简介

本文档介绍如何通过Cisco Secure Endpoint Identity Persistence功能。 

什么是身份持久性？

身份持久化功能允许您在虚拟环境中或在计算机重新映像时维护一致的事件日志。您可以将连接器绑定到MAC地址或主机名，以便每次启动新的虚拟会话或重新映像计算机时都不会创建新的连接器记录。此功能专为非持久VM和实验室环境设计。建议的方法是跨业务的主机名，并在要同步标识的策略上启用该功能。

要求

Cisco 建议您了解以下主题：

• 访问思科安全终端门户
• 您需要联系思科TAC来让他们在您的组织内启用身份持久性功能。 
• 只有Windows操作系统(OS)支持身份持久性

何时需要身份持久性？

身份持久性是安全终端上的功能，它有助于在初始连接器注册时识别安全终端，并根据特定连接器的MAC地址或主机名等身份参数，将其与之前已知的条目进行匹配。此功能的实施不仅有助于保持正确的许可证数量，而且最重要的是，它允许对非持久性系统上的历史数据进行适当跟踪。  

虚拟终端部署

在虚拟部署中，身份持久性最常见的是非持久虚拟桌面基础设施(VDI)部署。VDI主机桌面环境可根据最终用户的请求或需求进行部署。这包括不同的供应商，如VMware、Citrix、AWS AMI Golden Image Deployment等。

持续VDI（通常也称为“有状态VDI”）是一种设置，其中每个用户的桌面可唯一定制，并且从一个会话“持续”到另一个会话。此类虚拟部署不需要身份持久性的功能，因为这些计算机不会定期重新映像。 

与可能与安全终端性能交互的所有软件一样，虚拟桌面应用需要评估可能的例外情况，以便最大限度地提高功能并最大程度减少影响。   

参考：https://docs.vmware.com/en/VMware-Horizon/2103/horizon-architecture-planning/GUID-AED54AE0-76A5-479B-8CD6-3331A85526D2.html

物理终端部署

有两种方案可用于在安全终端物理计算机上部署身份持久性：

• 当您部署或重新映像具有预装了安全终端连接器的黄金映像的物理终端时，必须启用Goldenimage Flag。身份持久性可用于避免重新映像计算机实例中的重复，但并非必需的。 

• 当您使用金牌映像部署或重新映像物理终端并在以后安装安全终端连接器时，可以使用身份持久性来避免在重新映像计算机的情况下出现重复，但这不是必需的。 

身份持久性流程概述

1. 该连接器将通过policy.xml文件中的令牌下载，这会将其绑定回云端上的相关策略。
2. 连接器安装成功，将令牌存储在local.xml中，连接器使用有问题的令牌向门户发出POST请求。
3. 云端需要完成以下操作顺序：
   a.计算机检查ID同步策略配置的策略。否则，注册将正常进行。
   b.根据策略设置，注册会检查现有数据库的主机名或MAC地址。
        Across Business：根据设置，检查所有策略的主机名或MAC是否匹配。会记录匹配的对象GUID并将其发送回终端客户端。然后，客户端计算机采用UUID并采用以前匹配的主机的任何组/策略设置。这将覆盖已安装的策略/组设置。
        跨策略：令牌与云端策略匹配，并仅在该策略内查找具有相同主机名或MAC地址的现有对象。如果存在，则采用UUID。如果没有绑定到该策略的现有对象，则会创建新对象。注意：同一主机名可以存在与其他组/策略绑定的重复项。
   c.如果由于缺少令牌（先前注册、部署实践不佳等）而无法与组/策略匹配，则连接器将归入“业务”选项卡下设置的默认连接器组/策略。根据组/策略的设置，它会尝试审核匹配的所有策略（跨业务）、仅审核相关策略（跨策略）或完全不审核任何策略（无）。 考虑到这一点，通常建议将默认组设置为包含其所需的ID同步设置的组，以便在出现令牌问题时计算机正确同步回退。

识别组织中的重复项

外部可用的GitHub脚本

查找重复的UUID：https://github.com/CiscoSecurity/amp-04-find-duplicate-guids

创建重复项的原因

有一些常见实例可能会导致在您的终端看到重复项：

1. 如果在VDI池期间执行了以下步骤： 

• 在非持久VM/VDI上的初始部署是在禁用身份持久性的情况下完成的（例如，使用金牌图像）。
• 该策略在云中更新以启用身份持久性，该功能在白天在终端上更新该策略。
• 计算机将刷新/重新映像（使用相同的黄金映像），然后将原始策略重新放置到终端上，而无需身份持久性。
• 本地策略没有身份持久性，因此注册服务器不会检查以前的记录。
• 此流程导致重复项。

2. 用户在一个组中部署策略中启用了身份持续性的原始黄金映像，然后从安全终端门户将终端移动到另一个组。然后，它会将原始记录放在“移动到”组中，但是当重新映像/重新部署虚拟机时，它会在原始组中创建新副本。

注意：这不是可能导致重复情况的详尽列表，而是一些最常见的情形。

身份持久性部署不正确的常见问题/症状

不正确的身份持久性实施可能会导致以下问题/症状：

• 连接器底座计数不正确
• 不正确的报告结果
• 设备轨迹数据不匹配
• 审核日志中的计算机名称交换
• 连接器从控制台随机注册和注销
• 连接器无法正确向云报告
• UUID复制
• 计算机名称重复
• 数据不一致
• 重组后，计算机注册到默认业务组/策略

• 在策略上启用了身份持久性的情况下手动部署。

- 如果通过命令行交换机手动部署终端，并且已在策略中启用了身份持久性，则稍后卸载该终端并尝试使用来自其他组/策略的软件包进行重新安装，则终端将自动切换回原始策略。

- SFC日志的输出，显示1至10秒内自己的策略切换

(167656, +0 ms) Dec 14 11:37:17 [1308]: Util::VerifyOsVersion: ret 0
(167656, +0 ms) Dec 14 11:37:17 [1308]: ERROR: ETWEnableConfiguration::IsETWEnabled: ETW not initialized due to incompatibile OS 
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishPolicyInfo: Name -UTMB-WinServer-Protect Serial 819 << ---------------------- Freshly Installed
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishLastPolicyUpdateTime: Publish Last Policy Update time 1670439264
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishAgentVersion: Agent Version 7.5.7.21234
(167656, +0 ms) Dec 14 11:37:17 [1308]: HeartBeat::PolicyNotifyCallback: EXIT
(167656, +0 ms) Dec 14 11:37:17 [1308]: AmpkitRegistrationHandler::PolicyCallback: EXIT (0)
.
.
.
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::UpdateConfiguration: Enter
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::UpdateConfiguration: Aborting - not registered
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::ConnectionStateChanged: Starting Proxy Discovery
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendPolicyReloaded sending policy reloaded to UI. ui.data.policy.policyName -UTMB-WinServer-Audit << --------- Auto Switch to Old Policy
(173125, +0 ms) Dec 14 11:37:22 [4704]: PipeSend: sending message to user interface: 28, id: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus : engine1 (0, 0), engine2 (0, 0)
(173125, +0 ms) Dec 14 11:37:22 [4704]: PipeSend: sending message to user interface: 1, id: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiStatusHandler::ConnectionStateChangedState: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiPublisher::PublishConnectionStatus: State 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpApiServer.cpp:AmpApiServer::PublishScanAvailable:223: Cloud connection status 0, Tetra Available 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Enter
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig proxy server is NULL
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Direct connection detected
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Exit(1)
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiAgentGuidUpdater::ConnectionStateChanged
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiAgentGuidUpdater::RefreshAgentGuidUi: Agent GUID: e1a756e2-65ab-4cd6-a886-ff826d74f05d
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiPublisher::PublishAgentGuid: Agent GUID did not change (e1a756e2-65ab-4cd6-a886-ff826d74f05d)
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitSubscriptionThread::NotificationWorker: Waiting on queue

如果您尝试安装属于不同组的连接器，则会产生另一个副作用。您将在门户中看到，连接器被分配到正确的组，但原始策略为“错误”。

这是因为身份持久性(ID SYNC)的工作方式。

一旦完全卸载连接器或使用re-register命令行开关卸载连接器，则不使用ID SYNC。在卸载的情况下，您应该看到新的创建日期和连接器GUID；在重新注册命令的情况下，您应该只看到新的连接器GUID。但是，使用ID SYNC时，ID SYNC可能无法使用旧的GUID和DATE覆盖。这就是我们“同步”主机的方式。

如果发现此问题，必须通过策略更改进行修复。您需要将受影响的终端移回原始组/策略，并确保策略同步。然后将终端移回所需的组/策略

部署最佳实践

配置snapvol文件

如果您将应用程序卷用于VDI基础架构，则建议对snapvol.cfg配置进行以下配置更改

这些排除项必须实施到snapvol.cfg文件中：

路径：

• C:\Program Files\Cisco\AMP
• C:\ProgramData\Cisco
• C:\Windows\System32\drivers
• C:\Windows\System32\drivers\ImmunetNetworkMonitor.sys
• C:\Windows\System32\drivers\immunetprotect.sys
• C:\Windows\System32\drivers\immunetselfprotect.sys
• C:\Windows\System32\drivers\ImmunetUtilDriver.sys
• C:\Windows\System32\drivers\trufos.sys

注册表项：

• HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Immunet保护
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CiscoAMP
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPCEFWDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPELAMDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPHeurDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoOrbital
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoSAM
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoSCMS
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ImmunetProtectDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ImmunetSelfProtectDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Trufos

在x64系统上，添加以下内容：

• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Immunet保护
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Immunet保护

参考资料: 

• https://docs.vmware.com/en/VMware-App-Volumes/index.html
• https://docs.vmware.com/en/VMware-App-Volumes/2103/app-volumes-admin-guide/GUID-0B588F2C-4054-4C5B-B491-F55BDA33A028.html

门户策略规划

以下是您在安全终端门户上实施身份持久性时必须遵循的一些最佳实践：

1. 强烈建议为身份持久性终端使用单独的策略/组，以便于隔离。

2. 如果计划使用终端隔离并实施危害时移动计算机到组操作。目标组还必须启用身份持久性，并且只能用于VDI计算机。

3. 建议不要对组织设置中的默认组/策略启用身份持久性，除非已在所有策略之间启用身份持久性，并将跨组织作为设置范围。  

配置

按照以下步骤部署具有身份持续性的安全终端连接器：

步骤1:将所需的身份持久性设置应用于策略：

• 在安全终端门户中，导航到管理>策略。
• 选择要启用身份持续性的所需策略，然后点击Edit。
• 导航到Advanced Settings选项卡，然后单击底部的Identity Persistence选项卡。
• 选择Identity Persistence下拉列表，然后选择对您的环境最有意义的选项。请参阅此映像。

测试- 123

有五个选项可供您选择。

• 请注意，功能未启用。在任何情况下，连接器UUID都不会与新的连接器安装同步。每次新安装都会生成新的计算机对象。
• 按整个企业的MAC地址：新安装或更新的安装将查找具有相同MAC地址的最新连接器记录，以便将以前的历史数据与新的注册同步。此设置查看所有业务记录

  在组织中身份同步设置为除“无”以外值的所有策略之间。如果连接器与新安装不同，则连接器可以更新其策略以反映先前的安装。  

• 跨策略按MAC地址：新的或更新的安装会查找具有相同MAC地址的最新连接器记录，以便同步以前的历史数据与新注册。此设置仅查看与部署中使用的策略相关的记录。如果之前未在此策略中安装连接器，但之前在另一策略中处于活动状态，则可以创建重复项。  
• 按跨业务的主机名：新的或刷新的安装会查找具有相同主机名的最新连接器记录，以便将以前的历史数据与新的注册同步。此设置将查看所有业务记录，无论其他策略中的身份持久性设置如何，并且连接器可以更新其策略，以反映先前的安装（如果它与新的不同）。主机名包括FQDN，因此如果连接器经常在网络之间移动（例如笔记本电脑），则可能会发生重复项。  
• By Hostname across Policy：新的或更新的安装会查找具有相同主机名的最新连接器记录，以便将以前的历史数据与新的注册同步。此设置仅查看与用于部署的策略相关的记录。如果之前未在此策略中安装连接器，但之前在另一策略中处于活动状态，则可以创建重复项。主机名包括FQDN，因此如果连接器经常在网络之间移动（如笔记本电脑），也会发生重复项。 

注意：如果选择使用身份持久性，思科建议您跨业务或策略按主机名使用。一台计算机有一个主机名，但可以有多个MAC地址，并且有多台VM会克隆MAC地址。

第二步：下载安全终端连接器。

• 导航到管理>下载连接器。
• 为在第1步中编辑的策略选择组。 
• 单击Windows连接器的“下载”，如图所示。

第三步：将连接器部署到终端。

• 您现在可以使用下载的连接器在终端上手动安装安全终端（现已启用身份持久性）。
• 否则，您也可以使用金色映像部署连接器（请参阅映像）

注意：您需要选择可再发行的安装程序。这是一个约57 MB（大小因新版本而异）的文件，其中包含32位和64位安装程序。要在多台计算机上安装连接器，可以将此文件放在网络共享上或相应地推送到所有计算机。安装程序包含一个用作安装配置文件的policy.xml文件。

黄金映像创建

在创建用于VDI克隆流程的金牌映像时，请遵循供应商文档（VMware、Citrix、AWS、Azure等）中的最佳实践指南。 

例如，VMware黄金映像流程：https://docs.vmware.com/en/VMware-Horizon/2106/virtual-desktops/GUID-D9C46AEF-1C41-4711-BF9E-84362EBE6ABF.html。

由于您已经确定了VMware，AWS合成流程会在虚拟机配置完成之前多次重新启动克隆（子VM），这会导致安全终端注册流程出现问题，因为此时克隆（子VM）没有分配最终/正确的主机名，导致克隆（子VM）使用黄金映像主机名并注册到安全终端云。这会中断克隆过程并导致问题。

这不是安全终端连接器进程的问题，而是与克隆进程和安全终端注册不兼容的问题。为了防止出现此问题，我们确定了要在克隆过程中实施的一些更改，这些更改有助于解决这些问题。

这些更改需要在黄金映像VM上实施，才能冻结映像以进行克隆

1. 在安装Secure Endpoint时，务必在金牌映像上使用Goldenimage标志。 

2. 实施金牌映像设置脚本和金牌映像启动脚本部分以查找仅当我们在Cloned（子VM）上实施最终主机名时帮助打开终端服务的脚本。有关详细信息，请参阅VMware Horizon复制问题部分。

金色图像覆盖标志

使用安装程序时，用于黄金映像的标志是/goldenimage 1。

金色图像标志防止连接器在基本图像上启动和注册；因此，在图像的下一个开始处，连接器处于由分配给它的策略所配置的功能状态。

有关其他标志的信息，您可以使用，请参阅本文。

使用安装程序时，用于黄金映像的新标志是/goldenimage [1|0]

0 -默认值-该值将不会触发golden image选项，并且其运行与在完全没有该选项的情况下运行安装程序的方式相同。安装时不要跳过初始连接器注册和启动。

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 0 [other options…]

1 -安装为黄金映像。这是与标志一起使用的典型选项，也是唯一的预期用法。跳过初始连接器注册和在安装时启动。

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 1 [other flags here…]

黄金映像创建步骤

最好在准备金色镜像时最后安装连接器。

1. 根据您的要求准备Windows映像；安装除连接器以外的所有所需软件和用于Windows映像的配置。
2. 安装Cisco Secure Endpoint连接器。

请使用/goldenimage 1标志以向安装程序指示这是黄金映像部署。

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 1

3. 按照此处所述实施脚本逻辑（如果需要）

4. 完成安装

5. 冻结您的黄金形象

在金色映像安装了应用程序后，系统预准备，安全终端安装有/goldenimageflag，主机已准备好冻结和分发。克隆主机启动后，安全终端将启动并注册到云。配置连接器无需进一步操作，除非您要对策略或主机进行更改。如果在金色映像完成注册后进行了更改，则必须重新启动此过程。 该标志防止连接器在基础图像上启动和注册。在映像的下一个开始处，连接器将处于根据分配给它的策略而配置为处于的工作状态。

注意：如果黄金映像在您可以冻结VM之前注册到安全终端云，则建议卸载并在黄金映像VM上重新安装安全终端，然后再次冻结VM，以防止注册和重复连接器问题。在此卸载过程中，不建议修改安全终端的任何注册表值。

更新金牌图像

当需要更新金色图像以保留未注册的连接器时，有两个选项。

推荐的流程

1. 卸载连接器。
2. 安装主机更新/升级。
3. 在金色图像过程之后，使用金色图像标志重新安装连接器。
4. 如果遵循该过程，主机不应启动连接器。
5. 冻结图像。
6. 在启动克隆之前，验证黄金映像未注册到门户以防止不需要的重复主机。

备选流程

1. 确保主机没有连接到Internet以防止连接器注册。
2. 停止连接器服务。
3. 安装更新.
4. 更新完成后，冻结映像
5. 需要防止连接器注册，以防止出现重复的主机。当您删除连接时，会阻止其连接到云进行注册。此外，被停止的连接器将保持该状态，直到下次重新启动时，克隆才能注册为唯一主机。
6. 在启动克隆之前，验证黄金映像未注册到门户以防止不需要的重复主机。

金色图像代码

此部分包括代码片段，这些代码片段有助于支持金色图像处理，并且有助于在实施身份持久性时防止连接器重复。 

黄金映像设置脚本

安装脚本说明

第一个脚本“设置”在克隆黄金映像之前在上面执行。只需一次手动执行。其主要目的是建立初始配置，使以下脚本能够在克隆虚拟机上正确运行。这些配置包括：

• 将思科安全终端服务启动更改为手动以避免自动启动。
• 创建在系统启动时以最高权限执行以下脚本（启动）的计划任务。
• 创建名为“AMP_GOLD_HOST”的系统环境变量，该变量存储黄金映像的主机名。启动脚本将使用它来验证是否必须恢复更改

设置脚本代码

rem Turn AMP to manual start
sc config CiscoAMP start=demand

rem Add host name to a system variable that we can check on startup
setx -m AMP_GOLD_HOST %COMPUTERNAME%

rem Add the startup script to the startup scripts
rem /rp password when there is a password
schtasks /create /tn "Startamp" /tr "C:\Users\XXXXXX\Desktop\VMWareHorizonAMPStartup.bat" /sc onstart /rl highest /np

安装脚本代码非常简单：

第2行：将恶意软件防护服务的启动类型更改为手动。

第5行：创建一个名为“AMP_GOLD_HOST”的新环境变量，并在其中保存当前计算机的主机名。

第9行：创建名为“Startamp”的计划任务，该任务在系统启动期间以最高权限运行指定的“启动”脚本，而无需密码。

黄金映像启动脚本

启动脚本说明

第二个脚本“启动”在克隆虚拟机的每个系统启动上运行。其主要目的是检查当前计算机的主机名是否为“Golden Image”：

• 如果当前计算机是黄金映像，则不执行任何操作，脚本将结束。由于我们维护计划任务，因此安全终端在系统启动时将继续运行。
• 如果当前计算机不是“黄金”映像，则会重置第一个脚本所做的更改：
  • 将思科安全终端服务启动配置更改为自动。
  • 正在启动思科安全终端服务。
  • 删除“AMP_GOLD_HOST”环境变量。
  • 删除执行启动脚本的计划任务并删除脚本本身。

启动脚本代码

echo "Current hostname: %COMPUTERNAME% vs %AMP_GOLD_HOST%"

if "%COMPUTERNAME%" == "%AMP_GOLD_HOST%" ( goto same ) else ( goto notsame )

:same
rem Do nothing as we are still the golden image name
goto exit

:notsame
rem Turn AMP to autostart 
sc config CiscoAMP start=auto

rem Turn on AMP
sc start CiscoAMP

rem Remove environment variable
REG delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /F /V AMP_GOLD_HOST
schtasks /delete /tn Startamp

goto exit
:exit

第2行：将当前主机名与存储的“AMP_GOLD_HOST”值进行比较；如果相同，脚本将跳至“相同”标签，否则跳至“不同”标签。

第4-6行：当到达“相同”标签时，脚本不执行任何操作，因为它仍然是金色图像，然后转到“退出”标签。

第8-16行：如果到达“notsame”标签，脚本将执行以下操作：

• 将恶意软件防护服务的启动类型更改为自动。
• 启动恶意软件防护服务。
• 删除“AMP_GOLD_HOST”环境变量。
• 删除名为“Startamp”的计划任务

注意：请注意，TAC不正式支持本文档中包含的脚本。

注意：这两个脚本允许在克隆虚拟机环境中启动Cisco AMP服务。通过正确配置金牌映像并使用启动脚本，可以确保Cisco安全终端使用正确的配置在所有克隆虚拟机上运行。

AWS Workspace流程

此解决方案包括：在克隆之前在黄金映像上执行的“设置”脚本，以及在系统启动期间在每个克隆虚拟机上运行的“启动”脚本。这些脚本的主要目标是确保正确配置服务，同时减少手动干预。这两个脚本允许在克隆虚拟机环境中启动思科安全终端服务。通过正确配置金牌映像并使用启动脚本，可以确保Cisco安全终端连接器以正确配置在所有克隆虚拟机上运行

有关在AWS Workspace上实施黄金映像所需的脚本代码，请参阅黄金映像设置脚本代码和黄金映像启动脚本代码部分。

执行设置脚本后，我们可以验证配置更改是否已成功部署。

由于我们在金色映像上执行此操作，所有新实例都将具有此配置，并将在启动时执行启动脚本。

VMware Horizon复制问题

使用VMware Horizon，我们可以确定创建子虚拟机时，作为Horizon合成过程的一部分，子虚拟机会多次重新启动。当子级VM未就绪（未分配最终/正确的NetBios名称）时，这会导致安全终端服务启用时出现问题。这会导致安全终端出现进一步问题，从而导致进程中断。为避免遇到此问题，我们针对Horizon Process的这种不兼容问题找到了解决方案，这涉及到在Golden Image VM上实施附加脚本并使用VMware Horizon的同步后脚本功能：https://docs.vmware.com/en/VMware-Horizon/2103/published-desktops-applications.pdf。

不再需要配置/更改

• 如果您要在首次部署后对金牌映像进行任何更改，则无需卸载并重新安装安全终端。
• 无需将安全终端服务设置为Delayed Start。

脚本方法

下面提供了脚本示例。 

• Golden Image设置脚本：在安装安全终端连接器后，必须按照之前所述使用之前记录的标志实现此脚本。此脚本将Secure Endpoint服务修改为Manual Start并将金色映像主机名另存为环境变量，以供下一步参考。

• Golden Image启动脚本：此脚本是一个逻辑检查，其中我们将克隆（子）虚拟机上的主机名与上一步中存储的主机名进行匹配，以确保我们确定克隆（子）虚拟机的主机名是否为Golden Image VM以外的任何主机名（它将成为计算机的最终主机名），然后启动安全终端服务，并将其更改为“自动”。您也可以从前面提到的脚本中删除环境变量。这通常通过使用部署解决方案（如VMware）提供的机制来实施。在VMware上，您可以使用同步后参数：https://docs.vmware.com/en/VMware-Horizon-7/7.13/virtual-desktops/GUID-E177899E-023D-4E61-B058-AFE3822158AA.html 。对于AWS来说，使用启动脚本的方式也类似：https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-windows-user-data.html。

VMware Horizon配置

1. 黄金映像VM已预装，且池初始部署所需的所有应用均已安装在VM上。
2. 使用此命令行语法安装安全终端以包括goldenimage标志。例如，<ampinstaller.exe> /R /S /goldenimage 1。请注意，黄金映像标志可确保安全终端服务在重新启动之前不会运行，重新启动对于此进程正常运行至关重要。请参阅https://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118587-technote-fireamp-00.html
3. 完成安全终端安装后，首先在黄金映像VM上执行VMWareHorizonAMPSetup.bat 脚本。基本上，此脚本会将安全终端服务更改为手动启动，并创建存储黄金映像主机名的环境变量供以后使用。
4. 您需要将VMWareHorizonAMPStartup.bat复制到Golden Image VM上的通用路径(如C:\ProgramData)，因为后面的步骤将会用到此路径。
5. Golden Image VM现在可以关闭，并且可以在VMware Horizon上启动合成过程。
6. 下面是从VMware Horizon角度看到的逐步信息：

选择“Automated Desktop Pool”

请参阅：https://docs.vmware.com/en/VMware-Horizon/2106/virtual-desktops/GUID-6C3AB7F3-0BCF-4423-8418-30CA19CFC8FC.html

选择“即时克隆”

请参阅：https://docs.vmware.com/en/VMware-Horizon-7/7.13/virtual-desktops/GUID-D7C0150E-18CE-4012-944D-4E9AF5B28347.html

选择“浮动”类型

请参阅：https://docs.vmware.com/en/VMware-Horizon-Cloud-Service-on-IBM-Cloud/21.1/horizoncloudhosted.deploy/GUID-34C260C7-A63E-452E-88E9-6AB63DEBB416.html

桌面池名称

VMware水平命名模式：https://docs.vmware.com/en/VMware-Horizon/2103/virtual-desktops/GUID-26AD6C7D-553A-46CB-B8B3-DA3F6958CD9C.html

Golden Image：这是实际的Golden Image VM。

快照：这是要用于部署子虚拟机的映像。此值在您使用任何更改更新金色图像时更新。其余部分是一些特定于VMware环境的设置。

7. 如前所述，向导中的步骤10用于设置脚本路径。

8. 完成并提交VMware Horizon后，将开始组合并创建子VM。

注意：有关这些步骤的信息，请参阅VMware指南，但这些步骤无法解释。

删除重复条目

有多种方法可用于删除连接器重复条目：

1. 利用安全终端门户上的自动删除功能删除重复（非活动）条目：

您可以在管理员 > 组织设置下找到此设置

“非活动计算机阈值”允许您指定在将连接器从“计算机管理”页面列表中删除之前，连接器无需签入思科云即可经过的天数。默认设置为90天。非活动计算机仅会从列表中删除，并且它们生成的任何事件将保留在您的Secure Endpoint组织中。如果连接器再次签入，计算机将重新显示在列表中。

2. 使用可用的协调工作流程：https://ciscosecurity.github.io/sxo-05-security-workflows/workflows/secure-endpoint/0056-remove-inactive-endpoints

3. 使用外部可用脚本删除过时/旧的UUID：https://github.com/CiscoSecurity/amp-04-delete-stale-guids