LANDesk?LANDeskTrustedAccess?

(LANDesk)簡明使用手冊Revision8.8

目錄1LANDesk802.1x概述 3LANDesk802.1x作用范圍 3LANDesk802.1x工作流程 3注意事項 42配置 5RemediationServer（修補服務器）安裝配置 5遵從性策略設置 6在安全套件中配置基本信息 6配置設置 6發(fā)布網(wǎng)絡訪問控制設置 8LANDeskProxy安裝 9RadiusServer配置 11IAS配置 11ACSServer配置 27包含的LANDesk代理的配置 273交換機配置 284LANDesk802.1x使用 29未安裝LANDesk代理的客戶端 29安裝有LANDesk代理的客戶端 29驗證受管客戶端 305TroubleShooting 32不能正確執(zhí)行遵從性掃描。 32ACS管理界面不能正常使用 32LANDesk802.1xProxy服務器與ACS服務器共存下的注意事項 32附錄一認證協(xié)議簡析 33(一) 標準認證流程 33(二) 認證流程（英文原版） 33附錄二交換機配置參考 37(一) Cisco3560樣例 37

LANDesk概述LANDesk作用范圍要使用LANDesk，必須同時符合以下條件：基于Windows系統(tǒng)受管設備；網(wǎng)內交換機（路由器）必須支持；如使用動態(tài)IP地址分配，必須有3層交換機（路由器）或DHCP服務器LANDesk工作流程LANDesk安全準入（）簡單工作流程：裝有LANDesk客戶端的設備連接交換機，發(fā)送接入網(wǎng)絡請求。交換機向LANDeskProxy服務器發(fā)送接入網(wǎng)絡請求LANDeskProxy服務器驗證申請接入的PC已安裝LANDesk客戶端，且客戶端工作正常。LANDeskProxy服務器將PC的接入網(wǎng)絡請求轉發(fā)給Radius服務器。Radius服務器驗證PC提交的用戶名和口令，驗證通過后打開PC連接的端口接入成功注意事項如果網(wǎng)絡中使用靜態(tài)IP地址分配，需在客戶端本地的地址解析文件Hosts中必須加入相關服務器的地址解析條目。在測試環(huán)境中，一般將RadiusServer與LANDeskProxy安裝在同一臺計算機系統(tǒng)中（需要配置不同的端口），但如果出現(xiàn)問題，可以將其分開安裝在不同計算機上。

配置RemediationServer（修補服務器）安裝配置要設置為修補服務器的計算機必須符合下列系統(tǒng)要求修補服務器可以是任意類型的Web服務器。例如：Windows上的IIS或Linux上的Apache。必須有權限在修補服務器上創(chuàng)建一個Web共享，該Web共享具有匿名訪問權限并且啟用了讀取權限和瀏覽權限在確定網(wǎng)絡上的修補服務器的位置時，應遵從以下原則。修補服務器可以放在路由器的任意一側。如果選擇將修補服務器放在路由器的客戶端一側，則會更加安全，因為這樣不必在路由器規(guī)則中創(chuàng)建任何例外，但是在每次更改修補文件時，將必須手動將所有修補文件傳遞到計算機上。如果將修補服務器放在路由器的另一側，因為隔離計算機將訪問網(wǎng)絡上的計算機，所以可能存在安全風險，但是可以將修補文件推送到計算機上，而不必傳遞到計算機上。從隔離VLAN上必須可以看見修補服務器。網(wǎng)絡上可以包含多個修補服務器，但目前的版本（.249只支持一個代理同時只能選擇一個修補服務器）。運行修補服務器安裝配置腳本從作為修補服務器的計算機上，將某個驅動器映射到核心服務器的LDMain\Install\TrustedAccess\RemediationServer文件夾；然后雙擊此文件夾下CONFIGURE.REMEDIATION.SERVER.VBS安裝腳本；修補服務器配置腳本將自動配置執(zhí)行修補的RemediationServer，實現(xiàn)以下步驟：創(chuàng)建名為LDLogon的Web共享（通常）位于：c:\inetpub\wwwroot\LDLogon。啟用具有讀、寫和瀏覽權限的LDLogon共享匿名訪問。為.lrd文件添加新的MIME類型，然后將其設置為application/octet-stream(application/binary)。遵從性策略設置有兩種方式創(chuàng)建遵從性策略：創(chuàng)建用戶自定義在安全和修補程序管理器中，工具條上點擊“創(chuàng)建用戶自定義”功能鍵；點擊添加按鈕，選擇受影響的平臺、產品等信息；定義檢測條件，可以通過定義文件、注冊表設置或者自定義腳本來定義具體的策略條件；保存并確定，建立一用戶自定義；右鍵點擊此自定義的漏洞定義，選擇“添加到遵從性組”，成為一遵從性策略補丁添加到遵從性組選擇已確定的常規(guī)漏洞、間諜軟件或其它下載的定義；右鍵點擊此定義，選擇“添加到遵從性組”，將受管客戶端需要檢查的所選定義添加到遵從性組。在安全套件中配置基本信息配置設置1、在“安全和修補程序管理器”設置網(wǎng)絡訪問控制下，右鍵點擊“802.1x”，并選擇“配置802.1x”，2、進入配置設置頁面：3、選擇“修補服務器”，點擊“添加”，添加相應的修補服務器：4、選擇“Radius服務器”進行Radius服務器信息設置。在“代理安裝文件名”中填入合適的LANDeskProxy安裝文件名稱，以備安裝Proxy時使用。注意：若LANDeskProxy與Radius服務器在同一臺機器安裝，一定要確保此處的Radius服務器端口和Radius代理端口不同（例如配置成4001）。發(fā)布網(wǎng)絡訪問控制設置在“網(wǎng)絡訪問控制”分組的“802.1x”下，選擇右鍵菜單中“發(fā)布LANDeskNAC設置”，或在任何使用到配置的位置，均可找到“發(fā)布LANDeskNAC設置”菜單。向修補服務器發(fā)布來自核心服務器的修補基礎結構的重要資源。這些修補基礎結構資源包括：安全性客戶端（漏洞掃描器實用程序）；遵從性組中包含的漏洞關聯(lián)的修補程序；提供鏈接的HTML頁，這些鏈接允許最終用戶：安裝信任代理、執(zhí)行遵從性安全性掃描并修補檢測到的漏洞和其他安全問題。注意：必須先在“安全和修補程序管理器”中定義遵從性安全條件，同時下載所有相關的補丁，然后才能將其發(fā)布至服務器。LANDeskProxy安裝LANDesk802.1xProxy服務器的應用主要進行LANDesk客戶端代理的檢測及網(wǎng)絡身份驗證請求包的轉發(fā)。整個驗證過程利用LANDesk802.1xProxy服務器作為軟件組件與同RFC2865及RFC2869完全兼容的Radius服務器配合實現(xiàn)，從而可以實現(xiàn)對網(wǎng)絡設備安全準入的控制。安裝LANDesk802.1xProxy服務器的步驟操作參照如下：1）從核心服務器上拷貝c:\ProgramFiles\LANDesk\ManagementSuite\Install\Radius下的“文件名.msi”文件（備注：文件名為前一步驟配置設置”中生成Proxy安裝程序包中輸入的文件名）。2）在Proxy服務器上運行此文件“文件名.msi”，安裝LANDesk802.1xProxy服務器。3）檢查LANDesk802.1xProxy的安裝情況。安裝完成后，創(chuàng)建“LANDeskRadiusProxy”服務，通過該服務進行認證包的轉發(fā)及LANDesk客戶端代理檢查?；虼蜷_注冊表“HKLM\SOFTWARE\LANDesk\Radius”，檢查鍵值已建立，并符合設置，如下圖。注意：若在使用過程中要修改Proxy設置，也可直接在注冊表此處修改，而無須重新制作LANDeskProxy來安裝。RadiusServer配置IAS配置IAS安裝一：安裝IAS服務器在服務器上安裝IAS（InternetAuthenticationServer），可以通過Windows2003的安裝CD直接安裝IAS（備注：Radius協(xié)議目前僅在Windows2000和Windows2003上支持），選擇網(wǎng)絡服務-〉Internet驗證服務，出現(xiàn)如下圖所示的界面，按照提示進行安裝。二：配置和啟動Radius服務器上的遠程訪問服務先禁用Radius服務器上的ICF服務點擊控制面板-〉管理工具-〉路由和遠程訪問。右鍵點擊服務器，然后點擊配置并啟用路由和遠程訪問。打開路由和遠程訪問向導。點擊下一步。選擇自定義配置，然后點擊下一步。選擇撥號訪問，然后點擊下一步。點擊完成。根據(jù)提示，點擊是啟動服務。三：自定義遠程訪問服務（設置EAP為遠程服務優(yōu)先的驗證方式）在遠程和路由訪問工具頁中，右鍵點擊剛配置好的服務器，點擊屬性。在常規(guī)屬性頁，驗證是否選中遠程訪問服務器選項。在安全屬性頁-〉身份驗證方法屬性頁中，驗證選中可擴展的身份驗證協(xié)議（EAP）選項，驗證包含MD5質詢。點擊確定退出身份驗證方法對話框。點擊確定退出屬性對話框。創(chuàng)建遠程訪問策略對安裝有LANDesk代理的客戶端進行檢測及網(wǎng)絡身份認證之前，需要配置遠程訪問策略?？梢酝ㄟ^IAS工具或路由和遠程訪問工具進行遠程訪問策略的配置。一:創(chuàng)建遠程訪問策略 在遠程服務器模式下，右鍵點擊遠程訪問策略，然后點擊新建遠程訪問策略，打開新建遠程訪問策略向導。選則使用向導來設置普通情況下的典型的策略，輸入策略名，然后點擊下一步。（備注：輸入帶有說明意義的名稱可以更清楚地標示策略的含義，比如LTAEAP）在訪問方法頁中，選擇以太網(wǎng)，然后點擊下一步。選擇用戶作為訪問權限的范圍，然后點擊下一步。驗證選擇MD5－質詢類型，然后點擊下一步。點擊完成，創(chuàng)建遠程訪問策略。（系統(tǒng)自動把新建的Policy順序設置為1）二：配置遠程訪問策略同時支持有線及無線網(wǎng)絡右鍵點擊剛創(chuàng)建的新的遠程訪問策略，然后點擊屬性。（如上圖）選擇授予遠程訪問權限選項啟用無線網(wǎng)絡支持。點擊確定。配置/添加網(wǎng)絡交換機作為Radius客戶端現(xiàn)在需要添加網(wǎng)絡交換機作為Radius客戶端，從而進行客戶端檢測及網(wǎng)絡身份認證。進入Internet驗證服務在Internet驗證服務工具頁中，右鍵點擊RADIUS客戶端，然后點擊新建RADIUS客戶端，打開新建RADIUS客戶端向導。輸入Radius客戶端姓名及IP地址（添加交換機作為Radius客戶端），然后點擊下一步。通過添加交換機作為Radius客戶端，Radius服務器可以通過該交換機識別和處理網(wǎng)絡身份認證。配置/添加Proxy作為Radius客戶端右鍵點擊RADIUS客戶端，然后點擊新建RADIUS客戶端，打開新建RADIUS客戶端向導。輸入Radius客戶端姓名及IP地址（添加Proxy作為Radius客戶端），然后點擊下一步。點擊完成。啟用密碼還原策略編輯組策略啟用密碼還原策略在Radius服務器上創(chuàng)建用戶要對終端用戶進行身份驗證，首先需要在Radius服務器上創(chuàng)建用戶?？蛻舳思纯赏ㄟ^該用戶的用戶名和密碼進行網(wǎng)絡身份驗證，客戶端通過網(wǎng)絡身份驗證后，Radius服務器即下發(fā)與該用戶對應的訪問控制策略到NAS設備，從而允許該客戶端訪問企業(yè)內部網(wǎng)絡。對未通過驗證的客戶端，Radius服務器不下發(fā)對應的訪問控制策略，NAS設備重定向該客戶端到隔離VLAN?？梢酝ㄟ^服務器端的計算機管理工具執(zhí)行此任務。在Radius服務器上創(chuàng)建用戶在Radius服務器上，點擊開始-〉程序-〉管理工具-〉計算機管理。打開本地用戶和組，右鍵點擊用戶，然后點擊新用戶。輸入用戶名。輸入和確定密碼。基于下列規(guī)則配置密碼：不選用戶下次登錄時須更改密碼選擇用戶不能更改密碼選擇密碼永不過期確認不選擇帳戶已禁用點擊創(chuàng)建。終端用戶在這里輸入的用戶名和密碼作為用戶身份認證憑證進行基于的認證。該認證憑證會通過交換機轉發(fā)到Radius服務器，由Radius服務器判斷該設備是否屬于“授權”設備，賦予相應的網(wǎng)絡訪問權限。ACSServer配置見隨此手冊的附件《ACS準入配置手冊》包含的LANDesk代理的配置在LANDesk控制臺上，打開“代理配置”工具。在工具欄中，點擊“新建Windows配置”。在“代理配置”面板左面目錄樹中，選擇支持”，選中支持”。（備注：若從未在“安全和修補程序管理器”中設置過配置設置”，則所有支持設置”選項均為灰色，不可選。）繼續(xù)完成客戶端代理配置中其它功能組件的設置。點擊保存確定。現(xiàn)在即可為需要進行驗證的客戶端部署客戶端代理。交換機配置Cisco、華為、銳捷交換機型號及配置見附錄。

使用在客戶端設備接入啟用了的網(wǎng)絡時，LANDesk802.1x即開始發(fā)揮作用。未安裝LANDesk代理的客戶端對于未安裝LANDesk代理（啟用支持）的客戶端設備，會拒絕其接入正常網(wǎng)絡中。直到此客戶端機器安裝了LANDesk代理，才會開始進行下一節(jié)中的所述的身份驗證。安裝有LANDesk代理的客戶端當配置了LANDesk802.1X身份驗證的受管設備嘗試連接到網(wǎng)絡時，系統(tǒng)會顯示一個提示，要求提供用戶名和密碼。最終用戶必須鍵入正確的登錄信息（該信息與LANDeskEAP數(shù)據(jù)一起發(fā)送到Radius服務器），才能在設備上運行遵從性安全掃描。遵從性安全掃描可根據(jù)自定義的安全策略（即發(fā)布到修補服務器上的安全策略）確定設備是健全還是不健全。如果掃描的設備是健全設備（符合安全策略），則授予它訪問企業(yè)網(wǎng)絡的權限。如果掃描的設備是不健全設備（不符合安全策略），則將其置于隔離網(wǎng)絡以進行修補和重新掃描。此時會自動在客戶端桌面上建立一個修復的快捷方式，用戶雙擊此快捷方式，即可進行修復操作。驗證受管客戶端在任何時候，客戶端用戶均可手動重置802.1X以進行身份驗證。即手動重置局域網(wǎng)卡，以便強制進行身份驗證嘗試。在受管設備上，單擊“開始|LANDeskManagement|802.1X重置”。在LANDesk控制臺上，可進行定期遵從性掃描的設置。在“安全和修補程序管理器”的目錄樹中，選擇“設置遵從性”，在右鍵菜單中選擇“新建”進行遵從性掃描設置建立。建立遵從性掃描任務，并計劃執(zhí)行。

TroubleShooting不能正確執(zhí)行遵從性掃描。檢查創(chuàng)建的遵從性設置是否設置為默認值。ACS管理界面不能正常使用檢查ACS服務器是否安裝了Java運行環(huán)境。LANDesk802.1xProxy服務器與ACS服務器共存下的注意事項LANDesk802.1xProxy服務器與RadiusServer可以安裝在同一臺服務器中，由于兩者都需要配置認證端口，缺省情況下，RadiusServer認證端口是1812及1813。在兩者共存情況下，需要保證不會出現(xiàn)端口沖突的情況。

附錄一認證協(xié)議簡析認證流程客戶端向認證系統(tǒng)發(fā)送EAPOL-Start數(shù)據(jù)包發(fā)起認證。認證系統(tǒng)向客戶端發(fā)送EAP-Request/Identity數(shù)據(jù)包，請求客戶端發(fā)送身份標示。客戶端接收到認證系統(tǒng)發(fā)來的EAP-Request/Identity后，發(fā)送包含身份標示信息（用戶名）的EAP-Response-Identity數(shù)據(jù)包。認證系統(tǒng)接收到客戶端發(fā)送的EAP-Response/Identity后，查詢用戶名，如果驗證成功，繼續(xù)，否則返回錯誤信息，客戶端執(zhí)行步驟11。認證系統(tǒng)向客戶端發(fā)送EAP-Request/Md5-Challenge數(shù)據(jù)包，數(shù)據(jù)包中包含客戶端進行Md5加密時所需的16字節(jié)Md5-Challenge?？蛻舳私邮盏秸J證系統(tǒng)發(fā)送的EAP-Request/Md5-Challenge，從中取出所需要的Md5-Challenge字段和Id字段，結合密碼，運算得到16字節(jié)的加密結果，用于合成EAP-Response/Md5-Challenge數(shù)據(jù)包。合成完畢，發(fā)送數(shù)據(jù)包。認證系統(tǒng)接收到客戶端發(fā)送的EAP-Response/Md5-Challenge，進行驗證，如果通過，則繼續(xù)，否則返回錯誤信息，執(zhí)行步驟11。認證系統(tǒng)向客戶端發(fā)送EAP-Success數(shù)據(jù)包，同時將Port狀態(tài)置為Enable，客戶端所在的電腦就此得到上網(wǎng)權限。認證系統(tǒng)每隔一段時間主動向客戶端發(fā)送EAP-Keepalive數(shù)據(jù)包。客戶端接收到EAP-Keepalive數(shù)據(jù)包后（與EAP-Request/Identity數(shù)據(jù)包內容相同），客戶端執(zhí)行步驟3，完成連接的保持工作。重復步驟10。接收到錯誤信息，發(fā)送EAP－Logoff數(shù)據(jù)包，中止認證。認證流程（英文原版）ArchitectureanddesignLTA802.1xsolutioniscomposedofthreeprimaryelements:Asupplicantplug-inforcreateLTAauthenticationpacketforthesupplicant.ARADIUSproxyforforwardingandfilteringauthenticationtrafficlogicallyresidesbetweenauthenticatorandRADIUSserver.ThisproxywillblockauthenticationpacketthatisnotgeneratedbyLTAsupplicant.Remediationserverisarepositoryforquarantinedsupplicantperformsautomatedrepairwork.Therearetwotermsspecialtothisdocument.LtaEap:AcomponentdevelopedbyLANDeskplugsintosupplicanttogenerateauthenticationpackets.LtaEapispartofsupplicant.LtaProxy:AcomponentdevelopedbyLANDesklogicallyresidesbetweenauthenticatorandRADIUSserver.Itforwardsandfiltersauthenticationpackets.TheauthenticationpacketthatisnotgeneratedbyLtaEapwillbedroppedandauthenticationprocesswillfail.LtaProxycanphysicallycoexistwithRADIUSserver.MicrosoftInternetInformationServices(IIS)sideLtaEapplug-incanperformthesamefunctionasLtaProxy.HoweverRADIUSserversideLtaEaponlyworksforIIS.TheauthenticationmethodusedinLTA802.1xisMD5challenge-response.ThesupplicantinWindowsplatformsisRASconnectionmanager.Sometimeinthisdocument,italsomeansclient.TheworkflowofLTA802.1xsolution:AuthenticatorsendsanEAP-Request/Identitypackettothesupplicantwhenitdetectsthelinkisactive(e.g.,themachineisturnonornetworkcableisplugin)orre-authenticationtimeoutisexpired.ThesupplicantasksloginnameandpasswordandsendsEAP-Response/Identitypackettotheauthenticator,whichisthenrepackagedtoRADIUSpacketandpassedontotheLtaProxy.LtaProxyforwardsthepackettotheRADIUserver.TheRADIUSserversendsbackaRADIUSchallengepackettotheLtaProxy,whichisforwardedtotheauthenticator.TheauthenticatorunpacksthepacketandrepackagesitintoEAPOLandsendsittothesupplicant.Whenreceiveschallengefromtheauthenticator,thesupplicantcallsLtaEaptobuildaLTAchallengeresponsepacket.Whenbeingcalled,LtaEapchecksifLANDeskagentisinstalledandfunctioning.LtaEapalsochecksthecomplianceresultofmostrecentscanistimelyvalidandhealthy.Ifchecksarepassed,LtaEapbuildachallengeresponsepacketthatsupplicantsendstoauthenticator.Ifchecksarefailed,LtaEaprefusebuildingthepacket,whichcausesauthenticationprocessfailed.WhenauthenticatorreceivesEAPOLchallengeresponsepacketfromsupplicant,itrepackagesthepacketintoRADIUSchallengeresponsepacketandsendstoLtaProxy.LtaProxyexaminesthepacketifitisbuiltbyLtaEap.IfthepacketisbuiltbyLtaEap,thepacketisforwardedtoRADIUSserver.Ifitisnot,LtaProxysendsaRADIUSfailurepackettoauthenticatortofailtheauthenticationprocess.RADIUSserververifieschallengeresponsefromsupplicant.TheRADIUSserversendsoutasuccessorfailurepacketdependsonifresponseiscorrect.ThispacketisforwardedtoauthenticatorbyLtaProxy.TheauthenticatoropenstheportforsupplicantifthepacketfromRADIUSserverissuccess.TheauthenticatorblockstheportorswitchsupplicanttoaparticularvirtualLAN(GuestVLan)dependsonhow802.1xconfiguredonthatport.IfauthenticationprocessfailedandauthenticatorsupportsandisconfiguredforGuestVLAN,thesupplicantwillbequarantinedinquarantinenetwork.Ifthesupplicantisquarantinedbecauseofsupplyingincorrectcredential,thesupplicantcanrestartauthenticationprocess.IfthesupplicantisquarantinedbecauseoffailureofLtaEapchecks,itmustrepairitselfinquarantinenetworktomeetLtaEaprequirements,andthenrestartauthenticationprocess;otherwiseanyrestartofauthenticationprocesswillresultinfailureandputsupplicantbackinquarantinenetworkagain.Remediationforsupplicantsinquarantinenetworkperformsrepairusingremediationserverinquarantinenetwork.Inaboveworkflow,healthycompliancescanisperformedbyvulscanthatisacomponentofLANDeskPatchManager.LTA802.1xsolutionutilizesLANDeskPatchManagertoenforcehealthypolices.Figure1:LTA802.1xsolutionTheredarrowlinefromswitchtoquarantineVLANinfigure1denotesdirectingsupplicantstoGuestVLANwhenauthenticationprocessfailed.HoweveritisonlymeaningfuliftheswitchsupportGuestVLAN.IftheswitchdoesnotsupportGuestVLAN,therepairworkcannotbeautomatedbyclicklinksinunhealthyWEBpageinquarantinenetworkwithLTA802.1xsolution.IfasupplicantdoesnothavingLANDeskagentinstalled,itcannotmake802.1xconfiguredportopenevenifitprovidescorrectcredential.Ifaswitchdoesnotsupport802.1x,aclientcanconnecttocorporatenetworkthroughthatswitchaslongasnetworkcableplugin.ClientenddesignandsetupLTA802.1xclientendhasthesecomponents.LtaEap.dll:RequiresWindows2000SP4orlaterplatforms.LtaEap.dllplugsintoRASmanager.Itwillloadatsystemstartup.ThereforeinstallationorupgradeofLtaEap.dllrequiresasystemreboot.Whenauthenticationfailsorsupplicantdoesnotmeetagent/healthychecks,LtaEap.dllwillpreparequarantineIPnetworkconfigurationanddisablefollowingloginpromptscausedbyEAP-Request/Identityfromauthenticator.Vulscan.exe:AcomponentfromLANDeskPatchManagement.ItperformshealthyscanusingrulesanddefinitionsconfiguredwithLANDeskPatchManagerandstoredatthecoreorremediationserver.Forthepurposeofhealthyscan,whenincorporatenetwork,itmustrunwith/compliance2commandswitch.Wheninquarantinenetwork,itmustrunwith/agentbehaviorfile=<path>,/complianceand/coreserver=<nameorIP>commandswitches.ThescanresultisstorelocallyforLtaEap.dlltocheck.NicRestart.exe:RestartsNICorWindowswirelessconfigurationservice.IfrestartNIC,switchportwilldetectlinkdownandupand,inresponse,sendingoutEAP-Request/Identitypacket.Ifrestartwirelessservice,thesupplicantwillsendoutEAPOL/StarttoauthenticatorandauthenticatorwillreplywithsendingoutEAP-Request/Identity.Inbothcase,anewprocessofauthenticationwillbetriggedtostart.ThedifferencebetweenrestartNICandtheserviceisthatwhenrestartNIC,thenewIPconfigurationwillbeloadedintosystem.ClientendworkflowWhenauthenticationfailsorsupplicantcannotpassagent/healthychecks,LtaEap.dllsavescurrentIPconfiguration,setupquarantineIPconfiguration,blocksfurtherEAPOL/StartandEAP-Request/IdentityandthenletsystemreloadnewIPconfigurationbyrunningNicRestart.exe/q/noui.WhenVulscan.exefinisheshealthycompliancescanineithercorporatenetworkorquarantinenetworkandstoresthescanresultlocally,itwillrunNicRestart.exe/r/vc=<numberofvulnerability>.NicRestart.exewillreacttothiscalldifferentlydependingonthenumberofvulnerabilitypassedinandsupplicant’scurrentstate.Ifthenumberofvulnerabilityiszeroandsupplicantisnotinquarantinestateornumberofvulnerabilityisnotzeroandsupplicantisinquarantinestate,NicReStart.exewillnottriggeranauthenticationprocessandthesupplicantwillremaininthesamestate.Ifvulnerabilityiszeroandsupplicantisinquarantinenetwork,NicRestart.exewillrestoresavedIPconfiguration,enableEAPOL/StartandEAP-Request/IdentityandrestartNICtoletsystemloadrestoredIPconfigurationandtriggeranewauthenticationprocesstomakesupplicantgoesoutofquarantinenetworkandcomesbacktocorporatenetworkaftersupplypropercredential.Ifvulnerabilityisgreaterthanzeroandsupplicantisincorporatenetwork,NicRestart.exewillrestartwirelessconfigurationservicetotriggeranewauthenticationprocessthatwillresultinputsupplicantintoquarantinenetwork.

附錄二交換機配置參考Cisco3560樣例Buildingconfiguration...Currentconfiguration:2089bytes!noservicepadservicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnameSwitch!usernamelandeskaaanew-model a