Konfigurieren von Hüfte nach fehlenden Patches von Microsoft
Resolution
Übersicht
Dieses Dokument erklärt, wie man HIP-Check für fehlende Microsoft-Patches konfiguriert.
Hinweis: Globalprotect Client Version 1.2.7/2.2.1 wurde für die Screenshots unten verwendet.
Schritte
- Patchmanagent-Kriterien im Hüft Objekt konfigurieren:
- Gehen Sie zum Objekt > Globalprotect > Hüft Objekte
- Klicken Sie auf "neues Hüft Objekt HinzuFügen"
- Gehen Sie zu Patch Management >
Kriterien- Ist installiert: dieses Kästchen sollte immer eingeschaltet sein. Diese Option wird nicht verwendet, um zu überprüfen, ob Patch installiert ist.
- Check: Diese Einstellung wird nur auf die Patches angewendet, die in der Box unten aufgelistet sind. Zum Beispiel, wenn "have-none"-Prüfkriterien ausgewählt sind, wird das Hip-Objekt übereinstimmen, wenn es einen Hip-Report gibt, der keinen der Patches hat, die in Patches-Box aufgelistet sind.
- Patches: um Microsoft KB-Patches zu überprüfen, fügen Sie die Nummer (n) hier hinzu. Das kann man leer lassen. Setzen Sie "has-any" für den Check, so dass HIP passt, wenn es fehlende Patches gibt.
- Konfigurieren Sie Patch-Management-Anbieter in HIP-Objekt:
- Gehen Sie zum Objekt > Globalprotect > Hüft Objekte
- Neues Hüft Objekt HinzuFügen
- Gehen Sie zu Patch Management > Vendor
- HIP Profile konfigurieren:
- Zum Objekt > Globalprotect > Hüft profile
- Klicken Sie auf
- Konfigurieren Sie das Hüft Profil, indem Sie auf "Match Criteria HinzuFügen" klicken:
- SicherheitsRichtlinien konfigurieren und Hüft Profil zuweisen
- Gehen Sie zu Politik > Sicherheit
- Klicken Sie auf
- Gehen Sie zu User > Hip profile
- Wählen Sie das konfigurierte Hüft Profil:
- Optional: Hüft Meldung konfigurieren
- Gehen Sie zum Netzwerk > GlobalProtect > Gateways > HIP-Benachrichtigung
- Klicken Sie auf
- Wählen Sie das Hüft Profil aus und konfigurieren Sie die Match-Nachricht und passen Sie die Message Tabs nicht nach Bedarf an.
Auf dem Globalprotect-Client sehen Sie die Informationen des Host-Staates aus dem Tab des Host-Zustands:
auf dem globalprotect-Client erscheinen die fehlenden Patch-Informationen nicht unmittelbar nach einer neuen Installation. Die fehlenden Patch-Informationen werden nach ein bis zwei Stunden angezeigt.
FehlerBehebung auf Client-Gerät
- ÜberPrüfen Sie die Hüft Meldung (Ansicht > Hüft Meldung) für "Match Message" oder "nicht Match Message".
- Wenn die Konfiguration auf dem Palo Alto Networks-Gerät geändert wird, versuchen Sie, GlobalProtect (Datei > deaktivieren, dann Datei > Enable) für die Verifizierung zu deaktivieren und zu aktivieren.
FehlerBehebung auf dem Gerät von Palo Alto Networks
Die folgenden CLI-Befehle zeigen die Hüft Informationen für einen bestimmten Client an: (Anmerkung: IP-Adresse: Private IP, die von Globalprotect Gateway zugewiesen wird)
> Debug User-ID Dump Hip-profile-Datenbank
> Debug User-ID Dump Hip-Bericht IP- User- <user name="">Computer <computer name=""></computer> </user>
Zum Beispiel:
> zeigen die aktuellen globalen schützen Gateway Benutzer
Tunnel Name: Gateway-SV-N
Domain-Benutzername: xxxxx
Computer: xxxxxx
Client: xxxxx
VPN Typ: geräteEbene VPN
Mobile ID:
private IP: 172.23.60.7 <=== this="" ip="">
</===> Public IP: 201.247.44.57
Die folgenden CLI-Befehle zeigen Debug-Protokolle an:
> Debug User-ID setzen Hip all
> Benutzer-ID auf Debug
> tail folgen ja mp-Log useridd.log
Sehen Sie sich die Verkehrsprotokolle an und prüfen Sie die Einträge auf Regeln, die mit dem Hüft Profil konfiguriert sind:
Besitzer: ymiya * * Bleep * * a