此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文描述如何加密终端的与使用的磁盘分区Microsoft BitLocker和如何配置思科身份服务引擎(ISE)为了提供全部存取给网络,只有当配置时正确的加密。Cisco与AnyConnect安全移动性客户端4.2一起的ISE版本2.0支持磁盘加密的状态。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件版本:
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
流如下:
展示得VPN会话为例。状态功能为访问的其他类型太良好工作。
它从远程SSL VPN访问被配置用使用ISE作为验证、授权和统计(AAA)服务器。需要配置与重定向ACL一起的Radius CoA :
aaa-server ISE20 protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE20 (inside) host 10.48.17.235
key cisco
tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
address-pool POOL
authentication-server-group ISE20
accounting-server-group ISE20
default-group-policy AllProtocols
tunnel-group TAC webvpn-attributes
group-alias TAC enable
group-policy AllProtocols internal
group-policy AllProtocols attributes
vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
access-list REDIRECT extended deny udp any any eq domain
access-list REDIRECT extended deny ip any host 10.48.17.235
access-list REDIRECT extended deny icmp any any
access-list REDIRECT extended permit tcp any any eq www
ip local pool POOL 172.16.31.10-172.16.31.20 mask 255.255.255.0
欲了解更详细的信息请参考:
与ISE版本1.3配置示例的AnyConnect 4.0集成
连接对控制面板>System和安全> BitLocker推进加密, enable (event) E :分成加密。由密码(PIN)保护它如镜像所显示。
一旦它被加密,请安放它(与密码的提供)并且保证是可访问的如镜像所显示。
欲了解更详细的信息,请跟随Microsoft文档:
连接到Administration >网络资源>网络设备,添加与设备type= ASA的ASA。使用这,因为在授权规则,然而它的一个条件不是必须的(可以使用条件的其他类型)。
如果适当,网络设备组不存在。为了创建,请连接对Administration >网络资源>网络设备组。
保证状态情况更新:连接对管理>System >设置>状态>更新>更新当前。
如镜像所显示,连接对策略>Policy元素>情况>状态>磁盘加密情况,添加一个新的情况。
此状态检查,如果安装Windows的7 BitLocker,并且,如果E :分区充分地被加密。
Note:BitLocker是磁盘级别加密,并且不支持有路径参数的特定位置,仅磁盘字母。
连接对策略如镜像所显示,使用情况的>Policy元素>结果>状态>需求为了创建新要求。
如镜像所显示,连接对策略>状态,添加所有Windows的一个条件为了使用需求。
如镜像所显示,连接对策略>Policy元素>客户端设置>资源,从Cisco.com下载标准模块和手工加载AnyConnect 4.2程序包。
连接到Add> NAC代理程序或AnyConnect状态配置文件,创建AnyConnect状态配置文件(名字:AnyConnectPosture)与默认设置。
连接对Add> AnyConnect配置,添加AnyConnect配置文件(名字:AnyConnect配置)如镜像所显示。
如镜像所显示,连接对策略>客户端设置并且修改Windows的默认策略为了使用被配置的AnyConnect配置文件。
连接对策略>Policy元素>结果>授权,添加授权配置文件(名字:RedirectForPosture)对默认客户端设置的门户的哪些重定向如镜像所显示。
重定向ACL在ASA被定义。
如镜像所显示,连接对策略>授权,创建3个授权规则。
如果终端是兼容的,全部存取提供。如果状态是未知或非兼容的,客户端设置的重定向返回。
使用本部分可确认配置能否正常运行。
一旦VPN会话建立,如镜像所显示, ASA也许要执行升级AnyConnect模块。
在ISE最后规则被击中,如镜像所显示,结果RedirectForPosture权限返回。
一旦ASA完成建立VPN会话,报道重定向必须发生:
ASAv# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 32
Assigned IP : 172.16.31.10 Public IP : 10.61.90.226
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 53201 Bytes Rx : 122712
Pkts Tx : 134 Pkts Rx : 557
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : AllProtocols Tunnel Group : TAC
Login Time : 21:29:50 UTC Sat Nov 14 2015
Duration : 0h:56m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a80101000200005647a7ce
Security Grp : none
<some output omitted for clarity>
ISE Posture:
Redirect URL : https://mgarcarz-ise20.example.com:8443/portal/gateway?sessionId=&portal=0d2ed780-6d90-11e5-978e-00505...
Redirect ACL : REDIRECT
如镜像所显示,在该阶段,终端Web浏览器数据流重定向对客户端设置的ISE。
若需要,与状态和标准模块一起的AnyConnect是更新的如镜像所显示。
状态模块被执行,发现ISE (也许要求有enroll.cisco.com的DNS A记录为了成功)如镜像所显示,下载并且检查状态情况。
一旦被确认E :如镜像所显示,分区由BitLocker充分地加密,正确的报告被发送到ISE。
如镜像所显示,这触发CoA reauthorize VPN会话。
ASA去除提供全部存取的重定向ACL。如镜像所显示, AnyConnect报告标准。
并且,关于ISE的详细资料报表能确认两个情况是满足的(由情况的状态评估是显示每个情况)的新的ISE 2.0报告。第一个情况(hd_inst_BitLockerDriveEncryption_6_x)检查安装/进程,第二个(hd_loc_bitlocker_specific_1)检查,如果特定位置(E :)如镜像所显示,充分地被加密。
ISE由终端报告的状态评估确认所有条件是满足的,如镜像所显示。
同样可以从ise-psc.log调试被确认。摆ISE和回应收到的请求姿势:
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -::c0a801010001700056473ebe:::- Received posture request [parameters: reqtype=validate, userip=10.62.145.44, clientmac=08-00-27-81-50-86, os=WINDOWS, osVerison=1.2.1.6.1.1, architecture=9, provider=Device Filter, state=, ops=1, avpid=, avvname=Microsoft Corp.:!::!::!:, avpname=Windows Defender:!::!::!:, avpversion=6.1.7600.16385:!::!::!:, avpfeature=AS:!::!::!:, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.1; AnyConnect Posture Agent v.4.2.00096), session_id=c0a801010001700056473ebe
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Creating a new session info for mac 08-00-27-81-50-86
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Turning on enryption for endpoint with mac 08-00-27-81-50-86 and os WINDOWS, osVersion=1.2.1.6.1.1
2015-11-14 14:59:01,974 DEBUG [portal-http-service28][] cpm.posture.runtime.agent.AgentXmlGenerator -:cisco:c0a801010001700056473ebe:::- Agent criteria for rule [Name=bitlocker, Description=, Operating Systems=[Windows All], Vendor=com.cisco.cpm.posture.edf.AVASVendor@96b084e, Check Type=Installation, Allow older def date=0, Days Allowed=Undefined, Product Name=[com.cisco.cpm.posture.edf.AVASProduct@44870fea]] - ( ( (hd_inst_BitLockerDriveEncryption_6_x) ) & (hd_loc_bitlocker_specific_1) )
与状态需求(情况+修正)的回应以XML格式:
2015-11-14 14:59:02,052 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
<name>Bitlocker</name>
<version/>
<description>Bitlocker encryption not enabled on the endpoint. Station not compliant.</description>
<type>3</type>
<optional>0</optional>
<action>3</action>
<check>
<id>hd_loc_bitlocker_specific_1</id>
<category>10</category>
<type>1002</type>
<param>180</param>
<path>E:</path>
<value>full</value>
<value_type>2</value_type>
</check>
<check>
<id>hd_inst_BitLockerDriveEncryption_6_x</id>
<category>10</category>
<type>1001</type>
<param>180</param>
<operation>regex match</operation>
<value>^6\..+$|^6$</value>
<value_type>3</value_type>
</check>
<criteria>( ( ( (hd_inst_BitLockerDriveEncryption_6_x) ) & (hd_loc_bitlocker_specific_1) ) )</criteria>
</package>
</cleanmachines>
在被加密的报告以后由ISE接受:
2015-11-14 14:59:04,816 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypting report
2015-11-14 14:59:04,817 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypted report [[ <report><version>1000</version><encryption>0</encryption><key></key><os_type>WINDOWS</os_type><osversion>1.2.1.6.1.1</osversion><build_number>7600</build_number><architecture>9</architecture><user_name>[device-filter-AC]</user_name><agent>x.y.z.d-todo</agent><sys_name>ADMIN-KOMPUTER</sys_name><sys_user>admin</sys_user><sys_domain>n/a</sys_domain><sys_user_domain>admin-Komputer</sys_user_domain><av><av_vendor_name>Microsoft Corp.</av_vendor_name><av_prod_name>Windows Defender</av_prod_name><av_prod_version>6.1.7600.16385</av_prod_version><av_def_version>1.141.3676.0</av_def_version><av_def_date>01/11/2013</av_def_date><av_prod_features>AS</av_prod_features></av><package><id>10</id><status>1</status><check><chk_id>hd_loc_bitlocker_specific_1</chk_id><chk_status>1</chk_status></check><check><chk_id>hd_inst_BitLockerDriveEncryption_6_x</chk_id><chk_status>1</chk_status></check></package></report> ]]
位置被标记作为兼容,并且ISE发送CoA :
2015-11-14 14:59:04,823 INFO [portal-http-service28][] cisco.cpm.posture.runtime.PostureManager -:cisco:c0a801010001700056473ebe:::- Posture state is compliant for endpoint with mac 08-00-27-81-50-86
2015-11-14 14:59:06,825 DEBUG [pool-5399-thread-1][] cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a801010000f0005647358b:::- Posture CoA is triggered for endpoint [08-00-27-81-50-86] with session [c0a801010001700056473ebe
并且, ISE发送最终配置:
2015-11-14 14:59:04,827 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Sending response to endpoint 08-00-27-81-50-86 http response [[ <!--X-Perfigo-DM-Error=0--><!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0--><!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0--><!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey--><!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=--><!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter--><!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4--><!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:81:50:86--> ]]
这些步骤可以从客户端(AnyConnect箭)也被确认:
Date : 11/14/2015
Time : 14:58:41
Type : Warning
Source : acvpnui
Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Scanning system ... ]
******************************************
Date : 11/14/2015
Time : 14:58:43
Type : Warning
Source : acvpnui
Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Checking requirement 1 of 1. ]
******************************************
Date : 11/14/2015
Time : 14:58:46
Type : Warning
Source : acvpnui
Description : Function: CNacApiShim::PostureNotification
File: .\NacShim.cpp
Line: 461
Clearing Posture List.
对于成功的会话, AnyConnect UI系统扫描/消息历史记录报告:
14:41:59 Searching for policy server.
14:42:03 Checking for product updates...
14:42:03 The AnyConnect Downloader is performing update checks...
14:42:04 Checking for profile updates...
14:42:04 Checking for product updates...
14:42:04 Checking for customization updates...
14:42:04 Performing any required updates...
14:42:04 The AnyConnect Downloader updates have been completed.
14:42:03 Update complete.
14:42:03 Scanning system ...
14:42:05 Checking requirement 1 of 1.
14:42:05 Updating network settings.
14:42:10 Compliant.
CSCux15941 - ISE 2.0和AC4.2状态与位置失败(/的bitlocker加密不支持的字符\)
本部分提供了可用于对配置进行故障排除的信息。
如果终端是固执的,由AnyConnect UI报告(也被配置的修正被执行)如镜像所显示。
如镜像所显示, ISE能提供细节在失败条件。
同样可以从CLI日志被检查(登录部分的示例验证)。