Introduction
本文描述如何加密终端的与使用的磁盘分区Microsoft BitLocker和如何配置思科身份服务引擎(ISE)为了提供全部存取给网络,只有当配置时正确的加密。Cisco与AnyConnect安全移动性客户端4.2一起的ISE版本2.0支持磁盘加密的状态。
Prerequisites
Requirements
Cisco 建议您了解以下主题:
- 可适应的安全工具(ASA) CLI配置和安全套接字层SSL VPN配置
- 在ASA的远程访问VPN配置
- ISE和状态服务
Components Used
本文档中的信息基于以下软件版本:
- Cisco ASA软件版本9.2.1及以后
- 与Cisco AnyConnect安全移动客户端版本4.2和以上的微软视窗版本7
- Cisco ISE,版本2.0及以后
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
Configure
Network Diagram

流如下:
- AnyConnect客户端起动的VPN会话通过ISE验证。终端的状态状况不知道,规则ASA VPN未知被击中结果,并且会话重定向对设置的ISE
- 用户打开Web浏览器, HTTP数据流由对ISE的ASA重定向。ISE与状态和标准模块一起推进AnyConnect的新版本对终端
- 一旦状态模块被执行,检查是否分区E :由BitLocker充分地加密。如果是,触发授权的报告被发送到ISE (CoA)的Radius更改,不用任何ACL (全部存取)
- 在ASA的VPN会话是更新的,去除重定向ACL,并且会话有全部存取
展示得VPN会话为例。状态功能为访问的其他类型太良好工作。
ASA
它从远程SSL VPN访问被配置用使用ISE作为验证、授权和统计(AAA)服务器。需要配置与重定向ACL一起的Radius CoA :
aaa-server ISE20 protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE20 (inside) host 10.48.17.235
key cisco
tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
address-pool POOL
authentication-server-group ISE20
accounting-server-group ISE20
default-group-policy AllProtocols
tunnel-group TAC webvpn-attributes
group-alias TAC enable
group-policy AllProtocols internal
group-policy AllProtocols attributes
vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
access-list REDIRECT extended deny udp any any eq domain
access-list REDIRECT extended deny ip any host 10.48.17.235
access-list REDIRECT extended deny icmp any any
access-list REDIRECT extended permit tcp any any eq www
ip local pool POOL 172.16.31.10-172.16.31.20 mask 255.255.255.0
欲了解更详细的信息请参考:
与ISE版本1.3配置示例的AnyConnect 4.0集成
在Windows 7的BitLocker
连接对控制面板>System和安全> BitLocker推进加密, enable (event) E :分成加密。由密码(PIN)保护它如镜像所显示。

一旦它被加密,请安放它(与密码的提供)并且保证是可访问的如镜像所显示。

欲了解更详细的信息,请跟随Microsoft文档:
Windows BitLocker推进加密分步指南
ISE
步骤1.网络设备
连接到Administration >网络资源>网络设备,添加与设备type= ASA的ASA。使用这,因为在授权规则,然而它的一个条件不是必须的(可以使用条件的其他类型)。
如果适当,网络设备组不存在。为了创建,请连接对Administration >网络资源>网络设备组。
步骤2.状态情况和策略
保证状态情况更新:连接对管理>System >设置>状态>更新>更新当前。
如镜像所显示,连接对策略>Policy元素>情况>状态>磁盘加密情况,添加一个新的情况。

此状态检查,如果安装Windows的7 BitLocker,并且,如果E :分区充分地被加密。
Note:BitLocker是磁盘级别加密,并且不支持有路径参数的特定位置,仅磁盘字母。
连接对策略如镜像所显示,使用情况的>Policy元素>结果>状态>需求为了创建新要求。

如镜像所显示,连接对策略>状态,添加所有Windows的一个条件为了使用需求。

步骤3.客户端设置资源和策略
如镜像所显示,连接对策略>Policy元素>客户端设置>资源,从Cisco.com下载标准模块和手工加载AnyConnect 4.2程序包。

连接到Add> NAC代理程序或AnyConnect状态配置文件,创建AnyConnect状态配置文件(名字:AnyConnectPosture)与默认设置。
连接对Add> AnyConnect配置,添加AnyConnect配置文件(名字:AnyConnect配置)如镜像所显示。

如镜像所显示,连接对策略>客户端设置并且修改Windows的默认策略为了使用被配置的AnyConnect配置文件。

步骤4.授权规则
连接对策略>Policy元素>结果>授权,添加授权配置文件(名字:RedirectForPosture)对默认客户端设置的门户的哪些重定向如镜像所显示。

重定向ACL在ASA被定义。
如镜像所显示,连接对策略>授权,创建3个授权规则。

如果终端是兼容的,全部存取提供。如果状态是未知或非兼容的,客户端设置的重定向返回。
Verify
使用本部分可确认配置能否正常运行。
步骤1. VPN会话建立
一旦VPN会话建立,如镜像所显示, ASA也许要执行升级AnyConnect模块。

在ISE最后规则被击中,如镜像所显示,结果RedirectForPosture权限返回。

一旦ASA完成建立VPN会话,报道重定向必须发生:
ASAv# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 32
Assigned IP : 172.16.31.10 Public IP : 10.61.90.226
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 53201 Bytes Rx : 122712
Pkts Tx : 134 Pkts Rx : 557
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : AllProtocols Tunnel Group : TAC
Login Time : 21:29:50 UTC Sat Nov 14 2015
Duration : 0h:56m:53s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a80101000200005647a7ce
Security Grp : none
<some output omitted for clarity>
ISE Posture:
Redirect URL : https://mgarcarz-ise20.example.com:8443/portal/gateway?sessionId=&portal=0d2ed780-6d90-11e5-978e-00505...
Redirect ACL : REDIRECT
步骤2.客户端设置
如镜像所显示,在该阶段,终端Web浏览器数据流重定向对客户端设置的ISE。

若需要,与状态和标准模块一起的AnyConnect是更新的如镜像所显示。

步骤3.状态检查和CoA
状态模块被执行,发现ISE (也许要求有enroll.cisco.com的DNS A记录为了成功)如镜像所显示,下载并且检查状态情况。

一旦被确认E :如镜像所显示,分区由BitLocker充分地加密,正确的报告被发送到ISE。

如镜像所显示,这触发CoA reauthorize VPN会话。

ASA去除提供全部存取的重定向ACL。如镜像所显示, AnyConnect报告标准。

并且,关于ISE的详细资料报表能确认两个情况是满足的(由情况的状态评估是显示每个情况)的新的ISE 2.0报告。第一个情况(hd_inst_BitLockerDriveEncryption_6_x)检查安装/进程,第二个(hd_loc_bitlocker_specific_1)检查,如果特定位置(E :)如镜像所显示,充分地被加密。

ISE由终端报告的状态评估确认所有条件是满足的,如镜像所显示。

同样可以从ise-psc.log调试被确认。摆ISE和回应收到的请求姿势:
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -::c0a801010001700056473ebe:::- Received posture request [parameters: reqtype=validate, userip=10.62.145.44, clientmac=08-00-27-81-50-86, os=WINDOWS, osVerison=1.2.1.6.1.1, architecture=9, provider=Device Filter, state=, ops=1, avpid=, avvname=Microsoft Corp.:!::!::!:, avpname=Windows Defender:!::!::!:, avpversion=6.1.7600.16385:!::!::!:, avpfeature=AS:!::!::!:, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.1; AnyConnect Posture Agent v.4.2.00096), session_id=c0a801010001700056473ebe
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Creating a new session info for mac 08-00-27-81-50-86
2015-11-14 14:59:01,963 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Turning on enryption for endpoint with mac 08-00-27-81-50-86 and os WINDOWS, osVersion=1.2.1.6.1.1
2015-11-14 14:59:01,974 DEBUG [portal-http-service28][] cpm.posture.runtime.agent.AgentXmlGenerator -:cisco:c0a801010001700056473ebe:::- Agent criteria for rule [Name=bitlocker, Description=, Operating Systems=[Windows All], Vendor=com.cisco.cpm.posture.edf.AVASVendor@96b084e, Check Type=Installation, Allow older def date=0, Days Allowed=Undefined, Product Name=[com.cisco.cpm.posture.edf.AVASProduct@44870fea]] - ( ( (hd_inst_BitLockerDriveEncryption_6_x) ) & (hd_loc_bitlocker_specific_1) )
与状态需求(情况+修正)的回应以XML格式:
2015-11-14 14:59:02,052 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
<name>Bitlocker</name>
<version/>
<description>Bitlocker encryption not enabled on the endpoint. Station not compliant.</description>
<type>3</type>
<optional>0</optional>
<action>3</action>
<check>
<id>hd_loc_bitlocker_specific_1</id>
<category>10</category>
<type>1002</type>
<param>180</param>
<path>E:</path>
<value>full</value>
<value_type>2</value_type>
</check>
<check>
<id>hd_inst_BitLockerDriveEncryption_6_x</id>
<category>10</category>
<type>1001</type>
<param>180</param>
<operation>regex match</operation>
<value>^6\..+$|^6$</value>
<value_type>3</value_type>
</check>
<criteria>( ( ( (hd_inst_BitLockerDriveEncryption_6_x) ) & (hd_loc_bitlocker_specific_1) ) )</criteria>
</package>
</cleanmachines>
在被加密的报告以后由ISE接受:
2015-11-14 14:59:04,816 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypting report
2015-11-14 14:59:04,817 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypted report [[ <report><version>1000</version><encryption>0</encryption><key></key><os_type>WINDOWS</os_type><osversion>1.2.1.6.1.1</osversion><build_number>7600</build_number><architecture>9</architecture><user_name>[device-filter-AC]</user_name><agent>x.y.z.d-todo</agent><sys_name>ADMIN-KOMPUTER</sys_name><sys_user>admin</sys_user><sys_domain>n/a</sys_domain><sys_user_domain>admin-Komputer</sys_user_domain><av><av_vendor_name>Microsoft Corp.</av_vendor_name><av_prod_name>Windows Defender</av_prod_name><av_prod_version>6.1.7600.16385</av_prod_version><av_def_version>1.141.3676.0</av_def_version><av_def_date>01/11/2013</av_def_date><av_prod_features>AS</av_prod_features></av><package><id>10</id><status>1</status><check><chk_id>hd_loc_bitlocker_specific_1</chk_id><chk_status>1</chk_status></check><check><chk_id>hd_inst_BitLockerDriveEncryption_6_x</chk_id><chk_status>1</chk_status></check></package></report> ]]
位置被标记作为兼容,并且ISE发送CoA :
2015-11-14 14:59:04,823 INFO [portal-http-service28][] cisco.cpm.posture.runtime.PostureManager -:cisco:c0a801010001700056473ebe:::- Posture state is compliant for endpoint with mac 08-00-27-81-50-86
2015-11-14 14:59:06,825 DEBUG [pool-5399-thread-1][] cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a801010000f0005647358b:::- Posture CoA is triggered for endpoint [08-00-27-81-50-86] with session [c0a801010001700056473ebe
并且, ISE发送最终配置:
2015-11-14 14:59:04,827 DEBUG [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Sending response to endpoint 08-00-27-81-50-86 http response [[ <!--X-Perfigo-DM-Error=0--><!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0--><!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0--><!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey--><!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=--><!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter--><!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4--><!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:81:50:86--> ]]
这些步骤可以从客户端(AnyConnect箭)也被确认:
Date : 11/14/2015
Time : 14:58:41
Type : Warning
Source : acvpnui
Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Scanning system ... ]
******************************************
Date : 11/14/2015
Time : 14:58:43
Type : Warning
Source : acvpnui
Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Checking requirement 1 of 1. ]
******************************************
Date : 11/14/2015
Time : 14:58:46
Type : Warning
Source : acvpnui
Description : Function: CNacApiShim::PostureNotification
File: .\NacShim.cpp
Line: 461
Clearing Posture List.
对于成功的会话, AnyConnect UI系统扫描/消息历史记录报告:
14:41:59 Searching for policy server.
14:42:03 Checking for product updates...
14:42:03 The AnyConnect Downloader is performing update checks...
14:42:04 Checking for profile updates...
14:42:04 Checking for product updates...
14:42:04 Checking for customization updates...
14:42:04 Performing any required updates...
14:42:04 The AnyConnect Downloader updates have been completed.
14:42:03 Update complete.
14:42:03 Scanning system ...
14:42:05 Checking requirement 1 of 1.
14:42:05 Updating network settings.
14:42:10 Compliant.
Bug
CSCux15941
- ISE 2.0和AC4.2状态与位置失败(/的bitlocker加密不支持的字符\)
Troubleshoot
本部分提供了可用于对配置进行故障排除的信息。
如果终端是固执的,由AnyConnect UI报告(也被配置的修正被执行)如镜像所显示。

如镜像所显示, ISE能提供细节在失败条件。

同样可以从CLI日志被检查(登录部分的示例验证)。
Related Information