セキュリティ : Cisco Secure Desktop

目次

• 概要
• Cisco Secure Desktop はどのようなコンポーネントで構成されているのですか。
• CSD でサポートされている OS、ブラウザ、ASA のバージョン、SSL VPN のコンポーネントの互換性マトリックスはどこで入手できるのですか。
• CSD のコンフィギュレーションはどこに保存されるのですか。
• CSD には IPsec VPN Client との相互運用性はありますか。
• CSD の PreLogin 証明書のチェックはマシンとユーザ両方の証明書に適用されるのですか。
• Secure Vault が使用されている場合、Secure Vault と実際のデスクトップとの間の相互対話はどのように行われるのですか。たとえば、ファイルをこの 2 者間で移動できますか。あるいは Vault 内だけに置けるものですか。
• 定義できる CSD の場所の数には制限がありますか。
• CSD の Vault 内に作成されるファイルをゲスト PC に保存することはできますか。
• ファイルを、USB 記憶装置、CD、またはディスクなどの外部メディアに保存できますか。
• ファイルを共有ネットワーク フォルダに保存できますか。
• Secure Desktop 内でファイルが作成または追加された際に、SSL VPN または IPsec を経由したネットワーク接続が存在する場合、ファイルを Network Neighborhood（Windows UI、日本語版では Windows のバージョンにより [ネットワークコンピュータ]、[マイネットワーク]、または [ネットワーク]）に保存できますか。
• ロケーションはどのようにクライアントに照合されるのですか。
• ActiveX と Java がディセーブルになっている場合でも、ブラウザ経由で CSD のインストールを実行できますか。
• Sun JVM の制限が存在しますか。
• Cisco Security Agent（CSA）V4.5 には CSD および SVC と相互運用性がありますか。
• CSD が作成するハード ドライブ上のパーティションの大きさはどれくらいですか。
• CSD ではサポート対象のアプリケーションがどのように決定されるのですか。通常のデスクトップ上で使用できるすべてのアプリケーションが対象ですか。これは制御可能ですか。
• CSD で print screen の使用を防止できますか。
• DEP（MS KB 875352）対応 PC および Tablet PC 上で Secure Desktop は動作しますか。
• PC に CSD をプリインストールする方法はありますか。
• Windows プラットフォームおよび MAC OS 上で Cache Cleaner をサポートしているのはどのブラウザですか。
• コンピュータからネットワーク ケーブルを抜くなどで、WebVPN 経由で Secure Desktop に接続しているリモート クライアントがセッションを終了したらどうなりますか。Secure Desktop では依然としてファイルのトレースが削除されますか。セッションの最中にマシンの電源が切られた場合、同じような状態になると思われますが、この場合ファイルはアクセス可能ですか。
• ASA バージョン 8.0.2.x に付属する新しいバージョンの CSD 3.2.x には、ASA バージョン 7.1.x/7.2.x との下位互換性がありますか。
• CSD v3.2 では Secure Desktop/Vault および Cache Cleaner がサポートされていますか。
• CSD 3.2.x Advanced Endpoint Assessment は複数のバージョンの AV、AS、FW に対応できますか。
• CSD 3.2 は CD-R メディアを制御できるのですか。
• CSD の Secure Vault では CSD が稼働中、ホストのオペレーティング システムからの脅威の可能性はどの程度ですか。すべての脅威を隔離するという意味で、これは Vault に当てはまるのですか。あるいは、ホスト上での通常のデスクトップの使用が単に脆弱ということですか。これらの問題のいくつかを軽減するために、ポスチャ チェックに依存しています。
• ASA 8.0 で CSD + Adv Endpoint Assessment に対して CCA NAC アプライアンスを配置するには、どうすればよいのですか。ポスチャ チェック機能が同様であるように思われます。CCA には VPN ユーザに関して 8.0 よりも大きな利点がありますか。
• CSD をグループ ポリシーごとに、認証後にイネーブルにできますか。
• CSD はクライアント PC からどのようにアンインストールされるのですか。
• Cisco Secure Desktop（CSD）の Host Scan でサポートされている製品のリストを調べるにはどうすればよいのですか。
• Advanced Endpoint Assessment でサポートされている製品のサブセットを調べるにはどうすればよいのですか。
• CSD の操作で管理者特権が必要なものは何ですか。
• Host Scan、Cache Cleaner、Vault などの CSD の機能の中で 64 ビット プラットフォームでサポートされているものはありますか。
• CSD がイネーブルになっていない場合に、CSD の PreLogin チェック（Location ポリシー）を設定できますか。
• CSD の Prelogin チェックでは何がサポートされていますか。
• 個別に削除するのではなく、一度にすべての PreLogin ポリシーを削除することはできますか。
• CSD の Prelogin 証明書チェックは PKI で検証されていますか。あるいは、単にエンドポイント ホスト上の証明書の存在をチェックするだけですか。
• レジストリおよび証明書の Prelogin チェックはどの OS に適用されるのですか。
• CSD の設定を Radius/LDAP からプッシュすることはできますか。
• CSD はエンドポイント PC 上の TCP リスニング ポートを検出できますか。
• SSL VPN ポリシーに適用できる CSD および DAP エンドポイント属性には何がありますか。
• DAP デバッグ内で確認される CSD トークン（DAP_TRACE: DAP_add_CSD: csd_token = [71F16BEE51C8B569360F9BF0]）は何を意味するのですか。
• AnyConnect が Start Before Login（SBL）モードである場合に使用できる CSD の機能には何がありますか。
• PreLogin ポリシー（Location）のコンフィギュレーションを削除することなく CSD ファイルをアップデートする推奨方式はどのような方式ですか。
• Java バージョン 1.6.10、1.6.11、および 1.6.12 を使用して Citrix ICA クライアントにアクセスすると問題が発生します。CSD の使用中にクライアントが Citrix リモート デスクトップに接続するとすぐ接続に障害が発生する原因は何ですか。
Cisco サポート コミュニティ - 特集対話

• 関連情報

---

概要

このドキュメントでは、Cisco Secure Desktop（CSD）に関して最もよくある質問（FAQ）について説明しています。

Cisco Secure Desktop では、Cisco クライアントレス SSL VPN または AnyConnect Client セッションを確立するためのリモート デバイスの使用によりもたらされるリスクが最小限にされます。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Q. Cisco Secure Desktop はどのようなコンポーネントで構成されているのですか。

A. CSD は次の複数のコンポーネントから構成されます。

• PreLogin Assessment/Policies

• Host Scan（修正機能が付属する Basic および Advanced）

• Cache Cleaner

• Secure Vault

• Keystroke Logger

• Host エミュレーション検出

詳細は、『CSD 設定ガイド』を参照してください。

Q. CSD でサポートされている OS、ブラウザ、ASA のバージョン、SSL VPN のコンポーネントの互換性マトリックスはどこで入手できるのですか。

A. 詳細は、『Cisco ASA 5500 シリーズ VPN 互換性リファレンス』を参照してください。

Q. CSD のコンフィギュレーションはどこに保存されるのですか。

A. CSD のコンフィギュレーションは、sdesktop/data.xml ファイルのフラッシュに保存されます。

Q. CSD には IPsec VPN Client との相互運用性はありますか。

A. いいえ。CSD には Clientless SSL VPN および Anyconnect 2.x のみと相互運用性があります。

Q. CSD の PreLogin 証明書のチェックはマシンとユーザ両方の証明書に適用されるのですか。

A. はい。マシン証明書用の PreLogin チェックは、CSD 3.2.1（CSCsj35249）で実装されています。

Q. Secure Vault が使用されている場合、Secure Vault と実際のデスクトップとの間の相互対話はどのように行われるのですか。たとえば、ファイルをこの 2 者間で移動できますか。あるいは Vault 内だけに置けるものですか。

A. ファイル システムは仮想化されます。Vault 内ではプログラム ファイルやウィンドウなどの重要なローカル ファイルを確認できますが、Vault 内のファイルを外部に移動することはできません。

Q. 定義できる CSD の場所の数には制限がありますか。

A. いいえ。

Q. CSD の Vault 内に作成されるファイルをゲスト PC に保存することはできますか。

A. いいえ。

注：これに関する 1 つの例外は、クライアント PC 上で動作する Outlook、Outlook Express、Eudora および Lotus Notes などある種の電子メール アプリケーションを使用する場合です。通常、これらのアプリケーションはパブリック ドメインにはありません。

Q. ファイルを、USB 記憶装置、CD、またはディスクなどの外部メディアに保存できますか。

A. はい。ただしデータは暗号化されるため、Vault がアンインストールされれば削除され、鍵が削除されれば表示されません。

Q. ファイルを共有ネットワーク フォルダに保存できますか。

A. はい。共有ネットワーク フォルダがクライアント PC 上で Network Neighborhood（Windows UI、日本語版では Windows のバージョンにより [ネットワークコンピュータ]、[マイネットワーク]、または [ネットワーク]）の一部として存在する場合、それらは Secure Desktop の Network Neighborhood（Windows UI、日本語版では Windows のバージョンにより [ネットワークコンピュータ]、[マイネットワーク]、または [ネットワーク]）上にも表示されます。

Q. Secure Desktop 内でファイルが作成または追加された際に、SSL VPN または IPsec を経由したネットワーク接続が存在する場合、ファイルを Network Neighborhood（Windows UI、日本語版では Windows のバージョンにより [ネットワークコンピュータ]、[マイネットワーク]、または [ネットワーク]）に保存できますか。

A. はい。

Q. ロケーションはどのようにクライアントに照合されるのですか。

A. ドキュメントで説明されているように、Windows のロケーション ウィンドウに表示されている最上位から最下位の優先度を使用してさまざまなロケーションの基準がチェックされる際に、ロケーションが識別されます。基準を満たす最初のロケーションが接続ロケーションとして使用されます。Cisco では最後のロケーションとして基準がないロケーションを使用することを推奨しますが、これは基準があるロケーションに一致するものがない場合に、それがデフォルトになるようにするためです。

Q. ActiveX と Java がディセーブルになっている場合でも、ブラウザ経由で CSD のインストールを実行できますか。

A. はい、クライアント PC 上で Active X と Java の両方ともが検出されない場合でも、CSD をインストールできます。

Q. Sun JVM の制限が存在しますか。

A. いいえ、Cisco Secure Desktop や SSL VPN Client には制限がありません。

Q. Cisco Security Agent（CSA）V4.5 には CSD および SVC と相互運用性がありますか。

A. はい。CSA V4.5 では、CSD および SVC がサポートされており、また完全な互換性があります。

Q. CSD が作成するハード ドライブ上のパーティションの大きさはどれくらいですか。

A. Secure Desktop 環境が作成される際に、暗号化されたファイル空間（Vault）が生成されます。これは最初は小さなファイル空間ですが、Vault 内での動作中にデフォルト ロケーションからどのアプリケーションがロードされるかによって、最大 2 GB まで増大します。

Q. CSD ではサポート対象のアプリケーションがどのように決定されるのですか。通常のデスクトップ上で使用できるすべてのアプリケーションが対象ですか。これは制御可能ですか。

A. このことはリリース ノートに詳細に記載されていますが、制御できません。SD Vault/space 内にアプリケーションがインストールされることは許可されませんが、クライアント PC にすでにインストールされている Program Files の下にあるデフォルトのアプリケーションが使用されます。Secure Desktop では、デフォルト ロケーションにインストールされているアプリケーションのみがサポートされます。セキュリティを高めるため、Secure Desktop の基では、Windows ディレクトリと Program Files ディレクトリの下にインストールされているアプリケーションのみにアクセスできます。Secure Desktop では、これらのデフォルトのインストール ロケーションに見つからないアプリケーションはサポートされず、またこれらのアプリケーションへのアクセスは許可されません。

Q. CSD で print screen の使用を防止できますか。

A. これは、Secure Desktop の管理設定内での設定オプションです。設定でイネーブルになっている場合、コピー/貼り付けバッファ（クリップボード）は、ユーザがクライアント PC に切り替えるとクリアされます。

Restrict Printing on Secure Desktop：チェックマークを入れると、Secure Desktop 空間の使用中ユーザは印刷できなくなります。機密データのセキュリティを最大にするには、このオプションにチェックマークを入れます。

Q. DEP（MS KB 875352）対応 PC および Tablet PC 上で Secure Desktop は動作しますか。

A. これは、以前のバージョン（3.1.0.29 よりも前）ではサポートされておらず、CSCsc12461 に詳細が記載されています。その時点での回避策では、DDTS に記載されているように BIOS で DEP をディセーブルにしていました。バージョン 3.1.0.29 では、この問題は解決されています。

Q. PC に CSD をプリインストールする方法はありますか。

A. いいえ。これは、インストールする CSD コンポーネントがログイン前のポリシーの結果に依存するためです。

Q. Windows プラットフォームおよび MAC OS 上で Cache Cleaner をサポートしているのはどのブラウザですか。

A. CSD v3.3 は、32 ビット Vista プラットフォーム上で CSD-Vault（sandbox）機能をサポートしています。

詳細は、『VPN_Compatibility』を参照してください。

Q. コンピュータからネットワーク ケーブルを抜くなどで、WebVPN 経由で Secure Desktop に接続しているリモート クライアントがセッションを終了したらどうなりますか。Secure Desktop では依然としてファイルのトレースが削除されますか。セッションの最中にマシンの電源が切られた場合、同じような状態になると思われますが、この場合ファイルはアクセス可能ですか。

A. データは暗号化されたままでアクセス不能状態が続いており、次回 Cisco Secure Desktop が起動されたときに消去されます。Cache Cleaner を使用している場合、ユーザの次回ログイン時にデータは消去されます。

Q. ASA バージョン 8.0.2.x に付属する新しいバージョンの CSD 3.2.x には、ASA バージョン 7.1.x/7.2.x との下位互換性がありますか。

A. Cisco Secure Desktop 3.2.x の新しいバージョンには、古い ASA 7.1.x/7.2.x との下位互換性がありません。

Q. CSD v3.2 では Secure Desktop/Vault および Cache Cleaner がサポートされていますか。

A. ASA 8.0.2.x 用の CSD 3.2 は、32 ビット Vista マシンで Cache Cleaner のみをサポートしています。Vista での Secure Vault のサポートは、今後の検討事項となっています（CSD v3.3）。

アップデート：CSD v3.3 は、32 ビット Vista プラットフォーム上で CSD-Vault（sandbox）機能をサポートしています。

Q. CSD 3.2.x Advanced Endpoint Assessment は複数のバージョンの AV、AS、FW に対応できますか。

A. CSD 3.2 Advanced Endpoint Assessment では、複数のバージョンのアンチウイルス、パーソナル ファイアウォール、またはアンチスパイウェア プログラムのチェックは許可されていません。CSD 3.2.1 には、Endpoint Assessment 機能で Dynamic Access Policy を使用することにより、複数のアンチウイルス、パーソナル ファイアウォール、またはアンチスパイウェア プログラムをチェックする機能があります。

注：CSD 3.2.1、ASDM6.0.3/ASA 8.0.3（FCS は 2007 年 11 月）にはこの機能が含まれています（CSCsk71239）。

Q. CSD 3.2 は CD-R メディアを制御できるのですか。

A. 現在の設計では CSD は CD ドライブを制御できません。

Q. CSD の Secure Vault では CSD が稼働中、ホストのオペレーティング システムからの脅威の可能性はどの程度ですか。すべての脅威を隔離するという意味で、これは Vault に当てはまるのですか。あるいは、ホスト上での通常のデスクトップの使用が単に脆弱ということですか。これらの問題のいくつかを軽減するために、ポスチャ チェックに依存しています。

A. CSD のコンセプトではすべて明白です。CSD の Vault では、VPN セッション中に作成されるキャッシュされた Web ページなどのセッション データが保存されます。Vault は、保護のために暗号化されています。これがある種のウイルス保護デバイスとは想定されていません。

Q. ASA 8.0 で CSD + Adv Endpoint Assessment に対して CCA NAC アプライアンスを配置するには、どうすればよいのですか。ポスチャ チェック機能が同様であるように思われます。CCA には VPN ユーザに関して 8.0 よりも大きな利点がありますか。

A. CSD ではポスチャ チェックと制限付きの対応が提供されるのに対し、CCA ではより洗練された完全な対応プロセスが実際にサポートできます。これはたとえば VPN ユーザが、それほど技術に強くなく、社内のサポート部署から次の手順に関する指示を必要とするフルタイムの在宅勤務者であるような場合に重要です。可能性を推定する場合、これはサポート コストの削減と生産性の向上に結びつく可能性もあります。

Q. CSD をグループ ポリシーごとに、認証後にイネーブルにできますか。

A. v8.0.3 では現在サポートされていません。CSD は、認証/許可が行われる前にすべてのグループ ポリシーに関して ASA でグローバルにイネーブルにされます。Cisco Secure Desktop がログイン前にロードされる主な理由は、特にスタティック クレデンシャルが使用されている場合に、ログイン プロセスそれ自体を保護するためです。

Q. CSD はクライアント PC からどのようにアンインストールされるのですか。

A. Secure Desktop がインストールされている場合、セッションが閉じられる際に手動または自動でアンインストールできます。これを自動で行うには、CSD Manager > Secure Desktop General のオプションが使用できます。

Q. Cisco Secure Desktop（CSD）の Host Scan でサポートされている製品のリストを調べるにはどうすればよいのですか。

A. ASDM の内部では最新情報が常に参照可能です。最新の CSD パッケージ（ZIP 形式）から secinsp_<VERSION>_av.xml、secinsp_<VERSION>_as.xml および secinsp_<VERSION>_fw.xml を抽出して Product_ID 属性を検索する方法もあります。

これらのチェックはリリースごとにアップデートされるため、ドキュメントで最新のリストに追従することは不可能です。

Q. Advanced Endpoint Assessment でサポートされている製品のサブセットを調べるにはどうすればよいのですか。

A. 各製品の Allow_port および Block_port 属性値を検索してください。

v= implemented 
x= not implemented 

Q. CSD の操作で管理者特権が必要なものは何ですか。

A. Java がすでにインストールされている状態での CSD のインストール、および最も基本的なホスト スキャン操作には管理者特権は必要ありません。もちろん、FW プロセスのイネーブル化などの操作は、管理者特権がないと機能しません。スキャンする権限のない対象ファイルがスキャンされるとは想定しないでください。たとえば、制限ユーザは /users/administrator/mydocuments/file.txt を検出できません。キー ストローク ロガーには管理者特権が必要です。

Q. Host Scan、Cache Cleaner、Vault などの CSD の機能の中で 64 ビット プラットフォームでサポートされているものはありますか。

A. いいえ。CSD は 32 ビット プラットフォームのみをサポートしています。

Q. CSD がイネーブルになっていない場合に、CSD の PreLogin チェック（Location ポリシー）を設定できますか。

A. いいえ。Prelogin ポリシー チェックでは CSD がイネーブルになっている必要があります。

Q. CSD の Prelogin チェックでは何がサポートされていますか。

A. チェック対象は IP アドレス（発信元 IP の範囲）、証明書、レジストリ、ファイルおよび OS です。

Q. 個別に削除するのではなく、一度にすべての PreLogin ポリシーを削除することはできますか。

A. ASDM では現在、すべての Prelogin ポリシーを削除するボタン/ノブはありません。これらを個別に削除することのみが可能です。これを可能にするための機能拡張の要求 CSCsq91629 が存在します。

ASA CLI で次の手順を実行すると、すべての Prelogin ポリシーをクリアし、CSD の設定をデフォルトに設定できます。

1. #delete sdesktop/data.xml
2. 変更を有効にするには、ASDM を終了して再起動する必要があります。

Q. CSD の Prelogin 証明書チェックは PKI で検証されていますか。あるいは、単にエンドポイント ホスト上の証明書の存在をチェックするだけですか。

A. 証明書チェックではエンドポイント ホスト上に証明書が存在することだけが確認され、証明書が PKI で検証されているかどうかは確認されません。

Q. レジストリおよび証明書の Prelogin チェックはどの OS に適用されるのですか。

A. Windows のみです。

Q. CSD の設定を Radius/LDAP からプッシュすることはできますか。

A. いいえ。CSD の個別のポリシーを Radius/LDAP 経由で設定することはできません。

Q. CSD はエンドポイント PC 上の TCP リスニング ポートを検出できますか。

A. CSD 3.2.1 ではエンドポイント PC（Windows、MAC、Linux）上のポート スキャニングがサポートされています。これは CSCsj44999 で実装されました。Dynamic Access Policies（DAP）では endpoint.device.port 属性をポリシーに適用できます。

Q. SSL VPN ポリシーに適用できる CSD および DAP エンドポイント属性には何がありますか。

A. 8.0.3.x の時点の DAP Endpoint Selection 属性カテゴリの一覧を次に示します。

• アンチスパイウェア

• アンチウイルス

• アプリケーション

• ファイル

• NAC

• オペレーティング システム

• パーソナル ファイアウォール

• ポリシー（ロケーション）

• プロセス

• レジストリ

• ホスト名、MAC アドレス、ポート番号、プライバシー保護などのデバイス

Q. DAP デバッグ内で確認される CSD トークン（DAP_TRACE: DAP_add_CSD: csd_token = [71F16BEE51C8B569360F9BF0]）は何を意味するのですか。

A. ASA では、ある Host Scan を別の Host Scan から区別できるように、一意のランダムな数値を作成しそれを Host Scan に割り当てます。Host Scan はログイン前、SSL VPN セッションが存在しない時点で行われます。Host Scan では CSD トークンをスキャン ファイルで送信しません。トークンはスキャン データを ASA SSL VPN セッションに添付するために使用されます。

Q. AnyConnect が Start Before Login（SBL）モードである場合に使用できる CSD の機能には何がありますか。

A. Anyconnect が SBL モードで起動されると、（CSD が起動に失敗している）ロケーションの一致がない限り、Prelogin ポリシーが指定する内容に関係なく、CSD により Host Scan のみが実行されます。

Q. PreLogin ポリシー（Location）のコンフィギュレーションを削除することなく CSD ファイルをアップデートする推奨方式はどのような方式ですか。

A. 新しい CSD イメージをアップグレードします。この場合、CSD 3.1.1 が 3.2 以降にアップグレードされる以外は、すべての設定が保全されます。

Q. Java バージョン 1.6.10、1.6.11、および 1.6.12 を使用して Citrix ICA クライアントにアクセスすると問題が発生します。CSD の使用中にクライアントが Citrix リモート デスクトップに接続するとすぐ接続に障害が発生する原因は何ですか。

A. JRE6 Update 10 以降では、Java は標準的な方法とは異なった方法で起動します。Java Update 10 についての詳細は、『Introducing Java SE 6 update 10』 を参照してください。

Java アプレットが含まれる Web サイトをユーザが開き、JRE Update 10 以降がコンピュータにインストールされている場合、Secure Desktop Vault ブラウザはフリーズします。この問題は、Secure Desktop Manager > <policy_name> > Secure Desktop Settings で表示される Restrict application usage to the web browser only オプションにチェックマークを入れている場合にのみ発生します。デフォルトの設定はチェックマークなしです。Secure Desktop で Java アプレットを実行するには、次のいずれかのオプションを実行する方法があります。

1. チェックが入った属性 Restrict application usage to the web browser only の下のテキスト ボックスに、次の行を追加します。

   • c:\program\java.exe

   • c:\program\jp2launcher.exe

2. Restrict application usage to the web browser only チェックボックスをオフにします。これにより問題は解決します。

---

Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。

---

関連情報

• Cisco ASA 5500 シリーズ セキュリティ アプライアンス（英語）
• Cisco ASA 5500 シリーズ VPN 互換性リファレンス（英語）
• Cisco Secure Desktop（英語）
• Cisco Secure Desktop の設定（英語）
• テクニカルサポートとドキュメント：シスコシステムズ