O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve como cifrar o partição de disco do valor-limite com o uso de Microsoft BitLocker e como configurar o Cisco Identity Services Engine (ISE) a fim fornecer o acesso direto à rede, simplesmente quando a criptografia correta é configurada. A versão 2.0 de Cisco ISE junto com o cliente seguro 4.2 da mobilidade de AnyConnect suporta a postura para a criptografia do disco.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O fluxo é como segue:
A sessão de VPN é apresentada como um exemplo. A funcionalidade da postura trabalha muito bem demasiado para outros tipos do acesso.
É configurado do acesso remoto SSL VPN com o uso do ISE como o server do Authentication, Authorization, and Accounting (AAA). O CoA do raio junto com REORIENTA O ACL precisa de ser configurado:
aaa-server ISE20 protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE20 (inside) host 10.48.17.235
key cisco
tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
address-pool POOL
authentication-server-group ISE20
accounting-server-group ISE20
default-group-policy AllProtocols
tunnel-group TAC webvpn-attributes
group-alias TAC enable
group-policy AllProtocols internal
group-policy AllProtocols attributes
vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
access-list REDIRECT extended deny udp any any eq domain
access-list REDIRECT extended deny ip any host 10.48.17.235
access-list REDIRECT extended deny icmp any any
access-list REDIRECT extended permit tcp any any eq www
ip local pool POOL 172.16.31.10-172.16.31.20 mask 255.255.255.0
Consulte para mais detalhes:
Integração de AnyConnect 4.0 com exemplo de configuração da versão 1.3 ISE
Navegue ao Control Panel > ao sistema e a Segurança > a criptografia da movimentação de BitLocker, permitem E: criptografia da separação. Proteja-a pela senha (PIN) segundo as indicações da imagem.
Uma vez que é cifrado, monte-o (com a disposição da senha) e assegure-se de que seja acessível segundo as indicações da imagem.
Para mais detalhes, siga a documentação Microsoft:
Guia passo a passo da criptografia da movimentação de Windows BitLocker
Navegue à administração > aos recursos de rede > aos dispositivos de rede, adicionar o ASA com tipo de dispositivo = ASA. Isto é usado porque uma condição nas regras mas nela da autorização não é imperativa (outros tipos de condições podem ser usados).
Se apropriado, o grupo de dispositivo de rede não existe. A fim criar, navegue à administração > aos recursos de rede > aos grupos de dispositivo de rede.
Assegure-se de que condições da postura esteja atualizada: Navegue à administração > ao sistema > aos ajustes > à postura > às atualizações > à atualização agora.
Navegue à política > aos elementos da política > às circunstâncias > à postura > à condição da criptografia do disco, adicionar uma condição nova segundo as indicações da imagem.
Verificações desta circunstância se BitLocker para Windows 7 é instalado e se E: a separação é cifrada inteiramente.
Nota: BitLocker é criptografia nivelada do disco e não suporta o lugar específico com argumento do trajeto, somente letra do disco.
Navegue à política > aos elementos > aos resultados > à postura > às exigências da política a fim criar uma exigência nova que use a circunstância segundo as indicações da imagem.
Navegue à política > à postura, adicionar uma condição para todo o Windows a fim usar a exigência segundo as indicações da imagem.
Navegue à política > aos elementos da política > ao abastecimento > aos recursos do cliente, transfira o módulo da conformidade do cisco.com e transfira arquivos pela rede manualmente o pacote de AnyConnect 4.2 segundo as indicações da imagem.
Navegue para adicionar > agente NAC ou o perfil da postura de AnyConnect, cria o perfil da postura de AnyConnect (nome: AnyConnectPosture) com configurações padrão.
Navegue para adicionar > configuração de AnyConnect, adicionar o perfil de AnyConnect (nome: Configuração de AnyConnect) segundo as indicações da imagem.
Navegue à política > ao abastecimento do cliente e altere a política padrão para Windows a fim usar o perfil configurado de AnyConnect segundo as indicações da imagem.
Navegue à política > aos elementos > aos resultados > à autorização da política, adicionar o perfil da autorização (nome: RedirectForPosture) qual reorienta a um portal do abastecimento do cliente do padrão segundo as indicações da imagem.
REORIENTE O ACL é definido no ASA.
Navegue à política > à autorização, crie 3 regras da autorização segundo as indicações da imagem.
Se o valor-limite é complacente, o acesso direto está fornecido. Se o estado é desconhecido ou não complacente, a reorientação para o abastecimento do cliente está retornada.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Uma vez que a sessão de VPN é estabelecida, o ASA pôde querer executar uma elevação dos módulos de AnyConnect segundo as indicações da imagem.
No ISE a última regra é batida, em consequência as permissões de RedirectForPosture são retornadas segundo as indicações da imagem.
Uma vez que o ASA termina construir a sessão de VPN, relata que a reorientação deve ocorrer:
ASAv# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 32
Assigned IP : 172.16.31.10 Public IP : 10.61.90.226
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 53201 Bytes Rx : 122712
Pkts Tx : 134 Pkts Rx : 557
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : AllProtocols Tunnel Group : TAC
Login Time : 21:29:50 UTC Sat Nov 14 2015
Duration : 0h:56m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a80101000200005647a7ce
Security Grp : none
<some output omitted for clarity>
ISE Posture:
Redirect URL : https://mgarcarz-ise20.example.com:8443/portal/gateway?sessionId=&portal=0d2ed780-6d90-11e5-978e-00505...
Redirect ACL : REDIRECT
Nessa fase, o tráfego do web browser do valor-limite é reorientado ao ISE para o abastecimento do cliente segundo as indicações da imagem.
Se necessário, AnyConnect junto com a postura e o módulo da conformidade é atualizado segundo as indicações da imagem.
O módulo da postura é executado, descobre ISE (pôde exigir para ter o registro DNS A para enroll.cisco.com a fim suceder), transfere e verifica condições da postura segundo as indicações da imagem.
Uma vez que se confirma que E: a separação é cifrada inteiramente por BitLocker, o relatório correto é enviada ao ISE segundo as indicações da imagem.
Isto provoca o CoA para reauthorize a sessão de VPN, segundo as indicações da imagem.
O ASA remove a reorientação ACL que fornece o acesso direto. AnyConnect relata a conformidade segundo as indicações da imagem.
Também, os relatórios detalhados no ISE podem confirmar que ambas as circunstâncias estão satisfeitas (a avaliação da postura pela circunstância é o relatório novo ISE 2.0 que mostra cada circunstância). A primeira condição (hd_inst_BitLockerDriveEncryption_6_x) verifica para ver se há a instalação/processo, as segundas uma verificações (hd_loc_bitlocker_specific_1) se o lugar específico (E:) é cifrado inteiramente segundo as indicações da imagem.
A avaliação da postura ISE pelo relatório do valor-limite confirma que todas as circunstâncias estão satisfeitas, segundo as indicações da imagem.
O mesmos podem ser confirmados de ise-psc.log debugam. Posture o pedido recebido pelo ISE e pela resposta:
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -::c0a801010001700056473ebe:::- Received posture request [parameters: reqtype=validate, userip=10.62.145.44, clientmac=08-00-27-81-50-86, os=WINDOWS, osVerison=1.2.1.6.1.1, architecture=9, provider=Device Filter, state=, ops=1, avpid=, avvname=Microsoft Corp.:!::!::!:, avpname=Windows Defender:!::!::!:, avpversion=6.1.7600.16385:!::!::!:, avpfeature=AS:!::!::!:, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.1; AnyConnect Posture Agent v.4.2.00096), session_id=c0a801010001700056473ebe
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Creating a new session info for mac 08-00-27-81-50-86
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Turning on enryption for endpoint with mac 08-00-27-81-50-86 and os WINDOWS, osVersion=1.2.1.6.1.1
2015-11-14 14:59:01,974 DEBUG [portal-http-service28][] cpm.posture.runtime.agent.AgentXmlGenerator -:cisco:c0a801010001700056473ebe:::- Agent criteria for rule [Name=bitlocker, Description=, Operating Systems=[Windows All], Vendor=com.cisco.cpm.posture.edf.AVASVendor@96b084e, Check Type=Installation, Allow older def date=0, Days Allowed=Undefined, Product Name=[com.cisco.cpm.posture.edf.AVASProduct@44870fea]] - ( ( (hd_inst_BitLockerDriveEncryption_6_x) ) & (hd_loc_bitlocker_specific_1) )
A resposta com a exigência da postura (circunstância + remediação) está no formato XML:
2015-11-14 14:59:02,052 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
<name>Bitlocker</name>
<version/>
<description>Bitlocker encryption not enabled on the endpoint. Station not compliant.</description>
<type>3</type>
<optional>0</optional>
<action>3</action>
<check>
<id>hd_loc_bitlocker_specific_1</id>
<category>10</category>
<type>1002</type>
<param>180</param>
<path>E:</path>
<value>full</value>
<value_type>2</value_type>
</check>
<check>
<id>hd_inst_BitLockerDriveEncryption_6_x</id>
<category>10</category>
<type>1001</type>
<param>180</param>
<operation>regex match</operation>
<value>^6\..+$|^6$</value>
<value_type>3</value_type>
</check>
<criteria>( ( ( (hd_inst_BitLockerDriveEncryption_6_x) ) & (hd_loc_bitlocker_specific_1) ) )</criteria>
</package>
</cleanmachines>
Após o relatório cifrado é recebido pelo ISE:
2015-11-14 14:59:04,816 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypting report
2015-11-14 14:59:04,817 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypted report [[ <report><version>1000</version><encryption>0</encryption><key></key><os_type>WINDOWS</os_type><osversion>1.2.1.6.1.1</osversion><build_number>7600</build_number><architecture>9</architecture><user_name>[device-filter-AC]</user_name><agent>x.y.z.d-todo</agent><sys_name>ADMIN-KOMPUTER</sys_name><sys_user>admin</sys_user><sys_domain>n/a</sys_domain><sys_user_domain>admin-Komputer</sys_user_domain><av><av_vendor_name>Microsoft Corp.</av_vendor_name><av_prod_name>Windows Defender</av_prod_name><av_prod_version>6.1.7600.16385</av_prod_version><av_def_version>1.141.3676.0</av_def_version><av_def_date>01/11/2013</av_def_date><av_prod_features>AS</av_prod_features></av><package><id>10</id><status>1</status><check><chk_id>hd_loc_bitlocker_specific_1</chk_id><chk_status>1</chk_status></check><check><chk_id>hd_inst_BitLockerDriveEncryption_6_x</chk_id><chk_status>1</chk_status></check></package></report> ]]
A estação é marcada como complacente e o ISE envia o CoA:
2015-11-14 14:59:04,823 INFO [portal-http-service28][] cisco.cpm.posture.runtime.PostureManager -:cisco:c0a801010001700056473ebe:::- Posture state is compliant for endpoint with mac 08-00-27-81-50-86
2015-11-14 14:59:06,825 DEBUG [pool-5399-thread-1][] cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a801010000f0005647358b:::- Posture CoA is triggered for endpoint [08-00-27-81-50-86] with session [c0a801010001700056473ebe
Também, a configuração final é enviada pelo ISE:
2015-11-14 14:59:04,827 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Sending response to endpoint 08-00-27-81-50-86 http response [[ <!--X-Perfigo-DM-Error=0--><!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0--><!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0--><!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey--><!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=--><!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter--><!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4--><!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:81:50:86--> ]]
Estas etapas podem igualmente ser confirmadas do lado do cliente (DARDO de AnyConnect):
Date : 11/14/2015
Time : 14:58:41
Type : Warning
Source : acvpnui
Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Scanning system ... ]
******************************************
Date : 11/14/2015
Time : 14:58:43
Type : Warning
Source : acvpnui
Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Checking requirement 1 of 1. ]
******************************************
Date : 11/14/2015
Time : 14:58:46
Type : Warning
Source : acvpnui
Description : Function: CNacApiShim::PostureNotification
File: .\NacShim.cpp
Line: 461
Clearing Posture List.
Para a sessão bem-sucedida, a varredura do sistema de AnyConnect UI/história da mensagem relata:
14:41:59 Searching for policy server.
14:42:03 Checking for product updates...
14:42:03 The AnyConnect Downloader is performing update checks...
14:42:04 Checking for profile updates...
14:42:04 Checking for product updates...
14:42:04 Checking for customization updates...
14:42:04 Performing any required updates...
14:42:04 The AnyConnect Downloader updates have been completed.
14:42:03 Update complete.
14:42:03 Scanning system ...
14:42:05 Checking requirement 1 of 1.
14:42:05 Updating network settings.
14:42:10 Compliant.
CSCux15941 - ISE 2.0 e criptografia do bitlocker da postura AC4.2 com failing do lugar (\ do carvão animal/não apoiado)
Esta seção fornece informações que você pode usar na solução de problemas de sua configuração.
Se o valor-limite é NON-complacente, está relatado por AnyConnect UI (a remediação igualmente configurada é executada) segundo as indicações da imagem.
O ISE pode fornecer os detalhes nas circunstâncias de falha, segundo as indicações da imagem.
O mesmos podem ser verificados dos logs CLI (os exemplos do entram a seção verificam).