Cómo configurar la cadera para que faltan parches de Microsoft

Resumen

Este documento explica cómo configurar hip check para los parches de Microsoft que faltan.

Nota: la versión de cliente GlobalProtect 1.2.7/2.2.1 se usó para las imágenes de abajo.

Pasos

1. Configurar los criterios del agente de parches en el objeto hip:
   1. Ir al objeto > GlobalProtect > cadera objetos
   2. Haga clic en "Agregar nuevo objeto de cadera"
   3. Ir a gestión de parches
      > criterios
      • Está instalado: esta casilla de verificación debe estar siempre activada. Esta opción no se utiliza para comprobar si se ha instalado patch.
      • Check: este ajuste sólo se aplica a los parches enumerados en el cuadro siguiente. Por ejemplo, si se selecciona el criterio de comprobación "tiene-none", el objeto hip coincidirá cuando haya un informe de hip que no tenga ninguno de los parches enumerados en el cuadro parches.
      • Parches: para comprobar los parches de Microsoft KB, añada el número (s) aquí. Esto se puede dejar en blanco. Fije "tiene-cualquiera" para la comprobación, así que la cadera emparejará si hay cualesquiera remiendos perdidos. 
2. Configurar el proveedor de administración de revisiones en el objeto HIP:
   1. Ir al objeto > GlobalProtect > cadera objetos
   2. Agregar nuevo objeto de cadera
   3. Ir a administración de parches > proveedor
      
3. Configurar Perfil de cadera:
   1. Ir al objeto > GlobalProtect > perfiles de cadera
   2. Haga clic en agregar
   3. Configure el perfil de cadera haciendo clic en el botón "añadir criterios de coincidencia":
      
4. Configurar la Directiva de seguridad y asignar Perfil de cadera
   1. Ir a políticas > seguridad
   2. Haga clic en agregar
   3. Ir a User > hip perfiles
   4. Seleccione el perfil de cadera configurado:
      
5. Opcionalmente: configurar notificación de cadera
   1. Ir a la red > GlobalProtect > gateways > notificación de cadera
   2. Haga clic en agregar
   3. Seleccione el perfil de cadera y configure el mensaje de coincidencia y no coincida con las fichas de mensaje como sea necesario.
      
      En el cliente GlobalProtect, vea la información de estado del host desde la ficha Estado de host:
      
      en el cliente GlobalProtect, la información de la revisión que falta no aparece inmediatamente después de una instalación nueva. La información de la revisión que falta aparecerá después de una o dos horas.

Solución de problemas en el dispositivo cliente

• Compruebe la notificación de cadera (ver > notificación de cadera) para "coincidencia de mensaje" o "no coincidencia de mensaje".
• Cuando la configuración se modifica en el dispositivo Palo Alto Networks, trate de desactivar y activar GlobalProtect (archivo > desactivar, a continuación, archivo > activar) para la verificación.

Solución de problemas en el dispositivo Palo Alto Networks

Los siguientes comandos de CLI muestran la información de la cadera para un cliente en particular: (Nota: dirección IP: IP privada asignada por GlobalProtect Gateway)

> debug User-ID volcado hip-perfil-base de datos

> debug User-ID volcado hip-informe de usuario <user name=""> <computer name=""></computer> </user> IP del ordenador

Por ejemplo:

&gt; Mostrar usuario actual global-proteger-gateway

Nombre del túnel: Gateway-SV-N
Domain-nombre de usuario: xxxxx
ordenador: xxxxxx
cliente: xxxxx
tipo VPN: nivel de dispositivo VPN
móvil ID:
IP privada: 172.23.60.7 <=== this="" ip="">
</===> público IP: 201.247.44.57

Los siguientes comandos de CLI muestran registros de depuración:

> debug User-ID conjunto hip

> debug User-ID en Debug

&gt; cola siga sí mp-registro useridd.log

Vea los registros de tráfico y compruebe las entradas para las reglas configuradas con el perfil de cadera:

Propietario: ymiya * * beep * * a