当 Cisco Secure Client ISE 终端安全评估按预期正常运行和阻止网络访问时，Cisco Secure Client 用户界面的 ISE 终端安全评估磁贴中显示“ISE 终端安全评估: Searching for policy server”。在 Windows 任务管理器或 macOS 系统日志中，您可以看到该进程正在运行。如果该服务未运行，ISE 终端安全评估 用户界面的 ISE 终端安全评估磁贴中显示“ISE 终端安全评估: Service is unavailable”。

网络变化启动发现阶段。使用 Cisco Secure Client ISE 终端安全评估时，如果主要接口的默认路由发生更改，会使代理回到发现过程。例如，当 Wi-Fi 和主要 LAN 连接时，代理会重新启动发现。同样，如果 Wi-Fi 和主要 LAN 建立连接，然后 Wi-Fi 断开连接，则代理不会重新启动发现。

在 Cisco Secure Client 用户界面的 ISE 终端安全评估磁贴中的“ISE 终端安全评估”之后，还可能出现以下状态消息：

• 未能加载合规性模块 (Failed to load compliance module) - 在 ISEPosture > CLI 提示符后返回，但未加载合规性模块。

• Limited or no connectivity - 未进行发现，因为您没有连接。Cisco Secure Client ISE 终端安全评估代理可能正在网络中的错误终端上执行发现。

• 当前 Wi-Fi 不需要系统扫描 (System scan not required on current WiFi) - 未进行发现，因为检测到不安全的 WiFi。Cisco Secure Client ISE 终端安全评估代理仅在 LAN、无线网络（如果使用 802.1X 身份验证）以及 VPN 上启动发现。Wi-Fi 可能不安全，或者您通过在代理配置文件中将 OperateOnNonDot1XWireless 设置为 1 禁用了该功能。

• Unauthorized policy server - 主机与 ISE 网络的服务器名称规则不匹配，因此网络访问受限或不允许访问。

• Cisco Secure Client 下载程序正在执行更新... (AnyConnect Downloader is performing update...) - 下载程序已调用，将比较软件包版本、下载 Cisco Secure Client 配置，并执行必要的升级。

• Scanning System... - 扫描防病毒和反间谍软件安全产品是否已启动。如果在此过程中网络发生更改，代理将循环生成日志文件的过程，并且状态返回到“No policy server detected”。

• 绕过 AnyConnect 扫描 (Bypassing Cisco Secure Client scan) - 网络配置为使用思科 NAC 代理。

• “被用户取消的不受信任的策略服务器”(Untrusted Policy Server Cancelled by the user) - 在 Cisco Secure Client 用户界面中使用“系统扫描首选项”(ISE 终端安全评估 Preferences) 选项卡取消阻止连接到不受信任的服务器时，弹出窗口中会出现 Cisco Secure Client 下载程序的安全警告。在此警告页面上点击取消连接 (Cancel Connection) 时，ISE 终端安全评估磁贴会更改为此状态。

  在 ISEPosture> CLI 提示符后进入 state 并确定策略服务器不受信任时，也会出现此消息。

• Network Acceptable Use Policy - 访问网络时，您必须查看并接受“可接受的使用策略”。拒绝该政策可能会导致网络访问受限。

• Updating Network Settings - 在 ISE 用户界面的 Settings > Posture > General Settings 中，您可以指定网络转换之间应发生的延迟秒数。

• Not Compliant. Update time expired - 为补救设置的时间已过期。

• Compliant. Network access allowed. - 补救完成。“系统扫描”(Cisco Secure Client) >“扫描摘要”(Scan Summary) 也显示状态为完成。

  在 ISEPosture> CLI 提示符后进入 state 并确定策略服务器受信任时，也会出现此消息。

• No policy server detected - 找不到 ISE 网络。30 秒钟后，代理会减慢探测。默认网络访问权限生效。

您可能会在脚本补救过程中看到补救或用户通知弹出窗口，除非您是在用户界面有限的 Linux 中运行。要使脚本补救成功，指纹必须存在于 AnyConnectLocalPolicy.xml 中。如果添加了指纹，即使在正常终端安全评估流程中，无论 ISE 上是否配置了脚本条件或补救措施，都会对指纹进行验证。您可能会遇到有关脚本补救的以下消息：

• 由于脚本包含无效散列，因此无法尝试补救 (Remediation cannot be attempted because the script has an invalid hash) - 当下载的脚本存在散列不匹配或者策略签名验证失败时，会在ISE 终端安全评估详细信息中显示此消息。

• 您尝试运行的脚本退出并出现错误 (The script you are trying to run exits with an error) - 当脚本存在非零退出代码时，会在ISE 终端安全评估详细信息中显示此消息。 在 Windows 中，配置的执行策略也可能不允许执行脚本。

• 补救由于脚本超时而不成功 (Remediation was unsuccessful because the script timed out) - 当脚本花费的时间超出补救计时器的退出时间时，会在ISE 终端安全评估详细信息中显示此消息。如果脚本未在剩余补救计时器的时间内退出，则 Cisco Secure Client 会停止脚本并将补救标记为失败。

• 由于您连接到了不受信任的服务器，因此无法执行补救 (Remediation cannot be done because you are connected to an untrusted server) - 当终端连接到不受信任的 ISE 服务器时，会在Cisco Secure Client详细信息中显示此消息。服务器证书在证书存储库中未被标记为受信任，或者您没有在 AnyConnectLocalPolicy.xml 中配置指纹。ISE 提供的证书中的指纹必须与 AnyConnectLocalPolicy.xml 中配置的指纹匹配。

您可以创建并上传终端安全评估条件脚本，以便对终端进行安全评估检查。支持以下平台和脚本类型。有关添加脚本条件的配置详细信息，请参阅《思科身份服务引擎管理员指南》。

• Windows：PowerShell 脚本 (.ps1)

• macOS：外壳脚本 (.sh)

• Linux：外壳脚本 (.sh)

Cisco Secure Client ISE 终端安全评估模块不支持多宿主，因为此类场景的行为未定义。例如，当介质模式从有线更改为无线然后返回到有线时，即使终端实际上在有线连接上进行重定向，用户也可能会看到 ISE 终端安全评估模块的评估状态是合规的。

对于 ISE 终端安全评估，事件将写入本地操作系统的事件日志（Windows 事件日志查看器或 macOS 系统日志）。

对于 Cisco Secure Firewall 终端安全评估，任何错误和警告都将写入系统日志（非 Windows）和事件查看器 (Windows)。所有可用的消息都将写入日志文件。

Cisco Secure Firewall 终端安全评估 模块组件会根据操作系统、权限级别和启动机制来提供日志输出：

• libcsd.log - 由使用 Cisco Secure Firewall 终端安全评估 API 的 Cisco Secure Client 线程创建。调试条目根据日志记录级别配置写入此日志。

• cscan.log - 通过扫描可执行文件 (cscan.exe) 而创建，是 Cisco Secure Firewall 终端安全评估的主要日志。调试条目根据日志记录级别配置写入此日志。

对于 ISE 终端安全评估，事件包含在安装的 Cisco Secure Client 版本的事件子文件夹中，因此易于与其余 Cisco Secure Client 事件隔开。每个查看器均可搜索关键字和过滤。Web 代理事件写入标准应用日志。

为便于故障排除，会将 ISE 终端安全评估要求策略和评估报告记录到终端上经过模糊处理的单独文件中，而不会是事件日志中。某些日志文件的大小（例如 aciseposture），可由管理员在配置文件中配置。但 UI 日志大小是预定义的。

每当进程异常终止时，都会生成一个小型转储文件，就像其他 Cisco Secure Client 模块提供的一样。

对于 Cisco Secure Firewall 终端安全评估，文件位于用户主文件夹中的以下目录中：

• （非 Windows）- .cisco/posture/log

• (Windows)— C:\Users\<user_name>\AppData\Local\Cisco Cisco Secure Firewall 终端安全评估\log\cscan.log

管理员可以选择使用独立编辑器创建终端安全评估配置文件，然后将其上载至 ISE。否则，嵌入式终端安全评估配置文件编辑器配置在 ISE 用户界面中的 Policy Elements 下。Cisco Secure Client 配置编辑器在 ISE 中启动后，它会创建 Cisco Secure Client 配置以及 Cisco Secure Client 软件及其关联的模块、配置文件、OPSWAT 和任何自定义。 ISE 终端安全评估的独立配置文件编辑器包含以下参数：

• 代理的行为

  • 启用签名检查 (Enable signature check) - 如果选中，则在代理运行可执行文件之前，会启用这些文件的签名检查。

  • 日志文件大小 (Log file size) - 合规模块日志文件的最大大小。有效值为 5 Mb 到 200 Mb。

  • 修复计时器 (Remediation timer) - 用户必须在此时间内完成修复，否则将被标记为不合规。有效值为 1 - 300 分钟。

  • 自动 DART 计数 (Automated DART Count) - 确定在故障情况下要收集的自动 DART 捆绑包的数量。

  • 启用代理日志跟踪 (Enable agent log trace) - 在代理上启用调试日志。

  • 在非 802.1X 无线网络上运行 (Operate on non-802.1X wireless networks) - 如果选中，会启用代理在非 802.1X 无线网络上工作。

  • 启用终端安全评估状态非重定向流 (Enable posture non-redirection flow)- 如未选中，则会禁用终端安全评估状态非重定向流。在禁用之前，请确保所有 NAD 均支持重定向。

  • 启用隐身模式 (Enable Stealth Mode) - 选择是否启用隐身模式 (Stealth Mode)，这将允许终端安全评估作为服务运行，而无需用户干预。

  • 通过通知启用隐身 (Enable Stealth With Notification) - 如果隐身型号通知设置为启用，则当 Cisco Secure Client 隐身型号出现处于不合规状态、网络访问受限、有无法访问的服务器等情况时，最终用户仍然会收到通知消息。

  • 禁用 EDR Internet 检查 (Disable EDR Internet Check) - 当终端具有已配置的代理时，观察到定义检查失败。当终端配置了代理时，它会导致任何 EDR 产品（例如 Cortex XDR）无法访问互联网。要绕过互联网检查并跳过实时传输协议检查以及终端和检测响应产品 (EDR) 的定义检查，请点击此复选框将其设置为“是”(Yes)。

  • 启用重新扫描按钮 (Enable Rescan Button) - 如果要在发生故障后、手动修复后或终端安全评估陷入停滞状态等情况后重启终端安全评估（或发现），请启用此按钮，以便在ISE 终端安全评估磁贴中显示 再次扫描 (Scan Again) 选项。您可以在 ISE 终端安全评估配置文件中显示或隐藏该选项。点击再次扫描 (Scan Again) 时，系统将启动发现，并启动整个终端安全评估流。

    注	仅当终端安全评估配置文件中的 EnableRescan 标记设置为 1 时，磁贴中才会显示“再次扫描”。如果设置为 0，则“再次扫描”(Scan Again) 按钮仅在其以前通常显示的条件下显示（在此选项之前）。

    注	如果在 ISE 端发生配置文件更改，则 Cisco Secure Client 磁贴将在系统下一次启动发现时反映相关更改。

  • 禁用 UAC 弹出窗口 (Disable UAC Popup) - 确定在策略验证期间是否显示“Windows 用户帐户控制 (UAC)”弹出窗口。如果使用默认值（未选中），在进行连接时系统会继续提示最终用户获得管理员权限。如果启用，在策略验证期间，最终用户将看不到 Windows 用户帐户控制 (UAC) 提示。通过禁用 UAC 提示，Cisco Secure Firewall 终端安全评估使用系统进程进行权限升级，而不是“以管理员身份运行”。在禁用 UAC 提示之前，在用户具有本地管理员权限的设备上验证您的终端安全评估策略。

  • 补偿计时器限制 (Backoff Timer Limit) - 输入 Cisco Secure Client 发送 ISE 发现探测所需的最长时间。Backoff Timer Limit 由于探测会增加更多流量，因此您应选择不会造成您的网络中断的值。

  • 定期探测间隔 (Periodic Probe Interval) - 指定超过回退计时器限制后的发现探测间隔。 Cisco Secure Client 会持续发送具有给定间隔的定期探测，直到找到有效的 ISE 服务器。默认值为 30 分钟，在初始几轮探测后，会持续以 30 分钟的间隔发送探测。将该值设置为 0 会禁用定期探测。

  • 终端安全评估状态同步间隔 (Posture State Synchronization Interval) - 输入 0 以禁用定期探测。有效范围为 0 至 300 秒。

  • 终端安全评估状态同步探测列表 (Posture State Synchronization Probe List) - 在发现阶段，代理将探测发送到备份列表以查找 ISE 服务器。默认值为无值。它使用所有数据包交换网络作为备份服务器。

  • CWA/BYOD 探测的最长时间 (Maximum time for CWA/BYOD probing) - 如果配置了集中式 Web 身份验证 (CWA) 或自带设备 (BYOD) 流，则代理将在此秒数内探测数据包交换机网络，以确定是否结束用户已完成流程。如果完成，代理将启动终端安全评估流程。

  • CWA/BYOD 探测时间间隔 (Interval of CWA/BYOD probing) - 如果配置了集中式 Web 身份验证 (CWA) 或自带设备 (BYOD) 流，则代理将在此秒间隔内探测数据包交换机网络，直到 CWA/BYOD 流完成或已达到最长时间。

• IP 地址更改

  为了获得最佳用户体验，请将以下值设置为我们推荐的值。

  • VLAN 检测时间间隔 (VLAN detection interval) - 代理在刷新客户端 IP 地址前检查 VLAN 变化的时间间隔。有效范围为 0 到 900 秒，推荐值为 5 秒。如果设为 0，则禁用 VLAN 检测功能。设为 1 至 900 时，代理将每隔 x 秒发送一次 Internet 控制消息协议 (ICMP) 或地址解析协议 (ARP) 查询。

  • Ping 或 ARP (Ping or ARP) - 检测 IP 地址更改的方法。选项包括：Ping (0) 使用 ICMP 轮询，Arp (1) 使用 ARP 轮询，Ping then Arp (2) 先使用 ICMP 轮询，如果 ICMP 失败，再使用 ARP 轮询。建议使用 ARP 轮询，因为默认网关可能被配置为阻止 ICMP 数据包。

  • ping 最长超时 (Maximum timeout for ping) - 从 1 到 10 秒的 ping 超时时间。

  • 启用代理 IP 地址刷新 (Enable agent IP refresh) - 选中可启用 VLAN 更改检测。

  • DHCP 续约延迟 (DHCP renew delay) - 代理在 IP 刷新之后等待的秒数。如果启用了“启用代理 IP 刷新”(Enable Agent IP Refresh)，请配置此值。如果该值不是 0，则代理将在此预期的过渡期间进行一次 IP 刷新。如果在刷新时检测到 VPN，则刷新将被禁用。有效值为 0 到 60 秒，推荐值为 5 秒。将此参数设置为 0 可禁用此功能。

  • DHCP 释放延迟 (DHCP release delay) - 代理延迟进行 IP 刷新的秒数。如果启用了“启用代理 IP 刷新”(Enable Agent IP Refresh)，请配置此值。如果该值不是 0，则代理将在此预期的过渡期间进行一次 IP 刷新。如果在刷新时检测到 VPN，则刷新将被禁用。有效值为 0 到 60 秒，推荐值为 5 秒。将此参数设置为 0 可禁用此功能。

  • 网络转换延迟 (Network transition delay) - 代理暂停网络监控以便等待计划好的 IP 更改的时间范围（以秒为单位）。推荐值为 5 秒。

• 终端安全评估协议

  • 发现主机 (Discovery host) - 用于基于重定向的网络中的策略服务节点发现。使用 IP 或 FQDN 确定网络访问设备可执行重定向的服务器。对于独立配置文件编辑器，仅输入单个主机。

  • 服务器名称规则 (Server name rules) - 由通配符、逗号分隔名称组成的列表，用于定义代理可以连接到的服务器（如 example1.cisco.com 或 *.cisco.com）。

  • Call Home 列表 (Call Home List) - 输入您想用于负载均衡、监控和故障排除查找的 IP 或 FQDN，或者您想用于映射到该节点中默认策略服务节点 (PSN) 的 DNS 的 FQDN（如果处于多重情形下）。在配置此选项后，将发送用于监控和故障排除查找的第一次探测，以拨打住宅电话。在从重定向网络迁移到非重定向网络时，必须配置此选项。

  • PRA 重新传输时间 (PRA retransmission time) - 当发生被动重新评估通信失败时，就会指定此代理重试时间范围。有效范围为 60 到 3600 秒。

  • 重新传输延迟 (Retransmission Delay) - 指定在执行 HTTP 任务（GET 或 POST）失败后重试之前要等待的时间（以秒为单位）。有效范围为 5 到 300 秒，默认值为 60，仅接受整数值。

  • 重新传输限制 (Retransmission Limit) - 指定在执行 HTTP 任务（GET 或 POST）失败后允许消息重试的次数。有效范围为 0 到 10，默认值为 4，仅接受整数值。

Cisco Secure Firewall 终端安全评估（之前的 Hostscan）终端安全评估和 ISE 终端安全评估模块均使用 OPSWAT 框架来保护终端。

此框架涉及客户端和头端，可协助评估终端上的第三方应用。根据所使用的 OPSWAT 版本，为每种终端安全评估方法提供支持图表。它们包含应用列表的产品和版本信息。

当头端（Cisco Secure Firewall ASA 或 ISE）和终端（Cisco Secure Firewall 终端安全评估或 ISE 终端安全评估）之间存在版本号不匹配的情况时，OPSWAT 合规性模块将会进行升级或降级，以便与头端上的版本匹配。这些升级/降级是强制性的，并会自动进行，无需最终用户干预，只要建立了到头端的连接即可。

Cisco Secure Firewall 终端安全评估 OPSWAT 支持

Cisco Secure Firewall 终端安全评估 支持图表对应于 Cisco Secure Firewall 终端安全评估 软件包版本，并提供适用于 Cisco Secure Firewall ASA 头端的内容。

Cisco Secure Firewall 终端安全评估 的版本将与 Cisco Secure Client 的主版本和维护版本保持协调。在 ASDM 的配置 (Configuration) > 远程接入 VPN (Remote Access VPN) > 安全桌面管理器 (Secure Desktop Manager) > HostScan 映像 (HostScan Image) 中配置 Cisco Secure Firewall 终端安全评估 软件包时指定版本。

注	在即将发布的 ASDM 版本中，此菜单路径将为配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 终端安全评估 (Posture)（对于 Cisco Secure Firewall）> 终端安全评估映像 (Posture Image)，因为 HostScan 已重命名。

Cisco Secure Firewall 终端安全评估 准则：

• 在客户端和头端中使用的 OPSWAT 版本必须匹配。

• 所有 4.3.x 以下（包括 4.3.x）版本的 HostScan 都使用 OPSWAT v2。HostScan 4.6 x 和更高版本使用 OPSWAT v4。所有版本的 HostScan 都不支持 OPSWAT v3。

ISE 终端安全评估 OPSWAT 支持

Cisco Secure Client 代理合规性模块适用于 ISE 终端安全评估模块。

ISE 代理合规性模块版本反映了基础 OPSWAT 版本。在 ISE 终端安全评估中，OPSWAT 二进制文件封装在一个单独的安装程序中。您可以手动将 OPSWAT 库从本地文件系统载入 ISE 头端，或配置 ISE 使用 ISE 更新源 URL 直接获取该库。

将 Cisco Secure Client与 ISE 2.1（或更高版本）配合使用时，可以选择将 OPSWAT v3 或 v4 用于 ISE 合规性模块。防恶意软件的配置位于 ISE UI 的 Work Centers > Posture > Posture Elements > Conditions > Antimalware。