Cisco NAC アプライアンス - Clean Access Manager インストレーション コンフィギュレーショ ン ガイド
エージェント要件の設定
エージェント要件の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 23MB) | フィードバック

目次

エージェント要件の設定

概要

AV および AS Definition Update 要件の設定

AV 規則および AS 規則

AV/AS サポート情報の確認

AV 規則の作成

AV Definition Update 要件の作成

AS 規則の作成

AS Definition Update 要件の作成

Windows Server Update Services 要件の設定

Windows Server Update Service 要件の作成

Windows 規則への Windows Server Update Service 要件のマップ

Windows Update 要件の設定

Windows Update 要件の作成

Windows 規則への Windows Update 要件のマップ

カスタム チェック、規則、および要件の設定

カスタム要件

シスコの規則

シスコの設定済み規則(「pr_」)

カスタム チェック

シスコの設定済みチェック(「pc_」)

CSA をチェックするための設定済み規則の使用

チェックおよび規則のコピー

設定の概要

カスタム チェックの作成

レジストリ チェック

ファイル チェック

サービス チェック

アプリケーション チェック

カスタム規則の作成

規則の検証

カスタム規則の作成

File Distribution /Link Distribution / Local Check 要件の作成

Launch Programs 要件の設定

admin 権限によるプログラムの起動

admin 権限なしのプログラムの起動

Agent によるデジタル署名の確認および実行可能プログラムの信頼方法

設定例

Launch Programs 要件の作成

CAA を介した Launch Programs 例

要件と規則のマッピング

ユーザ ロールへの要件の適用

要件の検証

Optional および Audit 要件の設定

要件の自動修復の設定

Mac OS X Agent 要件の作成

AV および AS Definition Update 要件の設定

AV 規則および AS 規則

AV/AS サポート情報の確認

AV 規則の作成

AV Definition Update 要件の作成

AS 規則の作成

AS Definition Update 要件の作成

カスタム要件の設定

設定の概要

カスタム要件の作成

規則への要件のマップ

ロールへの要件の適用

要件の検証

Optional および Audit 要件の設定

レポートの表示

Agent レポートのエクスポート

レポート数の制限

エージェント要件の設定

この章では、クライアント マシン上で Clean Access Agent(CAA)および Cisco NAC Web Agent がポスチャ評価と修復を実行できるように CAM の要件を設定する方法について説明します。

「概要」

「AV および AS Definition Update 要件の設定」

「Windows Server Update Services 要件の設定」

「Windows Update 要件の設定」

「カスタム チェック、規則、および要件の設定」

「Launch Programs 要件の設定」

「要件と規則のマッピング」

「ユーザ ロールへの要件の適用」

「要件の自動修復の設定」

「Mac OS X Agent 要件の作成」

「レポートの表示」

概要


) Mac OS X CAAは、Windows CAA および Cisco NAC Web Agent 用に設計された要件、規則、チェックのサブセットだけをサポートします。Mac OS X エージェント固有の要件、規則、チェック情報の詳細については、「Mac OS X Agent 要件の作成」 を参照してください。


要件

CAA または Cisco NAC Web Agent を実行しているクライアント マシンのポスチャ評価を実行するために、クライアントのオペレーティング システムで実行するクライアント評価タイプ基づいて、要件を設定し実装する必要があります。要件は、ネットワーク アクセスを実現するためにユーザがシステムで実行しなければならない(あるいは、実行してはならない)機能について、ビジネスレベルの判断を行う場合に使用されます。要件のメカニズムは、ユーザ ロールでクライアントが満たさなければならない 1 つまたは複数の規則に、クライアントが違反した場合のユーザの対処法をマップします。新しい要件を作成する場合、いくつかの異なる要件タイプから 1 つ(たとえば、AV Definition Update)を選択し、クライアントが要件に違反した場合に、ユーザに表示する Agent ダイアログのオプション、ボタン、および対処法の説明を設定します。異なる要件タイプを作成する手順の詳細については、次を参照してください。

「AV および AS Definition Update 要件の設定」

「Windows Server Update Services 要件の設定」

「Windows Update 要件の設定」

「カスタム チェック、規則、および要件の設定」

「Launch Programs 要件の設定」

規則

Windows Server Update Service(WSUS)の「Severity」オプション要件タイプを除くすべてのケースにおいて、クライアント マシンでセキュリティ標準を満たしていることを確認するために、規則を要件にマップする必要があります。規則は、クライアント マシンを検証し、要件を満たしているかどうかを評価するために Agent が使用する単位です。規則には、次のものがあります。

AV/AS 要件に関連付けられた設定済み AV/AS 規則。これには、クライアント マシンを検証するための追加チェックが不要です。

1 つまたは複数の存在チェックを備えた設定済みシスコ規則(pr_rule)。たとえば、「Critical」アップデートだけに対処する Windows ホット フィックス関連「pr_」規則です。pr_rules を複数の異なる要件タイプの検証基準としてマッピングできます。Cisco Rules の詳細については、「シスコの設定済み規則(「pr_」)」を参照してください。

1 つまたは複数の設定済みまたはカスタム チェックで構成されたカスタム規則。カスタム規則は、チェックに基づいて規則式を設定することでユーザ自身が作成するものです。

規則の要件をマッピングする詳細については、「要件と規則のマッピング」 を参照してください。

チェック

チェックは規則の基礎的な要素ですが、多くの場合これを設定する必要はありません。チェックは選択された OS に対応する単一のレジストリ、ファイル、サービス、またはアプリケーション チェックです。カスタム ファイルを作成する場合に使用されます。チェックには、シスコの設定済みチェック(pc_ check)または自分で作成するカスタム チェックがあります。規則を要件にマッピングする際に、正確にクライアント マシンを検証するために適切なチェック(pc_ checks またはカスタム チェック)が所定の位置に配置されていることを確認します。


) 設定済み(pr_)規則は、すでにクライアント マシンのセキュリティ標準を検証する 1 つまたは複数のチェックと関連付けられています。設定済み規則またはチェックがニーズと一致しない場合だけカスタム規則またはチェックを作成する必要があります。詳細については、「カスタム チェック、規則、および要件の設定」を参照してください。


ロール マッピング

要件を 1 つまたは複数の規則にマッピングした後、最後の手順は要件を標準ログイン ユーザ ロールに関連付けることです。標準ユーザ ロールへの認証を試行するユーザは、標準ログイン ロールに対応する要件にパスするまで、Temporary ロールに配置されます。

この要件に正常に適合したユーザは、標準ログイン ロールでのネットワーク作業が許可されます。

要件に違反したユーザは、Agent ダイアログに記載された手順を実行して、要件に正常に適合しないかぎり、Temporary ロールのままでセッションをタイムアウトします。

ロールへの要件のマッピングに関する詳細は、「ユーザ ロールへの要件の適用」を参照してください。


) 要件を標準ログイン ユーザ ロールにマップするには、「ユーザ ロールの作成」の説明に従って、ロールを作成しておく必要があります。


ユーザ ログイン/エージェント動作

ユーザ ログイン/修復中に、[Agent] ダイアログには、クライアント マシンを検証するために割り当てられた要件に応じて、ユーザがクリックできるさまざまなボタンが表示されます。

[File Distribution] では、CAA に [Download] ボタンが表示されます。

[Link Distribution] では、CAA/Cisco NAC Web Agent に [Go To Link] ボタンが表示されます。

[Local Check] では、CAA に [Download] ボタン(ディセーブル)が表示されます。

[AV Definition Update] では、CAA に [Update] ボタンが表示されます。

[AS Definition Update] では、CAA に [Update] ボタンが表示されます。

[Windows Update] では、CAA に [Update] ボタンが表示されます。

[Launch Programs] では、CAA に [Launch] ボタンが表示されます。

[Windows Server Update Service] では、CAA に [Update] ボタンが表示されます。

アウトオブバンド ユーザの場合は、要件の認証および適合に成功すると、インバンド ネットワーク(認証 VLAN 上)を離れて、アクセス VLAN 上のアウトオブバンド ネットワークにアクセスできます。

Agent ダイアログおよび動作の詳細については、 第 13 章「Cisco NAC アプライアンス エージェント」 を参照してください。


) Mac OS X Agent は、Windows Clean Access Agent および Cisco NAC Web Agent と同じ動作を備えていません。Mac OS X Agent の動作の詳細については、「Cisco NAC Web Agent」を参照してください。


AV および AS Definition Update 要件の設定


) Mac OS X CAAは、Windows CAA および Cisco NAC Web Agent 用に設計された要件、規則、チェックのサブセットだけをサポートします。Mac OS X エージェント固有の要件、規則、チェック情報の詳細については、「Mac OS X Agent 要件の作成」 を参照してください。


[AV Definition Update] および [AS Definition Update] 要件タイプは、クライアント上にあるサポート対象 AV/AS 製品の定義ファイルのレポートおよび更新に使用できます。クライアントが AV/AS 要件に違反した場合、CAA はクライアントにインストールされた AV/AS ソフトウェアと直接通信します。ユーザが CAA ダイアログ の [Update] ボタンをクリックすると、定義ファイルは自動的に更新されます。


) Cisco NAC Web Agent は、[Go To Link] 手動修復機能だけをサポートしています。Cisco NAC Web Agent は、[Update]、[Download]、または [Launch] 修復アクション、および自動修復をサポートしていません。


AV 規則には AV ベンダーに関するロジックが多数組み込まれていて、AV Definition Update 要件が対応付けられています。AS 規則にはほとんどの AS ベンダーに関するロジックが組み込まれていて、AS Definition Update 要件が対応付けられています。AV または AS Definition Update 要件の場合、チェックを設定する必要はありません。次のように対応付けます。

AV Definition Update 要件と AV 規則およびユーザ ロールや OS

AS Definition Update 要件と AS 規則およびユーザ ロールや OS

さらに、AV/AS 要件に違反した場合にユーザに表示する Agent ダイアログの説明を設定します。


) 可能であれば、クライアントの AV ソフトウェアをチェックする場合に、AV Definition Update 要件に対応付けられた AV 規則を使用することを推奨します。サポート対象外の AV 製品の場合、または AV 規則を介して AV 製品/バージョンを使用できない場合、管理者は常に AV ベンダーに関するシスコ提供の pc_ checks および pr_rules を使用したり、[Device Management] > [Clean Access] > [Clean Access Agent] を通して([New Check]、[New Rule]、および [New File/Link/Local Check Requirement] を使用して)独自のカスタム チェック、規則、および要件を作成することができます(「カスタム チェック、規則、および要件の設定」を参照)。

Cisco NAC アプライアンスは AV ベンダーがサポートするインストール方式およびメカニズムと連携して機能します。AV ベンダーが AV 製品の基本メカニズム突然変更した場合、Clean Access チームはできるだけ早く Supported AV/AS Product List または CAA/Cisco NAC Web Agent を更新して、新しい AV 製品の変更をサポートします。その間に、管理者は常に目的の AV 製品に「カスタム」規則(pc_checks/pr_ 規則など)を使用して対処し、[Any selected rule succeeds] の要件を設定することができます。


図 12-1に、クライアントが AV Definition Update 要件に違反した場合に表示される CAA ダイアログを示します。

図 12-1 Required AV Definition Update(CAA ユーザ ダイアログ)

 

AV 規則および AS 規則

AV 規則および AS 規則は、Supported AV/AS Product List 内のベンダーおよび製品のリストに対応付けられた設定済みの規則タイプです。このタイプの規則を含むチェックを設定する必要はありません。

AV 規則には 2 つの基本タイプがあります。

[Installation AV Rules]:選択された AV ソフトウェアがクライアント オペレーティング システムに対応するようにインストールされているかどうかを調べます。

[Virus Definition AV Rules]:クライアントのウイルス定義ファイルが最新であるかどうかを調べます。[Virus Definition AV Rules] を AV Definition Update 要件に対応付けると、要件に違反したユーザが CAA の [Update] ボタンをクリックして更新を自動実行し、システム レポート機能が要件の Cisco NAC Web Agent ユーザに警告することができるようになります。

AS 規則には 2 つの基本タイプがあります。

[Installation AS Rules]:選択された AS ソフトウェアがクライアント OS に対応するようにインストールされているかどうかを調べます。

[Spyware Definition AS Rules]:クライアントの AS 定義ファイルが最新であるかどうかを調べます。[Spyware Definition AS Rules] を AS Definition Update 要件に対応付けると、要件に違反したユーザが CAA の [Update] ボタンをクリックして更新を自動実行し、システムレポート機能が要件の Cisco NAC Web Agent ユーザに警告することができるようになります。

通常、[AV Rules] は [AV Definition Update] 要件に、[AS Rules] は [AS Definition Update] 要件に対応付けられます。

AV Definition Update 要件を作成する手順は、次のとおりです。


ステップ 1 「AV/AS サポート情報の確認」

ステップ 2 「AV 規則の作成」

ステップ 3 「AV Definition Update 要件の作成」

ステップ 4 「要件と規則のマッピング」

ステップ 5 「ユーザ ロールへの要件の適用」

ステップ 6 「要件の検証」


 

AS Definition Update 要件を作成する手順は、次のとおりです。


ステップ 1 「AV/AS サポート情報の確認」

ステップ 2 「AS 規則の作成」

ステップ 3 「AS Definition Update 要件の作成」

ステップ 4 「要件と規則のマッピング」

ステップ 5 「ユーザ ロールへの要件の適用」

ステップ 6 「要件の検証」


 


) AV または AS 規則/要件を別の方法で設定する方が便利な場合があります。次の例を参考にしてください。

特定のベンダーの一部の製品バージョンでは、CAA による製品の自動更新をサポートしていない場合があります。この場合は、インストールされた AV/AS 製品のインターフェイスを通して、AV/AS 定義ファイルを更新するようにユーザに指示する説明を設定できます(AV または AS Definition Update 要件の [Description] フィールドを使用)。

AV または AS 規則に別の要件タイプ([Link Distribution] や [Local Check] など)を対応付けて、CAA ボタンおよびユーザの対処法を [Update] から [Go to Link] に変更したり、アクション ボタンをディセーブルにして説明だけを表示することができます。この方法により、ユーザが実行するアクションを柔軟に設定できます。

異なる Enforce Type も設定できます。クライアント向けのレポートを生成したり、ユーザが要件を満たす期間を延長し、その期間はユーザがネットワークからブロックされないようにできます。詳細については、「Optional および Audit 要件の設定」を参照してください。


 

AV/AS サポート情報の確認

Cisco NAC アプライアンスを使用すると、複数のバージョンの CAA をネットワークで使用できます。Agent に新しいアップデートを適用すると、リリース時点での最新の AV/AS 製品のサポートが追加されます。最適な方法(Def Date または Def Version)が選択され、入手可能な AV/AS 製品および Agent のバージョンに基づいて AV/AS 定義チェックを実行します。[AV/AS Support Info] ページには、CAM にダウンロードされた最新の Supported AV/AS Product List と Agent の互換性が詳細に表示されています。また、AV/AS 製品ごとの定義ファイルの最新バージョンや日付、および製品サポートに必要な Agent のベースライン バージョンが表示されています。クライアントの AV/AS 情報と、[AV/AS Support Info] ページを比較して、クライアントの定義ファイルが最新であるかを確認できます。ネットワークで複数のバージョンの Agent が稼動している場合、このページを使用すると、特定の製品をサポートするため実行しなければならないバージョンを判別することができます。

Agent サポート詳細を表示するには、次の手順を行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] に移動します。

ステップ 2 [Category] ドロップダウン メニューで [Antivirus](図 12-2)または [Anti-Spyware](図 12-3)を選択します。

図 12-2 AV/AS Support Info - AV ベンダーの例

 

図 12-3 AV/AS Support Info - AS ベンダーの例

 

ステップ 3 ドロップダウン メニューで、対応するベンダー([Antivirus Vendor] または [Anti-Spyware Vendor])を選択します。

ステップ 4 AS 製品の場合、サポートされているのは Windows Vista/XP/2K オペレーティング システムだけです。製品の詳細については、[Minimum Agent Version Required to Support AS Products] テーブルで確認してください。


) AS 定義の日付/バージョンの定期更新は、Cisco Updates から実行できます。更新サービスが使用可能になるまで、システムは定義ファイルを AS Spyware Definition 規則([Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules])の現在のシステム日付よりも x 日間古い日付に設定します。


ステップ 5 AV 製品の場合は、[Operating System] ドロップダウン メニューで次のオペレーティング システムのいずれかを選択し、クライアント システムのサポート情報を表示します。

Windows Vista/XP/2000

Windows 9x/ME


) リリース 4.5 Web コンソール設定ページにオプションが表示されている場合でも、Cisco NAC アプライアンスは、Windows ME または Windows 98 クライアント ログインを公式にサポートしなくなりました。


Mac OSX


) Mac OS X クライアント マシン要件設定の詳細については、「Mac OS X Agent 要件の作成」を参照してください。


この選択を行うと、次のテーブルにデータが読み込まれます。

[Minimum Agent Version Required to Support AV Products] は、各 AV 製品のサポートに必要な最小の Agent バージョンを表示します。たとえば、4.1.3.0 以降の Agent は Aluria Security Center AntiVirus 1.x を必要とするロールにログインすることはできますが、これよりも前の Agent バージョンの場合は、このチェックが失敗します。特定のバージョンの Agent が Def Date と Def Version の両方のチェックをサポートする場合、Def Version チェックが使用されます。

[Latest Virus Definition Version/Date for Selected Vendor] は、AV 製品の最新バージョンと日付の情報を表示します。最新クライアントの AV ソフトウェアに、同じ値が表示されます。


) Agent はバージョン情報を CAM に送信します。CAM が最初に AV チェックに使用するのは、常にウイルス定義のバージョンです。バージョンを使用できない場合、CAM はウイルス定義の日付を使用します。



ヒント [New AV Rule] フォームで AV ベンダーを選択した場合も、最新の定義ファイル バージョンを表示できます。



 

AV 規則の作成

AV 規則を設定するには、次の手順を行います。


ステップ 1 最新バージョンの Supported AV/AS Product List が存在することを確認してください(「アップデートの取得」を参照)。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AV Rule] に移動します。

図 12-4 New AV Rule

 

ステップ 3 [Rule Name] を入力します。名前内には数字および下線を使用できますが、スペースは使用できません。

ステップ 4 ドロップダウン メニューで、特定の [Antivirus Vendor] または [ANY](任意の)ベンダーを選択します。この操作を行うと、選択した [Operating System] に対応する、[ANY](任意の)ベンダー オプションの情報または指定ベンダーのサポート対象製品および製品バージョンが、ページの下部にある [Checks for Selected Operating Systems] テーブルに読み込まれます。

ステップ 5 [Type] ドロップダウン メニューで、[Installation] または [Virus Definition] を選択します。このようにすると、下部のテーブル内の、対応する [Installation] または [Virus Definition] カラムのチェックボックスがイネーブルになります。

ステップ 6 ドロップダウン メニューから [Operating System] を選択します。この操作を行うと、このクライアント OS でサポートされる製品バージョンが下部のテーブルに読み込まれます。

Windows Vista/XP/2000

Windows ME/98


) リリース 4.5 Web コンソール設定ページにオプションが表示されている場合でも、Cisco NAC アプライアンスは、Windows ME または Windows 98 クライアント ログインを公式にサポートしなくなりました。


Mac OSX


) Mac OS X クライアント マシン要件設定の詳細については、「Mac OS X Agent 要件の作成」を参照してください。


ステップ 7 オプションの [Rule Description] に入力します。

ステップ 8 [Checks for Selected Operating Systems] テーブルで、対応する [Installation] または [Virus Definition] カラム内のチェックボックスをクリックして、クライアント上で検索する製品バージョンを選択します。

[ANY] をクリックすると、この AV ベンダーのすべての製品およびバージョンが検索されます。

[Installation] は、製品がインストールされているかどうかを調べます。

[Virus Definition] は、指定された製品のウィルス定義ファイルが、クライアント上で最新かどうかを調べます。


) 定義規則では、Agent は最初に製品がインストールされているかどうかを確認し、次に定義ファイルが最新かどうかを調べます。


ステップ 9 [Add Rule] をクリックします。新しい AV 規則が [Rule List] の下部に、指定した名前で追加されます。


) AV 規則を設定する際に、[ANY] AV ベンダー オプションと、ベンダー固有の [ANY Product/ANY Version] オプションでは、次のように動作が異なります。

ANY ベンダーの場合、Agent はインストールされた製品がサポート対象ベンダーからのものかどうかについて、サーバを問い合せる必要があります。Agent は、ログイン セッションの最初にだけ問い合せるために、ユーザは [Cancel] をクリックするか Agent を再起動して、サーバの応答を更新し、ログイン プロセスを繰り返す必要があります。

特定のベンダーの [ANY Product/ANY Version] の場合、Agent はクライアント マシンにインストールしたもの対して必要なベンダーが一致していることだけが必要です。問い合せは不要です。


 


 

AV Definition Update 要件の作成

次の手順は、対応する AV 規則を使用して特定の AV 製品およびバージョンのクライアント システムを検索する、新しい AV Definition Update 要件を作成する方法を示します。クライアントの AV 定義ファイルが最新でない場合、ユーザは CAA の [Update] ボタンをクリックして、Agent 独自の更新メカニズムを既存の AV ソフトウェアによって起動することができます。実際のメカニズムは、AV 製品ごとに異なります(ライブ アップデートやコマンド ライン パラメータなど)。


) Cisco NAC Web Agent は、[Go To Link] 手動修復機能だけをサポートしています。Cisco NAC Web Agent は、[Update]、[Download]、または [Launch] 修復アクション、および自動修復をサポートしていません。


AV Definition Update 要件を作成するには、次の手順を行います。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニュー リンクをクリックしてから、[New Requirement] を選択します。

図 12-5 New Requirement

 

ステップ 2 [Requirement Type] で、[AV Definition Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で CAA および Cisco NAC Web Agent ダイアログに表示されることを意味します。Mandatory 要件が失敗する場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 CAA の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、CAA の [Next] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します (デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 ドロップダウン メニューで [Antivirus Product Name] を選択するか、[ANY] を選択します。[Products] テーブルに、クライアント OS ごとにサポートされているウイルス定義製品のバージョンがすべて表示されます。

ステップ 7 [Requirement Name] に、Agent 内でこの AV ウイルス定義ファイル要件を識別する一意の名前を入力します。名前は、CAA または Cisco NAC Web Agent ダイアログでユーザが確認できます。

ステップ 8 [Description] フィールドに、要件の説明、および要件に違反したユーザの指針となる手順を入力します。AV Definition Update 要件の場合、[Update] ボタンをクリックしてシステムを更新するために、要件の Cisco NAC Web Agent ユーザおよび CAA ユーザに警告する手順を含めます。

ステップ 9 少なくとも 1 つのクライアント [Operating System ]に対応するチェックボックスをクリックします(少なくとも 1 つをオンにする必要があります)。

ステップ 10 [Add Requirement] をクリックして、Requirement List に要件を追加します。


 

AS 規則の作成

AS 規則を設定するには、次の手順を行います。


ステップ 1 最新バージョンの Supported AV/AS Product List が存在することを確認してください(「アップデートの取得」を参照)。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AS Rule] に移動します。

図 12-6 New AS Rule

 

ステップ 3 [Rule Name] を入力します。名前内には数字および下線を使用できますが、スペースは使用できません。

ステップ 4 ドロップダウン メニューで [Anti Spyware Vendor] を選択するか、または [ANY] を選択して、サポートされている AS ベンダーまたは製品をすべて選択します。この操作を行うと、ページ下部にある [Checks for Selected Operating Systems] テーブルに、(選択された [Operating System]に対応する)このベンダーのサポート対象製品および製品バージョンが読み込まれます。

ステップ 5 [Type] ドロップダウン メニューで、[Installation] または [Spyware Definition] を選択します。このようにすると、その下のテーブル内の、対応する [Installation] または [Spyware Definition] カラムのチェックボックスがイネーブルになります。

ステップ 6 ドロップダウン メニューから [Operating System] を選択します。

Windows Vista/XP/2000

Mac OSX


) Mac OS X クライアント マシン要件設定の詳細については、「Mac OS X Agent 要件の作成」を参照してください。


ステップ 7 オプションの [Rule Description] に入力します。

ステップ 8 [Checks for Selected Operating Systems] テーブルで、対応する [Installation] または [Spyware Definition] カラム内のチェックボックスをクリックして、クライアント上で検索する製品バージョンを選択します。

[ANY] をクリックすると、この AS ベンダーのすべての製品およびバージョンが検索されます。

[Installation] は、製品がインストールされているかどうかを調べます。

[Spyware Definition] は、指定された製品のスパイウェア定義ファイルが、クライアント上で最新かどうかを調べます。


) 定義規則では、Agent は最初に製品がインストールされているかどうかを確認し、次に定義ファイルが最新かどうかを調べます。


ステップ 9 [Add Rule] をクリックします。新しい AS 規則が [Rule List] の下部に、指定した名前で追加されます。


 

AS Definition Update 要件の作成

AS Definition Update 要件を作成するには、次の手順を行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 12-7 新しい AS Definition Update 要件

 

ステップ 2 [Requirement Type] で、[AS Definition Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。

ステップ 5 CAA の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、CAA の [Next] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します (デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 ドロップダウン メニューで [Anti-Spyware Vendor Name] を選択するか、[ANY] を選択します。[Products] テーブルに、クライアント OS ごとに現在サポートされているスパイウェア定義製品のバージョンがすべて表示されます。

ステップ 7 [Requirement Name] に、Agent 内でこの AS 定義ファイル要件を識別する一意の名前を入力します。名前は、CAA または Cisco NAC Web Agent ダイアログでユーザが確認できます。

ステップ 8 [Description] フィールドに、要件の説明、および要件に違反したユーザの指針となる手順を入力します。AS Definition Update 要件の場合、[Update] ボタンをクリックしてシステムを更新するために、要件の Cisco NAC Web Agent ユーザと CAA ユーザに対して警告する手順を含めます。

ステップ 9 少なくとも 1 つのクライアント [Operating System ]に対応するチェックボックスをクリックします(少なくとも 1 つをオンにする必要があります)。

ステップ 10 [Add Requirement] をクリックして、Requirement List に要件を追加します。


 

Windows Server Update Services 要件の設定


) 非管理者ユーザの場合、Agent スタブが WSUS 要件で必須です。詳細については、「CAA スタブ インストーラ」を参照してください。


CAA の Windows Server Update Services 要件タイプの設定ページを使用すると、管理者は次の点に基づいて Agent ユーザ マシンで Windows Server Update Services(WSUS)を起動できます。

特定の Windows オペレーティング システムに対する、Cisco Rules(pr_ <Windows operating system> _hotfixes など)や管理者が設定したカスタム規則

Windows Update 重大度チェック

「Cisco Rules」を使用して Windows クライアント マシンを検証することを選択した場合、CAM 内の 1 つまたは複数の規則に WSUS 要件をマッピングする必要もあります。既存の Cisco(pr_hotfix) Rules をクライアント マシンに要件をマッピングするか、Cisco NAC アプライアンス ネットワークへのアクセスを許可する前にクライアント マシンが特定の基準を確実に満たすように作成した規則をカスタマイズするのかを選択できます。外部サーバ アクセスが不要であるため、Cisco Rules を使用すると、より迅速にクライアントの検証とユーザ ログインを行うことができます。ただし、クライアント マシンは Cisco Rules に含まれる「Critical」ホットフィックスに対してだけチェックされます。pr_rules の詳細については、「カスタム チェック、規則、および要件の設定」を参照してください。

Windows Update [Severity] オプションを使用してクライアント マシンを検証することを選択した場合、要件と規則のマッピングを設定する必要がなく、チェックに対応するホットフィックスのレベルを選択できます。次に、[Severity] ポスチャ評価設定では、クライアント マシンのセキュリティ コンプライアンスを検証し、Windows Updates をインストールするために、外部 WSUS 更新サーバへのアクセスが必要です。これらを完了させるには非常に長い時間がかかる可能性があります。

「Windows Server Update Services」 要件は、修復用に CAA に [Update] ボタンを用意しています。エンド ユーザが [Update] ボタンをクリックすると、CCA Agent は Automatic Updates Agent を起動して、Microsoft 管理またはローカル/サードパーティ管理の WSUS サーバからアップデート ソフトウェアを取得するように強制します。WSUS 要件を [Mandatory] にすることはできますが、WSUS サーバからのソフトウェアのダウンロードに時間がかかる場合があります(特に、[Severity] 設定を使用してクライアント マシンを検証した場合)。したがって、クライアント マシンで WSUS 修復をバックグランド プロセスとして実行するように、WSUS 要件を [Optional] にすることを推奨します。


) Cisco NAC Web Agent は、[Go To Link] 手動修復機能だけをサポートしています。Cisco NAC Web Agent は、[Update]、[Download]、または [Launch] 修復アクション、および自動修復をサポートしていません。


Windows Updates をイネーブルまたはディセーブルにすることだけが必要な場合(つまり、Microsoft 重大度レベルに基づいて特定の更新が必要ない場合)、WSUS 要件の代わりに標準 Windows Update 要件を設定できます。詳細については、「Windows Update 要件の設定」を参照してください。

前提条件

ネットワーク管理者は、自動起動機能をサポートするローカル WSUS サーバをサポートするために、Automatic Updates Agent が更新されていることを確認する必要があります。詳細については、以下を参照してください。

http://www.microsoft.com/windowsserversystem/updateservices/evaluation/faqs.mspx

admin ユーザ以外のユーザは Agent スタブ インストーラを使用して WSUS 要件を実行する必要があります。詳細については、「CAA スタブ インストーラ」を参照してください。

Windows Server Update Services 要件タイプは、Windows 2000、Windows XP、および Windows Vista に限定されます。

Windows Server Update Services 操作をサポートするには、クライアント マシンに WUAUENG.dll ファイルのバージョン 5.4.3790.1000(またはより最新のバージョン)がインストールされている必要があります。

一部の Microsoft Windows コンポーネント(たとえば、Internet Explorer 7)では、アップデートを正常に行うために admin 権限が必要になります。ユーザがクライアント マシンに admin 権限を持たない場合は、Windows アップデート プロセスが「WU_E_NO_INTERACTIVE_USER」エラーを戻します。そのため、admin 権限を必要とする Windows アップデートを Optional にして、アップデートの失敗を最小限に抑えることを推奨します。詳細については、以下を参照してください。

http://msdn2.microsoft.com/en-us/library/aa387289.aspx

WSUS によって強制されたアップデートは、時間がかかる場合があります。このアップデートは、バックグラウンドで起動されて、実行されます。

クライアント修復中にその他のすべてのデスクトップ Windows の最上部に WSUS アップデート/インストール ダイアログが必要な場合、「KeepWSUSOnTop」DWORD レジストリ設定を使用できます。詳細については、 付録 C「Windows クライアント レジストリ設定」 表 C-3 を参照してください。

アップデート エラーがある場合は、クライアント マシンの C:¥Windows¥Windows Update.log または C:¥Windows¥WindowsUpdate.log を参照してください。

Windows Server Update Service 要件を作成する手順は、次のとおりです。


ステップ 1 「Windows Server Update Service 要件の作成」

ステップ 2 「Windows 規則への Windows Server Update Service 要件のマップ」

ステップ 3 「ユーザ ロールへの要件の適用」

ステップ 4 「要件の検証」


 

Windows Server Update Service 要件の作成

WSUS 要件を設定する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 12-8 新規の Windows Server Update Service 要件

 

ステップ 2 [Requirement Type] ドロップダウン メニューから、[Windows Server Update Services] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。これが Mandatory 要件でそれが失敗する場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 CAA の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、CAA の [Next] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します (デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 [Windows Updates Validation by] で、クライアント マシンにインストールされている Windows オペレーティング システムを検証する際に使用する検証方法を指定します。

[Cisco Rules]:Cisco Rules(たとえば pr_ <Windows operating system> _Hotfixes)または CAM 上の類似の管理者設定カスタム規則を使用して、クライアントの Windows オペレーティング システムが最小のセキュリティ標準を満たしているかどうかを確認します。これは、クライアント マシンのセキュリティ ポスチャに迅速にアクセスする方法で、CAM ローカル データベースでアクセス可能な基準を前提にしています。迅速な実行のために、(「Critical」および「Important」Windows updates をインストールする) Express インストールとともに Cisco Rules を検証方法として使用し、インストール元として Windows Servers を使用することを推奨します。


) このオプションを選択した場合、「Windows 規則への Windows Server Update Service 要件のマップ」で説明しているように要件とルールのマッピングを設定する必要があります。

独自のカスタム規則を使用して検証する場合、既存の Cisco Rule(たとえば pr_<Windows operating system>_Hotfixes)と同じように設定することを推奨します。チェックするために、ホットフィックスの重大度レベルを把握しておく必要があります(たとえば「Important」対 「Low」)。詳細については、「チェックおよび規則のコピー」を参照してください。


[Severity]:Microsoft の管理するサーバまたはローカルの Windows Update サーバを使用して、クライアントの Windows オペレーティング システムが最小セキュリティ標準を満たしているかどうかを確認します。この検証方法では、WSUS 要件を任意の規則にマッピングする必要はありません。ただし、[Severity] 設定には、外部 WSUS サーバを使用してアップデートが現在クライアント マシンにインストールされていることを確認して、要件を満たすために必要な Windows Updates をインストールするために、CAM が必要です。

ローカル管理またはホスト Windows(WSUS)サーバを使用して Windows Updates を実行して、WSUS 要件を満たしている場合、CAA は WSUS にアップデートをインストールするように要求します。WSUS エージェントは、指定された重大度レベルで使用可能な「すべての」アップデートを自動的にインストールすることに注意してください (つまり、5 つの「Important」アップデートと 3 つの「Critical」アップデートがあり、クライアント マシンにすでにいくつかのアップデートが実行されている場合、WSUS インストーラは要件タイプに指定された「すべての」アップデートを自動的にインストールします)。その結果、重大度に基づくクライアント マシンの検証で、評価と修復に時間がかかる可能性があります。


) ステップ 9 の [Windows Updates Installation Sources] 設定で、[Severity] オプションに一致する検証方法を設定します。


ステップ 7 [Windows Updates to be Installed] で、インストールするアップデートのレベルを指定します。検証方法は、基本的にアップデートをトリガするためにマシンで不足しているものをチェックします。実際のアップデートは、Microsoft または WSUS サーバから送信されます。インストールされたアップデートの数は、ここで選択したアップデートのレベルに依存します。たとえば、Critical ホットフィックスだけを選択する Cisco Rules による検証を選択し、 [Medium] レベルで、[Custom] Windows Updates をインストールすることを選択した場合、Critical ホットフィックスがクライアントで不足している場合に限り、すべての「Critical」、「Important」、および「Moderate」ホットフィックスがクライアントにインストールされます。

[Express]:このオプションは、Windows Update アプリケーションの [Express] オプションから入手できる Windows Updates をインストールします。一般的に、[Express] オプションには、[Important and Critical] Windows Updates だけが含まれています。ただし、Express アップデートの Microsoft バージョンがその他のインストール(Service Pack アップデートなど)を含んでいる場合、「すべての」アップデートが自動的にクライアント マシンにインストールされます。

[Custom]:この設定と関連するドロップダウン メニューを使用し、関連するドロップダウン メニューから [Critical]、[Medium]、または [All] を選択して、重要度に基づいてアップデートをインストールします。

[Critical]:[Critical] Microsoft Windows Updates だけをインストールします。

[Medium]:すべての [Critical]、[Important]、および [Moderate] Windows Updates をインストールします。

[All]:すべての [Critical]、[Important]、[Moderate]、および [Low] Windows Updates をインストールします。

すべての場合において、WSUS サーバは、クライアントにインストールするためにすべてのアップデートを自動的にダウンロードします。したがって、クライアント マシンにすでに指定の重大度の 5 アップデートの内 3 がインストール済であっても、WSUS サーバはすべてのアップデートをダウンロードし、インストールします。

ステップ 8 [Upgrade to Latest OS Service Pack] をクリックして、ユーザのオペレーティング システムから入手できる最新のサービス パックを自動的にインストールします。


) このオプションは、上部の [Medium] または [All] Custom アップデートを指定する場合に自動的にインストール プロセスに含まれます。「省略」することはできません。[Critical] Custom アップデートを指定した場合、このオプションをイネーブルまたはディセーブルに選択できます。

Cisco Rules は、すべて「Critical」Windows Updates を検証し、最小の Windows 2000 Service Pack および Windows XP Service Pack アップデートがクライアント マシンでインストールされているかどうかを確認します。[Windows Updates to be Installed] で「Critical」だけがインストールされるように選択する場合、Windows 2000 Service Pack 4 および Windows XP Service Pack 2 がクライアント マシンに表示されない場合があります。そのため、クライアント マシンは「Cisco Rules」経由でポスチャ評価を渡しません。「Cisco Rules」を使用してクライアント マシンを検証し、「Critical」アップデートだけが必要な場合、この問題に対処するには、Service Pack Updates も要求し、「Cisco Rules」のポスチャ評価を使用してクライアントを検証することを推奨します(「Cisco Rules」ではなく、「Severity」でクライアント マシンを検証するように選択した場合、これは問題にはなりません)。



) 通常、Windows Service Pack アップデートのダウンロードとインストールには時間がかかります。フル サービス パックのインストレーションで Windows オペレーティング システムを更新するようにユーザに要求する前に、Temporary Role ユーザのセッション タイムアウト時間を延長して、インストールとアップデートの長いプロセス時間を調整します (「Temporary ロールのセッション タイムアウトの設定」 を参照)。


ステップ 9 [Windows Updates Installation Sources] で、Windows アップデートのソースを指定します。

[Windows Servers]:Microsoft の管理する Windows Update サーバを使用して Windows オペレーティング システムを更新します。

[Managed WSUS Servers]:Windows サーバ管理者またはその他の信頼できるサードパーティ ソースによって管理されているリソースを使用して、Windows オペレーティング システムを更新します。

ステップ 10 [Installation Wizard Interface Setting] で、Windows Update のインストール中にユーザに Installation Wizard ユーザ インターフェイスを表示するかどうかを指定します。

[Show UI]:Windows Update Installation Wizard の経過表示が更新プロセス中にユーザに表示されるため、ユーザは更新されているコンポーネントの内容とアップデートが完了した時間を知ることができます (Windows Update 中に Installation Wizard ユーザ インターフェイスを表示するには、ユーザはクライアント マシン上に管理者権限を持っている必要があります)。


) クライアント修復中にその他のすべてのデスクトップ Windows の最上部に WSUS アップデート/インストール ダイアログが必要な場合、「KeepWSUSOnTop」DWORD レジストリ設定を使用できます。詳細については、付録 C「Windows クライアント レジストリ設定」表 C-3 を参照してください。


[No UI]:アップデート プロセスが開始すると、Windows Update がバックグラウンドで行われ、アップデートが完了した場合にだけユーザに通知されます。

ステップ 11 [Requirement Name] に、Agent 内でこの要件を識別する一意の名前を入力します。名前は、CAA または Cisco NAC Web Agent ダイアログでユーザが確認できます。

ステップ 12 [Description] フィールドに、要件の説明のほか、要件を満たさなかったユーザを誘導する方法(ユーザが [Update] ボタンをクリックして、システムを更新する方法を含む)を入力します。[Windows Server Update Service] では、CAA に [Update] ボタンが表示されます。

ステップ 13 次の 1 つまたは複数のチェックボックスをオンにして、要件の [Operating System] を設定します。

[Windows 2000]

[Windows XP (All)]、あるいは 1 つまたは複数の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、 あるいは 1 つまたは複数の特定の Windows Vista オペレーティング システム

ステップ 14 [Add Requirement] をクリックします。

ステップ 15 [Windows Updates Validation by Cisco Rules] の WSUS 要件を設定した場合、次の手順「 Windows 規則への Windows Server Update Service 要件のマップ 」に進みます。

それ以外は、次の手順に進んで、設定を完了します。

「ユーザ ロールへの要件の適用」

「要件の検証」


 

Windows 規則への Windows Server Update Service 要件のマップ

[Cisco Rules] で [Windows Updates Validation by] の Windows Server Update Service 要件を設定した場合は、この項の手順を実行します(「Windows Server Update Service 要件の作成」 を参照)。

[Severity] で [Windows Updates Validation by] を指定した場合、Windows Server Update Service を既存の Windows Rule にマップする必要はないため、この項を省略できます。

Windows Server Update Service 要件を Windows 規則にマッピングするには、次の手順で行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

図 12-9 規則への Windows Update 要件の対応付け

 

ステップ 2 [Requirement Name] ドロップダウン メニューから、設定した WSUS 要件を選択します。

ステップ 3 Windows Server Update Service 要件と規則のマッピングを設定するには、この要件に対して検証する各オペレーティング システムで次の手順を繰り返します。

a. [Operating System] ドロップダウン メニューで、「Windows Server Update Services 要件の設定」のステップ 13 で要件を設定したオペレーティング システムの 1 つを選択します。

規則は、設定するオペレーティング システムに従ってシステム内に分類されます。[Operating System] ドロップダウン メニューは、ページの下部にある [Rules for Selected Operating System] テーブルの選択で表示されます。たとえば、複数のホットフィックス規則を [Requirement-Rule] ページの Windows XP (All) にマッピングした場合、個別にWindows XP のバージョン(たとえば Windows XP Pro/Home、Windows XP Tablet PC、Windows XPMedia Center など)を [Operating System] ドロップダウン メニューから選択して、各 OS バージョン用の pr_hotfix 規則(たとえば、それぞれ pr_XP_Hotfixes、pr_XP_TabletPC_Hotfixes、pr_XP_MCE_Hotfixes など)を「Rules for Selected Operating System」リストで表示し、選択することができます。

b. [Requirement met if] の次のいずれかのオプションを選択します。

[All selected rules succeed](デフォルト):クライアントが要件に適合していると見なすための条件が、すべての規則を満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則を 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則をすべて満たさないことである場合

c. AV Virus/AS Spyware Definition 規則のオプションを無視します。

d. [Rules for Selected Operating System] リストは、選択した OS(pr_ rule または設定した規則)のシステム内に存在するすべての規則を表示します。この要件でイネーブルにする各規則のチェックボックスをオンにします。一般的にこの要件に関連付けられている規則は、次のとおりです。

pr_AutoUpdateCheck_Rule(Windows XP (All)、Windows 2000)

pr_XP_Hotfixes(Windows XP Pro/Home)

pr_2K_Hotfixes(Windows 2000)

pr_Vista_ <version> _Hotfixes(Windows Vista Home Basic/Premium、Business、Ultimate、Enterprise)

すべての規則が [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。

e. [Update] をクリックして、マッピングを完了します。

ステップ 4 「ユーザ ロールへの要件の適用」および「要件の検証」に進んで、設定を完了します。


 

Windows Update 要件の設定

Agent の「Windows Update」要件タイプ設定ページでは、管理者が Windows Update 設定のチェックと変更を行って、Agent ユーザ マシンで Windows Updater を起動することができます。

この要件が設定されている場合、このオプションがマシンでディセーブルに設定されている Windows Vista、Windows 2000、または Windows XP クライアント マシンの Automatic Updates をオンにできます。

Windows Update 要件(デフォルトで [Optional] に設定済み)では、CAA に常に修復用の [Update] ボタンがあります。エンド ユーザが [Update] ボタンをクリックすると、CAA が Automatic Updates Agent を起動して、外部 WSUS サーバからソフトウェア アップデートを取得するように強制します。WSUS サーバからのソフトウェア ダウンロードには、時間がかかる場合があります。したがって、修復がバックグラウンドで実行されるように Windows Update 要件を [Optional] のままにしておくことを推奨します。


) Cisco NAC Web Agent は、[Go To Link] 手動修復機能だけをサポートしています。Cisco NAC Web Agent は、[Update]、[Download]、または [Launch] 修復アクション、および自動修復をサポートしていません。


Windows オペレーティング システムは、オペレーティング システムのインストールの一部としてホットフィックスとサービス パックを含めるために、さまざまな方法でカスタマイズできます。場合によっては、ホットフィックスがオペレーティング システムの一部であるときに CAA がレジストリ内のホットフィックスのキー値を検出できないこともあります。このようなケースでは、外部l Windows Updates サーバにアクセスするように設定された Windows Server Update Services(WSUS)要件を使用することを推奨します。詳細については、「Windows Server Update Services 要件の設定」を参照してください。

前提条件

Windows Server Update Services 要件タイプは、Windows 2000、Windows XP、Windows Vista クライアント マシンにだけ適用されます。シスコベースおよび Windows ベースのクライアント オペレーティング システム検証およびアップデートの重要度によるカスタマイズされたアップデート インストレーション オプションのチェックをサポートしています。

ネットワーク管理者は、自動起動機能をサポートするローカル WSUS サーバをサポートするために、Automatic Updates Agent が更新されていることを確認する必要があります。詳細については、 http://www.microsoft.com/windowsserversystem/updateservices/evaluation/faqs.mspx を参照してください。

Windows Server Update Services 操作をサポートするには、クライアント マシンに WUAUENG.dll ファイルのバージョン 5.4.3790.1000(またはより最新のバージョン)がインストールされている必要があります。

admin ユーザ以外のユーザの場合、WSUS 要件を実行するために、CAA スタブ サービスがクライアント マシンにインストールされ、実行されている必要があります。詳細については、「CAA スタブ インストーラ」を参照してください。

WSUS によって強制されたアップデートは、時間がかかる場合があります。一般的に、このアップデートはバックグラウンドで起動されて、実行されます。

一部の Microsoft Windows コンポーネント(たとえば、Internet Explorer 7)では、アップデートを正常に行うために admin 権限が必要になります。ユーザがクライアント マシンに admin 権限を持たない場合は、Windows アップデート プロセスが「WU_E_NO_INTERACTIVE_USER」エラーを戻します。そのため、admin 権限を必要とする Windows アップデートを Optional にして、アップデートの失敗を最小限に抑えることを推奨します。詳細については、 http://msdn2.microsoft.com/en-us/library/aa387289.aspx を参照してください。

アップデート エラーが発生した場合は、C:¥Windows¥Windows Update.log または C:¥Windows¥WindowsUpdate.log を参照してください。

Windows Update 要件を設定する手順は、次のとおりです。


ステップ 1 「Windows Update 要件の作成」

ステップ 2 「Windows 規則への Windows Update 要件のマップ」

ステップ 3 「ユーザ ロールへの要件の適用」

ステップ 4 「要件の検証」


 

Windows Update 要件の作成

Windows Update 要件を設定する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 12-10 新規の Windows Update 要件

 

ステップ 2 [Requirement Type] ドロップダウン メニューから、[Windows Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Optional](デフォルト設定):要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。


) アップデート プロセスをバックグラウンドで実行することにより、ユーザ エクスペリエンスを最適化するため、Windows Update 要件タイプはデフォルトで [Optional](または [do not enforce])に設定されています。[Automatically download and install] オプションを選択する場合は、この要件を [Optional] のままにしておくことを推奨します。


[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。これが Mandatory 要件でそれが失敗する場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 CAA の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、CAA の [Next] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します (デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 [Windows Update Setting] ドロップダウンから、次のいずれかのオプションを選択します。

Do not change setting

Notify to download and install

Automatically download and notify to install

Automatically download and install

これらの設定内容は、Windows クライアント(図 12-11)の [Automatic Updates] ダイアログ設定に対応します。

ステップ 7 Windows Update の実行中または実行後にすべてのクライアント マシンの Automatic Updates に対する管理者指定の設定を強制する場合は、[Permanently override user setting with administrator Windows Update Setting] チェックボックスをオンにします。チェックボックスをオンにしない場合、Automatic Updates がクライアントでディセーブルの場合にだけ admin 設定が適用されます。それ以外の場合、Automatic Updates がイネーブルの場合にユーザ設定が適用されます。

ステップ 8 [Requirement Name] に、Agent 内でこの要件を識別する一意の名前を入力します。名前は、CAA または Cisco NAC Web Agent ダイアログでユーザが確認できます。

ステップ 9 [Description] フィールドに、要件の説明のほか、要件を満たさなかったユーザを誘導する方法(ユーザが [Update] ボタンをクリックして、システムを更新する方法を含む)を入力します。 Windows Update では CAA に Update ボタンが表示されます。

ステップ 10 次の 1 つまたは複数のチェックボックスをオンにして、要件の [Operating System] を設定します。

[Windows 2000]

[Windows XP (All)]、あるいは 1 つまたは複数の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、 あるいは 1 つまたは複数の特定の Windows Vista オペレーティング システム


) 選択したオペレーティング システムが、「Windows Server Update Services 要件の設定」でこの Windows Update 要件にマッピングしようとしている規則に設定されているオペレーティング システムと一致していることを確認します。


ステップ 11 [Add Requirement] をクリックします。

図 12-11 Windows XP の Automatic Updates

 


 

Windows 規則への Windows Update 要件のマップ

Windows Update 要件を 1 つまたは複数の規則にマッピングするには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

図 12-12 規則への Windows Update 要件の対応付け

 

ステップ 2 [Requirement Name] ドロップダウン メニューから、設定した Windows Update 要件を選択します。

ステップ 3 Windows Update 要件と規則のマッピングを設定するには、サポートする各オペレーティング システム に対して、次の手順を繰り返します。

a. [Operating System] ドロップダウン メニューで、「Windows Update 要件の設定」のステップ 10 で要件を設定したオペレーティング システムの 1 つを選択します。

規則は、設定するオペレーティング システムに従ってシステム内に分類されます。[Operating System] ドロップダウン メニューは、ページの下部にある [Rules for Selected Operating System] テーブルの選択で表示されます。たとえば、複数のホットフィックス規則を [Requirement-Rule] ページの [Windows XP (All)] にマッピングした場合、個別にWindows XP のバージョン(たとえば Windows XP Pro/Home、Windows XP Tablet PC、Windows XPMedia Center など)を [Operating System] ドロップダウン メニューから選択して、各 OS バージョン用の pr_hotfix 規則(たとえば、それぞれ pr_XP_Hotfixes、pr_XP_TabletPC_Hotfixes、pr_XP_MCE_Hotfixes など)を [Rules for Selected Operating System] リストで表示し、選択することができます。

b. [Requirement met if] の次のいずれかのオプションを選択します。

[All selected rules succeed](デフォルト):クライアントが要件に適合していると見なすための条件が、すべての規則を満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則を 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則をすべて満たさないことである場合

c. AV Virus/AS Spyware Definition 規則のオプションを無視します。

d. [Rules for Selected Operating System] リストは、選択した OS(pr_ rule または設定した規則)のシステム内に存在するすべての規則を表示します。この要件でイネーブルにする各規則のチェックボックスをオンにします。この要件に関連付けられている一般的な規則は、次のとおりです。

pr_AutoUpdateCheck_Rule(Windows XP (All)、Windows 2000)

pr_XP_Hotfixes(Windows XP Pro/Home)

pr_2K_Hotfixes(Windows 2000)

pr_Vista_ <version> _Hotfixes(Windows Vista Home Basic/Premium、Business、Ultimate、Enterprise)

すべての規則が [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。

e. [Update] をクリックして、マッピングを完了します。

ステップ 4 「ユーザ ロールへの要件の適用」および「要件の検証」に進んで、設定を完了します。


 

カスタム チェック、規則、および要件の設定


) Mac OS X CAAは、Windows CAA および Cisco NAC Web Agent 用に設計された要件、規則、チェックのサブセットだけをサポートします。Mac OS X エージェント固有の要件、規則、チェック情報の詳細については、「Mac OS X Agent 要件の作成」 を参照してください。


チェックは、クライアント システムを調べる場合に使用する条件ステートメントです。最も単純な場合、1 つの要件は、1 つのチェックで構成される 1 つの規則から作成可能です。条件ステートメントの結果が true の場合、システムは Agent 要件に適合し、対処が不要であると見なされます。

チェックを作成するには、まず要件の識別機能を判別します。この機能(レジストリ キーやプロセス名など)によって、クライアントが要件を満たしているかどうかが示されなければなりません。このようなインジケータを見つけるために、要件を満たしているシステムを調べることを推奨します。必要に応じて、ソフトウェア付属のマニュアルを参照して、Clean Access チェックに使用する識別機能を判別します。要件に使用するインジケータを判別したら、次の手順を使用して、チェックを作成します。

カスタム要件

カスタム要件を作成すると、ユーザが規則条件を満たすためのメカニズムに規則を対応付けることができます。このメカニズムには、インストール ファイル、外部リソースへのリンク、単なる命令などがあります。規則チェックが満たされない場合(たとえば、必要なソフトウェアがクライアント システム上に見つからない場合)は、設定に応じて、ユーザに警告を表示したり、システムを修復するようにユーザに要求することができます。図 12-13 で示すように、ブール演算子「&」(and)、「|」(or)、および「!」(not)を使用して、1 つの規則内で複数のチェックを連結できます。1 つの要件に複数の規則を使用する場合は、クライアントが要件に適合していると見なすための条件を、「選択されたいずれかの規則を満たす」、「すべての規則を満たす」、「どの規則も満たさない」の中から指定することができます。

図 12-13 カスタム チェック、規則、および要件

 

シスコの規則

規則は、1 つ以上のチェックで構成される条件ステートメントです。1 つの規則内で複数のチェックを論理演算子で連結し、クライアント システムの複数の機能をテストできる ブール ステートメントを形成することができます。

シスコの設定済み規則(「pr_」)

Cisco NAC アプライアンスは、CAM Web コンソールの [Updates] ページ([Device Management] > [Clean Access] > [Updates])経由で CAM にダウンロードされる設定済み規則とチェックのセットを提供します。

設定済みの規則には名前に「pr」のプレフィクスがあり(「pr_XP_Hotfixes」など)、テンプレートとして使用する場合にコピーできますが、編集したり、削除することはできません。「pr_」規則の [Edit] ボタンをクリックして、その規則を定義する規則式を参照できます。設定済みの規則の規則式は、設定済みのチェック(たとえば、「pc_Hotfix835732」)およびブール演算子で構成されます。設定済み規則の規則式は、Cisco Updates から更新されます。たとえば、Windows XP、pr_XP_Hotfixes 規則用にリリースされている新規の Critical Windows OS ホットフィックスは、対応するホットフィックス チェックで更新されます。

設定済みの規則は、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。


) シスコの設定済み規則は、Critical Windows オペレーティング システム ホットフィックスだけに対してサポートを提供することを目的としています。


カスタム チェック

チェックは、ファイル、レジストリ キー、サービス、アプリケーションなど、クライアント システムの機能を調べる条件ステートメントです。 表 12-1 に、使用可能なカスタム チェックのタイプとテストの内容について表示します。

 

表 12-1 チェック

チェックのカテゴリ
チェック タイプ

レジストリ チェック

レジストリ キーの有無

レジストリ キー値、バージョン、または変更日

ファイル チェック

ファイルの有無

変更日または作成日

ファイル バージョン

サービス チェック

稼動しているサービスの有無

アプリケーション チェック

稼動しているアプリケーションの有無

シスコの設定済みチェック(「pc_」)

設定済みのチェックには名前に「pc」のプレフィクスがあり(pc_Hotfix828035 など)、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Check List] に表示されます。

CSA をチェックするための設定済み規則の使用

シスコの設定済み規則を使用して、Cisco Security Agent(CSA)がクライアントにすでにインストールされ、実行されているかどうかをチェックする Agent 要件を作成できます。次の内容を実行します。

1. 新規の Link Distribution または File Distribution 要件を作成します(Windows Vista/XP/2000 の場合)。

2. 次の規則のいずれか、または両方に要件を関連付けます(Windows Vista/XP/2000 の場合)。

pr_CSA_Agent_Version_5_0

pr_CSA_Agent_Service_Running

3. 適用するユーザ ロールに要件を関連付けます。


) 設定済みまたはカスタム規則を使用して、カスタム要件を作成するための詳細については、「設定の概要」を参照してください。


チェックおよび規則のコピー

設定済みの規則およびチェックは編集できませんが、テンプレートとして使用できます。編集不可能なチェックまたは規則を変更するには、対応する [Copy] ボタンをクリックして、まずコピーを作成します。チェックのコピーを [Check List] の下部に copy_of_ checkname 形式で追加します。規則のコピーを [Rules List] の下部に、 copy_of_ rulename の形式で追加します。対応する [Edit] ボタンをクリックして、Edit フォームを起動し、チェックまたは規則を変更します。編集されたチェックおよび規則は、次の説明に従って、設定したり、要件や規則に対応付けることができます。

設定の概要

カスタム要件の作成手順は、次のとおりです。


ステップ 1 「カスタム チェックの作成」

ステップ 2 「カスタム規則の作成」

ステップ 3 「規則の検証」

ステップ 4 「カスタム規則の作成」

ステップ 5 「要件と規則のマッピング」

ステップ 6 「ユーザ ロールへの要件の適用」

ステップ 7 「要件の検証」


 

カスタム チェックの作成

カスタム チェックを設定するには、次の手順を行います。


ステップ 1 [Clean Access Agent] タブで、[Rules] サブメニューをクリックし、[New Check] ページを開きます。

図 12-14 New Check

 


) すべてのカスタム チェックの場合、ステップ 27 に従い、各チェックタイプの特定のコンフィグレーション設定を参照して、次にステップ 8 に進みます。


ステップ 2 [Check Category]([Registry Check]、[File Check]、[Service Check]、または [Application Check])を選択します。

ステップ 3 Category に対応する [Check Type] を選択し、次の項で説明しているように特定のフォーム フィールドに入力します。パラメータ、演算子、および(チェック タイプが値比較の場合)ステートメントの値およびデータ タイプを指定し、[Add Check] をクリックして評価ステートメントを作成します。条件ステートメン gが False に評価された場合は、必要なソフトウェアが存在しないと見なされています。

「レジストリ チェック」

「ファイル チェック」

「サービス チェック」

「アプリケーション チェック」

ステップ 4 [Check Name] にわかりやすい名前を入力します。このチェックから作成された規則はチェックをこの名前で参照するため、チェックにはわかりやすい一意の名前を付けてください。名前は大文字と小文字を区別します。スペースや特殊文字を含まない 255 文字未満の文字列を指定する必要があります。

ステップ 5 オプションの [Check Description] に入力します。

ステップ 6 次の 1 つまたは複数のチェックボックスをオンにして、要件の [Operating System] を設定します。

[Windows All]

[Windows 2000]

[Windows ME]

[Windows 98]

[Windows XP (All)]、あるいは 1 つまたは複数の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、あるいは 1 つまたは複数の特定の Windows Vista オペレーティング システム


) リリース 4.5 Web コンソール設定ページにオプションが表示されている場合でも、Cisco NAC アプライアンスは、Windows ME または Windows 98 クライアント ログインを公式にサポートしなくなりました。


ステップ 7 必要に応じて、[Automatically create rule based on this check] を選択します。この場合、追加されたチェックがこの規則に自動的に読み込まれ、「 checkname-rule 」と名前が付けられます。

ステップ 8 終了したら [Add Check] をクリックします。

レジストリ チェック

[Registry Key]:特定のキーがレジストリにあることかどうかをチェックします。

[Registry Value (Default)]:名前のない(デフォルト)レジストリ キーが存在するか、または特定の値、バージョン、または変更日が設定されているかを調べます。

[Registry Value]:名前付きのレジストリ キーが存在するか、または特定の値、バージョン、または変更日が設定されているかを調べます。

図 12-15 レジストリ チェック タイプ

 

a. [Registry Key] フィールドで、クライアント レジストリのエリアを選択します。

HKLM - HKEY_LOCAL_MACHINE

HKCC - HKEY_CURRENT_CONFIG

HKCU - HKEY_CURRENT_USER

HKU - HKEY_USERS

HKCR - HKEY_CLASSES_ROOT

検索するパスを入力します。

例: HKLM ¥SOFTWARE¥Symantec¥Norton AntiVirus¥version

b. 特定の Registry Value を検索する場合は、[Value Name] を入力します。

c. 複数の Registry Value を検索する場合は、[Value Data Type] を入力します。

1. "Number" Value Data Type(注:REG_DWORD は Number と同等)の場合は、ドロップダウンから [Operators](equals (等しい)、greater than(より大きい)、less than(未満)、does not equal(等しくない)、greater than or equal to(以上)、less than or equal to(以下))の 1 つを選択します。

2. "String" Value Data Type の場合は、ドロップダウンから [Operators](equals(等しい)、equals (ignore case)(等しい、大文字と小文字を区別しない)、does not equal(等しくない)、starts with(で始まる)、does not start with(で始まらない)、ends with(で終わる)、does not end with(で終わらない)、contains(を含む)、does not contain(を含まない))の 1 つを選択します。

3. "Version" Value Data Type の場合は、ドロップダウンから [Operators](earlier than(よりも前)、later than(よりも後)、same as(に等しい))の 1 つを選択します。

4. "Date" Value Data Type の場合は、ドロップダウンから [Operators](earlier than(よりも前)、later than(よりも後)、same as(に等しい))の 1 つを選択します。

d. "Date" Value Data Type を指定する場合は、2 つの値のいずれかも選択して、チェックを行います。これにより、現在の日付より x 日多いまたは少ない単位として [older than] または [newer than] を指定することができます。

mm/dd/yyyy hh:MM:ss 形式でクライアント マシンの日付/時刻を入力します。

ドロップダウンから [CAM date]、[+]、または [-] を選択して、日数を入力します。

e. Registry Value を検索する場合は、[Value Data] を入力します。


) "String" Value Data Type では、ストリングの最大の長さは、256 文字です。


ファイル チェック

[File Existence]:システムにファイルが存在するかどうかを調べます。

[File Date]:特定の変更日または作成日を持つファイルがシステムに存在するかどうかを調べます。

[File Version]:特定のバージョンのファイルがシステムに存在するかどうかを調べます。

図 12-16 ファイル チェック タイプ

 

a. [File Path] で、次のように選択します。

[SYSTEM_DRIVE]:C:¥ ドライブを検索します。

[SYSTEM_ROOT]:Windows システムのルート パスを検索します。

[SYSTEM_32]:C:¥WINDOWS¥SYSTEM32 を検索します。

[SYSTEM_PROGRAMS]:C:¥Program Files を検索します。

b. [Operator] で、次のように選択します。

[exists] または [does not exist]:File Existence チェック

[earlier than]、[later than]、[same as]:File Date または File Version チェック

c. [File Date] チェック タイプでは、次の 2 つの値のいずれかも選択して、[File Date] をチェックします。これにより、現在の日付より x 日多いまたは少ない単位として [older than] または [newer than] を指定することができます。

mm/dd/yyyy hh:MM:ss 形式でクライアント マシンの日付/時刻を入力します。

ドロップダウンから [CAM date]、[+]、または [-] を選択して、日数を入力します。

d. [File Date] チェック タイプでは、[File Date Type] を選択します。

Creation date

Modification date

サービス チェック

[Service Status]:システムで現在稼動しているサービスがあるかどうか

図 12-17 サービス チェック タイプ

 

a. [Service Name] を入力します。ここで [Service Name] とは、ユーザが Microsoft Management Console で「Service Name:」プレフィクスのあるサービスをダブルクリックしたときに表示される名前のことです。たとえば、「Windows Firewall/Internet Connection Sharing(ICS)」は、サービスをチェックするために [Service Name] フィールドで「SharedAccess」として設定される必要があります。

b. Operator を選択します。

running

not running

アプリケーション チェック

[Application Status]:システムで現在稼動しているアプリケーションがあるかどうか

図 12-18 アプリケーション チェック タイプ

 

a. [Application Name] を入力します。

b. [Operator]([running] または [not running])を選択します。


 

カスタム規則の作成

規則は複数のチェックおよび演算子で構成された式です。特定のオペレーティング システムのポスチャを評価するための単位として、Agent で使用されます。規則式の結果によって、Agent 要件との適合性が評価されます。1 つの規則を 1 つのチェックで構成したり、複数のチェックをブール演算子で連結することができます。 表 12-2 に演算子およびその評価順を示します。

 

表 12-2 規則の演算子

プライオリティ
演算子
説明

1

()

評価プライオリティ用のカッコ

2

!

not

3

&

and

3

|

or

プライオリティが等しい演算子は、左から右に評価されます。たとえば、規則は次のように定義できます。

adawareLogRecent & (NorAVProcessIsActive | SymAVProcessIsActive)
 

規則を満たすためには、 adawareLogRecent チェック、および NorAVProcessIsActive チェックと SymAVProcessIsActive チェックのいずれかを満たす必要があります。カッコがない場合は、次の式と同じになります。

(adawareLogRecent & NorAVProcessIsActive) | SymAVProcessIsActive
 

この場合、規則を満たすためには、 SymAVProcessIsActive 、または最初の 2 つのチェックの両方が True である必要があります。

カスタム規則を作成するには、次の手順を行います。


ステップ 1 [Clean Access Agent] タブで、[Rules] サブメニュー リンクをクリックしてから、[New Rule] をクリックします。

図 12-19 New Rule

 

ステップ 2 [Rule Name] に一意の規則名を入力します。

ステップ 3 [Rule Description] に入力します。

ステップ 4 規則を適用する [Operating System] を選択します。アップデートをダウンロードした場合、この OS に対応する設定済みチェックが、下部の [Checks for Selected Operating System] リストに表示されます。

ステップ 5 チェックおよび演算子を連結して、[Rule Expression] を作成します。リストを使用してチェックの名前を選択し、[Rule Expression] テキスト フィールドにコピー アンド ペーストします。チェックが複数ある場合は、()(評価プライオリティ)、!(not)、&(and)、|(or)の演算子を使用します。

次の例を参考にしてください。

adawareLogRecent & (NorAVProcessIsActive | SymAVProcessIsActive)
 

1 つのチェックをテストする単純な規則の場合は、チェック名を入力します。

SymAVProcessIsActive
 

ステップ 6 [Add Rule] をクリックします。

コンソールによって規則が検証され、形式が正しい場合は、[Rule List] に表示されます。このリストから、規則を削除、変更、またはコピーする(規則をコピーして新しい規則を作成する)ことができます。


 

規則の検証

CAM は作成された規則および要件を自動的に検証します。規則が無効な場合(特に、ターゲット OS に関連する規則が無効な場合)は、チェックと規則の間に互換性がありません。これらのエラーは、特定の OS に対応するチェックおよび規則を複数作成した後で、特定のチェックに対応する OS プロパティを変更した場合に発生することがあります。この場合は、このチェックを使用する規則、および以前に設定した OS に引き続き適用可能な規則は、無効になります。規則を検証すると、このようなエラーや、その他のエラーが検出されます。

[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] の [Validity] カラムでは、規則が有効の場合はブルーのチェックマーク、規則が無効の場合はレッドの 「X」が表示されます。マウスでこのアイコンを強調表示して、このフォームでどのチェックが規則を無効にしているかを確認してください。

Invalid rule [rulename], Invalid check [checkname] in rule expression.

図 12-20 Rule List

 

無効な規則を修正するには、次の手順を行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に移動します。

ステップ 2 無効な規則に対応する [Edit] ボタンをクリックします。

ステップ 3 無効な [Rule Expression] を訂正します。チェックが削除されたために規則が無効になった場合は、有効なチェックに規則を対応付けます。

ステップ 4 正しい [Operating System] が 選択されていることを確認します。

ステップ 5 [Requirement met if:] 式が正しく設定されていることを確認します。

ステップ 6 [Save Rule] をクリックします。

ステップ 7 この規則に基づくすべての要件が、「要件の検証」の説明に従って、訂正されているかを確認します。


 

カスタム規則の作成

カスタム要件は、オペレーティング システムに指定された一連の規則を、Agent ダイアログを介してユーザにプッシュされるファイル、配信リンク、または説明に対応付けるメカニズムです。カスタム要件では、インストール ファイル、またはソフトウェアをダウンロードできるリンクを指定できます。ローカル チェックが特定のインストール ファイルに対応付けられていない場合、要件は規則を情報メッセージ(たとえば、ソフトウェアを削除したり、ウイルス チェックを実行するようにユーザに指示するメッセージ)に対応付けることができます。新しい要件は、設定プロセス中にいつでも作成できます。ただし、要件を有効にするには、OS の規則およびユーザ ロールの両方に要件を対応付けておく必要があります。

File Distribution /Link Distribution / Local Check 要件の作成

カスタム要件を設定するには、次の手順を行います。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニュー リンクをクリックしてから、[New Requirement] を選択します。

図 12-21 New Requirement(File Distribution)

 

ステップ 2 [Requirement Type] を選択します。

[File Distribution]:CAA によるユーザ ダウンロードでインストール パッケージを使用できるようにして、必要なソフトウェアを直接配布します。この場合、ユーザがダウンロードするファイルは、[File to Upload] フィールドを使用して CAM に格納されます([File Distribution] を介して使用可能にすることのできる最大ファイルサイズは 500MB です)。CAA でファイルをダウンロードする場合、HTTP アクセスを CAM にだけ許可するトラフィック ポリシーを Temporary ロール用に作成する必要があります。「デフォルト ロール用のトラフィック ポリシーの追加」を参照してください。


) Cisco NAC Web Agent は、[Go To Link] 手動修復機能だけをサポートしています。Cisco NAC Web Agent は、[Update]、[Download]、または [Launch] 修復アクション、および自動修復をサポートしていません。


[Link Distribution]:ソフトウェアが使用可能な別の Web ページ(ソフトウェア ダウンロード ページなど)にユーザを転送します。リンクへの HTTP(および HTTPS の両方またはいずれか一方)はアクセスを許可するように Temporary ロールが設定されているか確認します。

[Local Check]:インストール可能なソフトウェアに対応付けられていないチェックを作成して、Windows Update Service(Automatic Updates)がイネーブルであるかどうかの確認や、システムに存在してはならないソフトウェアの検索などを実行する場合に使用します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 要件の [Priority] を指定します。値が最小(「1」など)の要件のプライオリティが最大になり、最初に実行されます。要件に失敗した場合、この要件に設定された対処法の説明がユーザにプッシュされ、その他の要件はテストされません。したがって、失敗する可能性が最も高い要件のプライオリティを最大にすることによって、処理時間を最短にすることができます。

ステップ 5 Link Distribution 要件タイプに対してだけ、CAA を使用した自動修復をイネーブルにし、設定することが可能です。詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 [Version] フィールドでは、さまざまなバージョンの要件を追跡できます。これは特に、必要なソフトウェアに対するアップデートが複数存在する場合に便利です。番号(1、2、3)、小数(1.0)、または文字など、必要な任意のバージョン設定方式を使用できます。

ステップ 7 Requirement Type として [File Distribution] を選択した場合は、[File to Upload]フィールドの横にある [Browse] をクリックして、必要なソフトウェアのインストール ファイル(.exe)が格納されたフォルダに移動します。

ステップ 8 Requirement Type として [Link Distribution] を選択した場合は、[File Link URL] フィールドに、インストール ファイルまたはパッチ アップデートを取得できる Web ページの URL を入力します。

ステップ 9 [Requirement Name] に、システム要件を識別する一意の名前を入力します。名前は、CAA または Cisco NAC Web Agent ダイアログでユーザが確認できます。

ステップ 10 [Description] フィールドに、要件の説明、およびユーザに役立つ手順を入力します。次の点に注意してください。

[File Distribution] では、CAA に [Download] ボタンを表示します。

[Link Distribution] では、CAA/Cisco NAC Web Agent に [Go To Link] ボタンを表示します。

[Local Check] では、CAAに [Download] ボタン(ディセーブル)が表示されます。

ステップ 11 要件を適用する [Operating System] を選択します(少なくとも 1 つ選択する必要があります)。

ステップ 12 [Add Requirement] をクリックして、ダウンロード要件の設定を保存します。

ステップ 13 [Requirement List]に要件が表示されます。

図 12-22 に、CAA の要件設定フィールドの表示例を示します。

図 12-22 オプションの Link Distribution 要件の例

 


 

Launch Programs 要件の設定


) この機能を使用するには、CAA のバージョン 4.1.0.0 以降が必要です。この機能は、Windows Vista、Windows 2000、および Windows XP マシンにだけ適用されます。Mac OS X CAA および Cisco NAC Web Agent は、この要件タイプをサポートしていません。Mac OS X エージェント固有の要件、規則、チェック情報の詳細については、「Mac OS X Agent 要件の作成」 を参照してください。


Launch Programs Requirement タイプにより、管理者は CAA を通じて認定された(署名された)復旧プログラムを起動できます。管理者はチェックと規則の条件を作成できます。失敗した場合、管理者はマシンを修正するための復旧プログラムを起動するように設定できます。複数のプログラムが許可されており、管理者が指定した順序で起動します。

CAA は、ユーザがデバイスの admin ユーザ権限を有しているかどうかに応じて、2 つの方法でプログラムを起動します。

admin 権限によるプログラムの起動

ユーザがクライアント マシンに admin 権限を持っている場合、実行可能なすべてのプログラムを使用できます。プログラムは直接起動し、アプリケーションのデジタル署名や検証は不要です。

admin 権限なしのプログラムの起動

ユーザが admin 権限を Lしていない場合、Clean Access スタブ サービスをクライアント マシンにインストールする必要があり、ターゲットの実行ファイルは Agent スタブを通じて起動します(Agent スタブの詳細については、 「CAA スタブ インストーラ」を参照してください)。Agent スタブは、プログラム起動前にプログラムが信頼できる認証局によって署名されていることを確認します。実行ファイルには、次の内容が含まれています。

特定のフィールド値を使用した証明書によって署名された有効なデジタル署名

特定の項目値を使用したファイルのバージョン情報

次の点にも注意してください。

Stub Agent は、実行ファイルとだけ連携し、バッチ ファイルは許可されません。

実行ファイルは、適切な証明書チェーンのあるコード署名証明書で署名されている必要があります。コード署名証明書がクライアント マシンにインストールしている必要があります。

ルート証明書もクライアント マシンにインストールされている必要があり、Windows の信頼できるルート認証局にある必要があります。

証明書をインストールすること以外に、実行する実行ファイルに特化されたレジストリ キーを作成する必要があります。 詳細については、「Agent によるデジタル署名の確認および実行可能プログラムの信頼方法」を参照してください。

Agent によるデジタル署名の確認および実行可能プログラムの信頼方法

実行ファイルを実行するクライアント コンピュータで、スタブ サービスで実行する実行ファイルのスタブ サービス定義の下にある レジストリに、Trust <N> キーを追加する必要があります。プログラムに必要なレジストリ キーが Agent および Agent スタブで信頼されるように読み込むのは、管理者の責任です。CAA スタブは、次のように、信頼されるデジタル署名に対して起動プログラムを検証します。

1. デジタル署名を確認します。デジタル署名が信頼できることを確認します。

2. レジストリ内の情報に基づいて署名者の証明書情報を確認します。

関連レジストリ構造が次のように表示されます。

HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥CCAAgentStub¥Trust <N> ¥

¥Certificate¥2.5.4.3 "Cisco Systems"

¥FileVersionInfo¥ProductName "Clean Access"

上記で

<N> は数値です。

Certificate の下のエントリの各値は、完全に大文字小文字の区別がありません。

FileVersionInfo の下のエントリの各値は、ファイル情報ストリーム内の対応する値に表示されている必要があり、これも大文字小文字の区別がありません。

Certificate および FileVersionInfo の下のすべてのエントリは、信頼されるターゲットとして認定されるための条件を満たす必要があります(AND 演算子)。

いずれかの Trust <N> チェーンが条件を満たす場合、ターゲットは起動することを認められます。


Certificate および FileVersionInfo レジストリ キーの下にあるサポート対象値名のリストについては、付録 C「Windows クライアント レジストリ設定」表 C-7 を参照してください。


設定例

Launch Programs 設定例の場合、「CAA を介した Launch Programs 例」を参照してください。

Launch Programs 要件の作成

Launch Programs 要件を設定するには、次の手順を行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 12-23 新規の Launch Program 要件

 

ステップ 2 [Requirement Type] で、[Launch Programs] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で CAA ダイアログに表示されることを意味します。Mandatory 要件が失敗する場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 CAA の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、CAA の [Next] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します (デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 次のように起動するようにプログラムを設定します。

a. [Program Name] で、プログラムを起動するルート ロケーション([SYSTEM_DRIVE]、[SYSTEM_ROOT]、[SYSTEM_32]、[SYSTEM_PROGRAMS]、または [None])をドロップダウンから選択し、隣接しているテキスト フィールドにプログラム実行ファイルの名前を入力します。

b. さらに特定のパスまたはプログラムのパラメータが必要な場合は、[Program Parameters] テキスト フィールドに入力します。

c. [Add Program] をクリックします。これにより、[Program Name] と [Program Parameters] がプログラムのサブリストに追加され、要件で起動されます。

d. さらに追加するプログラムを設定するか、[Delete] チェックボックスをオンにして、リストからプログラムを削除します。

ステップ 7 追加するプログラムまたはプログラム リストの設定が終了したら、[Requirement Name] を入力します。

ステップ 8 ユーザに表示する [Description] を入力します。

ステップ 9 この要件が適用される Windows の [Operating System] のチェックボックスをオンにします。

ステップ 10 [Add Requirement] をクリックします。


) 詳細については、「CAA を介した Launch Programs 例」を参照してください。



 

CAA を介した Launch Programs 例

次に、Launch Programs を使用して、CAA を介して認定された(署名付き)プログラムを起動する例を示します。CA 権限を使用してプログラムに署名する場合は、この例にある専用アプリケーションの署名の実行方法に関連する手順を省略できます。

ユーザがクライアント マシンに admin 権限を持っている場合、実行可能なすべてのプログラムを使用できます。ユーザが admin 権限を持っていない場合、Agent スタブからターゲットの実行ファイルを起動します(詳細については、「Launch Programs 要件の設定」を参照してください)。

コードまたはプログラム署名はプログラムにデジタル署名を添付するプロセスなので、起動時に「信頼できるもの」として見なすことができます。NAC アプライアンスが署名されたプログラムを起動する場合、「Launcher」は実行する前に署名が信頼できるソースからのものであること(つまり、CA 証明書が信頼できるストアにあるかどうか)を確認します。署名がないアプリケーションを起動することはセキュリティ上危険なので、アプリケーションの署名が必要です。誰もが起動しようとしているプログラムにトロイの木馬やウイルスを仕掛けて、危害を加えることができるためです。

Thawte および Verisign の Certificate Authority(CA; 認証局)は、署名サービスを提供しています。

独自にプログラムに署名する場合、次の内容が必要です。

CA サーバ(公開または秘密)

CA サーバによって発行された証明書

秘密鍵、CA サーバの公開鍵(上記の証明書用)

署名が必要な .exe、.dll、.scr、.wsh

署名ツール(signcode.exe/signtool.exe など)


) 用例およびツール

http://www.pantaray.com/signcode.html

http://www.cryptguard.com/documentation_resources_tools.shtml


 

要件の追加


ステップ 1 [Launch Programs] タイプの New Requirement を作成します。

ステップ 2 Requirement について [Optional]、[Mandatory]、または [Audit] の中から選択します。

ステップ 3 認定されたプログラムを起動するルート ロケーションを指定します。

System_Root = C:¥Windows

System_32 = C:¥Windows¥System32

System_Programs = C:¥Program Files

図 12-24 ルート ロケーションの選択

 

ステップ 4 より詳細なパスとプログラム パラメータを追加できます。

図 12-25 プログラム パラメータの指定

 

ステップ 5 [Add Program] をクリックして、Program Name リストにプログラムを追加します。

図 12-26 プログラムの追加

 

ステップ 6 [Save Requirement] をクリックします。

アプリケーション署名の設定


ステップ 1 .exe ファイルの署名に使用される証明書と秘密鍵を取得します。Private CA(たとえば、MS CA サーバ)または Public CA(Verisign/Thawte など)から取得できます。その他のファイルは必要なツールです。

図 12-27 証明書の取得

 

ステップ 2 cert2spc.exe ツールを使用して、SPC ファイル(別名 Software Publishing Certificate)を作成します。

C:¥inetsdk¥test>cert2spc prem1.cer prem1.spc
Succeeded
 

ステップ 3 これにより、次のような prem1.spc ファイルが作成されます。

図 12-28 SPC の作成

 

ステップ 4 signcode.exe を実行します。

C:¥inetsdk¥test>signcode

図 12-29 signcode.exe の実行

 

ステップ 5 署名が必要な .EXE を参照して、選択します(この例では、tftpd.exe)。

図 12-30 署名する実行ファイルの選択

 

ステップ 6 [Custom] オプションを選択します。

図 12-31 [Custom] オプションの選択

 

ステップ 7 [Select from File] をクリックして、作成した prem1.spc ファイルを選択します。

図 12-32 SPC ファイルの選択

 

ステップ 8 [Browse] をクリックして、秘密鍵の prem1.pvk ファイルを選択します。

図 12-33 秘密鍵の参照

 

ステップ 9 秘密鍵の使用に必要なパスワードがある場合は、パスワードを入力します。

図 12-34 秘密鍵へのパスワードの入力

 

ステップ 10 署名に使用するハッシュ アルゴリズムを選択します。

図 12-35 ハッシュ アルゴリズムの選択

 

ステップ 11 次のように画面に表示されるデフォルト値をそのまま使用します。

図 12-36 デフォルト値の使用

 

ステップ 12 [Finish] をクリックします。

図 12-37 [Finish] のクリック

 

ステップ 13 再び秘密鍵のプロンプトが表示される場合は、再入力します。次のメッセージが表示されます。

図 12-38 秘密鍵の再入力(必要な場合)

 

ステップ 14 ファイルを右クリックし、[Properties] を選択して、EXE が署名されていることを確認します。デジタル署名のタブと Certificate CN 名で確認します。

図 12-39 署名された実行ファイルの確認

 

ステップ 15 次に、NAC アプライアンスのカスタム チェックと規則を作成して、TFTPD32.exe アプリケーションが実行されているかどうかをチェックします。

図 12-40 チェックの作成

 

ステップ 16 最後に、この規則を使用する要件を次のように作成します。

図 12-41 要件の作成

 


 

署名されたプログラムの起動(ユーザ ビュー)


ステップ 1 CAA でユーザがログインします。Cisco NAC アプライアンスは TFTPD32.exe が実行されていないことを検出します。ユーザは隔離され、復旧することが求められます。

ステップ 2 [Launch] をクリックすると、TFTPD32.exe が起動します。

ステップ 3 [Next] をクリックして、ネットワークにログインします。

図 12-42 署名されたプログラムの起動(ユーザ ビュー)

 


 

要件と規則のマッピング


) Mac OS X CAAは、Windows CAA および Cisco NAC Web Agent 用に設計された要件、規則、チェックのサブセットだけをサポートします。Mac OS X エージェント固有の要件、規則、チェック情報の詳細については、「Mac OS X Agent 要件の作成」 を参照してください。


要件を作成し、対処法へのリンクおよび手順を指定したら、特定の規則または一連の規則に要件をマップします。要件と規則のマッピングは、クライアント システムが要件を満たすかどうかを調べる規則セットと、クライアント システムを適合させるために必要なユーザ対処法(Agent ボタン、手順、リンク)をマップします。

要件と規則をマッピングするには、次の手順を行います。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニューをクリックしてから、[Requirement-Rules] フォームを開きます。

図 12-43 要件と規則のマッピング

 

ステップ 2 [Requirement Name] メニューで、マップする要件を選択します。

ステップ 3 [Operating System] メニューで、要件に対応した OS を確認します。[Rules for Selected Operating System] リストに、選択された OS で使用可能なすべての規則が読み込まれます。

ステップ 4 AV Virus Definition 規則(背景がイエロー)および AS Spyware Definition 規則(背景がブルー)の場合は、クライアントの定義ファイルの日付が、CAM が [Updates] から入手可能なものよりも数日間古い日付になるように、CAM を設定することができます(最新の製品ファイル日付については、[Rules] > [AV-AS Support Info] を参照してください)。このように設定すると、新しいウイルス/スパイウェア定義ファイルが製品ベンダーからリリースされない場合も、クライアントが要件をパスできるように、要件の柔軟性を高めることができます。

次のいずれかのチェックボックスをクリックします。

[For AV Virus Definition rules, allow definition file to be x days older than]

[For AS Spyware Definition rules, allow definition file to be x days older than]

テキスト ボックスに数値を入力します。デフォルトは「 0 」です。この場合、定義日をファイル/システム日付よりも古い日付に設定できません。

次のいずれかを選択します。

[Latest file date]:クライアント定義ファイルを、CAMの最新のウイルス/スパイウェア定義日よりも指定日数だけ古い日付にすることができます。

[Current system date]:クライアント定義ファイルを、最後に [Update] が実行された時点の CAM のシステム日よりも指定日数だけ古い日付にすることができます。


) AS Spyware Definition 規則の場合、Cisco Update サービスを使用してスパイウェア定義ファイルの日付/バージョンを定期的に更新するまで、この機能は適用されます(定義ファイルを現在のシステム日付よりも X 日間古くすることができます)。

特定の要件にこの機能を設定した場合、Agent は AV/AS 製品の定義日を検索してから、日付がこの要件を満たすかどうかを検証します。Agent が定義日を検出できない場合(この製品で定義日の検出がサポートされていない場合など)、この機能は無視され、Agent はクライアントに最新の定義バージョンがあるかどうかを調べます。


ステップ 5 ページをスクロールダウンして、要件に対応付ける各規則の横にある [Select] チェックボックスをオンにします。規則はプライオリティ順に適用されます(表 12-2を参照)。

図 12-44 要件にマップする規則の選択

 

ステップ 6 [Requirements met if] オプションで、次のいずれかのオプションを選択します。

[All selected rules succeed]:クライアントが要件に適合していると見なすための条件が、すべての規則を満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則を 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則をすべて満たさないことである場合

クライアントが要件に適合しない場合は、要件に対応付けられたソフトウェアをインストールするか、または指示された手順を実行する必要があります。

ステップ 7 [Update] をクリックします。


 

ユーザ ロールへの要件の適用


) Mac OS X CAAは、Windows CAA および Cisco NAC Web Agent 用に設計された要件、規則、チェックのサブセットだけをサポートします。Mac OS X エージェント固有の要件、規則、チェック情報の詳細については、「Mac OS X Agent 要件の作成」 を参照してください。


要件を作成し、対処法を設定し、規則を対応付けたら、要件をユーザ ロールに対応付ける必要があります。この最終手順では、システム内のユーザ グループに要件を適用します。


) 標準ログイン ユーザ ロールが作成されていることを確認してください(「ユーザ ロールの作成」を参照)。


要件とユーザ ロールをマッピングするには、次の手順を行います。


ステップ 1 [Clean Access Agent] タブで、[Role-Requirements] サブメニュー リンクをクリックします。

図 12-45 ロールと要件のマッピング

 

 

ステップ 2 [Role Type] メニューで、設定するロールのタイプを選択します。通常は、[Normal Login Role] を選択します。

ステップ 3 [User Role] メニューで、ロールの名前を選択します。

ステップ 4 ロール内でユーザに適用する各要件に対応した [Select] チェックボックスをクリックします。

ステップ 5 [Update] をクリックします。

ステップ 6 終了する前に、ロール内のユーザが CAA または Cisco NAC Web Agent を使用する必要があるか確認してください。「Agent の使用要求」を参照してください。


 

要件の検証

CAM は作成された要件および規則を自動的に検証します。[Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement List] の [Validity] カラムは、規則が有効の場合はブルーのチェックマーク、規則が無効の場合はレッドの「X」を表示します。マウスでこのアイコンを強調表示して、このフォームでどの規則とチェックが要件を無効にしているかを確認してください。

Invalid rule [rulename] in package [requirementname] (Rule verification error: Invalid check [checkname] in rule expression)
 

要件を訂正、検証してから、使用する必要があります。一般的に、オペレーティング システムが一致しない場合に要件/規則が無効になります。

無効な要件を修正するには、次の手順を行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

ステップ 2 無効な規則またはチェックを訂正します(「規則の検証」を参照)。

ステップ 3 ドロップダウン メニューで無効な [Requirement Name] を選択します。

ステップ 4 [Operating System] を選択します。

ステップ 5 [Requirement met if:] 式が正しく設定されていることを確認します。

ステップ 6 要件に対して選択された規則が有効であること(Validity カラム内にブルーのチェックマークが付いていること)を確認します。

図 12-46 要件リスト

 


 

Optional および Audit 要件の設定


) Mac OS X CAAは、Windows CAA および Cisco NAC Web Agent 用に設計された要件、規則、チェックのサブセットだけをサポートします。Mac OS X エージェント固有の要件、規則、チェック情報の詳細については、「Mac OS X Agent 要件の作成」 を参照してください。


[New Requirement] または [Edit Requirement] フォームの [Enforce Type] ドロップダウン メニューだけを使用して、[Mandatory]、[Optional]、または [Audit] 要件を作成できます。オプション要件を使用すると、この要件に違反した場合に、ネットワークからクライアントをブロックしなくても、Agent ユーザの管理レポートを表示することができます。オプション要件に違反したユーザは Temporary ロールに配置され、Agent ダイアログの要件名の前に「Optional」が付加されます。ただし、この場合も、[Next] をクリックして、次の要件に進むか、その他の要件が設定されていない場合はネットワーク作業を継続できます。

ユーザが要件を満たす期間を延長し、その期間はネットワークからユーザがブロックされないようにする場合は、特定の日付で要件を満たすように指示する命令をオプション要件に設定します。後で、指定された日に要件を適用して、要件を必須にすることができます。

ユーザに通知せずにクライアント システムの要件をサイレントにチェックし、レポートを生成するには、ユーザのネットワーク アクセスに影響せずに、結果(成功または失敗)だけを報告する監査だけの要件を設定できます。

Optional および Audit 要件を作成するには、次の手順を行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 12-47 Optional および Audit 要件

 

ステップ 2 ドロップダウン メニューで [Requirement Type] を選択します。

ステップ 3 [Enforce Type] ドロップダウン メニューから [Optional](強制なし)または [Audit](サイレント評価)を選択します。

[Optional] 要件では、ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。[Audit] 要件では、システムは監査レポートを生成しますが、クライアント マシンにユーザ ダイアログが表示されず、ユーザのネットワーク アクセスは影響されません。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で CAA および Cisco NAC Web Agent ダイアログに表示されることを意味します。Mandatory 要件が失敗する場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 CAA の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、CAA の [Next] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します (デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 要件タイプに対応する各フィールドを設定します。

ステップ 7 [Requirement Name] にオプション要件の名前を入力します。

ステップ 8 [Description] フィールドに説明を入力し、この要件がオプション要件であること、および Agent ダイアログの [Next] ボタンをクリックしてネットワーク作業を継続できることをユーザに通知します。次の点に注意してください。

[File Distribution] では、CAA に [Download] ボタンを表示します。

[Link Distribution] では、CAA/Cisco NAC Web Agent に [Go To Link] ボタンを表示します。

[Local Check] では、CAAに [Download] ボタン(ディセーブル)が表示されます。

[AV Definition Update] では、CAA に [Update] ボタンを表示します。

[AS Definition Update] では、CAA に [Update] ボタンを表示します。

[Windows Update] では、CAA に [Update] ボタンを表示します。

[Launch Programs] では、CAA に [Launch] ボタンを表示します。

[Windows Server Update Service] では、CAA に [Update] ボタンを表示します。

ステップ 9 [Operating System] で、該当するチェックボックスをクリックします。

ステップ 10 [Add Requirement] をクリックします。

必須要件と同じ方法で、オプション要件を規則およびロールに対応付ける必要があります。設定を完了する手順については、次を参照してください。

「要件と規則のマッピング」

「ユーザ ロールへの要件の適用」

図 12-48 オプション要件の CAA ダイアログ

 


 

要件の自動修復の設定

File Distribution および Local Check を除くすべての要件タイプの自動修復を設定できます。


) Mac OS X CAA および Cisco NAC Web Agent は、自動修復をサポートしません。Mac OS X エージェント固有の要件、規則、チェック情報の詳細については、「Mac OS X Agent 要件の作成」 を参照してください。


自動修復を設定するには、次の手順を行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動し、[Requirement Type] を選択します。次のものに対して自動修復を設定できます。

Link Distribution

AV Definition Update

AS Definition Update

Windows Update

Launch Programs

Windows Server Update Services

ステップ 2 ドロップダウン メニューから [Enforce Type [Mandatory | Optional | Audit]] を選択します。

ステップ 3 ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。

[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、[Next] ボタンを使用して、各要件をクリックする必要があります。

[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、CAA は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。たとえば次のように、Agent が要件タイプに応じて自動的に異なるアクションを実行します。

Link Distribution に対してデフォルト ブラウザで URL が自動的に起動します。

AV/AS Definition Update に対してクライアントの AV/AS 定義ファイルを自動的に更新します。

Windows Update に対して(バックグラウンドで)Windows Auto Update を自動的に起動します。

Launch Programs の場合プログラムが自動的に起動します。

Windows Server Update Services の場合 WSUS クライアント アップデートが自動的にインストールされます。

[Automatic] オプションをオンにした場合、同じ要件を再試行するまで Agent が待機する時間([Interval])、およびクライアントで最初に要件の実行に失敗した場合に Agent が再試行する回数([Retry Count])をオプションで設定することができます。これらのオプションの影響は、要件タイプによって多少異なります。

[Auto Remediation] 中に、Agent ダイアログは [Details] および [Manual] ボタンだけ表示します。[Details] ボタンをクリックすると、自動修復の追加進捗メッセージが表示されます。Auto Remediation が失敗した場合、ユーザは [Manual] ボタンをクリックして Agent を Manual モードに戻して、ユーザが各要件をクリックする必要がある状態に戻すことができます。

ステップ 4 [Interval[] Secs] を入力します。

[Interval []secs ]:デフォルトは 0 です。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。間隔が 0 に設定された場合、Temporary ロールがタイムアウトするまで Agent は 自動修復を試行し続けます。

[AV Definition Update/AS Definition Update/Windows Server Update Services]:初期修復試行に失敗した場合、次の更新試行を再開するまでの Agent の待機時間がこの間隔によって定義されます。たとえば、AV Definition Update に対して 30 秒の間隔が設定された場合、要件に違反すると、クライアントの AV 定義ファイルを更新する初期試行の終わりから、Agent は 30 秒待機した後に次の更新試行を開始します。

[Link Distribution/Windows Update/Launch Programs]:この要件タイプの場合、Agent が修復試行を完了することのできる合計秒数がこの間隔によって定義されます。たとえば、Launch Programs 要件に対して間隔が 60 秒に設定されている場合、Agent がプログラムを起動してプログラムを 60 秒間実行することができます。60 秒経過した後にクライアントが要件に合致しない場合、Agent は即座にプログラムを再起動します。

ステップ 5 [Retry Count []] を入力します。

[Retry Count []]:デフォルトは 0 です。間隔が 0 の場合、Temporary ロールがタイムアウトするまで Agent は 自動修復を試行し続けます。それ以外の場合、再試行カウントを指定すると、最初に違反したときに Agent が自動的に要件を再試行する回数の制限が設定されます。Temporary ロールがタイムアウトになる前に Retry Count に達した場合、Auto Remediation ダイアログには、ユーザに [Manual] ボタンをクリックすることを求める赤いステータス テキストが表示されます。

AV Definition Update / AS Definition Update / Windows Server Update Services

Link Distribution / Windows Update / Launch Programs

Retry Count の後でも Mandatory 要件に違反する場合、Agent が停止し、ユーザ ロールの次の優先要件を実行しません。ユーザはネットワークにアクセスできなくなります。

Optional 要件の場合、初期試行が終了した後に、指定された Retry Count や初期試行が成功したか失敗したかに関係なく、Agent は常に次の要件に進みます。ただし、間隔が指定されている場合、Agent はその指定された時間待機した後に、次の要件に進みます。

図 12-49 自動修復例 - Windows Update In Process

 

自動修復が失敗した場合、ユーザには図 12-50 で示しているような失敗メッセージが表示され、[Details] ボタンをクリックして修復結果(図 12-51)を確認するか、[Continue] ボタンをクリックして CAA 認証プロセスに戻ることができます。次に、ユーザはログイン セッションを取り消すか、「制限された」ネットワーク アクセス(図 12-52)を受け入れます。

図 12-50 自動修復例 - Windows Update 失敗

 

図 12-51 自動修復例 - 自動修復詳細

 

図 12-52 自動修復例 - WSUS Requirement Authentication ダイアログへの復帰

 


 

Mac OS X Agent 要件の作成

MAC OS X ACC システムの要件を実装するには、次の要素を同時に設定して対応付けます。

要件

AV/AS 規則

ユーザ ロールおよびオペレーティング システム


) Mac OS X Agent では、カスタム チェックおよびカスタム規則をサポートしていません。AV 規則および AS 規則を割り当てることができるのは、Link Distribution、Local Check、AV Definition Update、および Mac OS X ポスチャ修復のための AS Definition Update 要件のタイプに対してだけです。


要件は、ネットワーク アクセスを実現するためにユーザがシステムで実行しなければならない(あるいは、実行してはならない)機能について、ビジネスレベルの判断を行う場合に使用されます。要件のメカニズムは、ユーザ ロールでクライアントが満たさなければならない 1 つまたは複数の規則に、クライアントが違反した場合のユーザの対処法をマップします。New Requirement を作成する場合、いくつかの異なる要件タイプから 1 つ(たとえば、AV Definition Update)を選択し、クライアントが要件に違反した場合に、ユーザに表示する Agent ダイアログのオプション、ボタン、対処法の説明を設定します。

AV/AS 規則は、要件が Mac OS X オペレーティング システムで合致しているかどうかを評価するために Agent で使用されます。AV/AS 規則を要件にマッピングする必要があります。

要件を規則に関連付けたら、最後の設定手順として、標準ログイン ユーザ ロールに要件を関連付けます。標準ユーザ ロールへの認証を試行するユーザは、標準ログイン ロールに対応する要件にパスするまで、Temporary ロールに配置されます。

この要件に正常に適合したユーザは、標準ログイン ロールでのネットワーク作業が許可されます。

要件に違反したユーザは、Agent ダイアログに記載された手順を実行して、要件に正常に適合しないかぎり、Temporary ロールのままでセッションをタイムアウトします。

アウトオブバンド ユーザの場合は、要件の認証および適合に成功すると、インバンド ネットワーク(認証 VLAN 上)を離れて、アクセス VLAN 上のアウトオブバンド ネットワークにアクセスできます。

要件を標準ログイン ユーザ ロールにマップするには、「ユーザ ロールの作成」の説明に従って、ロールを作成しておく必要があります。

AV および AS Definition Update 要件の設定

[AV Definition Update] および [AS Definition Update] 要件タイプは、クライアント上にあるサポート対象 AV/AS 製品の定義ファイルのレポートおよび更新に使用できます。クライアントが AV/AS 要件に違反した場合、CAA はクライアントにインストールされた AV/AS ソフトウェアと直接通信します。ユーザが Assessment Report ウィンドウの [Update] ボタンをクリックすると、定義ファイルは自動的に更新されます。

AV 規則には AV ベンダーに関するロジックが多数組み込まれていて、AV Definition Update 要件が対応付けられています。AS 規則にはほとんどの AS ベンダーに関するロジックが組み込まれていて、AS Definition Update 要件が対応付けられています。AV または AS Definition Update 要件の場合、チェックを設定する必要はありません。次のように対応付けます。

AV Definition Update 要件と AV 規則およびユーザ ロールや OS

AS Definition Update 要件と AS 規則およびユーザ ロールや OS

さらに、AV/AS 要件に違反した場合にユーザに表示する Agent ダイアログの説明を設定します。


) 可能であれば、クライアントの AV ソフトウェアをチェックする場合に、AV Definition Update 要件に対応付けられた AV 規則を使用することを推奨します。サポート対象外の AV 製品の場合、または AV 規則を介して AV 製品/バージョンを使用できない場合、管理者は常に AV ベンダーに関するシスコ提供の pc_ checks および pr_rules を使用したり、[Device Management] > [Clean Access] > [Clean Access Agent] を通して独自のカスタム チェック要件を作成することができます(「カスタム要件の設定」を参照)。

Cisco NAC アプライアンスは AV ベンダーがサポートするインストール方式およびメカニズムと連携して機能します。AV ベンダーが AV 製品の基本メカニズム突然変更した場合、Clean Access チームはできるだけ早く Supported AV/AS Product List または CAA をアップグレードして、新しい AV 製品の変更をサポートします。


図 12-53 に、クライアントが AV Definition Update 要件に違反した場合に表示される Mac OS X CAA ダイアログを示します。

図 12-53 必要な AV Definition Update(Mac OS X CAA User ダイアログ)

 

AV 規則および AS 規則

AV 規則および AS 規則は、Supported AV/AS Product List 内のベンダーおよび製品のリストに対応付けられた設定済みの規則タイプです。このタイプの規則を含むチェックを設定する必要はありません。

AV 規則には 2 つの基本タイプがあります。

[Installation AV Rules]:選択された AV ソフトウェアがクライアント オペレーティング システムに対応するようにインストールされているかどうかを調べます。

[Virus Definition AV Rules]:クライアントのウイルス定義ファイルが最新であるかどうかを調べます。[Virus Definition AV Rules] を AV Definition Update 要件に対応付けると、要件に違反したユーザが [Assessment Report] ウィンドウの [Remediate] ボタンをクリックして、更新を自動実行できるようになります。

AS 規則には 2 つの基本タイプがあります。

[Installation AS Rules]:選択された AS ソフトウェアがクライアント OS に対応するようにインストールされているかどうかを調べます。

[Spyware Definition AS Rules]:クライアントの AS 定義ファイルが最新であるかどうかを調べます。[Spyware Definition AS Rules] を AS Definition Update 要件に対応付けると、要件に違反したユーザが [Assessment Report] ウィンドウの [Remediate] ボタンをクリックして、更新を自動実行できるようになります。

通常、[AV Rules] は [AV Definition Update] 要件に、[AS Rules] は [AS Definition Update] 要件に対応付けられます。

AV Definition Update 要件を作成する手順は、次のとおりです。

1. 「AV/AS サポート情報の確認」

2. 「AV 規則の作成」

3. 「AV Definition Update 要件の作成」

4. 「規則への要件のマップ」

5. 「ロールへの要件の適用」

6. 「要件の検証」

AS Definition Update 要件を作成する手順は、次のとおりです。

1. 「AV/AS サポート情報の確認」

2. 「AS 規則の作成」

3. 「AS Definition Update 要件の作成」

4. 「規則への要件のマップ」

5. 「ロールへの要件の適用」

6. 「要件の検証」


) AV または AS 規則/要件を別の方法で設定する方が便利な場合があります。次の例を参考にしてください。

特定のベンダーの一部の製品バージョンでは、Mac OS X Agent による製品の更新 URL をサポートしていない場合があります。この場合は、インストールされた AV/AS 製品のインターフェイスを通して、AV/AS 定義ファイルを更新するようにユーザに指示する説明を設定できます(AV または AS Definition Update 要件の [Description] フィールドを使用)。

異なる Enforce Type も設定できます。クライアント向けのレポートを生成したり、ユーザが要件を満たす期間を延長し、その期間はユーザがネットワークからブロックされないようにできます。詳細については、「Optional および Audit 要件の設定」を参照してください。


 

AV/AS サポート情報の確認

Cisco NAC アプライアンスを使用すると、複数のバージョンの CAA をネットワークで使用できます。Agent に新しいアップデートを適用すると、リリース時点での最新の AV/AS 製品のサポートが追加されます。最適な方法(Def Date または Def Version)が選択され、入手可能な AV/AS 製品および Agent のバージョンに基づいて AV/AS 定義チェックを実行します。[AV/AS Support Info] ページには、CAM にダウンロードされた最新の Supported AV/AS Product List と Agent の互換性が詳細に表示されています。また、AV/AS 製品ごとの定義ファイルの最新バージョンや日付、および製品サポートに必要な Agent のベースライン バージョンが表示されています。クライアントの AV/AS 情報と、[AV/AS Support Info] ページを比較して、クライアントの定義ファイルが最新であるかを確認できます。ネットワークで複数のバージョンの Agent が稼動している場合、このページを使用すると、特定の製品をサポートするため実行しなければならないバージョンを判別することができます。

Agent サポートの詳細を表示するには


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] に移動します。

ステップ 2 [Category] ドロップダウン メニューで [Antivirus](図 12-54)または [Anti-Spyware](図 12-55)を選択します。

図 12-54 AV/AS Support Info - AV ベンダーの例

 

図 12-55 AV/AS Support Info - AS ベンダーの例

 

ステップ 3 ドロップダウン メニューで、対応するベンダー([Antivirus Vendor] または [Anti-Spyware Vendor])を選択します。

ステップ 4 [Operating System] ドロップダウン メニューから [Mac OSX] を選択します。製品の詳細については、[Minimum Agent Version Required to Support AS Products] テーブルで確認してください。

ステップ 5 AV 製品の場合は、[Operating System] ドロップダウン メニューで [Mac OSX] を選択して、クライアント システムのサポート情報を表示します。この操作を行うと、次のテーブルにデータが読み込まれます。

[Minimum Agent Version Required to Support AV Products] は、各 AV 製品のサポートに必要な最小の Agent バージョンを表示します。たとえば、4.5.0.0 Mac OS X Agent は、clamXav: 0.x および ClamXav: 1.x にログインすることができます。特定のバージョンの Mac OS X Agent が Def Date と Def Version の両方のチェックをサポートする場合、Def Version チェックが使用されます。

[Latest Virus Definition Version/Date for Selected Vendor] は、AV 製品の最新バージョンと日付の情報を表示します。最新クライアントの AV ソフトウェアに、同じ値が表示されます。


) Agent はバージョン情報を CAM に送信します。CAM が最初に AV チェックに使用するのは、常にウイルス定義のバージョンです。バージョンを使用できない場合、CAM はウイルス定義の日付を使用します。



ヒント [New AV Rule] フォームで AV ベンダーを選択した場合も、最新の定義ファイル バージョンを表示できます。



 

AV 規則の作成


) Mac OS X Agent バージョン 4.5.0.0 を使用してクライアント修復を実行するために、CAM/CAS では、Cisco NAC アプライアンス リリース 4.5 を実行し、最新の Cisco AV/AS サポート アップデートが存在している必要があります。



ステップ 1 最新バージョンの Supported AV/AS Product List が存在することを確認してください(「アップデートの取得」を参照)。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AV Rule] に移動します。

図 12-56 New AV Rule

 

ステップ 3 [Rule Name] を入力します。名前内には数字および下線を使用できますが、スペースは使用できません。

ステップ 4 ドロップダウン メニューで、特定の [Antivirus Vendor] または [ANY](任意の)ベンダーを選択します。この操作を行うと、選択した [Operating System] に対応する、[ANY](任意の)ベンダー オプションの情報または指定ベンダーのサポート対象製品および製品バージョンが、ページの下部にある [Checks for Selected Operating Systems] テーブルに読み込まれます。

ステップ 5 [Type] ドロップダウン メニューで、[Installation] または [Virus Definition] を選択します。このようにすると、下部のテーブル内の、対応する [Installation] または [Virus Definition] カラムのチェックボックスがイネーブルになります。

ステップ 6 [Operating System] ドロップダウン メニューから [Mac OSX] を選択します。

ステップ 7 オプションの [Rule Description] に入力します。

ステップ 8 [Checks for Selected Operating Systems] テーブルで、対応する [Installation] または [Virus Definition] カラム内のチェックボックスをクリックして、クライアント上で検索する製品バージョンを選択します。

[ANY] をクリックすると、この AV ベンダーのすべての製品およびバージョンが検索されます。

[Installation] は、製品がインストールされているかどうかを調べます。

[Virus Definition] は、指定された製品のウィルス定義ファイルが、クライアント上で最新かどうかを調べます。


) 定義規則では、Agent は最初に製品がインストールされているかどうかを確認し、次に定義ファイルが最新かどうかを調べます。


ステップ 9 [Add Rule] をクリックします。新しい AV 規則が [Rule List] の下部に、指定した名前で追加されます(図 12-57を参照)。

図 12-57 [Rule List] の下に表示される [New AV Rules]

 


) AV 規則を設定する際に、[ANY] AV ベンダー オプションと、ベンダー固有の [ANY Product/ANY Version] オプションでは、次のように動作が異なります。

ANY ベンダーの場合、Agent はインストールされた製品がサポート対象ベンダーからのものかどうかについて、サーバを問い合せる必要があります。Agent は、ログイン セッションの最初にだけ問い合せるために、ユーザは [Cancel] をクリックするか Agent を再起動して、サーバの応答を更新し、ログイン プロセスを繰り返す必要があります。

特定のベンダーの [ANY Product/ANY Version] の場合、Agent はクライアント マシンにインストールしたもの対して必要なベンダーが一致していることだけが必要です。問い合せは不要です。


 


 

AV Definition Update 要件の作成

次の手順は、対応する AV 規則を使用して特定の AV 製品およびバージョンのクライアント システムを検索する、新しい AV Definition Update 要件を作成する方法を示します。クライアントの AV 定義ファイルが最新でない場合、[Assessment Report] ウィンドウの [Remediate] ボタンをクリックして、Mac OS X Agent 独自の更新メカニズムを既存の AV ソフトウェアによって起動することができます。実際のメカニズムは、AV 製品ごとに異なります(ライブ アップデートやコマンド ライン パラメータなど)。


) ユーザは、http://www.clamav.net にある ClamXAV ダウンロード サイトにナビゲートすることにより、ClamWin AV Definition Update 要件だけを解決することができます。CAM の Unauthenticated ロールの定義済みホスト ポリシー([User Management] > [User Roles] > [Traffic Control] > [Host])を使用することを推奨します。



ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニュー リンクをクリックしてから、[New Requirement] を選択します。

図 12-58 新しい AV Definition Update 要件

 

ステップ 2 [Requirement Type] で、[AV Definition Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて [Skip] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされます(Audit 要件はユーザの [Assessment Report] ウィンドウに表示されます)。レポートが自動的に生成され、CAS に送り返されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で CAA ダイアログに表示されることを意味します。Mandatory 要件が失敗する場合、その要件が成功するまで Agent は次に進みません。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、New Requirement 設定ページに表示される Remediation 機能(Remediation [Type]、[Interval]、および [Retry Count])は役割も果たしません。


ステップ 5 ドロップダウン メニューで [Antivirus Product Name] を選択するか、[ANY] を選択します。[Products] テーブルに、クライアント OS ごとにサポートされているウイルス定義製品のバージョンがすべて表示されます。

ステップ 6 [Requirement Name] に、Agent 内でこの AV ウイルス定義ファイル要件を識別する一意の名前を入力します。この名前は、CAA ダイアログに表示されます。

ステップ 7 [Description] フィールドに、要件の説明、および要件に違反したユーザの指針となる手順を入力します。AV Definition Update 要件の場合は、[Remediate] ボタンをクリックしてシステムを更新するように Mac OS X に指示する説明を追加する必要があります。

ステップ 8 少なくとも 1 つのクライアント [Operating System ]に対応するチェックボックスをクリックします(少なくとも 1 つをオンにする必要があります)。

ステップ 9 [Add Requirement] をクリックして、Requirement List に要件を追加します。

図 12-59 Mac OS X Agent Assessment Report AV Definition Update 要件表示

 


 

AS 規則の作成


) Mac OS X Agent バージョン 4.5.0.0 を使用してクライアント修復を実行するために、CAM/CAS では、Cisco NAC アプライアンス リリース 4.5 を実行し、最新の Cisco AV/AS サポート アップデートが存在している必要があります。



ステップ 1 最新バージョンの Supported AV/AS Product List が存在することを確認してください(「アップデートの取得」を参照)。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AS Rule] に移動します。

図 12-60 New AS Rule

 

ステップ 3 [Rule Name] を入力します。名前内には数字および下線を使用できますが、スペースは使用できません。

ステップ 4 ドロップダウン メニューで [Anti Spyware Vendor] を選択するか、または [ANY] を選択して、サポートされている AS ベンダーまたは製品をすべて選択します。この操作を行うと、ページ下部にある [Checks for Selected Operating Systems] テーブルに、(選択された [Operating System]に対応する)このベンダーのサポート対象製品および製品バージョンが読み込まれます。

ステップ 5 [Type] ドロップダウン メニューで、[Installation] または [Spyware Definition] を選択します。このようにすると、その下のテーブル内の、対応する [Installation] または [Spyware Definition] カラムのチェックボックスがイネーブルになります。

ステップ 6 [Operating System] ドロップダウン メニューから [Mac OSX] を選択します。

ステップ 7 オプションの [Rule Description] に入力します。

ステップ 8 [Checks for Selected Operating Systems] テーブルで、対応する [Installation] または [Spyware Definition] カラム内のチェックボックスをクリックして、クライアント上で検索する製品バージョンを選択します。

[ANY] をクリックすると、この AS ベンダーのすべての製品およびバージョンが検索されます。

[Installation] は、製品がインストールされているかどうかを調べます。

[Spyware Definition] は、指定された製品のスパイウェア定義ファイルが、クライアント上で最新かどうかを調べます。


) 定義規則では、Agent は最初に製品がインストールされているかどうかを確認し、次に定義ファイルが最新かどうかを調べます。


ステップ 9 [Add Rule] をクリックします。新しい AS 規則が [Rule List] の下部に、指定した名前で追加されます(図 12-61を参照)。

図 12-61 [Rule List] の下部に表示される [New AS Rules]

 


 

AS Definition Update 要件の作成


) Mac OS X Agent では、AV Definition Update と AS Definition Update の両方をサポートしていますが、Cisco NAC アプライアンス リリース 4.5 に関連付けられている Opswat ライブラリには、現在 AS Definition Update が含まれていません。したがって、CAM AS Definition Update 要件設定ページで現在使用可能な AS 定義アップデートがありません。

サポート AV/AS アプリケーションのリストの場合、『Release Notes for Cisco NAC Appliance, Version 4.5(1)』の「Clean Access Supported AV/AS Product List」の項を参照してください。



ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 12-62 新しい AS Definition Update 要件

 

ステップ 2 [Requirement Type] で、[AS Definition Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて [Skip] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされます(Audit 要件はユーザの [Assessment Report] ウィンドウに表示されます)。レポートが自動的に生成され、CAS に送り返されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、New Requirement 設定ページに表示される Remediation 機能(Remediation [Type]、[Interval]、および [Retry Count])は役割も果たしません。


ステップ 5 ドロップダウン メニューで [Anti-Spyware Vendor Name] を選択するか、[ANY] を選択します。[Products] テーブルに、クライアント OS ごとに現在サポートされているスパイウェア定義製品のバージョンがすべて表示されます。

ステップ 6 [Requirement Name] に、Agent 内でこの AS 定義ファイル要件を識別する一意の名前を入力します。この名前は、CAA ダイアログに表示されます。

ステップ 7 [Description] フィールドに、要件の説明、および要件に違反したユーザの指針となる手順を入力します。AS Definition Update 要件の場合は、[Remediate] ボタンをクリックしてシステムを更新するように Mac OS X に指示する説明を追加する必要があります。

ステップ 8 少なくとも 1 つのクライアント [Operating System ]に対応するチェックボックスをクリックします(少なくとも 1 つをオンにする必要があります)。

ステップ 9 [Add Requirement] をクリックして、Requirement List に要件を追加します。


 

カスタム要件の設定

カスタム要件を作成すると、ユーザが規則条件を満たすためのメカニズムに規則を対応付けることができます。このメカニズムには、外部リソースへのリンクや単なる命令などがあります。規則チェックが満たされない場合(たとえば、必要なソフトウェアがクライアント システム上に見つからない場合)は、設定に応じて、ユーザに警告を表示したり、システムを修復するようにユーザに要求することができます。図 12-13 で示すように、ブール演算子「&」(and)、「|」(or)、および「!」(not)を使用して、1 つの規則内で複数のチェックを連結できます。1 つの要件に複数の規則を使用する場合は、クライアントが要件に適合していると見なすための条件を、「選択されたいずれかの規則を満たす」、「すべての規則を満たす」、「どの規則も満たさない」の中から指定することができます。

図 12-63 カスタム要件

 

設定の概要

カスタム要件の作成手順は、次のとおりです。

1. 「カスタム要件の作成」

2. 「規則への要件のマップ」

3. 「ロールへの要件の適用」

4. 「要件の検証」

カスタム要件の作成

要件は、OS に指定された一連の規則を、Agent ダイアログを介してユーザにプッシュされるファイル、配信リンク、または説明に対応付けるメカニズムです。要件では、インストール ファイル、またはソフトウェアをダウンロードできるリンクを指定できます。ローカル チェックが特定のインストール ファイルに対応付けられていない場合、要件は規則を情報メッセージ(たとえば、ソフトウェアを削除したり、ウイルス チェックを実行するようにユーザに指示するメッセージ)に対応付けることができます。新しい要件は、設定プロセス中にいつでも作成できます。ただし、要件を有効にするには、OS の規則およびユーザ ロールの両方に要件を対応付けておく必要があります。

Link Distribution または Local Check 要件の作成


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニュー リンクをクリックしてから、[New Requirement] を選択します。

図 12-64 新規カスタム要件

 

ステップ 2 [Requirement Type] を選択します。

[Link Distribution]:ソフトウェアが使用可能な別の Web ページ(ソフトウェア ダウンロード ページなど)にユーザを転送します。リンクへの HTTP(および HTTPS の両方またはいずれか一方)はアクセスを許可するように Temporary ロールが設定されているか確認します。

図 12-65 Mac OS X Agent Assessment Report Link Distribution 要件表示

 

[Local Check]:インストール可能ソフトウェアと関連付けられていないチェックを作成する際にこれを使用します。たとえば、システムにあるべきまたはあるべきでないソフトウェアを検索することができます (「Message」アイコンを使用して [Mac OS X Agent Assessment Report] ウィンドウに Local Check 要件が表示されます)。

図 12-66 Mac OS X Agent Assessment Report Local Check 要件表示

 

[AV Definition Update]:AV 規則を作成する場合に使用します。詳細については、「AV および AS Definition Update 要件の設定」を参照してください。

[AS Definition Update]:AS 規則を作成する場合に使用します。詳細については、「AV および AS Definition Update 要件の設定」を参照してください。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて [Skip] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。「Optional および Audit 要件の設定」を参照してください。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件がサイレントにチェックされます(Audit 要件はユーザの [Assessment Report] ウィンドウに表示されます)。レポートが自動的に生成され、CAS に送り返されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

ステップ 4 要件の [Priority] を指定します。値が最小(「1」など)の要件のプライオリティが最大になり、最初に実行されます。要件に失敗した場合、この要件に設定された対処法の説明がユーザにプッシュされ、その他の要件はテストされません。したがって、失敗する可能性が最も高い要件のプライオリティを最大にすることによって、処理時間を最短にすることができます。

ステップ 5 Requirement Type として [Link Distribution] を選択した場合は、[File Link URL] フィールドに、必要なインストール ファイルまたはパッチ アップデートを取得できる Web ページの URL を入力します。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、AV Definition Update または AS Definition Update 要件タイプを選択する際に New Requirement 設定ページに表示される Remediation 機能(Remediation [Type]、[Interval]、および [Retry Count])は、Macintosh クライアント修復作成時に役割を果たしません。


ステップ 6 [Requirement Name] に、システム要件を識別する一意の名前を入力します。この名前は、CAA ダイアログに表示されます。

ステップ 7 [Description] フィールドに、要件の説明、およびユーザに役立つ手順を入力します。

ステップ 8 要件を適用する [Operating System] を選択します(少なくとも 1 つ選択する必要があります)。

ステップ 9 [Add Requirement] をクリックして、ダウンロード要件の設定を保存します。

ステップ 10 [Requirement List]に要件が表示されます。

図 12-67 に、CAA の要件設定フィールドの表示例を示します。

図 12-67 Mac OS X Agent 要件(ユーザ表示例)

 


 

規則への要件のマップ

要件を作成し、対処法へのリンクおよび手順を指定したら、特定の規則または一連の規則に要件をマップします。要件と規則のマッピングは、クライアント システムが要件を満たすかどうかを調べる規則セットと、クライアント システムを適合させるために必要なユーザ対処法(Agent ボタン、手順、リンク)をマップします。


) Mac OS X Agent では、カスタム チェックおよびカスタム規則をサポートしていません。AV 規則および AS 規則を割り当てることができるのは、Link Distribution、Local Check、AV Definition Update、および Mac OS X ポスチャ修復のための AS Definition Update 要件のタイプに対してだけです。



ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニューをクリックしてから、[Requirement-Rules] フォームを開きます(図 12-68)。

図 12-68 要件にマップする規則の選択

 

ステップ 2 [Requirement Name] メニューで、マップする要件を選択します。

ステップ 3 [Operating System] メニューで、要件に対応した OS を確認します。[Rules for Selected Operating System] リストに、選択された OS で使用可能なすべての規則が読み込まれます。

ステップ 4 [Requirements met if] オプションで、次のいずれかのオプションを選択します。

[All selected rules succeed]:クライアントが要件に適合していると見なすための条件が、すべての規則を満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則を 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則をすべて満たさないことである場合

クライアントが要件に適合しない場合は、要件に対応付けられたソフトウェアをインストールするか、または指示された手順を実行する必要があります。

ステップ 5 AV Virus Definition 規則(背景がイエロー)および AS Spyware Definition 規則(背景がブルー)の場合は、クライアントの定義ファイルの日付が、CAM が [Updates] から入手可能なものよりも数日間古い日付になるように、CAM を設定することができます(最新の製品ファイル日付については、[Rules] > [AV-AS Support Info] を参照してください)。このように設定すると、新しいウイルス/スパイウェア定義ファイルが製品ベンダーからリリースされない場合も、クライアントが要件をパスできるように、要件の柔軟性を高めることができます。

次のいずれかのチェックボックスをクリックします。

[For AV Virus Definition rules, allow definition file to be x days older than]

[For AS Spyware Definition rules, allow definition file to be x days older than]

テキスト ボックスに数値を入力します。デフォルトは「 0 」です。この場合、定義日をファイル/システム日付よりも古い日付に設定できません。

次のいずれかを選択します。

[Latest file date]:クライアント定義ファイルを、CAMの最新のウイルス/スパイウェア定義日よりも指定日数だけ古い日付にすることができます。

[Current system date]:クライアント定義ファイルを、最後に [Update] が実行された時点の CAM のシステム日よりも指定日数だけ古い日付にすることができます。


) 特定の要件にこの機能を設定した場合、Agent は AV/AS 製品の定義日を検索してから、日付がこの要件を満たすかどうかを検証します。Agent が定義日を検出できない場合(この製品で定義日の検出がサポートされていない場合など)、この機能は無視され、Agent はクライアントに最新の定義バージョンがあるかどうかを調べます。


ステップ 6 ページをスクロールダウンして、要件に対応付ける各規則の横にある [Select] チェックボックスをオンにします。規則はプライオリティ順に適用されます。

ステップ 7 [Update] をクリックします。


 

ロールへの要件の適用

要件を作成し、対処法を設定し、規則を対応付けたら、要件をユーザ ロールに対応付ける必要があります。この最終手順では、システム内のユーザ グループに要件を適用します。


) 標準ログイン ユーザ ロールが作成されていることを確認してください(「ユーザ ロールの作成」を参照)。



ステップ 1 [Clean Access Agent] タブで、[Role-Requirements] サブメニュー リンクをクリックします。

図 12-69 ロールと要件のマッピング

 

ステップ 2 [Role Type] メニューで、設定するロールのタイプを選択します。通常は、[Normal Login Role] を選択します。

ステップ 3 [User Role] メニューで、ロールの名前を選択します。

ステップ 4 ロール内でユーザに適用する各要件に対応した [Select] チェックボックスをクリックします。

ステップ 5 [Update] をクリックします。

ステップ 6 終了する前に、ロール内のユーザが Mac OS X CAA を使用する必要があるか確認してください。「Mac OS X Agent 要件の作成」を参照してください。


 

要件の検証

CAM は作成された要件および規則を自動的に検証します。[Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement List] の [Validity] カラムは、規則が有効の場合はブルーのチェックマーク、規則が無効の場合はレッドの「X」を表示します。

図 12-70 要件リスト

 

マウスでレッドの「X」アイコン(ある場合)を強調表示して、このフォームでどの規則とチェックが要件を無効にしているかを確認してください。

Invalid rule [rulename] in package [requirementname] (Rule verification error: Invalid check [checkname] in rule expression)
 

要件を訂正、検証してから、使用する必要があります。一般的に、オペレーティング システムが一致しない場合に要件/規則が無効になります。

無効な要件を訂正するには


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

ステップ 2 ドロップダウン メニューで無効な [Requirement Name] を選択します。

ステップ 3 [Operating System] を選択します。

ステップ 4 [Requirement met if:] 式が正しく設定されていることを確認します。

ステップ 5 要件に対して選択された規則が有効であること(Validity カラム内にブルーのチェックマークが付いていること)を確認します。


 

Optional および Audit 要件の設定

[New Requirement] または [Edit Requirement] フォームの [Enforce Type] ドロップダウン メニューだけを使用して、[Mandatory]、[Optional]、または [Audit] 要件を作成できます。オプション要件を使用すると、この要件に違反した場合に、ネットワークからクライアントをブロックしなくても、Agent ユーザの管理レポートを表示することができます。オプション要件に違反したユーザは Temporary ロールに配置され、Agent ダイアログの要件名の前に「Optional」が付加されます。ただし、この場合も、[Skip] をクリックして、次の要件に進むか、その他の要件が設定されていない場合はネットワーク作業を継続できます。

ユーザが要件を満たす期間を延長し、その期間はネットワークからユーザがブロックされないようにする場合は、特定の日付で要件を満たすように指示する命令をオプション要件に設定します。後で、指定された日に要件を適用して、要件を必須にすることができます。

ユーザに通知せずにクライアント システムの要件をサイレントにチェックし、レポートを生成して CAS に送り返すには、ユーザのネットワーク アクセスに影響せずに、結果(成功または失敗)だけを報告する監査だけの要件を設定できます。

Optional および Audit 要件を作成するには


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 12-71 Optional および Audit 要件

 

ステップ 2 ドロップダウン メニューで [Requirement Type] を選択します。

ステップ 3 [Enforce Type] ドロップダウン メニューから [Optional](強制なし)または [Audit](サイレント評価)を選択します。

[Optional] 要件では、ユーザには要件が伝えられますが、必要に応じて [Skip] をクリックし、無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。[Audit] 要件では、システムは監査レポートを生成しますが、ユーザの Assessment Report ウィンドウには Audito 要件が表示されず、ユーザのネットワーク アクセスは影響されません。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。Mandatory 要件が失敗する場合、その要件が成功するまで Agent は次に進みません。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、New Requirement 設定ページに表示される Remediation 機能(Remediation [Type]、[Interval]、および [Retry Count])は役割も果たしません。


ステップ 5 [Requirement Name] にオプション要件の名前を入力します。

ステップ 6 [Description] フィールドに説明を入力し、この要件がオプション要件であること、および Agent ダイアログの [Skip] ボタンをクリックしてネットワーク作業を継続できることをユーザに通知します。

ステップ 7 [Operating System] で、該当するチェックボックスをクリックします。

ステップ 8 [Add Requirement] をクリックします。

必須要件と同じ方法で、オプション要件を規則およびロールに対応付ける必要があります。詳細については、「規則への要件のマップ」および「ユーザ ロールへの要件の適用」を参照してください。

図 12-72 Optional 要件の Mac OS X Agent ダイアログ

 


 

レポートの表示

管理者 Agent [Reports] ページ([Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Viewer])には、CAA および Cisco NAC Web Agent セッションに関する詳細が表示されます。この情報にはユーザ アクセスの試行回数、およびシステム チェック結果が含まれます。

[Reports] ページを使用すると、管理者は Agent レポートの記録と検索を実行して、情報収集を進めて編集されたレポート データをエクスポートし、統計分析と Agent 接続問題のトラブルシューティングに役立てることができます。[Reports] ページは、次のカラム ヘッダーを使用して Agent レポート エントリ情報を表示します。

[Status]:緑または赤のフラグは、Agent 接続の成功または失敗を示します。

[User]:クライアント マシンからのセッションを確立するのに使用されるユーザ ID です。

[Agent] :クライアント セッションを開始するのに使用される Agent のタイプを指定します(Windows Clean Access Agent、Mac OS X Clean Access Agent、または Cisco NAC Web Agent)

[IP]:クライアント マシンの IP アドレスです。

[MAC]:クライアント マシン インターフェイス MAC アドレスです。

[OS]:クライアント マシンで検出されたオペレーティング システムです。

[Time]:ユーザが Agent セッションの開始を試行した日付と時刻です。


) 背景が赤の Report List エントリは、システム チェックに失敗したクライアントを示します。


図 12-73 Agent 管理者レポート

 

Reports ページでは、追加のクライアント レポート表示基準をアクティブにして定義することにより、ユーザ セッションのリストをフィルタリングすることもできます。たとえば、ユーザが毎日(さらに 1 日数回)ログインするような非常に大きなユーザ アクセス ベースがあり、より管理可能な数にレポートの総数を制限する場合、単一のユーザ ID または特定のデバイスからのすべてのユーザ セッションに関するユーザセッション情報を表示するように選択できます。ドロップダウン メニューから使用可能なフィルタ パラメータは次のとおりです。

[Status]:成功、失敗、または両方のタイプのユーザ セッションをリストすることができます。

[Username]:クライアント レポート リストに表示するためのすべてまたは特定の一部のユーザ ID を指定できます。

[IP]:指定された IP アドレスのすべてまたは一部が一致するものに クライアント レポートのリストを限定することができます(たとえば、「starts with」「10.12.4.」と指定することで、このパラメータを使用してユーザ リストを 10.12.4. <x> の範囲にある IP アドレスに限定できます)。

[MAC]:指定された送信元 MAC アドレスのすべてまたは一部が一致するものにクライアント レポートを限定することができます。

[OS]:クライアント マシンで検出されたオペレーティング システムに基づいてクライアント レポートを表示することができます。

[Time]:特定の時間以降、または特定の時間までの、クライアント レポート エントリを表示できます(たとえば、直近の 1 時間、前日までなど)。

[Software]:特定のインストール済み AV、AS、または未サポートの AV/AS ソフトウェアに対するクライアント レポートを表示できます。

[Requirement]:特定の Agent 要件に関連したクライアント レポートだけを表示できます。

[Requirement Status]:指定された [Requirement ](上記)の成功または失敗 Agent 要件のクライアント レポートを表示できます。

[System Name]:指定されたクライアント システム名のすべてまたは一部に関連したクライアント レポートを表示できます。

[System User]:特定のシステム ユーザ(つまり、実際のユーザ セッションが開始された時点でのクライアント マシンにログインしたユーザで、上記の [Username] と同じ ID でなくてもよい)に関連したクライアント レポートを表示できます。

[System Domain]:クライアント マシンがログインしたシステム ドメインに基づくクライアント レポートだけを表示できます。

[User Domain]:クライアント [System User] ID が関連しているユーザ ドメインに基づくクライアント レポートだけを表示できます。

検索オプションのパラメータを選択し定義した後に [Filter] ボタンをクリックすると、基準に一致するすべてのクライアント レポート エントリの概要と、各クライアントの詳細な管理者レポートが表示されます。

たとえば、[OS] フィルタ オプションを使用して、ドロップダウン リストからオプションを 1 つ選択することにより、Agent レポート表示をより少ない数のレポート エントリになるようにすることができます(図 12-74)。

図 12-74 Agent 管理者オプション - OS フィルタ オプション

 

[Reset] をクリックして、フィルタ ドロップダウン メニューからオプションの検索基準を無効にして、クライアント レポート表示リストをデフォルト設定に戻すことができます。

[View] ボタン(右端にある虫眼鏡アイコン)をクリックして、図 12-75で示すように個別ユーザ レポートを表示します。

図 12-75 Agent レポートの例

 

Agent レポートには、ユーザ、オペレーティング システム、Agent バージョン、およびドメイン情報のほか、ユーザ ロールに適用可能な要件(Mandatory および Optional の両方)が表示されます。ユーザが満たしている要件はグリーンで、満たしていない要件はレッドで表示されます。要件を構成している各チェックは、ステータス(Passed、Failed、または Not executed)を基準として表示されます。これにより、要件に違反した場合に、違反したチェックを正確に表示することができます。

[Not Executed] チェックは、別の OS に適用されたなどの理由により、適用されなかったチェックです。[Failed] チェックの原因は、「OR」演算であることがあります。レポートを削除するには、[Delete] ボタンをクリックします。これにより、フィルタリング基準に基づいて現在選択されているレポート エントリがすべて削除されます。

Agent レポートのエクスポート

[Export] および [Export (with text)] ボタンを使用して、Agent レポート データを含む CSV ファイルをローカル ハードディスク ドライブに保存して、トラブルシュ [ティングまたは統計分析目的で必要な場合にいつでも検索、表示、変更できるようにします。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Viewer] に移動します( 図 12-76 を参照)。

ステップ 2 [Export] または [Export (with text)] をクリックします。

図 12-76 Agent レポートのエクスポート

 

ステップ 3 次のいずれかを実行します。

[Open] をクリックして、結果 Agent レポート ファイルを表示します。

[Save] をクリックして、Agent レポート ファイルを保存するローカル マシン内のディレクトリに移動して、ファイル名を入力し、ナビゲーション ダイアログ内の [Save] をクリックすると、以降の日付のレポートを表示できます。


 

レポート数の制限

ログ内のレポート数を制限するには、[Device Management] > [Clean Access] > [Clean Access Agent] > [Reports] > [Report Setting] を使用します。最大レポート数には 100 ~ 200000(デフォルトは 30000)を指定します。

CAA/Cisco NAC Web Agent レポートは独自のテーブルに格納され、一般的なイベント ログから分離されます。