Создание образов ПК на портах, защищенных NAC
-
Мы находимся в процессе развертывания безопасности портов 802.1x/MAB в нашей организации с использованием ISE. Наша группа по клиентским вычислениям поставила перед нами требование обеспечить возможность создания образов/пересоздания образов рабочих станций с рабочих мест пользователей в режиме самообслуживания. Это может быть реализовано одним из трех способов: с помощью USB-накопителя с Windows PE, с помощью скрытого раздела Windows PE на ПК или с помощью PXE Boot для получения образа Windows PE. Затем образ Windows PE должен будет связаться с назначенным сервером SCCM (более 200 по всей компании), чтобы загрузить новый образ, и в конце процесса он присоединится к домену. Я пытаюсь понять, как разработать политику ISE, чтобы этот процесс работал так же, как и сегодня, но не был полностью открытым. Буду очень благодарен за любую помощь и предложения по этому вопросу.
-
Привет, Крейг, Как правило, это одна из самых сложных задач в среде ISE/802.1x, особенно при переходе из режима мониторинга в режим с низким воздействием или закрытый режим. На высоком уровне типичные варианты следующие: Предоставьте отдельную зону сборки, в которой не включен NAC, но для доступа к которой требуется физическая безопасность.
Разработать процесс, позволяющий пользователям обращаться в IT-отдел для перехода во временное состояние, которое обеспечит необходимый доступ к сети для сборки. Это можно сделать вручную с помощью администратора ISE или с помощью инструмента, использующего API ISE.
Предоставить портал «Сборка», к которому пользователи могут получить доступ через другую корпоративную систему. Пользователи должны будут войти в портал (размещенный на ISE) и ввести свой MAC-адрес перед попыткой сборки/пересборки. Пользователь или администратор позже удалит конечную точку из этой группы после завершения сборки (или попытается использовать политику очистки конечных точек в ISE).
Измените текущий процесс сборки, чтобы использовать скрипты, которые позволят запустить Windows 802.1x supplicant на ранней стадии сборки (до присоединения к домену) и использовать заранее заданное имя пользователя/пароль (PEAP-MSCHAPv2) для аутентификации. Это потребует изменений в SCCM.
Откройте ACL предварительной аутентификации, чтобы разрешить весь трафик, необходимый для сборки/пересборки. Это включает доступ к домену AD, сборке TFTP-серверов и любым другим сторонним системам, к которым осуществляется доступ во время процесса сборки. Размер этого ACL может оказать негативное влияние на TCAM коммутатора. Вариант 4 — это процесс, который я разработал и протестировал с командой SCCM клиента и который является самым динамичным из всех, с которыми я сталкивался. Схема процесса показана ниже. 
-
Привет, grgibbs опция 4, которую вы описываете, кажется действительно интересной Насколько я понимаю: - на этапе 3 вы используете что-то вроде уникальных учетных данных для аутентификации (PEAP с определенной учетной записью или, возможно, определенный сертификат по умолчанию в eap-tls), - а на этапе 4, после присоединения к домену AD, AD GPO продвигает типичную конфигурацию 802.1x (машина + пользователь), и если используется eap-tls, возможно, GPO автоматически регистрирует сертификаты? Я правильно все понял? Спасибо за полезный совет!
-
Правильно, Гийом. Этап 3 — это когда ПК впервые загружается из образа WinPE, начинает перечислять устройства и загружает драйверы. На этом этапе доступ к сети не требуется, пока ПК не нужно присоединиться к домену. Клиент добавил в SCCM новые шаги, которые копируют скрипты, необходимые для настройки суппликанта для PEAP-MSCHAPv2 со статическим именем пользователя/паролем (например, имя пользователя «pcbuild», пароль «password123») на этапе WinPE и выполняют скрипты перед шагом присоединения к домену на этапе 3. Мы рассмотрели возможность использования сертификатов и EAP-TLS, но для этого нам пришлось бы передать на ПК как сертификат, так и закрытый ключ, поэтому мы посчитали, что это не более безопасно и более сложно, чем использование PEAP. Вы можете аутентифицировать этого пользователя либо по учетной записи службы AD, либо по внутренней учетной записи пользователя сети ISE. При первоначальной загрузке в полную версию Windows (этап 4) GPO push происходит до первого входа пользователя в систему, после чего может быть выполнена конечная настройка supplicant (включая передачу сертификата компьютера и настройки EAP-TLS, если необходимо). Надеюсь, это поможет, Грег
-
Привет, grgibbs, Спасибо за ответ. Я изучил вариант 4 и порекомендовал его нашей группе по клиентским вычислениям. Они ответили, что добавление поддержки 802.1x в образ Windows PE не поддерживается Microsoft. Вы сталкивались с этой проблемой? Спасибо, Крейг
-
Привет, Крейг, Да, я слышал от других клиентов, что MS не поддерживает настройки, необходимые в SCCM для запуска 802.1x во время процесса сборки. Мне это кажется типичной реакцией MS, когда речь заходит о каких-либо настройках. Они не хотят брать на себя ответственность за поддержку того, что они не разрабатывали, что вполне понятно. Однако это не означает, что они вообще не будут поддерживать процесс сборки, если вы добавите один или несколько настраиваемых шагов. Возможно, вам просто придется отключить/удалить эти настраиваемые шаги, если в будущем вам понадобится поддержка MS. Поскольку MS еще не предложила лучшего решения (эта проблема существует уже много лет), клиент, с которым я работал, все же решил принять это решение.
-
Я нашел это в Интернете примерно в 2010-2012 годах. Я не являюсь администратором Windows, поэтому не уверен, что это работает. NetMan из Вестминстера: SCCM, WinPE и 802.1x http://wgsnetman.blogspot.co.uk/2010/06/sccm-winpe-and-8021x-directors-cut.html
-
Привет
[, @Greg Gibbs] Я просто хочу получить более подробную информацию о том, как работает вариант 3 (
предоставить портал «Build»)? Используется ли для регистрации MAC-адреса конечной точки портал mydevices? Мы уже используем BYOD, так как же мы можем отличить устройства BYOD от устройств, которым требуется переустановка ОС? -
Да, для этого будет использоваться тот же поток портала «Мои устройства», но с другим порталом. В более новых версиях ISE (по крайней мере, 2.2+) можно создать более одного портала «Мои устройства». Каждый из этих порталов можно настроить с использованием другого «удобного» полного доменного имени (например, mydevices.corp.com против build.corp.com), другой группы идентификаторов конечных точек, метода аутентификации и т. д. Однако вам может понадобиться сначала протестировать это, чтобы убедиться, что пользователь с конечной точкой BYOD и конечной точкой Build видит каждую конечную точку только в соответствующем портале.
-
Спасибо
, я попробую. @Greg Gibbs Я пытаюсь определить, какой вариант является самым простым для создания образа ПК без ручного вмешательства. Вариант 4 — внесение изменений в SCCM — кажется нам слишком сложным. А как насчет варианта 3 — использовать API для автоматического добавления MAC-адреса компьютера в группу конечных точек, а затем использовать политику MAB, чтобы разрешить доступ для переустановки для этой группы конечных точек? Использование портала будет неудобным, когда необходимо переустановить 30–50 устройств. Подойдет ли этот вариант? Вариант 5 — мы можем добавить tftp в ACL предварительной аутентификации, но клиент не готов разрешить доступ к AD, который будет открыт для всех. А нам нужно получить доступ к AD в конце процесса сборки, чтобы подключить компьютер к домену, получить сертификаты и т. д. -
Здравствуйте, мистер Гиббс, может быть, вы сможете помочь мне в этом старом вопросе.
Как вам удалось получить доступ к сети с помощью 802.1x PEAP на новом установленном клиенте Windows (после WinPE) во время первой перезагрузки? Сетевой адаптер очищается без конфигурации во время первой перезагрузки, когда Windows пытается связаться с DomainController для присоединения к домену. Поэтому присоединение к домену не удалось.
Нам удалось использовать профиль сетевого адаптера PEAP (MSCHAPv2) во время WinPE и последовательности задач, но мы не можем получить доступ к сети после успешной установки WinPE, потому что сетевой адаптер очищается во время первой перезагрузки. Без надлежащей аутентификации клиент не может подключиться к контроллеру домена. Спасибо.
С уважением. -
Это было давно, но, насколько я помню, эксперт по SCCM, с которым я работал, вставил шаг по настройке суппликанта непосредственно перед попыткой присоединения к домену. По-моему, скрипт включал в себя включение Wired Autoconfig, настройку суппликанта для PEAP и перезапуск интерфейса, чтобы заставить 802.1x заработать. Вам нужно будет тесно сотрудничать с вашим экспертом по SCCM, чтобы изучить пошаговый процесс и устранить любые проблемы. Если проблемы останутся (а никто другой здесь не имеет представления о том, как их решить), вам, возможно, понадобится помощь Microsoft. Это также было сделано с Win10 в то время, поэтому Win11 может потребовать дополнительных настроек, чтобы работать правильно. Кстати, большинство клиентов переходят на сборки с использованием Autopilot, для которых я разработал и проверил другое решение —
https://cs.co/ise-autopilot.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти