Безопасность : Устройство Cisco NAC (Clean Access)

NAC-устройство (Cisco Clean Access): Настройка и устранение неполадок обновлений определений антивируса

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как настроить и устранить неполадки Антивируса (AV) требования Обновления Определения в системе контроля доступа к сети Cisco NAC (NAC) Устройство, раньше известное как Cisco Clean Access.

Предварительные условия

Требования

Этот документ предполагает, что Cisco Clean Access, который включает и Clean Access Manager (CAM) и чистый сервер доступа (CAS), установлен и работает должным образом.

Используемые компоненты

Сведения в этом документе основываются на Cisco Clean Access 3.4 и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройте требования обновления определения AV

Тип требования Обновления Определения AV может использоваться для обновления файлов определения у клиента для поддерживаемых антивирусных продуктов. Если клиент не в состоянии удовлетворять требование AV, Чистый Агент Доступа связывается непосредственно с установленным антивирусным программным обеспечением у клиента и автоматически обновляет файлы определения, когда пользователь нажимает кнопку Update на диалоговом окне Агента.

Правила AV включают обширную логику для 24 антивирусных поставщиков и привязаны к требованиям Обновления Определения AV. Для требований Обновления Определения AV конфигурация подобна тому из пользовательских требований, кроме не требуется для настройки проверок. Вы привязываете требования Обновления Определения AV к одному или более Правилам AV, ролям пользователя и операционным системам и также настраиваете Чистые диалоговые инструкции Агента Доступа, которые вы хотите, чтобы пользователь видел, отказывает ли требование AV.

Примечание: Где возможно, рекомендуется использовать Правила AV, сопоставленные с требованиями Обновления Определения AV для проверки антивирусного программного обеспечения у клиентов. В случае неподдерживаемого продукта AV, или если продукт AV или версия не доступны через Правила AV, у вас всегда есть опция, чтобы использовать предоставленный pc_checks Cisco и pr_rules для антивирусного поставщика или создать их собственные проверки, правила и требования через Управление устройствами> Чистый Доступ> Чистый Агент Доступа. Используйте Новую Проверку, Новое Правило и Новое Требование Проверки Файла/Ссылки/Локального.

Эти данные показывают Чистое диалоговое окно Агента Доступа, которое появляется, когда клиент не в состоянии удовлетворять требование Обновления Определения AV.

/image/gif/paws/97868/nac-av-definition-1.gif

Правила AV

Правила AV предварительно сконфигурированы типы правила, сопоставленные с матрицей поставщиков и продуктов, полученных в Поддерживаемом Списке продуктов AV. Не требуется для настройки сверяется с этим типом правила.

Существует два базовых типа Правил AV:

  • Правила AV установки — Это правило проверяет, установлено ли выбранное антивирусное программное обеспечение для клиентской операционной системы.

  • Правила AV Определения вируса — Это правило проверяет, актуальны ли файлы определения вируса у клиента. Правила AV Определения вируса могут быть сопоставлены в требования Обновления Определения AV так, чтобы пользователь, который отказывает требование, мог нажать кнопку Update в Агенте для автоматического выполнения обновления.

Правила AV, как правило, привязываются к требованиям Обновления Определения AV. Эти шаги требуются для создания требований Обновления Определения AV:

  1. Проверьте сведения о поддержке AV

  2. Создайте правило AV

  3. Создайте требование обновления определения AV

  4. Требование карты к правилам

  5. Примените требования к роли

  6. Проверьте требования

Проверьте сведения о поддержке AV

Устройство Cisco NAC позволяет несколькам версий Чистого Агента Доступа использоваться в сети. Новые обновления Агенту добавляют поддержку последних антивирусных продуктов, поскольку они освобождены. Система выбирает лучший метод, или Версия Даты или Def Def для выполнения проверок определения AV на основе доступных продуктов AV и версия Агента. Страница AV Support Info предоставляет подробную информацию о совместимости Агента с последним Поддерживаемым Списком продуктов AV, загруженным к CAM. Эта страница перечисляет последнюю версию и дату файлов определения для каждого продукта AV также базовая версия Агента, необходимого для поддержки продуктов. Можно сравнить информацию о AV клиента против страницы AV Support Info, чтобы проверить, что файл определения, который имеет клиент, является последним. При выполнении нескольк версий Агента в сети эта страница может помочь устранять неполадки, какая версия должна быть выполнена для поддержки конкретного продукта.

Выполните эти шаги, чтобы посмотреть детали Поддержки агента:

  1. Выберите Device Management> Clean Access> Clean Access Agent> Rules> AV/AS Support Info.

  2. Выберите Antivirus из раскрывающегося меню Категории.

    /image/gif/paws/97868/nac-av-definition-2.gif

  3. Выберите Antivirus Vendor из раскрывающегося меню.

  4. Выберите Windows Vista/XP/2K или Windows 9x/ME от раскрывающегося меню Операционной системы для просмотра сведений о поддержке для тех систем клиента. Это заполняет таблицы как показано:

    1. Минимальная Версия агента, Требуемая для Поддержки Продуктов AV — показывает, что минимальная Версия агента потребовала для поддержки каждого продукта AV. Например, 4.0.0.0 Агента могут войти в роль, которая требует Антивирусной защиты Центра Безопасности AOL 1.x, но для 3.6.0.0 или более раннего Агента, эта проверка сбои. Обратите внимание на то, что, если версия Поддержек агента и Проверки версии Даты и Def Def, используется Проверка версии Def.

    2. Версия/Дата Свежего описания вирусов для Выбранного Поставщика — отображает последнюю версию и информацию о дате для продукта AV. Программное обеспечение AV для актуального клиента должно отобразить те же значения.

Примечание: Агент передает его сведения о версии к CAM, и CAM всегда пытается использовать версию определения вируса для проверок AV сначала. Если версия не доступна, CAM использует дату определения вируса вместо этого.

Совет: Можно также просмотреть последнюю версию файла определения при выборе поставщика AV из Новой формы Правила AV.

Создайте правило AV

Выполните эти шаги для создания Правила AV:

  1. Удостоверьтесь, что у вас есть последняя версия Поддерживаемого Списка продуктов AV/AS.

  2. Выберите Device Management> Clean Access> Clean Access Agent> Rules> New AV Rule.

    nac-av-definition-3.gif

  3. Введите Имя правила. Можно использовать цифры и подчеркивания, но никакие пробелы на название.

  4. Выберите Antivirus Vendor из раскрывающегося меню. Это заполняет Проверки для Выбранной таблицы Операционных систем внизу страницы с поддерживаемыми продуктами и версиями продукта от этого поставщика для выбранной Операционной системы.

  5. От раскрывающегося меню Типа выберите Installation или Virus Definition. Это включает флажки для соответствующих столбцов Installation или Virus Definition в таблице.

  6. Выберите Operating System из раскрывающегося меню, или Windows Vista/xp/2k или Windows ME/98. Это отображает версии продукта, поддерживаемые для этой клиентской операционной системы в таблице.

  7. Введите дополнительное Описание Правила.

  8. В Проверках для Выбранной таблицы Операционных систем выберите версии продукта, для которых вы хотите проверить у клиента. Чтобы сделать это, проверьте один или несколько флажков в соответствующих столбцах Installation или Virus Definition. ANY означает, что вы хотите проверить для любого продукта и любой версии от этого поставщика AV. Установка проверяет, установлен ли продукт, и проверки Определения вируса, актуальны ли файлы определения вируса у клиента для указанного продукта.

  9. Нажмите Add Правило. Новое правило AV добавлено у основания Списка Правила с названием, которое вы предоставили.

Создайте требование обновления определения AV

Эти шаги показывают, как создать новое требование Обновления Определения AV для проверки системы клиента для указанных продуктов AV и версий с cвязанным Правилом AV. Если антивирусные файлы определения клиента не актуальны, пользователь может просто нажать кнопку Update на Чистом Агенте Доступа, и Агент заставляет резидентное программное обеспечение AV запускать свой собственный механизм обновления. Обратите внимание на то, что фактический механизм отличается для других продуктов AV, например, оперативных обновлений по сравнению с параметром командной строки.

  1. На Чистой вкладке Agent Доступа щелкните по ссылке подменю Требований, и затем Новому Требованию.

    nac-av-definition-4.gif

  2. Для Требования Тип выбирают AV Definition Update.

  3. Не принуждает опцию требования, проверен по умолчанию, который определяет требование Обновления Определения AV как дополнительное.

    Примечание: Поскольку процесс Windows Update выполняется в фоновом режиме, не принуждайте требование, установлен по умолчанию для оптимизации пользовательского опыта. Если вы выбираете загрузки Automatically и устанавливаете опцию, рекомендуется оставить это требование как дополнительное. WSUS принудительное обновление может требовать времени, и запущено и выполнено в фоновом режиме.

  4. Выберите Priority выполнения для этого требования у клиента. Высокий приоритет, такой как 1, означает, что это требование проверено в системе перед всеми другими требованиями и появляется в диалоговых окнах Агента в том заказе. Обратите внимание на то, что, если обязательное требование отказывает, Агент не продолжает мимо той точки, пока не успешно выполняется то требование.

  5. Выберите Antivirus Vendor Name из раскрывающегося меню. Таблица Продуктов приводит все версии продукта определения вируса, поддерживаемые для каждой клиентской операционной системы.

  6. Для Названия Требования введите уникальное имя для определения этого требования файла определения AV в Агенте. Название видимо пользователям на Чистых диалоговых окнах Агента Доступа.

  7. В Поле описания введите описание требования и инструкций для направления пользователей, кто не в состоянии удовлетворять требование. Для требования Обновления Определения AV необходимо включать инструкции для пользователей для нажатия кнопки Update для обновления их систем. Помните эту информацию:

    • Обновление Определения AV отображает кнопку Update на Агенте.

    • Обновление Определения AS отображает кнопку Update на Агенте.

    • Windows Update отображает кнопку Update на Агенте.

  8. Проверьте один или больше этих флажков для установки Операционных систем для требования:

    • Windows All

    • Windows 2000*

    • Windows ME

    • Windows 98

    • Windows XP (Все) включая всех правопреемников определенных операционных систем Windows XP

    • Windows Vista (Все) включая всех правопреемников определенных операционных систем Windows Vista

  9. Нажмите Add Требование для добавления требования к Списку Требования.

Требование карты к правилам

Как только требование создано и ссылки исправления, и инструкции заданы, сопоставляют требование с правилом или рядом правил. Требование к правилу, сопоставляющее, привязывает ruleset, который проверяет, удовлетворяет ли система клиента требование к действию требований пользователя (Кнопка Agent, инструкции, ссылки) необходимый для системы клиента для соответствия.

  1. На Чистой вкладке Agent Доступа нажмите подменю Требований, и затем откройте форму Правил требования.

    nac-av-definition-5.gif

  2. Из меню Requirement Name выберите требование для сопоставления.

  3. Проверьте операционную систему для требования в меню Operating System. Правила для Выбранного списка Операционной системы заполнены со всеми правилами, доступными для выбранного ОС.

  4. Для Правил Определения вируса AV (желтые общие сведения), можно дополнительно настроить CAM, чтобы позволить файлам определения у клиента быть многими днями, более старыми, чем, что CAM имеет в наличии от Обновлений. См. Правила> Информация Поддержки AS AV для последних дат файла продукта. Это позволяет вам настраивать дрейф в требование так, чтобы, если никакие новые файлы определения вируса не освобождены от поставщика продукта, клиенты могли все еще передать требование. Для этого выполните следующие действия:

    1. Проверьте правила Определения вируса AV, позвольте файлу определения быть x днями, более старыми, чем флажок.

    2. Введите количество в текстовом поле. По умолчанию 0, который указывает, что дата определения не может быть более старой, чем файл/системная дата.

    3. Выберите одну из этих опций:

      • Последняя дата файла — Это позволяет клиентскому файлу определения быть более старым, чем дата свежего описания вирусов на CAM к числу дней, которое вы задаете.

      • Текущая системная дата — Это позволяет клиентскому файлу определения быть более старым, чем системная дата CAM, когда последнее обновление было выполнено числом дней, вы задаете.

  5. Прокрутите страницу вниз и проверьте флажок Select рядом с каждым правилом, которое вы хотите привязать к требованию. Правила применены в их порядке очередности, как описано в этой таблице:

    /image/gif/paws/97868/nac-av-definition-6.gif

  6. Для Требований, удовлетворенных, если, выберите одну из этих опций:

    • Если все правила должны быть удовлетворены для клиента, чтобы быть рассмотренными в соответствии с требованием, все выбранные правила успешно выполняются

    • Если по крайней мере одно выбранное правило должно быть удовлетворено для клиента, чтобы быть рассмотренным в соответствии с требованием, любое выбранное правило успешно выполняется

    • Если выбранные правила должны все быть не в состоянии для клиента быть рассмотренными в соответствии с требованием, никакое выбранное правило не успешно выполняется

    Если клиенты не в соответствии с требованием, они должны установить программное обеспечение, привязанное к требованию, или завершить обязательные шаги.

  7. Нажмите кнопку Update (Обновить).

Примените требования к роли

Как только требования созданы, настроены с шагами исправления и привязаны к правилам, они должны быть сопоставлены с ролями пользователя. Этот шаг применяет требования к группам пользователей в системе.

Примечание: Удостоверьтесь, что вам уже создали обычные роли регистрационной информации пользователя для входа.

  1. На Чистой вкладке Agent Доступа щелкните по ссылке подменю Требований роли.

    nac-av-definition-7.gif

  2. Из меню Role Type выберите тип роли для настройки. В большинстве случаев это - Обычная Роль Входа в систему.

  3. Выберите название роли из меню User Role.

  4. Проверьте флажок Select для каждого требования, вы хотите примениться к пользователям в роли.

  5. Нажмите кнопку Update (Обновить).

  6. Перед завершением удостоверьтесь, что пользователи в роли обязаны использовать Чистого Агента Доступа.

Проверьте требования

Чистый Access Manager автоматически проверяет требования и правила, поскольку они созданы. Столбец Validity под Управлением устройствами> Чистый Доступ> Чистый Агент Доступа> Требования> Список Требования отображает законность требования, как показано:

  • /image/gif/paws/97868/nac-av-definition-8.gif— Требование допустимо.

  • /image/gif/paws/97868/nac-av-definition-9.gif— Требование недопустимо. Выделите этот значок с мышью в показе заказа сообщение о статусе законности для этого требования. Состояния сообщения о статусе, которые управляют и которые проверяют, заставляют требование быть недопустимым в этом формате:

    Invalid rule [rulename] in package [requirementname] (Rule verification error: 
    Invalid check [checkname] in rule expression)

Требование должно быть исправлено и сделано допустимое, прежде чем оно сможет использоваться. Когда существует несоответствие операционной системы, Как правило, требования и правила становятся недопустимыми.

Для исправления недопустимого требования выполните эти шаги:

  1. Выберите Device Management> Clean Access> Clean Access Agent> Requirements> Requirement-Rules.

  2. Исправьте любые недопустимые правила или проверки.

  3. Выберите недопустимое Название Требования из раскрывающегося меню.

  4. Выберите операционную систему.

  5. Удостоверьтесь Требование, удовлетворенное если: выражение правильно настроено.

  6. Удостоверьтесь, что правила, выбранные для требования, допустимы, что означает, что у них есть синяя метка выбора в столбце Validity.

/image/gif/paws/97868/nac-av-definition-10.gif

Правила Cisco

Правило является условным оператором, составленным из одной или более проверок. Объединения правила сверяются с логическими операторами для формирования булева оператора, который может протестировать множественные функции системы клиента.

Устройство Cisco NAC предоставляет ряд предварительно сконфигурированных правил и посылает багажом ссылку Обновлений. Предварительно сконфигурированные правила имеют префикс pr на их названия, такие как pr_AutoUpdateCheck_Rule. Посмотрите Cisco Предварительно сконфигурированные Правила ("PR _") для получения дополнительной информации.

Проверки Cisco

Проверка является условным оператором, который исследует функцию системы клиента, такой как файл, ключ реестра, сервис или приложение. Предварительно сконфигурированные проверки имеют префикс pc на их названия, такие как pc_Hotfix828035. Эта таблица приводит типы доступных проверок и что они тестируют.

Проверьте категорию Проверьте тип
Проверка реестра
  • существует ли ключ реестра
  • значение ключа реестра
Проверка файла
  • существует ли файл
  • дата модификации или создания
  • версия файла
Сервисная проверка
  • выполняется ли сервис
Проверка приложения
  • действительно ли выполнение приложения

Cisco предварительно сконфигурированные правила (“PR _”)

Устройство Cisco NAC предоставляет ряд предварительно сконфигурированных правил и проверок, которые загружены к CAM через страницу Updates на вебе - консоли CAM под Управлением устройствами> Чистый Доступ> Чистый Агент Доступа> Обновления.

Предварительно сконфигурированные правила имеют префикс pr на их названия, например pr_XP_Hotfixes, и могут быть скопированы для использования в качестве шаблона, но не могут быть отредактированы или удалены. Можно нажать кнопку Edit для любого правила pr_ для просмотра выражения правила, которое определяет его. Выражение правила для предварительно сконфигурированного правила составлено из предварительно сконфигурированных проверок, таких как pc_Hotfix835732 и булевы операторы. Выражение правила для предварительно сконфигурированных правил обновлено через Обновления Cisco. Например, когда новые Важные заплаты Операционной системы Windows освобождены для Windows XP, правило pr_XP_Hotfixes обновлено со связанными проверками заплаты.

Предварительно сконфигурированные правила перечислены под Управлением устройствами> Чистый Доступ> Чистый Агент Доступа> Правила> Список Правила. Предварительно сконфигурированные проверки имеют префикс pc на их названия и перечислены под Управлением устройствами> Чистый Доступ> Чистый Агент Доступа> Правила> Список проверки.

Примечание: Предварительно сконфигурированные правила Cisco предназначены для оказания поддержки для Важных заплат Операционной системы Windows только.

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Cisco Clean Access не обновляет определение AV для клиентов

Для устранения указанной неполадки выполните следующие действия:

  1. В CAM выберите Device Management> Clean Access> Requirements> Requirement-Rules.

  2. Отмените выбор предварительно сконфигурированных правил (pr_), если таковые имеются.

  3. Выберите соответствующие правила AV.

CCA, неспособный обнаружить AV

Если вы подозреваете, что CCA не обнаруживает или распознает определенные, некоторый проверки AV, необходимо выполнить инструмент диагностики OESIS в клиенте.

Выполните следующие действия:

  1. Enable logging.

    Отнеситесь для Включения Ведения журнала отладки на Чистом Агенте Доступа для инструкций о том, как включить ведение журнала отладки у клиента.

  2. Попытайтесь войти.

  3. Выполните инструмент диагностики OESIS.

  4. Отключите регистрацию.

Примечание: Если можно захватить экспорт структуры ключа реестра от продукта AV, обычно располагаемого в HKLM\Software \<av_vendor>, который полезен также.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения