Este documento descreve como configurar a funcionalidade da postura do Cisco Identity Services Engine (ISE) quando é integrado com os serviços da atualização do Microsoft Windows server (WSUS).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Esta seção descreve como configurar o ISE e os elementos de rede relacionados.
Esta é a topologia que é usada para os exemplos durante todo este documento:
Está aqui o fluxo de tráfego, como ilustrado no diagrama da rede:
O serviço WSUS é distribuído através da porta TCP padrão 8530. É importante recordar que para a remediação, outras portas estão usadas igualmente. Eis porque é seguro adicionar o endereço IP de Um ou Mais Servidores Cisco ICM NT de WSUS ao Access Control List da reorientação (ACL) no ASA (descrito mais tarde neste documento).
A política do grupo para o domínio é configurada para atualizações e pontos de Microsoft Windows ao server local WSUS:
Estas são as atualizações recomendadas que são permitidas para as políticas granuladas que são baseadas em níveis diferentes da severidade:
A escolha de objetivos do lado do cliente permite a flexibilidade distante maior. O ISE pode usar as políticas da postura que são baseadas nos recipientes diferentes do computador do microsoft ative directory (AD). O WSUS pode aprovar as atualizações que são baseadas nesta sociedade.
O acesso simples do secure sockets layer (SSL) VPN para o usuário remoto é empregado (os detalhes de que seja fora do âmbito deste documento).
Está aqui um exemplo de configuração:
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 172.16.32.100 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.31.100 255.255.255.0
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy POLICY internal
group-policy POLICY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0
É importante configurar uma lista de acesso no ASA, que é usado a fim determinar o tráfego que deve ser reorientado ao ISE (para os usuários que não são ainda complacentes):
access-list Posture-redirect extended deny udp any any eq domain
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www
Somente o Domain Name System (DNS), o ISE, WSUS, e o tráfego do Internet Control Message Protocol (ICMP) são permitidos usuários NON-complacentes. Todo o outro tráfego (HTTP) é reorientado ao ISE para o abastecimento de AnyConnect 4, que é responsável para a postura e a remediação.
Termine estas etapas a fim configurar a remediação da postura para WSUS:
O agente da atualização de Microsoft Windows então conecta ao WSUS e verifica se haja alguma atualização crítica para esse PC que esperar a instalação:
Navegue à política > às circunstâncias > à postura > às exigências a fim criar uma regra nova. A regra usa uma condição do manequim chamada pr_WSUSRule, assim que significa que o WSUS está contactado a fim verificar para ver se há a condição quando a remediação é necessária (atualizações críticas).
Uma vez que esta circunstância é estada conforme, o WSUS instala as atualizações que foram configuradas para esse PC. Estes podem incluir qualquer tipo de atualizações, e igualmente aqueles com severidade mais baixa nivelam:
Configurar o perfil do módulo da postura, junto com o perfil de AnyConnect 4 (como descrito na integração de AnyConnect 4.0 com exemplo de configuração da versão 1.3 ISE):
Uma vez que o perfil de AnyConnect está pronto, pode ser provido da política de abastecimento do cliente:
O aplicativo inteiro, junto com a configuração, é instalado no valor-limite, que é reorientado à página do portal do abastecimento do cliente. AnyConnect 4 pôde ser promovido e um módulo adicional (postura) ser instalado.
Crie um perfil da autorização para a reorientação ao perfil do abastecimento do cliente:
Esta imagem mostra as regras da autorização:
Pela primeira vez, a regra de ASA-VPN_quarantine é usada. Em consequência, o perfil da autorização da postura é retornado, e o valor-limite é reorientado ao portal do abastecimento do cliente para o abastecimento de AnyConnect 4 (com módulo da postura).
Uma vez que complacente, a regra de ASA-VPN_compliant é usada e o acesso de rede completo é permitido.
Esta seção fornece a informação que você pode usar a fim verificar que você configuração trabalha corretamente.
As políticas de domínio com a configuração WSUS devem ser introduzidas após os logs PC no domínio. Isto pode ocorrer antes que a sessão de VPN esteja estabelecida (fora da faixa) ou em seguida se o começo antes que a funcionalidade do fazer logon esteja usada (ele pode igualmente ser usado para o 802.1x prendido/acesso Wireless).
Uma vez que o cliente de Microsoft Windows tem a configuração correta, este pode ser refletido dos ajustes de Windows Update:
Se necessário, um grupo o objeto da política que (GPO) refresca e descoberta do servidor IP Phone Agent da atualização de Microsoft Windows pode ser usado:
C:\Users\Administrator>gpupdate /force
Updating Policy...
User Policy update has completed successfully.
Computer Policy update has completed successfully.
C:\Users\Administrator>wuauclt.exe /detectnow
C:\Users\Administrator>
O processo de aprovação pode tirar proveito da escolha de objetivos da site de cliente:
Envie novamente o relatório com wuauclt se necessário.
Esta imagem mostra como verificar o estado PC no WSUS:
Uma atualização deve ser instalada para o seguinte refresca com o WSUS.
Depois que a sessão de VPN é estabelecida, a regra da autorização de
ISE está usada, que retorna o perfil da autorização da postura. Em consequência, o tráfego de HTTP do valor-limite é reorientado para abastecimentos do módulo da atualização e da postura de AnyConnect os 4:Neste momento, o estado da sessão no ASA indica acesso limitado com a reorientação do tráfego de HTTP ao ISE:
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 69
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
<...some output omitted for clarity...>
ISE Posture:
Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...
Redirect ACL : Posture-redirec
O módulo da postura recebe as políticas do ISE. ise-psc.log debuga a mostra a exigência que é enviada ao módulo da postura:
2015-06-05 07:33:40,493 DEBUG [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
<name>WSUS</name>
<version/>
<description>This endpoint has failed check for any AS installation</description>
<type>10</type>
<optional>0</optional>
<path>42#1</path>
<remediation_type>1</remediation_type>
<remediation_retry>0</remediation_retry>
<remediation_delay>0</remediation_delay>
<action>10</action>
<check>
<id>pr_WSUSCheck</id>
</check>
<criteria/>
</package>
</cleanmachines>
O módulo da postura provoca automaticamente o agente da atualização de Microsoft Windows para conectar ao WSUS e para transferir atualizações como configurado nas políticas WSUS (tudo automaticamente sem alguma intervenção de usuário):
Você verá este depois que a estação é relatada como complacente pelo módulo da postura de AnyConnect:
O relatório é enviado ao ISE, que reavalia a política e bate a regra da autorização de
. Isto fornece o acesso de rede completo (através do CoA do raio). Navegue às operações > às autenticações a fim confirmar isto:Debuga (ise-psc.log) igualmente confirmam o status de conformidade, o disparador CoA, e as configurações final para a postura:
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->
DEBUG [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]
Também, o relatório de avaliação detalhado ISE da postura confirma que a estação é complacente:
Não há atualmente nenhuma informação de Troubleshooting disponível para esta configuração.
Esta seção fornece alguma informação importante sobre a configuração que é descrita neste documento.
É importante diferenciar a condição da exigência da remediação. AnyConnect provoca o agente da atualização de Microsoft Windows para verificar a conformidade, dependente das atualizações de Windows da validação usando o ajuste da remediação.
Para este exemplo, o nível de seriedade é usado. Com o ajuste crítico, o agente de Microsoft Windows verifica se haja () umas atualizações críticas não instaladas pendentes. Se há, a seguir a remediação começa.
O processo da remediação pôde então instalar todas as atualizações críticas e menos importantes baseadas na configuração WSUS (atualizações aprovadas para a máquina específica).
Com Windows da validação as atualizações que usam o grupo como Cisco ordenam, as circunstâncias que são detalhadas na exigência decidem se a estação é complacente.
Para disposições sem um server WSUS, há um outro tipo da remediação que possa ser usado chame a remediação de Windows Update:
Este tipo da remediação permite o controle sobre os ajustes da atualização de Microsoft Windows e permite-o de executar atualizações imediatas. Uma condição típica que seja usada com este tipo da remediação é pc_AutoUpdateCheck. Isto permite que você verifique se o ajuste da atualização de Microsoft Windows esteja permitido no valor-limite. Se não, você pode permiti-lo e executar a atualização.
Uns novos recursos para a versão 1.4 ISE chamada gerenciamento de patches permitem a integração com muitos fornecedores de terceira parte. O dependente em cima do vendedor, opções múltiplas está disponível para as circunstâncias e remediações.
Para Microsoft, o server do gerenciamento de sistema (SMS) e o gerenciador de configuração de System Center (SCCM) são apoiados.