NAC Appliance (Cisco Clean Access): Configuración y Troubleshooting de las Actualizaciones de Definición de Antivirus Contenidos Introducción Prerrequisitos Requisitos Componentes Utilizados Convenciones Configure los Requisitos de la Actualización de Definición AV Reglas AV Verifique la Información de Soporte AV Cree una Regla AV Cree un Requisito de Actualización de la Definición AV Asigne el Requisito a las Reglas Aplique los Requisitos al Rol Valide los Requisitos Reglas de Cisco Verificaciones de Cisco Reglas Preconfiguradas de Cisco (“pr_”) Troubleshooting Cisco Clean Access No Actualiza la Definición AV para Clientes CCA No Detecta el AV

Introducción Este documento, describe cómo configurar y resolver problemas de requisitos de Actualización de la Definición del Antivirus (AV) en Cisco Network Admission Control (NAC) Appliance, anteriormente conocido como Cisco Clean Access.

Prerrequisitos Requisitos Este documento, asume que Cisco Clean Access, que incluye tanto Clean Access Manager (CAM) como Clean Access Server (CAS), está instalado y funciona correctamente.

Componentes Utilizados La información de este documento está basada en Cisco Clean Access 3.4 y posteriores. La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos utilizados en este documento se iniciaron con una configuración vacía (predeterminada).

Convenciones Consulte las Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones del documento.

Configure los Requisitos de Actualización de la Definición del AV El tipo de requisito de Actualización de Definición AV se puede utilizar para actualizar los archivos de definición en un cliente para productos soportados de antivirus. Si el cliente no cumple con el requisito AV, Clean Access Agent se comunica directamente con el software antivirus instalado en el cliente y automáticamente actualiza los archivos de definición cuando el usuario hace clic en el botón Update en el cuadro de diálogo Agent. Las Reglas AV incorporan lógica extensiva para 24 proveedores de antivirus y están asociadas con los requisitos de Actualización de la Definición AV. Para los requisitos de Actualización de la Definición AV, la configuración es similar a la de los requisitos personalizados, excepto que no hay necesidad de configurar verificaciones. Se asocian los requisitos de Actualización de la Definición AV con una o más Reglas

AV, roles de usuarios y sistemas operativos, y también se configuran las instrucciones del cuadro de diálogo Clean Access Agent que desea que el usuario vea si no se cumple el requisito AV. Nota: Si es posible, se recomienda utilizar las Reglas AV asignadas a los requisitos de Actualización de la Definición AV para verificar software antivirus en los clientes. En el caso de un producto AV no soportado, o si un producto AV o una versión no está disponible a través de las Reglas AV, siempre tiene la opción de utilizar pc_checks y pr_rules proporcionadas por Cisco para el proveedor de antivirus o de crear sus propias verificaciones, reglas y requisitos personalizados mediante Device Management > Clean Access > Clean Access Agent. Use New Check, New Rule y New File/Link/Local Check Requirement. Esta figura muestra el cuadro de diálogo Clean Access Agent que aparece cuando un cliente no cumple con un requisito de Actualización de la Definición AV.

Reglas AV Las Reglas AV son tipos de reglas preconfiguradas asignadas a la matriz de proveedores y productos mencionados en Supported AV Product List (Lista de productos AV soportados). No es necesario configurar verificaciones con este tipo de regla. Hay dos tipos básicos de Reglas AV: Reglas AV de Instalación: Estas reglas verifican si el software antivirus seleccionado está instalado para el OS del cliente. Reglas AV de Definición de Virus: Estas reglas verifican si los archivos de definición de virus están actualizados en el cliente. Las Reglas AV de Definición de Virus se pueden asignar a los requisitos de Actualización de la Definición AV para que el usuario que no cumple con el requisito pueda hacer clic en el botón Update en el Agent para ejecutar automáticamente la actualización. Las Reglas AV generalmente se asocian con los requisitos de Actualización de la Definición AV. Estos pasos son necesarios para crear los requisitos de la Actualización de Definición AV: 1. 2. 3. 4. 5. 6.

Verifique la Información de Soporte AV Cree una Regla AV Cree un Requisito de Actualización de la Definición AV Asigne el Requisito a las Reglas Aplique los Requisitos al Rol Valide los Requisitos

Verifique la Información de Soporte AV El Cisco NAC Appliance permite múltiples versiones de Clean Access Agent para ser usadas en la red. Nuevas actualizaciones al Agent proporcionan soporte para los productos antivirus más recientes a medida que se lanzan. El sistema elige el mejor método, ya sea Def Date o Def Version para ejecutar verificaciones de definición AV basadas en los productos AV disponibles y la versión del Agent. La página AV Support Info ofrece detalles sobre la compatibilidad con la última Supported AV Product List descargada al CAM. Esta página enumera la versión más reciente y la fecha de los archivos de definición para cada producto AV, así como la versión base del Agent necesaria para el soporte del producto. Puede comparar la información AV del cliente con la página AV Support Info para verificar que el archivo de definición que tiene el cliente sea el más reciente. Si ejecuta múltiples versiones del Agent en su red, esta página puede ayudar a resolver qué versión se debe ejecutar para soportar un producto en particular. Complete estos pasos para ver los detalles de soporte del Agent: 1. Seleccione Device Management > Clean Access > Clean Access Agent > Rules > AV/AS Support Info. 2. Seleccione Antivirus en el menú desplegable Category.

3. Seleccione Antivirus Vendor en el menú desplegable. 4. Seleccione Windows Vista/XP/2K o Windows 9x/ME en el menú desplegable Operating System para ver la información de soporte para esos sistemas de los clientes. Esto llena las tablas como se muestra: a. Minimum Agent Version Required to Support AV Products: muestra la versión mínima del Agent necesaria para soportar cada producto AV. Por ejemplo, un Agent 4.0.0.0 puede iniciar sesión en un rol que requiera AOL Safety and Security Center Virus Protection 1.x, pero para un Agent 3.6.0.0 o anterior, esta verificación no sirve. Tenga en cuenta que si una versión del Agent soporta ambas verificaciones, Def Date y Def Version, se utiliza la Def Version. b. Latest Virus Definition Version/Date for Selected Vendor: muestra la información de versión y fecha más recientes del producto AV. El software AV de un cliente actualizado debe mostrar los mismos valores. Nota: El Agent envía la información de su versión al CAM y el CAM siempre intenta utilizar primero la versión de definición de virus para verificaciones del AV. Si la versión no está disponible, en su lugar el CAM utiliza la fecha de definición de virus. Consejo: También puede ver la versión más reciente del archivo de definición al seleccionar un proveedor de AV en el formulario New AV Rule.

Cree una Regla AV Complete estos pasos para crear una Regla AV: 1. Asegúrese de tener la versión más reciente de la lista Supported AV/AS Product List. 2. Seleccione Device Management > Clean Access > Clean Access Agent > Rules > New AV Rule.

3. Escriba un nombre de la regla (Rule Name). Puede utilizar dígitos y guión bajo, pero no espacios en el nombre. 4. Seleccione un proveedor de antivirus en el menú desplegable Antivirus Vendor. Esto llena la tabla Checks for Selected Operating Systems al final de la página con los productos y las versiones de los productos soportados de este proveedor para el Sistema Operativo seleccionado.

5. En el menú desplegable Type, seleccione Installation o Virus Definition. Esto activa las casillas de verificación para las columnas Installation o Virus Definition correspondientes en la tabla. 6. Seleccione un Sistema Operativo en el menú desplegable Operating System, ya sea Windows Vista/XP/2K o Windows ME/98. Esto muestra las versiones del producto soportadas para este OS del cliente en la tabla. 7. Escriba una Rule Description (Descripción de la Regla) opcional. 8. En la tabla Checks for Selected Operating Systems, seleccione las versiones del producto que desea verificar en el cliente. Para ello, active una o más casillas de verificación en las columnas Installation o Virus Definition correspondientes. ANY significa que desea verificar cualquier producto y cualquier versión de este proveedor AV. Installation verifica que el producto esté instalado y Virus Definition verifica si los archivos de definición de virus están actualizados en el cliente para el producto especificado. 9. Haga clic en Add Rule. La nueva regla AV se agrega al final de la Rule List (Lista de Reglas) con el nombre que proporcionó.

Cree un Requisito de Actualización de la Definición AV Estos pasos muestran cómo crear un nuevo requisito de Actualización de la Definición AV para verificar el sistema del cliente para las versiones y productos AV especificados en una Regla AV asociada. Si los archivos de definición de antivirus del cliente no están actualizados, el usuario simplemente puede hacer clic en el botón Update en el Clean Access Agent, y el Agent hace que el software AV residente inicie su propio mecanismo de actualización. Tenga en cuenta que dicho mecanismo difiere para los distintos productos AV, por ejemplo, live updates versus parámetros de línea de comandos. 1. En la pestaña Clean Access Agent, haga clic en el link del submenú Requirements y luego en New Requirement.

2. Para Requirement Type (Tipo de Requisito), seleccione AV Definition Update (Actualización de Definición AV). 3. La opción Do not enforce requirement (No Forzar Requisito) que designa el requisito de Actualización de Definición AV como opcional está activada de forma predeterminada. Nota: Como el proceso de Windows Update se ejecuta en segundo plano, la opción Do not enforce requirement (No Forzar Requisito) está establecida de forma predeterminada para optimizar la experiencia del usuario. Se recomienda dejar este requisito como opcional si selecciona la opción Automatically download and install (Descargar e instalar automáticamente). Una actualización forzada de WSUS puede tardar bastante, y se inicia y ejecuta en segundo plano. 4. Seleccione la Prioridad (Priority) de ejecución para este requisito en el cliente. Una prioridad alta, como 1, significa que este requisito está activado en el sistema antes que otros requisitos y aparece en los cuadros de diálogo del Agent en ese orden. Tenga en cuenta que si un requisito obligatorio no se cumple, el Agent no continúa hasta que el requisito se cumpla. 5. Seleccione un Nombre de un Proveedor de Antivirus (Antivirus Vendor Name) en el menú desplegable. La tabla Products enumera todas las versiones de producto de definición de virus soportadas para cada OS (Sistema Operativo) de cliente. 6. Para el Nombre de Requisito (Requirement Name), escriba un nombre único que identifique este requisito de archivo de definición de AV en el Agent. Los usuarios pueden ver el nombre en los cuadros de diálogo de Clean Access Agent. 7. En el campo Description, escriba una descripción del requisito y las instrucciones para guiar a los usuarios que no cumplen con el

requisito. Para un requisito de Actualización de la Definición AV, debe incluir instrucciones para que los usuarios hagan clic en el botón Update y actualicen su sistema. Tenga en cuenta esta información: AV Definition Update muestra el botón Update en el Agent. AS Definition Update muestra el botón Update en el Agent. Windows Update muestra el botón Update en el Agent. 8. Active una o más casillas de verificación para establecer los Sistemas operativos (Operating Systems) para el requisito: Windows All Windows 2000 Windows ME Windows 98 Windows XP (All) or one or more of the specific Windows XP operating systems Windows Vista (All) or one or more of the specific Windows Vista operating systems 9. Haga clic en Add Requirement (Agregar requisito) para agregar el requisito a la Requirement List (Lista de Requisitos).

Asigne el Requisito a las Reglas Una vez que se crea el requisito y se especifican los links de corrección y las instrucciones, asigne el requisito a una regla o conjunto de reglas. Una asignación requisito-regla asocia el conjunto de reglas que verifica si el sistema cliente cumple con el requisito para la acción del requisito de usuario (botón Agent, instrucciones, links) necesaria para que el sistema cliente cumpla con él. 1. En la pestaña Clean Access Agent, haga clic en el submenú Requirements y luego abra el formulario Requirement-Rules.

2. En el menú Requirement Name, seleccione el requisito que desee asignar. 3. Verifique el sistema operativo para el requisito en el menú Operating System. La lista Rules for Selected Operating System se llena con todas las reglas disponibles para el OS seleccionado. 4. Para las Reglas de Definición de Virus AV (con fondo amarillo), de forma opcional, puede configurar el CAM para permitir que los archivos de definición en el cliente tengan algunos días de retraso respecto de lo que el CAM tiene disponible en Updates. Consulte Rules > AV-AS Support Info para las fechas de archivos de productos más recientes. Esto le permite configurar un rango de tolerancia en un requisito para que, si un proveedor no lanza ningún archivo nuevo de definición de virus, sus clientes aún puedan pasar el requisito. Para ello, complete estos pasos: a. Active la casilla de verificación AV Virus Definition rules, allow definition file to be x days older than. b. Escriba un número en el cuadro de texto. El valor predeterminado es 0, que indica que la fecha de definición no puede ser anterior a la fecha del archivo/sistema. c. Seleccione una de estas opciones: Latest file date: Esto permite que el archivo de definición del cliente sea anterior a la fecha más reciente de definición del virus en el CAM por la cantidad de días que usted especifique. Current system date: Esto permite que el archivo de definición del cliente sea anterior a la fecha del sistema de CAM cuando se realizó la última Actualización por la cantidad de días que usted especifique. 5. Desplácese hacia abajo en la página y active la casilla de verificación Select junto a cada regla que desee asociar con el requisito. Las

reglas se aplican en su orden de prioridad, como se describe en esta tabla:

6. Para Requirements met if (Requisitos cumplidos si), seleccione una de estas opciones: All selected rules succeed (Se cumplen todas las reglas seleccionadas): si se deben satisfacer todas las reglas para que se considere que el cliente cumple con el requisito Any selected rule succeeds (Se cumple cualquiera de las regla seleccionadas): si se debe satisfacer al menos una regla seleccionada para que se considere que el cliente cumple con el requisito No selected rule succeeds (Ninguna regla seleccionada se cumple): si no se debe cumplir con ninguna de las reglas seleccionadas para que se considere que el cliente cumple con el requisito Si los clientes no cumplen con el requisito, deben instalar el software asociado con el requisito o completar los pasos requeridos. 7. Haga clic en Update.

Aplique los Requisitos al Rol Una vez que los requisitos se hayan creado, configurado con pasos de corrección y asociado con reglas, se deben asignar a los roles de usuarios. Este paso aplica sus requisitos a los grupos de usuarios en el sistema. Nota: Asegúrese de haber creado previamente roles de usuario con inicio de sesión normal. 1. En la pestaña Clean Access Agent, haga clic en el link del submenú Role-Requirements.

2. En el menú Role Type (Tipo de Rol), seleccione el tipo de rol que desee configurar. En la mayoría de los casos, es Normal Login Role (Rol con Inicio de Sesión Normal). 3. Seleccione el nombre de rol en el menú User Role (Rol de Usuario). 4. Active la casilla de verificación Select para cada requisito que desee aplicar a los usuarios en el rol. 5. Haga clic en Update. 6. Antes de terminar, asegúrese de que se exige a los usuarios en el rol que utilicen el Clean Access Agent.

Valide los Requisitos El Clean Access Manager valida automáticamente los requisitos y las reglas a medida que se crean. La columna Validity en Device Management > Clean Access > Clean Access Agent > Requirements > Requirement List muestra la validez del requisito, de la siguiente manera: : El requisito es válido. : El requisito no es válido. Resalte este icono con el mouse para ver el mensaje de estado (status) de validez para este requisito. El

mensaje de estado indica qué regla y qué verificación provoca que el requisito no sea válido, en este formato: Invalid rule [rulename] in package [requirementname] (Rule verification error: Invalid check [checkname] in rule expression) Regla inválida [nombre de la regla] en el paquete [nombre del requisito] (Regla de verificación de error: Verificación inválida [nombre de la verificación] en regla de expresión)

El requisito debe corregirse y validarse antes de poder ser utilizado. Generalmente, los requisitos y las reglas se vuelven no válidos cuando hay una inconsistencia de sistema operativo. Para corregir un requisito no válido, complete estos pasos: 1. Seleccione Device Management > Clean Access > Clean Access Agent > Requirements > Requirement-Rules. 2. Corrija cualquier regla o verificación no válida. 3. Seleccione el Requirement Name (Nombre del Requisito) no válido en el menú desplegable. 4. Seleccione el Operating System (Sistema Operativo). 5. Asegúrese de que la expresión Requirement met if (Requisito cumplido si): esté correctamente configurada. 6. Asegúrese de que las reglas seleccionadas para el requisito sean válidas, es decir, que tengan una marca de verificación azul en la columna Validity (Validez).

Reglas de Cisco Una regla es una declaración condicional compuesta de una o más verificaciones. Una regla combina verificaciones con operadores lógicos para formar un enunciado booleano que pueda probar múltiples funciones del sistema cliente. El Cisco NAC Appliance ofrece un conjunto de reglas y verificaciones pre-configuradas mediante el link Updates. Las reglas pre-configuradas tienen un prefijo pr en sus nombres, como pr_AutoUpdateCheck_Rule. Consulte Reglas Preconfiguradas de Cisco ("pr_") para obtener más información.

Verificaciones (checks) de Cisco Una verificación es una declaración condicional que examina una función del sistema cliente, como un archivo, una llave de registro, un servicio o una aplicación. Las verificaciones pre-configuradas tienen un prefijo pc en sus nombres, como pc_Hotfix828035. Esta tabla, enumera los tipos de verificaciones disponibles y lo que verifican. Categoría de verificación

Tipo de verificación

Registry check

si existe o no una llave de registro valor de la llave de registro

File Check

si existe o no un archivo fecha de modificación o creación versión del archivo

Service check

si se ejecuta o no un servicio

Application check

si se ejecuta o no una aplicación

Reglas Preconfiguradas de Cisco (“pr_”) El Cisco NAC Appliance ofrece un conjunto de reglas y verificaciones pre-configuradas que se descargan al CAM a través de la página Updates en la consola web del CAM, en Device Management > Clean Access > Clean Access Agent > Updates. Las reglas pre-configuradas tienen un prefijo pr en sus nombres, por ejemplo pr_XP_Hotfixes y se pueden copiar para utilizarlas como una plantilla, pero no se pueden editar ni eliminar. Puede hacer clic en el botón Edit (Editar) en cualquier regla pr_ para ver la expresión de la regla que la define. La expresión para una regla pre-configurada está compuesta de verificaciones pre-configuradas, como pc_Hotfix835732, y operadores booleanos. La expresión para las reglas pre-configuradas se actualiza mediante Cisco Updates. Por ejemplo, cuando se lanzan nuevas revisiones (hotfixes) de Critical Windows OS para Windows XP, la regla pr_XP_Hotfixes se actualiza con las verificaciones de revisiones relacionadas. Las reglas pre-configuradas se enumeran en la lista Device Management > Clean Access > Clean Access Agent > Rules > Rule List. Las verificaciones pre-configuradas tienen un prefijo pc en sus nombres y se enumeran en la lista Device Management > Clean Access > Clean Access Agent > Rules > Check List. Nota: Las reglas pre-configuradas de Cisco están pensadas sólo para ofrecer soporte para revisiones Critical Windows OS.

Troubleshooting En esta sección, encontrará información que puede utilizar para resolver problemas de configuración.

Cisco Clean Access No Actualiza la Definición del AV para los Clientes Complete estos pasos para resolver este problema: 1. En el CAM, seleccione Device Management > Clean Access > Requirements > Requirement-Rules. 2. Anule la selección de las reglas pre-configuradas (pr_), si hubiere. 3. Seleccione las reglas AV adecuadas.

CCA No Detecta el AV Si sospecha que CCA no detecta o no reconoce algunas verificaciones AV, debe ejecutar la herramienta de diagnóstico OESIS en el cliente. Complete los siguientes pasos: 1. Habilite logging (registro). Consulte Activación Debug logging en el Clean Access Agent para obtener las instrucciones sobre cómo activar el debug de logging en el cliente. 2. Intente iniciar sesión. 3. Ejecute la herramienta de diagnóstico OESIS. 4. Deshabilite logging. Nota: Si puede obtener una exportación de la estructura de la llave de registro del producto AV, generalmente ubicado en HKLM\Software\, eso también es útil.

© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 27 Enero 2009 http://www.cisco.com/cisco/web/support/LA/10/106/106093_nac-av-definition.html