Segurança : Dispositivo Cisco NAC (Clean Access)

Ferramenta NAC (acesso limpo de Cisco): Configurar e pesquise defeitos as atualizações da definição do Antivirus

15 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (8 Abril 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar e pesquisar defeitos as exigências da atualização da definição do Antivirus (AV) no dispositivo do Cisco Network Admission Control (NAC), conhecido anteriormente como o acesso limpo de Cisco.

Pré-requisitos

Requisitos

Este documento supõe que o acesso limpo de Cisco, que inclui limpe o Access Manager (CAM) e o servidor de acesso limpo (CAS), é instalado e trabalha corretamente.

Componentes Utilizados

A informação neste documento é baseada no Cisco Clean Access 3.4 e mais tarde.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar exigências da atualização da definição AV

O tipo da exigência da atualização da definição AV pode ser usado a fim atualizar os arquivos de definição em um cliente para o Produtos apoiado do antivirus. Se o cliente não cumpre a exigência AV, o agente limpo do acesso comunica-se diretamente com o antivírus instalado no cliente e atualiza-se automaticamente os arquivos de definição quando o usuário clica o botão Update Button no diálogo do agente.

As regras AV incorporam a lógica extensiva para 24 vendedores do antivirus e são associadas com as exigências da atualização da definição AV. Para exigências da atualização da definição AV, a configuração é similar àquela de disposições alfandegárias, a não ser que não haja nenhuma necessidade de configurar verificações. Você associa exigências da atualização da definição AV com umas ou várias regras, papéis de usuário e sistemas operacionais AV e igualmente configura as instruções que limpas do diálogo do agente do acesso você quer o usuário ver se a exigência AV falha.

Nota: Sempre que seja possível, recomenda-se usar as regras AV traçadas às exigências da atualização da definição AV a fim verificar o antivírus em clientes. No caso de um produto NON-apoiado AV, ou se um produto ou a versão AV não são regras diretas disponíveis AV, você tem sempre a opção para usar Cisco forneceu pc_checks e pr_rules para o vendedor do antivirus ou para criar suas próprias verificações, regras, e exigências feitas sob encomenda através do Gerenciamento de dispositivos > acesso limpo > agente limpo do acesso. Use a verificação nova, a regra nova, e o arquivo novo/link/exigência local da verificação.

Esta figura mostra o diálogo limpo do agente do acesso que aparece quando um cliente não cumpre uma exigência da atualização da definição AV.

/image/gif/paws/97868/nac-av-definition-1.gif

Regras AV

As regras AV são tipos preconfigured da regra traçados à matriz dos vendedores e o Produtos originado no produto apoiado AV alista. Não há nenhuma necessidade de configurar verificações com este tipo de regra.

Há dois tipos básicos de regras AV:

  • Regras da instalação AV — Esta regra verifica se o antivírus selecionado esteja instalado para o SO de cliente.

  • Regras da definição de vírus AV — Esta regra verifica se os arquivos de definição de vírus sejam atualizados no cliente. As regras da definição de vírus AV podem ser traçadas em exigências da atualização da definição AV de modo que um usuário que falhe a exigência possa clicar o botão Update Button no agente a fim executar automaticamente a atualização.

As regras AV são associadas tipicamente com as exigências da atualização da definição AV. Estas etapas são exigidas a fim criar exigências da atualização da definição AV:

  1. Verifique a informação da sustentação AV

  2. Crie a regra AV

  3. Crie a exigência da atualização da definição AV

  4. Trace a exigência às regras

  5. Aplique exigências ao papel

  6. Valide exigências

Verifique a informação da sustentação AV

A ferramenta NAC de Cisco permite que as versões múltiplas do agente limpo do acesso sejam usadas na rede. As atualizações novas ao agente adicionam o apoio para o Produtos o mais atrasado do antivirus enquanto são liberadas. O sistema escolhe o melhor método, data do def ou versão do def a fim executar as verificações da definição AV baseadas no Produtos AV disponível e na versão do agente. A página da informação da sustentação AV fornece detalhes na compatibilidade do agente com a lista apoiada a mais atrasada do produto AV transferida ao CAM. Esta página alista a versão e a data as mais atrasadas dos arquivos de definição para cada produto AV também a versão da linha de base do agente necessário para a sustentação do produto. Você pode comparar a informação AV do cliente contra a página da informação da sustentação AV a fim verificar que o arquivo de definição que um cliente tem está o mais atrasado. Se você executa versões múltiplas do agente em sua rede, esta página pode ajudar a pesquisar defeitos que versão deve ser executada a fim apoiar uns produtos particulares.

Termine estas etapas a fim ver detalhes do suporte de agente:

  1. Escolha o Gerenciamento de dispositivos > acesso limpo > agente limpo do acesso > regras > informação da sustentação AV/AS.

  2. Escolha o Antivirus do menu suspenso da categoria.

    /image/gif/paws/97868/nac-av-definition-2.gif

  3. Escolha um vendedor do Antivirus do menu suspenso.

  4. Escolha Windows Vista/XP/2K ou Windows 9x/ME do menu suspenso do sistema operacional a fim ver a informação da sustentação para aqueles sistemas de cliente. Isto povoa as tabelas como mostrado:

    1. Versão de agente mínima exigida para apoiar o Produtos AV — mostra a versão de agente mínima exigida a fim apoiar cada produto AV. Por exemplo, um agente de 4.0.0.0 pode registrar em um papel que exija a proteção de vírus 1.x do centro da segurança AOL, mas para 3.6.0.0 ou um agente mais adiantado, esta verificação falha. Note que se uma versão da data do def dos suportes de agente e da versão do def verifica, a verificação da versão do def está usada.

    2. A versão/data as mais atrasadas da definição de vírus para o vendedor selecionado — indica a versão e a informação as mais atrasadas da data para o produto AV. O software AV para um cliente atualizado deve indicar os mesmos valores.

Nota: O agente envia sua informação de versão ao CAM, e o CAM tenta sempre usar primeiramente a versão da definição de vírus para verificações AV. Se a versão não está disponível, o CAM usa a data da definição de vírus pelo contrário.

Dica: Você pode igualmente ver a versão a mais atrasada do arquivo de definição quando você escolhe um vendedor AV do formulário novo da regra AV.

Crie a regra AV

Termine estas etapas a fim criar uma regra AV:

  1. Certifique-se de você ter a versão a mais atrasada da lista apoiada do produto AV/AS.

  2. Escolha o Gerenciamento de dispositivos > acesso limpo > agente limpo > regras do acesso > regra nova AV.

    nac-av-definition-3.gif

  3. Datilografe um nome da regra. Você pode não usar dígitos e relevos, mas nenhum espaço no nome.

  4. Escolha um vendedor do Antivirus do menu suspenso. Isto povoa as verificações para a tabela selecionada dos sistemas operacionais na parte inferior da página com os produtos suportados e as versões do produto deste vendedor para o sistema operacional selecionado.

  5. Do tipo menu suspenso, escolha a instalação ou a definição de vírus. Isto permite as caixas de seleção para as colunas correspondentes da instalação ou da definição de vírus na tabela.

  6. Escolha um sistema operacional do menu suspenso, Windows Vista/XP/2K ou Windows ME/98. Isto indica as versões do produto apoiadas para este SO de cliente na tabela.

  7. Datilografe uma descrição opcional da regra.

  8. Nas verificações para sistemas operacionais selecionados apresente, escolha as versões do produto que você quer verificar para ver se há no cliente. A fim fazer isto, verifique umas ou várias caixas de seleção nas colunas correspondentes da instalação ou da definição de vírus. ALGUNS meios que você quiser verificar para ver se há todo o produto e qualquer versão deste vendedor AV. A instalação verifica se o produto esteja instalado, e a definição de vírus verifica se os arquivos de definição de vírus sejam atualizados no cliente para o produto especificado.

  9. O clique adiciona a regra. A regra nova AV é adicionada na parte inferior da lista da regra com o nome que você forneceu.

Crie a exigência da atualização da definição AV

Estas etapas mostram como criar uma exigência nova da atualização da definição AV a fim verificar o sistema de cliente para ver se há o Produtos especificado e versões AV com um AV associado ordenam. Se os arquivos de definição do antivirus do cliente não são atualizados, o usuário pode simplesmente clicar o botão Update Button no agente limpo do acesso, e o agente faz com que o software do residente AV lance seu próprio mecanismo da atualização. Note que o mecanismo real difere para o Produtos diferente AV, por exemplo, atualizações vivas contra o parâmetro da linha de comando.

  1. Na aba limpa do agente do acesso, clique o link do submenu das exigências, e então a exigência nova.

    nac-av-definition-4.gif

  2. Para a exigência datilografe escolhem a atualização da definição AV.

  3. Não reforce a opção da exigência é verificado à revelia, que designa a exigência da atualização da definição AV como opcional.

    Nota: Porque o processo de Windows Update é executado no fundo, não reforce a exigência é ajustado à revelia a fim aperfeiçoar a experiência do usuário. Recomenda-se deixar esta exigência enquanto opcional se você escolhe automaticamente a transferência e a opção instalar. Uma atualização forçada WSUS pode tomar um quando, e é lançada e corrida no fundo.

  4. Escolha a prioridade da execução para esta exigência no cliente. Uma alta prioridade, tal como 1, significa que esta exigência está verificada no sistema antes de todas exigências restantes e aparece nos diálogos do agente nessa ordem. Note que se um requisito imperativo falha, o agente não continua o passado esse ponto até que essa exigência suceda.

  5. Escolha um nome de fornecedor do Antivirus do menu suspenso. O Produtos apresenta lista todas as versões do produto da definição de vírus apoiadas para cada SO de cliente.

  6. Para o nome da exigência, datilografe um nome exclusivo para identificar esta exigência do arquivo de definição AV no agente. O nome é visível aos usuários nos diálogos limpos do agente do acesso.

  7. No campo de descrição, datilografe uma descrição da exigência e das instruções guiar os usuários que não cumprem a exigência. Para uma exigência da atualização da definição AV, você deve incluir instruções para que os usuários cliquem o botão Update Button a fim atualizar seus sistemas. Mantenha esta informação na mente:

    • A atualização da definição AV indica o botão Update Button no agente.

    • COMO a atualização da definição indica o botão Update Button no agente.

    • Windows Update indica o botão Update Button no agente.

  8. Verifique umas ou várias destas caixas de seleção a fim ajustar os sistemas operacionais para a exigência:

    • Windows todo

    • Windows 2000

    • Windows ME

    • Windows 98

    • Windows XP (tudo) ou uns ou vários dos sistemas operacionais específicos de Windows XP

    • Windows Vista (tudo) ou uns ou vários dos sistemas operacionais específicos de Windows Vista

  9. O clique adiciona a exigência a fim adicionar a exigência à lista da exigência.

Exigência do mapa às regras

Uma vez que a exigência é criada e os links e as instruções da remediação estão especificados, trace a exigência a uma regra ou a um conjunto de regras. Um mapeamento da exigência-à-regra associa o ruleset que verifica se o sistema de cliente cumpra a exigência à ação da requisição de usuário (botão do agente, instruções, links) necessária para que o sistema de cliente siga.

  1. Na aba limpa do agente do acesso, clique o submenu das exigências, e abra então o formulário das Exigência-regras.

    nac-av-definition-5.gif

  2. Do menu do nome da exigência, escolha a exigência traçar.

  3. Verifique o sistema operacional para a exigência no menu do sistema operacional. As regras para a lista selecionada do sistema operacional são povoadas com todas as regras disponíveis para o OS escolhido.

  4. Para regras da definição de vírus AV (fundo amarelo), você pode opcionalmente configurar o CAM para permitir que os arquivos de definição no cliente sejam um número de dias mais idoso do que o que o CAM tem disponível das atualizações. Veja regras > informação da sustentação AV-AS para as datas as mais atrasadas do arquivo do produto. Isto permite que você configure a deriva em uma exigência de modo que se nenhum arquivo de definição de vírus novo é liberado de um fornecedor de produto, seus clientes possam ainda passar a exigência. Para isso, conclua essas etapas:

    1. Verifique as regras da definição de vírus AV, permita que o arquivo de definição seja dias x mais velhos do que a caixa de verificação.

    2. Datilografe um número na caixa de texto. O padrão é 0, que indica que a data da definição não pode ser mais velha do que o arquivo/data do sistema.

    3. Selecione uma destas opções:

      • A data a mais atrasada do arquivo — Isto permite que o arquivo de definição do cliente seja mais velho do que a data a mais atrasada da definição de vírus no CAM pelo número de dias onde você especifica.

      • Data do sistema atual — Isto permite que o arquivo de definição do cliente seja mais velho do que a data do sistema CAM em que a última atualização foi executada pelo número de dias onde você especifica.

  5. Enrole para baixo a página e verifique a caixa de verificação seleta ao lado de cada regra que você quer associar com a exigência. As regras são aplicadas em seu ordem de prioridade, como descrito nesta tabela:

    /image/gif/paws/97868/nac-av-definition-6.gif

  6. Para as exigências cumpridas se, escolha uma destas opções:

    • Todas as regras selecionadas sucedem — se todas as regras devem ser satisfeitas para que o cliente seja considerado em conformidade com a exigência

    • Toda a regra selecionada sucede — se pelo menos uma regra selecionada deve ser satisfeita para que o cliente seja considerado em conformidade com a exigência

    • Nenhuma regra selecionada sucede — se as regras selecionadas devem toda a falha para que o cliente seja considerado em conformidade com a exigência

    Se os clientes não são em conformidade com a exigência, devem instalar o software associado com a exigência ou terminar os passos requerido.

  7. Clique em Update.

Aplique exigências ao papel

Uma vez que as exigências são criadas, configurado com remediação pisa, e associado com as regras, precisam de ser traçadas aos papéis de usuário. Esta etapa aplica suas exigências aos grupos de usuário no sistema.

Nota: Certifique-se de você já ter papéis de usuário de login normais criados.

  1. Na aba limpa do agente do acesso, clique o link do submenu das Papel-exigências.

    nac-av-definition-7.gif

  2. Do papel datilografe o menu, escolhem o tipo do papel configurar. Na maioria dos casos, este é papel normal do início de uma sessão.

  3. Escolha o nome do papel do papel de usuário do menu.

  4. Verifique a caixa de verificação seleta para ver se há cada exigência que você quer se aplicar aos usuários no papel.

  5. Clique em Update.

  6. Antes que você termine, certifique-se que os usuários no papel estão exigidos usar o agente limpo do acesso.

Valide exigências

O Access Manager limpo valida automaticamente exigências e regras enquanto são criados. A coluna da validez sob o Gerenciamento de dispositivos > acesso limpo > agente limpo do acesso > exigências > lista da exigência indica a validez da exigência, como mostrado:

  • /image/gif/paws/97868/nac-av-definition-8.gif — A exigência é válida.

  • /image/gif/paws/97868/nac-av-definition-9.gif — A exigência é inválida. Destaque este ícone com seu rato no indicador de ordem o mensagem de status da validez para esta exigência. Os estados do mensagem de status que ordenam e que verificam causas a exigência ser inválidos, neste formato:

    Invalid rule [rulename] in package [requirementname] (Rule verification error: 
    Invalid check [checkname] in rule expression)

A exigência deve ser corrigida e feito válida antes que possa ser usada. Tipicamente, as exigências e as regras tornam-se inválidas quando há uma má combinação do sistema operacional.

A fim corrigir uma exigência inválida, termine estas etapas:

  1. Escolha o Gerenciamento de dispositivos > acesso limpo > agente limpo > exigências > Exigência-regras do acesso.

  2. Corrija todas as regras ou verificações inválidas.

  3. Escolha o nome inválido da exigência do menu suspenso.

  4. Escolha o sistema operacional.

  5. Certifique-se da exigência cumprida se: a expressão é configurada corretamente.

  6. Certifique-se as regras selecionadas para a exigência são válidas, que significa que tem uma marca de verificação azul na coluna da validez.

/image/gif/paws/97868/nac-av-definition-10.gif

Regras de Cisco

Uma regra é uma indicação condicional composta de umas ou várias verificações. Uma regra combina verificações com os operadores lógicos a fim formar uma indicação booleana que possa testar características múltiplas do sistema de cliente.

A ferramenta NAC de Cisco fornece um grupo de regras PRE-configuradas e as verificações através das atualizações ligam. as regras PRE-configuradas têm um prefixo do PR em seus nomes, tais como o pr_AutoUpdateCheck_Rule. Veja regras PRE-configuradas Cisco (“pr_”) para mais informação.

Verificações de Cisco

Uma verificação é uma indicação condicional que examine uma característica do sistema de cliente, tal como um arquivo, uma chave de registro, um serviço, ou um aplicativo. as verificações PRE-configuradas têm um prefixo do PC em seus nomes, tais como pc_Hotfix828035. Esta tabela alista os tipos de verificações disponíveis e o que testa.

Verifique a categoria Verifique o tipo
Verificação do registro
  • mesmo se uma chave de registro existe
  • valor de chave de registro
Verificação do arquivo
  • mesmo se um arquivo existe
  • data da alteração ou da criação
  • versão de arquivo
Preste serviços de manutenção à verificação
  • mesmo se um serviço é executado
Verificação do aplicativo
  • mesmo se um aplicativo é executado

Cisco PRE-configurou regras (“pr_ ")

A ferramenta NAC de Cisco fornece um grupo de regras e de verificações PRE-configuradas que são transferidas ao CAM através da página das atualizações no console de web CAM, sob o Gerenciamento de dispositivos > acesso limpo > agente > atualizações limpos do acesso.

as regras PRE-configuradas têm um prefixo do PR em seus nomes, por exemplo pr_XP_Hotfixes, e podem ser copiadas para o uso como um molde, mas não podem ser editadas ou removido. Você pode clicar o botão Edit para toda a regra do pr_ a fim ver a expressão da regra que a define. A expressão da regra para uma regra PRE-configurada é composta de verificações PRE-configuradas, tais como pc_Hotfix835732, e de operadores booleanos. A expressão da regra para regras PRE-configuradas é atualizada através das atualizações de Cisco. Por exemplo, quando os hotfix críticos novos do SO Windows são liberados para Windows XP, a regra dos pr_XP_Hotfixes é atualizada com as verificações relacionadas do hotfix.

as regras PRE-configuradas estão listadas sob o Gerenciamento de dispositivos > acesso limpo > agente limpo do acesso > regras > lista da regra. as verificações PRE-configuradas têm um prefixo do PC em seus nomes e estão listadas sob o Gerenciamento de dispositivos > acesso limpo > agente limpo > regras > lista de verificação do acesso.

Nota: Cisco PRE-configurou regras é pretendido fornecer o apoio para hotfix críticos do SO Windows somente.

Troubleshooting

Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração.

O acesso limpo de Cisco não atualiza a definição AV para clientes

Siga estes passos para resolver esse problema:

  1. No CAM, escolha o Gerenciamento de dispositivos > acesso > exigências > Exigência-regras limpos.

  2. Deselect as regras PRE-configuradas (pr_), se algum.

  3. Selecione as regras apropriadas AV.

CCA incapaz de detectar o AV

Se você suspeita o CCA não detecta ou para reconhecer o determinado AV verifica, você precisam de executar a ferramenta de diagnóstico OESIS no cliente.

Conclua estes passos:

  1. Registro Enable.

    Consulte para permitir debugam a abertura do agente limpo do acesso para instruções em como permitir debugam a abertura do cliente.

  2. Tente entrar.

  3. Execute a ferramenta de diagnóstico OESIS.

  4. Desabilite o registro.

Nota: Se você pode agarrar uma exportação da estrutura da chave de registro do produto AV, situada normalmente no HKLM \ software \ <av_vendor>, que é útil demasiado.


Informações Relacionadas


Document ID: 97868