ISE 终端安全评估模块提供的功能
终端安全评估检查
ISE 终端安全评估模块使用 OPSWAT 版本 3 或版本 4 的库来执行终端安全评估检查。对于初始终端安全评估检查,任何未能满足所有强制性要求的终端都被视为不合规。其他终端授权状态为终端安全评估未知或合规(满足强制性要求)。
如果在终端安全评估检查阶段出错并且 AnyConnect 能够继续,用户将收到通知,但如果可能,终端安全评估检查将继续。如果在强制终端安全评估检查期间出错,检查将标记为失败。如果满足所有强制性要求,将授予网络访问权限。否则,用户可以重新启动终端安全评估进程。
任何必要的补救措施
补救窗口在后台运行,以保证网络活动更新不会弹出,引起干扰或中断。您可以在 AnyConnect UI 的 ISE 终端安全评估图块部分点击 Details,查看检测到的内容和您加入网络前所需的更新。如果必须进行手动补救,补救窗口会打开,显示需要操作的项目。此 System Scan Summary: Update Details 窗口显示更新的进度、所分配更新时间的剩余时间、任何要求的状态以及系统合规性状态。
管理员可以配置在 ISE 终端安全评估过程结束时显示的网络使用策略。访问该政策时,您会看到在授予接入 VLAN 的访问权限前用户必须接受的所有必需条款和条件。
当仅剩下可选更新时,才可选择 Skip 跳到下一步操作,或选择 Skip All 以忽略所有剩余补救项。您可以出于时间考虑跳过可选补救项或仍然保持网络访问。
在补救后(或在无需补救时执行要求检查后),您可能收到可接受使用政策的通知。它要求您接受该政策才能进行网络访问,若拒绝则限制访问。在此部分补救过程中,AnyConnect UI 的终端安全评估图块部分会显示“System Scan: Network Acceptable Use Policy”。
当补救完成后,作为所需更新列出的所有检查都显示 Done 状态和绿色复选框。补救后,代理会向 ISE 发送终端安全评估结果。
注 |
由于 Symantec 产品的架构变化,从 Symantec AV 12.1.x 开始,ISE 终端安全评估无法支持相关修复。 |
补丁管理检查和补救
AnyConnect 4.x 和 Microsoft 系统中心配置管理器 (SCCM) 集成提供了补丁管理检查和补丁管理补救。它将检查终端上缺失的重要补丁的状态,以查看是否应该触发软件补丁。如果 Windows 终端上没有缺失重要补丁,则补丁管理检查将通过。补丁管理补救只会为管理员级用户触发,并且仅当 Windows 终端上缺失一个或多个重要补丁时才会触发。
如果 SCCM 客户端安装的某个补丁是在重新启动之前安装的,则 SCCM 客户端将在计算机重新启动后尽快报告该补丁的安装状态(已安装或未安装)。但是,如果 SCCM 客户端安装的某个补丁是在重新启动之后开始安装的,则 SCCM 客户端不会立即报告该补丁的状态。
AnyConnect 合规性模块无法强制 SCCM 客户端在此时提供任何状态。您可能必须等待 SCCM 客户端响应,具体取决于补丁,但对已知补丁进行实验后,大多数结果约为 10 分钟。
通过 Windows Server 更新服务 (WSUS) 搜索 API 也可观察到类似行为,它需要更多时间才会响应,有时长达 20 - 30 分钟。Windows 更新会检查所有 Microsoft 产品(例如 Microsoft Office)未安装的补丁,而不仅限于 Windows 操作系统。
重新评估终端合规性
当终端被视为合规并授予网络访问权限后,可选择基于管理员配置的控制对终端定期进行重新评估。被动重新评估终端安全评估检查与初始终端安全评估检查不同。如果管理员配置了相应的设置,那么当发生任何不符合要求的情形时,用户都可选择修复选项。配置设置用于控制用户是否维持受信任的网络访问(即使用户未达到一项或多项强制要求)。在初始终端安全评估过程中,如果终端未满足所有强制要求,将被视为不合规。默认情况下,此功能被禁用。如果为某一用户角色启用该功能,则每 1 到 24 小时执行一次终端安全重新评估。
管理员可将结果设置为 Continue、Logoff 或 Remediate,并可配置诸如“强制执行”和“正常时间”等其他选项。
思科临时代理
思科临时代理专为 Windows 或 macOS 环境而设计,用于在用户接入受信任网络时共享合规性状态。思科临时代理在 ISE UI 中进行配置。每当思科临时代理尝试访问互联网时,系统便会将其可提取文件 .exe(适用于 Windows)或 dmg(适用于 macOS)下载到终端。用户必须运行下载的可执行文件或 dmg 以执行合规性检查:无需管理员权限。
然后,UI 会自动启动并开始检查,以确定终端是否合规。在完成合规性检查后,根据策略在 ISE UI 上的配置方式,ISE 可以采取任何必要的操作。
在 Windows 中,可执行文件为自提取文件,所有必要的 dll 和用于合规性检测的其他文件会被置于此提取文件的临时文件夹中。完成合规性检查后,系统会删除所有提取的文件和可执行文件。为了完全删除这些文件和可执行文件,用户必须退出 UI。
有关在 ISE UI 上执行配置的详细步骤,请参阅《思科身份服务引擎管理员指南,版本 2.3》中的思科临时代理工作流程。
思科临时代理的限制-
macOS 不支持临时代理的 VLAN 控制终端安全评估环境,因为在没有根权限的情况下无法执行刷新适配器(DHCP 续订)进程。临时代理可以仅作为用户进程运行。支持 ACL 控制的终端安全评估环境,因为它不需要刷新终端的 IP。
-
如果网络接口在补救期间发生,则用户必须离开当前 UI 并重新执行整个程序。
-
在 macOS 中,不会删除 dmg 文件。
-
在启动临时代理安装程序后,该安装程序在终端上运行时可能会隐藏在浏览器后面。要继续收集临时代理应用的运行状况,最终用户应将浏览器最小化。大部分 Windows 10 用户都会遇到该问题,因为在这些客户端上 UAC 模式设置为高,以接受以高安全条件运行的第三方应用。
-
思科临时代理不支持下列条件:
-
Service Condition-macOS - 系统后台守护程序检查
-
Service Condition-macOS - 后台守护程序或用户代理检查
-
PM - 最新检查
-
PM - 已启用检查
-
DE - 基于加密位置的检查
-
用于可选模式的终端安全评估策略增强功能
无论强制检查通过还是失败,均可在可选模式下对失败的要求检查执行补救。将在 AnyConnect ISE 终端安全评估 UI 上显示一条关于补救的消息,您可以查看哪些要求失败,哪些要求需要补救操作。
-
Manual Remediation of Optional Mode - System Scan Summary 屏幕显示如果某种情况失败,可能需要补救的任何可选模式状态。您可以手动点击 Start 进行补救,或者点击 Skip。即使补救失败,终端仍会符合要求,因为这些只是可选要求。System Summary 将显示它们是被跳过、已失败,还是已成功。
-
Automatic Remediation of Optional Mode - 您可以监控 System Scan 图块,因为它会在应用可选更新时显示提示。不会要求您启动补救,因为补救是自动进行的。如果任何自动补救失败,您将收到一条消息,指出未能尝试补救。此外,如果需要,您还可以选择跳过补救操作。
查看硬件清单
ISE UI 的“上下文可见性”下已添加了“终端”>“硬件”选项卡。它可以帮助您收集、分析和报告短时间内的终端硬件信息。您可以收集信息,例如查找内存容量低的终端或查找终端的 BIOS 型号/版本。根据查找结果,您可以增加内存容量,升级 BIOS 版本或在计划购买资产之前评估需求。制造商使用情况 Dashlet 显示运行 Windows 或 macOS 的终端的硬件清单详细信息,终端使用情况 Dashlet 显示终端的 CPU、内存和磁盘利用率。有关详细信息,请参阅《思科身份服务引擎管理员指南,版本 2.3》的“硬件”选项卡。
隐身模式
管理员可在从终端用户客户端隐藏 AnyConnect UI 图块时配置 ISE 终端安全评估。不会显示任何弹出消息,并且任何需要用户干预的情形都将采取默认操作。此功能可在 Windows 和 Mac 操作系统上使用。
请参阅思科身份服务引擎管理员指南中的配置终端安全评估策略部分,您可以在此处将无客户端状态下的隐身模式指定为禁用或启用。
在映射 ISE 终端安全评估配置文件编辑器中的配置文件,然后将 AnyConnect 配置映射到 ISE 中的 Client Provisioning 页面后,AnyConnect 即可读取终端安全评估配置文件,将其设置为预期模式,以及在初始终端安全评估请求期间将与选定模式相关的信息发送到 ISE。根据模式和其他因素(如身份组、OS 及合规性模块),思科 ISE 将与适当政策进行匹配。
请参阅思科身份服务引擎管理员指南中的隐身模式部署及其影响。
ISE 终端安全评估不允许您在隐身模式下设置以下功能:
-
任何手动补救
-
链接补救
-
文件补救
-
WSUS 显示 UI 补救
-
激活 GUI 补救
-
AUP 策略
终端安全评估策略实施
要提高您的终端上安装的软件的整体可见性,我们提供了以下终端安全评估增强功能:
-
您可以检查终端防火墙产品的状态,以查看其是否正在运行。如果需要,可以启用防火墙,并在首次终端安全评估和定期重新评估 (PRA) 过程中实施策略。要设置,请参阅思科身份服务引擎配置指南中的防火墙条件设置部分。
-
同样,您可以对终端上安装的应用运行查询。如果运行或安装了不需要的应用,则可停止该应用,或者卸载不需要的应用。要设置,请参阅思科身份服务引擎配置指南中的应用补救部分。
UDID 集成
在设备上安装 AnyConnect 时,它会在 AnyConnect 中的所有模块中共享自己的唯一标识符 (UDID)。此 UDID 是终端的标识符,并将另存为终端属性,这可确保对特定终端而非 MAC 地址的终端安全评估控制。随后您可基于该 UDID 查询终端,它是一个常量,无论该终端如何连接,甚至是在更新或卸载后也不会改变。随后,ISE UI
上的 Context Visibility 页面可为装有多个 NIC 的中断显示一个条目(而非多个条目)。应用监控
终端安全评估客户端可以持续监控不同终端属性,以便观察动态变化,并向策略服务器汇报。根据终端安全评估的配置,您可以监控不同属性,如安装和运行了哪些应用用于反间谍软件、防病毒、防恶意软件、防火墙等。有关应用条件设置的详细信息,请参阅思科身份服务引擎管理员指南中的持续终端属性监控部分。
USB 存储设备检测
在将 USB 大容量存储设备连接到 Windows 终端时,终端安全评估客户端可以检测到该设备,并将根据终端安全评估策略块阻止或允许该设备。通过 USB 检测,只要终端仍然位于同一个受 ISE 控制的网络中,代理即可持续监控该终端。如果在此时段内连接了符合该条件的 USB 设备,将执行指定的补救操作。还会向策略服务器报告该事件。
USB 存储检测需要依靠 OPSWAT v4 合规性模块。必须在 ISE UI 上的定期重新评估策略 (PRA) 中配置 USB 检查,位于
。注 |
将按顺序执行检查和补救,因此将其他检查的 PRA 宽限期设定为最小值可以防止处理 USB 检查时的延迟。宽限期在 ISE UI 上的 中进行设置。 |
有关在 ISE UI 上配置 USB 存储设备检测的步骤,请参阅 USB 大容量存储设备检查工作流程。
自动合规性
凭借终端安全评估租约,ISE 服务器可以完全跳过终端安全评估检查,直接将系统置于合规状态。通过此功能,如果最近检查过系统终端安全评估,用户不必再经历网络间切换的延迟。ISE 终端安全评估代理仅需在发现 ISE 服务器后立即向 UI 发送状态消息,指示系统是否合规。在 ISE UI (Settings > Posture > General Settings) 中,您可以指定初始合规性检查后多长时间即认为终端安全评估合规。即使用户从一个通信接口切换到另一个,也应保持合规状态。
注 |
使用终端安全评估租约时,如果 ISE 上的会话有效,终端会从未知状态变为合规状态。 |
VLAN 监控和转换
某些站点使用不同的 VLAN 或子网划分其集团公司和访问级别的网络。来自 ISE 的授权更改 (CoA) 指定 VLAN 更改。管理员操作(例如会话终止)也可能导致发生更改。为支持有线连接期间的 VLAN 更改,请在 ISE 终端安全评估配置文件中配置以下设置:
-
VLAN Detection Interval - 确定代理检测 VLAN 转换的频率以及监控是否禁用。当此时间间隔设置为非 0 值时,会启用 VLAN 监控。对于 Mac OS X,将此值至少设置为 5。
VLAN 监控在 Windows 和 Mac OS X 上都可实施,但在 Mac 上仅当检测意外 VLAN 更改时才需要实施。如果 VPN 已连接或者 acise(主要 AnyConnect ISE 进程)未运行,它会自动禁用。有效范围为 0 到 900 秒。
-
Enable Agent IP Refresh - 未选中时,ISE 会向代理发送 Network Transition Delay 值。选中后,ISE 将向代理发送 DHCP 释放和续订值,然后代理更新 IP 以检索最新的 IP 地址。
- DHCP Release Delay and DHCP Renew Delay - 用于关联 IP 刷新和 Enable Agent IP Refresh 设置。选中 Enable Agent IP Refresh 复选框且此值不是 0 时,代理会等待一定秒数的释放延迟,更新 IP 地址,然后等待一定秒数的续订延迟。如果 VPN 已连接,将自动禁用 IP 刷新。如果 4 次连续探测被丢弃,将会触发 DHCP 刷新。
-
Network Transition Delay - 当 VLAN 监控被代理禁用或启用(在 Enable Agent IP Refresh 复选框中)时使用。此延迟在未使用 VLAN 时会增加缓冲,给代理适当的时间等待来自服务器的准确状态。ISE 将此值发送给代理。如果您还在 ISE 用户界面的全局设置中设置了 Network Transition Delay 值,ISE 终端安全评估配置文件编辑器中的值将覆盖它。
注 |
ASA 不支持 VLAN 更改,因此这些设置在客户端通过 ASA 连接到 ISE 时不适用。 |
故障排除
如果终端设备在终端安全评估完成后无法访问网络,请检查以下内容:
-
在 ISE 用户界面上是否配置了 VLAN 更改?
-
如已配置,是否在配置文件中设置了 DHCP 释放延迟和续订延迟?
-
如果这两项设置都为 0,是否在配置文件中设置了 Network Transition Delay?
-