簡介

本文檔介紹如何使用Cisco Secure Endpoint Identity Persistence功能。 

什麼是身份永續性？

身份永續功能允許您在虛擬環境中或電腦重新映像時維護一致的事件日誌。您可以將聯結器繫結至MAC位址或主機名稱，如此一來，就不會在每次啟動新的虛擬工作階段或重新建立電腦影像時，建立新的聯結器記錄。此功能專為非永久性VM和實驗室環境而設計。建議的方法是跨業務的主機名，並在要同步標識的策略上啟用該功能。

需求

思科建議您瞭解以下主題：

• 訪問思科安全終端門戶
• 您需要聯絡思科TAC，使其在您的組織中啟用身份永續性功能。 
• 只有Windows作業系統(OS)支援辨識儲存

何時需要身份永續性？

身份永續性是安全端點上的功能，它有助於在初始聯結器註冊時辨識安全端點，並根據特定聯結器的MAC地址或主機名等身份引數，將它們與先前已知條目進行匹配。這項功能的實作不僅有助於維持正確的許可證計數，而且最重要的是，可正確追蹤非永久系統上的歷史資料。  

虛擬終端部署

在虛擬部署中，標識永續性最常見的是非持久虛擬案頭基礎設施(VDI)部署。VDI主機案頭環境根據終端使用者的請求或需求進行部署。這包括不同的供應商，如VMware、Citrix、AWS AMI Golden Image Deployment等。

持續VDI（也稱為「有狀態VDI」）是一種設定，其中每個使用者的案頭都是唯一可定製的，並且從一個會話「持續」到另一個會話。這種型別的虛擬部署不需要身份永續性的功能，因為這些電腦不會定期重新映像。 

與所有可能與安全終端效能互動的軟體一樣，虛擬案頭應用需要評估可能的排除情況，以便最大限度地提高功能並最大限度地減少影響。   

參考：https://docs.vmware.com/en/VMware-Horizon/2103/horizon-architecture-planning/GUID-AED54AE0-76A5-479B-8CD6-3331A85526D2.html

物理終端部署

有兩種情況適用於在安全終端物理電腦上部署身份永續性：

• 在部署或重新映像具有已預安裝安全終端聯結器的黃金映像的物理終端時，必須啟用Goldenimage標誌。標識永續性可用於避免重新映像電腦例項中的重複，但並非必需的。 

• 當您使用金色映像部署或重新映像物理終端，並在以後安裝安全終端聯結器時，可以使用身份永續性，以避免在重新映像電腦的情況下發生重複，但這不是必需的。 

辨識持續性處理作業簡介

1. 聯結器會以policy.xml檔案中的權杖下載，這會將其與雲端上的問題原則連結起來。
2. 聯結器已安裝，並將令牌儲存在local.xml中，聯結器向具有問題令牌的門戶發出POST請求。
3. 雲端會按照以下操作順序進行：
   a.電腦檢查ID同步策略配置的策略。否則，註冊將照常進行。
   b.根據策略設定，「註冊」會檢查現有資料庫的主機名或MAC地址。
        Across Business：根據設定，在主機名或MAC上檢查所有策略是否匹配。會記錄相符的物件GUID，並傳回終端使用者端電腦。然後，客戶端電腦採用UUID，並採用先前匹配的主機的任何組/策略設定。這將覆蓋已安裝的策略/組設定。
        跨策略：令牌與雲端上的策略匹配，並僅在該策略內查詢具有相同主機名或MAC地址的現有對象。如果存在，則採用UUID。如果沒有現有的物件連結到該原則，則會建立新物件。注意：與其他群組/原則連結的相同主機名稱可能會有重複專案。
   c.如果由於缺少令牌（之前已註冊、部署實踐不佳等）而無法與組/策略匹配，則聯結器將歸入「業務」頁籤下設定的預設聯結器組/策略。根據群組/原則的設定，它會嘗試複查所有符合的原則（跨業務）、僅複查有問題的原則（跨原則）或完全不複查原則（無）。 考慮到這一點，通常建議將預設組設定為包含其所需的ID同步設定的組，以便電腦在發生令牌問題時能夠正確同步返回。

辨識組織中的重複專案

外部可用的GitHub指令碼

查詢重複的UUID：https://github.com/CiscoSecurity/amp-04-find-duplicate-guids

建立重複專案的原因

有一些常見例項可能導致在末尾出現重複項：

1. 如果VDI集區期間已遵循這些步驟： 

• 在非永續性VM/VDI上的初始部署是在停用身份永續性的情況下完成的（例如，使用金色映像）。
• 該策略在雲中更新以啟用身份永續性，該策略在白天會在終端上更新它。
• 重新整理/重新建立機器映像（使用相同的金色影像），然後將原始原則放回端點，而不使用辨識持續性。
• 本地策略沒有標識永續性，因此註冊伺服器不會檢查以前的記錄。
• 此流程會產生「重複」。

2. 使用者在一個組中部署策略中啟用了身份永續性的原始黃金映像，然後從安全終端門戶將終端移動到另一個組。然後，它會將原始記錄放在「移動到」組中，但是當虛擬機器被重新映像/重新部署時，它會在原始組中建立新副本。

注意：這不是可能造成重複狀況的詳盡案例清單，而是某些最常見的案例。

辨識持續性部署不正確的常見問題/症狀

不正確的辨識持續性實作可能會導致以下問題/症狀：

• 聯結器座位計數不正確
• 不正確的報告結果
• 裝置軌跡資料不匹配
• 稽核記錄中的機器名稱交換
• 聯結器從控制檯隨機註冊和取消註冊
• 聯結器無法正確向雲報告
• UUID複製
• 電腦名稱重複
• 資料不一致
• 重新構成後電腦註冊到預設業務組/策略

• 在策略上啟用了身份永續性的情況下手動部署。

- 如果透過命令列交換機手動部署終端，並且已在策略中啟用了身份永續性，則稍後解除安裝該終端並嘗試使用來自不同組/策略的軟體套件重新安裝，則終端將自動切換回原始策略。

- SFC日誌的輸出，顯示1到10秒內自己的策略交換機

(167656, +0 ms) Dec 14 11:37:17 [1308]: Util::VerifyOsVersion: ret 0
(167656, +0 ms) Dec 14 11:37:17 [1308]: ERROR: ETWEnableConfiguration::IsETWEnabled: ETW not initialized due to incompatibile OS 
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishPolicyInfo: Name -UTMB-WinServer-Protect Serial 819 << ---------------------- Freshly Installed
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishLastPolicyUpdateTime: Publish Last Policy Update time 1670439264
(167656, +0 ms) Dec 14 11:37:17 [1308]: UiPublisher::PublishAgentVersion: Agent Version 7.5.7.21234
(167656, +0 ms) Dec 14 11:37:17 [1308]: HeartBeat::PolicyNotifyCallback: EXIT
(167656, +0 ms) Dec 14 11:37:17 [1308]: AmpkitRegistrationHandler::PolicyCallback: EXIT (0)
.
.
.
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::UpdateConfiguration: Enter
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::UpdateConfiguration: Aborting - not registered
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitRegistrationHandler::ConnectionStateChanged: Starting Proxy Discovery
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendPolicyReloaded sending policy reloaded to UI. ui.data.policy.policyName -UTMB-WinServer-Audit << --------- Auto Switch to Old Policy
(173125, +0 ms) Dec 14 11:37:22 [4704]: PipeSend: sending message to user interface: 28, id: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus: notifying UI: No Product
(173125, +0 ms) Dec 14 11:37:22 [4704]: UIPipe::SendStatus : engine1 (0, 0), engine2 (0, 0)
(173125, +0 ms) Dec 14 11:37:22 [4704]: PipeSend: sending message to user interface: 1, id: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiStatusHandler::ConnectionStateChangedState: 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiPublisher::PublishConnectionStatus: State 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpApiServer.cpp:AmpApiServer::PublishScanAvailable:223: Cloud connection status 0, Tetra Available 0
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Enter
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig proxy server is NULL
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Direct connection detected
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitProxyHelper::LoadProxyFromConfig: Exit(1)
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiAgentGuidUpdater::ConnectionStateChanged
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiAgentGuidUpdater::RefreshAgentGuidUi: Agent GUID: e1a756e2-65ab-4cd6-a886-ff826d74f05d
(173125, +0 ms) Dec 14 11:37:22 [4704]: UiPublisher::PublishAgentGuid: Agent GUID did not change (e1a756e2-65ab-4cd6-a886-ff826d74f05d)
(173125, +0 ms) Dec 14 11:37:22 [4704]: AmpkitSubscriptionThread::NotificationWorker: Waiting on queue

如果您嘗試安裝屬於不同群組的聯結器，會產生另一個副作用。您將在門戶中看到，聯結器被分配到正確的組，但原始策略為「錯誤」。

這是因為身份永續性(ID SYNC)的工作方式。

聯結器完全解除安裝後或使用re-register指令行切換來解除安裝Without ID SYNC。如果解除安裝，您應該會看到新的建立日期和聯結器GUID；如果重新註冊命令，您應該只看到新的聯結器GUID。但是，對於ID SYNC，ID SYNC無法用舊的GUID和DATE覆蓋。這就是我們「同步」主機的方式。

如果發現此問題，則必須透過策略更改進行修復。您需要將受影響的終端移回原始組/策略，並確保策略同步運行。然後將終端移回所需的組/策略

部署最佳實務

配置snapvol檔案

如果您將App Volumes用於VDI基礎架構，建議對snapvol.cfg配置進行以下配置更改

這些排除必須實作至snapvol.cfg檔案：

路徑：

• C:\Program Files\Cisco\AMP
• C:\ProgramData\Cisco
• C:\Windows\System32\drivers
• C:\Windows\System32\drivers\ImmunetNetworkMonitor.sys
• C:\Windows\System32\drivers\immunetprotect.sys
• C:\Windows\System32\drivers\immunetselfprotect.sys
• C:\Windows\System32\drivers\ImmunetUtilDriver.sys
• C:\Windows\System32\drivers\trufos.sys

登入機碼：

• HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Immunet保護
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CiscoAMP
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPCEFWDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPELAMDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoAMPHeurDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoOrbital
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoSAM
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiscoSCMS
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ImmunetProtectDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ImmunetSelfProtectDriver
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Trufos

在x64系統上，新增以下專案：

• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Immunet保護
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Immunet保護

參考資料: 

• https://docs.vmware.com/en/VMware-App-Volumes/index.html
• https://docs.vmware.com/en/VMware-App-Volumes/2103/app-volumes-admin-guide/GUID-0B588F2C-4054-4C5B-B491-F55BDA33A028.html

門戶策略規劃

以下是您在安全終端門戶上實施身份永續性時必須遵循的一些最佳實踐：

1. 強烈建議為身份永續性終端使用單獨的策略/組，以簡化隔離。

2. 如果計畫使用終端隔離並實施危害時移動電腦到組操作。目標組還必須啟用標識永續性，並且只能用於VDI電腦。

3. 不建議在組織設定的「預設組/策略」上啟用身份永續性，除非已啟用「跨所有策略的身份永續性」，並將「跨組織」作為設定範圍。  

組態

請按照以下步驟部署具有身份永續性的安全終端聯結器：

步驟 1.將所需的身份永續性設定應用於策略：

• 在安全終端門戶中，導航到管理>策略。
• 選擇要啟用身份持續性的所需策略，然後按一下Edit。
• 導航到高級設定頁籤，然後按一下底部的身份永續性頁籤。
• 選取「辨識儲存」下拉式清單，然後選擇最適合您環境的選項。請參閱此圖。

測試- 123

有五個選項可供選擇。

• 請注意，「功能」未啟用。在任何情況下，聯結器UUID都不會與新聯結器安裝同步。每次新的安裝都會產生新的機器物件。
• 按跨業務的MAC地址：新的或更新的安裝會查詢具有相同MAC地址的最新Connector記錄，以便將以前的歷史資料與新註冊同步。此設定檢視所有業務記錄

  在組織中，將「身份同步」設定為非「無」值的所有策略之間。聯結器可以更新其策略，以反映上一次安裝（如果與新安裝不同）。  

• 按策略間的MAC地址：新安裝或刷新安裝查詢具有相同MAC地址的最新「聯結器」記錄，以便同步以前的歷史資料與新註冊。此設定僅檢視與部署中使用的策略相關聯的記錄。如果聯結器以前未安裝在此策略中，但以前在另一個策略中處於活動狀態，則可以建立重複項。  
• 按整個業務的主機名：新安裝或刷新安裝查詢具有相同主機名的最新Connector記錄，以便與新的註冊同步以前的歷史資料。此設定將檢視所有業務記錄，無論其他策略中的標識永續性設定如何，並且如果以前的安裝與新安裝不同，聯結器可以更新其策略以反映以前的安裝。主機名包括FQDN，因此如果聯結器經常在網路之間移動（例如筆記型電腦），則可能會發生重複情況。  
• 按整個策略的主機名：新安裝或刷新安裝查詢具有相同主機名的最新「聯結器」記錄，以便與新的註冊同步以前的歷史資料。此設定僅檢視與用於部署的策略相關聯的記錄。如果聯結器以前未安裝在此策略中，但以前在另一個策略中處於活動狀態，則可以建立重複項。主機名包括FQDN，因此如果聯結器經常在網路之間移動（例如筆記型電腦），也會發生重複情況。 

注意：如果選擇使用身份永續性，思科建議您在整個業務或策略中使用按主機名。一台電腦具有一個主機名，但可以有多個MAC地址，並且許多VM會克隆MAC地址。

步驟 2.下載安全端點聯結器。

• 導航到管理>下載聯結器。
• 選擇您在步驟1中編輯的策略組。 
• 按一下Windows聯結器的「Download」，如下圖所示。

步驟 3.將聯結器部署到端點。

• 您現在可以使用下載的聯結器在端點上手動安裝安全端點（此時已啟用身份永續性）。
• 否則，您也可以使用金色影像來部署聯結器（請參閱影像）

注意：您需要選擇可再發行安裝程式。這是一個―57 MB （大小因新版本而異）的檔案，其中包含32位元和64位元的安裝程式。若要在多部電腦上安裝聯結器，您可以將此檔案放在網路共用上，或依情況推送到所有電腦。安裝程式包含一個policy.xml檔案，該檔案會做為安裝的組態檔使用。

金色影像建立

建立用於VDI克隆過程的金牌映像時，請遵循供應商文檔（VMware、Citrix、AWS、Azure等）中的最佳實踐指南。 

例如，VMware Golden Image Process： https://docs.vmware.com/en/VMware-Horizon/2106/virtual-desktops/GUID-D9C46AEF-1C41-4711-BF9E-84362EBE6ABF.html。

由於您已確定了VMware，AWS合成流程在最終確定VM配置之前多次重新啟動克隆（子VM），這會導致安全終端註冊流程出現問題，因為此時克隆（子VM）沒有分配最終/正確的主機名，導致克隆（子VM）使用Golden Image主機名並註冊到安全終端雲。這會中斷克隆過程並導致問題。

這不是安全終端聯結器進程的問題，而是與克隆進程和安全終端註冊不相容的問題。為了防止出現此問題，我們確定了要在克隆過程中實施的一些更改，這些更改有助於解決這些問題。

在凍結要克隆的映像之前，需要在Golden Image VM上實施這些更改

1. 在安裝安全終端時，請始終在Golden Image上使用Goldenimage標誌。 

2. 實施金牌映像設定指令碼和金牌映像啟動指令碼部分以查詢僅在對克隆（子VM）實施最終主機名時幫助打開終端服務的指令碼。有關詳細資訊，請參閱VMware Horizon複製問題部分。

金色影像覆寫旗標

使用安裝程式時，用於黃金映像的標誌是/goldenimage 1。

金色影像旗標可防止聯結器在基礎影像上啟動和註冊；因此，在影像的下一個開始處，聯結器處於由指派給它的策略所配置的功能狀態。

有關其他標誌的資訊，您可以使用，請參閱本文。

當您使用安裝程式時，用於黃金影像的新旗標為/goldenimage [1|0]

0 -預設值-此值不會觸發golden image選項，並且其運行方式與不使用該選項的情況下運行安裝程式一樣。安裝時不要跳過初始聯結器註冊和啟動。

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 0 [other options…]

1 -安裝為黃金映像。這是與旗標搭配使用的典型選項，也是唯一預期的用法。安裝時跳過初始聯結器註冊和啟動。

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 1 [other flags here…]

金色影像建立步驟

最佳做法是最後安裝聯結器以準備金色映象。

1. 根據您的需求準備Windows映像；安裝您所需的所有軟體以及Windows映像的配置（聯結器除外）。
2. 安裝Cisco Secure Endpoint聯結器。

請使用/goldenimage 1標誌以向安裝程式指示這是黃金映像部署。

C:\> CiscoInstaller_goldenimage.exe /R /S /goldenimage 1

3. 依照此處所述實作Script邏輯（若有需要）

4. 完成安裝

5. 凍結你的黃金形象

在安裝了Golden Image應用程式後，系統已預備，安全終端已安裝/goldenimageflag，主機已準備好凍結和分發。克隆的主機啟動後，安全終端將啟動並註冊到雲。配置聯結器時無需進一步操作，除非對策略或主機進行了更改。如果在金色影像完成註冊後進行變更，則必須重新啟動此程式。 該標誌可防止聯結器在基礎映像上啟動和註冊。在映像的下一個開始處，聯結器將處於為其分配的策略所配置的功能狀態。

注意：如果在能夠凍結VM之前Golden Image註冊到Secure EndpointCloud，則建議在Golden Image VM上解除安裝並重新安裝Secure Endpoint，然後再次凍結VM，以防止註冊和重複聯結器問題。建議不要在此解除安裝過程中修改Secure Endpoint的任何登錄檔值。

更新黃金影象

當需要更新金色影像以保留未註冊的聯結器時，有兩個選項。

建議的程式

1. 解除安裝聯結器。
2. 安裝主機更新/升級。
3. 使用金色影像旗標進行金色影像處理後，重新安裝聯結器。
4. 如果遵循流程，主機不應該啟動聯結器。
5. 凍結影像。
6. 在啟動克隆之前，驗證黃金映像未註冊到門戶以防止不需要的重複主機。

替代流程

1. 確定主機沒有連線至網際網路，以防止聯結器註冊。
2. 停止聯結器服務。
3. 安裝更新。
4. 更新完成後，凍結映像
5. 需要防止聯結器註冊，以防止出現重複的主機。當您刪除連線時，這會阻止它連線到雲進行註冊。此外，被停止的聯結器將保持該狀態，直到下次重新啟動為止，這將允許克隆註冊為唯一主機。
6. 在啟動克隆之前，驗證黃金映像未註冊到門戶以防止不需要的重複主機。

金色影像代碼

本節包含的代碼片段有助於支援Golden Image Process，並有助於在實施「身份永續性」時防止聯結器重複。 

金色影像設定指令碼

安裝程式碼說明

第一個指令碼「Setup」在克隆黃金映像之前執行。只能手動執行一次。它的主要目的是建立初始配置，使以下指令碼能夠在克隆的虛擬機器上正確運行。這些配置包括：

• 將Cisco Secure Endpoint服務啟動更改為手動以避免自動啟動。
• 建立排程工作，此工作會在系統啟動時以最高許可權執行下列命令檔（啟動）。
• 建立名為「AMP_GOLD_HOST」的系統環境變數，以儲存Golden Image的主機名稱。啟動指令碼將使用該命令來驗證我們是否必須恢復更改

安裝指令碼代碼

rem Turn AMP to manual start
sc config CiscoAMP start=demand

rem Add host name to a system variable that we can check on startup
setx -m AMP_GOLD_HOST %COMPUTERNAME%

rem Add the startup script to the startup scripts
rem /rp password when there is a password
schtasks /create /tn "Startamp" /tr "C:\Users\XXXXXX\Desktop\VMWareHorizonAMPStartup.bat" /sc onstart /rl highest /np

安裝指令碼代碼非常簡單：

第2行：將惡意軟體防護服務的啟動型別更改為手動。

第5行：建立一個名為「AMP_GOLD_HOST」的新環境變數，並在其中儲存當前電腦的主機名。

第9行：建立一個名為「Startamp」的計畫任務，該任務在系統啟動期間以最高許可權運行指定的「啟動」指令碼，而無需密碼。

金色影像啟動指令碼

啟動指令碼說明

第二個指令碼「啟動」在克隆虛擬機器的每個系統啟動上運行。其主要目的是檢查當前電腦的主機名是否為「Golden Image」：

• 如果目前的機器是金色影像，則不會執行任何動作，指令碼就會結束。由於我們維護計畫任務，安全終端在系統啟動時將繼續運行。
• 如果當前電腦不是「金色」映像，則會重置第一個指令碼所做的更改：
  • 將Cisco Secure Endpoint Service啟動配置更改為自動。
  • 正在啟動Cisco Secure Endpoint服務。
  • 移除「AMP_GOLD_HOST」環境變數。
  • 刪除執行啟動指令碼的已排程工作，並刪除指令碼本身。

啟動指令碼代碼

echo "Current hostname: %COMPUTERNAME% vs %AMP_GOLD_HOST%"

if "%COMPUTERNAME%" == "%AMP_GOLD_HOST%" ( goto same ) else ( goto notsame )

:same
rem Do nothing as we are still the golden image name
goto exit

:notsame
rem Turn AMP to autostart 
sc config CiscoAMP start=auto

rem Turn on AMP
sc start CiscoAMP

rem Remove environment variable
REG delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /F /V AMP_GOLD_HOST
schtasks /delete /tn Startamp

goto exit
:exit

第2行：將當前主機名與儲存的「AMP_GOLD_HOST」值進行比較；如果它們相同，則指令碼跳到「相同」標籤，否則跳到「不相同」標籤。

第4-6行：當到達「相同」標籤時，指令碼不執行任何操作，因為它仍然是「黃金影象」，並繼續進入「退出」標籤。

第8-16行：如果到達「notsame」標籤，指令碼將執行以下操作：

• 將惡意軟體防護服務的啟動型別更改為自動。
• 啟動惡意軟體防護服務。
• 移除「AMP_GOLD_HOST」環境變數。
• 刪除名為「Startamp」的計畫任務

注意：請注意，TAC不正式支援本文檔中包含的指令碼。

注意：這兩個指令碼允許在克隆的虛擬機器環境中啟動Cisco AMP服務。透過正確配置金牌映像並使用啟動指令碼，可以確保Cisco Secure Endpoint在所有克隆的虛擬機器上以正確的配置運行。

AWS Workspace流程

此解決方案包括克隆之前在金牌映像上執行的「設定」指令碼和在系統啟動期間在每台克隆的虛擬機器上運行的「啟動」指令碼。這些指令碼的主要目標是確保正確配置服務，同時減少手動干預。這兩個指令碼允許在克隆的虛擬機器環境中啟動Cisco Secure Endpoint服務。透過正確配置金牌映像並使用啟動指令碼，可以確保Cisco Secure Endpoint Connector在所有克隆的虛擬機器上以正確的配置運行

有關在AWS Workspace中實施Golden Image所需的指令碼代碼，請參閱Golden Image Setup指令碼代碼和Golden Image Startup指令碼代碼部分。

執行安裝指令碼後，我們可以驗證配置更改是否已成功部署。

由於我們已在金色影像上執行此動作，因此所有新執行處理都會具有此組態，並在啟動時執行啟動指令碼。

VMware Horizon複製問題

使用VMware Horizon ，我們可以確定，在Horizon構成流程中，在建立子虛擬機器時將其多次重新啟動。當子VM未就緒（它們沒有分配最終/正確的NetBios名稱）時，這會導致安全終端服務啟用時出現問題。這會導致安全終端出現更多問題，從而中斷進程。為避免遇到此問題，我們針對Horizon Process的這種不相容問題提出了一個解決方案，其中包括在Golden Image VM上實施附加的指令碼，並使用VMware Horizon的同步後指令碼功能：https://docs.vmware.com/en/VMware-Horizon/2103/published-desktops-applications.pdf。

不再需要配置/更改

• 如果您要在首次部署後對Golden Image進行任何更改，則不再需要解除安裝並重新安裝Secure Endpoint。
• 無需將Secure Endpoint Service設定為Delayed Start。

指令碼方法

下面是指令碼的示例。 

• Golden Image設定指令碼：在安裝安全終端聯結器後，必須按照先前所述使用先前所述的標誌實現此指令碼。此指令碼將Secure Endpoint Service修改為手動啟動，並將Golden Image Hostname儲存為環境變數，以供下一步參考。

• Golden Image啟動指令碼：此指令碼是一個邏輯檢查，其中我們將克隆（子）虛擬機器上的主機名與上一步中儲存的主機名進行匹配，以確保我們確定何時克隆（子）虛擬機器獲得除Golden Image VM以外的任何主機名（這將是該電腦的最終主機名），然後啟動安全終端服務並將其更改為「自動」。您也可以從先前提及的指令集中移除「環境變數」。這通常透過使用部署解決方案（如VMware）中提供的機制來實現。在VMware上，您可以使用同步後引數：https://docs.vmware.com/en/VMware-Horizon-7/7.13/virtual-desktops/GUID-E177899E-023D-4E61-B058-AFE3822158AA.html 對於AWS，您可以使用類似的方式使用啟動指令碼：https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-windows-user-data.html。

VMware Horizon配置

1. Golden Image VM已預先準備，且池初始部署所需的所有應用程式均已安裝在VM上。
2. 安裝安全端點時使用此命令列語法以包含goldenimage標誌。例如，<ampinstaller.exe> /R /S /goldenimage 1。請注意，金色映像標誌可確保安全終端服務在重新啟動之前不會運行，而重新啟動對於此過程正常運行至關重要。請參閱https://www.cisco.com/c/en/us/support/docs/security/sourcefire-fireamp-endpoints/118587-technote-fireamp-00.html
3. 完成安全終端安裝後，首先在Golden Image VM上執行VMWareHorizonAMPSetup.bat指令碼。基本上，此指令碼會將Secure Endpoint Service更改為Manual Start，並建立儲存金牌映像主機名的環境變數供以後使用。
4. 您需要將VMWareHorizonAMPStartup.bat複製到Golden Image VM上的通用路徑(如C:\ProgramData)，因為後面的步驟將會用到此路徑。
5. Golden Image VM現在可以關閉，並且可以在VMware Horizon上啟動合成過程。
6. 下面是從VMware Horizon角度來看它看起來的分步資訊：

選擇「Automated Desktop Pool」

請參閱：https://docs.vmware.com/en/VMware-Horizon/2106/virtual-desktops/GUID-6C3AB7F3-0BCF-4423-8418-30CA19CFC8FC.html

選擇「即時複製」

請參閱：https://docs.vmware.com/en/VMware-Horizon-7/7.13/virtual-desktops/GUID-D7C0150E-18CE-4012-944D-4E9AF5B28347.html

選取「浮動」型別

請參閱：https://docs.vmware.com/en/VMware-Horizon-Cloud-Service-on-IBM-Cloud/21.1/horizoncloudhosted.deploy/GUID-34C260C7-A63E-452E-88E9-6AB63DEBB416.html

案頭集區名稱

VMware Horizon命名模式：https://docs.vmware.com/en/VMware-Horizon/2103/virtual-desktops/GUID-26AD6C7D-553A-46CB-B8B3-DA3F6958CD9C.html

Golden Image：這是實際的Golden Image VM。

快照：這是要用於部署子VM的映像。此值會在您使用任何變更更新「金色影像」時更新。其餘部分是一些特定於VMware環境的設定。

7. 如前所述，在精靈中的步驟10是您設定命令檔路徑的位置。

8. 完成並提交後， VMware Horizon將開始構成，並建立子虛擬機器。

注意：有關這些步驟的資訊，請參閱VMware指南，但這些步驟無需解釋。

移除重複專案

有一些可用的方法可以移除「聯結器重複專案」：

1. 利用安全終端門戶上的自動刪除功能刪除重複（非活動）條目：

此設定將在管理 > 組織設定下找到

非活動電腦閾值允許您指定聯結器在從電腦管理頁面清單中刪除之前可以離開多少天才能簽入思科雲。預設設定為90天。非使用中的電腦只會從清單中移除，而它們產生的任何事件都會保留在您的「安全端點」組織中。如果聯結器再次簽入，電腦將重新出現在清單中。

2. 使用可用的協調工作流程：https://ciscosecurity.github.io/sxo-05-security-workflows/workflows/secure-endpoint/0056-remove-inactive-endpoints

3. 使用外部可用指令碼刪除過時/舊的UUID：https://github.com/CiscoSecurity/amp-04-delete-stale-guids