Dit document beschrijft hoe u de functie Cisco Identity Services Engine (ISE) kunt configureren wanneer deze is geïntegreerd in de Microsoft Windows Server Update Services (WSUS).
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
In deze sectie wordt beschreven hoe u de ISE en verwante netwerkelementen kunt configureren.
Dit is de topologie die voor de voorbeelden door dit document wordt gebruikt:
Hier is de verkeersstroom, zoals wordt geïllustreerd in het netwerkdiagram:
De WSUS-service wordt uitgevoerd via de standaard TCP-poort 8530. Het is belangrijk te bedenken dat voor sanering ook andere havens worden gebruikt. Dit is waarom het veilig is om het IP-adres van WSUS toe te voegen aan de toegangscontrolelijst (ACL) in de ASA (later beschreven in dit document).
Het groepsbeleid voor het domein is ingesteld voor Microsoft Windows-updates en wijst op de lokale WSUS-server:
Dit zijn de aanbevolen updates die beschikbaar zijn voor korrelig beleid dat gebaseerd is op verschillende niveaus van ernst:
De doelgerichtheid van de cliënt maakt een veel grotere flexibiliteit mogelijk. ISE kan postuur beleid gebruiken dat gebaseerd is op de verschillende Microsoft Active Directory (AD) computercontainers. Het WSUS kan updates goedkeuren die zijn gebaseerd op dit lidmaatschap.
Eenvoudige Secure Socket Layer (SSL) VPN-toegang voor de externe gebruiker wordt gebruikt (waarvan de details buiten het bereik van dit document zijn).
Hier is een voorbeeldconfiguratie:
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 172.16.32.100 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.31.100 255.255.255.0
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy POLICY internal
group-policy POLICY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0
Het is belangrijk om een toegangslijst op de ASA te vormen, die wordt gebruikt om het verkeer te bepalen dat naar ISE (voor gebruikers die nog niet voldoen) zou moeten worden verlegd:
access-list Posture-redirect extended deny udp any any eq domain
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www
Er is alleen ICMP-verkeer (Domain Name System), ISE, WSUS en Internet Control Message Protocol (DNS) toegestaan voor niet-conforme gebruikers. Al het andere verkeer (HTTP) wordt naar ISE verwezen voor AnyConnect 4 provisioning, die verantwoordelijk is voor houding en herstel.
Voltooi deze stappen om het herstel van de houding voor WSUS te configureren:
De Microsoft Windows Update Agent sluit zich dan aan op de WWUS en controleert of er kritieke updates voor die PC zijn die op installatie wachten:
Navigeer naar beleid > Voorwaarden > Postvereisten om een nieuwe regel te creëren. De regel gebruikt een dummy-voorwaarde genaamd pr_WSUSRule, wat betekent dat het WSUS gecontacteerd wordt om de aandoening te controleren wanneer herstel nodig is (Kritische updates).
Zodra aan deze voorwaarde is voldaan, installeert het WWUS de updates die voor die PC zijn gevormd. Dit kan elk type updates omvatten, en ook updates met een lagere ernst:
Configureer het profiel van de postmodule met het AnyConnect 4-profiel (zoals beschreven in de AnyConnect 4.0-integratie met ISE versie 1.3 Configuratievoorbeeld):
Zodra het AnyConnect-profiel klaar is, kan er verwezen worden naar het beleid voor clientprovisioning:
De gehele toepassing wordt samen met de configuratie geïnstalleerd op het eindpunt, dat wordt herleid naar de pagina van de Provisioning van de client. AnyConnect 4 kan worden bijgewerkt en er kan een extra module (functie) worden geïnstalleerd.
Maak een autorisatieprofiel voor omleiding naar het clientprovisioningprofiel:
Op deze afbeelding zijn de toelatingsregels te zien:
Voor het eerst wordt de ASA-VPN_quarantaineregel gebruikt. Als gevolg daarvan wordt het vergunningprofiel voor Posture teruggegeven en wordt het eindpunt verwezen naar het Customer Provisioning Portal voor AnyConnect 4 (met postmodule).
Zodra dit is gebeurd, wordt de ASA-VPN_compatibele regel gebruikt en is volledige netwerktoegang toegestaan.
Deze sectie verschaft informatie die u kunt gebruiken om te controleren of de configuratie correct werkt.
Het domeinbeleid met de configuratie van het WSUS moet worden geduwd nadat de PC zich in het domein inlogt. Dit kan voorkomen voordat de VPN-sessie wordt ingesteld (buiten de band) of nadat de Start Voordat Logon-functie wordt gebruikt (deze kan ook worden gebruikt voor 802.1x bekabelde/draadloze toegang).
Nadat de Microsoft Windows-client de juiste configuratie heeft, kan dit worden weerspiegeld in de Windows Update-instellingen:
Indien nodig kan een Group Policy Object (GPO) worden opgefrist en kan de serverontdekking van Microsoft Windows Update Agent worden gebruikt:
C:\Users\Administrator>gpupdate /force
Updating Policy...
User Policy update has completed successfully.
Computer Policy update has completed successfully.
C:\Users\Administrator>wuauclt.exe /detectnow
C:\Users\Administrator>
Het goedkeuringsproces kan profiteren van de gerichtheid op de plaats van ontvangst:
Herhaal het rapport indien nodig met de mond.
Deze afbeelding toont hoe de PC-status in het WSUS moet worden gecontroleerd:
Eén update moet worden geïnstalleerd voor de volgende verfrissing met het WSUS.
Nadat de VPN-sessie is vastgesteld, wordt de
ISE autorisatieregel gebruikt, die het Posture autorisatieprofiel teruggeeft. Als resultaat hiervan wordt het HTTP-verkeer van het eindpunt opnieuw gericht voor de AnyConnect 4 update en posture module provisioning:Op dit punt geeft de sessiestatus van de ASA beperkte toegang aan met de omleiding van het HTTP-verkeer naar de ISE:
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 69
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
<...some output omitted for clarity...>
ISE Posture:
Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...
Redirect ACL : Posture-redirec
De postmodule ontvangt het beleid van de ISE. De uiteinden ise-psc.log tonen de vereiste aan die naar de postmodule wordt gestuurd:
2015-06-05 07:33:40,493 DEBUG [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
WSUS
<version/>
<description>This endpoint has failed check for any AS installation</description>
<type>10</type>
<optional>0</optional>
42#1
<remediation_type>1</remediation_type>
<remediation_retry>0</remediation_retry>
<remediation_delay>0</remediation_delay>
<action>10</action>
<check>
pr_WSUSCheck
</check>
<criteria/>
</package>
</cleanmachines>
De postmodule start automatisch de Microsoft Windows Update Agent om verbinding te maken met de WSUS en download updates zoals ingesteld in het WSUS-beleid (allemaal automatisch zonder enige gebruikersinterventie):
U ziet dit nadat het station is gemeld als compatibel met de AnyConnect-postmodule:
Het rapport wordt verstuurd naar ISE, die het beleid herevalueert en de autorisatieregel
raakt. Dit biedt volledige netwerktoegang (via de Radius CoA). Navigeer naar Operations > Authenticaties om dit te bevestigen:De debugs (ise-psc.log) bevestigen ook de compliance status, de CoA-trigger en de definitieve instellingen voor de functie:
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->
DEBUG [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]
Ook bevestigt het rapport van de ISE, dat het station voldoet aan:
Er is momenteel geen informatie over probleemoplossing beschikbaar voor deze configuratie.
Deze sectie verschaft belangrijke informatie over de configuratie die in dit document wordt beschreven.
Het is belangrijk de vereiste conditie te onderscheiden van de sanering. AnyConnect brengt de Microsoft Windows Update Agent in werking om de naleving te controleren, afhankelijk van de Windows-updates valideren met corrigerende instellingen.
Bij dit voorbeeld wordt het ernst-niveau gebruikt. Met de kritieke instelling controleert de Microsoft Windows Agent of er hangende (niet geïnstalleerde) kritische updates zijn. Als er iets is, dan begint het herstel.
Het herstelproces zou dan alle kritische en minder belangrijke updates op basis van de WSUS-configuratie kunnen installeren (updates goedgekeurd voor de specifieke machine).
Met de redactie van Windows updates die als Cisco Regels gebruiken, besluiten de voorwaarden die in de vereiste gedetailleerd zijn of het station voldoet.
Voor implementaties zonder een WSUS-server is er een ander hersteltype dat kan worden gebruikt met de naam Windows Update Remediation:
Dit type herstel maakt controle mogelijk over de instellingen voor Microsoft Windows Update en stelt u in staat onmiddellijke updates uit te voeren. Een typische voorwaarde die met dit hersteltype wordt gebruikt is pc_AutoUpdateCheck. Hiermee kunt u controleren of de instelling Microsoft Windows Update op het eindpunt is ingeschakeld. Als dit niet het geval is, kunt u dit activeren en het update uitvoeren.
Een nieuwe functie voor de ISE versie 1.4, patchbeheer genaamd, maakt integratie met veel derden mogelijk. Afhankelijk van de verkoper zijn er meerdere opties beschikbaar voor zowel de omstandigheden als de oplossingen.
Voor Microsoft worden zowel de System Management Server (sms) als de System Center Configuration Manager (SCCM) ondersteund.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
03-Aug-2015 |
Eerste vrijgave |