本文檔介紹在思科身份服務引擎(ISE)終端安全評估功能與Microsoft Windows Server Update Services (WSUS)整合時如何對其進行配置。
思科建議您瞭解以下主題:
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
本節介紹如何配置ISE和相關網路元素。
以下是本文檔中示例使用的拓撲:
如網路圖所示,流量如下:
WSUS服務透過標準TCP埠8530進行部署。請務必記住,要進行補救,還會使用其他埠。因此,可以安全將WSUS的IP地址增加到ASA上的重定向訪問控制清單(ACL)(本文檔後面部分進行了介紹)。
網域的群組原則已設定為Microsoft Windows更新,並指向本機WSUS伺服器:
以下是推薦的更新,這些更新針對基於不同嚴重性級別的粒度策略啟用:
以客戶端為目標,可以實現更大的靈活性。ISE可以使用基於不同Microsoft Active Directory (AD)電腦容器的安全評估策略。WSUS可以批准基於此成員資格的更新。
採用遠端使用者的簡單安全通訊端層(SSL) VPN存取(詳細資訊不在本檔案範圍內)。
以下是組態範例:
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 172.16.32.100 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.31.100 255.255.255.0
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy POLICY internal
group-policy POLICY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0
在ASA上配置訪問清單非常重要,該清單用於確定應重定向到ISE的流量(針對尚未合規的使用者):
access-list Posture-redirect extended deny udp any any eq domain
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www
對於不合規使用者,只允許域名系統(DNS)、ISE、WSUS和網際網路控制消息協定(ICMP)流量。所有其他流量(HTTP)重定向到ISE進行AnyConnect 4調配,負責狀態檢查和補救。
完成以下步驟以配置WSUS的狀態補救:
然後,Microsoft Windows Update Agent連線到WSUS,並檢查該PC是否存在任何關鍵更新等待安裝:
導航到策略>條件>狀態>要求以建立新規則。規則使用名為pr_WSUSRule的虛設條件,這意味著在需要進行補救時,將聯絡WSUS以檢查該條件(關鍵更新)。
一旦滿足此條件,WSUS就會安裝為該電腦配置的更新。這些更新可能包括任何型別的更新,也可能包括嚴重性級別較低的更新:
配置終端安全評估模組配置檔案以及AnyConnect 4配置檔案(如AnyConnect 4.0與ISE版本1.3整合配置示例中所述):
一旦AnyConnect配置檔案準備就緒,即可從客戶端調配策略中引用它:
整個應用和配置一起安裝在終端上,該終端將重定向到Client Provisioning門戶頁面。可以升級AnyConnect 4,並安裝額外的模組(狀態)。
建立用於重定向到客戶端調配配置檔案的授權配置檔案:
下圖顯示了授權規則:
首次使用ASA-VPN_quarantine規則。因此,返回Posture授權配置檔案,終端被重定向到客戶端調配門戶進行AnyConnect 4(使用狀態模組)調配。
一旦相容,將使用ASA-VPN_compliant規則並允許完全網路訪問。
本節提供的資訊可用於驗證您的組態是否正常運作。
PC登入域後,應推送具有WSUS配置的域策略。這可以在VPN會話建立(帶外)之前或之後(如果使用Start Before Logon功能,也可以用於802.1x有線/無線訪問)發生。
一旦Microsoft Windows客戶端配置正確,可從Windows Update設定中反映這一點:
如果需要,可以使用組策略對象(GPO)刷新和Microsoft Windows Update代理伺服器發現:
C:\Users\Administrator>gpupdate /force
Updating Policy...
User Policy update has completed successfully.
Computer Policy update has completed successfully.
C:\Users\Administrator>wuauclt.exe /detectnow
C:\Users\Administrator>
審批流程可以從客戶端站點目標獲益:
如果需要,請使用wuaucrt重新傳送報告。
此影像顯示如何檢查WSUS上的PC狀態:
應安裝一個更新,以便下次使用WSUS進行刷新。
建立VPN會話後,使用
ISE授權規則,返回安全評估授權配置檔案。因此,來自終端的HTTP流量被重定向用於AnyConnect 4更新和狀態模組調配:此時,ASA上的會話狀態指示透過將HTTP流量重定向到ISE來限制訪問:
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 69
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
<...some output omitted for clarity...>
ISE Posture:
Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...
Redirect ACL : Posture-redirec
終端安全評估模組從ISE接收策略。ise-psc.log調試顯示傳送到終端安全評估模組的要求:
2015-06-05 07:33:40,493 DEBUG [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
WSUS
<version/>
<description>This endpoint has failed check for any AS installation</description>
<type>10</type>
<optional>0</optional>
42#1
<remediation_type>1</remediation_type>
<remediation_retry>0</remediation_retry>
<remediation_delay>0</remediation_delay>
<action>10</action>
<check>
pr_WSUSCheck
</check>
<criteria/>
</package>
</cleanmachines>
終端安全評估模組會自動觸發Microsoft Windows Update Agent連線到WSUS並下載在WSUS策略中配置的更新(所有操作均自動執行,無需任何使用者干預):
在AnyConnect終端安全評估模組報告該站合規性後,您將看到以下內容:
該報告被傳送到ISE,ISE重新評估策略並命中
授權規則。這樣可提供完全網路訪問(透過Radius CoA)。導航到操作>身份驗證以確認這點:調試(ise-psc.log)也會確認合規狀態、CoA觸發器和終端安全評估的最終設定:
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->
DEBUG [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]
此外,ISE詳細狀態評估報告確認該站點符合以下要求:
目前沒有適用於此組態的疑難排解資訊。
本節提供一些與本檔案中所述組態相關的重要資訊。
區分需求條件和補救措施非常重要。AnyConnect會觸發Microsoft Windows Update代理檢查合規性,具體取決於使用補救設定驗證Windows更新。
本示例使用Severity Level。使用關鍵設定,Microsoft Windows Agent將檢查是否存在任何掛起(未安裝)的重要更新。如果有,則開始修正。
然後,補救流程可能會根據WSUS配置(針對特定電腦批准的更新)安裝所有重要和不太重要的更新。
隨著使用Cisco Rules設定Validate Windows updates,要求中詳細列出的條件將決定工作站是否相容。
對於不帶WSUS伺服器的部署,有另一種補救型別可用,即Windows Update補救:
此補救型別允許控制Microsoft Windows Update設定,並允許您執行立即更新。此補救型別使用的典型條件是pc_AutoUpdateCheck。這可讓您檢查是否已在端點上啟用Microsoft Windows Update設定。否則,您可以啟用它並執行更新。
ISE版本1.4的一個稱為修補程式管理的新功能允許與許多第三方供應商進行整合。視供應商而定,條件和補救都有多個可用選項。
對於Microsoft,支援系統管理伺服器(SMS)和System Center Configuration Manager (SCCM)。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
03-Aug-2015 |
初始版本 |