新信息及变更内容
下表汇总了新增和变更的功能,并指明了相关文档位置。
|
功能 |
说明 |
||
|---|---|---|---|
| 思科 ISE 版本 3.4 补丁 4 | |||
|
工作负载连接器终端控制面板 |
情景可视性中的工作负载连接器终端页面使您能够高效收集、分析和报告与工作负载连接器相关的数据。此选项卡显示从工作负载连接器页面收集的终端属性信息。点击终端的 IP 地址,可访问或下载详细的属性信息以进行终端分析。 请参阅工作负载连接器终端控制面板。 |
||
|
SMTP 的 OAuth 支持 |
思科 ISE 版本 3.4 补丁 4 允许您在思科 ISE 用户界面中启用或禁用使用身份验证设置。此版本除支持“基础密码身份验证”外,还新增了对 MS Exchange OAuth 身份验证的支持。 |
||
|
USB 磁盘加密条件 |
您可以使用所有外部 USB 驱动器选项(位于策略 > 策略元素 > 条件 > 终端安全评估 > 磁盘加密条件下),检查外部磁盘驱动器是否已使用所选产品加密。 插入 USB 驱动器时,思科 ISE 会动态检测插入操作,立即评估 USB 驱动器条件,并检查终端的合规状态。此过程可确保在终端处于思科 ISE 控制的网络内时,持续监控并执行与 USB 设备相关的终端安全评估策略。 请参阅磁盘加密条件设置。 |
||
|
过多 TACACS+ 活动的新告警 |
引入了一个新告警,以增强思科 ISE 中的系统监控和故障排除能力。 “检测到 TACACS 通信过多”告警可识别来自 TACACS+ 设备的过多通信流量,并帮助用户解决这些问题。 请参阅 思科 ISE 警报。 |
||
|
TACACS+ 支持防止 Active Directory 用户锁定 |
阻止 Active Directory 用户锁定选项可减少因多次输入错误密码导致的锁定频率。此选项受 RADIUS 和 TACACS+ 协议支持。 |
||
|
监控分析器流量探测功能 |
引入了新的增强功能,以提高高流量部署下思科 ISE 分析器的弹性和稳定性。
|
||
|
使用 Entra ID EAP-TLS 和 TEAP-TLS 进行用户和设备授权 |
从思科 ISE 版本 3.4 补丁 4 开始,支持对用户和设备流程使用基于证书的身份验证。您可以创建授权策略,通过 EAP 或 TEAP 链接对用户和设备进行授权。思科 ISE 会在身份验证期间评估设备或用户提供的证书,无需直接访问 Microsoft Entra ID。授权策略中可使用 REST 身份库属性条件或 REST 身份库组。思科 ISE 会查询 Microsoft Entra ID 以检索用户或设备的组和属性,以及设备相关信息。 |
||
|
思科 ISE 版本 3.4 补丁 3 无新增功能。 |
|||
| 思科 ISE 版本 3.4 补丁 2 | |||
|
使用增强的终端主题设置共享思科 ISE 数据 |
您可以使用增强的终端主题设置功能,与思科 AI 终端分析和 Cisco pxGrid Cloud 共享终端属性数据,从而增强网络可视性和安全性。 |
||
|
支持基于 TLS 的 TACACS 身份验证 |
您可以为网络设备启用基于 TLS 的 TACACS 身份验证,以实施额外的安全性。思科 ISE 支持验证证书的 IP 地址 (iPAddress)、DNS 名称 (dNSName) 和目录名称 (directoryname) 属性。 只要这些属性中的任意一个匹配,验证即成功;否则,验证失败。每个 SAN 属性都支持多个值。 请参阅网络设备定义设置。 |
||
|
Tenable Security Center 的 API 密钥和证书身份验证支持 |
从思科 ISE 3.4 补丁 2 开始,Tenable Security Center 额外支持以下身份验证方法:
|
||
|
远程支持授权 |
远程支持授权允许思科 ISE 管理员授权特定的思科 TAC 技术人员通过 CLI、UI 或同时通过两者远程、安全地访问思科 ISE 部署,以进行故障排除和信息收集。 请参阅远程支持授权。 |
||
|
限时启用调试 |
限时启用调试功能允许您从下拉列表中选择日志级别,并设置重置计时器以恢复为默认设置。计时器到期后,所选节点会恢复为默认状态。 请参阅配置调试日志设置。 |
||
|
支持 osquery 条件 |
从思科 ISE 3.4 补丁 2 开始,您可以创建 osquery 条件,以检查终端的终端安全评估合规状态或从终端获取所需属性。
请参阅添加 osquery 条件。 |
||
|
思科 ISE 版本 3.4 补丁 1 |
|||
|
为加入点分配专用资源 |
从思科 ISE 版本 3.4 补丁 1 开始,您可以为每个 PSN 中的加入点预留资源。这种资源分段有助于减少加入点之间资源共享导致的性能影响。 请参阅为加入点分配专用资源。 |
||
|
通过 pxGrid Direct 为字典属性执行授权更改 (CoA) |
从思科 ISE 版本 3.4 补丁 1 开始,您可以通过 pxGrid Direct 为字典属性启用授权更改 (CoA)。当启用 CoA 的字典属性值发生更改时,会对受影响的终端执行 CoA 端口反弹或重新身份验证。 |
||
|
动态重新授权计划程序 |
从思科 ISE 版本 3.4 补丁 1 版本开始,您可以通过为每个会话设置预定的到期日期和时间来增强访问控制,确保会话仅在指定的到期时间前保持活动状态,从而防止未授权访问。 请参阅动态重新授权计划程序。 |
||
|
在 FIPS 模式下启用 PAP/ASCII |
从思科 ISE 版本 3.4 补丁 1 开始,思科 ISE 允许在 FIPS 模式下配置 PAP/ASCII 协议。配置网络设备时,您可以启用 RADIUS DTLS 设置,以在 FIPS 模式下支持 PAP/ASCII 协议。 |
||
|
通过集成目录集成 pxGrid 云应用 |
从思科 ISE 版本 3.4 补丁 1 开始,您可以使用思科 ISE 上的原生集成目录界面与 pxGrid 云应用集成,以简化集成体验。可通过集成目录()将 pxGrid 云应用与思科 ISE 集成。 请参阅集成目录。 |
||
|
入站和出站 SGT 域规则 |
您可以创建入站 SGT 域规则,将入站 SGT 绑定与特定 SGT 域映射。如果未定义任何规则,从工作负载连接器接收的绑定会发送到默认 SGT 域。 您可以创建出站 SGT 域规则,为特定 SGT 绑定指定目标目的地。 请参阅添加入站 SGT 域规则 和 添加出站 SGT 域规则。 |
||
|
预览门户自定义 |
在门户页面自定义页面中进行更改后,必须点击渲染预览以预览内容。每次要查看更新后的内容时,都必须点击刷新预览。 请参阅预览门户自定义。 |
||
|
全局安全组支持 ACI |
从思科 ISE 版本 3.4 到 3.4 补丁 1,外部 EPG (EEPG) 的命名规则已更改。在思科 ISE 版本 3.4 中,EEPG 命名格式为“ISE_SGT_<SGT_TAG>”,其中“ISE_SGT_”是固定前缀,后接安全组标记 (SGT) 。在思科 ISE 版本 3.4 补丁 1 中,格式更改为“ISE_<SG_NAME>”,使用“ISE_”作为固定前缀,后接安全组 (SG) 名称。
|
||
|
工作负载分类规则 |
工作负载分类规则可用于对工作负载进行分类,并为工作负载分配主和辅助 SGT。主 SGT 在 pxGrid 会话主题中标记为“安全组”(Security Group),用于通过 SXP 发布 IP 到 SGT 的映射。辅助 SGT 作为名为“辅助安全组”(Secondary Security) 的有序数组包含在 pxGrid 会话主题中。 请参阅添加工作负载分类规则。 |
||
|
工作负载连接器 |
通用策略是一个框架,用于构建和实施一致的访问和分段策略,不受域的限制。在此框架中,工作负载连接器用于与本地数据中心和云数据中心建立安全连接、导入应用工作负载情景、将该情景规范化为 SGT,并与其他域共享该情景以构建策略。 请参阅工作负载连接器。 |
||
|
工作负载实时会话 |
工作负载实时会话页面显示实时工作负载会话的详细信息。要查看此页面,请在思科 ISE GUI 中点击菜单图标,然后选择操作 > 工作负载 > 工作负载实时会话。 请参阅工作负载实时会话。 |
||
|
思科 ISE 版本 3.4 |
|||
|
思科 ISE 恢复能力 |
从思科 ISE 版本 3.4 开始,新增了 RADIUS 网络设备通信过多和终端通信过多告警,以维持思科 ISE 的恢复能力。 请参阅 思科 ISE 警报。 |
||
|
配置调试日志设置 |
您可以配置每个调试日志组件的最大文件大小和最大文件数。您还可以指定这些值必须在哪个日期和时间后恢复为默认值。 请参阅配置调试日志设置。 |
||
|
创建 URL 推送器 pxGrid Direct 连接器类型 |
您可以使用思科 ISE GUI 来创建 pxGrid Direct 连接器。pxGrid Direct 连接器有两种类型:URL 获取程序 和 URL 推送程序。从思科 ISE 版本 3.4 开始,您可以选择 URL 获取程序 pxGrid Direct 连接器类型或 URL 推送程序 pxGrid Direct 连接器类型。您可以使用 pxGrid Direct 推送 API 将终端数据推送到思科 ISE。 从思科 ISE 版本 3.4 开始,您还可以使用包含数组的连接器属性配置授权配置文件。 请参阅创建 URL 推送程序连接器类型。 |
||
| 停止支持旧版 IPsec (ESR) |
从思科 ISE 版本 3.4 开始,思科 ISE 不再支持旧版 IPsec (ESR)。思科 ISE 上的所有 IPsec 配置都将是原生 IPsec 配置。建议您在升级到思科 ISE 版本 前,从旧版 IPsec (ESR) 迁移到原生 IPsec,以避免隧道和隧道配置丢失。 |
||
|
利用优先级强制选择域控制器 |
现在,在首选域控制器故障转移的情况下,您可以选择覆盖思科 ISE 对域控制器的选择。启用此选项后,思科 ISE 会覆盖现有的优先级值,并按从左到右的输入顺序从首选列表中选择下一个域控制器。 请参阅配置首选域控制器。 |
||
|
增强的密码安全性 |
思科 ISE 现在通过以下增强功能提高密码安全性:
|
||
|
使用“立即同步”进行按需 pxGrid 直接数据同步 |
从思科 ISE 版本 3.4 开始,您可以使用立即同步功能,从 pxGrid Direct 连接器按需同步数据。您可以按需执行完全同步和增量同步。可以通过思科 ISE GUI 或使用 OpenAPI 来执行按需数据同步。 |
||
|
创建 Duo 连接后添加身份同步的选项 |
如果在创建 Duo 连接时不想配置 Active Directory 与 Duo 之间的用户数据同步,请在身份同步页面点击跳过。您将直接进入摘要 (Summary) 页面。 在创建 Duo 连接后,您可以随时添加身份同步配置。 |
||
|
按用户动态访问控制列表的行为变更 |
在评估包含按用户动态访问控制列表 (DACL) 的授权配置文件时,如果思科 ISE 配置中不存在该 DACL,授权将失败,且思科 ISE 会向该用户发送“访问拒绝”响应。您可以在实时日志详细信息 (Live Log Details) 页面和 AAA 诊断 (AAA Diagnostics) 报告中查看此信息。从思科 ISE 版本 3.4 开始,授权失败警报也会显示在思科 ISE 控制面板的警报 (Alarms) 仪表板中。 请参阅可下载 ACL。 |
||
|
支持多个思科应用中心基础设施连接器 |
思科 ISE 使您能够跨多个域创建和实施一致的访问策略。思科 ISE 可与思科应用中心基础设施 (Cisco ACI) 共享 SGT 和 SGT 绑定。思科 ISE 还可从 Cisco ACI 获知终端组 (EPG) 、端点安全组 (ESG) 和终端信息。您可以将多个思科 ACI 连接添加到思科 ISE。 您可以配置规则来管理思科 ISE 中获知的情景,并优化思科 ISE 和思科 ACI 连接器之间的情景流。 思科 ISE 支持思科 ACI 多租户和多虚拟路由与转发部署。您可以通过多个连接来定义多交换矩阵。此集成支持多 Pod 和单个思科 ACI 交换矩阵。 |
||
|
授权策略中字典组支持包含数组的 pxGrid Direct |
从思科 ISE 版本 3.4 开始,您还可以使用具有阵列的 pxGrid Direct 连接器数据作为字典属性来配置授权策略。配置策略时,必须使用运算符“Contains”或“Matches”(如果是 REGEX)。当有阵列时,运算符“Equals”和“In”将不起作用。可以使用“AND”或“OR”条件嵌套多个属性。 请参阅配置授权策略。 |
||
|
RADIUS 抑制和报告增强 |
从思科 ISE 版本 3.4 开始,RADIUS 抑制和报告已得到增强,以便更轻松地进行 RADIUS 配置()。 请参阅 RADIUS 设置。 |
||
|
停止支持传输网关 |
思科 ISE 不再支持传输网关。以下思科 ISE 功能曾将传输网关用作连接方式:
|
||
|
思科 ISE 工作流程的 TLS 1.3 支持 |
思科 ISE 版本 3.4 允许 TLS 1.3 与对等体在以下工作流程中通信:
请参阅配置安全设置。 |
||
反馈