شناسایی ضدویروس پادویش در Cisco ISE

مساله

سیسکو ISE یا Cisco Identity Services Engine یکی از محصولات شرکت سیسکو است که به مدیر شبکه اجازه می‌دهد اتصال دستگاه‌ها به شبکه خود را طبق سیاست‌های تعریف شده تنظیم نماید. این محصول قابلیت تشخیص نصب بودن و آپدیت بودن ضدویروس روی دستگاه‌ها و اعمال سیاست برحسب این موضوع را دارد.

در این سند نحوه پیکربندی Cisco ISE برای تشخیص ضدویروس پادویش را می‌خوانید.

لطفا دقت نمایید که تشخیص نصب و فعال بودن ضدویروس از Cisco ISE 2.0 ممکن است، اما برای تشخیص آپدیت بودن ضدویروس لازم است از نسخه Cisco ISE 2.4 به بالا استفاده نمایید.

راهکار

جهت تشخیص ضدویروس لازم است تعداد قاعده در Cisco ISE بسازید. جهت این موضوع به بخش Policy > Policy Elements > Conditions مراجعه نموده و طبق دستورالعمل زیر شرایط را بسازید:

تشخیص نصب بودن

  1. File Condition
    Name: AV_Padvish_ServiceFile
    Description: Part of installation check
    Operating System: Windows All
    Compliance Module: Any version
    File Type: FileVersion
    File Path: ABSOLUTE_PATH
    File Path: C:\Program Files\Padvish AV\Apccsvc.exe
    Operator: LaterThan
    File Version: 2.5
  2. File Condition
    Name: AV_Padvish_ServiceFile_64
    Description: Part of installation check
    Operating System: Windows All
    Compliance Module: Any version
    File Type: FileVersion
    File Path: ABSOLUTE_PATH
    File Path: C:\Program Files (x86)\Padvish AV\Apccsvc.exe
    Operator: LaterThan
    File Version: 2.5
  3. File Condition
    Name: AV_Padvish_DrvSP
    Description: Part of installation check
    Operating System: Windows All
    Compliance Module: Any version
    File Type: FileExistence
    File Path: SYSTEM_ROOT
    File Path: system32\drivers\apsp.sys
    File Operator: Exists
  4. File Condition
    Name: AV_Padvish_DrvAVF
    Description: Part of installation check
    Operating System: Windows All
    Compliance Module: Any version
    File Type: FileExistence
    File Path: SYSTEM_ROOT
    File Path: system32\drivers\avf.sys
    File Operator: Exists
  5. Compound Condition
    Name: AV_Padvish_Installed
    Description: Padvish installation check
    Operating System: Windows All
    Compliance Module: Any version
    Condition: ( AV_Padvish_ServiceFile | AV_Padvish_ServiceFile_64 ) & AV_Padvish_DrvAVF & AV_Padvish_DrvSP

تشخیص فعال بودن

  1. Service Condition
    Name: AV_Padvish_ServiceRun
    Description: Part of activity check
    Operating System: Windows All
    Compliance Module: Any version
    Service Name: AmnPardazControlCenterWinService
    Service Operator: Running
  2. Service Condition
    Name: AV_Padvish_DriverRun
    Description: Part of activity check
    Operating System: Windows All
    Compliance Module: Any version
    Service Name: Amnpardaz Filter
    Service Operator: Running
  3. Compound Condition
    Name: AV_Padvish_Active
    Description: Padvish activity check
    Operating System: Windows All
    Compliance Module: Any version
    Condition: AV_Padvish_ServiceRun & AV_Padvish_DriverRun

تشخیص آپدیت بودن

جهت تشخیص آپدیت بودن ضدویروس نیاز به اپراتور Within دارید که در سیسکو ISE ورژن ۲.۴ به بالا پشتیبانی می‌شود.
  1. File Condition
    Name: AV_Padvish_UpdateFile
    Description: Part of update check
    Operating System: Windows All
    Compliance Module: Any version
    File Type: FileDate
    File Path: ABSOLUTE_PATH
    File Path: C:\Program Files\Padvish AV\apav_003.dat
    File Date Type: Modification Date
    Operator: Within
    File Version: 5
  2. File Condition
    Name: AV_Padvish_UpdateFile_64
    Description: Part of update check
    Operating System: Windows All
    Compliance Module: Any version
    File Type: FileDate
    File Path: ABSOLUTE_PATH
    File Path: C:\Program Files (x86)\Padvish AV\apav_003.dat
    File Date Type: Modification Date
    Operator: Within
    File Version: 5
  3. Compound Condition
    Name: AV_Padvish_Update
    Description: Padvish update check
    Operating System: Windows All
    Compliance Module: Any version
    Condition: AV_Padvish_UpdateFile | AV_Padvish_UpdateFile_64

  مقاله برای 6 نفر مفید بود.