Konfigurieren von Hüfte nach fehlenden Patches von Microsoft

Übersicht

Dieses Dokument erklärt, wie man HIP-Check für fehlende Microsoft-Patches konfiguriert.

Hinweis: Globalprotect Client Version 1.2.7/2.2.1 wurde für die Screenshots unten verwendet.

Schritte

1. Patchmanagent-Kriterien im Hüft Objekt konfigurieren:
   1. Gehen Sie zum Objekt > Globalprotect > Hüft Objekte
   2. Klicken Sie auf "neues Hüft Objekt HinzuFügen"
   3. Gehen Sie zu Patch Management >
      Kriterien
      • Ist installiert: dieses Kästchen sollte immer eingeschaltet sein. Diese Option wird nicht verwendet, um zu überprüfen, ob Patch installiert ist.
      • Check: Diese Einstellung wird nur auf die Patches angewendet, die in der Box unten aufgelistet sind. Zum Beispiel, wenn "have-none"-Prüfkriterien ausgewählt sind, wird das Hip-Objekt übereinstimmen, wenn es einen Hip-Report gibt, der keinen der Patches hat, die in Patches-Box aufgelistet sind.
      • Patches: um Microsoft KB-Patches zu überprüfen, fügen Sie die Nummer (n) hier hinzu. Das kann man leer lassen. Setzen Sie "has-any" für den Check, so dass HIP passt, wenn es fehlende Patches gibt. 
2. Konfigurieren Sie Patch-Management-Anbieter in HIP-Objekt:
   1. Gehen Sie zum Objekt > Globalprotect > Hüft Objekte
   2. Neues Hüft Objekt HinzuFügen
   3. Gehen Sie zu Patch Management > Vendor
      
3. HIP Profile konfigurieren:
   1. Zum Objekt > Globalprotect > Hüft profile
   2. Klicken Sie auf
   3. Konfigurieren Sie das Hüft Profil, indem Sie auf "Match Criteria HinzuFügen" klicken:
      
4. SicherheitsRichtlinien konfigurieren und Hüft Profil zuweisen
   1. Gehen Sie zu Politik > Sicherheit
   2. Klicken Sie auf
   3. Gehen Sie zu User > Hip profile
   4. Wählen Sie das konfigurierte Hüft Profil:
      
5. Optional: Hüft Meldung konfigurieren
   1. Gehen Sie zum Netzwerk > GlobalProtect > Gateways > HIP-Benachrichtigung
   2. Klicken Sie auf
   3. Wählen Sie das Hüft Profil aus und konfigurieren Sie die Match-Nachricht und passen Sie die Message Tabs nicht nach Bedarf an.
      
      Auf dem Globalprotect-Client sehen Sie die Informationen des Host-Staates aus dem Tab des Host-Zustands:
      
      auf dem globalprotect-Client erscheinen die fehlenden Patch-Informationen nicht unmittelbar nach einer neuen Installation. Die fehlenden Patch-Informationen werden nach ein bis zwei Stunden angezeigt.

FehlerBehebung auf Client-Gerät

• ÜberPrüfen Sie die Hüft Meldung (Ansicht > Hüft Meldung) für "Match Message" oder "nicht Match Message".
• Wenn die Konfiguration auf dem Palo Alto Networks-Gerät geändert wird, versuchen Sie, GlobalProtect (Datei > deaktivieren, dann Datei > Enable) für die Verifizierung zu deaktivieren und zu aktivieren.

FehlerBehebung auf dem Gerät von Palo Alto Networks

Die folgenden CLI-Befehle zeigen die Hüft Informationen für einen bestimmten Client an: (Anmerkung: IP-Adresse: Private IP, die von Globalprotect Gateway zugewiesen wird)

> Debug User-ID Dump Hip-profile-Datenbank

> Debug User-ID Dump Hip-Bericht IP- User- <user name="">Computer <computer name=""></computer> </user>

Zum Beispiel:

> zeigen die aktuellen globalen schützen Gateway Benutzer

Tunnel Name: Gateway-SV-N
Domain-Benutzername: xxxxx
Computer: xxxxxx
Client: xxxxx
VPN Typ: geräteEbene VPN
Mobile ID:
private IP: 172.23.60.7 <=== this="" ip="">
</===> Public IP: 201.247.44.57

Die folgenden CLI-Befehle zeigen Debug-Protokolle an:

> Debug User-ID setzen Hip all

> Benutzer-ID auf Debug

> tail folgen ja mp-Log useridd.log

Sehen Sie sich die Verkehrsprotokolle an und prüfen Sie die Einträge auf Regeln, die mit dem Hüft Profil konfiguriert sind:

Besitzer: ymiya * * Bleep * * a