ISE 终端安全评估模块提供的功能
终端安全评估检查
ISE 终端安全评估模块使用 OPSWAT 版本 3 的库来执行终端安全评估检查。对于初始终端安全评估检查,任何未能满足所有强制性要求的终端都被视为不合规。其他终端授权状态为终端安全评估未知或合规(满足强制性要求)。
如果在终端安全评估检查阶段出错并且 AnyConnect 能够继续,用户将收到通知,但如果可能,终端安全评估检查将继续。如果在强制终端安全评估检查期间出错,检查将标记为失败。如果满足所有强制性要求,将授予网络访问权限。否则,用户可以重新启动终端安全评估进程。
任何必要的补救措施
补救窗口在后台运行,以保证网络活动更新不会弹出,引起干扰或中断。您可以在 AnyConnect UI 的 ISE 终端安全评估图块部分单击 Details,查看检测到的内容和您加入网络前所需的更新。如果必须进行手动补救,补救窗口会打开,显示需要操作的项目。此“系统扫描摘要”窗口显示更新的进度、所分配更新时间的剩余时间、任何要求的状态以及系统合规性状态。
管理员可以配置在 ISE 终端安全评估过程结束时显示的网络使用策略。当访问该策略时,您会看到在授予接入 VLAN 的访问权限前用户必须接受的所有必需条款和条件。
当仅剩下可选更新时,才可选择跳过 (Skip) 跳到下一步操作,或选择全部跳过 (Skip All) 以忽略所有剩余补救项。您可以出于时间考虑跳过可选补救项或仍然保持网络访问。
在补救后(或在无需补救时执行要求检查后),您可能收到可接受使用策略的通知。它要求您接受该策略才能进行网络访问,若拒绝则限制访问。在此部分补救过程中,AnyConnect UI 的终端安全评估图块部分会显示 System Scan: Network Acceptable Use Policy。
当补救完成后,作为所需更新列出的所有检查都显示 Done 状态和绿色复选框。补救后,代理会向 ISE 发送终端安全评估结果。
注 |
由于 Symantec 产品的架构变化,从 Symantec AV 12.1.x 开始,ISE 终端安全评估无法支持相关修复。 |
补丁管理检查和补救
AnyConnect 4.x 和 Microsoft 系统中心配置管理器 (SCCM) 集成提供了补丁管理检查和补丁管理补救。它将检查终端上缺失的重要补丁的状态,以查看是否应该触发软件补丁。如果 Windows 终端上没有缺失重要补丁,则补丁管理检查将通过。补丁管理补救只会为管理员级用户触发,并且仅当 Windows 终端上缺失一个或多个重要补丁时才会触发。
重新评估终端合规性
当终端被视为合规并授予网络访问权限后,可选择基于管理员配置的控制对终端定期进行重新评估。被动重新评估终端安全评估检查与初始终端安全评估检查不同。如果管理员配置了相应的设置,那么当发生任何不符合要求的情形时,用户都可选择修复选项。配置设置用于控制用户是否维持受信任的网络访问(即使用户未达到一项或多项强制要求)。在初始终端安全评估过程中,如果终端未满足所有强制要求,将被视为不合规。默认情况下,此功能被禁用。如果为某一用户角色启用该功能,则每 1 到 24 小时执行一次终端安全重新评估。
管理员可将结果设置为 Continue、Logoff 或 Remediate,并可配置诸如“强制执行”和“正常时间”等其他选项。
自动合规性
凭借终端安全评估租约,ISE 服务器可以完全跳过终端安全评估检查,直接将系统置于合规状态。通过此功能,如果最近检查过系统终端安全评估,用户不必再经历网络间切换的延迟。ISE 终端安全评估代理仅需在发现 ISE 服务器后立即向 UI 发送状态消息,指示系统是否合规。在 ISE UI(“设置”(Settings) >“终端安全评估”(Posture) >“常规设置”(General Settings))中,您可以指定在初始合规性检查后多长时间内,将终端视为满足安全评估要求。即使用户从一个通信接口切换到另一个,也应保持合规状态。
注 |
使用终端安全评估租约时,如果 ISE 上的会话有效,终端会从未知状态变为合规状态。 |
VLAN 监控和转换
某些站点使用不同的 VLAN 或子网划分其集团公司和访问级别的网络。来自 ISE 的授权更改 (CoA) 指定 VLAN 更改。管理员操作(例如会话终止)也可能导致发生更改。为支持有线连接期间的 VLAN 更改,请在 ISE 终端安全评估配置文件中配置以下设置:
-
VLAN Detection Interval - 确定代理检测 VLAN 转换的频率以及监控是否禁用。当此时间间隔设置为非 0 值时,会启用 VLAN 监控。对于 Mac OS X,将此值至少设置为 5。
VLAN 监控在 Windows 和 Mac OS X 上都可实施,但在 Mac 上仅当检测意外 VLAN 更改时才需要实施。如果 VPN 已连接或者 acise(主要 AnyConnect ISE 进程)未运行,它会自动禁用。有效范围为 0 到 900 秒。
-
Enable Agent IP Refresh - 未选中时,ISE 会向代理发送 Network Transition Delay 值。选中后,ISE 将向代理发送 DHCP 释放和续订值,然后代理更新 IP 以检索最新的 IP 地址。
- DHCP Release Delay and DHCP Renew Delay - 用于关联 IP 刷新和 Enable Agent IP Refresh 设置。选中 Enable Agent IP Refresh 复选框且此值不是 0 时,代理会等待一定秒数的释放延迟,更新 IP 地址,然后等待一定秒数的续订延迟。如果 VPN 已连接,将自动禁用 IP 刷新。如果 4 次连续探测被丢弃,将会触发 DHCP 刷新。
-
Network Transition Delay - 当 VLAN 监控被代理禁用或启用(在 Enable Agent IP Refresh 复选框中)时使用。此延迟在未使用 VLAN 时会增加缓冲,给代理适当的时间等待来自服务器的准确状态。ISE 将此值发送给代理。如果您还在 ISE 用户界面的全局设置中设置了 Network Transition Delay 值,ISE 终端安全评估配置文件编辑器中的值将覆盖它。
注 |
ASA 不支持 VLAN 更改,因此这些设置在客户端通过 ASA 连接到 ISE 时不适用。 |
故障排除
如果终端设备在终端安全评估完成后无法访问网络,请检查以下内容:
-
在 ISE 用户界面上是否配置了 VLAN 更改?
-
如已配置,是否在配置文件中设置了 DHCP 释放延迟和续订延迟?
-
如果这两项设置都为 0,是否在配置文件中设置了 Network Transition Delay?
-