セキュリティ : Cisco Identity Services Engine

Microsoft WSUS で ISE バージョン 1.4 ポスチャを設定して下さい

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 3 日) | フィードバック

概要

Microsoft Windows サーバ アップデート サービス(WSUS)と統合ときこの資料に Cisco Identity Services Engine (ISE)ポスチャ 機能性を設定する方法を記述されています。

: ネットワークにアクセスするとき、WSUS の準拠 ステータスをチェックし、ステーションがのために必要なアップデートをであったら対応インストールするポスチャ モジュールとの Cisco AnyConnect セキュア モビリティ クライアント バージョン 4.1 プロビジョニングのための ISE にリダイレクトされます。 ステーションが対応ように報告されれば、ISE は完全なネットワーク アクセスを可能にします。

著者:Cisco TAC エンジニア、Michal Garcarz

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco ISE 配備、認証および許可

  • ISE および Cisco AnyConnect がエージェントをポーズをとらせる方法についての基本的な知識は動作します

  • Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)の設定

  • 基本 VPN および 802.1X ナレッジ

  • Microsoft WSUS の設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Microsoft Windows バージョン 7

  • WSUS バージョン 6.3 が付いている Microsoft Windows バージョン 2012

  • Cisco ASA バージョン 9.3.1 および それ 以降

  • Cisco ISE ソフトウェア バージョン 1.3 およびそれ以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

このセクションは ISE および関連ネットワーク要素を設定する方法を記述します。

ネットワーク図

これはこの資料の全体にわたって例のために使用するトポロジーです:

次のネットワーク ダイアグラムにトラフィック フローを示します。

  1. リモートユーザは ASA に VPN アクセスのための Cisco AnyConnect を通って接続します。 これはスイッチかワイヤレス セッションで終わる 802.1x/MAC 認証 バイパス(MAB)配線されたセッションのような統一されたアクセスのどの型、である場合もありますワイヤレス LAN コントローラ(WLC)で終わる。

  2. 認証プロセスの一部として、ISE は、そしてリダイレクション属性が Radius Access-Accept メッセージで戻ることをこと端末のポスチャ ステータスが対応と等しくない確認します(ASA-VPN_quarantine 承認規則)。 その結果、ASA は ISE に HTTPトラフィックすべてをリダイレクトします。

  3. ユーザは Webブラウザを開き、アドレスを入力します。 ISE へのリダイレクションの後で、Cisco AnyConnect 4 ポスチャ モジュールはステーションでインストールされています。 ポスチャ モジュールは ISE (WSUS のための要件)からそれからポリシーをダウンロードします。

  4. ポスチャ モジュールは Microsoft WSUS を捜し、治療を行います。

  5. 正常な治療の後で、ポスチャ モジュールは ISE にレポートを送ります。

  6. ISE 問題対応 VPN ユーザ(ASA-VPN_compliant 承認規則)への完全なネットワーク アクセスを提供する許可(CoA)の Radius 変更。

: 機能する治療のために(PC で Microsoft Windows アップデートをインストールする機能)、ユーザはローカル管理権限があるはずです。

Microsoft WSUS

: WSUS の詳細なコンフィギュレーションはこの資料の範囲外にあります。 詳細については、組織 マイクロソフトのドキュメンテーションの Deploy ウィンドウ サーバ アップデート サービスを参照して下さい。

WSUS サービスは標準 TCPポート 8530 によって展開されます。 治療のために、他のポートがまた使用されることを覚えておくことは重要です。 こういうわけで ASA (この資料の記述されていた以降)のリダイレクション Access Control List (ACL)に WSUS の IP アドレスを追加することは安全です。

ドメインのためのグループ ポリシーはローカル WSUS サーバへの Microsoft Windows アップデートおよびポイントのために設定されます:

これらは重大度の異なるレベルに基づいている粒状ポリシーのために有効に なる推奨される更新です:

遠い柔軟性を可能にを目標とするクライアント側。 ISE は異なる Microsoft Active Directory (AD)コンピュータ コンテナーに基づいているポスチャ ポリシーを使用できます。 WSUS はこのメンバシップに基づいている更新を承認できます。

ASA

(詳細がこの資料の範囲外にある)リモートユーザ向けの簡単な Secure Sockets Layer (SSL) VPN アクセスは用いられます。

次に設定例を示します。

interface GigabitEthernet0/0
 nameif outside
 security-level 10
 ip address 172.16.32.100 255.255.255.0

interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.31.100 255.255.255.0

aaa-server ISE protocol radius
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
 key cisco

webvpn
 enable outside
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable

group-policy POLICY internal
group-policy POLICY attributes
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
 address-pool POOL-VPN
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy POLICY

ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0

ISE にリダイレクトする必要があるトラフィックを判別するために使用される ASA の access-list を設定することは重要です(まだ対応しない)ユーザ向けに:

access-list Posture-redirect extended deny udp any any eq domain 
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www

Domain Name System (DNS)、ISE、WSUS およびインターネット制御メッセージ プロトコル (ICMP) トラフィックだけ不適合なユーザ向けに許可されます。 他のトラフィック(HTTP)すべてはポスチャおよび治療に責任がある AnyConnect 4 プロビジョニングのための ISE にリダイレクトされます。

ISE

: AnyConnect 4 プロビジョニングおよびポスチャはこの資料の範囲外にあります。 ASA をネットワークデバイスで設定し Cisco AnyConnect 7 アプリケーションをインストールする方法のような ISE バージョン 1.3 設定例の AnyConnect 4.0 統合を、詳細については参照して下さい。

WSUS のための治療をポーズをとらせて下さい

WSUS のためのポスチャ治療を設定するためにこれらのステップを完了して下さい:

  1. ポリシー > 条件 > ポスチャ > 治療アクション > ウィンドウ サーバ アップデート サービス治療に新しいルールを作成するためにナビゲート して下さい。

  2. Microsoft Windows アップデート設定が重大度に行われることを確認して下さい。 この一部は治療プロセスが開始する場合検出を担当します。

Microsoft Windows アップデート エージェントは WSUS にそして接続し、インストールを待つその PC のための重要なアップデートがあるかどうか確認します:

WSUS のためのポスチャ 要件

ポリシー > 条件 > ポスチャ > 必要条件へのナビゲート新しいルールを作成するため。 ルールは pr_WSUSRule と呼ばれるダミーの条件を使用しますつまり治療が必要なとき WSUS が条件があるように確認するために連絡されることを意味します(重要な更新)。

この条件が満たされれば、WSUS はその PC のために設定された更新をインストールします。 これらは更新の型を含むことができまたより低い深刻度とのそれらは水平になります:

AnyConnect プロファイル

AnyConnect 4 プロファイルと共にポスチャ モジュール プロファイルを、設定して下さい(ISE バージョン 1.3 設定例の AnyConnect 4.0 統合に記述されているように):

クライアント プロビジョニング ルール

AnyConnect プロファイルが準備ができていれば、クライアント 提供 方針から参照することができます:

アプリケーション全体は、設定と共に門脈ページを提供しているクライアントにリダイレクトされるエンドポイントで、インストールされています。 AnyConnect 4 はアップグレードされるインストールされるかもしれないし、追加モジュール(ポスチャ)。

許可プロファイル(Authorization Profiles)

クライアント プロビジョニング プロファイルにリダイレクションのための許可 プロファイルを作成して下さい:

認可規則

このイメージは承認規則を示します:

はじめて、ASA-VPN_quarantine ルールは使用されます。 その結果、ポスチャ 許可 プロファイルは戻り、エンドポイントは AnyConnect 4 (ポスチャ モジュールと)プロビジョニングのためのクライアント提供ポータルにリダイレクトされます。

対応、ASA-VPN_compliant ルールは使用され、完全なネットワーク アクセスは許可されます。

確認

このセクションは設定きちんとはたらくことを確認するために使用できる情報を提供します。

更新済 GPO ポリシーがある PC

WSUS 設定のドメイン ポリシーは PC がドメインにログイン した後押す必要があります。 これは VPN セッションが設定される前に発生する場合があります(帯域から)またはログオン機能性が使用される前に開始するはまた配線される/ワイヤレスアクセス 802.1X に(それ使用することができます)。

Microsoft Windows クライアントは正しい設定があれば、これは Windows アップデート設定から反映することができます:

もし必要なら、グループ ポリシー オブジェクト(GPO)リフレッシュおよび Microsoft Windows アップデート エージェント サーバ ディスカバリは使用することができます:

C:\Users\Administrator>gpupdate /force
Updating Policy...

User Policy update has completed successfully.
Computer Policy update has completed successfully.


C:\Users\Administrator>wuauclt.exe /detectnow

C:\Users\Administrator>

WSUS の重要なアップデートを承認して下さい

承認審査方式はクライアントサイト目標とすることから寄与できます:

wuauclt とのレポートをもし必要なら送り直して下さい。

WSUS の PC ステータスをチェックして下さい

このイメージは WSUS の PC ステータスをチェックする方法を示します:

1 アップデートは WSUS の次のリフレッシュのためにインストールする必要があります。

設定される VPN セッション

VPN セッションが設定された後、ポスチャ 許可 プロファイルを戻す ASA-VPN_quarantine ISE 承認規則は使用されます。 その結果、エンドポイントからの HTTPトラフィックは AnyConnect 4 アップデートおよびポスチャ モジュール プロビジョニングのためにリダイレクトされます:

この時点で、ASA のセッションステータスは ISE に HTTPトラフィックのリダイレクションを用いる制限されたアクセスを示します:

asav# show vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 69
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.21

<...some output omitted for clarity...>

ISE Posture:
  Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...

  Redirect ACL : Posture-redirec

ポスチャ モジュールは ISE からポリシーを受け取り、治療を行います

ポスチャ モジュールは ISE からポリシーを受け取ります。 ise-psc.log デバッグは要件を示しますポスチャ モジュールに送信 される:

2015-06-05 07:33:40,493 DEBUG  [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
  <version>2</version>
  <encryption>0</encryption>
  <package>
    <id>10</id>
    <name>WSUS</name>
    <version/>
    <description>This endpoint has failed check for any AS installation</description>
    <type>10</type>
    <optional>0</optional>
    <path>42#1</path>
    <remediation_type>1</remediation_type>
    <remediation_retry>0</remediation_retry>
    <remediation_delay>0</remediation_delay>
    <action>10</action>
    <check>
      <id>pr_WSUSCheck</id>
    </check>
    <criteria/>
  </package>
</cleanmachines>

ポスチャ モジュールは WSUS に接続され、WSUS ポリシーの設定によってアップデートをダウンロードするために自動的に Microsoft Windows アップデート エージェントを引き起こします(自動的にすべてユーザ 介入なしで):

: いくつかの更新はシステム 再始動を必要とするかもしれません。

完全なネットワーク アクセス

ステーションが AnyConnect ポスチャ モジュールによって対応ように報告された後これが表示されます:

レポートはポリシーを再評価し、ASA-VPN_compliant 承認規則を見つける ISE に送られます。 これは完全なネットワーク アクセスを提供します(Radius CoA によって)。 オペレーション > 認証にこれを確認するためにナビゲート して下さい:

デバッグ(ise-psc.log)はまたポスチャの準拠 ステータス、CoA トリガーおよび最終的な 設定を確認します:

DEBUG  [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy

DEBUG  [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG  [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]


DEBUG  [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->

DEBUG  [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]

また、ISE によって詳述されるポスチャ審査報告書はステーションが対応であることを確認します:

: Microsoft Windows PC の物理的 な ネットワーク インターフェイスの正確なメディア アクセス制御(MAC) アドレスは ACIDEX 拡張が理由で知られています。

トラブルシューティング

現在この設定のために利用可能 な トラブルシューティング情報がありません。

重要事項

このセクションはこの資料に説明がある設定についての重要な情報を提供します。

WSUS 治療のためのオプション 詳細

治療からの要件条件を区別することは重要です。 AnyConnect は治療設定を使用して検証 Windows アップデートに依存した準拠性をチェックするために Microsoft Windows アップデート エージェントを引き起こします。

この例に関しては、重大度は使用されます。 重要な設定によって、Microsoft Windows エージェントは保留中の(インストール済み)重要なアップデートがあるかどうか確認します。 ある場合、治療は始まります。

治療プロセスはそれから WSUS 設定(特定のマシンのために承認される更新)に基づいて重要で、より少なく重要な更新すべてをインストールするかもしれません。

検証 Windows によって要件でステーションは対応であるかどうか決定する詳述される Cisco としてセットを使用して更新は、条件支配します

Windows アップデート サービス

WSUS サーバのない配備に関しては、呼出した Windows Update 治療を使用できるもう一つの治療型があります:

この治療タイプは Microsoft Windows アップデート設定の制御を可能にし、即時アップデートを行うことを可能にします。 この治療型と使用する典型的な状態は pc_AutoUpdateCheck です。 これは Microsoft Windows アップデート 設定がエンドポイントで有効に なるかどうか確認することを可能にします。 そうでなかったら、それを有効に し、アップデートを行うことができます。

SCCM 統合

パッチ管理と呼ばれる多くのサードパーティベンダーとの統合を ISE バージョン 1.4 のための新しい 機能は可能にします。 ベンダーに依存は、複数のオプション条件および治療両方に利用できます。

Microsoft に関しては、システム管理 サーバ(SMS)およびシステム センター コンフィギュレーションマネージャ両方(SCCM)はサポートされます。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 119214