AnyConnect AMP 启用程序用作为终端部署高级恶意软件防护 (AMP) 的介质。它将面向终端的 AMP 软件从企业中本地托管的服务器推送到一个终端设备子集，并将 AMP 服务安装到现有用户群中。此方法为 AnyConnect 用户群管理员提供了额外的安全代理，可以检测网络中可能发生的潜在恶意软件威胁、删除这些威胁并保护企业免受危害。它能节省带宽和下载时间，不需要在门户端进行任何更改，而且无需向终端发送身份验证凭证即可完成操作。

您可以在不需要系统管理员权限的情况下安装 AMP 代理。为了恰当地分发面向终端的 AMP 软件，必须完成以下工作流程。

1. 登录面向终端的 AMP 门户。
2. 在面向终端的 AMP 门户上配置适当的策略。根据您设置的策略，将创建相应的面向终端的 AMP 软件包。该软件包是适用于 Windows 的 .exe 文件或适用于 macOS 的 .pkg 文件。对于 Windows，您可以选择可再分发的 .exe 文件。

   注	仅支持从端口 443 下载 AMP 连接器。

3. 将生成的套件（Windows 或 macOS）下载到本地服务器中。
4. 登录 ASA 或 ESS 前端创建并保存 AMP 启用程序配置文件。

   注	我们建议您仅为一个头端（ASA 或 ISE）配置该配置文件，尤其是在使用 ISE 终端安全评估时。

5. 在 ASA 或 ESS 前端上，从可选模块列表中选择 AMP 启用程序模块并指定 AMP 启用程序配置文件。

   您创建的配置文件将用于 AnyConnect AMP 启用程序。AMP 启用程序连同此配置文件一起从 ASA 或 ESS 前端被推送到终端。

管理员可以选择使用独立编辑器创建 AMP 启用程序配置文件，然后将此配置文件上传到 ASA。否则，会在 Policy Elements 下的 ISE UI 中或在 ASDM 中配置嵌入式 AMP 启用程序配置文件编辑器。为使本地 Web 服务器与 AMP 配置文件编辑器结合使用，必须使用 keytool 命令将根 CA 证书导入到 Java 证书库中：

对于 Windows - keytool -import -keystore [JAVA-HOME]/lib/security/cacerts -storepass changeit -trustcacerts -alias root -file [PATH_TO_THE_CERTIFICATE]/certnew.cer

对于 macOS—sudo keytool-import-keystore [JAVA-HOME]/lib/security/cacerts -storepass changeit -trustcacerts -alias root -file [PATH_TO_THE_CERTIFICATE]/certnew.cer

• 名称
• 说明
• “为终端安装 AMP”(Install AMP for Endpoints) - 选择是否要将此配置文件配置为安装适用于终端的 AMP。
• “为终端卸载 AMP”(Uninstall AMP for Endpoints) - 选择是否要将此配置文件配置为卸载适用于终端的 AMP。如果选择卸载，则在其他字段中不应有任何输入。
• Windows Installer - 输入 .exe 文件所在的本地托管服务器地址或 URL。
• “Mac 安装程序”(Mac Installer) - 输入 .pkg 文件所在的本地托管服务器地址或 URL。
• “检查”(Check) - 单击运行对 URL 的检查以确保其有效。有效 URL 是可访问并包含受信任证书的 URL。如果服务器可访问，并且在此 URL 建立了连接，则可以保存配置文件。
• “添加到启动菜单”(Add to Start Menu) - 创建“开始”(Start) 菜单快捷方式。
• “添加到桌面”(Add to Desktop) - 创建桌面图标。
• “添加到情景菜单”(Add to Context Menu) - 如果选择此选项，则可以从任何文件或文件夹右键单击，然后选择 “开始扫描”(Scan Now) 激活扫描。

任何与实际下载和安装 AMP 相关的消息都显示为 AnyConnect 用户界面的 AMP Enabler 磁贴中的部分磁贴。安装后，所有与 AMP 相关的消息都位于 AMP 中，可在终端用户界面中显示。例如，当防恶意软件保护安装或卸载时，如果收到任何出现故障或需要重新启动的指示，用户就会看到消息。