Cómo configurar la cadera para que faltan parches de Microsoft
Resolution
Resumen
Este documento explica cómo configurar hip check para los parches de Microsoft que faltan.
Nota: la versión de cliente GlobalProtect 1.2.7/2.2.1 se usó para las imágenes de abajo.
Pasos
- Configurar los criterios del agente de parches en el objeto hip:
- Ir al objeto > GlobalProtect > cadera objetos
- Haga clic en "Agregar nuevo objeto de cadera"
- Ir a gestión de parches
> criterios- Está instalado: esta casilla de verificación debe estar siempre activada. Esta opción no se utiliza para comprobar si se ha instalado patch.
- Check: este ajuste sólo se aplica a los parches enumerados en el cuadro siguiente. Por ejemplo, si se selecciona el criterio de comprobación "tiene-none", el objeto hip coincidirá cuando haya un informe de hip que no tenga ninguno de los parches enumerados en el cuadro parches.
- Parches: para comprobar los parches de Microsoft KB, añada el número (s) aquí. Esto se puede dejar en blanco. Fije "tiene-cualquiera" para la comprobación, así que la cadera emparejará si hay cualesquiera remiendos perdidos.
- Configurar el proveedor de administración de revisiones en el objeto HIP:
- Ir al objeto > GlobalProtect > cadera objetos
- Agregar nuevo objeto de cadera
- Ir a administración de parches > proveedor
- Configurar Perfil de cadera:
- Ir al objeto > GlobalProtect > perfiles de cadera
- Haga clic en agregar
- Configure el perfil de cadera haciendo clic en el botón "añadir criterios de coincidencia":
- Configurar la Directiva de seguridad y asignar Perfil de cadera
- Ir a políticas > seguridad
- Haga clic en agregar
- Ir a User > hip perfiles
- Seleccione el perfil de cadera configurado:
- Opcionalmente: configurar notificación de cadera
- Ir a la red > GlobalProtect > gateways > notificación de cadera
- Haga clic en agregar
- Seleccione el perfil de cadera y configure el mensaje de coincidencia y no coincida con las fichas de mensaje como sea necesario.
En el cliente GlobalProtect, vea la información de estado del host desde la ficha Estado de host:
en el cliente GlobalProtect, la información de la revisión que falta no aparece inmediatamente después de una instalación nueva. La información de la revisión que falta aparecerá después de una o dos horas.
Solución de problemas en el dispositivo cliente
- Compruebe la notificación de cadera (ver > notificación de cadera) para "coincidencia de mensaje" o "no coincidencia de mensaje".
- Cuando la configuración se modifica en el dispositivo Palo Alto Networks, trate de desactivar y activar GlobalProtect (archivo > desactivar, a continuación, archivo > activar) para la verificación.
Solución de problemas en el dispositivo Palo Alto Networks
Los siguientes comandos de CLI muestran la información de la cadera para un cliente en particular: (Nota: dirección IP: IP privada asignada por GlobalProtect Gateway)
> debug User-ID volcado hip-perfil-base de datos
> debug User-ID volcado hip-informe de usuario <user name=""> <computer name=""></computer> </user> IP del ordenador
Por ejemplo:
> Mostrar usuario actual global-proteger-gateway
Nombre del túnel: Gateway-SV-N
Domain-nombre de usuario: xxxxx
ordenador: xxxxxx
cliente: xxxxx
tipo VPN: nivel de dispositivo VPN
móvil ID:
IP privada: 172.23.60.7 <=== this="" ip="">
</===> público IP: 201.247.44.57
Los siguientes comandos de CLI muestran registros de depuración:
> debug User-ID conjunto hip
> debug User-ID en Debug
> cola siga sí mp-registro useridd.log
Vea los registros de tráfico y compruebe las entradas para las reglas configuradas con el perfil de cadera:
Propietario: ymiya * * beep * * a