BYOD -确认设备已获批准

Question

我们目前运行一个Cisco ASA 5510和RSA令牌来验证用户到我们的网络进行VPN访问。该公司正试图启动比亚迪，但希望确保个人电脑已经得到公司批准，然后才能进入我们的网络。这不是目前已经到位的东西，因为任何拥有RSA令牌和用户名/密码的人都可以在他们拥有的任何PC和VPN上安装cisco连接软件。

我们目前在网络中使用AD，ASA5510是为VPN连接服务的设备。

TL:DR，我们希望能够有效地识别用户PC，然后允许该PC (如果未经授权)通过VPN访问我们的网络。

Answer 1

有些基于代理的NACs不允许设备连接到网络，除非满足某些条件，例如：

1. 安装了某些其他软件，如AV
2. 用户是已批准的用户集的一部分。
3. 安全设置以某种方式配置。
4. 等。

这些都需要大量的管理和注册新设备可能有点麻烦，但这些类型的系统确实提供了你想要的东西。您说IBM系统需要太多的配置才能工作，我怀疑大多数配置都会遇到同样的问题。

有些没有代理的系统使用MAC、OS修补程序级别和WMI信息的组合来确定设备是否被允许，但它们的成功程度各不相同。我用过一种方法，效果很好，但它也需要很多的管理。