Lab5 Posture Services终端状态检查配置指南.pdf

Lab5: 终端状态检查Posture Services 配置指南 一、 目的1 二、 Posture Services 工作流程1 三、 实验环境2 实验5.1 Agent 的推送与检测配置5 实验5.2 授权策略配置9 实验5.3 终端状态检查策略的配置12 实验5.4 测试NAC Agent 的推送与终端状态检查15 一、目的 本文介绍了思科ISE 实现终端状态检查Posture Service 的具体配置步骤。这个配置步骤 是以有线网络的配置场景为例，对于无线网络的应用场景，只需要在 Authentication Policy 中启用Wireless_802.1x 就可以了，其他配置步骤不需要改动。 二、Posture Services 工作流程 思科 ISE 的Posture Service 的工作流程由三个部分组成：Client Provisioning， Posture Subscription and Policy，以及Authorization Policy （如下图所示）。 1 1. Client Provisioning 客户端的推送 要完成终端设备的状态的评估，并确定合规检查的结果，需要推送Agent 到终端设备上。 ISE 的Agent 程序安装后可以永久存在(NAC Agent)，当每次用户登录时，会被自动加载。 Agent 程序也可以临时存在(Web Agent)，这是通过Web 方式在用户建立新的会话时动态 的下载，运行完成后再进行删除。 Agent 还负责设备的修复工作，同时还为用户提供了一个AUP 策略的提示。 因此，在工作流程开始的几个步骤中，包含了从思科网站上获取Agent 文件，然后创建 Client Provisioning 策略，该策略是基于客户端的属性（如用户身份或客户端操作系统类 型），确定下载到终端设备的Agent 程序和配置描述文件。 2. Posture Subscription and Policy 终端状态检查的判定条件与策略 定义一系列的强制判断条件，用于判定终端设备是否被视为“合规”，包括文件，注册 表，进程，Windows 补丁，以及AS/AV 的检查规则。Posture Policy 应用到终端设备时， 要依据预先定义好的判断条件，如用户身份，客户端操作系统类型等，确定推送 Agent 程序的类型。 终端设备的合规性状态，包含以下几种结果：  未知 （未收集到反应终端健康状况的数据）  不合规 （终端检查完成，其中一个或多个条件未满足）  合规 （终端检查完成，满足所有的强制的要求） 终端检测的要求，可能会是一个或多个配置条件的集合，包括 Simple Conditions 和 Compound Conditions 。Simple Conditions 包括单一的评估检查。Compound Conditions 包 括一个或多个的Simple Conditions 条件的逻辑分组判断。 每一个检查要求，都与一个修复动作关联，这样做的目的是协助终端设备满足检查要求， 例如，AV 特征库的更新。 3. Authorization Policy 授权策略 将永久性的NAC Agent 或者临时性的Web Agent 下载到ISE 上，定义一个客户端的推送 策略，要求员工帐号下载NAC Agent，访客帐号下载Web Agent 。 注意：员工帐号（如Employee）要经过802.1x 认证，而访客帐号Guest 要经过CWA 认 证。 在配置终端评估策略之前，要更新 Authorization Policy ，对标记为”Not Compliant”的 Employee 和Guest 身份的客户端，执行授权策略Authorization Profiles 。Authz Profile 通过之 前定义的的dACL，限制客户端只能访问与终