如何在Cisco ASA上阻止特定计算机与VPN连接？

Question

我们希望能够禁用中的计算机，并防止该计算机访问我们的VPN。

我有一个ASA VPN设置，思科安全桌面，和一个动态访问策略，以检查主机。AAA使用LDAP与活动目录对话。主身份验证是为用户进行的，计算机使用DAP进行二次身份验证设置。

我的第一个猜测是我可能要转到半径？如果我们有自动注册的域的企业证书颁发机构设置，我们可以检查计算机证书，但是我们没有，也不能。

还是有一种方法让ASA‘代理’做一些类似于Kerberos身份验证的事情，计算机将用AD来验证访问？

换句话说，是否有一台相当于用户AAA的计算机：

aaa-server AD-LDAP protocol ldap
aaa-server AD-LDAP (INSIDE) host AD-SERVER
ldap-base-dn OU=Users,OU=Dept,DC=company,DC=org
ldap-scope subtree
ldap-naming-attribute userPrincipalName
ldap-login-password *****
ldap-login-dn CN=vpn.service.account,OU=ServiceAccounts,OU=Users,OU=Dept,DC=company,DC=org

您可以在哪里将userPrincipalName更改为计算机CN和base-dn到计算机容器？

Answer 1

一般来说，如果您正在使用思科安全桌面，这将打开整个世界的选项，为您提供基于设备的限制。

就像我头顶上的一个例子，你可以做下面的事情。我还没有机会测试这个配置，但是在这个领域我看到了类似的配置。

1. 在AD中创建一个组织策略，创建特定的注册表项。称之为VPN -访问(例如)在将访问该虚拟专用网的每个桌面上。
2. 创建一个安全组并禁用第一个组策略的继承。在它的位置上，配置一个组策略，如果存在VPN访问注册表项，就删除它。
3. 放置所有的PC是不允许有VPN访问进入这个安全组。这一步将需要一些脚本肘部润滑脂，以确保您的“阻塞”PC被放入安全组的基础上，您选择的任何标准。
4. 在Cisco安全桌面中，让它评估注册表条目是否存在，如果不存在，则阻止访问。

这将只考虑允许“已知”PC进入VPN，以及允许您显式黑名单的个人电脑。

我相信还有其他方法可以做到这一点，而且这可能不是目前为止最好的方法。

其主旨是，一旦你已经支付了Anyconnect高级许可证，并部署了思科安全桌面，你只会受到你的聪明才智的限制，在什么样的“更好的鼠标陷阱”，你建立。

有关所有信息的更多信息，请参见惩教署行政指南。