NAC-applicatie (Cisco Clean Access): De
definitie van Antivirus configureren en oplossen
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Conventies
AV-vereisten voor bijwerken configuratie AV-regels
Controleer AV-ondersteuningsinformatie AV-regel maken
AV-eis voor bijwerken definitie maken Toewijzing van vereisten aan regels Vereisten op rol toepassen
Geldigheidsvereisten Cisco-regels
Cisco-controles
Cisco vooraf ingestelde regels ("pr_") Problemen oplossen
Cisco Clean Access Points werkt AV-definitie niet voor clients bij CCA kan AV niet detecteren
Gerelateerde informatie
Inleiding
Dit document beschrijft hoe u de vereisten voor configuratie en probleemoplossing van het Antivirus (AV) definieert in de Cisco Network Admission Control (NAC)-applicatie, voorheen bekend als Cisco Clean Access.
Voorwaarden
Vereisten
Dit document gaat ervan uit dat Cisco Clean Access, dat zowel Clean Access Manager (CAM) als Clean Access Server (CAS) omvat, is geïnstalleerd en correct werkt.
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco Clean Access 3.4 en hoger.
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
AV-vereisten voor bijwerken configuratie
Het vereiste van AV Definition Update kan worden gebruikt om de definitiebestanden op een client bij te werken voor ondersteunde antivirusproducten. Als de client niet aan de AV-vereisten
voldoet, communiceert de Clean Access Agent direct met de geïnstalleerde antivirussoftware op de client en werkt automatisch de definitie bestanden bij wanneer de gebruiker op de knop Update in het dialoogvenster Agent klikt.
AV Regels bevatten uitgebreide logica voor 24 verkopers van antivirussen en zijn geassocieerd met AV Definition Update vereisten. Voor de vereisten voor de update van AV Definition is de configuratie gelijk aan die van aangepaste vereisten, behalve dat er geen behoefte is aan de configuratie van controles. U associeert de vereisten voor bijwerken van AV met een of meer AV- regels, gebruikersrollen en besturingssystemen en configureren ook de dialooginstructies van de gebruiker Clean Access Agent die u wilt laten zien of de AV-vereisten niet vervuld zijn.
Opmerking: Indien mogelijk wordt aangeraden om AV-regels te gebruiken die in kaart zijn
gebracht in AV Definition Update requirements om antivirussoftware op klanten te controleren. In het geval van een niet-ondersteund AV-product of als een AV-product of -versie niet beschikbaar is via AV-regels, hebt u altijd de optie om Cisco te gebruiken dat voor de verkoper van het
antivirus is voorzien van PC_checks en pr_regels of om hun eigen aangepaste controles, regels en vereisten te maken via Apparaatbeheer > Clean Access > Clean Access Agent. Gebruik nieuwe controle, nieuwe regel en nieuwe vereiste voor bestands-link/lokale controle.
Dit getal is het dialoogvenster Clean Access Agent dat verschijnt wanneer een client niet voldoet aan de eis voor AV Definition Update.
AV-regels
AV-regels zijn vooraf ingesteld op regeltypen die zijn toegewezen aan de matrix van verkopers en producten die zijn gebaseerd op de ondersteunde AV-productlijst. Er is geen behoefte om
controles met dit type regel te configureren.
Er zijn twee basissoorten AV-regels:
Installatievoorschriften—Deze regel controleert of de geselecteerde antivirussoftware is geïnstalleerd voor de client-OS.
●
Virus Definitie AV Regels—Deze regel controleert of de virusdefinitiebestanden op de client bijgewerkt zijn. Virus Definition AV Regels kunnen in AV Definition Update vereisten worden opgenomen zodat een gebruiker die de vereiste niet vervult, op de knop Update in de Agent kan klikken om automatisch de update uit te voeren.
●
AV Regels zijn doorgaans gekoppeld aan AV Definition Update vereisten. Deze stappen zijn vereist om AV Definition Update vereisten te creëren:
Controleer AV-ondersteuningsinformatie 1.
AV-regel maken 2.
AV-eis voor bijwerken definitie maken 3.
Toewijzing van vereisten aan regels 4.
Vereisten op rol toepassen 5.
Geldigheidsvereisten 6.
Controleer AV-ondersteuningsinformatie
Met de Cisco NAC-applicatie kunnen meerdere versies van de Clean Access Agent op het
netwerk worden gebruikt. Nieuwe updates aan de Agent voegen ondersteuning toe voor de laatste antivirusproducten zodra ze worden vrijgegeven. Het systeem gebruikt de beste methode, of Def Date of Def Versie om AV definitie controles uit te voeren gebaseerd op de beschikbare AV producten en de versie van de Agent. De pagina met AV-ondersteuningsinformatie bevat informatie over de compatibiliteit van agents met de nieuwste, ondersteunde productlijst die is gedownload naar de CAM. Deze pagina toont de nieuwste versie en datum van de
definitiebestanden voor elk AV-product evenals de basisversie van de Agent die nodig is voor productondersteuning. U kunt de AV-informatie van de client vergelijken met de AV-
ondersteuningspagina om te controleren of het definitiebestand van een client het laatste is. Als u meerdere versies van de Agent op uw netwerk uitvoert, kan deze pagina probleemoplossing helpen welke versie moet worden uitgevoerd om een bepaald product te ondersteunen.
Voltooi deze stappen om de ondersteuningsinformatie van de agent te bekijken:
Kies Apparaatbeheer > Toegang reinigen > Reinigen > Regels > AV/AS Ondersteuningsinformatie.
1.
Kies Antivirus in het vervolgkeuzemenu Category.
2.
Kies een Antivirusverkoper in het vervolgkeuzemenu.
3.
Kies Windows Vista/XP/2K of Windows 9x/ME uit het vervolgkeuzemenu Besturingssysteem om de ondersteuningsinformatie voor deze clientsystemen te bekijken. Dit vult de tabellen op zoals aangegeven:Minimale Agent versie vereist voor ondersteuning van AV-producten: dit toont de minimaal vereiste versie van Agent voor ondersteuning van elk AV-product. Een 4.0.0.0 Agent kan bijvoorbeeld inloggen in een rol die AOL Safety and Security Center Virus Protection 1.x vereist, maar voor een 3.6.0.0 of vroeger Agent, is deze controle niet
uitgevoerd. Let op dat als een versie van de Agent zowel de controles van de Datum als van de Versie van het Def ondersteunt, de controle van de Versie van het Def wordt
gebruikt.Nieuwste versie van Virus, versie/datum voor geselecteerde verkoper — geeft de laatste versie en datuminformatie voor het AV-product weer. De AV-software voor een up-to- date client moet dezelfde waarden weergeven.
4.
Opmerking: De agent stuurt zijn versieinformatie naar de CAM en de CAM probeert altijd eerst de virusdefinitieversie voor AV-controles te gebruiken. Als de versie niet beschikbaar is, gebruikt de CAM in plaats daarvan de virusdefinitiedatum.
Tip: U kunt de nieuwste versie van het definitiebestand ook bekijken wanneer u een AV-verkoper kiest uit het formulier Nieuwe AV-regel.
AV-regel maken
Voltooi deze stappen om een AV-regel te maken:
Zorg ervoor dat u de nieuwste versie van de ondersteunde AV/AS-productlijst hebt.
1.
Kies Apparaatbeheer > Toegang reinigen > Reinigen > Regels > Nieuwe regel AV.
2.
Typ een regelnaam. U kunt cijfers en onderscores gebruiken, maar geen spaties in de naam.
3.
Kies een Antivirusverkoper in het vervolgkeuzemenu. Dit vult de tabel Controles voor geselecteerde besturingssystemen onder op de pagina met de ondersteunde producten en productversies van deze verkoper voor het geselecteerde besturingssysteem.
4.
Kies in het vervolgkeuzemenu Type de optie Installatie of virusdefinitie. Hierdoor kunnen de vinkjes worden gecontroleerd voor de desbetreffende kolommen voor installatie of virussen in de tabel.
5.
Kies een besturingssysteem in het vervolgkeuzemenu, Windows Vista/XP/2K of Windows ME/98. Dit geeft de productversies weer die voor deze client-OS in de tabel worden ondersteund.
6.
Typ een optionele regelbeschrijving.
7.
Kies in de tabel Controle voor geselecteerde besturingssystemen de productversies die u op de client wilt controleren. Controleer hiervoor een of meer vakjes in de corresponderende kolommen voor installatie of virusdefinitie. ALLE middelen die u wilt gebruiken om op elk product en elke versie van deze AV-verkoper te controleren. Installatie controleert of het product is geïnstalleerd en Virus Definition controleert of de virusdefinitiebestanden op de client bijgewerkt zijn voor het gespecificeerde product.
8.
Klik op Regel toevoegen. De nieuwe AV-regel wordt onder in de Lijst van regels toegevoegd met de door u opgegeven naam.
9.
AV-eis voor bijwerken definitie maken
Deze stappen tonen aan hoe een nieuw vereiste van AV Definition Update te creëren om het clientsysteem voor de gespecificeerde AV producten en versies te controleren met een
bijbehorende AV-regel. Als de antivirusdefinitiebestanden van de client niet bijgewerkt zijn, kan de
gebruiker simpelweg op de knop Update op de Clean Access Agent klikken en de Agent
veroorzaakt de ingezeten AV-software om zijn eigen update mechanisme te lanceren. Merk op dat het eigenlijke mechanisme verschilt voor verschillende AV-producten, bijvoorbeeld, live updates versus opdrachtregelparameter.
Klik in het tabblad Clean Access Agent op de submenu Requirements en vervolgens op New Requirements.
1.
Kies voor het vereiste type AV Definition Update.
2.
De optie Geen afdwingingsvereiste afdwingen wordt standaard ingeschakeld. In deze optie wordt de eis voor aanpassing van de AV-definitie als optioneel aangemerkt.Opmerking:
Omdat het proces voor het bijwerken van Windows op de achtergrond draait, is standaard regel niet afdwingen ingesteld om de gebruikerservaring te optimaliseren. Dit vereiste wordt aanbevolen als optioneel te laten, indien u voor de optie Automatisch downloaden en
installeren kiest. Een WSUS-gedwongen update kan een tijdje duren en wordt gelanceerd en uitgevoerd op de achtergrond.
3.
Kies de prioriteit van uitvoering voor dit vereiste op de cliënt. Een hoge prioriteit, zoals 1, betekent dat deze vereiste op het systeem wordt gecontroleerd voordat alle andere vereisten worden nageleefd en in de dialogen van het Agent in die volgorde wordt weergegeven. Merk op dat als een verplichte vereiste niet voldoet, de agent niet verder gaat dan dat punt totdat die vereiste is bereikt.
4.
Kies een anti-virusverkoper naam in het vervolgkeuzemenu. De Producttabel bevat alle virusdefinitie-productversies die voor elke client-OS worden ondersteund.
5.
Voor de Vereiste Naam typt u een unieke naam om dit AV-definitiebestand in de Agent te identificeren. De naam is zichtbaar voor gebruikers in het dialoogvenster Clean Access Agent.
6.
Typ in het veld Description een beschrijving van het vereiste en de instructies om gebruikers te begeleiden die niet aan het vereiste voldoen. Voor een AV Definition Update vereiste moet u instructies voor gebruikers bevatten om op de Update knop te klikken om hun systemen bij te werken. Let op deze informatie:AV Definition Update toont de Update knop op de
Agent.AS Definition Update toont de Update knop op de Agent.Windows Update toont de knop Update op de Agent.
7.
Controleer een of meer van deze vakjes om de besturingssystemen in te stellen voor de eis:Alles WindowsWindows 2000Windows MEWindows 98Windows XP (Alle) of een of meer van de specifieke Windows XP-besturingssysteemWindows Vista (Alle) of een of meer van de specifieke Windows Vista-besturingssystemen
8.
Klik op Eis toevoegen om de vereiste toe te voegen aan de lijst met eisen.
9.
Toewijzing van vereisten aan regels
Zodra de vereiste is gecreëerd en de koppelingen en instructies voor het herstel zijn
gespecificeerd, dient u de vereiste in kaart te brengen met een regel of een reeks regels. Een mapping-to-Rule-kaart houdt rekening met de regels die controleren of het clientsysteem voldoet aan de eisen van de gebruiker (Agent-knop, instructies, koppelingen) die nodig zijn om het clientsysteem te doen naleven.
Klik in het tabblad Clean Access Agent op het submenu Eisen en open vervolgens het formulier
Voorschriften.
1.
Kies in het menu Naam verplicht in kaart te brengen.
2.
Controleer het besturingssysteem op de eis in het menu Besturingssysteem. De Regels voor de lijst Geselecteerd besturingssysteem zijn ingevuld met alle regels die beschikbaar zijn voor het gekozen besturingssysteem.
3.
Voor AV Virus Definition Regels (gele achtergrond) kunt u optioneel de CAM configureren om definitiebestanden op de client een aantal dagen ouder te laten zijn dan wat de CAM via updates beschikbaar heeft. Zie Regels > AV-AS Ondersteuningsinformatie voor de laatste datums voor productbestanden. Dit stelt u in staat om ruimte in een vereiste te vormen zodat als geen nieuwe virusdefinitiebestanden van een productverkoper worden vrijgegeven, uw klanten nog steeds aan de vereiste kunnen voldoen. Voltooi de volgende stappen om dit te doen:Controleer de AV Virus Definition regels, zodat het definitiebestand x dagen ouder dan aanvinkvakje is.Typ een nummer in het tekstvak. Standaard is 0, wat aangeeft dat de
definitiedatum niet ouder kan zijn dan de bestand/systeemdatum.Selecteer een van deze opties:Laatste datum: Met deze datum kan het client-definitiebestand ouder zijn dan de laatste virusdefinitiedatum op de CAM, tegen het aantal dagen dat u hebt opgegeven.Huidige systeemdatum— Dit maakt het mogelijk dat het clientdefinitiebestand ouder is dan de CAM - systeemdatum, toen de laatste update werd uitgevoerd door het aantal dagen dat u hebt opgegeven.
4.
Scrolt de pagina en controleer het selectiekader naast elke regel die u wilt associëren met de eis. De regels worden toegepast in hun volgorde van prioriteit, zoals beschreven in deze 5.
tabel:
Voor voldaan aan vereisten als, kies één van deze opties:Alle geselecteerde regels
slagen—als aan alle regels is voldaan opdat de cliënt in overeenstemming met het vereiste wordt geachtElke gekozen regel slaagt - als ten minste één geselecteerde regel moet worden nageleefd zodat de cliënt in overeenstemming met het vereiste kan worden
beschouwdGeen geselecteerde regel slaagt —als de geselecteerde regels allemaal moeten falen om de cliënt in overeenstemming met het vereiste te kunnen beschouwenIndien
cliënten niet aan de eis voldoen, moeten zij de aan de eis gekoppelde software installeren of de vereiste stappen uitvoeren.
6.
Klik op Update.
7.
Vereisten op rol toepassen
Zodra vereisten worden gecreëerd, met herstelstappen worden geconfigureerd en gekoppeld aan regels, moeten ze in kaart worden gebracht in een gebruikersrol. Deze stap is van toepassing op de gebruikersgroepen in het systeem.
N.B.: Zorg ervoor dat u al normale gebruikersrollen hebt gemaakt.
Klik in het tabblad Clean Access Agent op de submenink Rollend- Requirements.
1.
Kies in het menu Rol type het type van de aan te passen rol. In de meeste gevallen is dit een 2.
normale Login Rol.
Kies de naam van de rol in het menu Gebruiker Rol.
3.
Controleer het aanvinkvakje Selecteren voor elk vereiste dat u op gebruikers in de rol wilt toepassen.
4.
Klik op Update.
5.
Zorg er voordat u klaar bent voor dat de gebruikers in de rol nodig zijn om het programma Clean Access Agent te gebruiken.
6.
Geldigheidsvereisten
De beheerder Toegang reinigen valideert automatisch vereisten en regels zoals deze worden gemaakt. De kolom Geldigheid onder Apparaatbeheer > Toegang reinigen > Vereisten > Vereisten van verplichte lijsten toont de geldigheid van:
—De eis is geldig.
●
—De eis is ongeldig. Markeer dit pictogram met de muis om het geldigheidstatus-bericht voor dit vereiste weer te geven. Het statusbericht geeft aan welke regel en welke controle het vereiste ongeldig maakt, in deze indeling:
Invalid rule [rulename] in package [requirementname] (Rule verification error:
Invalid check [checkname] in rule expression)
●
Het voorschrift moet worden gecorrigeerd en geldig worden verklaard voordat het kan worden gebruikt. Meestal worden vereisten en regels ongeldig als er een fout in het besturingssysteem is opgetreden.
Voltooi de volgende stappen om een ongeldig vereiste te corrigeren:
Kies Apparaatbeheer > Toegang reinigen > Reinigen > Vereisten > Voorschriften.
1.
Alle ongeldige regels of controles corrigeren 2.
Kies de ongeldige Naam van de Voorschrift in het vervolgkeuzemenu.
3.
Kies het besturingssysteem.
4.
Zorg ervoor dat aan de eis is voldaan indien: expressie wordt correct ingesteld . 5.
Controleer of de voor de eis gekozen regels geldig zijn, wat betekent dat ze een blauw controleteken hebben in de kolom Geldigheid.
6.
Cisco-regels
Een regel is een voorwaardelijke verklaring die bestaat uit een of meer cheques. Een regel combineert controles met logische exploitanten om een Booleaanse verklaring te vormen die meerdere kenmerken van het clientsysteem kan testen.
De Cisco NAC-applicatie biedt een reeks van vooraf ingestelde regels en controles door de koppeling Uploads. Vooraf ingestelde regels hebben een prefix van pr in hun namen, zoals
pr_AutoUpdateCheck_Rule. Zie Cisco Voorgeprogrammeerde regels ("pr_") voor meer informatie.
Cisco-controles
Een controle is een voorwaardelijke verklaring die een kenmerk van het clientsysteem onderzoekt, zoals een bestand, de registratiesleutel, de service of de toepassing. Vooraf ingestelde controles hebben een prefix van pc in hun namen, zoals pc_Hotfix828035. Deze tabel toont de beschikbare soorten controles en wat zij testen.
Categorie controleren Type controle
Registratie
of er al dan niet een registersleutel bestaat
●
waarde van de registersleutel
●
Bestandscontrole
of er al dan niet een bestand bestaat
●
datum van wijziging of schepping
●
bestandsversie
●
Serviceoverzicht al dan niet een
dienst
●
Toepassingscontrole ● of een aanvraag al
dan niet loopt
Cisco vooraf ingestelde regels ("pr_")
De Cisco NAC-applicatie biedt een reeks van vooraf ingestelde regels en controles die gedownload worden naar de CAM via de pagina Uploads op de CAM-webconsole, onder Apparaatbeheer > Clean Access > Clean Access Agent > updates.
Vooraf ingestelde regels hebben een prefix van pr in hun namen, bijvoorbeeld pr_XP_Hotfixes, en kunnen voor gebruik als een sjabloon worden gekopieerd, maar kunnen niet worden bewerkt of verwijderd. U kunt op de knop Bewerken voor elke pr_ regel klikken om de reguliere expressie te bekijken die deze definieert. De regelexpressie voor een vooraf geconfigureerd regel bestaat uit vooraf ingestelde controles, zoals pc_Hotfix835732, en booleaanse operatoren. De regelexpressie voor vooraf ingestelde regels wordt bijgewerkt via Cisco-updates. Bijvoorbeeld, wanneer de nieuwe kritieke Windows OS hotfixes voor Windows XP worden vrijgegeven, wordt de
pr_XP_Hotfixes regel bijgewerkt met de bijbehorende hotfixcontroles.
Vooraf ingestelde regels worden vermeld onder Apparaatbeheer > Schone toegang > Reinigen toegangsagent > Regels > Regellijst. Vooraf ingestelde controles hebben een prefix van pc in hun namen en zijn opgenomen onder Apparaatbeheer > Clean Access > Clean Access Agent >
Regels > Controleer lijst.
Opmerking: Cisco vooraf geconfigureerd regels zijn bedoeld om alleen ondersteuning te bieden voor kritieke Windows OS-hotfixes.
Problemen oplossen
Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.
Cisco Clean Access Points werkt AV-definitie niet voor clients bij
Voltooi deze stappen om dit probleem op te lossen:
Kies in de CAM Apparaatbeheer > Toegang reinigen > Vereisten > Voorschriften.
1.
Deselecteer de vooraf ingestelde regels (pr_), indien aanwezig.
2.
Selecteer de gewenste AV-regels.
3.
CCA kan AV niet detecteren
Als u vermoedt dat de CCA de bepaalde AV-controles niet detecteert of herkent, moet u het OESIS-diagnostische gereedschap in de client uitvoeren.
Voer de volgende stappen uit:
Toegang voor loggen.Raadpleeg Debug Logging in op het programma Clean Access Agent voor instructies over het inschakelen van loggen op de client.
1.
Probeer in te loggen.
2.
Start het OESIS diagnostische gereedschap.
3.
Schakel houtkap uit.
4.
Opmerking: Als u een export van de structuur van de registratiesleutel van het AV-product kunt grijpen, normaal gesproken op HKLM\Software\<av_seller>, is dat ook behulpzaam.
Gerelateerde informatie
Ondersteuning van Cisco NAC-applicatie (Clean Access)
●
Technische ondersteuning en documentatie – Cisco Systems
●
