已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

配置ISE 2.0并且加密AnyConnect 4.2状态BitlLocker加密

下载选项

  • PDF     (1.8 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.9 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 6 月 26 日
文档 ID:200271
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文描述如何加密终端的与使用的磁盘分区Microsoft BitLocker和如何配置思科身份服务引擎(ISE)为了提供全部存取给网络,只有当配置时正确的加密。Cisco与AnyConnect安全移动性客户端4.2一起的ISE版本2.0支持磁盘加密的状态。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 可适应的安全工具(ASA) CLI配置和安全套接字层SSL VPN配置
    • 在ASA的远程访问VPN配置
    • ISE和状态服务

    使用的组件

    本文档中的信息基于以下软件版本:

    • Cisco ASA软件版本9.2.1及以后
    • 与Cisco AnyConnect安全移动客户端版本4.2和以上的微软视窗版本7
    • Cisco ISE,版本2.0及以后

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络实际,请保证您了解所有命令的潜在影响。

    配置

    网络图

    流如下:

    • AnyConnect客户端起动的VPN会话通过ISE验证。终端的状态状况不知道,规则ASA VPN未知被击中结果,并且会话重定向对设置的ISE
    • 用户打开Web浏览器, HTTP数据流由对ISE的ASA重定向。ISE与状态和标准模块一起推进AnyConnect的新版本对终端
    • 一旦状态模块被执行,检查是否分区E :由BitLocker充分地加密。如果是,触发授权的报告被发送到ISE (CoA)的Radius更改,不用任何ACL (全部存取)
    • 在ASA的VPN会话是更新的,去除重定向ACL,并且会话有全部存取

    展示得VPN会话为例。状态功能为访问的其他类型太良好工作。

    ASA

    它从远程SSL VPN访问被配置用使用ISE作为验证、授权和统计(AAA)服务器。需要配置与重定向ACL一起的Radius CoA :

    aaa-server ISE20 protocol radius
     authorize-only
     interim-accounting-update periodic 1
     dynamic-authorization
    aaa-server ISE20 (inside) host 10.48.17.235
     key cisco

    tunnel-group TAC type remote-access
    tunnel-group TAC general-attributes
     address-pool POOL
    authentication-server-group ISE20
     accounting-server-group ISE20
     default-group-policy AllProtocols
    tunnel-group TAC webvpn-attributes
     group-alias TAC enable

    group-policy AllProtocols internal
    group-policy AllProtocols attributes
     vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

    webvpn
     enable outside
     anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable
     error-recovery disable

    access-list REDIRECT extended deny udp any any eq domain 
    access-list REDIRECT extended deny ip any host 10.48.17.235 
    access-list REDIRECT extended deny icmp any any 
    access-list REDIRECT extended permit tcp any any eq www

    ip local pool POOL 172.16.31.10-172.16.31.20 mask 255.255.255.0

    欲了解更详细的信息请参考:

    与ISE版本1.3配置示例的AnyConnect 4.0集成

    在Windows 7的BitLocker

    连接对控制面板>System和安全> BitLocker推进加密, enable (event) E :分成加密。由密码(PIN)保护它如镜像所显示。

    一旦它被加密,请安放它(与密码的提供)并且保证是可访问的如镜像所显示。

    欲了解更详细的信息,请跟随Microsoft文档:

    Windows BitLocker推进加密分步指南

    ISE

    步骤1.网络设备

    连接到Administration >网络资源>网络设备,添加与设备type= ASA的ASA。使用这,因为在授权规则,然而它的一个条件不是必须的(可以使用条件的其他类型)。

    如果适当,网络设备组不存在。为了创建,请连接对Administration >网络资源>网络设备组

    步骤2.状态情况和策略

    保证状态情况更新:连接对管理>System >设置>状态>更新>更新当前

    如镜像所显示,连接对策略>Policy元素>情况>状态>磁盘加密情况,添加一个新的情况。

    此状态检查,如果安装Windows的7 BitLocker,并且,如果E :分区充分地被加密。

    Note:BitLocker是磁盘级别加密,并且不支持有路径参数的特定位置,仅磁盘字母。

    连接对策略如镜像所显示,使用情况的>Policy元素>结果>状态>需求为了创建新要求。

    如镜像所显示,连接对策略>状态,添加所有Windows的一个条件为了使用需求。

    步骤3.客户端设置资源和策略

    如镜像所显示,连接对策略>Policy元素>客户端设置>资源,从Cisco.com下载标准模块和手工加载AnyConnect 4.2程序包

    连接到Add> NAC代理程序或AnyConnect状态配置文件,创建AnyConnect状态配置文件(名字:AnyConnectPosture)与默认设置。

    连接对Add> AnyConnect配置,添加AnyConnect配置文件(名字:AnyConnect配置)如镜像所显示。

    如镜像所显示,连接对策略>客户端设置并且修改Windows的默认策略为了使用被配置的AnyConnect配置文件。

    步骤4.授权规则

    连接对策略>Policy元素>结果>授权,添加授权配置文件(名字:RedirectForPosture)对默认客户端设置的门户的哪些重定向如镜像所显示。

    重定向ACL在ASA被定义。

    如镜像所显示,连接对策略>授权,创建3个授权规则。

    如果终端是兼容的,全部存取提供。如果状态是未知或非兼容的,客户端设置的重定向返回。

    验证

    使用本部分可确认配置能否正常运行。

    步骤1. VPN会话建立

    一旦VPN会话建立,如镜像所显示, ASA也许要执行升级AnyConnect模块。

    在ISE最后规则被击中,如镜像所显示,结果RedirectForPosture权限返回。

    一旦ASA完成建立VPN会话,报道重定向必须发生:

    ASAv# show vpn-sessiondb detail anyconnect 

    Session Type: AnyConnect Detailed

    Username     : cisco                  Index        : 32
    Assigned IP  : 172.16.31.10           Public IP    : 10.61.90.226
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Premium
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES256  DTLS-Tunnel: (1)AES256
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
    Bytes Tx     : 53201                  Bytes Rx     : 122712
    Pkts Tx      : 134                    Pkts Rx      : 557
    Pkts Tx Drop : 0                      Pkts Rx Drop : 0
    Group Policy : AllProtocols           Tunnel Group : TAC
    Login Time   : 21:29:50 UTC Sat Nov 14 2015
    Duration     : 0h:56m:53s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : c0a80101000200005647a7ce
    Security Grp : none

    <some output omitted for clarity>

    ISE Posture:
      Redirect URL : https://mgarcarz-ise20.example.com:8443/portal/gateway?sessionId=&portal=0d2ed780-6d90-11e5-978e-00505...
      Redirect ACL : REDIRECT

    步骤2.客户端设置

    如镜像所显示,在该阶段,终端Web浏览器数据流重定向对客户端设置的ISE。

    若需要,与状态和标准模块一起的AnyConnect是更新的如镜像所显示。

    步骤3.状态检查和CoA

    状态模块被执行,发现ISE (也许要求有enroll.cisco.com的DNS A记录为了成功)如镜像所显示,下载并且检查状态情况。

    一旦被确认E :如镜像所显示,分区由BitLocker充分地加密,正确的报告被发送到ISE。

    如镜像所显示,这触发CoA reauthorize VPN会话。

    ASA去除提供全部存取的重定向ACL。如镜像所显示, AnyConnect报告标准。

    并且,关于ISE的详细资料报表能确认两个情况是满足的(由情况的状态评估是显示每个情况)的新的ISE 2.0报告。第一个情况(hd_inst_BitLockerDriveEncryption_6_x)检查安装/进程,第二个(hd_loc_bitlocker_specific_1)检查,如果特定位置(E :)如镜像所显示,充分地被加密。

    ISE由终端报告的状态评估确认所有条件是满足的,如镜像所显示。

    同样可以从ise-psc.log调试被确认。摆ISE和回应收到的请求姿势:

    2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -::c0a801010001700056473ebe:::- Received posture request [parameters: reqtype=validate, userip=10.62.145.44, clientmac=08-00-27-81-50-86, os=WINDOWS, osVerison=1.2.1.6.1.1, architecture=9, provider=Device Filter, state=, ops=1, avpid=, avvname=Microsoft Corp.:!::!::!:, avpname=Windows Defender:!::!::!:, avpversion=6.1.7600.16385:!::!::!:, avpfeature=AS:!::!::!:, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.1; AnyConnect Posture Agent v.4.2.00096), session_id=c0a801010001700056473ebe
    2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Creating a new session info for mac 08-00-27-81-50-86
    2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Turning on enryption for endpoint with mac 08-00-27-81-50-86 and os WINDOWS, osVersion=1.2.1.6.1.1
    2015-11-14 14:59:01,974 DEBUG  [portal-http-service28][] cpm.posture.runtime.agent.AgentXmlGenerator -:cisco:c0a801010001700056473ebe:::- Agent criteria for rule [Name=bitlocker, Description=, Operating Systems=[Windows All], Vendor=com.cisco.cpm.posture.edf.AVASVendor@96b084e, Check Type=Installation, Allow older def date=0, Days Allowed=Undefined, Product Name=[com.cisco.cpm.posture.edf.AVASProduct@44870fea]] -  (  ( (hd_inst_BitLockerDriveEncryption_6_x) )  & (hd_loc_bitlocker_specific_1) )

    与状态需求(情况+修正)的回应以XML格式:

    2015-11-14 14:59:02,052 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
      <version>2</version>
      <encryption>0</encryption>
      <package>
        <id>10</id>
        <name>Bitlocker</name>
        <version/>
        <description>Bitlocker encryption not enabled on the endpoint. Station not compliant.</description>
        <type>3</type>
        <optional>0</optional>
        <action>3</action>
        <check>
          <id>hd_loc_bitlocker_specific_1</id>
          <category>10</category>
          <type>1002</type>
          <param>180</param>
          <path>E:</path>
          <value>full</value>
          <value_type>2</value_type>
        </check>
        <check>
          <id>hd_inst_BitLockerDriveEncryption_6_x</id>
          <category>10</category>
          <type>1001</type>
          <param>180</param>
          <operation>regex match</operation>
          <value>^6\..+$|^6$</value>
          <value_type>3</value_type>
        </check>
        <criteria>( (  ( (hd_inst_BitLockerDriveEncryption_6_x) )  &amp; (hd_loc_bitlocker_specific_1) ) )</criteria>
      </package>
    </cleanmachines>

    在被加密的报告以后由ISE接受:

    2015-11-14 14:59:04,816 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypting report
    2015-11-14 14:59:04,817 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypted report [[ <report><version>1000</version><encryption>0</encryption><key></key><os_type>WINDOWS</os_type><osversion>1.2.1.6.1.1</osversion><build_number>7600</build_number><architecture>9</architecture><user_name>[device-filter-AC]</user_name><agent>x.y.z.d-todo</agent><sys_name>ADMIN-KOMPUTER</sys_name><sys_user>admin</sys_user><sys_domain>n/a</sys_domain><sys_user_domain>admin-Komputer</sys_user_domain><av><av_vendor_name>Microsoft Corp.</av_vendor_name><av_prod_name>Windows Defender</av_prod_name><av_prod_version>6.1.7600.16385</av_prod_version><av_def_version>1.141.3676.0</av_def_version><av_def_date>01/11/2013</av_def_date><av_prod_features>AS</av_prod_features></av><package><id>10</id><status>1</status><check><chk_id>hd_loc_bitlocker_specific_1</chk_id><chk_status>1</chk_status></check><check><chk_id>hd_inst_BitLockerDriveEncryption_6_x</chk_id><chk_status>1</chk_status></check></package></report> ]]

    位置被标记作为兼容,并且ISE发送CoA :

    2015-11-14 14:59:04,823 INFO   [portal-http-service28][] cisco.cpm.posture.runtime.PostureManager -:cisco:c0a801010001700056473ebe:::- Posture state is compliant for endpoint with mac 08-00-27-81-50-86
    2015-11-14 14:59:06,825 DEBUG  [pool-5399-thread-1][] cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a801010000f0005647358b:::- Posture CoA is triggered for endpoint [08-00-27-81-50-86] with session [c0a801010001700056473ebe

    并且, ISE发送最终配置:

    2015-11-14 14:59:04,827 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Sending response to endpoint 08-00-27-81-50-86 http response [[ <!--X-Perfigo-DM-Error=0--><!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0--><!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0--><!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey--><!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=--><!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter--><!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4--><!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:81:50:86--> ]]

    这些步骤可以从客户端(AnyConnect箭)也被确认:

    Date        : 11/14/2015
    Time        : 14:58:41
    Type        : Warning
    Source      : acvpnui

    Description : Function: Module::UpdateControls
    File: .\Module.cpp
    Line: 344
    No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Scanning system ... ] 

    ******************************************

    Date        : 11/14/2015
    Time        : 14:58:43
    Type        : Warning
    Source      : acvpnui

    Description : Function: Module::UpdateControls
    File: .\Module.cpp
    Line: 344
    No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Checking requirement 1 of 1. ]

    ******************************************

    Date        : 11/14/2015
    Time        : 14:58:46
    Type        : Warning
    Source      : acvpnui

    Description : Function: CNacApiShim::PostureNotification
    File: .\NacShim.cpp
    Line: 461
    Clearing Posture List.

    对于成功的会话, AnyConnect UI系统扫描/消息历史记录报告:

         14:41:59    Searching for policy server.
         14:42:03    Checking for product updates...
         14:42:03    The AnyConnect Downloader is performing update checks...
         14:42:04    Checking for profile updates...
         14:42:04    Checking for product updates...
         14:42:04    Checking for customization updates...
         14:42:04    Performing any required updates...
         14:42:04    The AnyConnect Downloader updates have been completed.
         14:42:03    Update complete.
         14:42:03    Scanning system ... 
         14:42:05    Checking requirement 1 of 1. 
         14:42:05    Updating network settings. 
         14:42:10    Compliant.

    Bug

    CSCux15941 - ISE 2.0和AC4.2状态与位置失败(/的bitlocker加密不支持的字符\)

    故障排除

    本部分提供了可用于对配置进行故障排除的信息。

    如果终端是固执的,由AnyConnect UI报告(也被配置的修正被执行)如镜像所显示。

    如镜像所显示, ISE能提供细节在失败条件。

    同样可以从CLI日志被检查(登录部分的示例验证)。

    相关信息

    TAC Authored

    由思科工程师提供

    • Michal Garcarz
      Cisco TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    相关的思科社区讨论

    本文档适用于以下产品

    关于我们
    联系我们
    加入我们