セキュリティ : Cisco NAC アプライアンス(Clean Access)

NAC アプライアンス(Cisco Clean Access): アンチウイルス定義アップデートの設定とトラブルシューティング

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料に以前 Cisco Clean Access として知られている Cisco Network Admission Control (NAC)アプライアンスのウイルス対策(AV)定義 アップデート必要条件を、設定し解決する方法を記述されています。

前提条件

要件

この資料は Clean Access Manager (CAM)および Clean Access サーバ両方(CAS)が含まれている Cisco Clean Access がインストールされています仮定し、ときちんとはたらきます。

使用するコンポーネント

この文書に記載されている情報は Cisco Clean Access 3.4 およびそれ以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

AV 定義 アップデート必要条件を設定して下さい

AV 定義 アップデート 要件型はサポートされたウイルス対策製品のためのクライアントの定義ファイルをアップデートするために使用することができます。 AV 要件を満たしクライアントが損う場合 Clean Access エージェントはクライアントのインストール済みアンチウィルスソフトウェアとユーザがエージェント ダイアログの Update ボタンをクリックするとき直接交信し、自動的に定義ファイルをアップデートします。

AV ルールは 24 人のウイルス対策ベンダー用の広範なロジックを組み込み、AV 定義 アップデート必要条件と関連付けられます。 AV 定義 アップデート必要条件に関しては、設定はチェックを設定する必要がない以外、カスタム必要条件のそれに類似したです。 1つ以上の AV ルール、ユーザの役割およびオペレーティング システムによって AV 定義 アップデート必要条件を関連付け、またユーザに AV 要件は失敗したかどうか見てほしい Clean Access エージェント ダイアログ手順を設定します。

注: 可能な限りクライアントのアンチウィルスソフトウェアをチェックすることを AV 定義 アップデート必要条件にマッピング される AV ルールを使用することを推奨します。 サポートされていない AV 製品、か AV 製品かバージョンが利用可能 で はない直通 AV ルールでなければ、ウイルス対策ベンダー用に Cisco を提供しました pc_checks および pr_rules を使用するか、またはデバイス管理 > Clean Access > Clean Access エージェントを通して自身のカスタム チェック、ルールおよび必要条件の場合には作成するオプションが常にあります。 新しいチェック、新しいルールおよび新しいファイル/リンク/ローカル チェック 要件を使用して下さい。

この図は AV 定義 アップデート 要件を満たしクライアントが損うと現われる Clean Access エージェント ダイアログを示します。

/image/gif/paws/97868/nac-av-definition-1.gif

AV ルール

AV ルールはサポートされた AV 製品リストでソースをたどられるベンダーおよび製品の行列にマッピング される前もって構成された規則の種類です。 ルールのこの型でチェックを設定する必要がありません。

AV ルールには 2 つの基本的なタイプがあります:

  • インストール AV ルール—このルールは指定アンチウィルスソフトウェアがクライアント OS のためにインストールされているかどうか確認します。

  • ウイルス定義 AV ルール—このルールはウイルス定義ファイルがクライアントで最新であるかどうか確認します。 ウイルス定義 AV ルールは AV 定義 アップデート要件に要件失敗する自動的にアップデートを実行するためにユーザがエージェントの Update ボタンをクリックできるようにマッピング することができます。

AV ルールは AV 定義 アップデート必要条件と一般的に関連付けられます。 これらのステップが AV 定義 アップデート必要条件を作成するために必要となります:

  1. AV サポート情報を確認して下さい

  2. AV ルールを作成して下さい

  3. AV 定義 アップデート 要件を作成して下さい

  4. ルールに要件をマッピング して下さい

  5. ロールに必要条件を適用して下さい

  6. 必要条件を検証して下さい

AV サポート情報を確認して下さい

Cisco NAC アプライアンスは Clean Access エージェントの複数のバージョンがネットワークで使用されるようにします。 エージェントへの新しい更新はリリースされると同時に最新のウイルス対策製品のためのサポートを追加します。 システムは利用可能 な AV 製品およびエージェントのバージョンに基づいて AV 定義チェックを実行するために最もよい方式を、Def 日付か Def バージョン選びます。 Info ページ AV サポートは CAM にダウンロードされる最新のサポートされた AV 製品リストをエージェント 互換性で詳細を提供します。 このページは各 AV 製品のための定義ファイルの最新バージョンおよび日付を製品サポートのために必要とされるエージェントのベースライン バージョン同様にリストします。 Info ページ AV サポートに対してクライアントが持っている定義ファイルが最新であることを確認するためにクライアントの AV 情報を比較できます。 ネットワークのエージェントの複数のバージョンを実行する場合、このページは特定の製品をサポートするためにどのバージョンが実行する必要があるか解決を助けることができます。

エージェントサポート 詳細を表示するためにこれらのステップを完了して下さい:

  1. 管理 > Clean Access > Clean Access エージェント > ルール > AV/AS サポート 情報 『Device』 を選択 して下さい。

  2. カテゴリ ドロップダウン メニューからウイルス対策を選択して下さい。

    /image/gif/paws/97868/nac-av-definition-2.gif

  3. ドロップダウン メニューからウイルス対策ベンダーを選択して下さい。

  4. それらのクライアント システムのためのサポート情報を表示するためにオペレーティング システム ドロップダウン メニューから Vista/XP/2KWindows 9x/ME を『Windows』 を選択 して下さい。 これは示されているように表を読み込みます:

    1. AV 製品をサポートするために必要な最小エージェント バージョン—各 AV 製品をサポートするために必要な最小エージェント バージョンを示します。 たとえば、4.0.0.0 エージェントは AOL 安全と保安 センター ウイルス 保護 1.x を必要とするが、3.6.0.0 またはそれ以前 エージェントのために、このチェックは失敗しますロールにログイン することができます。 エージェントサポート Def 両方日付および Def バージョン チェックのバージョンが、Def バージョン チェック使用される場合ことに注目して下さい。

    2. 指定ベンダー用の最新のウイルス定義バージョン/日付— AV 製品のための最新バージョンおよび日付情報を表示する。 最新 クライアントのための AV ソフトウェアは同じ値を表示する必要があります。

注: エージェントは CAM にバージョン情報を送信 し、CAM は AV チェック用のウイルス定義バージョンを最初に使用するように常に試みます。 バージョンが利用できない場合、CAM はウイルス定義日付を代りに使用します。

ヒント: 新しい AV ルール形式から AV ベンダーを選択するときまた最新の定義ファイル バージョンを表示できます。

AV ルールを作成して下さい

AV ルールを作成するためにこれらのステップを完了して下さい:

  1. サポートされた AV/AS 製品リストの最新バージョンを持つために確かめて下さい。

  2. 管理 > Clean Access > Clean Access エージェント > ルールを > 新しい AV ルール『Device』 を選択 して下さい。

    nac-av-definition-3.gif

  3. ルール名前を入力して下さい。 名前でディジットおよびアンダースコア、領域を使用なできます。

  4. ドロップダウン メニューからウイルス対策ベンダーを選択して下さい。 これはサポートされたプロダクトが付いているページおよび指定オペレーティング システムのためのこのベンダーからの製品バージョンの下部ので指定オペレーティング システムのためのチェックを読み込みます。

  5. ドロップダウン メニューから、インストールウイルス定義を選択して下さい。 これは表の対応したインストールまたはウイルス定義 カラムのためのチェックボックスを有効に します。

  6. ドロップダウン メニューからオペレーティング システムを、Windows Vista /XP/2K か Windows ME/98 選択して下さい。 これは表のこのクライアント OS のためにサポートされる製品バージョンを表示する。

  7. オプションのルール説明を入力して下さい。

  8. 指定オペレーティング システムのためのチェックでは、クライアントがであるように確認したいと思う製品バージョンを選択して下さい。 これをするために、対応したインストールまたはウイルス定義 カラムの 1つ以上のチェックボックスをチェックして下さい。 ANY はこの AV ベンダーからのあらゆる製品およびバージョンがあるように確認したいと思うことを意味します。 インストールはウイルス定義ファイルが規定 された製品のためのクライアントで最新であるかどうか製品がインストールされている、ウイルス定義は確認しますかどうか確認し。

  9. 『Add rule』 をクリック して下さい。 新しい AV ルールはつけた名前のルール リストの下部ので追加されます。

AV 定義 アップデート 要件を作成して下さい

これらのステップは規定 された AV 製品があるようにクライアント システムおよびバージョンを確認するために関連する AV ルールで新しい AV 定義 アップデート 要件を作成する方法を示します。 クライアントのアンチウィルス定義ファイルが最新ではない場合、ユーザは Clean Access エージェントの Update ボタンを単にクリックできエージェントにより常駐員 AV ソフトウェアは自身のアップデート メカニズムを起動させます。 実際のメカニズムがたとえば異なる AV 製品のために、ライブ更新 vs コマンド・ライン パラメータ異なることに注目して下さい。

  1. 次に Clean Access エージェント タブで、必要条件サブメニュー リンクおよび新しい要件をクリックして下さい。

    nac-av-definition-4.gif

  2. 要件型に関しては AV 定義 アップデートを選択して下さい。

  3. オプションのとして AV 定義 アップデート 要件を指定する要件 オプションをデフォルトでチェックされます実施しないで下さい

    注: Windows アップデートプロセスがバックグラウンドで動作するので、要件をユーザ エクスペリエンスを最適化するためにデフォルトで設定 されます実施しないで下さい。 ダウンロードを自動的に選択し、オプションをインストールすればオプションのとしてこの要件を残すことを推奨します。 WSUS によって強制されるアップデートはしばらく時間がかかることができおよびバックグラウンドの実行起動します。

  4. クライアントのこの要件のための実行の優先順位を選択して下さい。 高優先順位は、1 のような、この要件が他のすべての必要条件に先んじるシステムでチェックされ、その順序でエージェント ダイアログに現われることを意味します。 その要件が成功するまで必須要件が失敗した、エージェントはそのポイントを過ぎて続かないことに注目して下さい。

  5. ドロップダウン メニューからウイルス対策ベンダー名を選択して下さい。 製品 表は各クライアント OS のためにサポートされるすべてのウイルス定義製品バージョンをリストしたものです。

  6. 要件名前に関しては、エージェントのこの AV 定義ファイル 要件を識別するために固有の名前を入力して下さい。 名前は Clean Access エージェント ダイアログのユーザに目に見えます。

  7. Description フィールドでは、要件を満たし損うユーザをガイドする要件および手順の説明を入力して下さい。 AV 定義 アップデート 要件に関してはシステムをアップデートするために Update ボタンをクリックする、ユーザ向けの指示を含んで下さい。 この情報に留意して下さい:

    • AV 定義 アップデートはエージェントの Update ボタンを表示する。

    • AS 定義 アップデートはエージェントの Update ボタンを表示する。

    • Windows アップデートはエージェントの Update ボタンを表示する。

  8. 要件のためのオペレーティング システムを設定 するためにこれらのチェックボックスの何れか一つ以上をチェックして下さい:

    • すべての Windows

    • Windows 2000

    • Windows ME

    • Windows 98

    • Windows XP (すべて)または特定の Windows XP オペレーティング システムの何れか一つ以上

    • Windows Vista (すべて)または特定の Windows Vista オペレーティング システムの何れか一つ以上

  9. 要件 リストに要件を追加するために要件を『Add』 をクリック して下さい。

ルールに要件をマッピング して下さい

要件が作成され、治療リンクおよび手順が規定 されたら、ルールか一組の規則に要件をマッピング して下さい。 要件にルール マッピング することはクライアント システムが従うことができるのにようにクライアント システムは必要とされるユーザの要求操作(エージェント ボタン、手順、リンク)に要件を満たすかどうか確認する ruleset を関連付けます。

  1. Clean Access エージェント タブで、必要条件サブメニューをクリックし、次に要件ルール用紙を開いて下さい。

    nac-av-definition-5.gif

  2. 要件名前メニューから、マッピング するために要件を選択して下さい。

  3. オペレーティング システム メニューの要件のためのオペレーティング システムを確認して下さい。 指定オペレーティング システム リストのためのルールは選択された OS のために利用可能 なすべてのルールと読み込まれます。

  4. AV ウイルス定義ルール(黄色いバックグラウンド CAM に更新からの利用可能がある何)の場合、よりオプションでクライアントの定義ファイルがいくつかの日古いように CAM を設定できます。 最新の製品ファイル日付についてはルール > AV-AS サポート 情報を参照して下さい。 これは新しいウイルス定義ファイルが製品ベンダーから発表されなければ、クライアントがまだ要件を渡すことができるように要件に風圧量を設定することを可能にします。 このためには、次の手順を実行します。

    1. チェックボックスより古い x 日である AV ウイルス定義ルールを、割り当て定義ファイル チェックして下さい。

    2. テキストボックスの数を入力して下さい。 デフォルトは定義日付はファイル/システムの日付より古い場合もないことを示す 0 です。

    3. これらのオプションの 1 つを選択して下さい:

      • 最新のファイルは date —これクライアント 定義ファイルが規定 する幾日の数によって CAM の最新のウイルス定義日付より古いようにします。

      • 現在のシステムの日付—これはクライアント 定義ファイルが最後のアップデートが規定 する幾日の数によって実行された CAM システムの日付より古いようにします。

  5. ページをスクロールし、要件と関連付けたいと思う各ルールの隣で SELECT チェックボックスをチェックして下さい。 ルールはこの表に記述されているように優先順位で、適用されます:

    /image/gif/paws/97868/nac-av-definition-6.gif

  6. 満たされる必要条件に関しては、これらのオプションの 1 つを選択する場合:

    • 『Rules』 を選択 されるすべては—すべてのルールが要件に従って考慮されるべきクライアントのために満足する必要があれば成功します

    • —少なくとも 1 つの指定ルールが要件に従って考慮されるべきクライアントのために満足する必要があればどの指定ルールでも成功します

    • 指定ルールはクライアントが要件に従って考慮することができるように— 『Rules』 を選択 されるすべての失敗必要があれば成功しません

    クライアントが要件に従ってない場合、要件と関連付けられるソフトウェアをインストールするか、または必要なステップを完了する必要があります。

  7. [Update] をクリックします。

ロールに必要条件を適用して下さい

必要条件が治療ステップで作成され、設定され、ルールと関連付けられれば、ユーザの役割にマッピング される必要があります。 このステップはシステムのユーザグループに必要条件を適用します。

注: 正常なログインユーザ ロールを作成してもらうように既に確かめていて下さい。

  1. Clean Access エージェント タブで、役割要件サブメニュー リンクをクリックして下さい。

    nac-av-definition-7.gif

  2. 役割 Type メニューから、設定するために役割の種類を選択して下さい。 ほとんどの場合、これは正常なログイン ロールです。

  3. メニュー ユーザの役割のからロールの名前を選択して下さい。

  4. 役割のユーザに適用したいと思う各要件があるように SELECT チェックボックスを確認して下さい。

  5. [Update] をクリックします。

  6. 終わる前に、ロールのユーザが Clean Access エージェントを使用するために必要となることを確かめて下さい。

必要条件を検証して下さい

Clean Access Manager は自動的に作成されると同時に必要条件およびルールを検証します。 デバイス管理 > Clean Access > Clean Access エージェント > 必要条件 > 要件 リストの下の有効性カラムは示されているように要件有効性を、示します:

  • /image/gif/paws/97868/nac-av-definition-8.gif —要件は有効です。

  • /image/gif/paws/97868/nac-av-definition-9.gif —要件は無効です。 順序ディスプレイのマウスが付いているこのアイコンをこの要件のための有効性ステータスメッセージ強調表示して下さい。 支配する無効であるために原因を要件チェックし、この形式のステータスメッセージ状態:

    Invalid rule [rulename] in package [requirementname] (Rule verification error: 
    Invalid check [checkname] in rule expression)

要件は使用することができる前になされた有効な訂正し。 通常オペレーティング システム ミスマッチがあるとき、必要条件およびルールは無効になります。

無効 な 要件を訂正するために、これらのステップを完了して下さい:

  1. 管理 > Clean Access > Clean Access エージェント > 必要条件 > 要件ルールを『Device』 を選択 して下さい。

  2. 無効 なルールかチェックを訂正して下さい。

  3. ドロップダウン メニューから無効 な 要件名前を選択して下さい。

  4. オペレーティング システムを選択して下さい。

  5. 満たされる要件を確かめて下さい: 式は正しく設定されます。

  6. 要件に選択されるルールが有効であることを確かめて下さい、意味する有効性カラムでブルー チェックマークがあることを。

/image/gif/paws/97868/nac-av-definition-10.gif

Cisco ルール

ルールは 1つ以上のチェックから成っている条件付きステートメントです。 ルールは論理演算子とクライアント システムの複数の機能をテストできるブール文を形成するためにチェックを結合します。

Cisco NAC アプライアンスは一組の前もって構成されたルールを提供し、更新を通したチェックはリンクします。 前もって構成されたルールに pr_AutoUpdateCheck_Rule のような名前で pr のプレフィクスが、あります。 詳細については Cisco によって前もって構成されるルール(「pr_」)を参照して下さい。

Cisco チェック

チェックはファイル、レジストリキー、サービス、またはアプリケーションのようなクライアント システムの機能を、検査する条件ステートメントです。 前もって構成されたチェックに pc_Hotfix828035 のような名前でパソコンのプレフィクスが、あります。 この表はテストするか何を利用可能 なチェックの種類をリストしたものです。

カテゴリをチェックして下さい チェック タイプ(Check Type)
レジストリ チェック
  • Registry 鍵 存在かどうか
  • Registry 鍵値
ファイル チェック
  • ファイル 存在かどうか
  • 修正または作成の日付
  • ファイルのバージョン
チェックを保守して下さい
  • サービスは動作するかどうか
アプリケーション チェック
  • アプリケーションの実行かどうか

Cisco は前もって構成しましたルール(「pr_」)を

Cisco NAC アプライアンスはデバイス管理 > Clean Access > Clean Access エージェント > アップデートの下で一組の CAM Webコンソールの Updates ページによる CAM にダウンロードされるチェックおよび前もって構成されたルールを提供します。

前もって構成されたルールに名前で pr のプレフィクスが、たとえば pr_XP_Hotfixes あり、使用のためにテンプレートとしてコピーすることができましたり編集されるか、または取除くことができません。 それを定義するルール表現を表示するためにあらゆる pr_ ルールのための Edit ボタンをクリックできます。 前もって構成されたルールのためのルール式は前もって構成されたチェック、pc_Hotfix835732 のような、およびブール演算子で構成されます。 前もって構成されたルールのためのルール式は Cisco 更新を通して更新済です。 たとえば、新しく重要な Windows OS ホットフィックスが Windows XP のためにリリースされるとき、pr_XP_Hotfixes ルールは関連ホットフィックス チェックとアップデートされます。

前もって構成されたルールはデバイス管理 > Clean Access > Clean Access エージェント > ルール > ルール リストの下でリストされています。 前もって構成されたチェックに名前でパソコンのプレフィクスがあり、デバイス管理 > Clean Access > Clean Access エージェント > ルール > チェックリストの下でリストされています。

注: Cisco はルールを意図されています重要な Windows OS ホットフィックスだけにサポートを提供するように前もって構成しました。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

Cisco Clean Access はクライアントのための AV 定義をアップデートしません

この問題を解決するには、次の手順を実行します。

  1. CAM で、管理 > Clean Access > 必要条件 > 要件ルールを『Device』 を選択 して下さい。

  2. 前もって構成されたルール(pr_)を、もしあれば選択解除して下さい。

  3. 適切な AV ルールを選択して下さい。

AV を検出する不可能な CCA

疑えば CCA は検出するまたはある特定の AV チェックを認識するために、クライアントの OESIS 診察道具を実行する必要があります。

次の手順を実行します。

  1. ロギングをイネーブルにします。

    クライアントをログオンするデバッグを有効に する方法に関する説明に関しては Clean Access エージェントをログオンするイネーブル デバッグを参照して下さい。

  2. ログインするように試みて下さい。

  3. OESIS 診察道具を実行して下さい。

  4. ロギングをディセーブルにして下さい。

注: AV 製品からの Registry 鍵 構造のエクスポートをつかむことができる場合普通有用であるもソフトウェア\ <av_vendor> にある、\ HKLM。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 97868