تكوين وضعية ISE الإصدار 1.4 مع Microsoft WSU

المقدمة

يصف هذا المستند كيفية تكوين وظيفة وضع محرك خدمات تعريف Cisco (ISE) عند دمجه مع خدمات تحديث خادم Microsoft Windows (WSU).

ملاحظة: عند الوصول إلى الشبكة، تتم إعادة توجيهك إلى ISE للإمداد بالإصدار 4.1 من Cisco AnyConnect Secure Mobility Client مع وحدة وضعية، تقوم بالتحقق من حالة التوافق على WSU وتثبيت التحديثات اللازمة لكي تكون المحطة متوافقة. وبمجرد الإبلاغ عن المحطة بأنها متوافقة، فإن معيار ISE يسمح بالوصول الكامل إلى الشبكة.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• عمليات نشر نظام ISE والمصادقة والتخويل من Cisco
  
  
• معرفة أساسية حول طريقة عمل ISE و Cisco AnyConnect Posture Agent
  
  
• تكوين أجهزة الأمان المعدلة (ASA) من Cisco
  
  
• الشبكة الخاصة الظاهرية (VPN) الأساسية والمعرفة الخاصة بشبكة 802.1x
  
  
• تكوين Microsoft WSU

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• نظام التشغيل Microsoft Windows الإصدار 7
  
  
• Microsoft Windows الإصدار 2012 مع WSU الإصدار 6.3
  
  
• ASA الإصدارات 9.3.1 من Cisco والإصدارات الأحدث
  
  
• برنامج ISE الإصدارات 1.3 من Cisco والإصدارات الأحدث

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

يصف هذا القسم كيفية تكوين ISE وعناصر الشبكة ذات الصلة.

الرسم التخطيطي للشبكة

هذا هو المخطط الذي يتم إستخدامه للأمثلة في هذا المستند:

وفيما يلي تدفق حركة المرور، كما هو موضح في الرسم التخطيطي للشبكة:

1. يتصل المستخدم البعيد من خلال Cisco AnyConnect للوصول إلى VPN إلى ASA. يمكن أن يكون هذا أي نوع من الوصول الموحد، مثل تجاوز مصادقة 802.1x/MAC (MAB) جلسة سلكية يتم إنهاؤها على المحول أو جلسة لاسلكية يتم إنهاؤها على وحدة التحكم في الشبكة المحلية اللاسلكية (WLC).
   
   
2. كجزء من عملية المصادقة، تؤكد ISE أن حالة وضعية المحطة الطرفية غير مساوية للمتوافق (قاعدة تفويض ASA-VPN_Quarantine) وأن سمات إعادة التوجيه يتم إرجاعها في رسالة Radius Access-Accept. ونتيجة لذلك، يقوم ASA بإعادة توجيه جميع حركة مرور HTTP إلى ISE.
   
   
3. يقوم المستخدم بفتح مستعرض ويب ويدخل أي عنوان. بعد إعادة التوجيه إلى ISE، يتم تثبيت وحدة Cisco AnyConnect 4 Posture module على المحطة. وبعد ذلك تقوم وحدة الوضع بتنزيل السياسات من ISE (متطلب WSU).
   
   
4. تبحث الوحدة النمطية للوضع عن Microsoft WSUS، وتقوم بالإصلاح.
   
   
5. بعد إصلاح ناجح، ترسل الوحدة النمطية للوضع تقريرا إلى ISE.
   
   
6. يصدر ISE تغيير RADIUS للتخويل (CoA) الذي يوفر الوصول الكامل إلى الشبكة إلى مستخدم متوافق لشبكة VPN (قاعدة تخويل ASA-VPN_متوافق مع ASA).

ملاحظة: لكي تعمل عملية الإصلاح (القدرة على تثبيت تحديثات Microsoft Windows على جهاز كمبيوتر)، يجب أن يكون لدى المستخدم حقوق إدارية محلية.

نظام التشغيل Microsoft WSUS

ملاحظة: خارج نطاق هذا المستند تكوين مفصل لوحدة التخزين اللاسلكية (WSU). لمزيد من التفاصيل، ارجع إلى نشر خدمات Windows Server Update في وثائق Microsoft الخاصة بمؤسستك.

يتم نشر خدمة WSU من خلال منفذ TCP 8530 القياسي. هو مهم أن يتذكر أن ل إصلاح، آخر ميناء أيضا استعملت. هذا هو السبب في أنه آمن لإضافة عنوان IP الخاص ب WSU إلى قائمة التحكم في الوصول لإعادة التوجيه (ACL) على ASA (الموضحة لاحقا في هذا المستند).

تم تكوين نهج المجموعة للمجال لتحديثات Microsoft Windows ونقاط إلى خادم WSUS المحلي:

هذه هي التحديثات الموصى بها التي يتم تمكينها للنهج متعددة المستويات المستندة إلى مستويات مختلفة من الخطورة:

يتيح إستهداف العملاء من جانب العميل قدرا أكبر من المرونة. يمكن أن يستخدم ISE سياسات الوضع المستندة إلى حاويات كمبيوتر Microsoft Active Directory (AD) المختلفة. يمكن أن يوافق WSUS على التحديثات المستندة إلى هذه العضوية.

ASA

يتم إستخدام وصول بسيط إلى الشبكة الخاصة الظاهرية (VPN) لطبقة مآخذ التوصيل الآمنة (SSL) للمستخدم البعيد (تفاصيل خارج نطاق هذا المستند).

هنا مثال على التكوين:

interface GigabitEthernet0/0
 nameif outside
 security-level 10
 ip address 172.16.32.100 255.255.255.0 

interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.31.100 255.255.255.0

aaa-server ISE protocol radius
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
 key cisco

webvpn
 enable outside
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable

group-policy POLICY internal
group-policy POLICY attributes
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
 address-pool POOL-VPN
 authentication-server-group ISE
 accounting-server-group ISE
 default-group-policy POLICY

ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0

من المهم تكوين قائمة الوصول على ASA، والتي يتم إستخدامها لتحديد حركة المرور التي يجب إعادة توجيهها إلى ISE (للمستخدمين الذين لم يكونوا متوافقين بعد):

access-list Posture-redirect extended deny udp any any eq domain 
access-list Posture-redirect extended deny ip any host 172.16.31.103 
access-list Posture-redirect extended deny ip any host 172.16.31.202 
access-list Posture-redirect extended deny icmp any any 
access-list Posture-redirect extended permit tcp any any eq www 

يسمح فقط لحركة مرور نظام اسم المجال (DNS) و ISE و WSUS و Internet Control Message Protocol (ICMP) للمستخدمين غير المتوافقين. يتم إعادة توجيه جميع حركة المرور الأخرى (HTTP) إلى ISE لإمداد AnyConnect 4، والذي يكون مسؤولا عن الوضع والمعالجة.

محرك خدمات كشف الهوية (ISE)

ملاحظة: يخرج توفير AnyConnect 4 ووضعه من نطاق هذا المستند. ارجع إلى دمج AnyConnect 4.0 مع مثال تكوين ISE الإصدار 1.3 للحصول على مزيد من التفاصيل، مثل كيفية تكوين ASA كجهاز شبكة وتثبيت تطبيق Cisco AnyConnect 7.

إصلاح الوضع ل WSU

أتمت هذا steps in order to شكلت الوضع إستعادة ل WSU:

1. انتقل إلى نهج > شروط > وضعية > إجراءات الإصلاح > إصلاح خدمات تحديث Windows Server لإنشاء قاعدة جديدة.
   
   
2. تحقق من تعيين إعداد تحديثات Microsoft Windows إلى مستوى الخطورة. هذا الجزء مسؤول عن الكشف إذا تم بدء عملية الإصلاح.

بعد ذلك يتصل "عميل Microsoft Windows Update" ب WSU ويتحقق مما إذا كانت هناك أي تحديثات هامة لهذا الكمبيوتر الذي ينتظر التثبيت:

متطلبات الوضع ل WSU

انتقل إلى سياسة > شروط > وضعية > متطلبات لإنشاء قاعدة جديدة. تستخدم القاعدة شرطا وهميا يسمى pr_WSUSRule، مما يعني أنه تم الاتصال ب WSUS للتحقق من الحالة عند ضرورة الإصلاح (التحديثات الهامة).

وبمجرد الوفاء بهذا الشرط، يقوم WSUS بتثبيت التحديثات التي تم تكوينها لهذا الكمبيوتر. ويمكن أن يتضمن هذا أي نوع من التحديثات، وكذلك التحديثات ذات مستويات الخطورة الأقل:

ملف تعريف AnyConnect

قم بتكوين ملف تعريف الوحدة النمطية للوضعية، مع ملف تعريف AnyConnect 4 (كما هو موضح في تكامل AnyConnect 4.0 مع مثال تكوين ISE الإصدار 1.3):

قواعد توفير العميل

بمجرد أن يكون ملف تعريف AnyConnect جاهزا، يمكن الإشارة إليه من نهج إمداد العميل:

يتم تثبيت التطبيق بالكامل، بالإضافة إلى التكوين، على نقطة النهاية، والتي يتم إعادة توجيهها إلى صفحة مدخل إمداد العميل. قد تتم ترقية AnyConnect 4 وتثبيت وحدة نمطية إضافية (وضعية).

ملفات تعريف التخويل

إنشاء ملف تعريف تخويل لإعادة التوجيه إلى ملف تعريف توفير العميل:

قواعد التخويل

تظهر هذه الصورة قواعد التخويل:

لأول مرة، يتم إستخدام قاعدة ASA-VPN_QUARANTINE. ونتيجة لذلك، يتم إرجاع ملف تعريف تخويل الوضع، وإعادة توجيه نقطة النهاية إلى بوابة إمداد العميل لإمداد AnyConnect 4 (بوحدة الوضع النمطية).

وبمجرد أن تصبح متوافقة، يتم إستخدام قاعدة ASA-VPN_المتوافقة ويتم السماح بالوصول الكامل إلى الشبكة.

التحقق من الصحة

يوفر هذا القسم معلومات يمكنك إستخدامها للتحقق من أن التكوين يعمل بشكل صحيح.

كمبيوتر به نهج GPO المحدثة

يجب دفع نهج المجال مع تكوين WSUS بعد تسجيل الكمبيوتر في المجال. يمكن أن يحدث ذلك قبل إنشاء جلسة عمل الشبكة الخاصة الظاهرية (VPN) (خارج النطاق) أو بعد إستخدام وظيفة بدء قبل تسجيل الدخول (يمكن أيضا إستخدامها للوصول السلكي/اللاسلكي 802.1x).

بمجرد أن يحصل عميل Microsoft Windows على التكوين الصحيح، يمكن عكس ذلك من إعدادات Windows Update:

إذا لزم الأمر، يمكن إستخدام تحديث كائن نهج المجموعة (GPO) واكتشاف خادم عامل Microsoft Windows Update:

C:\Users\Administrator>gpupdate /force
Updating Policy...

User Policy update has completed successfully.
Computer Policy update has completed successfully.


C:\Users\Administrator>wuauclt.exe /detectnow

C:\Users\Administrator>

الموافقة على تحديث هام على WSUS

يمكن أن تستفيد عملية الموافقة من إستهداف موقع العميل:

أعد إرسال التقرير مع WUAUCLT إذا لزم الأمر.

التحقق من حالة الكمبيوتر على WSUS

توضح هذه الصورة كيفية التحقق من حالة الكمبيوتر الشخصي على وحدة التحكم في الشبكة المحلية اللاسلكية (WSU):

يجب تثبيت تحديث واحد للتحديث التالي باستخدام WSU.

إنشاء جلسة عمل VPN

بعد إنشاء جلسة VPN، يتم إستخدام قاعدة تخويل ISE ASA-VPN_Quarantine، والتي ترجع ملف تعريف تخويل Posture. ونتيجة لذلك، تتم إعادة توجيه حركة مرور HTTP من نقطة النهاية لتحديث AnyConnect 4 وتوفير الوحدة النمطية للوضعية:

عند هذه النقطة، تشير حالة جلسة العمل على ASA إلى وصول محدود مع إعادة توجيه حركة مرور HTTP إلى ISE:

asav# show vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 69
Assigned IP  : 172.16.50.50           Public IP    : 192.168.10.21

<...some output omitted for clarity...>

ISE Posture:
  Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
   45000556b6a3b&portal=283258a0-e96e-...
  Redirect ACL : Posture-redirec

Posture Module يستلم سياسات من ال ISE وينفذ معالجة

يستلم ال posture وحدة نمطية السياسة من ال ISE. تظهر تصحيح أخطاء ise-psc.log المتطلب الذي يتم إرساله إلى وحدة الوضع النمطية:

2015-06-05 07:33:40,493 DEBUG  [portal-http-service12][] cisco.cpm.posture.runtime.
 PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
 <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
  <version>2</version>
  <encryption>0</encryption>
  <package>
    <id>10</id>
    
     
     
       WSUS 
     
    <version/>
    <description>This endpoint has failed check for any AS installation</description>
    <type>10</type>
    <optional>0</optional>
    
     
     
       42#1 
     
    <remediation_type>1</remediation_type>
    <remediation_retry>0</remediation_retry>
    <remediation_delay>0</remediation_delay>
    <action>10</action>
    <check>
      
     
     
       pr_WSUSCheck 
     
    </check>
    <criteria/>
  </package>
</cleanmachines>

تقوم وحدة الوضع بتشغيل "عامل تحديث Microsoft Windows" تلقائيا للاتصال ب WSU وتنزيل التحديثات كما تم تكوينها في نهج WSUS (كل ذلك تلقائيا دون أي تدخل من المستخدم):

ملاحظة: قد تتطلب بعض التحديثات إعادة تشغيل النظام.

الوصول الكامل إلى الشبكة

سترى هذا بعد الإبلاغ عن أن المحطة متوافقة مع وحدة AnyConnect Posture النمطية:

يتم إرسال التقرير إلى ISE، الذي يقوم بإعادة تقييم السياسة والوصول إلى قاعدة تفويض ASA-VPN_Compliant. وهذا يوفر الوصول الكامل إلى الشبكة (عبر RADIUS CoA). انتقل إلى عمليات > مصادقة لتأكيد ما يلي:

كما تؤكد الأخطاء (ise-psc.log) حالة التوافق، مشغل CoA، والإعدادات النهائية للوضعية:

DEBUG  [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
 ac101f6400039000556b4200:::- Posture report token for endpoint mac
 08-00-27-DA-EF-AD is Healthy
DEBUG  [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
 ac101f6400039000556b4200:::- entering triggerPostureCoA for session
 ac101f6400039000556b4200
DEBUG  [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
 101f6400039000556b4200:::- Posture CoA is scheduled for session id
 [ac101f6400039000556b4200]

DEBUG  [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
 ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
 <!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
 <!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
 <!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
 <!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
 <!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
 <!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
 <!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->

DEBUG  [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
 ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
 with session [ac101f6400039000556b4200]

كما يؤكد تقرير التقييم التفصيلي للوضع الذي أعده قسم خدمات البنية الأساسية (ISE) أن المحطة متوافقة:

ملاحظة: عنوان التحكم في الوصول إلى الوسائط (MAC) المحدد لواجهة الشبكة الفعلية على كمبيوتر Microsoft Windows معروف بسبب امتدادات ACIDEX.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليا معلومات حول أستكشاف الأخطاء وإصلاحها لهذا التكوين.

ملاحظات هامة

يوفر هذا القسم بعض المعلومات المهمة حول التكوين الموضح في هذا المستند.

تفاصيل الخيار لإصلاح WSU

ومن المهم التمييز بين شرط الشرط المطلوب وبين الإصلاح. يقوم AnyConnect بتشغيل عامل Microsoft Windows Update للتحقق من التوافق، اعتمادا على التحقق من تحديثات Windows باستخدام إعداد المعالجة.

على سبيل المثال، يتم إستخدام مستوى الخطورة. باستخدام الإعداد الحرج، يتحقق عامل Microsoft Windows مما إذا كانت هناك أية تحديثات هامة (غير مثبتة) معلقة. وإذا كان هنالك، حينئذ تبدأ المعالجة.

قد تقوم عملية المعالجة بعد ذلك بتثبيت كافة التحديثات الهامة والأقل أهمية استنادا إلى تكوين WSU (التحديثات المعتمدة للجهاز المحدد).

مع التحقق من تحديثات Windows باستخدام تعيين كقواعد Cisco، فإن الشروط المفصلة في المتطلب تقرر ما إذا كانت المحطة متوافقة.

خدمة Windows Update

بالنسبة لعمليات النشر التي لا تتضمن خادم WSUS، هناك نوع آخر من أنواع المعالجة يمكن إستخدامه يسمى إصلاح Windows Update:

يسمح نوع الإصلاح هذا بالتحكم في إعدادات Microsoft Windows Update ويمكن من إجراء التحديثات الفورية. الشرط النموذجي الذي يتم إستخدامه مع نوع المعالجة هذا هو pc_autoUpdateCheck. يتيح لك هذا التحقق مما إذا كان إعداد Microsoft Windows Update ممكنا على نقطة النهاية أم لا. وإذا لم تكن هناك مساحة، فيمكنك تمكينها وإجراء التحديث.

تكامل SCCM

هناك ميزة جديدة ل ISE الإصدار 1.4 تسمى إدارة الحزم تسمح بالتكامل مع العديد من البائعين التابعين لجهات خارجية. وتبعا للبائع، تتاح خيارات متعددة لكل من الشروط والتعويضات.

بالنسبة لشركة Microsoft، يتم دعم كل من System Management Server (SMS) و System Center Configuration Manager (SCCM).

معلومات ذات صلة

• Posture Services على دليل تكوين Cisco ISE
  
  
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 1.4
  
  
• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 1.3
  
  
• نشر خدمات تحديث Windows Server في مؤسستك
  
  
• الدعم التقني والمستندات - Cisco Systems