Cisco Secure Client ISE ポスチャが機能し、想定どおりにネットワーク アクセスをブロックしている場合に、Cisco Secure Client UI の [ISE ポスチャ（ISE Posture）] タイルに [ISE ポスチャ：ポリシーサーバーを検索しています（System Scan: Searching for policy server）] と表示されます。Windows タスクマネージャまたは macOS システムログには、プロセスが実行中であると示される場合があります。サービスが実行されていない場合は、ISE ポスチャ UI の [ISE ポスチャ（ISE Posture）] タイルに [ISE ポスチャ：サービスは使用できません（System Scan: Service is unavailable）] と表示されます。

ネットワークを変更すると、検出フェーズが開始されます。Cisco Secure Client ISE ポスチャの場合、プライマリインターフェイスのデフォルトルートが変更された場合、エージェントが検出プロセスに戻ります。たとえば、WiFi およびプライマリ LAN が接続された場合、エージェントは検出をリスタートします。同様に、WiFi およびプライマリ LAN が接続されたものの、その後、WiFi の接続が解除された場合、エージェントは検出をリスタートしません。

また、「ISE ポスチャ」後、Cisco Secure Client UI の [ISE ポスチャ（ISE Posture）] タイルに次のステータスメッセージが表示される場合があります。

• [コンプライアンスモジュールのロードに失敗しました（Failed to load compliance module）]：コンプライアンスモジュールがロードされていない状態で、[ISE ポスチャ（ISE Posture）] > CLI プロンプトで state を入力すると返されます。

• [限定的または接続なし（Limited or no connectivity）]：接続がないため検出は発生していません。Cisco Secure Client ISE ポスチャエージェントは、ネットワーク上の不正なエンドポイントで検出を実行している可能性があります。

• [システムスキャンは現在の WiFi では不要（System scan not required on current WiFi）]：セキュアでない WiFi が検出されたため検出は発生していません。Cisco Secure Client ISE ポスチャエージェントは、LAN、ワイヤレス（802.1X 認証が使用されている場合）、および VPN でのみ検出を開始します。WiFi がセキュアでないか、またはエージェントプロファイルで OperateOnNonDot1XWireless を 1 に設定してこの機能を無効にしています。

• [不正なポリシー サーバ（Unauthorized policy server）]：ネットワーク アクセスが制限されているか存在しないため、ホストが ISE ネットワークのサーバ名ルールに一致していません。

• [Cisco Secure Client ダウンローダーが更新を実行しています…（The AnyConnect Downloader is performing update...）]：ダウンローダーが呼び出され、パッケージバージョンを比較し、Cisco Secure Client 設定をダウンロードし、必要なアップグレードを行います。

• [システムをスキャンしています...（Scanning System...）]：ウイルス対策/スパイウェア対策のセキュリティ製品のスキャンが開始されました。このプロセス中にネットワークが変更された場合、エージェントはログ ファイルの生成プロセスをリサイクルし、ステータスは [検出されたポリシー サーバなし（No policy server detected）] に戻ります。

• [Cisco Secure Client スキャンのバイパス（Bypassing AnyConnect scan）]：ネットワークは、Cisco NAC Agent を使用するように設定されています。

• [ユーザーによってキャンセルされた信頼できないポリシーサーバー（Untrusted Policy Server Cancelled by the user）]：Cisco Secure Client UI の [ISE ポスチャプリファレンス（System Scan Preferences）] タブで信頼できないサーバーへの接続のブロックを解除すると、ポップアップウィンドウに Cisco Secure Client ダウンローダーのセキュリティ警告が表示されます。この警告ページで [接続のキャンセル（Cancel Connection）] をクリックすると、[ISE ポスチャ（ISE Posture）] タイルがこのステータスに変わります。

  このメッセージは、[ISE ポスチャ（ISE Posture）] > CLI プロンプトで state を入力し、ポリシーサーバーが信頼できないと判断したときにも発生する可能性があります。

• [ネットワークの利用規定（Network Acceptable Use Policy）]：ネットワークへのアクセスには、アクセプタブル ユース ポリシーを確認し、受け入れる必要があります。ポリシーを拒否すると、ネットワーク アクセスが制限される可能性があります。

• [ネットワーク設定の更新（Updating Network Settings）]：ISE UI の [設定（Settings）] > [ポスチャ（Posture）] > [全般設定（General Settings）] では、ネットワーク遷移間で発生させる遅延の秒数を指定できます。

• [コンプライアンス非対応。更新時間の期限が切れました。（Not Compliant. Update time expired.）]：修復のために設定された時間の期限が切れました。

• [コンプライアンス対応。ネットワーク アクセスが許可されています。（Compliant. Network access allowed.）]：修復が完了しました。[Cisco Secure Client] > [スキャン概要（Scan Summary）] にも、ステータスが完了と示されます。

  このメッセージは、[ISE ポスチャ（ISE Posture）] > CLI プロンプトで state と入力し、ポリシーサーバーが信頼できると判断したときにも発生する可能性があります。

• [検出されたポリシー サーバなし（No policy server detected）]：ISE ネットワークが見つかりません。30 秒後、エージェントによるプローブは低下します。デフォルトのネットワーク アクセスが有効になります。

UI が制限されている Linux でスクリプトを実行している場合を除き、スクリプトの修復中に修復通知やユーザ通知のポップアップが表示されることがあります。スクリプトを正常に修復するには、AnyConnectLocalPolicy.xml にフィンガープリントが必要です。フィンガープリントを追加すると、スクリプト条件または修復が ISE で設定されているかどうかに関係なく、通常のポスチャフローでも検証されます。スクリプト修復に関する次のメッセージが表示される場合があります。

• スクリプトに無効なハッシュがあるため、修復を試行できません：ダウンロードされたスクリプトのハッシュが一致しない場合、またはポリシー署名の検証に失敗した場合に、このメッセージが ISE ポスチャ の詳細に表示されます。

• 実行しようとしているスクリプトはエラー終了します：スクリプトの終了コードがゼロ以外の場合、このメッセージが ISE ポスチャ の詳細に表示されます。Windows では、設定された実行ポリシーがスクリプトの実行を許可しない場合にも、このメッセージが表示されることがあります。

• スクリプトがタイムアウトしたため、修復に失敗しました：スクリプトが修復タイマーの終了時間よりも長くかかると、このメッセージが ISE ポスチャ の詳細に表示されます。スクリプトが修復タイマーの残り時間内に終了しない場合、Cisco Secure Client はスクリプトを停止し、修復失敗とマークします。

• 信頼できないサーバーに接続しているため、修復を実行できません：エンドポイントが信頼できない ISE サーバーに接続されている場合、このメッセージが Cisco Secure Client の詳細に表示されます。サーバー証明書が証明書ストアで信頼済みとマークされていないか、AnyConnectLocalPolicy.xml でフィンガープリントが設定されていません。ISE によって提示される証明書のフィンガープリントは、AnyConnectLocalPolicy.xml で設定されているフィンガープリントと一致する必要があります。

ポスチャ条件スクリプトを作成およびアップロードして、エンドポイントでポスチャチェックを実行できます。次のプラットフォームとスクリプトタイプがサポートされています。スクリプト条件を追加する設定の詳細については、『Cisco Identity Services Engine Administrator Guide』を参照してください。

• Windows：PowerShell script (.ps1)

• macOS：Shell script (.sh)

• Linux：Shell script (.sh)

macOS および Linux で管理者/ルートとして実行するように設定された修復スクリプトは、個別のルート環境で起動されます。$HOME やユーザー固有の $PATH などのユーザーセッション環境変数は継承されません。そのため、スクリプトでは使用しないでください。

Cisco Secure Client ISE ポスチャモジュールは、マルチホーミングをサポートしていません。これは、そのようなシナリオの動作が定義されていないためです。たとえば、メディアが有線からワイヤレスに変更された後で有線に戻ると、エンドポイントが実際には有線接続でリダイレクトされている場合でも、ユーザーには ISE ポスチャモジュールに準拠したポスチャステータスが表示されることがあります。

ISE ポスチャの場合、イベントはネイティブ オペレーティング システムのイベントログ（Windows イベントログビューアまたは macOS システムログ）に記録されます。

Secure Firewall ポスチャ の場合、エラーおよび警告は syslog（Windows 以外の場合）とイベントビューア（Windows の場合）に送信されます。使用可能なすべてのメッセージがログ ファイルに記録されます。

Secure Firewall ポスチャ モジュールコンポーネントは、オペレーティングシステム、特権レベル、および起動メカニズム（Web 起動または AnyConnect）に基づいて、ログに出力します。

• libcsd.log：Secure Firewall ポスチャ API を使用する Cisco Secure Client スレッドによって作成されます。ログ レベル設定に応じて、このログにデバッグのエントリが入力されます。

• cscan.log：スキャニング実行可能ファイル（cscan.exe）によって作成される、Secure Firewall ポスチャ のメインのログです。ログ レベル設定に応じて、このログにデバッグのエントリが入力されます。

ISE ポスチャの場合、イベントはインストールされた Cisco Secure Client バージョンの独自のサブフォルダに含まれているため、Cisco Secure Client イベントの他の部分から容易に分離できます。各ビューアでは、キーワードの検索およびフィルタリングが可能です。Web Agent イベントは、標準のアプリケーション ログに書き込まれます。

トラブルシューティングのために、ISE ポスチャ要件ポリシーとアセスメント レポートがイベント ログではなく、エンドポイントの別の難解化されたファイルに記録されます。一部のログ ファイル サイズ（aciseposture など）は、管理者がプロファイルに設定できますが、UI ログ サイズは事前に定義されています。

プロセスが異常終了したときは、他の Cisco Secure Client モジュールと同じように、常にミニダンプファイルが生成されます。

Secure Firewall ポスチャ の場合、ファイルはユーザーのホームフォルダの次のディレクトリにあります。

• （Windows 以外）：.cisco/posture/log

• （Windows）：C:\Users\<user_name>\AppData\Local\Cisco Secure Firewall ポスチャ\log\cscan.log

管理者は、ポスチャ プロファイルを作成し、ISE にアップロードするために、このスタンドアロン エディタを使用することを選択できます。それ以外の場合、組み込みのポスチャ プロファイル エディタが ISE UI の [ポリシー要素（Policy Elements）] に設定されます。Cisco Secure Client コンフィギュレーション エディタが ISE で起動すると、Cisco Secure Client ソフトウェアおよび関連するモジュール、プロファイル、OPSWAT、およびカスタマイズを備えた Cisco Secure Client 設定が作成されます。ISE ポスチャ用のスタンドアロン プロファイル エディタには、次のパラメータが含まれています。

• エージェントの動作

  • [署名チェックの有効化（Enable signature check）]：オンにすると、エージェントによって実行される前に実行可能ファイルの署名チェックが有効になります。

  • [ログファイルサイズ（Log file size）]：コンプライアンスモジュールのログファイルの最大サイズ。有効な値は 5 ～ 200 MB です。

  • [修復タイマー（Remediation timer）]：コンプライアンス非対応とタグ付けされるまでにユーザが修復に割くことができる時間。有効な値は 1 ～ 300 分です。

  • [自動DARTカウント（Automated DART Count）]：障害シナリオ時に収集する自動 DART バンドルの数を決定します。

  • [エージェント ログ トレースの有効化（Enable agent log trace）]：エージェントでのデバッグ ログを有効にします。

  • [非 802.1X ワイヤレス ネットワークでの動作（Operate on non-802.1X wireless networks）]：オンにすると、エージェントは非 802.1X ワイヤレス ネットワークで動作できます。

  • [ポスチャ非ダイレクトフローを有効にする（Enable posture non-direction flow）]：オフにすると、ポスチャ非リダイレクトフローが無効になります。無効にする前に、すべての NAD がリダイレクトをサポートしていることを確認してください。

  • [ステルスモードを有効にする（Enable Stealth Mode）]：ユーザによる設定なしにポスチャをサービスとして実行できるステルスモードを有効にするかどうかを選択します。

  • [通知によるステルスを有効にする（Enable Stealth With Notification）]：ステルスモードの通知が有効に設定されている場合、エンドユーザーは、Cisco Secure Client ステルスモードが非準拠の状態にある、ネットワークアクセスが制限されている、到達不能なサーバーなどがあるなどの場合でも通知メッセージを受け取ります。

  • [EDRインターネットチェックの無効化（Disable EDR Internet Check）]：エンドポイントにプロキシが設定されている場合、定義チェックの失敗が確認されます。エンドポイントにプロキシが設定されていると、Cortex XDR などの EDR 製品がインターネットに到達できなくなります。インターネットチェックをバイパスし、リアルタイム転送プロトコルチェックとエンドポイントおよび Endpoint Detection and Response（EDR）製品の定義チェックをスキップするには、このチェックボックスをクリックして [はい（Yes）] に設定します。

  • [再スキャンボタンを有効にする（Enable Rescan Button）]：障害発生後、手動修復後、ポスチャの動作不能時（など）に、ポスチャ（またはディスカバリ）を再起動する場合は、このボタンを有効にして、ISE ポスチャ タイルに [再度スキャン（Scan Again）] の選択が表示されるようにします。このオプションは、ISE ポスチャ プロファイルで表示または非表示にできます。[再度スキャン（Scan Again）] をクリックすると、ディスカバリが起動し、ポスチャ フロー全体が開始されます。

    （注）	[再度スキャン（Scan Again）] がタイルに表示されるのは、ポスチャ プロファイルで EnableRescan タグを 1 に設定している場合だけです。0 に設定すると、[再度スキャン（Scan Again）] ボタンが表示されるのは、それが（このオプションよりも先に）表示されていた場合だけです。

    （注）	ISE 側でプロファイルの変更が発生すると、次回ディスカバリが起動されるときに、その変更が Cisco Secure Client タイルに反映されます。

  • [UACポップアップを無効にする（Disable UAC Popup）]：ポリシー検証中に Windows ユーザ アカウント制御（UAC）ポップアップが表示されるかどうかを決定します。デフォルト値（オフ）では、エンド ユーザは引き続き接続時に管理者権限を求められます。有効にすると、ポリシーの検証中に Windows ユーザ アカウント制御（UAC）プロンプトが表示されません。UAC プロンプトをオフにすることによって、Secure Firewall ポスチャ は「管理者として実行（Run as administrator）」ではなく、特権昇格のシステム プロセスを使用します。UAC プロンプトを無効にする前に、ユーザにローカル管理者権限があるデバイスでポスチャ ポリシーを検証します。

  • [バックオフタイマーの制限（Backoff Timer Limit）]：Cisco Secure Client が ISE 検出のプローブを送信する最長時間を入力します。プローブによりトラフィックが増えるため、ネットワークの負荷にならない値を選択してください。

  • [定期的なプローブ間隔（Periodic Probe Interval）]：バックオフタイマー制限を超えた後の検出プローブ間隔を指定します。Cisco Secure Client は、有効な ISE サーバーが見つかるまで、指定された間隔で定期的なプローブを継続的に送信します。デフォルトでは 30 分で、プローブは、初回プローブの完了後、30 分間隔で継続的に送信されます。値を 0 に設定すると、定期的なプローブがディセーブルになります。

  • [ポスチャ状態同期間隔（Posture State Synchronization Interval）]：定期的なプローブを無効にするには、0 を入力します。有効範囲は 0 ～ 300 秒です。

  • [ポスチャ状態同期プローブリスト（Posture State Synchronization Probe List）]：検出フェーズ中に、エージェントはプローブをバックアップリストに送信して、ISE サーバーを検索します。デフォルトは値なしです。すべてのパケット スイッチ ネットワークをバックアップサーバーとして使用します。

  • [CWA/BYODプローブの最大時間（Maximum time for CWA/BYOD probing）]：中央 Web 認証（CWA）または個人所有デバイスの持ち込み（BYOD）フローが設定されている場合、エージェントは最大でこの秒数までパケット スイッチ ネットワークをプローブし、エンドユーザーがフローを完了したかどうかを判断します。完了すると、エージェントはポスチャフローを開始します。

  • [CWA/BYODプローブの間隔（Interval of CWA/BYOD probing）]：中央 Web 認証（CWA）または個人所有デバイスの持ち込み（BYOD）フローが設定されている場合、エージェントは CWA/BYOD フローが完了するか、最大時間に達するまで、この秒数の間パケット スイッチ ネットワークをプローブします。

• IP アドレスの変更

  最適なユーザ エクスペリエンスのため、次の値を推奨値に設定してください。

  • [VLAN検出間隔（VLAN detection interval）]：クライアント IP アドレスを更新する前にエージェントが VLAN 変更をチェックする間隔。有効な範囲は 0 ～ 900 秒で、推奨値は 5 秒です。0 に設定すると、VLAN 検出機能は無効になります。1 ～ 900 に設定すると、エージェントはインターネット制御メッセージプロトコル（ICMP）またはアドレス解決プロトコル（ARP）クエリを X 秒ごとに送信します。

  • [ping または ARP（Ping or ARP）]：IP アドレスの変更を検出する方法。ICMP を使用してポーリングする場合は Ping (0)、ARP を使用してポーリングする場合は Arp (1)、最初に ICMP を使用してポーリングする場合は Ping から Arp (2)、ICMP が失敗した場合は ARP の、いずれかの設定を選択します。デフォルトゲートウェイが ICMP パケットをブロックするように設定されている可能性があるため、ARP を使用してポーリングする設定を推奨します。

  • [ping の最大タイムアウト（Maximum timeout for ping）]：1 ～ 10 秒の ping タイムアウト。

  • [エージェント IP 更新の有効化（Enable agent IP refresh）]：VLAN 変更の検出を有効にする場合にオンにします。

  • [DHCP 更新遅延（DHCP renew delay）]：IP 更新後にエージェントが待機する秒数。[エージェント IP 更新の有効化（Enable Agent IP Refresh）] を有効にしたときに、この値を設定します。この値が 0 ではない場合、エージェントはこの予期される遷移中に IP を更新します。更新中に VPN が検出された場合、更新は無効です。有効な値は 0 ～ 60 秒で、推奨値は 5 秒です。この機能を無効にするには、パラメータを 0 に設定します。

  • [DHCP リリース遅延（DHCP release delay）]：エージェントによる IP 更新を遅延させる秒数。[エージェント IP 更新の有効化（Enable Agent IP Refresh）] を有効にしたときに、この値を設定します。この値が 0 ではない場合、エージェントはこの予期される遷移中に IP を更新します。更新中に VPN が検出された場合、更新は無効です。有効な値は 0 ～ 60 秒で、推奨値は 5 秒です。この機能を無効にするには、パラメータを 0 に設定します。

  • [ネットワーク遷移遅延（Network transition delay）]：計画された IP 変更を待機できるようにエージェントがネットワーク モニタリングを一時停止する期間（秒単位）。推奨値は 5 秒です。

• ポスチャ プロトコル

  • [ディスカバリホスト（Discovery host）]：リダイレクトベースのネットワークでポリシーサービスノードのディスカバリに使用されます。IP または FQDN を使用して、ネットワーク アクセス デバイスがリダイレクトを実行できるサーバーを決定します。スタンドアロン プロファイル エディタでは、1 つのホストのみを入力します。

  • [サーバー名ルール（Server name rules）]：エージェントが接続できるサーバーを定義する、ワイルドカード対応のカンマで区切られた名前のリスト（example1.cisco.com、.cisco.com など）。

  • [Call Homeリスト（Call Home List）]：ロードバランシング、ルックアップのモニタリングとトラブルシューティングに使用する IP または FQDN、またはそのノードでデフォルトのポリシーサービスノード（PSN）にマップする DNS の FQDN（複数シナリオの場合）を入力します。これを設定すると、ルックアップのモニタリングとトラブルシューティングついての最初のプローブは Call Home に送信されます。リダイレクト ネットワークから非リダイレクト ネットワークに移行するときにこれを設定する必要があります。

  • [PRA 再送信時間（PRA retransmission time）]：パッシブ再評価の通信障害が発生した場合に、このエージェントが再試行する間隔を指定します。有効な値の範囲は 60 ～ 3600 秒です。

  • [再送信遅延（Retransmission Delay）]：HTTP タスク (GET または POST) の実行に失敗した後、再試行するまでの待機時間を秒単位で指定します。有効な範囲は 5 ～ 300 秒で、デフォルトは 60 です。整数値のみを受け入れます。

  • [再送信制限（Retransmission Limit）]：HTTP タスク（GET または POST）の実行に失敗した後に、メッセージに許可される再試行回数を指定します。有効な範囲は 0 ～ 10 で、デフォルト値は 4 です。整数値のみを受け入れます。

Secure Firewall ポスチャ（以前の HostScan）および ISE ポスチャモジュールも、OPSWAT フレームワークを使用して、エンドポイントを保護します。

クライアントとヘッドエンドの両方を伴うこのフレームワークは、エンドポイント上のサードパーティ アプリケーションを評価するのに役立ちます。使用されている OPSWAT バージョンによって認識されるように、各ポスチャメソッドのサポートチャートが提供されます。チャートには、アプリケーションのリストの製品およびバージョン情報が含まれています。

ヘッドエンド（Cisco Secure Firewall ASA または ISE）とエンドポイント（Secure Firewall ポスチャ または ISE ポスチャ）との間にバージョン番号の不一致があるときは、ヘッドエンドのバージョンに合わせて、OPSWAT 準拠モジュールがアップグレードまたはダウングレードされます。これらのアップグレード/ダウングレードは必須であり、ヘッドエンドへの接続が確立されるとすぐにエンド ユーザの介入なしで自動的に実行されます。

Secure Firewall ポスチャ OPSWAT サポート

Secure Firewall ポスチャ のサポートチャートは Secure Firewall ポスチャ のパッケージバージョンに対応し、Cisco Secure Firewall ASA ヘッドエンドで機能するものを提供します。

Secure Firewall ポスチャ は、Cisco Secure Client メジャーリリースおよびメンテナンスリリースと連携するようにバージョン管理されます。ASDM で Secure Firewall ポスチャ パッケージを設定するときに、バージョンを指定します。[設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [セキュアデスクトップマネージャ（Secure Desktop Manager）] > [ホストスキャンイメージ（Host Scan Image）] の順に選択してください。

（注）	今後の ASDM リリースでは、このメニューパスは [設定（Configuration）] > [リモートアクセスVPN（Remote Access VPN）] > [ポスチャ（Posture）] になります ([Secure Firewall] > [ポスチャイメージ（Posture Image）] の場合は、HostScan の名前が変更されています。

Secure Firewall ポスチャ のガイドライン

• クライアントとヘッドエンドで使用されている OPSWAT のバージョンは、一致する必要があります。

• HostScan 4.3.x までの全バージョンが OPSWAT v2 を使用します。HostScan 4.6x 以降は、OPSWAT v4 を使用します。OPSWAT v3 は、HostScan のどのバージョンでもサポートされていません。

ISE ポスチャ OPSWAT サポート

「Cisco Secure Clientエージェント準拠モジュール」は、ISE ポスチャモジュール用です。

ISE エージェント準拠モジュールのバージョンには、基盤となる OPSWAT バージョンが反映されています。ISE ポスチャでは、OPSWAT バイナリは別個のインストーラにパッケージ化されています。OPSWAT ライブラリをローカル ファイル システムから ISE ヘッドエンドに手動でロードしたり、ISE 更新フィード URL を使用して直接取得するように ISE を設定したりできます。

Cisco Secure Client を ISE 2.1 以降とともに使用したときは、ISE 準拠モジュールに OPSWAT v3 または v4 のどちらを使用するかを選択できます。アンチマルウェアの設定は、[ワーク センター（Work Centers）] > [ポスチャ（Posture）] > [ポスチャ要素（Posture Elements）] > [条件（Conditions）] > [アンチマルウェア（Antimalware）] の ISE UI で行います。