Introdução

Este documento descreve as etapas necessárias para configurar a Detecção de Rede Confiável com Acesso de Rede Confiável Zero.

Pré-requisitos 

• Versão mínima do Secure Client 5.1.10
• Plataforma com suporte - Windows e MacOS
• TPM do Trusted Platform Module para Windows
• Co-processador Secure Enclave para dispositivos Apple
• Os servidores confiáveis configurados em qualquer perfil de rede confiável são implicitamente excluídos da interceptação ZTA. Esses servidores também não podem ser acessados como recursos privados ZTA.
• A configuração TND afeta todos os clientes inscritos na organização
• Os administradores podem usar as próximas etapas para gerar um 'Hash de chave pública de certificado' para servidores confiáveis
  • Baixar o certificado público de servidores confiáveis
  • Executar este comando de shell para generate the hash.

openssl x509 -in  -pubkey -noout | openssl pkey -pubin -outform DER | openssl dgst –sha256

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Acesso seguro da Cisco
• Inscreva dispositivos no Zero Trust Access usando a SAML (Security Assertion Markup Language) ou a autenticação baseada em certificado.

Componentes Utilizados

• Secure Client Versão 5.1.13
• Trusted Platform Module (TPM)
• Locatário de acesso seguro
• Dispositivo Windows

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

• A TND permite que os administradores configurem o Secure Client para pausar temporariamente a direção e a aplicação do tráfego ZTA em redes confiáveis.
• O Secure Client retoma a aplicação de ZTA quando o endpoint sai da rede confiável.
• Esse recurso não requer interação com o usuário final.
• As configurações ZTA TND podem ser gerenciadas de forma independente para destinos ZTA privados e de Internet.

Principais benefícios

• O desempenho de rede aprimorado e a latência reduzida proporcionam uma experiência de usuário mais tranquila.
• A aplicação de segurança local na rede confiável oferece utilização de recursos flexível e otimizada.
• Os usuários finais podem aproveitar os benefícios sem qualquer prompt ou ação.
• O controle independente da TND para acesso privado e acesso à Internet fornece flexibilidade administrativa para lidar com diferentes preocupações operacionais e de segurança

Configurar

Passo 1: Criar perfil de rede confiável - Servidor DNS e domínio

Navegue até Secure Access Dashboard: 

• CliqueConnect em > End User Connectivity > Manage Trusted Networks > +Add

 

Repita as etapas para adicionar outros perfis de rede confiável.

 

 

Passo 2: Habilitar TND para acesso privado ou à Internet

• Navegue até Connect > End User Connectivity.
• Editar perfil ZTA.
• ParaSecure Private Destinationsou Secure Internet Access.

Acesso privado seguro

Acesso seguro à Internet

• Clique em Options.
  • Clique em Use trusted networks to secure private destinations ou Use trusted networks to secure internet destinationsdepende da opção escolhida anteriormente.
  • Clique em   + Trusted Network.

• Escolha o(s) perfil(is) de rede confiável(is) configurado(s) na página anterior e clique em Save.

Acesso privado seguro

Acesso seguro à Internet

• Atribua o Users/Groups ao perfil ZTA e clique em Close.

 

Passo 3: Configuração do lado do cliente

1. Certifique-se de que você tenha o Servidor DNS correto definido no Adaptador Ethernet, já que você escolheu o Adaptador Físico como um Critério.

2. Verifique se você tem um Sufixo DNS Específico da Conexão definido.

 

Com a próxima sincronização da configuração ZTA para o Secure Client em alguns minutos, o módulo ZTA faz automaticamente uma pausa quando detecta que está em uma das redes confiáveis configuradas.

Verificar

• Do cliente seguro 

 

 

 

 

 

• Do pacote DART - Logs ZTA

Nenhuma regra TND configurada.

2025-12-17 17:53:40.711938 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ AtiveSteeringPolicy.cpp:316 AtiveSteeringPolicy::collectProxyConfigPauseReasons() TND conectará ProxyConfig 'default_spa_config' (sem regras) 

2025-12-17 17:53:40.711938 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ AtiveSteeringPolicy.cpp:316 AtiveSteeringPolicy::collectProxyConfigPauseReasons() TND conectará ProxyConfig 'default_tia_config' (sem regras) 

Regra TND configurada - Servidor DNS - Configuração recebida do cliente

25-12-17 20:33:15.987956 csc_zta_agent[0x00000f80, 0x00000ed4] W/ CaptivePortalDetectionService.cpp:308 CaptivePortalDetectionService::getProbeUrl() no último instantâneo de rede, usando a primeira url de investigação

2025-12-17 20:33:15.992042 csc_zta_agent[0x00000f80, 0x00000ed4] I/ NetworkChangeService.cpp:144 NetworkChangeService::Start() Instantâneo inicial da rede:
Ethernet0: subnets=192.168.52.213/24 dns_servers=192.168.52.2 dns_domain=amitlab.com dns_suffixes=amitlab.com isPhysical=true default_gateways=192.168.52.2
captivePortalState=Desconhecido

Conditional_actions":[{"action":"disconnect" informa que o TND está configurado no perfil ZTA.

2025-12-17 17:55:36.430233 csc_zta_agent[0x00000c90/config_service, 0x0000343c] I/ ConfigSync.cpp:309 ConfigSync::HandleRequestComplete() recebeu nova configuração:

{"ztnaConfig":{"global_settings":{"exclude_local_lan":true},"network_fingerprints":[{"id":"28f629ee-7618-44cd-852d-6ae1674e3cac","label":"TestDNSServer","match_dns_domains":["amitlab.com"],"match_dns_servers":

["192.168.52.2"],"intervalo_repetição":300}],"configs_proxy":[{"ações_condicionais":[{"ação":"desconectar","tipo_de_verificação":"na_rede","combinar_impressões_digitais_da_rede":["28f629ee-7618-44cd-852d-6ae1674e3cac"]},{"action":"connect"}],"id":"default_spa_config","label":"Secure Private Access","match_resource_configs":["spa_steering_config"],"proxy_server":"spa_proxy_server"},{"condition_actions":[{"action":"disconnect","check_type":"on_network","match_network_fingerprints":["28f629ee-7618-44cd-852d-6ae1674e3cac"]},{"action"]:"access"

2025-12-17 17:55:36.472435 csc_zta_agent[0x000039a8/main, 0x0000343c] I/ NetworkFingerprintService.cpp:196 NetworkFingerprintService::handleStatusUpdate() transmitindo o status de impressão digital da rede: Impressão digital: 28f629ee-7618-44cd-852d-6ae1674e3cac Interfaces: Ethernet0

Desconexão TND em uma Condição DNS 

2025-12-17 17:55:36.729130 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ AtiveSteeringPolicy.cpp:378 AtiveSteeringPolicy::UpdateActiveProxyConfigs() atualizando a configuração do proxy ativo 

2025-12-17 17:55:36.731286 csc_zta_agent[0x000039a8/main, 0x0000343c] I/ ZtnaTransportManager.cpp:1251 ZtnaTransportManager::closeObsoleteAppFlows() forçam o fechamento do fluxo do aplicativo devido a ProxyConfig obsoleto enrollmentId=7b35249c-64e1-4f55-b12b-58875a806969 proxyConfigId=default_tia_config destino TCP [safebrowsing.googleapis.com]:443 srcPort=61049 realDestIpAddr=172.253.122.95 processo=<chrome.exe|PID 11904|user amit\amita> parentProcess=<Rule5.exe

Informações Relacionadas

• Suporte técnico e downloads da Cisco
• Central de ajuda do Cisco Secure Access
• Guia de design do Cisco SASE

Histórico de revisões

Revisão	Data de publicação	Comentários
2.0	30-Mar-2026	Texto Alt adicionado. Requisitos de estilo e formatação atualizados.
1.0	29-Dec-2025	Versão inicial