Cisco Identity Services Engine 管理者ガイド リリース 1.3
クライアント ポスチャ ポリシーの設定
クライアント ポスチャ ポリシーの設定

目次

クライアント ポスチャ ポリシーの設定

ポスチャは、Cisco Identity Services Engine(ISE)のサービスです。ポスチャを使用すると、ネットワークに接続されているすべてのエンドポイントの企業セキュリティ ポリシーとのコンプライアンスに関するステート(ポスチャとも呼ばれる)をチェックできます。 これにより、ネットワークの防護領域にアクセスするクライアントを制御できます。

ポスチャ サービス

ポスチャは、Cisco Identity Services Engine(ISE)のサービスです。ポスチャを使用すると、ネットワークに接続されているすべてのエンドポイントの企業セキュリティ ポリシーとのコンプライアンスに関するステート(ポスチャとも呼ばれる)をチェックできます。 これにより、ネットワークの防護領域にアクセスするクライアントを制御できます。

クライアントは、エンドポイントの AnyConnect ISE ポスチャ エージェントまたはネットワーク アドミッション コントロール(NAC)を介してポスチャ サービスと相互作用して、セキュリティ ポリシーを適用し、コンプライアンスを満たし、エンドポイントから保護されたネットワークへのアクセスを可能にします。 クライアント プロビジョニングは、エンドポイントが適切なポスチャ エージェントを受信できるようにします。

Cisco ISE の ISE ポスチャ エージェントでは、ネイティブ サプリカントを使用する場合は Windows のユーザの簡易切り替え機能がサポートされません。 これは、古いユーザの切断が明確にならないためです。 新しいユーザが送信されると、古いユーザのプロセスとセッション ID がエージェントによってハングされるため、新しいポスチャ セッションを実行できません。 Microsoft のセキュリティ ポリシーに従い、ユーザの簡易切り替え機能を無効にすることを推奨します。

ポスチャ サービスのコンポーネント

Cisco ISE ポスチャ サービスには、主にポスチャ管理サービスとポスチャ ランタイム サービスが含まれます。

ポスチャ管理サービス

Cisco ISE に APeX ライセンスをインストールしていない場合、ポスチャ管理サービス オプションは管理者ポータルから使用できません。

管理サービスは、ポスチャ サービス用に設定された要件および許可ポリシーに関連付けられた、ポスチャ固有のカスタム条件および修復アクションに対するバックエンド サポートを提供します。

ポスチャ ランタイム サービス

ポスチャ ランタイム サービスでは、ポスチャ評価およびクライアントの修復のためにクライアント エージェントと Cisco ISE サーバの間で実行されるすべての相互作用をカプセル化します。

ポスチャ ランタイム サービスは検出フェーズから開始します。 エンドポイント セッションは、エンドポイントが 802.1x 認証に成功した後に作成されます。 クライアント エージェントは、次の順序で各種の方式によって検出パケットを送信して Cisco ISE ノードへの接続を試行します。

  1. HTTP 経由で Cisco ISE サーバのポート 80 へ(設定されている場合)
  2. HTTPS 経由で Cisco ISE サーバのポート 8905 へ(設定されている場合)
  3. HTTP 経由でデフォルト ゲートウェイのポート 80 へ
  4. HTTPS 経由でポート 8905 からそれぞれ前にアクセスしたサーバへ
  5. HTTP 経由で enroll.cisco.com のポート 80 へ

ポスチャ フェーズは、利用規定(存在する場合)が受け入れられると開始されます。 Cisco ISE ノードはクライアント エージェントにポスチャ ドメインのポスチャ トークンを発行します。 ポスチャ トークンにより、エンドポイントではポスチャ プロセスを再度実行せずにネットワークに再接続できます。 これには、エージェント GUID、利用規定のステータス、エンドポイントのオペレーティング システム情報などの情報が含まれています。

ポスチャ フェーズで使用されるメッセージは、NEA PB/PA 形式(RFC5792)です。

ポスチャおよびクライアント プロビジョニング ポリシー ワークフロー

図 1. Cisco ISE のポスチャおよびクライアント プロビジョニング ポリシー ワークフロー

ポスチャ サービス ライセンス

Cisco ISE は、基本ライセンス、Plus ライセンス、APeX ライセンスの 3 種類のライセンスを提供します。 プライマリ管理ノードで APeX ライセンスをインストールしないと、ポスチャ要求は Cisco ISE で実行されません。 Cisco ISE のポスチャ サービスは、1 つのノードまたは複数のノードで実行できます。

ポスチャ サービス展開

Cisco ISE は、スタンドアロン環境(単一ノード)または分散環境(複数ノード)に展開できます。

スタンドアロン Cisco ISE 展開では、単一のノードをすべての管理サービス、モニタリングとトラブルシューティング サービス、およびポリシー実行時サービスに設定できます。

分散 Cisco ISE 展開では、各ノードを、管理サービス、モニタリングとトラブルシューティング サービス、およびポリシー実行時サービスの Cisco ISE ノードとして、または、必要に応じてインライン ポスチャ ノードとして設定できます。 管理サービスを実行しているノードは、Cisco ISE 展開内のプライマリ ノードです。 他のサービスを実行している他のノードは、互いのバックアップ サービス用に設定できるセカンダリ ノードです。

Cisco ISE でのポスチャ セッション サービスの有効化

はじめる前に
  • クライアントから受信したすべてのポスチャ要求に対応するには、Cisco ISE でセッション サービスを有効にし、拡張ライセンス パッケージをインストールする必要があります。
  • 分散展開に複数のノードを登録している場合は、登録したすべてのノードがプライマリ ノードとは別に [展開ノード(Deployment Nodes)] ページに表示されます。 各ノードを Cisco ISE ノード(管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナ)またはインライン ポスチャ ノードとして設定できます。

  • ポスチャ サービスは、ポリシー サービス ペルソナを担当する Cisco ISE ノードでのみ実行され、分散展開で管理ペルソナとモニタリング ペルソナを担当する Cisco ISE ノードでは実行されません。

手順
    ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] > [展開(Deployment)] を選択します。
    ステップ 2   [展開ノード(Deployment Nodes)] ページから Cisco ISE ノードを選択します。
    ステップ 3   [編集(Edit)] をクリックします。
    ステップ 4   [全般設定(General Settings)] タブで、[ポリシー サービス(Policy Service)] チェックボックスをオンにします。

    [ポリシー サービス(Policy Service)] チェックボックスがオフになっている場合は、セッション サービスとプロファイリング サービスの両方のチェックボックスが無効になります。

    ステップ 5   ポリシー サービス ペルソナでネットワーク アクセス、ポスチャ、ゲスト、およびクライアント プロビジョニングのセッション サービスを実行するには、[セッション サービスの有効化(Enable Session Services)] チェックボックスをオンにします。 セッション サービスを停止するには、このチェックボックスをオフにします。
    ステップ 6   [保存(Save)] をクリックします。

    ポスチャ評価レポートの実行

    ポスチャの詳細な評価を実行して、ポスチャ評価中に使用されるポスチャ ポリシーに対するクライアントのコンプライアンスの詳細なステータスを生成できます。

    手順
      ステップ 1   [操作(Operations)] > [レポート(Reports)] > [ISE レポート(ISE Reports)] > [エンドポイントとユーザ(Endpoints and Users)] > [ポスチャの詳細な評価(Posture Detail Assessment)] を選択します。
      ステップ 2   [時間範囲(Time Range)] ドロップダウン矢印をクリックし、特定の期間を選択します。
      ステップ 3   [実行(Run)] をクリックして、選択した期間にログオンしたすべてのエンドポイントのサマリーを表示します。

      ポスチャ管理の設定

      ポスチャ サービス用の管理者ポータルをグローバルに設定できます。 シスコから Web 経由で自動的に Cisco ISE サーバに更新をダウンロードできます。 また、オフラインで、後で、Cisco ISE を手動で更新することもできます。 さらに、クライアントに AnyConnect、NAC Agent、Web Agent などのエージェントがインストールされていると、クライアントにポスチャ評価および修復サービスが提供されます。 クライアント エージェントは、Cisco ISE に対してクライアントのコンプライアンス ステータスを定期的に更新します。 ログインおよびポスチャの要件評価が正常に完了した後、ネットワーク使用の利用規約への準拠をエンドユーザに求めるリンクが示されたダイアログがクライアント エージェントに表示されます。 このリンクを使用して、エンドユーザがネットワークへのアクセス権を取得する前に同意する、企業ネットワークのネットワーク使用情報を定義できます。

      クライアントのタイマー設定

      ユーザが修復するためのタイマー、あるステータスから別のステータスに移行するためのタイマー、およびログイン成功画面を制御するためのタイマーをセットアップできます。

      エージェント プロファイルを設定して、修復タイマー、ネットワーク遷移遅延タイマー、およびクライアント マシン上でログイン成功画面を制御するために使用するタイマー制御し、これらの設定がポリシーベースになるようにすることを推奨します。 [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] > [追加(Add)] > [NAC または AnyConnect ポスチャ プロファイル(NAC or AnyConnect Posture Profile)] で、クライアント プロビジョニング リソースのエージェントに対して、これらすべてのタイマーを設定できます。

      ただし、クライアント プロビジョニング ポリシーに一致するように設定されたエージェント プロファイルがない場合は、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] 設定ページの設定を使用できます。

      指定した時間内で修復するためのクライアントの修復タイマーの設定

      指定した時間内にクライアントを修復するためのタイマーを設定できます。 最初の評価時にクライアントが設定されたポスチャ ポリシーを満たすことに失敗した場合、エージェントは修復タイマーに設定された時間内にクライアントが修復するのを待ちます。 クライアントがこの指定時間内の修復に失敗すると、クライアント エージェントはポスチャ ランタイム サービスにレポートを送信します。その後、クライアントは非準拠ステートに移行されます。

      手順
        ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] を選択します。
        ステップ 2   [修復タイマー(Remediation timer)] フィールドに時間値を分単位で入力します。

        デフォルト値は 4 分です。 有効な範囲は 1 ~ 300 分です。

        ステップ 3   [保存(Save)] をクリックします。

        クライアントの遷移のためのネットワーク遷移遅延タイマーの設定

        ネットワーク遷移遅延タイマーを使用して、指定した時間内に、クライアントがある状態から別の状態に遷移するためのタイマーを設定できます。これは、許可変更(CoA)が完了するために必要となります。 ポスチャの成功時と失敗時にクライアントが新しい VLAN の IP アドレスを取得するための時間がかかる場合は、より長い遅延時間が必要になることがあります。 クライアントが正常にポスチャされると、Cisco ISE は、ネットワーク遷移遅延タイマーで指定された時間内に未知から準拠モードへ移行することを許可します。 ポスチャに失敗すると、Cisco ISE は、タイマーで指定された時間内にクライアントが未知から非準拠モードへ移行することを許可します。

        手順
          ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] を選択します。
          ステップ 2   [ネットワーク遷移遅延(Network Transition Delay)] フィールドに時間値を秒単位で入力します。

          デフォルト値は 3 秒です。 有効な範囲は 2 ~ 30 秒です。

          ステップ 3   [保存(Save)] をクリックします。

          ログイン成功画面を自動的に閉じる設定

          ポスチャ評価が正常に完了した後、クライアント エージェントは一時的なネットワーク アクセス画面を表示します。 ユーザはログイン画面で [OK] ボタンをクリックして、この画面を閉じる必要があります。 指定した時間の経過後にこのログイン画面を自動的に閉じるタイマーを設定できます。

          手順
            ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] を選択します。
            ステップ 2   [経過後にログイン成功画面を自動的に閉じる(Automatically Close Login Success Screen After)] チェックボックスをオンにします。
            ステップ 3   [経過後にログイン成功画面を自動的に閉じる(Automatically Close Login Success Screen After)] チェックボックスの横のフィールドに時間値を秒単位で入力します。

            有効な範囲は 0 ~ 300 秒です。 時間をゼロに設定すると、AnyConnect はログイン成功画面を表示しません。

            ステップ 4   [保存(Save)] をクリックします。

            非エージェント デバイスのポスチャ ステータスの設定

            Linux または iDevice などの非エージェント デバイスで実行されるエンドポイントのポスチャ ステータスを設定できます。 Android デバイスおよび iPod、iPhone、iPad などの Apple の iDevice が Cisco ISE 対応ネットワークに接続する場合、これらのデバイスはデフォルト ポスチャ ステータスの設定を引き継ぎます。

            これらの設定は、ポスチャのランタイム中に一致するポリシーが見つからない場合、Windows および Macintosh オペレーティング システムで実行されるエンドポイントにも適用されます。

            はじめる前に

            エンドポイントにポリシーを適用するには、対応するクライアント プロビジョニング ポリシー(エージェントのインストール パッケージ)を設定する必要があります。 そうしないと、エンドポイントのポスチャ ステータスは自動的にデフォルト設定が反映されます。

            手順
              ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] を選択します。
              ステップ 2   [デフォルト ポスチャ ステータス(Default Posture Status)] から、オプションに [準拠(Compliant)] または [非準拠(Noncompliant)] を選択します。
              ステップ 3   [保存(Save)] をクリックします。

              ポスチャのリース

              ユーザがネットワークにログインするたびにポスチャ評価を実行したり、指定した間隔でポスチャ評価を実行したりするよう Cisco ISE を設定できます。 有効な範囲は 1 ~ 365 日です。

              この設定は、ポスチャ評価に AnyConnect エージェントを使用するユーザだけに適用されます。

              定期的再評価

              定期的再評価(PRA)は、コンプライアンスについてすでに適切にポスチャされているクライアントにのみ実行できます。 PRA は、クライアントがネットワーク上で準拠していない場合には実行されません。

              PRA は、エンドポイントが準拠ステートになっている場合にのみ有効であり、適用可能です。 ポリシー サービス ノードは関連するポリシーを調べ、設定で定義されているクライアント ロールに応じて要件をコンパイルし、PRA を適用します。 PRA 設定の一致が見つかった場合、ポリシー サービス ノードは、クライアントの PRA 設定で定義されている PRA 属性を使用して、クライアント エージェントに応答してから、CoA 要求を発行します。 クライアント エージェントは、設定に指定された間隔に基づいて定期的に PRA 要求を送信します。 PRA が成功した場合、または、PRA 設定に指定されているアクションが続行になっている場合、クライアントは準拠ステートのままになります。 クライアントが PRA を満たしていない場合、準拠ステートから非準拠ステートに移行します。

              PostureStatus 属性は、ポスチャ再評価要求の場合でも、PRA 要求で現在のポスチャ ステータスを不明ではなく準拠と示します。 PostureStatus はモニタリング レポートでも更新されます。

              定期的再評価の設定

              コンプライアンスに対してすでに正常にポスチャされているクライアントだけの定期的な再評価を設定できます。 システムで定義されているユーザ ID グループに各 PRA を設定できます。

              はじめる前に
              • 各 PRA 設定に、一意のグループ、または設定に割り当てられているユーザ ID グループの一意の組み合わせがあることを確認します。

              • 2 つの一意のロールである role_test_1 および role_test_2 を PRA 設定に割り当てることができます。 論理演算子とこれら 2 つのロールを組み合わせ、2 つのロールの一意の組み合わせとして PRA 設定に割り当てることができます。 たとえば、role_test_1 OR role_test_2 とします。

              • 2 つの PRA 設定に共通のユーザ ID グループがないことを確認します。

              • PRA 設定がユーザ ID グループ「Any」にすでに存在する場合、次のことを実行しないと、他の PRA 設定を作成できません。

                • Any 以外のユーザ ID グループを反映するように、任意のユーザ ID グループで既存の PRA 設定を更新します。

                  または

                • ユーザ ID グループ「Any」の既存の PRA 設定を削除します。

              手順
                ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [再評価(Reassessments)] を選択します。
                ステップ 2   [追加(Add)] をクリックします。
                ステップ 3   新しい PRA を作成するには、[新規再評価の設定(New Reassessment Configuration)] ページで値を変更します。
                ステップ 4   [送信(Submit)] をクリックして、PRA 設定を作成します。

                Cisco ISE へのポスチャ更新のダウンロード

                ポスチャ更新には、Windows および Macintosh オペレーティング システムの両方のアンチウイルスとアンチスパイウェアの一連の事前定義済みのチェック、ルール、サポート表、およびシスコでサポートされるオペレーティング システム情報が含まれます。 また、ローカル ファイル システムの更新の最新のアーカイブを含むファイルから Cisco ISE をオフラインで更新することもできます。

                ネットワークに Cisco ISE を初めて展開する場合は、Web からポスチャ更新をダウンロードできます。 通常、このプロセスには約 20 分かかります。 初回ダウンロード後に、差分更新が自動的にダウンロードされるように Cisco ISE を設定できます。

                Cisco ISE では、初回ポスチャ更新時に 1 回のみ、デフォルトのポスチャ ポリシー、要件、および修復を作成します。 それらを削除した場合、Cisco ISE は後続の手動またはスケジュールされた更新中にこれらを再作成しません。

                はじめる前に

                ポスチャ リソースを Cisco ISE にダウンロードできる適切なリモート ロケーションにアクセスできるようにするには、5-2 ページの「Cisco ISE でのプロキシ設定の指定」の説明に従ってネットワークにプロキシが正しく設定されていることを確認する必要がある場合があります。

                [ポスチャ更新(Posture Update)] ページを使用して、Web から更新を動的にダウンロードできます。

                手順
                  ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [更新(Updates)] を選択します。
                  ステップ 2   [Web] オプションを選択して、更新を動的にダウンロードします。
                  ステップ 3   [デフォルトに設定(Set to Default)] をクリックして、[フィード URL の更新(Update Feed URL)] フィールドのシスコのデフォルト値を設定します。

                  ネットワークで URL リダイレクション機能(プロキシ サーバ経由など)を制限しているために、上記の URL へのアクセスに問題がある場合は、Cisco ISE で関連トピックの代替 URL を指定してください。

                  ステップ 4   [ポスチャ更新(Posture Updates)] ページの値を変更します。
                  ステップ 5   シスコからの更新をダウンロードするには、[今すぐ更新(Update Now)] をクリックします。
                  ステップ 6   Cisco ISE で他のタスクを続行するには [OK] をクリックします。

                  更新されると、[ポスチャ更新(Posture Updates)] ページに、[ポスチャ更新(Posture Updates)] ページの [更新情報(Update Information)] セクションの更新の確認として現在のシスコ更新のバージョン情報が表示されます。


                  ポスチャ更新の自動ダウンロード

                  最初の更新後に、更新を確認し、自動的にダウンロードするように Cisco ISE を設定できます。

                  はじめる前に
                  • 最初にポスチャ更新をダウンロードして、更新を確認し、自動的にダウンロードするように Cisco ISE を設定しておく必要があります。

                  手順
                    ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [更新(Updates)] を選択します。
                    ステップ 2   [ポスチャ更新(Posture Updates)] ページで [初期遅延から開始される更新の自動確認(Automatically check for updates starting from initial delay)] チェックボックスをオンにします。
                    ステップ 3   初期遅延時間を hh:mm:ss の形式で入力します。

                    Cisco ISE は、初期遅延時間の終了後に確認を開始します。

                    ステップ 4   時間間隔を時間単位で入力します。

                    Cisco ISE は初期遅延時間から指定した間隔で、展開に更新をダウンロードします。

                    ステップ 5   [はい(Yes)] をクリックして続行します。
                    ステップ 6   [保存(Save)] をクリックします。

                    ポスチャ評価の利用規定の設定

                    ログインし、クライアントのポスチャ評価が成功すると、クライアント エージェントにより一時的なネットワーク アクセス画面が表示されます。 この画面には、利用規定(AUP)へのリンクが含まれています。 ユーザがリンクをクリックすると、ネットワーク利用条件を表示するページにリダイレクトされます。その条件を読み、同意する必要があります。

                    各利用規定設定には、一意のユーザ ID グループ、またはユーザ ID グループの一意の組み合わせが必要です。 Cisco ISE は最初に一致したユーザ ID グループの AUP を見つけ、AUP を表示するクライアント エージェントと通信します。

                    手順
                      ステップ 1   [管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [利用規定(Acceptable Use Policy)] を選択します。
                      ステップ 2   [追加(Add)] をクリックします。
                      ステップ 3   [新規利用規定設定(New Acceptable Use Policy Configuration)] ページで値を変更します。
                      ステップ 4   [送信(Submit)] をクリックします。

                      ポスチャ ポリシーの設定

                      ポスチャ ポリシーは 1 つ以上の ID グループおよびオペレーティング システムに関連付けられたポスチャ要件の集合です。 ディクショナリ属性は、クライアントの異なるポリシーを定義できる、ID グループおよびオペレーティング システムと組み合わされたオプションの条件です。

                      はじめる前に
                      • 利用規定(AUP)について理解している必要があります。

                      • 定期的再評価(PRA)について理解している必要があります。

                      手順
                        ステップ 1   [ポリシー(Policy)] > [ポスチャ(Posture)] を選択します。
                        ステップ 2   ステータス タイプを選択します。
                        ステップ 3   [ルール名(Rule Name)] テキスト ボックスに、ポリシー名を入力します。
                        ステップ 4   [ID グループ(identity Groups)] から、ロールを選択します。
                        ステップ 5   [オペレーティング システム(Operating Systems)] から、オペレーティング システムを選択します。
                        ステップ 6   [その他の条件(Other Conditions)] では、1 つ以上のディクショナリ属性を追加し、単純条件または複合条件としてディクショナリに保存できます。
                        (注)     

                        [ポスチャ ポリシー(Posture Policy)] ページで作成したディクショナリ単純条件とディクショナリ複合条件は、許可ポリシーを設定するときには表示されません。

                        ステップ 7   [要件(Requirements)] から、要件を選択します。 新しい要件を作成できます。
                        ステップ 8   [完了(Done)] をクリックします。
                        ステップ 9   [保存(Save)] をクリックします。

                        ポスチャ評価オプション

                        次の表に、Windows および Macintosh の ISE Posture Agent、および Windows の Web Agent でサポートされるポスチャ評価(ポスチャ条件)オプションのリストを示します。

                        表 1 ポスチャ評価オプション

                        ISE ポスチャ エージェント

                        Windows

                        Web Agent

                        Windows

                        ISE ポスチャ エージェント

                        Macintosh OS X

                        オペレーティング システム/サービス パック/ホットフィックス

                        オペレーティング システム/サービス パック/ホットフィックス

                        プロセス チェック

                        プロセス チェック

                        レジストリ チェック

                        レジストリ チェック

                        ファイル チェック

                        ファイル チェック

                        アプリケーション チェック

                        アプリケーション チェック

                        アンチウイルスのインストール

                        アンチウイルスのインストール

                        アンチウイルスのインストール

                        アンチウイルス バージョン/アンチウイルス定義日

                        アンチウイルス バージョン/アンチウイルス定義日

                        アンチウイルス バージョン/アンチウイルス定義日

                        アンチスパイウェアのインストール

                        アンチスパイウェアのインストール

                        アンチスパイウェアのインストール

                        アンチスパイウェア バージョン/アンチスパイウェア定義日

                        アンチスパイウェア バージョン/アンチスパイウェア定義日

                        アンチスパイウェア バージョン/アンチスパイウェア定義日

                        実行中の Windows Update

                        実行中の Windows Update

                        Windows Update の設定

                        Windows Update の設定

                        WSUS のコンプライアンス設定

                        WSUS のコンプライアンス設定

                        ポスチャ修復オプション

                        次の表に、Windows および Macintosh の ISE Posture Agent、および Windows の Web Agent でサポートされる修復オプション(ポスチャ条件)のリストを示します。

                        表 2 ポスチャ修復オプション

                        ISE ポスチャ エージェント

                        Windows

                        Web Agent

                        Windows

                        ISE ポスチャ エージェント

                        Macintosh OS X

                        メッセージ テキスト(ローカル チェック)

                        メッセージ テキスト(ローカル チェック)

                        メッセージ テキスト(ローカル チェック)

                        URL リンク(リンク分散)

                        URL リンク(リンク分散)

                        URL リンク(リンク分散)

                        ファイル配布

                        ファイル配布

                        プログラム起動

                        アンチウイルス定義更新

                        アンチウイルス ライブ更新

                        アンチスパイウェア定義更新

                        アンチスパイウェア ライブ更新

                        Windows Update

                        WSUS

                        ポスチャのカスタム条件

                        ポスチャ条件は次の単純条件のいずれかになります。ファイル、レジストリ、アプリケーション、サービス、またはディクショナリ条件。 これらの単純条件のうちの 1 つ以上の条件によって複合条件が形成され、複合条件はポスチャ要件と関連付けることができます。

                        最初のポスチャ更新の後に、Cisco ISE もシスコ定義の単純条件と複合条件を作成します。 シスコ定義の単純条件では pc_ as が使用され、複合条件では pr_ as が使用されます。

                        ユーザ定義の条件またはシスコ定義の条件には、単純条件と複合条件の両方が含まれます。

                        ポスチャ サービスは、アンチウイルスおよびアンチスパイウェア(AV/AS)複合条件に基づいた内部チェックを使用します。 このため、ポスチャ レポートは、作成した正確な AV/AS 複合条件名を反映しません。 レポートには、AV/AS 複合条件の内部チェックの名前だけが表示されます。

                        たとえば、任意のベンダーおよび製品をチェックする「MyCondition_AV_Check」という名前の AV 複合条件を作成した場合、ポスチャ レポートには、条件名として、「MyCondition_AV_Check」ではなく、内部チェック「av_def_ANY」が表示されます。

                        カスタム ポスチャ修復アクション

                        カスタム ポスチャ修復アクションは、ファイル、リンク、アンチウイルスまたはアンチスパイウェア定義の更新、プログラムの起動、Windows Update、Windows Server Update Services(WSUS)の修復タイプです。

                        ファイル修復の追加

                        ファイル修復により、クライアントはコンプライアンスに必要なファイルのバージョンをダウンロードできます。 クライアント エージェントは、コンプライアンスのためにクライアントが必要とするファイルを使用してエンドポイントを修復します。

                        [ファイル修復(File Remediations)] ページでファイル修復をフィルタリング、表示、追加、または削除することはできますが、ファイル修復を編集することはできません。 [ファイル修復(File Remediations)] ページには、すべてのファイル修復がそれらの名前と説明、および修復に必要なファイルとともに表示されます。

                        手順
                          ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] を選択します。
                          ステップ 2   [修復アクション(Remediation Actions)] をクリックします。
                          ステップ 3   [ファイル修復(File Remediation)] をクリックします。
                          ステップ 4   [追加(Add)] をクリックします。
                          ステップ 5   [新規ファイル修復(New File Remediation)] ページで値を変更します。
                          ステップ 6   [送信(Submit)] をクリックします。

                          リンク修復の追加

                          リンク修復により、クライアントは修復ページまたはリソースにアクセスするための URL をクリックできます。 クライアント エージェントはリンクを使用してブラウザを開き、クライアントはコンプライアンスのために自身を修復できます。

                          [リンク修復(Link Remediation)] ページには、すべてのリンク修復がそれらの名前と説明、および修復のモードとともに表示されます。

                          手順
                            ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] を選択します。
                            ステップ 2   [修復アクション(Remediation Actions)] をクリックします。
                            ステップ 3   [リンク修復(Link Remediation)] をクリックします。
                            ステップ 4   [追加(Add)] をクリックします。
                            ステップ 5   [新規リンク修復(New Link Remediation)] ページで値を変更します。
                            ステップ 6   [送信(Submit)] をクリックします。

                            アンチウイルス修復の追加

                            アンチウイルス修復を作成して、修復後にコンプライアンスのために最新のファイル定義でクライアントを更新できます。

                            [AV 修復(AV Remediations)] ページには、すべてのアンチウイルス修復がそれらの名前と説明、および修復のモードとともに表示されます。

                            手順
                              ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] を選択します。
                              ステップ 2   [修復アクション(Remediation Actions)] をクリックします。
                              ステップ 3   [AV 修復(AV Remediation)] をクリックします。
                              ステップ 4   [追加(Add)] をクリックします。
                              ステップ 5   [新規 AV 修復(New AV Remediation)] ページで値を変更します。
                              ステップ 6   [送信(Submit)] をクリックします。

                              アンチスパイウェア修復の追加

                              アンチスパイウェア修復を作成して、修復後にコンプライアンスのために最新のファイル定義でクライアントを更新できます。

                              [AS 修復(AS Remediations)] ページには、すべてのアンチウイルス修復がそれらの名前と説明、および修復のモードとともに表示されます。

                              手順
                                ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] を選択します。
                                ステップ 2   [修復アクション(Remediation Actions)] をクリックします。
                                ステップ 3   [AS 修復(AS Remediations)] をクリックします。
                                ステップ 4   [追加(Add)] をクリックします。
                                ステップ 5   [新規 AS 修復(New AS Remediations)] ページで値を変更します。
                                ステップ 6   [送信(Submit)] をクリックします。

                                プログラム修復起動の追加

                                コンプライアンスのために、クライアント エージェントが 1 つ以上のアプリケーションを起動してクライアントを修復するプログラム修復起動を作成できます。

                                [プログラム修復起動(Launch Program Remediations)] ページには、すべてのプログラム修復起動がそれらの名前と説明、および修復のモードとともに表示されます。

                                手順
                                  ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] を選択します。
                                  ステップ 2   [修復アクション(Remediation Actions)] をクリックします。
                                  ステップ 3   [プログラム起動修復(Launch Program Remediation)] をクリックします。
                                  ステップ 4   [追加(Add)] をクリックします。
                                  ステップ 5   [新規プログラム修復起動(New Launch Program Remediation)] ページで値を変更します。
                                  ステップ 6   [送信(Submit)] をクリックします。

                                  Windows Update 修復

                                  Windows Update 修復により、セキュリティ ポリシーに従って Windows クライアントで自動更新設定がオンになるようにします。 Windows 管理者は、Windows クライアントで自動更新をオンまたはオフにできます。 Microsoft Windows では、この機能を使用して、更新の有無を定期的に確認します。 自動更新機能がオンになっていると、Windows は他の更新を行う前に、Windows 推奨の更新プログラムを自動的に更新します。

                                  Windows 自動更新設定は、Windows オペレーティング システムによって異なります。

                                  たとえば、Windows XP は自動更新を設定するために次の設定を提供しています。

                                  • [自動(Automatic)](推奨):Windows は、クライアントが推奨の Windows Update を自動的にダウンロードしてインストールすることを許可します。

                                  • [更新を自動的にダウンロードするが、インストールは手動で実行する(Download updates for me, but let me choose when to install them)]:Windows がクライアントの更新プログラムをダウンロードしますが、更新プログラムをいつインストールするかはクライアントが選択できます。

                                  • [更新を通知するのみで、自動的なダウンロードまたはインストールを実行しない(Notify me but don’t automatically download or install them)]:Windows はクライアントに通知するのみで、更新プログラムを自動的にダウンロードまたはインストールしません。

                                  • [自動更新を無効にする(Turn off Automatic Updates)]:Windows は、クライアントが Windows 自動更新機能をオフにすることを許可します。 ここで、クライアントは Windows Update Web サイト リンクから更新プログラムを定期的にインストールしないと脆弱になります。

                                  Windows Update サービス(wuaserv)が任意の Windows クライアントで開始または停止されているかどうかを、pr_AutoUpdateCheck_Rule を使用して確認できます。 これは、ポスチャ要件を作成するために使用できる事前定義されたシスコのルールです。 ポスチャ要件が失敗した場合、要件に関連付けた Windows Update 修復は、Windows クライアントに自動更新のオプションの 1 つを使用して修復するように強制します。

                                  Windows Update 修復の追加

                                  [Windows Update 修復(Windows update remediations)] ページには、すべての Windows Update 修復がそれらの名前と説明、および修復のモードとともに表示されます。

                                  手順
                                    ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] を選択します。
                                    ステップ 2   [修復アクション(Remediation Actions)] をクリックします。
                                    ステップ 3   [Windows Update 修復(Windows Update Remediation)] をクリックします。
                                    ステップ 4   [追加(Add)] をクリックします。
                                    ステップ 5   [新規 Windows Update 修復(New Windows Update Remediation)] ページで値を変更します。
                                    ステップ 6   [送信(Submit)] をクリックします。

                                    Windows Server Update Services 修復の追加

                                    コンプライアンスのためにローカルに管理されているか、または Microsoft で管理されている WSUS サーバから最新の WSUS 更新を受信するように Windows クライアントを設定できます。 Windows Server Update Services(WSUS)修復は、ローカルに管理されている WSUS サーバまたは Microsoft で管理されている WSUS サーバから最新の Windows サービス パック、ホット フィックス、およびパッチをインストールします。

                                    クライアント エージェントをローカルの WSUS Agent と統合して、エンドポイントの WSUS 更新が最新かどうかをチェックする WSUS 修復を作成できます。

                                    手順
                                      ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] を選択します。
                                      ステップ 2   [修復アクション(Remediation Actions)] をクリックします。
                                      ステップ 3   [Windows Server Update Service 修復(Windows Server Update Services Remediation)] をクリックします。
                                      ステップ 4   [追加(Add)] をクリックします。
                                      ステップ 5   [新規 Windows Server Update Service 修復(New Windows Server Update Services Remediation)] ページで値を変更します。
                                      ステップ 6   [送信(Submit)] をクリックします。

                                      ポスチャ評価要件

                                      ポスチャ要件は、ロールおよびオペレーティング システムとリンクできる修復アクションを伴う一連の複合条件です。 ネットワークに接続しているすべてのクライアントは、ネットワークで適合ホストになるためにはポスチャ評価中に必須要件を満たす必要があります。

                                      ポスチャ ポリシー要件は、ポスチャ ポリシーの必須、オプション、または監査タイプに設定できます。 要件がオプションで、クライアントがこれらの要件を満たさない場合、クライアントにはエンドポイントのポスチャ評価中に続行するオプションがあります。

                                      必須要件

                                      クライアントがポスチャ ポリシーで定義されている必須要件を満たすことができなかった場合、ポリシー評価中に修復オプションが与えられます。 エンドユーザが、修復タイマー設定で指定された時間内に要件を満たすように修復します。

                                      クライアントが必須要件を修復できない場合、ポスチャ ステータスは「非準拠」に変更され、エージェント セッションは隔離されます。

                                      オプション要件

                                      クライアントがポリシーの評価中にオプション要件を満たすことができない場合、エージェントはオプション要件をスキップできるようにエンドユーザにさらに続行するためのオプションを示します。

                                      監査要件

                                      監査要件は、ポリシー評価中に成功または失敗してもエンドユーザに表示されません。

                                      非準拠ステートでスタックしたクライアント システム

                                      クライアント マシンが必須要件を修復できない場合、ポスチャ ステータスは「非準拠」に変更され、エージェント セッションは隔離されます。 クライアント マシンを「非準拠」状態から移行するには、エージェントがクライアント マシン上でポスチャ評価を再び開始するようにポスチャ セッションを再起動する必要があります。 次のようにポスチャ セッションを再起動できます。

                                      • 802.1X 環境での有線およびワイヤレス許可変更(CoA):

                                        • [新しい許可プロファイル(New Authorization Profiles)] ページで新しい許可プロファイルを作成するときに、特定の許可ポリシーの再認証タイマーを設定できます。詳細については、20-11 ページの「ダウンロード可能 ACL の権限の設定」の項を参照してください。 この方法は、インライン ポスチャ展開ではサポートされません。

                                        • 有線ユーザは、ネットワークの接続を切断して再接続すると、隔離状態から移行できます。 ワイヤレス環境では、ユーザは、ワイヤレス LAN コントローラ(WLC)から切断し、ユーザのアイドル タイムアウト時間が過ぎるまで待機してから、ネットワークへの再接続を試行する必要があります。

                                      • VPN 環境:VPN トンネルを切断し、再接続します。

                                      クライアントのポスチャ要件の作成

                                      [要件(Requirements)] ページでは、ユーザ定義の条件とシスコ定義の条件、および修復アクションを関連付けて要件を作成できます。 [要件(Requirements)] ページで作成および保存されたユーザ定義の条件および修復アクションは、それぞれのリスト ページに表示されます。

                                      はじめる前に
                                      • ポスチャの利用規定(AUP)について理解している必要があります。

                                      手順
                                        ステップ 1   [ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [ポスチャ(Posture)] > [要件(Requirements)] を選択します。
                                        ステップ 2   [要件(Requirements)] ページに値を入力します。
                                        ステップ 3   読み取り専用モードでポスチャ要件を保存するには、[完了(Done)] をクリックします。
                                        ステップ 4   [保存(Save)] をクリックします。

                                        ポスチャのカスタム権限

                                        カスタム権限は、Cisco ISE で定義する標準許可プロファイルです。 標準許可プロファイルは、エンドポイントの一致するコンプライアンス ステータスに基づいてアクセス権を設定します。 ポスチャ サービスでは、ポスチャは大きく不明プロファイル、準拠プロファイル、および非準拠プロファイルに分類されます。 ポスチャ ポリシーおよびポスチャ要件によって、エンドポイントのコンプライアンス ステータスが決まります。

                                        VLAN、DACL および他の属性値ペアの異なるセットを持つことができるエンドポイントの不明、準拠、および非準拠のポスチャ ステータスに対して 3 つの異なる許可プロファイルを作成する必要があります。 これらのプロファイルは、3 つの異なる許可ポリシーに関連付けることができます。 これらの許可ポリシーを区別するために、Session:PostureStatus 属性を他の条件とともに使用できます。

                                        不明プロファイル

                                        エンドポイントに一致するポスチャ ポリシーが定義されていない場合、そのエンドポイントのポスチャ コンプライアンス ステータスは不明に設定されることがあります。 不明のポスチャ コンプライアンス ステータスは、一致するポスチャ ポリシーが有効であるが、エンドポイントに対してポスチャ評価がまだ行われておらず、従ってクライアント エージェントによってコンプライアンス レポートが提供されていないエンドポイントにも適用できます。

                                        準拠プロファイル

                                        エンドポイントに一致するポスチャ ポリシーが定義されている場合、そのエンドポイントのポスチャ コンプライアンス ステータスは準拠に設定されます。 ポスチャ評価が行われると、エンドポイントは、一致するポスチャ ポリシー内に定義されているすべての必須要件を満たします。 準拠とポスチャされているエンドポイントには、ネットワークに対する特権ネットワーク アクセスを付与できます。

                                        非準拠プロファイル

                                        エンドポイントのポスチャ コンプライアンス ステータスが非準拠に設定されるのは、そのエンドポイントに対して一致するポスチャ ポリシーが定義されているが、ポスチャ評価の実行中にすべての必須要件を満たすことができない場合です。 非準拠としてポスチャされたエンドポイントは、修復アクションを含むポスチャ要件に一致し、自らを修復するために修復リソースへ制限付きのネットワーク アクセスが付与される必要があります。

                                        標準許可ポリシーの設定

                                        [許可ポリシー(Authorization Policy)] ページでは、標準許可ポリシーと例外許可ポリシーの 2 種類の許可ポリシーを定義できます。 ポスチャに固有の標準許可ポリシーは、エンドポイントのコンプライアンス ステータスに基づいて、ポリシー決定を行うために使用されます。

                                        手順
                                          ステップ 1   [ポリシー(Policy)] > [許可(Authorization)] を選択します。
                                          ステップ 2   [許可ポリシー(Authorization Policy)] ページの上部に表示されるドロップダウン リストから適用する照合ルール タイプを 1 つ選択します。
                                          • [最初に一致したルールの適用(First Matched Rules Apply)]:このオプションでは、評価中に標準許可ポリシーのリストで最初に一致した単一の許可ポリシーを使用して、アクセス権限が設定されます。 最初の一致許可ポリシーが見つかると、残りの標準許可ポリシーは評価されません。
                                          • [複数の一致するルールの適用(Multiple Matched Rule Applies)]:このオプションでは、評価中にすべての標準許可ポリシーのリストで一致した服すの許可ポリシーを使用して、アクセス権限が設定されます。
                                          ステップ 3   デフォルトの標準許可ポリシー行の [編集(Edit)] の横の下矢印をクリックします。
                                          ステップ 4   [新規ルールを上に挿入(Insert New Rule Above)] をクリックします。
                                          ステップ 5   ルール名を入力し、ID グループおよびその他の条件を選択し、デフォルトの標準許可ポリシー行の上に表示される新しい許可ポリシー行に許可プロファイルを関連付けます。
                                          ステップ 6   読み取り専用モードで新しい標準許可ポリシーを作成するには、[完了(Done)] をクリックします。
                                          ステップ 7   [保存(Save)] をクリックします。