Segurança : Dispositivo Cisco NAC (Clean Access)

NAC Appliance (Clean Access): Configuração e Troubleshooting de Atualizações de Definições de Antivírus

8 Abril 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (2 Junho 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração dos Requisitos de Atualizações de Definições de AV
      Regras de AV
      Verificação das Informações de Suporte de AV
      Criação de uma Regra de AV
      Criação de um Requisito de Atualização de Definições de AV
      Mapeamento de Requisitos em Regras
      Aplicação de Requisitos a Funções
      Validação de Requisitos
      Regras da Cisco
      Verificações da Cisco
      Regras Pré-Configuradas da Cisco ("pr_")
Troubleshooting
      O Cisco Clean Access Não Atualiza Definições de AV para Clientes
      O CCA Não Detecta o AV
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar e fazer troubleshooting dos requisitos de Atualizações de Definições de Antivírus (AV) no Cisco Network Admission Control (NAC) Appliance, anteriormente conhecido como Cisco Clean Access.

Pré-requisitos

Requisitos

Este documento pressupõe que o Cisco Clean Access, que inclui o Clean Access Manager (CAM) e o Clean Access Server (CAS), esteja instalado e funcionando corretamente.

Componentes Utilizados

As informações contidas neste documento são baseadas no Cisco Clean Access 3.4 e versões posteriores.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Configuração dos Requisitos de Atualizações de Definições de AV

O tipo de requisito Atualização de Definições de AV pode ser utilizado para atualizar os arquivos de definições de produtos antivírus com suporte em um cliente. Se o cliente não atender ao requisito de AV, o Clean Access Agent se comunicará diretamente com o software antivírus instalado no cliente e atualizará automaticamente os arquivos de definições quando o usuário clicar no botão Update na caixa de diálogo do Agent.

As Regras de AV incorporam uma lógica extensa para 24 fornecedores de antivírus e são associadas a requisitos de Atualizações de Definições de AV. A configuração dos requisitos de Atualização de Definições de AV é semelhante à de requisitos personalizados, exceto por não haver a necessidade de configuração de verificações. Você associa requisitos de Atualização de Definições de AV a uma ou mais Regras de AV, funções de usuário e sistemas operacionais, além de configurar as instruções da caixa de diálogo do Clean Access Agent que você deseja exibir para o usuário se o requisito de AV falhar.

Nota: Onde possível, é recomendável usar as Regras de AV mapeadas em requisitos de Atualização de Definições de AV para verificar software antivírus em clientes. No caso de um produto AV sem suporte, ou se um produto ou versão de AV não estiver disponível através das Regras de AV, você sempre terá a opção de usar as pc_checks e pr_rules fornecidas pela Cisco para o fornecedor de antivírus ou de criar as suas próprias verificações, regras e requisitos personalizados por meio de Device Management > Clean Access > Clean Access Agent. Use New Check, New Rule e New File/Link/Local Check Requirement.

A figura mostra a caixa de diálogo do Clean Access Agent exibida quando um cliente não atende a um requisito de Atualização de Definições de AV.

nac-av-definition-1.gif

Regras de AV

As Regras de AV são tipos de regras pré-configuradas mapeadas na matriz de fornecedores e produtos oferecidos na Lista de Produtos de AV com Suporte. Não há necessidade de configurar verificações com este tipo de regra.

Há dois tipos básicos de Regras de AV:

  • Regras de Instalação de AV — Verificam se o software antivírus selecionado está instalado no sistema operacional cliente.

  • Regras de Definições de Vírus de AV — Verificam se os arquivos de definições de vírus estão atualizados no cliente. As regras de definições de vírus de AV podem ser mapeadas nos requisitos de Atualização de Definições de AV de forma que um usuário que não atenda ao requisito possa clicar no botão Update no Agent para executar a atualização automaticamente.

Geralmente, as Regras de AV estão associadas a requisitos de Atualização de Definições de AV. Estes passos são necessários para criar requisitos de Atualização de Definições de AV:

  1. Verificação das Informações de Suporte de AV

  2. Criação de uma Regra de AV

  3. Criação de um Requisito de Atualização de Definições de AV

  4. Mapeamento de Requisitos em Regras

  5. Aplicação de Requisitos a Funções

  6. Validação de Requisitos

Verificação das Informações de Suporte de AV

O Cisco NAC Appliance permite que várias versões do Clean Access Agent sejam utilizadas na rede. Novas atualizações do Agent agregam suporte para os produtos antivírus mais recentes conforme são lançados. O sistema seleciona o melhor método, Def Date ou Def Version para executar as verificações de definições de AV com base nos produtos AV disponíveis e na versão do Agent. A página AV Support Info fornece detalhes sobre a compatibilidade do Agent com a Lista de Produtos AV com Suporte mais recente baixada para o CAM. Essa página lista a versão mais recente e a data dos arquivos de definições para cada produto AV, bem como a versão de linha de base do Agent necessária para suporte ao produto. Você pode comparar as informações de AV do cliente com a página AV Support Info para verificar se o arquivo de definições de um cliente é o mais recente. Se você executar várias versões do Agent em sua rede, essa página poderá ajudá-lo a identificar a versão que deverá ser executada para oferecer suporte a um produto específico.

Execute estes passos para exibir os detalhes de suporte do Agent:

  1. Selecione Device Management > Clean Access > Clean Access Agent > Rules > AV/AS Support Info.

  2. Selecione Antivirus no menu suspenso Category.

    nac-av-definition-2.gif

  3. Selecione uma opção de Antivirus Vendor no menu suspenso.

  4. Selecione Windows Vista/XP/2K ou Windows 9x/ME no menu suspenso Operating System para exibir as informações de suporte para estes sistemas clientes. Isso preencherá a tabela conforme mostrado a seguir.

    1. Minimum Agent Version Required to Support AV Products — Mostra a versão mínima do Agent necessária para oferecer suporte a cada produto AV. Por exemplo, um Agent 4.0.0.0 pode fazer login em uma função que requer o AOL Safety and Security Center Virus Protection 1.x, mas esta verificação falha no Agent 3.6.0.0 ou em versões anteriores. Note que, se uma versão do Agent oferecer suporte a ambas as verificações Def Date e Def Version, a verificação Def Version será utilizada.

    2. Latest Virus Definition Version/Date for Selected Vendor — Exibe as informações de data e versão mais recentes do produto AV. O software AV de um cliente atualizado deve exibir os mesmos valores.

Nota: O Agent envia suas informações de versão ao CAM, e o CAM sempre tenta utilizar a versão de definições de vírus para as verificações do AV primeiro. Se a versão não estiver disponível, o CAM utilizará a data de definições de vírus.

Dica: Você também pode exibir a versão do arquivo de definições mais recente escolhendo um fornecedor de AV no formulário New AV Rule.

Criação de uma Regra de AV

Execute estes passos para criar uma Regra de AV:

  1. Verifique se você possui a versão mais recente da Lista de Produtos AV/AS com Suporte

  2. Selecione Device Management > Clean Access > Clean Access Agent > Rules > New AV Rule.

    nac-av-definition-3.gif

  3. Digite um Rule Name. Você pode utilizar dígitos e sublinhados, mas não espaços, no nome.

  4. Selecione uma opção de Antivirus Vendor no menu suspenso. Isso preencherá a tabela Checks for Selected Operating Systems na parte inferior da página com os produtos e as versões com suporte desse fornecedor para o Operating System selecionado.

  5. No menu suspenso Type, escolha Installation ou Virus Definition. Isso ativará as caixas de seleção para as colunas Installation ou Virus Definition correspondentes na tabela.

  6. Selecione um Operating System no menu suspenso, Windows Vista/XP/2K ou Windows ME/98. Isso exibirá as versões de produtos com suporte para este sistema operacional cliente na tabela.

  7. Digite uma Rule Description opcional.

  8. Na tabela Checks for Selected Operating Systems, selecione as versões do produto que você deseja procurar no cliente. Para fazer isso, marque uma ou mais caixas de seleção nas colunas Installation ou Virus Definition correspondentes. ANY significa que você deseja procurar qualquer produto e qualquer versão deste fornecedor de AV. Installation verifica se o produto está instalado e Virus Definition verifica se os arquivos de definições de vírus estão atualizados no cliente para o produto especificado.

  9. Clique em Add Rule. A nova regra de AV é adicionada na parte inferior da Rule List com o nome fornecido.

Criação de um Requisito de Atualização de Definições de AV

Estes passos mostram como criar um novo requisito AV Definition Update para procurar os produtos e versões de AV especificados no sistema cliente com uma Regra de AV associada. Se os arquivos de definições de antivírus do cliente não estiverem atualizados, o usuário poderá simplesmente clicar no botão Update no Clean Access Agent. Isso fará com que o software AV residente inicie o seu próprio mecanismo de atualização. Note que o mecanismo real varia de acordo com diferentes produtos AV, por exemplo, atualizações online versus parâmetro de linha de comandos.

  1. Na guia Clean Access Agent, clique no link do submenu Requirements e em New Requirement.

    nac-av-definition-4.gif

  2. Escolha AV Definition Update em Requirement Type.

  3. A opção Do not enforce requirement está selecionada por padrão, o que define o requisito AV Definition Update como optional.

    Nota: Como o processo do Windows Update é executado em segundo plano, a opção Do not enforce requirement é definida por padrão para otimizar a experiência do usuário. É recomendável manter este requisito como opcional se a opção Automatically download and install for escolhida. Uma atualização forçada dos WSUS pode levar alguns minutos e é iniciada e executada em segundo plano.

  4. Escolha a Priority da execução deste requisito no cliente. Uma prioridade alta, como 1, significa que este requisito está selecionado no sistema antes de todos os outros requisitos e é exibido nas caixas de diálogo do Agent nesta ordem. Note que, se um requisito obrigatório não for atendido, o Agent não continuará além deste ponto até que ele seja satisfeito.

  5. Selecione um Antivirus Vendor Name no menu suspenso. A tabela Products lista todas as versões de produtos de definições de vírus com suporte para cada sistema operacional cliente.

  6. Em Requirement Name, digite um nome exclusivo para identificar este requisito do arquivo de definições de AV no Agent. O nome estará visível para usuários nas caixas de diálogo Clean Access Agent.

  7. No campo Description, digite uma descrição do requisito e instruções para orientar os usuários que não atenderem aos requisitos. Para um requisito AV Definition Update, você deve incluir instruções para os usuários clicarem no botão Update para atualizarem seus sistemas. Tenha estas informações em mente:

    • AV Definition Update exibe o botão Update no Agent.

    • AS Definition Update exibe o botão Update no Agent.

    • Windows Update exibe o botão Update no Agent.

  8. Marque uma ou mais destas caixas de seleção para definir os Operating Systems para o requisito:

    • Windows All

    • Windows 2000

    • Windows ME

    • Windows 98

    • Windows XP (All) or one or more of the specific Windows XP operating systems

    • Windows Vista (All) or one or more of the specific Windows Vista operating systems

  9. Clique em Add Requirement para adicionar o requisito à lista de requisitos.

Mapeamento de Requisitos em Regras

Uma vez que o requisito seja criado e os links de remediação e as instruções sejam especificados, mapeie o requisito em uma regra ou conjunto de regras. Um mapeamento requisito-em-regra associa o conjunto de regras que verifica se o sistema cliente atende aos requisitos à ação de requisitos do usuário (botão, instruções, links do Agent) necessários para a conformidade do sistema cliente.

  1. Na guia Clean Access Agent, clique no submenu Requirements e, em seguida, abra o formulário Requirement-Rules.

    nac-av-definition-5.gif

  2. No menu Requirement Name, escolha o requisito a ser mapeado.

  3. Verifique o sistema operacional para o requisito no menu Operating System. A lista Rules for Selected Operating System é preenchida com todas as regras disponíveis para o sistema operacional selecionado.

  4. Para regras AV Virus Definition (fundo amarelo), você pode, opcionalmente, configurar o CAM para permitir que arquivos de definições no cliente sejam mais antigos do que o CAM possui disponível em Updates. Consulte Rules > AV-AS Support Info para obter as datas dos arquivos de produtos mais recentes. Isso permite que você configure a tolerância para um requisito de forma que, se nenhum novo arquivo de definições de vírus for lançado por um fornecedor de produto, seus clientes ainda poderão passar o requisito. Para fazer isso, execute estes passos:

    1. Marque a caixa de seleção AV Virus Definition rules, allow definition file to be x days older than.

    2. Digite um número na caixa de texto. O padrão é 0, o que indica que a data da definição não pode ser mais antiga que a data do arquivo/sistema.

    3. Selecione uma destas opções:

      • Latest file date — Permite que o arquivo de definições do cliente seja mais antigo que a data da definição de vírus mais recente no CAM pelo número de dias especificado.

      • Current system date — Permite que o arquivo de definições do cliente seja mais antigo que a data do sistema CAM quando a última Atualização foi executada pelo número de dias especificado.

  5. Role a página para baixo e marque a caixa de seleção Select próxima a cada regra que você deseja associar ao requisito. As regras são aplicadas na sua ordem de prioridade, conforme descrito nesta tabela:

    nac-av-definition-6.gif

  6. Para Requirements met if, escolha uma destas opções:

    • All selected rules succeed — Se todas as regras precisarem ser atendidas para que o cliente seja considerado compatível com o requisito.

    • Any selected rule succeeds — Se pelo menos uma regra selecionada precisar ser atendida para que o cliente seja considerado compatível com o requisito.

    • No selected rule succeeds — Se todas as regras selecionadas precisarem ser atendidas para que o cliente seja considerado compatível com o requisito.

    Se os clientes não estiverem em conformidade com o requisito, eles deverão instalar o software associado ao requisito ou executar os passos necessários.

  7. Clique em Update.

Aplicação de Requisitos a Funções

Uma vez que os requisitos sejam criados, configurados com passos de correção e associados a regras, eles deverão ser mapeados em funções de usuários. Este passo aplica seus requisitos aos grupos de usuários no sistema.

Nota: Verifique se você já possui funções de usuário de login normal criadas.

  1. Na guia Clean Access Agent, clique no link do submenu Role-Requirements.

    nac-av-definition-7.gif

  2. No menu Role Type, escolha o tipo da função a ser configurada. Na maioria dos casos, o tipo é Normal Login Role.

  3. Escolha o nome da função no menu User Role.

  4. Marque a caixa de seleção Select para cada requisito que deseja aplicar aos usuários na função.

  5. Clique em Update.

  6. Antes de concluir, certifique-se de que os usuários na função sejam obrigados a utilizar o Clean Access Agent.

Validação de Requisitos

O Clean Access Manager valida automaticamente requisitos e regras à medida que eles são criados. A coluna Validity em Device Management > Clean Access > Clean Access Agent > Requirements > Requirement List exibe a validade do requisito conforme mostrado:

  • nac-av-definition-8.gif — O requisito é válido.

  • nac-av-definition-9.gif — O requisito é inválido. Realce este ícone com o seu mouse para exibir a mensagem de status da validade deste requisito. A mensagem de status indica quais regras e verificações determinam que o requisito seja inválido, neste formato:

    Invalid rule [rulename] in package [requirementname] (Rule verification error:
    Invalid check [checkname] in rule expression)

O requisito deve ser corrigido e tornado válido antes que ele possa ser utilizado. Geralmente, os requisitos e as regras se tornam inválidos quando há uma incompatibilidade de sistema operacional.

Para corrigir um requisito inválido, execute estes passos:

  1. Selecione Device Management > Clean Access > Clean Access Agent > Requirements > Requirement-Rules.

  2. Corrija as regras ou verificações inválidas.

  3. Selecione o Requirement Name inválido no menu suspenso.

  4. Selecione o Operating System.

  5. Verifique se a expressão Requirement met if: está configurada corretamente.

  6. Verifique se as regras selecionadas para o requisito são válidas, o que significa que elas possuirão uma marca de verificação azul na coluna Validity.

nac-av-definition-10.gif

Regras da Cisco

Uma regra é uma instrução condicional constituída por uma ou mais verificações. Uma regra combina verificações com operadores lógicos para formar uma instrução booleana que pode testar vários recursos do sistema cliente.

O Cisco NAC Appliance fornece um conjunto de regras e verificações pré-configuradas através do link Updates. As regras pré-configuradas possuem um prefixo pr nos seus nomes, como pr_AutoUpdateCheck_Rule. Consulte Cisco Pre-Configured Rules ("pr_") para obter mais informações.

Verificações da Cisco

Uma verificação é uma instrução condicional que examina um recurso do sistema cliente, como um arquivo, chave do Registro, serviço ou aplicativo. As verificações pré-configuradas possuem um prefixo pc nos seus nomes, como pc_Hotfix828035. Esta tabela lista os tipos de verificações disponíveis e o que elas testam.

Categoria da Verificação

Tipo da Verificação

Verificação do Registro

  • Se uma chave do Registro existe

  • Valor da chave do Registro

Verificação de arquivo

  • Se um arquivo existe ou não

  • Data de modificação ou criação

  • Versão do arquivo

Verificação de serviço

  • Se um serviço é executado ou não

Verificação de aplicativo

  • Se um aplicativo é executado ou não

Regras Pré-configuradas da Cisco ("pr")

O Cisco NAC Appliance fornece um conjunto de regras e verificações pré-configuradas que são baixadas para o CAM através da página Updates no console da Web do CAM, em Device Management > Clean Access > Clean Access Agent > Updates.

As regras pré-configuradas possuem um prefixo pr nos seus nomes, por exemplo pr_XP_Hotfixes, e podem ser copiadas para utilização como um modelo, mas não podem ser editadas ou removidas. Você pode clicar no botão Edit para qualquer regra pr_ para exibir a expressão da regra que a define. A expressão para uma regra pré-configurada é composta por verificações pré-configuradas, como pc_Hotfix835732 e operadores booleanos. A expressão para regras pré-configuradas é atualizada por meio de Atualizações da Cisco. Por exemplo, quando novos hotfixes críticos do sistema operacional Windows são lançados para o Windows XP, a regra pr_XP_Hotfixes é atualizada com verificações de hotfixes relacionados.

As regras pré-configuradas estão listadas em Device Management > Clean Access > Clean Access Agent > Rules > Rule List. As verificações pré-configuradas possuem um prefixo pc nos seus nomes e estão listadas em Device Management > Clean Access > Clean Access Agent > Rules > Check List.

Nota: As regras pré-configuradas da Cisco oferecem suporte somente a hotfixes críticos do sistema operacional Windows.

Troubleshooting

Esta seção fornece informações que podem ser usadas no troubleshooting da sua configuração.

O Cisco Clean Access Não Atualiza Definições de AV para Clientes

Execute estes passos para resolver esse problema:

  1. No CAM, selecione Device Management > Clean Access > Requirements > Requirement-Rules.

  2. Desmarque as regras pré-configuradas (pr_), se houver.

  3. Selecione as regras de AV apropriadas.

O CCA Não Detecta o AV

Se você suspeitar que o CCA não detectou ou reconheceu determinadas verificações de AV, será necessário executar a ferramenta de diagnóstico OESIS no cliente.

Execute estes passos:

  1. Ative o log.

    Consulte Ativação do Registro de Depuração no Clean Access Agent para obter instruções sobre como ativar o registro de depuração no cliente.

  2. Tente fazer login.

  3. Execute a ferramenta de diagnóstico OESIS.

  4. Desative o log.

Nota: Se você puder obter uma exportação da estrutura de chaves do Registro do produto AV, normalmente localizada em HKLM\Software\<av_vendor>, isso também será útil


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 97868