Ce document décrit comment configurer la fonctionnalité de posture du Logiciel Cisco Identity Services Engine (ISE) quand il est intégré avec les services de mise à jour de Microsoft Windows Server (WSUS).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Cette section décrit comment configurer l'ISE et les éléments de réseau relatifs.
C'est la topologie qui est utilisée pour les exemples dans tout ce document :
Voici la circulation, comme illustré dans le schéma de réseau :
Le service WSUS est déployé par le port TCP standard 8530. Il est important de se souvenir cela pour la correction, d'autres ports sont également utilisés. C'est pourquoi il est sûr d'ajouter l'adresse IP de WSUS à la liste de contrôle d'accès de redirection (ACL) sur l'ASA (décrite plus tard dans ce document).
La stratégie de groupe pour le domaine est configurée pour des mises à jour et des points de Microsoft Windows au serveur des gens du pays WSUS :
Ce sont les mises à jour recommandées qui sont activées pour les stratégies granulaires qui sont basées sur des différents niveaux de sévérité :
L'optimisation de côté client tient compte de la meilleure flexibilité lointaine. L'ISE peut utiliser les stratégies de posture qui sont basées sur les différents conteneurs d'ordinateur de Microsoft Active Directory (AD). Le WSUS peut approuver les mises à jour qui sont basées sur cette adhésion.
L'accès VPN simple de Secure Sockets Layer (SSL) pour l'utilisateur distant est utilisé (les détails dont soyez hors de portée de ce document).
Voici un exemple de configuration :
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 172.16.32.100 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.31.100 255.255.255.0
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy POLICY internal
group-policy POLICY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0
Il est important de configurer une liste d'accès sur l'ASA, qui est utilisée afin de déterminer le trafic qui devrait être réorienté à l'ISE (pour les utilisateurs qui ne sont pas encore conformes) :
access-list Posture-redirect extended deny udp any any eq domain
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www
On permet seulement le Système de noms de domaine (DNS), l'ISE, le WSUS, et le trafic de Protocole ICMP (Internet Control Message Protocol) pour les utilisateurs non-conformes. Tout les autre le trafic (HTTP) est réorienté à l'ISE pour le ravitaillement d'AnyConnect 4, qui est responsable de la posture et de la correction.
Terminez-vous ces étapes afin de configurer la correction de posture pour WSUS :
L'agent de mise à jour de Microsoft Windows alors se connecte au WSUS et vérifie s'il y a des mises à jour essentielles pour ce PC qui attendent l'installation :
Naviguez vers la stratégie > les conditions > la posture > les conditions requises afin de créer une nouvelle règle. La règle utilise une condition factice appelée le pr_WSUSRule, ainsi il signifie que le WSUS est entré en contact afin de vérifier la condition quand la correction est nécessaire (les mises à jour essentielles).
Une fois que cette condition est remplie, le WSUS installe les mises à jour qui ont été configurées pour ce PC. Ceux-ci peuvent inclure n'importe quel type de mises à jour, et également ceux avec des niveaux d'importance plus bas :
Configurez le profil de module de posture, avec le profil d'AnyConnect 4 (comme décrit dans l'intégration d'AnyConnect 4.0 avec l'exemple de configuration de version 1.3 ISE) :
Une fois que le profil d'AnyConnect est prêt, il peut être mis en référence de la stratégie de ravitaillement de client :
L'application entière, avec la configuration, est installée sur le point final, qui est réorienté à la page du portail de ravitaillement de client. AnyConnect 4 pourrait être mis à jour et un module supplémentaire (posture) être installé.
Créez un profil d'autorisation pour la redirection au profil de ravitaillement de client :
Cette image affiche les règles d'autorisation :
Pour la première fois, la règle d'ASA-VPN_quarantine est utilisée. En conséquence, le profil d'autorisation de posture est retourné, et le point final est réorienté au portail de ravitaillement de client pour le ravitaillement d'AnyConnect 4 (avec le module de posture).
Une fois que conforme, la règle d'ASA-VPN_compliant est utilisée et le plein accès au réseau est permis.
Cette section fournit les informations que vous pouvez employer afin de vérifier que vous configuration travaille correctement.
Les stratégies de domaine avec la configuration WSUS devraient être poussées après que le PC se connecte dans le domaine. Ceci peut se produire avant que la session VPN soit établie (hors de la bande) ou ensuite si la fonctionnalité de Start Before Logon est utilisée (elle peut être également utilisée pour accès de câble/Sans fil de 802.1x).
Une fois que le client de Microsoft Windows a la configuration correcte, ceci peut être reflété des configurations de Windows Update :
Si nécessaire, un objet de stratégie de groupe (GPO) régénèrent et serveur d'agent de mise à jour de Microsoft Windows que la détection peut être utilisée :
C:\Users\Administrator>gpupdate /force
Updating Policy...
User Policy update has completed successfully.
Computer Policy update has completed successfully.
C:\Users\Administrator>wuauclt.exe /detectnow
C:\Users\Administrator>
Le processus d'approbation peut tirer bénéfice de l'optimisation de site client :
Renvoyez l'état avec le wuauclt si nécessaire.
Cette image affiche comment vérifier l'état PC sur le WSUS :
Une mise à jour devrait être installée pour le prochain régénèrent avec le WSUS.
Après que la session VPN soit établie, la règle d'autorisation d'
ISE est utilisée, qui renvoie le profil d'autorisation de posture. En conséquence, le trafic http du point final est réorienté pour les 4 ravitaillements de module de mise à jour et de posture d'AnyConnect :En ce moment, l'état de session sur l'ASA indique l'accès limité avec la redirection du trafic http à l'ISE :
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 69
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
<...some output omitted for clarity...>
ISE Posture:
Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...
Redirect ACL : Posture-redirec
Le module de posture reçoit les stratégies de l'ISE. ise-psc.log met au point l'exposition la condition qui soit envoyé au module de posture :
2015-06-05 07:33:40,493 DEBUG [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
<name>WSUS</name>
<version/>
<description>This endpoint has failed check for any AS installation</description>
<type>10</type>
<optional>0</optional>
<path>42#1</path>
<remediation_type>1</remediation_type>
<remediation_retry>0</remediation_retry>
<remediation_delay>0</remediation_delay>
<action>10</action>
<check>
<id>pr_WSUSCheck</id>
</check>
<criteria/>
</package>
</cleanmachines>
Le module de posture déclenche automatiquement l'agent de mise à jour de Microsoft Windows pour se connecter au WSUS et pour télécharger des mises à jour comme configurées dans les stratégies WSUS (toutes automatiquement sans toute intervention de l'utilisateur) :
Vous verrez ceci après que la station soit signalée comme conforme par le module de posture d'AnyConnect :
L'état est envoyé à l'ISE, qui réévalue la stratégie et frappe la règle d'autorisation d'
. Ceci fournit le plein accès au réseau (par l'intermédiaire du CoA de Radius). Naviguez vers des exécutions > des authentifications afin de confirmer ceci :Met au point (ise-psc.log) confirment également l'état de conformité, le déclencheur CoA, et les configurations finales pour la posture :
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->
DEBUG [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]
En outre, le rapport d'évaluation de posture détaillé par ISE confirme que la station est conforme :
Il n'y a actuellement aucune information de dépannage disponible pour cette configuration.
Cette section fournit quelques informations importantes au sujet de la configuration qui est décrite dans ce document.
Il est important de différencier la condition de condition requise de la correction. AnyConnect déclenche l'agent de mise à jour de Microsoft Windows pour vérifier la conformité, dépendante sur les mises à jour de Windows de validation utilisant la configuration de correction.
Pour cet exemple, le niveau d'importance est utilisé. Avec la configuration essentielle, l'agent de Microsoft Windows vérifie s'il y a () les mises à jour essentielles non installées en suspens. S'il y a, alors la correction commence.
Le procédé de correction pourrait alors installer tout les essentiel et moins de mises à jour importantes du routage basés sur la configuration WSUS (mises à jour approuvées pour l'ordinateur spécifique).
Avec Windows de validation les mises à jour utilisant le positionnement comme Cisco ordonne, les conditions qui sont détaillées dans la condition requise décident si la station est conforme.
Pour des déploiements sans serveur WSUS, il y a un autre type de correction qui peut être utilisé a appelé la correction de Windows Update :
Ce type de correction permet le contrôle des configurations de mise à jour de Microsoft Windows et te permet d'exécuter les mises à jour immédiates. Un état typique qui est utilisé avec ce type de correction est pc_AutoUpdateCheck. Ceci te permet pour vérifier si la configuration de mise à jour de Microsoft Windows est activée sur le point final. Sinon, vous pouvez l'activer et exécuter la mise à jour.
Une nouvelle caractéristique pour la version 1.4 ISE appelée la Gestion de correctif tient compte de l'intégration avec beaucoup de tiers constructeurs. La personne à charge sur le constructeur, des nombreuses options sont disponible pour les conditions et des corrections.
Pour Microsoft, le serveur de gestion du système (SMS) et la Configuration Manager de System Center (SCCM) sont pris en charge.