新信息及变更内容
此表总结了新增和更改的功能,以及有关记录这些功能的位置的信息。
|
功能 |
说明 |
||
|---|---|---|---|
|
思科 ISE 版本 3.5 补丁 1 |
|||
|
USB 磁盘加密条件 |
您可以使用所有外部 USB 驱动器选项(位于策略 > 策略元素 > 条件 > 终端安全评估 > 磁盘加密条件下),检查外部磁盘驱动器是否已使用所选产品加密。 插入 USB 驱动器时,思科 ISE 会动态检测插入操作,立即评估 USB 驱动器条件,并检查终端的合规状态。此过程可确保在终端处于思科 ISE 控制的网络内时,持续监控并执行与 USB 设备相关的终端安全评估策略。 请参阅磁盘加密条件设置。 |
||
|
SMTP 的 OAuth 支持 |
您可以在思科 ISE GUI 中为简单邮件传输协议 (SMTP) 服务器启用或禁用身份验证设置。此版本除支持基础密码身份验证外,还新增了对 Microsoft OAuth 身份验证的支持。 请参阅配置 SMTP 服务器以支持通知。 |
||
|
基于 CoA 的用户属性监控增强 |
对于基于 Microsoft Entra ID 属性更新的授权更改 (CoA),以下增强功能现已支持用户属性监控:
|
||
|
自注册访客门户的 OpenID Connect 身份验证 |
思科 ISE 支持自注册访客门户的 OpenID Connect (OIDC) 身份验证。您可以将 Microsoft Entra ID 或通用 OIDC 身份提供程序(如 Okta)配置为访客流程中终端身份验证的身份存储。 如果您选择 Microsoft Entra ID 作为身份提供程序,可以通过 Microsoft Graph API 从 Microsoft Entra ID 获取组和属性。您也可以使用 ID 令牌或 UserInfo 终端 API 从 Microsoft Entra ID 获取组和属性。 |
||
|
思科 ISE 版本 3.5 |
|||
|
云多因素分类分析器 |
思科 ISE 中的云多因素分类 (MFC) 分析器通过与云共享观察到的属性以进行分析,增强终端分类能力。它改进了终端标记、分组和策略应用,支持独立部署和分布式部署。 要在云端注册思科 ISE 实例,请导航至,选择区域,然后点击启用。随后您会被重定向到思科身份验证门户,并提示输入思科登录凭证。 请参阅云多因素分类分析器。 |
||
|
DoDIN APL 支持 |
思科 ISE 版本 3.5 在“网络准入控制器 (NAC)”类别中接受“美国国防部批准产品列表 (DoDIN APL)”认证测试。思科完成测试并获得认证后,会在 DoDIN APL 网站上发布认证详情。 请参阅联邦或安全认证。 |
||
|
为加入点分配专用资源。 |
您可以为每个 PSN 中的加入点预留资源。这种资源分段有助于减少加入点之间资源共享导致的性能影响。 请参阅为加入点分配专用资源。 |
||
|
重置访客密码时新增国家/地区代码下拉列表 |
从思科 ISE 版本 3.5 开始,自行注册访客的密码重置流程新增了国家/地区代码下拉列表。现在,当自行注册访客选择“电话”选项重置密码时,系统会显示国家代码下拉列表。访客用户在输入电话号码前,可以选择相应的国家/地区代码。 |
||
|
联邦或安全认证 |
思科 ISE 版本 3.5 增强了对关键联邦和安全认证的支持。此版本符合“网络设备协作保护配置文件 (NDcPP) v3.0e”以获取通用标准认证,测试内容包括安全外壳 (SSH) 和身份验证服务器 PP 模块。 此外,思科 ISE 版本 3.5 计划获取:
请参阅联邦或安全认证 |
||
|
FIPS 140-3 支持 |
思科 ISE 现在支持 FIPS 140-3 模式。此模式增强了加密安全性和合规性。它强制使用符合 FIPS 标准的协议、算法和密钥长度。FIPS 模式会禁用不符合标准的密码套件和协议,包括 IPsec、SSHv2、LDAPS、pxGrid、pxGrid Direct、TC-NAC Tenable 和 pxGrid Cloud 组件。 请参阅联邦信息处理标准模式支持。 |
||
|
pxGrid Direct 的 OAuth2 身份验证支持 |
现在,通过思科 ISE GUI 创建 URL 获取器 pxGrid Direct 连接器时,Cisco pxGrid Direct 支持三种身份验证方法:基本、API 密钥和 OAuth2。 请参阅创建 URL 获取程序连接器类型。 |
||
|
监控分析器流量探测功能 |
引入了新的增强功能,以提高高流量部署下思科 ISE 分析器的弹性和稳定性。
请参阅监控配置文件流量探测。 |
||
|
针对外部资源缓慢和 TACACS+活动过多的新告警 |
引入了五个新告警,以增强思科 ISE 中的系统监控和故障排除能力。 这些告警有助于识别和解决外部系统延迟或 TACACS+设备通信流量过多等问题:
请参阅 思科 ISE 警报。 |
||
|
提升有效性的新分析服务 |
您可以在思科 ISE 中创建基于多因素分类 (MFC) 的分析策略,通过基于规则的分类对未识别的终端进行分类。通过自定义映射规则或直接映射规则自动分配标记,确保终端分类过程的一致性: 自定义规则:允许您定义符合特定组织需求的分析条件,基于定制属性对分类进行精确控制。 直接映射规则:允许您使用特定属性或标识符(如 mdmOSVersion 或 mdmManufacturer)直接对设备进行分类。 此外,思科 ISE 继续支持早期版本中的 AI/ML 规则和系统规则,以增强分析能力。 请参阅分析策略。 |
||
|
Entra ID 属性更改后发送 CoA |
思科 ISE 允许您监控 Microsoft Entra ID 实例内用户或设备属性的更改,并动态实施更新后的网络访问策略。通过定义包含受监控属性的授权策略并使用 SAML 获取这些属性,思科 ISE 可检测属性更改、触发授权更改 (CoA),并在重新身份验证后重新应用更新后的访问权限。这可确保授权决策与最新的属性更改保持一致。 |
||
|
限时启用调试 |
限时启用调试功能允许您从下拉列表中选择日志级别,并设置重置计时器以恢复为默认设置。计时器到期后,所选节点会恢复为默认状态。 请参阅配置调试日志设置。 |
||
|
动态重新授权计划程序 |
您可以通过为每个会话设置预定的到期日期和时间来增强访问控制,确保会话仅在指定的到期时间前保持活动状态,从而防止未授权访问。 请参阅动态重新授权计划程序。 |
||
|
全局安全组支持 ACI |
思科 ISE 版本 3.5 中外部 EPG (EEPG) 的命名规则已更改。在思科 ISE 版本 3.4 中,EEPG 命名格式为“ISE_SGT_<SGT_TAG>”,其中“ISE_SGT_”是固定前缀,后接安全组标记 (SGT) 。 在思科 ISE 版本 3.5 中,格式更改为“ISE_<SG_NAME>”,使用“ISE_”作为固定前缀,后接安全组 (SG) 名称。
|
||
|
探测状态控制面板 |
操作 > 系统 360 > 日志分析 > 控制面板中的探测状态控制面板会显示思科 ISE 接收的所有活动分析探测、网络接入设备 (NAD) 探测状态和终端探测详细信息。使用筛选器选择特定的 PSN 、PSN 组或 NAD,以获取更精细的结果。 您可以通过分析为每个 PSN 或 NAD 生成的探测,验证 NAD 是否配置正确。您可以分析生成的探测数据包,并相应地更新探测和 NAD 配置。 请参阅日志分析。 |
||
|
使用 SNMP 分析基础设施终端 |
简单网络管理协议 (SNMP) 扫描会对网络终端进行分类并创建分析策略。它使用探测数据对特定子网或 IP 地址范围执行计划或按需 SNMP 扫描。它通过 SNMP 收集详细的操作系统和硬件信息。 请参阅用于终端分析的 SNMP 扫描。 |
||
|
远程支持授权 |
远程支持授权允许思科 ISE 管理员授权特定的思科 TAC 技术人员通过 CLI、UI 或同时通过两者远程、安全地访问思科 ISE 部署,以进行故障排除和信息收集。 请参阅远程支持授权。 |
||
|
TACACS+ 支持防止 Active Directory 用户锁定 |
阻止 Active Directory 用户锁定选项可减少因多次输入错误密码导致的锁定频率。此选项受 RADIUS 和 TACACS+ 协议支持。 |
||
|
使用 Entra ID EAP-TLS 和 TEAP-TLS 进行用户和设备授权 |
从思科 ISE 版本 3.5 开始,支持对用户和设备流程使用基于证书的身份验证。您可以创建授权策略,通过 EAP 或 TEAP 链接对用户和设备进行授权。思科 ISE 会在身份验证期间评估设备或用户提供的证书,无需直接访问 Microsoft Entra ID。授权策略中可使用 REST 身份库属性条件或 REST 身份库组。思科 ISE 会查询 Microsoft Entra ID 以检索用户或设备的组和属性,以及设备相关信息。 |
||
|
使用增强的终端主题设置共享思科 ISE 数据。 |
您可以使用增强的终端主题设置功能,与思科 AI 终端分析和 Cisco pxGrid Cloud 共享终端属性数据,从而增强网络可视性和安全性。 |
||
|
支持基于 TLS 的 TACACS 身份验证 |
您可以为网络设备启用基于 TLS 的 TACACS 身份验证,以实施额外的安全性。思科 ISE 支持验证以下使用者备用名称 (SAN) 属性:
只要这些属性中的任意一个匹配,验证即成功;否则,验证失败。每个 SAN 属性都支持多个值。 请参阅网络设备定义设置。 |
||
|
为其他思科 ISE 工作流程提供 TLS 1.3 支持 |
思科 ISE 版本 3.5 为以下流程提供 TLS 1.3 支持:
请参阅配置安全设置。 |
||
|
工作负载连接器 |
通用策略是一个框架,用于构建和实施一致的访问和分段策略,不受域的限制。在此框架中,工作负载连接器用于与本地数据中心和云数据中心建立安全连接、导入应用工作负载情景、将该情景规范化为 SGT,并与其他域共享该情景以构建策略。 请参阅工作负载连接器。 |
||
|
通过集成目录集成 pxGrid 云应用 |
您可以使用思科 ISE 上的原生集成目录界面与 pxGrid 云应用集成,以简化集成体验。可通过集成目录()将 pxGrid 云应用与思科 ISE 集成。 |
||
|
通过 pxGrid Direct 为字典属性执行授权更改 (CoA) |
您可以通过 pxGrid Direct 为字典属性启用授权更改 (CoA)。当启用 CoA 的字典属性值发生更改时,会对受影响的终端执行 CoA 端口反弹或重新身份验证。 |
||
|
安全服务插入 |
安全服务插入通过根据预定义策略将流量引导通过防火墙来增强网络安全性。这支持零信任安全解决方案。安全服务插入支持有线和无线部署,并且与思科和第三方防火墙兼容,包括本地部署和云托管解决方案。 思科 ISE API 在安全服务插入中起着关键作用,它有助于创建策略,并允许网络设备根据配置的源安全组检索和实施策略。 请参阅安全服务插入。 |
||
|
新的 TrustSec 遥测属性 |
新增了 TrustSec 遥测属性,以增强对部署的监控,并收集有关 TrustSec 和思科 ISE 使用方式的数据。 请参阅遥测收集的信息。 |
||
|
将所有网络设备导出到存储库 |
从思科 ISE 导出网络设备时,您可以选择全部导出到存储库,将所有网络设备导出到远程存储库。包含访问导出数据说明的电子邮件会发送到已注册的邮箱地址。 请参阅从思科 ISE 导出网络设备。 |
||
|
思科 ISE 许可策略的变更 |
从思科 ISE 版本 3.5 开始,思科 ISE Advantage 许可证的部分功能(如 pxGrid、pxGrid Direct、分析服务和 TrustSec)将根据使用每个功能的活动终端数量消耗许可证。但请注意,目前尚未实施对不合规许可证的许可证强制实施。 请参阅层级许可证。 |
||
|
支持 osquery 条件 |
您可以创建 osquery 条件,以检查终端的终端安全评估合规状态或从终端获取所需属性。
请参阅添加 osquery 条件。 |
||
|
Tenable Security Center 的 API 密钥和证书身份验证支持 |
Tenable Security Center 额外支持这些身份验证方法:
|
||
|
入站和出站 SGT 域规则 |
您可以创建入站 SGT 域规则,将入站 SGT 绑定与特定 SGT 域映射。如果未定义任何规则,从工作负载连接器接收的绑定会发送到默认 SGT 域。 您可以创建出站 SGT 域规则,为特定 SGT 绑定指定目标目的地。 请参阅添加入站 SGT 域规则 和 添加出站 SGT 域规则。 |
||
|
工作负载分类规则 |
工作负载分类规则可用于对工作负载进行分类,并为工作负载分配主和辅助 SGT。主 SGT 在 pxGrid 会话主题中标记为“安全组”(Security Group),用于通过 SXP 发布 IP 到 SGT 的映射。辅助 SGT 作为名为“辅助安全组”(Secondary Security) 的有序数组包含在 pxGrid 会话主题中。 请参阅添加工作负载分类规则。 |
||
|
工作负载连接器 |
通用策略是一个框架,用于构建和实施一致的访问和分段策略,不受域的限制。在此框架中,工作负载连接器用于与本地数据中心和云数据中心建立安全连接、导入应用工作负载情景、将该情景规范化为 SGT,并与其他域共享该情景以构建策略。 请参阅工作负载连接器。 |
||
|
工作负载实时会话 |
工作负载实时会话页面显示实时工作负载会话的详细信息。要查看此页面,请在思科 ISE GUI 中点击菜单图标,然后选择操作 > 工作负载 > 工作负载实时会话。 请参阅工作负载实时会话。 |
||
反馈