ISE 2.0和AnyConnect 4.2状态BitLocker加密配置示例

简介

与AnyConnect安全移动性客户端4.2支持一起的思科身份服务引擎(ISE)版本2.0为磁盘加密摆姿势。 只有当正确加密配置时，本文描述如何加密终端的磁盘分区使用Microsoft BitLocker和如何配置ISE提供对网络的完全权限。

先决条件

要求

Cisco 建议您了解以下主题：

• 可适应安全工具(ASA) CLI配置和安全套接字层SSL VPN配置基础知识
• 远程访问VPN配置基础知识在ASA的
• ISE和状态服务基础知识

使用的组件

本文档中的信息基于以下软件版本：

• Cisco ASA软件版本9.2.1及以后
• 与Cisco AnyConnect安全移动客户端版本4.2和以上的Microsoft Windows版本7
• 思科ISE，版本2.0及以后

配置

网络图

流下列：

• AnyConnect客户端启动的VPN会话通过ISE验证。终端的状态状况不知道，规则“ASA VPN未知”点击结果，并且会话将重定向对设置的ISE。

• 用户打开Web浏览器， HTTP数据流由对ISE的ASA重定向。ISE与状态和标准模块一起推送AnyConnect新版本对终端

• 一旦状态模块被执行检查是否分区“E ：”由BitLocker充分地加密。如果是报告发送对ISE，触发Radius崔凡吉莱授权(CoA)，不用任何ACL (完全权限)

• ASA的VPN会话更新，重定向ACL删除，并且会话有完全权限

VPN会话被提交了正示例。状态功能为访问的其他类型也优良工作。

ASA

从远程SSL VPN访问配置使用ISE作为AAA服务器。与重定向ACL一起的Radius CoA需要配置：

aaa-server ISE20 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE20 (inside) host 10.48.17.235
 key cisco

tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
 address-pool POOL
authentication-server-group ISE20
 accounting-server-group ISE20
 default-group-policy AllProtocols
tunnel-group TAC webvpn-attributes
 group-alias TAC enable

group-policy AllProtocols internal
group-policy AllProtocols attributes
 vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable

access-list REDIRECT extended deny udp any any eq domain 
access-list REDIRECT extended deny ip any host 10.48.17.235 
access-list REDIRECT extended deny icmp any any 
access-list REDIRECT extended permit tcp any any eq www

ip local pool POOL 172.16.31.10-172.16.31.20 mask 255.255.255.0

欲了解更详细的信息请参考：

与ISE版本1.3配置示例的AnyConnect 4.0集成

在Windows 7的BitLocker

从控制面板- >System和Security-> BitLocker推进加密enable (event) E ：分区加密。由密码(PIN)保护它。

一旦它加密登上它(提供密码)，并且请确保它可访问：

欲了解更详细的信息请跟随Microsoft文档：

Windows BitLocker推进加密分步指南

ISE

Step1网络设备

从Administration >网络资源>网络设备请添加与设备类型= ASA的ASA。那将使用作为情况在授权规则，但是不是必须(可以使用情况的其他类型)。

如果适当网络设备组不存在请从Administration >网络资源>网络设备组创建它。

Step2状态情况和策略

确保状态情况更新：从管理- >System - >设置- >状态- >更新当前更新选项。

从策略- >Policy元素- >调节- >状态- >磁盘加密情况添加一个新的情况：

此情况检查Windows的7 BitLocker是否安装，并且是否E ：分区充分地加密。请注意BitLocker是磁盘级别加密，并且不支持有路径参数的特定位置，只有磁盘字母。

从使用该情况的策略- >Policy元素- >发生- >状态- >需求创建新要求：

从策略- >状态添加所有Windows的一个条件能使用该需求：

Step3客户端供应资源和策略

从策略- >Policy元素- >客户端供应- >资源下载从Cisco.com的标准模块并且手工上传AnyConnect 4.2包：

使用请添加- >美洲台代理程序或AnyConnect状态配置文件创建AnyConnect状态配置文件(名称：AnyConnectPosture)与默认设置。

使用请添加- > AnyConnect配置添加AnyConnect配置文件(名称：AnyConnect配置) ：

从策略- >客户端供应Windows的修改默认策略能使用已配置的AnyConnect配置文件：

Step4授权规则

从策略- >Policy元素- >结果- >授权添加授权配置文件(名称：重定向对默认客户端设置的门户的RedirectForPosture) ：

重定向ACL在ASA定义。

从策略- >授权创建3个授权规则：

如果终端是兼容的提供完全权限。如果状态未知或非客户端供应的兼容重定向返回。

验证

Step1 VPN会话建立

一旦VPN会话建立ASA也许要执行升级AnyConnect模块：

在ISE最后规则点击，结果RedirectForPosture权限返回：

一旦ASA完成建立VPN会话报道重定向应该发生：

ASAv# show vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 32
Assigned IP  : 172.16.31.10           Public IP    : 10.61.90.226
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53201                  Bytes Rx     : 122712
Pkts Tx      : 134                    Pkts Rx      : 557
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : AllProtocols           Tunnel Group : TAC
Login Time   : 21:29:50 UTC Sat Nov 14 2015
Duration     : 0h:56m:53s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a80101000200005647a7ce
Security Grp : none

<some output omitted for clarity>

ISE Posture:
  Redirect URL : https://mgarcarz-ise20.example.com:8443/portal/gateway?sessionId=&portal=0d2ed780-6d90-11e5-978e-00505...
  Redirect ACL : REDIRECT

Step2客户端供应

在该阶段终端Web浏览器流量重定向对客户端供应的ISE ：

若需要与状态和标准模块一起的AnyConnect更新：

Step3状态检查和CoA

状态模块被执行，发现ISE (也许要求有enroll.cisco.com的DNS A记录能成功)，下载并且检查状态情况：

一旦它确认了那“E ：”分区由正确报告被发送对ISE的BitLocker充分地加密

那触发CoA reauthorizing VPN会话：

ASA删除提供完全权限的重定向ACL。AnyConnect报告标准：

并且关于ISE的被选派的报告能确认两个情况是满足的(由情况的状态评估是显示每个情况)的新的ISE 2.0报告。第一个情况(hd_inst_BitLockerDriveEncryption_6_x)检查安装/进程，第二个(hd_loc_bitlocker_specific_1)检查是否特定位置(“E ：")充分地加密：

ISE由终端报告的状态评估确认所有情况是满足的：

同样能从ise-psc.log调试被确认。摆ISE和答复接收的请求姿势：

2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -::c0a801010001700056473ebe:::- Received posture request [parameters: reqtype=validate, userip=10.62.145.44, clientmac=08-00-27-81-50-86, os=WINDOWS, osVerison=1.2.1.6.1.1, architecture=9, provider=Device Filter, state=, ops=1, avpid=, avvname=Microsoft Corp.:!::!::!:, avpname=Windows Defender:!::!::!:, avpversion=6.1.7600.16385:!::!::!:, avpfeature=AS:!::!::!:, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.1; AnyConnect Posture Agent v.4.2.00096), session_id=c0a801010001700056473ebe
2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Creating a new session info for mac 08-00-27-81-50-86
2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Turning on enryption for endpoint with mac 08-00-27-81-50-86 and os WINDOWS, osVersion=1.2.1.6.1.1
2015-11-14 14:59:01,974 DEBUG  [portal-http-service28][] cpm.posture.runtime.agent.AgentXmlGenerator -:cisco:c0a801010001700056473ebe:::- Agent criteria for rule [Name=bitlocker, Description=, Operating Systems=[Windows All], Vendor=com.cisco.cpm.posture.edf.AVASVendor@96b084e, Check Type=Installation, Allow older def date=0, Days Allowed=Undefined, Product Name=[com.cisco.cpm.posture.edf.AVASProduct@44870fea]] -  (  ( (hd_inst_BitLockerDriveEncryption_6_x) )  & (hd_loc_bitlocker_specific_1) )

与状态需求(情况+修正)的答复在XML格式：

2015-11-14 14:59:02,052 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
  <version>2</version>
  <encryption>0</encryption>
  <package>
    <id>10</id>
    <name>Bitlocker</name>
    <version/>
    <description>Bitlocker encryption not enabled on the endpoint. Station not compliant.</description>
    <type>3</type>
    <optional>0</optional>
    <action>3</action>
    <check>
      <id>hd_loc_bitlocker_specific_1</id>
      <category>10</category>
      <type>1002</type>
      <param>180</param>
      <path>E:</path>
      <value>full</value>
      <value_type>2</value_type>
    </check>
    <check>
      <id>hd_inst_BitLockerDriveEncryption_6_x</id>
      <category>10</category>
      <type>1001</type>
      <param>180</param>
      <operation>regex match</operation>
      <value>^6\..+$|^6$</value>
      <value_type>3</value_type>
    </check>
    <criteria>( (  ( (hd_inst_BitLockerDriveEncryption_6_x) )  &amp; (hd_loc_bitlocker_specific_1) ) )</criteria>
  </package>
</cleanmachines>

在已加密报告以后由ISE接收：

2015-11-14 14:59:04,816 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypting report
2015-11-14 14:59:04,817 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypted report [[ <report><version>1000</version><encryption>0</encryption><key></key><os_type>WINDOWS</os_type><osversion>1.2.1.6.1.1</osversion><build_number>7600</build_number><architecture>9</architecture><user_name>[device-filter-AC]</user_name><agent>x.y.z.d-todo</agent><sys_name>ADMIN-KOMPUTER</sys_name><sys_user>admin</sys_user><sys_domain>n/a</sys_domain><sys_user_domain>admin-Komputer</sys_user_domain><av><av_vendor_name>Microsoft Corp.</av_vendor_name><av_prod_name>Windows Defender</av_prod_name><av_prod_version>6.1.7600.16385</av_prod_version><av_def_version>1.141.3676.0</av_def_version><av_def_date>01/11/2013</av_def_date><av_prod_features>AS</av_prod_features></av><package><id>10</id><status>1</status><check><chk_id>hd_loc_bitlocker_specific_1</chk_id><chk_status>1</chk_status></check><check><chk_id>hd_inst_BitLockerDriveEncryption_6_x</chk_id><chk_status>1</chk_status></check></package></report> ]]

站点被标记作为兼容，并且ISE发送CoA ：

2015-11-14 14:59:04,823 INFO   [portal-http-service28][] cisco.cpm.posture.runtime.PostureManager -:cisco:c0a801010001700056473ebe:::- Posture state is compliant for endpoint with mac 08-00-27-81-50-86
2015-11-14 14:59:06,825 DEBUG  [pool-5399-thread-1][] cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a801010000f0005647358b:::- Posture CoA is triggered for endpoint [08-00-27-81-50-86] with session [c0a801010001700056473ebe

并且最终配置由ISE发送：

2015-11-14 14:59:04,827 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Sending response to endpoint 08-00-27-81-50-86 http response [[ <!--X-Perfigo-DM-Error=0--><!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0--><!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0--><!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey--><!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=--><!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter--><!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4--><!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:81:50:86--> ]]

那些步骤可以从客户端(AnyConnect箭)也被确认：

Date        : 11/14/2015
Time        : 14:58:41
Type        : Warning
Source      : acvpnui

Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Scanning system ... ] 

******************************************

Date        : 11/14/2015
Time        : 14:58:43
Type        : Warning
Source      : acvpnui

Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Checking requirement 1 of 1. ]

******************************************

Date        : 11/14/2015
Time        : 14:58:46
Type        : Warning
Source      : acvpnui

Description : Function: CNacApiShim::PostureNotification
File: .\NacShim.cpp
Line: 461
Clearing Posture List.

成功的会话AnyConnect UI系统扫描/消息历史记录报告：

     14:41:59    Searching for policy server.
     14:42:03    Checking for product updates...
     14:42:03    The AnyConnect Downloader is performing update checks...
     14:42:04    Checking for profile updates...
     14:42:04    Checking for product updates...
     14:42:04    Checking for customization updates...
     14:42:04    Performing any required updates...
     14:42:04    The AnyConnect Downloader updates have been completed.
     14:42:03    Update complete.
     14:42:03    Scanning system ... 
     14:42:05    Checking requirement 1 of 1. 
     14:42:05    Updating network settings. 
     14:42:10    Compliant.

Bug

CSCux15941 - ISE 2.0和AC4.2状态与位置失败的bitlocker加密(字符\/没有支持)

故障排除

如果由AnyConnect UI报告(的终端是非兼容也配置的修正被执行) ：

ISE能提供细节在失败条件：

同样可以从CLI日志被检查(登录部分的示例验证)

参考

• 配置安全工具用户授权的一个外部服务器
• 思科ASA系列VPN CLI配置指南， 9.1
• 思科身份服务引擎管理员指南，版本2.0
• 技术支持和文档 - Cisco Systems