Min virksomhed skal ofte oprette forbindelse til forskellige systemer for fjernarbejde. Nogle kræver, at vi bruger Cisco AnyConnect VPN i stedet for vores egen løsning. I mindst et år har vi fået den samme fejl hver gang, vi prøver at oprette forbindelse med det til stort set alle. “Dette Windows-enheds AntiMalware-løsning er ikke opdateret. Opdater venligst dine AntiMalware-definitioner til inden for 7 dage fra dags dato.”
Vi bruger Cisco Anyconnect Secure Mobility Client 4.9.06037
Vores antivirus er Sophos Endpoint Agent v 2023.1.2.3 og aktivt abonnement selvfølgelig, styret af Sophos Central med en masse valgfri moduler. Det er den nyeste version af Sophos.
Sophos-support siger, at Cisco må læse fra et sted, som Sophos ikke gemmer deres info, og der ikke er noget, de kan gøre. Jeg antog, det var WMI-databasen, men det eneste, jeg kunne verificere, var, at tilslutning til SecurityCenter2 med WBEMTEST-udstyret og kørsel af
Select * from AntivirusProduct
resulterede i, at Sophos-poster blev vist korrekt. Det registreres også fint i det nye Windows 10 Security Center. Ikke sikker på, om sidste definitiondato er en anden forespørgsel eller noget, men jeg kan ikke fixe det, da det bare er sådan, Sophos kører.
Så nu er vi på Cisco-siden af problemet. Er der nogen workaround for dette? Lige nu kører vi en blank, vanilje VM i Virtualbox med Cisco AnyConnect installeret og kun Windows Defender, fordi Cisco tilsyneladende mener, at det er så meget mere sikkert.
Velkommen til klubben! Jeg prøver at løse Sophos HostScan-detektionsproblem i et og et halvt år nu. Det virker nogle gange i en måned eller to, og så ændrer Sophos noget, og HostScan holder op med at detektere versionen igen. Man skal vente på, at Cisco integrerer den friske OPSWAT DLL i HostScan og opdaterer filerne.
Det er totale bøvl.
Nogle tips:
Forsøg at undgå denne mærkelige av-versiondetektion via HostScan. Det vil aldrig virke. Eller kun virke i nogle uger og så gå i stykker. Vi har flere TAC- og Sophos-sager og eskalationer til kontoteamet.
“Debug dap trace” er din ven.
Jeg var ikke for fin til at prøve brugerdefinerede detektioner med Registry eller LUA, fordi det er endnu mere tilpasset og mindre supporteret.
Sophos har for nylig tilføjet en switch i deres GUI til at udsætte versionopdateringer. Men cybersikringsteamet kan normalt ikke lide forsinkelser i AV-opdateringer, ikke sandt?
Jeg er ikke så fortrolig med HostScan. Jeg har ikke arbejdet i et Cisco-tyngde miljø i omkring 10 år. Du antyder, at der er en måde at køre Cisco AnyConnect VPN uden at HostScan scanner systemet?
Jeg tjekkede i det mindste, og vi udsætter ikke opdateringer og blokerer brugere for at gøre det i Sophos-UI. Så det er okay.
Hej Cisco, tillader mig at downloade noget simpelt, almindeligt, ikke-licenseret software uden supportkontrakt? Det er et mirakel. Jeg bør hente det og installere det, før de får det øje på.
Jeg kunne bestemt ikke få fat i Cisco AnyConnect VPN-klienten fra deres hjemmeside for at prøve at fejlfinde. Vi var nødt til at få den nyeste installer fra klienten selv. Jeg spekulerer på, om det faktisk ikke var den nyeste, og denne hostscan-ting også var forældet eller noget. Jeg vil tjekke.
EDIT: Jeg talte for tidligt. Det er PDF’en, der siger, hvad de understøtter. Det siger, at 2023.1.2.3 er på listen, men jeg kan ikke kontrollere, hvilken version han kører på sin bærbare, fordi den ikke er der. Den er ikke listet separat under installeret software. Kun disse 4:
Cisco AnyConnect Diagnostics and Reporting Tool
Cisco Systems, Inc.
4.9.06037
4. august 2023
Cisco AnyConnect ISE Compliance Module
Cisco Systems, Inc
4.3.2815.6145
4. august 2023
Cisco AnyConnect ISE Posture Module
Cisco Systems, Inc.
4.9.06037
4. august 2023
Cisco AnyConnect Secure Mobility Client
Cisco Systems, Inc.
4.9.06037
4. august 2023