحكم بالمجال: تم تعيين النهج الافتراضي لهذه المجموعة على وضع التدقيق كما هو الحال في مجموعة الخوادم. قم بإقران كافة خوادم Active Directory في هذه المجموعة، مما يعني أن الموصل سيتم تشغيله على وحدة التحكم بالمجال ل Windows.
هذا ويتمتع هذا الجهاز بميزة تدعى تيترا وهي محرك مضاد للفيروسات بالكامل. هذا الخيار إختياري لكل نهج.
الميزات
- ميزة المسح الضوئي عند التثبيت: يتم تشغيل عملية المسح الضوئي أثناء التثبيت. وهو سريع نسبيا في التنفيذ ويوصى بتشغيله مرة واحدة فقط.
- قابل لإعادة التوزيع: يجب تنزيل حزمة واحدة واحدة، تحتوي على مثبتات 32 بت و 64 بت. بدلا من أداة تمهيد تشغيل الكمبيوتر، والتي تكون متوفرة لتترك هذا الخيار غير محدد وتنزيل ملفات أداة التثبيت، بمجرد تنفيذها.
الخطوة 4: تنزيل ملف تعريف عميل أمان الويب
تحديد خادم ويب للشركة أو مشاركة شبكة مع أداة تثبيت AMP. وهو شائع الاستخدام في جميع الشركات لتوفير النطاق الترددي ووضع المثبتات الموثوقة في موقع مركزي.
الرجاء التأكد من أنه يمكن الوصول إلى إرتباط HTTPS على نقاط النهاية بدون أي خطأ في الشهادة وأن الشهادة الأساسية مثبتة في مخزن الأجهزة.
العودة إلى ملف تعريف AMP الذي تم إنشاؤه من قبل على ASA (الخطوة 1) وتحرير ملف تعريف أداة تمكين AMP:
- بالنسبة لوضع AMP، انقر فوق الزر تثبيت أداة تمكين AMP Radio.
- في حقل Windows Installer، قم بإضافة IP لخادم الويب والملف ل FireAMP.
- خيارات نظام التشغيل Windows إختيارية.
طقطقة ok وطبق التغييرات.
الخطوة 5: اتصل ب AnyConnect وتحقق من تثبيت الوحدة النمطية
عند اتصال مستخدمي AnyConnect VPN، يقوم ASA بدفع وحدة تمكين AnyConnect AMP من خلال الشبكة الخاصة الظاهرية (VPN). بالنسبة للمستخدمين الذين تم تسجيل دخولهم بالفعل، يوصى بتسجيل الخروج ثم تسجيل الدخول مرة أخرى لتمكين الوظيفة.
10:08:29 AM Establishing VPN session... 10:08:29 AM The AnyConnect Downloader is performing update checks... 10:08:29 AM Checking for profile updates... 10:08:29 AM Checking for product updates... 10:08:31 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 48% 10:08:32 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 91% 10:08:33 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 100%
الخطوة 6: أداة تمكين تثبيت اتصال VPN من Start و AMP موصل
ما إن يضغط أنت الزر يربط أن يبدأ ال VPN، هو ينزل الجديد تنزيل وحدة نمطية. سيتضمن هذا أداة تمكين AMP ويقوم بتنزيل حزمة AMP من مسار عنوان URL الذي حددته قبل خطوتين.
If you look at the event viewer: AMP enabler install: Date : 04/24/2017 Time : 10:08:34 Type : Information Source : acvpndownloader Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]
الخطوة 7: تحقق من AnyConnect وتحقق من تثبيت كل شيء
بمجرد توصيل الشبكة الخاصة الظاهرية (VPN) وتثبيت تكوين خادم الويب، تحقق من AnyConnect وتحقق من تثبيت كل شيء بشكل صحيح.
في services.msc يمكنك العثور على خدمة جديدة تسمى CiscoAMP_5.1.3. في أمر PowerShell نرى:
PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*" Status Name DisplayName ------ ---- ----------- Running CiscoAMP_5.1.3 Cisco AMP for Endpoints Connector 5...
يضيف مثبت AMP برامج تشغيل جديدة إلى نظام التشغيل Windows. قد تستخدم الأمر driveQuery لسرد المرادفات.
C:\Windows\System32>driverquery /v | findstr immunet ImmunetProte ImmunetProtectDriver ImmunetProtectDriver File System System Running OK TRUE FA LSE 4,096 69,632 0 3/17/2017 5:04:20 PM \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192 ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System System Running OK TRUE FA LSE 4,096 28,672 0 3/17/2017 5:04:08 PM \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192
الخطوة 8: اختبر باستخدام سلسلة eicar المتضمنة في ملف Zombies PDF
قم بالاختبار باستخدام سلسلة إيكار موجودة في ملف Zombies PDF في حاسب إختباري للتحقق من عزل الملف الضار.
يحتوي Zombies.pdf على سلسلة إيكار
الخطوة 9: ملخص النشر
تظهر لك هذه الصفحة قائمة بعمليات تثبيت موصلات FireAMP الناجحة والفاشلة بالإضافة إلى تلك قيد التقدم حاليا. يمكنك الانتقال إلى الإدارة > ملخص النشر.
الخطوة 10: التحقق من اكتشاف مؤشرات الترابط
قام Zombies.pdf بتشغيل حدث عزل، قم بإرسال إلى لوحة معلومات AMP.
حدث العزل
معلومات إضافية
للحصول على حساب AMP الخاص بك، يمكنك التسجيل في جامعة ATS. يمنحك هذا نظرة عامة على وظائف AMP في Lab.
التعليقات