خطوات تكوين خادم AMP Update

المقدمة

يصف هذا المستند خطوات التكوين التفصيلية لخادم تحديث الحماية المتقدمة من البرامج الضارة (AMP) من Cisco.

المتطلبات الأساسية

• معرفة أجهزة الخادم المضيفة مثل نظام التشغيل Windows 2012R2 أو CentOS 6.9 x86_64.
• معرفة باستضافة برامج مثل، IIS (في نظام التشغيل Windows فقط) و Apache و Nginx
• أجهزة مضيفة للخوادم تم تكوينها مع تمكين HTTPS وتثبيت شهادة موثوق بها صالحة.
• خيار خادم التحديث المحلي ل HTTPS الذي تم تكوينه.

ملاحظة: للحصول على تفاصيل كاملة حول تمكين تهيئة خادم Update المحلي ومتطلباته، يرجى الرجوع إلى الفصل 25 من AMP للحصول على دليل مستخدم نقاط النهاية، المتوفر هنا. (https://docs.amp.cisco.com/en/A4E/AMP%20for%20Endpoints%20User%20Guide.pdf)

ملاحظة: مضيفو الخادم (IIS و Apache و Nginx) هم منتجات تابعة لجهات خارجية ولا تدعمها Cisco، يرجى الرجوع إلى فرق الدعم للحصول على أسئلة حول المنتجات المعنية خارج الخطوات المتوفرة.

تحذير: إذا تم تكوين AMP باستخدام خادم وكيل، فسيتم مواصلة إرسال جميع حركات مرور التحديث (بما في ذلك TETRA) من خلال الخادم الوكيل، وتوجيهها إلى الخادم المحلي. تأكد من السماح بحركة المرور المرور عبر الوكيل دون أي تعديل أثناء النقل.

خطوات التثبيت

جميع الأنظمة الأساسية

1. تأكيد نظام تشغيل خادم الاستضافة (OS).
2. قم بتأكيد AMP الخاص بك لمدخل لوحة معلومات نقاط النهاية، وقم بتنزيل حزمة برنامج التحديث وملف التكوين.

AMP لوحدة تحكم نقاط النهاية:

الولايات المتحدة - https://console.amp.cisco.com/tetra_update

الاتحاد الأوروبي - https://console.eu.amp.cisco.com/tetra_update 

APJC - https://console.apjc.amp.cisco.com/tetra_update 

Windows IIS

ملاحظة: تستند الخطوات التالية إلى تجمع تطبيقات IIS الجديد لاستضافة التوقيعات، وليس تجمع التطبيقات الافتراضي. لاستخدام التجمع الافتراضي، قم بتغيير المجلد —نسخة طبق الأصل في الخطوات المتوفرة لتعكس المسار الافتراضي لاستضافة الويب (C:\inetpub\wwwroot)

 إنشاء الدليل

1. قم بإنشاء مجلد جديد على محرك الأقراص الجذري، قم بتسميته TETRA.
2. انسخ حزمة برنامج تحديث AMP المضغوطة وملف التكوين إلى المجلد TETRA الذي تم إنشاؤه.
3. فك ضغط حزمة البرامج في هذا المجلد.
4. قم بإنشاء مجلد جديد يسمى تواقيع داخل مجلد TETRA.

 تحديث إنشاء المهمة

1. افتح سطر الأوامر وتصفح إلى مجلد C:\TETRA.القرص المضغوط C:\TETRA
2. قم بتشغيل الأمر update-win-x86-64.exe fetch —config=C:\TETRA\config.xml"— once —mirror C:\TETRA\Signatures
3. افتح "جدولة المهام" وقم بإنشاء مهمة جديدة. (عملية > إنشاء مهمة) لتشغيل برنامج التحديث تلقائيا مع الخيارات التالية عند الحاجة:
4.  حدد علامة التبويب عام.
   • أدخل اسما للمهمة.
   • حدد تشغيل ما إذا كان المستخدم قد قام بتسجيل الدخول أم لا.
   • حدد تشغيل باستخدام أعلى الامتيازات.
   • حدد نظام التشغيل من التكوين المنسدل.

5. حدد علامة التبويب المشغلات. 

• انقر فوق جديد.
• حدد في جدول زمني من القائمة المنسدلة بدء المهمة.
• حدد يوميا ضمن الإعدادات.
• تحقق من تكرار المهمة كل وحدد ساعة واحدة من القائمة المنسدلة وحدد غير محدد من لمدة:
• تحقق من التحقق من التمكين.
• وانقر فوق OK.

6. حدد علامة التبويب الإجراءات

• طقطقت جديد.
• حدد بدء برنامج من القائمة المنسدلة الإجراء.
• أدخل C:\TETRA\update-win-x86-64.exe في حقل البرنامج/البرنامج النصي.
• أدخل إحضار —config C:\TETRA\config.xml —once —mirror C:\TETRA\Signatures في حقل إضافة وسيطات.
• أدخل C:\TETRA في حقل البدء"
• ثم انقر فوق موافق

7. [إختياري] حدد علامة التبويب الشروط.

     تحقق من تنبيه الكمبيوتر لتشغيل خيار المهمة هذا.

       

8 حدد علامة التبويب إعدادات.

• تحقق من تحديد عدم بدء تشغيل مثيل جديد ضمن إذا كانت المهمة قيد التشغيل بالفعل.
• وانقر فوق OK.

9. أدخل بيانات اعتماد الحساب الذي سيقوم بتشغيل المهمة.

تكوين مدير IIS

ملاحظة: تخطي الخطوة 5 عند تكوين تجمع التطبيقات الافتراضي.

1. انتقل إلى مدير (IIS) (أسفل مدير الخادم > أدوات)

2. قم بتوسيع العمود الأيمن حتى يكون مجلد المواقع مرئيا، انقر بزر الماوس الأيمن وحدد إضافة موقع ويب.

3. أختر اسما للاختيار. للمسار الفعلي حدد المجلد C:\TETRA\Signatures الذي تم تنزيل التواقيع إليه.

4. أترك الروابط وحدها. تكوين اسم مضيف واسم خادم منفصلان، يجب أن تكون الأسماء المختارة قابلة للحل بواسطة العملاء. هذا هو عنوان URL الذي ستقوم بتكوينه في النهج.

5. حدد الموقع وانتقل إلى أنواع MIME وأضف أنواع MIME التالية:

• .gzip، تدفق التطبيق/النظام الثماني
• .dat، تدفق التطبيق/النظام الثماني
• .id، تدفق التطبيق/النظام الثماني
• .sig، Application/ثماني-stream

6. انتقل إلى ملف web.config (الموجود في المجلد المتطابق)، وقم بإضافة الأسطر التالية إلى أعلى الملف.

عند الانتهاء من عرض محتويات ملف C:\TETRA\Signatures\web.config على هذا النحو في محرر النص. (يجب أن تبقى الصياغة والمسافة نفس الشيء كما هو مذكور في المثال).

ملاحظة: يتطلب AMP لموصل نقاط النهاية وجود رأس HTTP للخادم في الاستجابة للتشغيل السليم. في حالة تعطيل رأس HTTP للخادم، قد يحتاج خادم ويب إلى تكوين إضافي محدد أدناه.

يجب تثبيت ملحق إعادة الكتابة لعنوان url. قم بإضافة قصاصة XML التالية إلى تكوين الخادم في /[MIRROR_DIRECTORY]/web.config:

<rewrite>
  <rules>
   <rule name="Rewrite fetch URL">
    <match url="^(.*)_[\d]*\/avx\/(.*)$" />
    <action type="Redirect" url="{R:1}/avx/{R:2}" appendQueryString="false" />
   </rule>
  </rules>
</rewrite>

ملاحظة: قم بإجراء هذا التغيير يدويا باستخدام محرر نصوص أو مع مدير IIS باستخدام الوحدة النمطية لإعادة كتابة عنوان URL. يمكن تثبيت الوحدة النمطية لإعادة الكتابة من عنوان URL التالي (https://www.iis.net/downloads/microsoft/url-rewrite)

عند الانتهاء من عرض محتويات ملف C:\TETRA\Signatures\web.config على هذا النحو في محرر النص. (يجب أن تبقى الصياغة والمسافة نفس الشيء كما هو مذكور في المثال).

أباتشي / نينكس

ملاحظة: تفترض الخطوات المقدمة أنك تقوم بخدمة التوقيعات من الدليل الافتراضي لبرنامج إستضافة الويب.

1. قم بإنشاء مجلد جديد على محرك الأقراص الجذري المسمى TETRA.
2. إلغاء حزمة البرامج النصية التي تم تنزيلها في هذا المجلد.
3. قم بتشغيل الأمر chmod +x update-linux* لمنح النصوص التنفيذية الإذن.
4. قم بتشغيل الأمر لجلب ملفات تحديث TETRA.

sudo ./update-linux-x86-64 fetch --config config.xml --once --mirror /var/www/html/:
This command may vary depending on your directory structure.

  5. لأتمتة عملية تحديث الخادم، أضف مهمة cron إلى الخادم:

0 * * * * /TETRA/update-linux-x86-64 fetch --config /TETRA/config.xml --once --mirror /var/www/html/

  6. استمر في اتباع الخطوات ضمن تكوين النهج من أجل تكوين النهج لاستخدام خادم التحديث.

تكوين النهج

1. انتقل إلى النهج لاستخدام خادم التحديث وتحت الإعدادات المتقدمة > TETRA حدد:
   • خانة الاختيار لخادم تحديث AMP المحلي
   • اسم المضيف أو IP لخادم التحديث بتنسيق <hostname.domain.root> أو عنوان IP.

تحذير: عدم تضمين أي بروتوكولات قبل أو أي أدلة فرعية بعد خلاف ذلك، سيؤدي ذلك إلى حدوث خطأ أثناء التنزيل.

[إختياري] خانة الاختيار إستخدام HTTPS لتحديثات تعريف TETRA: إذا تم تكوين الخادم المحلي باستخدام شهادة مناسبة وللموصلات لاستخدام HTTPS.

التحقق

انتقل إلى دليل C:\inetpub\wwwroot\ أو C:\TETRA\Signature أو /var/www/html وتحقق من أن التوقيعات المحدثة مرئية، ويتم تنزيل التوقيعات من الخادم إلى العميل النهائي إما بالانتظار حتى دورة المزامنة التالية أو بحذف التوقيعات الموجودة يدويا ثم انتظار تنزيل التوقيعات. الفاصل الافتراضي هو 1 ساعة للتحقق من وجود تحديث.

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems
• الحماية المتقدمة لنقاط النهاية من البرامج الضارة من Cisco - TechNotes
• الحماية المتقدمة لنقاط النهاية من Cisco - دليل المستخدم

.