Cisco NAC アプライアンス - Clean Access Manager コンフィギュレーション ガイド
Agent ログインとクライアント ポスチャ評価 のための Cisco NAC アプライアンスの設定
Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定
発行日;2012/02/01 | 英語版ドキュメント(2012/01/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定

概要

Agent 設定手順

デフォルト ログイン ページの追加

Agent のロールとユーザ プロファイルの設定

クライアント マシンへの Agent ログインの要求

Agent ユーザに対する制限付きネットワーク アクセスの設定

Agent ユーザ用の Network Policy ページ(AUP)の設定

Agent Temporary ロールの設定

Cisco NAC アプライアンスのアップデートの取得

最新アップデートの表示

アップデートの設定およびダウンロード

CAM アップデートのためのプロキシ設定(任意)

Agent の配布およびインストールの設定

Agent の配布

[Installation] ページ

Cisco NAC Agent XML コンフィギュレーション ファイルの設定

Cisco NAC Agent MSI インストーラ

Agent ベースのポスチャ評価の設定

概要

AV および AS Definition Update 要件の設定

AV 規則および AS 規則

AV/AS サポート情報の確認

AV 規則の作成

AV Definition Update 要件の作成

AS 規則の作成

AS Definition Update 要件の作成

Windows Server Update Services 要件の設定

Windows Server Update Service 要件の作成

Windows 規則への Windows Server Update Service 要件のマッピング

Windows Update 要件の設定

Windows Update 要件の作成

Windows 規則への Windows Update 要件のマッピング

カスタム チェック、規則、および要件の設定

カスタム要件

カスタム規則

シスコの設定済み規則(「pr_」)

カスタム チェック

シスコの設定済みチェック(「pc_」)

CSA をチェックするための設定済み規則の使用

チェックおよび規則のコピー

設定の概要

カスタム チェックの作成

カスタム規則の作成

規則の検証

カスタム要件の作成

Launch Programs 要件の設定

admin 権限によるプログラムの起動

admin 権限なしのプログラムの起動

Launch Programs 要件の作成

要件と規則のマッピング

ユーザ ロールへの要件の適用

要件の検証

Optional および Audit 要件の設定

要件の自動修復の設定

CAM における設定後処理および Agent 管理

CAM への Agent の手動アップロード

Agent のダウングレード

Agent 自動アップグレードの設定

CAM における Agent 自動アップグレードのイネーブル化

ユーザに対する Agent アップグレードのディセーブル化

CAM における Agent の必須自動アップグレードのディセーブル化

Agent の自動アップグレードのユーザ エクスペリエンス

Agent のアンインストール

Agent 自動アップグレードの互換性

Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定

ここでは、クライアント マシンでの Agent の配布とインストールの方法、および Cisco NAC アプライアンス システムでのクライアント ポスチャ評価の設定方法について説明します。

「概要」

「デフォルト ログイン ページの追加」

「Agent のロールとユーザ プロファイルの設定」

「クライアント マシンへの Agent ログインの要求」

「Cisco NAC アプライアンスのアップデートの取得」

「Agent の配布およびインストールの設定」

「Agent ベースのポスチャ評価の設定」

「CAM における設定後処理および Agent 管理」

概要

Cisco NAC Agent および Cisco NAC Web Agent には、クライアント マシンに対してローカルのポスチャ評価および修復を行う機能があります。

ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードおよびインストールして、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。Agent を使用すると、AV(アンチウイルス)や AS(アンチスパイウェア)の定義を更新したり、アップロードされたファイルを CAM に配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイトへのリンクを配布したり、情報や手順を配布したりすることができます。

Cisco NAC Web Agent は、Cisco NAC Agent のように「永続的」ではなく、単一ユーザ セッションを提供する間クライアント マシン内に存在するだけです。Agent アプリケーションをダウンロードしてインストールする代わりに、ユーザはブラウザ ウィンドウを開いて NAC アプライアンス Web ログイン ページにログインし、一時 Cisco NAC Web Agent を起動するように選択します。この自己解凍 Agent インストーラがファイルをクライアント マシンの一時ディレクトリにダウンロードし、ポスチャ評価を実行してシステムをスキャンすることにより、セキュリティ コンプライアンスを確認し、コンプライアンス ステータスのレポートを Cisco NAC アプライアンス システムに返します。Cisco NAC アプライアンス Agent の詳細については、 第 10 章「Cisco NAC アプライアンス Agent」 を参照してください。

Agent のポスチャ評価を CAM に設定するには、規則およびチェック基準(任意)に基づいて要件を作成してから、ユーザ ロールまたはクライアント オペレーティング システムに適用します。概要については、図 9-9を参照してください。


) 必須の修復アクション(Windows Update や AV/AS のサポート アップデートなど)のほとんどで、ユーザはクライアント マシンの管理者権限を持っている必要があります。したがって、クライアント マシンでポスチャ評価や修復を行うユーザには、必ず管理者レベルの権限を与えることをお勧めします。


L3 配置のユーザ

Cisco NAC アプライアンスはマルチホップ L3(レイヤ 3)配置、および Agent からの Virtual Private Network(VPN; バーチャル プライベート ネットワーク)コンセントレータ/L3 アクセスをサポートします。この機能を使用すると、クライアントが CAS から(L2 上で近接するのではなく)L3 上で 1 ホップ以上離れるようにネットワークが設定されている場合に、クライアントは CAS を検出できます。CAS で L3 のサポートをイネーブルにし、マルチホップ L3 環境で、または Cisco VPN コンセントレータの背後に、Agent に対する有効な Discovery Host が存在していることを確認する必要があります。

配布

Cisco NAC Agent インストール ファイルおよび Cisco NAC Web Agent は、CAM ソフトウェアに組み込まれており、すべての CAS に自動的に配布されます。初期インストールのために Agent をクライアントに配布するには、[General Setup] > [Agent Login] タブで、ユーザ ロールおよびオペレーティング システムが Agent を使用するように要求する必要があります。その後、クライアントが Agent を要求すると、CAS は Agent セットアップ ファイルを配布します (この動作は、Cisco NAC Web Agent には適用されません)。CAS の Agent のバージョンが期限切れの場合、CAS は CAM から使用可能な最新バージョンを取得してから、クライアントに配布します。

自動アップグレード

CAM で Agent 自動アップグレードを設定すると、ユーザはログイン時に、CAM で入手可能な最新バージョンの Agent に自動的にアップグレードすることができます。Cisco NAC Web Agent の場合、ユーザは CAM で入手可能な最新バージョンの一時 Agent を自動的にダウンロードします。

インストール

ユーザが Agent を最初にインストールするときに必要なユーザの相互作用のレベルを設定できます。

OOB ユーザ

アウトオブバンド ユーザが Agent を使用できるのは、認証および証明書のためにインバンドにとどまっている場合に限られるため、Agent 設定は、インバンド ユーザとアウトオブバンド ユーザで同じです。

規則およびチェック基準

設定済みのシスコのチェック基準と規則、およびユーザ設定のカスタム チェック基準と規則を使用して、Agent は稼動しているアプリケーションまたはサービスの有無、レジストリ キーの有無、またはレジストリ キーの値を調べることができます。シスコの設定済み規則は、Critical Windows OS ホットフィックスをサポートしています。

Agent アップデート

シスコは CAM Web コンソールの [Updates] ページで、複数のアップデートを 1 時間ごとに追跡して、提供しています。また、最新バージョンの Cisco NAC Agent インストーラ、Cisco NAC Web Agent インストーラ パッケージも、入手可能になった時点で提供しています。詳細については、「Cisco NAC アプライアンスのアップデートの取得」を参照してください。

デフォルト ログイン ページの追加

Web ログイン ユーザと Agent ユーザが認証プロバイダー リストを取得するには、ログイン ページを追加して、システムに格納し、ユーザが Agent を介して認証できるようにする必要があります。デフォルト ユーザ ログイン ページを迅速に追加する手順については、「デフォルト ログイン ページの追加」を参照してください。


) L3 OOB 配置の場合、「ログイン ページ用に Web クライアントをイネーブル化」が必要です。


Agent のロールとユーザ プロファイルの設定

Agent のユーザが Cisco NAC アプライアンスにログインできるようにするためには、ユーザのログイン ロールとユーザ プロファイルをシステムに設定しておく必要があります。ユーザ ロールと個別のユーザ ログイン プロファイルを Cisco NAC アプライアンスに設定するには、「ユーザ ロールの作成」および「ローカル ユーザ アカウントの作成」を参照してください。

クライアント マシンへの Agent ログインの要求

Agent の使用要求は、ユーザ ロールおよび OS ごとに設定する必要があります。特定のロールに Agent が必要な場合、このロールに属するユーザが Web ログインを使用して最初に認証を受けると、Agent ダウンロード ページに転送されます(図 9-2)。このユーザは、Agent インストール ファイルをダウンロードして実行するか、Cisco NAC Web Agent を起動するように要求されます。インストールが終了すると、Agent を使用してネットワークにログインするように要求されます(クライアント マシンがユーザ ロールに設定されている Agent 要件を満たしている限り、Cisco NAC Web Agent ユーザは自動的にネットワークに接続されます)。


ステップ 1 [Device Management] > [Clean Access] > [General Setup] > [Agent Login ] に移動します(図 9-1)。

図 9-1 [General Setup]

 

ステップ 2 ユーザが Agent を使用することが必要な [User Role] を選択します。

ステップ 3 ドロップダウン メニューから選択できる項目から [Operating System] を選択します。


) Agent のダウンロード ページや Cisco NAC Web Agent の起動ページがユーザに正しくプッシュされるように、ロールに合わせてオペレーティング システムが正しく設定されていることを確認してください。


ステップ 4 Cisco NAC Agent を使用して Cisco NAC アプライアンス システムにユーザがログインする必要がある場合は、[Require use of Agent] チェックボックスをオンにします。配布の設定については、「Agent の配布」を参照してください。Cisco NAC Agent およびユーザ ダイアログの例については、「Cisco NAC Agent」を参照してください。

ステップ 5 Cisco NAC Web Agent を使用している Cisco NAC アプライアンス システムにユーザがログインする必要がある場合、[Require use of Cisco NAC Web Agent] のチェックボックスをオンにします。Cisco NAC Web Agent およびユーザ ダイアログの例については、「Cisco NAC Web Agent」を参照してください。


) [Require use of Agent] および [Require use of Cisco NAC Web Agent] オプションは、相互に排他的ではありません。両方のオプションをイネーブルにするように選択した場合、Login ページに誘導された際に両方の選択が提示されます。


ステップ 6 デフォルトのメッセージのままにすることも、オプションで独自の HTML メッセージを [Agent Download Page Message (or URL)] や [Cisco NAC Web Agent Launch Page Message (or URL)] テキスト フィールドに入力することもできます。

ステップ 7 [Update] をクリックします。


) [General Setup] ページの設定の詳細については、「クライアント ログインの概要」を参照してください。


Web ログイン ページで初めてログインする Agent ユーザには、Agent ダウンロード ページが表示されます(図 9-2 を参照)。

図 9-2 Agent ダウンロード ページ

 

初めて Web ログイン ページを使用してログインする Cisco NAC Web Agent ユーザには、Cisco NAC Web Agent 起動ページが表示されます(図 9-3 を参照)。

図 9-3 Cisco NAC Web Agent 起動ページ

 


 

Agent ユーザに対する制限付きネットワーク アクセスの設定

管理者は、ユーザがマシンに対する権限を持っていない、またはゲスト アクセスであるなどの理由により、Cisco NAC Agent を自分でダウンロードおよびインストールしない、またはユーザ自身が Cisco NAC Web Agent を起動しないことを選択した場合に備えて、ユーザに制限付きネットワーク アクセスを設定できます。この拡張機能は、割り当てられたユーザ ロールで Agent を介してログインする必要がある場合でも、ゲストまたは企業環境内のパートナーがネットワークにアクセスできるよう支援することを目的としています。

ユーザは、クライアント マシンが修復に失敗すると、限定的にネットワークにアクセスできる「制限付き」ネットワーク アクセスも利用できます。ユーザは、割り当てられたユーザ ロールでログインする前に、ネットワーク アクセス条件を満たすように更新を実行する必要があります。

制限付きネットワーク アクセス オプションは、[Require use of Agent] チェックボックスと [Require use of the Cisco NAC Web Agent] チェックボックスの少なくともどちらかがオンのときにだけ設定できます。このオプションにより、表示されるボタンやテキストの他に、ユーザに割り当てるユーザ ロールを設定することができるようになります。ユーザが最初の Web ログインを実行し、Agent のダウンロードにリダイレクトされると、[Device Management] > [Clean Access] > [General Setup | Agent Login] で [Allow restricted network access in case user cannot use NAC Agent or Cisco NAC Web Agent] オプションがイネーブルになっている場合、ページの [Download Cisco NAC Agent] または [Launch Cisco NAC Web Agent] ボタンの下に [Restricted Network Access] テキストとボタンが表示されます(図 9-2図 9-3 を参照)。ユーザは、Agent をダウンロードせず Cisco NAC Web Agent も起動しないことを選択した場合、[Get Restricted Network Access] ボタンをクリックして、割り当てられたロールで許可されたアクセス権を同じブラウザ ページから取得できます。

ネットワーク セキュリティ要件を満たすためにクライアント マシンで更新が必要なことが明らかな場合に、Agent ログインや修復をサポートするために、Agent ログイン ダイアログ セッション中にユーザは「制限付き」ネットワーク アクセスを受け入れることを選択できます。Agent セッション中、割り当てられたユーザ ロールに関係なく、ユーザは、Cisco NAC Agent/Cisco NAC Web Agent のダイアログで [Get Restricted Network Access] をクリックすることにより、制限付きネットワーク アクセス用に割り当てたロールを使用して即座にネットワークにアクセスすることができます。詳細については、「Windows Cisco NAC Agent ユーザ ダイアログ」および「Cisco NAC Web Agent ユーザ ダイアログ」を参照してください。

次の点に注意してください。

ブルーのシェーディングで表示される In-Band Online Users リストに、制限付きネットワーク アクセス ユーザが表示されます。

たとえば、ユーザが Agent をインストールできず、OOB 配置で [Restricted Access] ボタンをクリックすると、そのユーザが In-Band Online Users リストに表示され、CAS が OOB を実行している場合でも認証 VLAN に留まります。この場合、管理者は制限付きロールに ACL を設定して、そのロールのユーザのアクセスを制御できます。

制限付きネットワーク アクセス ユーザは、ポスチャ評価要件を満たしていないため、Certified Devices List には表示されません。

Agent ユーザ用の Network Policy ページ(AUP)の設定

ここでは、Agent ユーザ用の Network Policy ページ(または Acceptable Usage Policy (AUP))へのユーザ アクセスを設定する方法について説明します。ログインし、要件の評価が完了すると、[Accept] ダイアログ(図 10-56を参照)と [Network Usage Terms & Conditions] リンクが表示されます。ネットワークにアクセスするユーザは、このリンク先の Web ページの内容を承諾する必要があります。このリンクを使用すると、ネットワークの適切な使用方法に関するポリシーまたは情報ページが表示されます。このページは、外部の Web サーバまたは CAM 自体に保存しておくことができます。

Network Policy リンクの設定手順

1. [Device Management] > [Clean Access] > [General Setup] に移動します(図 9-1を参照)。

2. [User Role]、[Operating System]、および [Require use of Agent]/[Require Use of Cisco NAC Web Agent] が設定されていることを確認します。

3. [Show Network Policy to NAC Agent and Cisco NAC Web Agent users [Network Policy Link:]] をクリックします。Agent ユーザがネットワークにアクセスするために承諾する必要のある内容を記した、Network Usage Policy Web ページへのリンクが Agent に表示されます。

4. このページを CAM でホスティングする場合は、[Administration] > [User Pages] > [File Upload] を使用して、ページ(「helppage.htm」など)をアップロードする必要があります。詳細については、「リソース ファイルのアップロード」を参照してください。外部 Web サーバでページをホスティングする場合は、次のステップに進みます。

5. [Network Policy Link] フィールドに、次のように、ネットワーク ポリシー ページの URL を入力します。

外部ホスティング ページにリンクする場合は、次の形式で URL を入力します。
https://mysite.com/helppages

CAM にアップロードしたページ(「helppage.htm」など)を指定する場合は、次のように URL を入力します。
https://<CAS_IP_address>/auth/helppage.htm

6. Temporary ロールにトラフィック ポリシーを追加して、ユーザがこのページに HTTP 経由でアクセスできるようにします。詳細については、「デフォルト ロール用のトラフィック ポリシーの追加」を参照してください。

Agent ユーザに [Network Policy] ダイアログを表示する方法については、図 10-56を参照してください。

Agent Temporary ロールの設定

Agent Temporary ロールのトラフィック ポリシーおよびセッション タイムアウトの設定の詳細については、「Agent Temporary ロールの設定」を参照してください。

Cisco NAC アプライアンスのアップデートの取得

各種アップデートは Clean Access Updates サーバから入手できます。このサーバには、[Device Management] > [Clean Access] > [Updates] からアクセスできます。必要なときに手動で更新することも、自動的に実行するようにスケジュールすることもできます。ここでは、次の方法について説明します。

最新アップデートの表示

アップデートの設定およびダウンロード

CAM アップデートのためのプロキシ設定(任意)

最新アップデートの表示


ステップ 1 [Device Management] > [Clean Access] > [Updates] の順番に進みます。デフォルトでは [Summary] ページが表示されます(図 9-4 を参照)。

図 9-4 アップデート概要

 

ステップ 2 [Current Versions of Updates] に、現時点で CAM 上にあるシスコのアップデートの現在のバージョンがすべて表示されます。

[Cisco Checks and Rules]

シスコは、ホットフィックス、Windows アップデート、各種アンチウイルス ソフトウェア パッケージなど、標準クライアント チェック用のさまざまなタイプの設定済み規則(「pr_」)およびチェック(「pc_」)を提供しています。シスコのチェックおよび規則を使用すると、独自のカスタム チェックおよび規則の手動作成が必要な場合に、簡単に作成することができます。

[Supported AV/AS Product List (Windows/Macintosh)]

Cisco NAC アプライアンスの Supported AV/AS Product List は、中央集中型アップデート サーバから配布される、バージョン管理されている XML ファイルです。このアップデート サーバは、ポスチャ評価/修復のために AntiVirus(AV; アンチウイルス)規則または AntiSpyware(AS; アンチスパイウェア)規則、ならびに AV または AS の定義更新要件の設定に使用されるサポート対象の AV および AS のベンダーおよび製品バージョンの最新のリストを提供します。このリストは、Agent の各リリースに AV/AS 製品およびバージョンを対応させるため、およびエージェントの新しいバージョンに合せて新しい製品を追加するために定期的に更新されます。リストで提供される内容はバージョン情報だけであることに注意してください。Supported AV/AS Product List を CAM がダウンロードする際、AV/AS 製品の最新バージョンに関する情報がダウンロードされるだけで、実際のパッチ ファイルやウイルス定義ファイルはダウンロードされません。この情報に基づいて、エージェントはネイティブ AV/AS アプリケーションをトリガしてアップデートを実行することができます。

Supported AV/AS Product List を最新に維持することで、CAM 上で Agent のバージョンを更新した場合など、新しいエージェントでサポートされるすべての新しい製品が AV/AS 規則の設定ページに含まれるようになります。

サポート対象の製品およびバージョンについては、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] を参照するか、最新の リリース ノート の「Clean Access Supported AV/AS Product List」を参照してください。

[Default Host Policies]

Clean Access には、デフォルト ホストベース ポリシーの自動更新機能があります(Unauthenticated、Temporary、および Quarantine ロール用)。デフォルト許可ホストはデフォルトでディセーブルになっているため、[User Management] > [User Roles] > [Traffic Control] > [Hosts] でロールごとにイネーブルにする必要があります。詳細については、「デフォルト許可ホストのイネーブル設定」を参照してください。

[Default L2 Policies]

CAM から入手可能なデフォルトのレイヤ 2 トラフィック ポリシーの最新バージョンを表示します。CAM はアップデートを([Device Management] > [Clean Access] > [Updates] ページの設定を使用して手動または自動で)検索する際、現在よりも新しいバージョンのデフォルト レイヤ 2 トラフィック ポリシーが使用可能かどうかを必ず自動的に確認します。

[OS Detection Fingerprint:]

デフォルトでは、HTTP ヘッダーの User-Agent 文字列を使用してクライアント OS が判別されます。さらに、JavaScript から得たプラットフォーム情報または TCP/IP ハンドシェイクから得た OS フィンガープリントを CAM データベース内の OS シグニチャ情報と比較して、クライアント OS を判別することもできます。新しい OS シグニチャが使用可能になり、OS フィンガープリントを Windows マシンと確認できるようになったら、CAM 内のこの情報を更新できます。この拡張 OS フィンガープリント機能は、ユーザが HTTP 情報を操作して、クライアント OS の ID を変更できないようにするためのものです。この機能は TCP ハンドシェイクだけを検査し、個人用ファイアウォールの有無に影響されない、「パッシブ」検出技術です(Nessus は使用しません)。詳細は、Web コンソールの CAS 管理ページの [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Authentication] > [OS Detection]、および『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.7(1) 』も参照してください。


) OS 検出およびフィンガープリント機能は、ブラウザの User-Agent 文字列と TCP/IP スタック情報を両方使用して、クライアント マシンの OS を判別しようとします。検出ルーチンがベスト マッチの検出を試みる間に、エンド ユーザがクライアント マシンの TCP/IP スタックを変更し、ブラウザの User-Agent 文字列を変更すると、OS が誤って検出される場合があります。OS フィンガープリントおよび検出メカニズムを回避する悪質なユーザに対する懸念がある場合は、マシンの OS を確認するためにネットワーク スキャンを使用することを推奨します。何らかの理由により、ネットワーク スキャンを使用することができないか好ましくない場合、ネットワーク管理者はクライアント マシンに Agent を事前にインストールしておくか、Cisco NAC Web Agent によるユーザのログインを許可することを検討してください。

CAM と CAS の両方がフェールオーバー モードに設定されている FIPS 140-2 準拠ネットワークでは、Cisco NAC アプライアンスは、フェールオーバー イベントとそれに続く同期が行われた後にクライアント マシンのオペレーティング システムを正しくレポートすることができません。CAM/CAS がクライアント HTTP/HTTPS トラフィックを検出すると、CAM/CAS はフェールオーバー イベント後にクライアント マシンのオペレーティング システムを「再発見」することができます。


[Supported Out-of-Band Switch OIDs]

サポートされているスイッチのオブジェクト ID(OID)のアップデートが利用可能になると、ダウンロードされパブリッシュされます。たとえば、サポート対象モデル(Catalyst 3750 シリーズ)の新規スイッチ(C3750-XX-NEW など)がリリースされた場合、管理者は、CAM/CAS のソフトウェア アップグレードを実行しなくても、CAM で Cisco Update を実行するだけでそのスイッチ OID をサポート対象にすることができます。

アップデート スイッチ OID 機能は既存モデルだけに適用されることに注意してください。新規スイッチ シリーズを導入する場合、新規スイッチの OOB サポートを確認するために管理者は従来どおりアップグレードする必要があります。OOB の詳細については、 第 3 章「スイッチ管理:アウトオブバンド配置の設定」 を参照してください。

[Macintosh Clean Access Agent]

CAM 上に現在インストールされている Mac OS X Clean Access Agent の現在のバージョンを表示します。この Mac OS X Agent は、ユーザが Cisco NAC アプライアンスに最初にログインした際にクライアント マシンにアップロードおよびインストールされたバージョンです。Mac OS X Agent は、ユーザのサインイン時により新しいバージョンが CAM から入手可能な場合、さらに新しいバージョンに自動的に更新されます。

[Cisco NAC Web Agent]

CAM に現在インストールされている Cisco NAC Web Agent の現在のバージョンを表示します。ログインして一時的な Cisco NAC Web Agent を使用することを選択したユーザは、ユーザ セッションに必要な最新バージョンのエージェントを毎回受け取ります。

[Cisco NAC Web Agent Facilitator (ActiveX/Applet)]

ユーザが Cisco NAC アプライアンスにアクセスして Cisco NAC Web Agent を使用することを選択した場合に、クライアント マシンへの一時的なエージェントのインストールのために CAM が使用する Cisco NAC Web Agent ActiveX/Java アプレットの現在のバージョンを表示します。

[L3 MAC Address Detection (ActiveX/Applet)]

ユーザが L3 OOB 配置で Web ログインを実行する場合、L3 Java アプレットおよび L3 ActiveX Web クライアントがクライアント MAC アドレス検出に必要です。Agent の MAC 検出メカニズムは、L3 OOB 配置で自動的にクライアント MAC アドレスを取得します(詳細については、『 Cisco NAC Appliance - Clean Access Server Installation and Configuration Guide, Release 4.7(1) 』を参照してください)。

Web ログインを実行中のユーザは、ユーザ ログインの前に ActiveX コントロール(IE ブラウザの場合)または Java アプレット(IE ブラウザではない場合)をクライアント マシンにダウンロードして実行します。これによってユーザ マシンの MAC アドレスが判断されます。この情報が CAS と CAM に報告され、IP アドレスと MAC アドレスのマッピングが提供されます。

ActiveX または Java アプレットとブラウザの互換性

ActiveX および Java アプレットとブラウザの互換性に関する詳細な情報は、『 Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later 』で説明されています。

Firefox での Java に関する問題のため、Mac OS X 上の Firefox では Java アプレットがサポートされていません。詳細は Firefox のリリースノート( http://www.mozilla.com/firefox/releases/1.5.0.3.html )を参照してください。


) • Clean Access チェックに最新の Microsoft Windows ホットフィックスを追加するには、常にシスコのチェックおよび規則の最新アップデートを取得して(必要に応じて Clean Update を使用)、ホストベースのトラフィック ポリシーが適切に配置されていることを確認します(詳細については、「ホストベースのグローバル トラフィック ポリシーの追加」を参照してください)。

CAM/CAS を Cisco NAC アプライアンスの最新リリースにアップグレードすると、すべての Perfigo/シスコ設定済みチェック/規則が自動的にアップデートされます。


 

ステップ 3 更新が(手動または自動で)実行されると、[Summary] ページを参照してアップデートを確認できます。


 

アップデートの設定およびダウンロード


ステップ 1 [Device Management] > [Clean Access] > [Updates] の順番に進みます。

ステップ 2 [Update] サブタブをクリックして、CAM にダウンロードするシスコのアップデートと、Clean Access アップデートのチェック頻度を設定します (図 9-5 を参照)。

図 9-5 [Device Management] > [Clean Access] > [Updates] > [Update]

 

ステップ 3 CAM の自動アップデートを設定するには、[Automatically check for updates starting from [ ] every [ ] hours] のチェックボックスをオンにして、開始時間を 24 時間形式(13:00:00 など)で入力し、「繰り返し」間隔( 1 時間を推奨)を入力します。

ステップ 4 [Check for Windows NAC Agent updates] オプションをオンにして、CAM が常に最新バージョンの Agent インストーラをダウンロードするように設定します。Agent 自動アップグレードを使用する場合は、このオプションをイネーブルにする必要があります。

ステップ 5 [Check for Macintosh Clean Access Agent updates] オプションをオンにして、CAM が常に最新バージョンの Agent をダウンロードするように設定します。Macintosh Clean Access Agent の自動アップグレードを使用する場合は、このオプションをイネーブルにする必要があります。

ステップ 6 [Check for Cisco NAC Web Agent updates] オプションをオンにして、CAM が常に最新バージョンの Cisco NAC Web Agent をダウンロードするように設定します。

ステップ 7 [Check for CCA L3 Java Applet/ActiveX web client updates] オプションをオンにして、CAM が常に最新バージョンの L3 Java アプレットおよび ActiveX Web クライアントをダウンロードするように設定します。Web ログイン ユーザは、CAS が L3 配置(特に L3 OOB)で MAC 情報を取得するように、ログイン ページからこれらのヘルパー制御をダウンロードする必要があります。Agent を使用すると、Agent はクライアント MAC 情報を自動的に CAS に送信します。

ステップ 8 次のいずれかを実行します。

a. [Update] をクリックし、最新のシスコ チェックおよび規則、Agent アップグレード パッチ、Supported AV/AS Product List、およびデフォルト ホスト ポリシーで既存のデータベースを手動で更新します。

b. [Clean Update] をクリックして以前のアップデート アイテム(チェック、規則、Agent パッチ、および Supported AV/AS Product List のうちユーザが作成したもの以外)をデータベースから削除してから、新しいアップデートをダウンロードします。詳細については、「デフォルト許可ホストのイネーブル設定」を参照してください。

ステップ 9 アップデートを取得すると、ページ下部に以下のステータス メッセージが表示されます。

Cisco auto-update schedule (イネーブルの場合)。

Latest Version of Cisco Checks & Rules:
ダウンロードされたシスコ チェックおよび規則のバージョンを示します。シスコの設定済みチェック(「 pc_ 」)および規則(「 pr_ 」)の最新アップデートが、[Check List] および [Rule List] にそれぞれ読み込まれます([Device Management] > [Clean Access] > [Clean Access Agent] > [Rules])。

Latest version of Windows NAC Agent Installer (使用可能な場合)。

Latest version of Macintosh Clean Access Agent Installer (使用可能な場合)。

インストールされた Latest Cisco NAC Web Agent version Cisco NAC Web Agent Applet Facilitator version 、および Cisco NAC Web Agent ActiveX Facilitator version

Latest version of Supported AV/AS Product List:
Supported AV/AS Product List の最新バージョンを示します。[New AV Rule] またはタイプ [AV Definition Update] の要件を作成すると、サポート対象ベンダーおよび製品バージョンのリストが適宜更新されます。

Latest version of default host policies:
Unauthenticated、Temporary、Quarantine ロール用に提供されているデフォルトのホストベースのポリシーの最新バージョンを表示します。

Latest version of OS detection fingerprint:
Windows マシンで新しいオペレーティング システムが利用可能になると、OS 検出フィンガープリント(またはシグニチャ)の更新が行われます。

Latest version of L3 Java Applet web client:
L3 Java アプレットの Web クライアントのアップデートが利用可能になると、ダウンロードされてパブリッシュされます。

Latest version of L3 ActiveX web client:
L3 ActiveX の Web クライアントのアップデートが利用可能になると、ダウンロードされてパブリッシュされます。

Latest version of OOB switch OIDs:
サポートされているスイッチの Object ID(OID; オブジェクト ID)のアップデートが利用可能になると、ダウンロードされてパブリッシュされます。

 


) リリース 4.5 からは、CAM アップデートの実行時に(サポートされているスイッチの他に)、管理者はサポートされている WLC プラットフォームの Object ID(OID; オブジェクト ID)を更新できます。


Latest version of default L2 policies:
利用可能になると、レイヤ 2 トラフィック ポリシーのアップデートがダウンロードされパブリッシュされます。


 

CAM アップデートのためのプロキシ設定(任意)

ご使用の CAM でインターネットへの接続にプロキシ サーバが必要な場合は、CAM が Clean Access アップデートを取得できるようにプロキシ サーバを設定します。


ステップ 1 [Device Management] > [Clean Access] > [Updates] の順番に進みます。

ステップ 2 [HTTP Settings] サブタブをクリックします。

図 9-6 [Device Management] > [Clean Access] > [Update] > [HTTP Settings]

 

ステップ 3 CAM からプロキシ サーバを経由してインターネットにアクセスする場合は、[Use an HTTP proxy server to connect to the update server] オプションをオンにします。

ステップ 4 CAM がインターネットの接続に使用する [Proxy Hostname] と [Proxy Port] を指定します。

ステップ 5 プロキシ サーバでプロキシ セッションの認証に証明書が必要な場合、以下のいずれかをクリックして [Proxy Authentication] メソッドを指定します。

[Basic]:CAM とプロキシ サーバの間のプロキシ セッションを認証するのに必要な [Username] および [Password] を指定するように求められます。

[Digest]:[Basic] 設定の場合と同様に、このオプションでも CAM とプロキシ サーバ間のプロキシ セッションの認証に [Username] と [Password] の入力と、さらに証明書のハッシュが必要です。また、ユーザ名とパスワードをネットワーク上で保護するために情報をダイジェスト認証するプロキシ サービスが必要になります。

[NTLM]:CAM とプロキシ サーバのプロキシ セッションの認証に [Username] と [Password] が必要であることに加えて、既存の Microsoft Windows NT LAN マネージャ(NTLM)プロキシ サービスをサポートするために、プロキシの [Host] および [Domain] を指定する必要があります。


) [NTLM] オプションは、NTLM バージョン 1 および 2 をサポートしています。


ステップ 6 [Save] をクリックします。


 

Agent の配布およびインストールの設定

各ソフトウェア リリースの CAM ソフトウェアには、Agent の最新バージョンが自動的に組み込まれています。CAS をインストールした場合、および Web アップデートまたは手動アップロードを通して CAM が新バージョンの Agent を入手した場合、CAM は Agent インストール ファイルを各 CAS に自動的に配布します。

ユーザが Agent インストール ファイルをダウンロードしてインストールできるようにするか、Cisco NAC Web Agent を起動できるようにするには、「クライアント マシンへの Agent ログインの要求」を参照してください。新しい Agent ユーザが Web ログインを介して最初にログインすると、Agent ダウンロード ページが表示されます。自動アップグレードがイネーブルである場合、新しい Agent バージョンが入手可能になると、既存の Agent ユーザはログイン時にアップグレードするように要求されます。Cisco NAC Web Agent ユーザは、クライアント マシンがネットワーク セキュリティ パラメータに適合している限り、ネットワークに自動的に接続されます。


) 管理者権限のないユーザが Windows クライアント マシンを以前のバージョンの CAA(バージョン 4.5.2.0 または 4.1.10.0、およびそれ以前)から Cisco NAC Agent にアップグレードするには、CCAAgentStub.exe Agent スタブがクライアント マシンにインストールされていることが必要です (管理者権限のあるユーザは、このファイルは不要です)。Cisco NAC Agent のインストールが成功したら、その後はクライアント マシンでの管理者権限も CCAAgentStub.exe Agent スタブ ファイルも不要です。CCAAgentStub.exe ファイルの詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください


ここでは、次の項目について説明します。

「Agent の配布」

「[Installation] ページ」

「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」

「Cisco NAC Agent MSI インストーラ」

Agent の配布

[Distribution] ページ(図 9-7 を参照)には、Agent に関係する次の設定オプションがあります。

図 9-7 [Distribution] ページ

 

[NAC Agent Temporary Role]:Agent の一時的ロールの名前が表示されます(デフォルトは「Temporary」)。Role Name を変更する手順については、「ロールの変更」を参照してください。


) • Agent を VPN トンネル モードで機能させるには、CAS で [Enable L3 support] オプションをオンにする必要があります([Device Management] > [Clean Access Servers] > [Manage [CAS_IP]] > [Network] > [IP])。詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』を参照してください。


 

[Windows NAC Agent Current Version]:クライアント マシンによってダウンロードされる Windows Agent インストール ファイルのバージョン。アップグレード バージョンには、CAM が [Updates] ページからダウンロードした内容が反映されます。「クライアント マシンへの Agent ログインの要求」を参照してください。


) 管理者権限のないユーザが Windows クライアント マシンを以前のバージョンの CAA(バージョン 4.5.2.0 または 4.1.10.0、およびそれ以前)から Cisco NAC Agent にアップグレードするには、CCAAgentStub.exe Agent スタブがクライアント マシンにインストールされていることが必要です (管理者権限のあるユーザは、このファイルは不要です)。Cisco NAC Agent のインストールが成功したら、その後はクライアント マシンでの管理者権限も CCAAgentStub.exe Agent スタブ ファイルも不要です。CCAAgentStub.exe ファイルの詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください


[Macintosh Clean Access Agent Current Version]:Macintosh Clean Access Agent インストール ファイルのバージョン。アップグレード バージョンには、CAM が [Updates] ページからダウンロードした内容が反映されます。「クライアント マシンへの Agent ログインの要求」を参照してください。

[Current NAC Agent is a mandatory upgrade]:このオプションをオンにして、[Update] をクリックした場合、ユーザはログイン時に最新バージョンの Agent へのアップグレードを促すプロンプトを受け入れるように強制されます。オフのままの場合(オプション アップグレード)、ユーザは最新の Agent バージョンへのアップグレードを促されますが、アップグレードを延期して、引き続き既存の Agent でログインすることができます。「CAM における Agent の必須自動アップグレードのディセーブル化」を参照してください。


) 新しい CAM/CAS インストールでは、デフォルトで、[Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] の [Current NAC Agent is a mandatory upgrade] オプションが自動的に設定されます。CAM/CAS をアップグレードすると、現在の設定(イネーブルまたはディセーブル)がアップグレード後のシステムに継承されます。

[Current Agent Patch is a mandatory upgrade] オプションは、Windows Agents リリース 4.1(2) 以前にだけ適用されます。


[Do not offer current Clean Access Agent Patch to users for upgrade]:このオプションをオンにして、[Update] をクリックすると、CAM から Agent アップデートを入手できる場合でも、すべての Agent ユーザにアップグレード通知(必須またはオプション)が表示されません。

[Upload Agent File]:[Browse] ボタンを使用して、このフィールドの場所に手動で Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)をアップロードします。 Windows および Macintosh バージョンの以前の Clean Access Agent をアップロードする場合の詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』および『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』を参照してください


) CAM は、Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)と Windows Clean Access Agent セットアップ ファイル(CCAAgentSetup-4.x.y.z.tar.gz)を同時に扱うことはできません。以前の Windows Clean Access Agent セットアップ ファイルをアップロードすると、既存の Cisco NAC Agent インストールおよび XML Agent コンフィギュレーション ファイルは消去されます。逆の場合も同様です。



) リリース 4.6(1) から、CAM は Clean Access Agent パッチ/アップグレード ファイル(CCAAgentUpgrade-4.x.y.z.tar.gz)を管理しなくなりました。Cisco Software Download サイトから Clean Access Agent インストール ファイル(CCAAgentSetup-4.x.y.z.tar.gz または CCAAgentMacOSX-4.x.y.z-k9.tar.gz)だけをアップロードするように注意してください。



注意 Agent ファイルは tar.gz ファイルのまま(展開しないで)CAM にアップロードする必要があります。アップロード前に、.exe ファイルを抽出しないでください。

「CAM への Agent の手動アップロード」も参照してください。

[Version] :手動アップロードの場合は、ダウンロード時の Agent と同じバージョン番号を使用します。

[Installation] ページ

Agent を最初にインストールするときに必要な、ユーザとの対話レベルを設定できます。


) 永続的 Agent がインストールされると、Agent の起動用およびアンインストール用のショートカットがデスクトップに表示されます。


インストール オプションの設定手順


ステップ 1 「クライアント マシンへの Agent ログインの要求」の説明に従って、Agent の使用が必要であることを確認します。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] に移動します。

図 9-8 Agent インストール ページ

 

[Discovery Host]:このフィールドは、L3 配置内の CAS を検出するために Agent が独自の暗号化された UDP ベース プロトコルを CAM に送信するときに使用します。このフィールドには、CAM の IP アドレス(または DNS ホスト名)が自動的に読み込まれます。通常、デフォルト IP アドレスは変更する必要がありません。ただし、CAM の IP アドレスが CAS を介してルーティングされない場合は、Discovery Host に、CAS を介してクライアント マシンから到達可能な任意の IP アドレスまたはホスト名を設定できます。初期インストールの際、または新しい Agent 設定 XML ファイルが CAS を通じてクライアント マシンに渡されたとき、Cisco NAC Agent はこの値を Agent のログインに必要な Agent 設定 XML ファイル内の DiscoveryHost パラメータとして、自動的に使用します。


) CAM は常に CAS の信頼できる側のルーテッド インターフェイス上に存在する必要があるため、デフォルトで [Discovery Host] は CAM の IP に設定されています。これは、CAM の IP に到達するために、信頼できない側のクライアント トラフィックが CAS を通過する必要があることを意味します。クライアントが Discovery Host IP に接続を試みる場合、CAS はトラフィックを代行受信して、ログイン プロセスを開始します。ACL で CAM を保護するために最良の方法がとられ、クライアント トラフィックが実際に CAM に到達すべきでないことが想定されます。さらにセキュリティを高めるために(L3 が正しく配置された後)、[Discovery Host] を CAM IP ではなく、信頼できる側の IP に変更できます。


ステップ 3 デフォルトで、[Installation Options] が [Windows] でイネーブルにされています。

ステップ 4 Cisco NAC Agent がインストールされている Windows クライアント マシンでログインとセッションの動作をカスタマイズするには、次のように [Agent configuration XML file upload] オプションを使用します。

a. NACAgentCFG.xml という名前の Agent 設定 XML ファイルを作成し、ローカル マシンに保存します。XML ファイル テンプレートの例と、すべてのパラメータおよび使用できる設定のリストについては、「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照してください。

b. [Browse] をクリックし、ローカル マシン上の NACAgentCFG.xml Agent コンフィギュレーション ファイルを保存してあるディレクトリまで移動し、ダイアログボックスでファイルを強調表示して、[Upload] をクリックします。

次にユーザが Cisco NAC アプライアンスで認証するか、Cisco NAC Agent の必須の更新を実行すると、クライアント マシンで新しい Agent 設定が自動的にイネーブルになります。

ステップ 5 ユーザがマシンで直接インストーラを起動した場合は、次の [Direct Installation Options] からいずれかを選択します。

[User Interface]:

[No UI]:Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)の [File Download] ダイアログボックスでユーザが [Open] をクリックした場合、ユーザ入力は不要になります。[Preparing to Install] ダイアログが短期間表示され、Agent が自動的にダウンロードおよびインストールされます。

[Reduced UI]:ユーザが [Open] をクリックして Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)を起動(または保存してから実行)すると、[Preparing to Install]、および InstallShield ウィザードの [Installing Cisco NAC Agent] 画面が表示されますが、ユーザ入力フィールド([Next] ボタンなど)はディセーブルで、Agent が自動的に抽出されインストールされます。

[Full UI](デフォルト):ユーザが Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)を [Open](または保存してから実行)すると、通常のインストール ダイアログが表示されます。[Destination Folder] ディレクトリの画面を含む Agent の InstallShield ウィザードが表示されます。CAS の場合、ユーザは各ペインで [Next]、[Install]、および [Finish] ボタンをクリックして、インストールを完了します。

[Run Agent After Installation]:

[Yes](デフォルト):Agent のインストール後、Agent Login 画面がポップアップします。

[No]:Agent のインストール後、Agent Login 画面は表示されません。ユーザはデスクトップの Agent ショートカットをダブルクリックして Agent を開始し、タスクバーに表示する必要があります。[Control Panel] > [Add/Remove Programs] > [Cisco Clean Access Agent] で Agent のインストールを確認できます。Agent が開始すると、[Pop Up Login Window] がタスクバー メニューでイネーブルの場合に Login 画面がポップアップします。

ステップ 6 [Update] をクリックして設定値を保存します。


) Cisco NAC Agent の MSI インストール手順については、「Cisco NAC Agent MSI インストーラ」を参照してください。



 

Cisco NAC Agent XML コンフィギュレーション ファイルの設定

ここでは、 NACAgentCFG.xml Agent コンフィギュレーション ファイルで設定を指定することによって Cisco NAC Agent のさまざまな機能を設定およびイネーブルにする方法を説明します。この章の内容は次のとおりです。

Cisco NAC Agent ログイン/ログアウト ダイアログの動作のカスタマイズ

Cisco NAC Agent ポスチャ評価レポートの表示設定

Cisco NAC Agent ログ ファイル サイズの指定

Cisco NAC Agent Discovery Host アドレスの管理

信頼できるデジタル署名用の Launch Program 実行ファイルを確認する Cisco NAC Agent

追加の SWISS ディスカバリのカスタマイズ

複数のアクティブな NIC を使用したクライアントによる認証 VLAN 変更検出へのアクセス

クライアント側の MAC アドレス管理

Cisco NAC Agent のアクセシビリティ対話のイネーブル化/ディセーブル化

Cisco NAC Agent ローカリゼーション設定の指定

上に示した Cisco NAC Agent の追加機能のいずれかを Windows クライアント マシンが使用するように設定するには、適切なパラメータを Agent コンフィギュレーション XML ファイルで定義し、そのファイルに NACAgentCFG.xml という名前を付けて、CAM にアップロードします。そうすることで、次にクライアント マシンが Cisco NAC Agent をインストールするときに(または既存のユーザに対して Cisco NAC Agent の更新を求めたときに)、新しい設定がクライアント マシン上の Agent インストール ディレクトリに自動的に「プッシュ」されます。Windows XP におけるデフォルトのインストール ディレクトリは、 C:¥Program Files¥Cisco¥Cisco NAC Agent¥ です。しかし、管理者またはクライアント マシンのユーザは、別のディレクトリを指定することもできます。カスタムの Agent コンフィギュレーション XML ファイルを作成してダウンロードしない場合、Cisco NAC Agent はデフォルトの設定を使用して自動的に独自の XML ファイルを作成し、クライアント マシン上のインストール ディレクトリに保存します。

カスタムの Agent コンフィギュレーション XML ファイルを設定する場合、管理者は 1 つ、複数、またはすべての設定をカスタマイズすることを選択でき、また、クライアント マシン上の既存の XML コンフィギュレーション設定とマージするか、それを上書きするかも選択できます。この後に示すパラメータに対して特定の値を指定することに加えて、目的の XML パラメータに「mode」属性を組み合わせて使用することにより、Agent が設定を既存のパラメータと「マージ」するか、そのまま「上書き」するかを指示できます。

merge :今までに定義されていない XML 設定の場合は値を指定し、クライアント マシン上に XML 設定がすでに存在する場合は無視されます。これは、XML コンフィギュレーション ファイル ダウンロード機能のデフォルト動作です。

overwrite :現在クライアント マシン上に存在するすべての値よりも、Agent コンフィギュレーション XML ファイルで指定されている XML 設定が自動的に優先されます。

たとえば、Agent コンフィギュレーション XML ファイル内の <Locale mode="merge">German</Locale> というエントリは、クライアント マシン上の既存の Locale 設定は一切変更せず(上書きではなくマージ)、ただし、現在設定が存在していなければローカリゼーション言語をドイツ語にするように Agent に指示します。この例のエントリが <Locale mode="overwrite">German</Locale> であると、Agent の新しいローカリゼーション言語の設定は、既存の設定が存在するかどうかに関係なくドイツ語になります。

Agent マシンにダウンロードするための Agent コンフィギュレーション ファイルを CAM にアップロードする手順については、「[Installation] ページ」を参照してください。Cisco NAC Agent およびその機能については、「Cisco NAC Agent」を参照してください。


) Clean Access Agent がインストールされているクライアント マシンで類似の機能をイネーブルにする場合の詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください


Agent コンフィギュレーション XML でカスタム設定を指定した場合に、Cisco NAC Agent がその設定を確実に受け入れるようにするには、次の XML ファイルのサンプル テンプレートに示すようなファイルを作成します。

Agent コンフィギュレーション XML ファイル テンプレートの例

<?xml version="1.0" ?>
<cfg>
<VlanDetectInterval>0</VlanDetectInterval>
<RetryDetection>3</RetryDetection>
<PingArp>0</PingArp>
<PingMaxTimeout>1</PingMaxTimeout>
<DisableExit>0</DisableExit>
<AllowCRLChecks>1</AllowCRLChecks>
<SignatureCheck>0</SignatureCheck>
<RememberMe>1</RememberMe>
<AutoPopUp>1</AutoPopUp>
<PostureReportFilter>displayFailed</PostureReportFilter>
<BypassSummaryScreen>yes</BypassSummaryScreen>
<LogFileSize>5</LogFileSize>
<DiscoveryHost></DiscoveryHost>
<Locale>default</Locale>
<AccessiblityMode>0</AccessiblityMode>
<SwissTimeout>1</SwissTimeout>
<DisableL3SwissDelay>0</DisableL3SwissDelay>
<ExceptionMACList></ExceptionMACList>
<GeneratedMAC></GeneratedMAC>
</cfg>

 

表 9-1 Cisco NAC Agent ログイン/ログアウト ダイアログの動作のカスタマイズ

パラメータ
デフォルト値
有効な範囲
説明/動作

RememberMe

0

0 または 1

この設定が 0 以外の値の場合、ユーザはログイン証明書を一度だけ入力する必要があります。Cisco NAC Agent は、セッションの終了/タイムアウト後もユーザ証明書を記憶しています(この設定は、SSO には影響しません)。

(注) ユーザが Windows をログアウトすると、保存されていた証明書は消去されます。

AutoPopUp

1

0 または 1

この設定が 1 の場合、ユーザがログアウトすると Cisco NAC Agent のログイン ダイアログが自動的に表示されます。

この設定が 0 の場合、ユーザは [Start] メニュー、またはデスクトップ上のシステム トレイ アイコンを使用して、手動でログインを開始する必要があります。

BypassSummaryScreen

yes

yes または no

Cisco NAC Agent の要件に関して自動修復を採用している場合、この設定によって Agent セッション ダイアログを「自動化」することができます。Agent ポスチャ評価の概要画面をスキップして自動修復の最初の機能に直接進むことにより、Agent ログインおよび修復セッション中のユーザ対話が削減、または完全になくなります。

DisableExit

0

0 または 1

このパラメータを 1 に設定すると、ユーザは Cisco NAC Agent をシステム トレイ アイコンから終了できません。

AllowCRLChecks

1

0 または 1

このパラメータを 0 に設定すると、CAS の発見とネゴシエーション時に、Cisco NAC Agent 向けの Certificate Revocation List(CRL; 証明書失効リスト)チェックが行われません。

 

表 9-2 Cisco NAC Agent ポスチャ評価レポートの表示設定

パラメータ
デフォルト値
有効な範囲
説明/動作

PostureReportFilter

displayFailed

--

このパラメータは、クライアント マシンでポスチャ評価が行われたときにユーザに表示される結果の、レベルとタイプを制御します。

この設定が displayAll の場合、クライアント ポスチャ評価レポートが示され、ユーザが Cisco NAC Agent ダイアログの [Show Details] をクリックするとすべての結果が表示されます。

この設定が DisplayFailed の場合、ユーザが Cisco NAC Agent ダイアログの [Show Details] をクリックすると、クライアント ポスチャ評価レポートには修復エラーだけが示されます。

 

表 9-3 Cisco NAC Agent ログ ファイル サイズの指定

パラメータ
デフォルト値(10 進数)
有効な範囲
説明/動作

LogFileSize

5

0 以上

この設定は、クライアント マシン上の Cisco NAC Agent ログ ファイルのファイル サイズ(メガバイト)を指定します。

この設定が 0 の場合、Agent は、クライアント マシン上のユーザ セッションに関するログインまたは操作の情報を記録しません。

管理者がそれ以外の整数を指定すると、Cisco NAC Agent は、指定された数値(MB 単位)までログインとセッションの情報を記録します。1

1.Cisco NAC Agent ログ ファイルは、C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco NAC Agent¥logs ディレクトリに記録、保存されます。1 回目の Agent ログイン セッションの後、2 つのファイルがディレクトリ内に置かれます。1 つは前回のログイン セッションからのバックアップ ファイルで、もう 1 つは現在のセッションのログインおよび操作の情報を含む新しいファイルです。現在の Cisco NAC Agent セッションのログ ファイルが大きくなり、指定されたファイル サイズを超えると、Agent のログインおよび操作情報の最初の部分が自動的にディレクトリ内の「バックアップ」ファイルになり、Agent は引き続き最新のエントリを現在のセッション ファイルに記録していきます。

 

表 9-4 Cisco NAC Agent Discovery Host アドレスの管理

パラメータ
デフォルト値
有効な範囲
説明/動作

DiscoveryHost

--

IP アドレスまたは FQDN

この設定は、レイヤ 3 配置で Cisco NAC アプライアンス システムに接続するために Agent が使用する Discovery Host アドレスを指定します。

この機能を使用すると、現在のクライアント マシン上の値に対して、CAM で指定された Discovery Host 値を「上書き」または「マージ」できます。

[CAM Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] Web コンソール ページで Discovery Host 値を変更し、その後、同じ値をこのパラメータに指定する必要があります。

 

表 9-5 信頼できるデジタル署名用の Launch Program 実行ファイルを確認する Cisco NAC Agent

レジストリ キー
デフォルト値(10 進数)
有効な範囲
説明/動作

SignatureCheck

0

0 または 1

SignatureCheck 設定は、Windows が実行可能ファイルを起動する前にファイルを信頼できるかどうかを判断するために Cisco NAC Agent が使用するデジタル署名を検索します。

詳細については、「Launch Programs 要件の設定」を参照してください。

 

表 9-6 追加の SWISS ディスカバリのカスタマイズ

パラメータ
デフォルト値(10 進数)
有効な範囲
説明/動作

SwissTimeout

1

> 1

この設定が 1 の場合、Agent は設計どおりに SWISS ディスカバリを実行し、追加の応答パケット遅延タイムアウト値は使用されません。

設定が 1 よりも大きい 整数の場合、Agent は Clean Access サーバからの SWISS ディスカバリ応答を追加の秒数だけ待機してから、別のディスカバリ パケットを送信し、ネットワークで応答パケットの遅延が発生していないことを確認します。

DisableL3SwissDelay

0

0 または 1

この設定が 1 の場合、Agent はレイヤ 3 検出パケットの転送間隔を長くする機能をディセーブルにします。したがって、レイヤ 3 検出パケットはレイヤ 2 パケットと同様に、5 秒ごとに送信され続けます。デフォルト設定は 0(イネーブル)です。

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Layer 3 SWISS Packet Delay to Conserve Bandwidth」を参照してください。

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Configuring the CAS Managed Network」の章を参照してください。

 

表 9-7 複数のアクティブな NIC を使用したクライアントによる認証 VLAN 変更検出へのアクセス

パラメータ
デフォルト値(10 進数)
有効な範囲
説明/動作

RetryDetection

3

0 以上

この設定は、ICMP または ARP ポーリングが失敗した場合に、クライアント IP アドレスを更新する前に Agent が <x> 回まで再試行するように設定します。

PingArp

0

0 ~ 2

この値が 0 に設定されている場合は、ICMP を使用してポーリングします。

この値が 1 に設定されている場合は、ARP を使用してポーリングします。

この値が 2 に設定されている場合は、まず ICMP を使用してポーリングしてから、(ICMP が失敗した場合は)ARP を使用します。

PingMaxTimeout

1

1 ~ 10

ICMP を使用してポーリングし、 <x> 秒以内に応答がない場合は、ICMP ポーリング失敗を宣言します。

VlanDetectInterval

0

0、5 ~ 900 2

この設定が 0 の場合、認証 VLAN 変更機能へのアクセスはディセーブルにされます。

この設定が 1 ~ 5 の場合、Agent は 5 秒ごとに ICMP/ARP クエリを送信します。

この設定が 6 ~ 900 の場合は、 <x> 秒ごとに ICMP/ARP クエリを送信します

2.Cisco NAC Agent での最大範囲は 900 秒(15 分)です。Cisco Clean Access Agent での最大範囲は 60 秒(1 分)です。詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください。

詳細については、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。

 

表 9-8 クライアント側の MAC アドレス管理

パラメータ
デフォルト値
有効な範囲
説明/動作

ExceptionMACList

--

有効な MAC アドレス

この設定で 1 つまたは複数の MAC アドレスを指定すると、Agent は、ログインと認証の間、ネットワーク経由の不要な MAC アドレスの送信を防ぐために、これらの MAC アドレスを Clean Access Server (CAS)にアドバタイズしません。指定するテキスト文字列は、コロンを含む MAC アドレスをカンマで区切ったリストです。次の例を参考にしてください。

AA:BB:CC:DD:EE:FF,11:22:33:44:55:66
 

GeneratedMAC

--

有効な MAC アドレス

このパラメータは、クライアント マシンでの Evolution Data Optimized(EVDO)接続をサポートします。クライアント マシンにアクティブな NIC がない場合、Agent はシステム上に「ダミー」の MAC アドレスを作成します。

 

表 9-9 Cisco NAC Agent のアクセシビリティ対話のイネーブル化/ディセーブル化

パラメータ
デフォルト値(10 進数)
有効な範囲
説明/動作

AccessibilityMode

0

0 または 1

この設定が 1 の場合、Cisco NAC Agent は JAWS 画面リーダーに対応します。

この設定が 0 の場合、Agent は JAWS 画面リーダーとの対話を行いません。

(注) この機能をイネーブルにすると、パフォーマンスがわずかながら影響を受ける可能性があります。JAWS 画面リーダーがインストールされていないクライアント マシンでこの機能をイネーブルにしても、Agent は正常に機能します。

 

表 9-10 Cisco NAC Agent ローカリゼーション設定の指定

パラメータ
デフォルト値
有効な範囲
説明/動作

Locale

OS の設定(「 default 」)

--

この設定が default の場合、Agent はクライアント オペレーティング システムのロケール設定を使用します。

この設定が、サポートされている言語の ID、略称、または正式名称の場合、Agent は自動的に、クライアント マシンの Agent ダイアログをローカライズされたテキストで表示します。

 

表 9-11 Agent コンフィギュレーション XML ファイルの「Locale」パラメータ設定

言語
ID
略称
正式名称

英語(米国)

1033

en

English

日本語

1041

ja

Japanese

デンマーク語

1030

da

Danish

ロシア語

1049

ru

Russian

フランス語

1036

fr

French

カタロニア語(スペイン)

1027

ca

Catalan

イタリア語

1040

it

Italian

チェコ語

1029

cs

Czech

スウェーデン語

1053

sv

Swedish

トルコ語

1055

tr

Turkish

ドイツ語

1031

de

German

韓国語(Extended Wansung)

1042

ko

Korean

オランダ語(標準)

1043

nl

Dutch (Standard)

フィンランド語

1035

fi

Finnish

ノルウェー語

1044

no

Norwegian

ポルトガル語

2070

pl

Portuguese

セルビア語(ラテン)

2074

sr

SerbianLatin

セルビア語(キリル)

3098

src

SerbianCyrillic

Cisco NAC Agent MSI インストーラ

Cisco NAC アプライアンスには、Windows クライアント マシン用に Cisco NAC Agent の MSI(Microsoft Installer 形式)インストーラが用意されています( nacagentsetup-win- <version> .msi )。ファイル転送時のローカル メモリ使用量が少ない、同じインストーラ パッケージの .zip バージョンもあります。MSI または .zip パッケージは、Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )からダウンロードできます。Cisco NAC Agent MSI または .zip パッケージを取得したら、MSI インストーラを Agent コンフィギュレーション XML ファイル( NACAgentCFG.xml )と共にクライアント マシン上のディレクトリに置きます。このファイルは、Cisco NAC アプライアンス ネットワークを検索する場所をクライアント マシンに示す、適切な Discovery Host アドレスを含んでいる必要があります。


ステップ 1 nacagentsetup-win- <version> .msi または nacagentsetup-win- <version> .zip インストーラ ファイルを Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )からダウンロードします。

ステップ 2 nacagentsetup-win- <version> .msi ファイルをクライアント マシン上の特定のディレクトリに置きます(たとえば、C:¥temp¥nacagentsetup-win- <version> .msi)。

MSI インストーラを直接クライアントにコピーする場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、 nacagentsetup-win- <version> .msi ファイルを置きます。

nacagentsetup-win- <version> .zip インストーラを使用する場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、.zip ファイルの内容を抽出します。

ステップ 3 適切な Discovery Host アドレスを指定する Agent コンフィギュレーション XML ファイルを、Cisco NAC Agent MSI パッケージと同じディレクトリに置きます。Agent コンフィギュレーション XML ファイル、およびそのパラメータと構文については、「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照してください。

Agent コンフィギュレーション XML ファイルが MSI インストーラ パッケージと同じディレクトリに存在していれば、インストール プロセスによって Agent コンフィギュレーション XML ファイルは自動的に適切な Cisco NAC Agent アプリケーション ディレクトリに置かれるため、Agent は最初に起動されたとき、ネットワーク上の正しい場所をポイントすることができます。

ステップ 4 クライアント マシンでコマンド プロンプトを開き、次のように入力してインストールを実行します。

msiexec.exe /i NACAgentSetup-win-<version>.msi /qn /l*v c:¥temp¥agent-install.log
 

/qn 修飾子は、Cisco NAC Agent を完全にサイレントでインストールします。/l*v は、インストール セッションを冗長モードで記録します。


Cisco NAC Agent はクライアント マシンにインストールされ、Agent コンフィギュレーション XML ファイルで指定された Discovery Host を使用してバックグラウンドで自動的に起動して、Cisco NAC アプライアンス ネットワークに接続します。


 

Agent ベースのポスチャ評価の設定

ここでは、クライアント マシン上で Agent がポスチャ評価と修復を実行できるように CAM の要件を設定する方法について説明します。

「概要」

「AV および AS Definition Update 要件の設定」

「Windows Server Update Services 要件の設定」

「Windows Update 要件の設定」

「カスタム チェック、規則、および要件の設定」

「Launch Programs 要件の設定」

「要件と規則のマッピング」

「ユーザ ロールへの要件の適用」

「要件の自動修復の設定」

概要

要件

Cisco NAC Agent または Cisco NAC Web Agent を実行しているクライアント マシンでポスチャ評価を実行するには、クライアントのオペレーティング システムで実行するクライアント検証のタイプに基づいて、要件を設定、実装する必要があります。要件は、ネットワーク アクセスを実現するためにユーザがシステムで実行しなければならない(あるいは、実行してはならない)機能について、ビジネスレベルの判断を行うときに使用されます。要件のメカニズムは、ユーザ ロールでクライアントが満たさなければならない 1 つまたは複数の規則に、クライアントが違反した場合のユーザの対処法をマップします。新しい要件を作成する場合、いくつかの異なる要件タイプから 1 つ(たとえば、AV Definition Update)を選択し、クライアントが要件を満たさない場合にユーザに表示する Agent ダイアログのオプション、ボタン、および対処法の説明を設定します。各種の要件タイプを作成する手順の詳細については、以下を参照してください。

「AV および AS Definition Update 要件の設定」

「Windows Server Update Services 要件の設定」

「Windows Update 要件の設定」

「カスタム チェック、規則、および要件の設定」

「Launch Programs 要件の設定」


) 必須の修復アクション(Windows Update や AV/AS のサポート アップデートなど)のほとんどで、ユーザはクライアント マシンの管理者権限を持っている必要があります。したがって、クライアント マシンでポスチャ評価や修復を行うユーザには、必ず管理者レベルの権限を与えることをお勧めします。


規則

Windows Server Update Service(WSUS)の [Severity] オプション要件タイプを除くすべてのケースでは、クライアント マシンでセキュリティ標準を満たしていることを確認するために、規則を要件にマップ する必要があります 。規則は、クライアント マシンを検証し、要件を満たしているかどうかを評価するために Agent が使用する単位です。規則には次のものがあります。

AV/AS 要件に関連付けられた設定済み AV/AS 規則。これには、クライアント マシンを検証するための追加チェックが不要です。

1 つまたは複数のプリセット チェックを備えた設定済みシスコ規則(pr_rule)。たとえば、「Critical」アップデートだけに対処する Windows ホットフィックス関連「pr_」規則です。pr_rules を複数の異なる要件タイプの検証基準としてマッピングできます。シスコの規則の詳細については、「シスコの設定済み規則(「pr_」)」を参照してください。

1 つまたは複数の設定済みまたはカスタム チェックで構成されたカスタム規則。カスタム規則は、チェックに基づいて規則式を設定することでユーザ自身が作成するものです。

規則の要件をマッピングする詳細については、「要件と規則のマッピング」を参照してください。

チェック

チェックは規則の基礎的な要素ですが、多くの場合、設定する必要はありません。チェックは選択された OS に対応する単一のレジストリ、ファイル、サービス、またはアプリケーション チェックです。カスタム ファイルを作成する場合に使用されます。チェックには、シスコの設定済みチェック(pc_ check)と、自分で作成するカスタム チェックがあります。規則を要件にマッピングする際には、正確にクライアント マシンを検証するために適切なチェック(pc_ checks またはカスタム チェック)が所定の位置に配置されていることを確認します。


) 設定済み(pr_)規則は、クライアント マシンのセキュリティ標準を検証する 1 つまたは複数のチェックとあらかじめ関連付けられています。設定済み規則またはチェックがニーズと一致しない場合にだけ、カスタム規則またはチェックを作成する必要があります。詳細については、「カスタム チェック、規則、および要件の設定」を参照してください。


ロール マッピング

要件を 1 つまたは複数の規則にマッピングした後、最後の手順は要件を標準ログイン ユーザ ロールに関連付けることです。標準ユーザ ロールへの認証を試行するユーザは、標準ログイン ロールに対応する要件を満たすまで、Temporary ロールに配置されます。

この要件に正常に適合したユーザは、標準ログイン ロールでのネットワーク作業が許可されます。

要件を満たさないユーザは、Agent ダイアログに記載された手順を実行して、要件に正常に適合しないかぎり、Temporary ロールのままでセッションをタイムアウトします。

ロールへの要件のマッピングに関する詳細については、「ユーザ ロールへの要件の適用」を参照してください。


) 要件を標準ログイン ユーザ ロールにマップするには、「ユーザ ロールの作成」の説明に従ってロールを作成しておく必要があります。


Agent ポスチャ評価プロセス

図 9-9 に、Agent によるユーザ認証時の Cisco NAC アプライアンス クライアントのポスチャ評価プロセス(ネットワーク スキャンの有無も含めて)の詳細を示します。

図 9-9 Agent ポスチャ評価

 

Cisco NAC アプライアンスでは、次のユーザ ロールが使用されます。これらに対してトラフィック ポリシーとセッション タイムアウトを設定する必要があります。

Unauthenticated ロール :Clean Access Server の背後に存在する未認証ユーザ(エージェントまたは Web ログイン)用のデフォルト システム ロール。Web ログイン ユーザは、ネットワーク スキャンの実行中、Unauthenticated ロールになります。

Agent Temporary ロール :Agent ユーザは、Agent の要件がシステム上でチェックされている間、Temporary ロールになります。

Quarantine ロール :Web ログインと Agent のいずれのユーザも、ネットワーク スキャンによってクライアント マシンに脆弱性があると判断された場合、Quarantine ロールになります。

ユーザが Agent の条件に適合した場合またはネットワーク スキャンで脆弱性が発見されなかった場合、またはその両方の場合には、そのユーザに Normal Login ユーザ ロールまたは「制限付き」アクセス ロールでのネットワーク アクセスが許可されます。詳細については、「クライアント ポスチャ評価のロール」を参照してください。

ユーザ ログイン/修復中、Agent ダイアログには、インストールされている Agent のタイプ、およびクライアント マシンを検証するために割り当てられた要件に応じて、ユーザがクリックできるさまざまなボタンが表示されます。Agent ダイアログおよび動作の詳細については、 第 10 章「Cisco NAC アプライアンス Agent」 を参照してください。

AV および AS Definition Update 要件の設定

AV Definition Update および AS Definition Update 要件タイプは、クライアント上にあるサポート対象 AV/AS 製品の定義ファイルのレポートおよび更新に使用できます。クライアントが AV/AS 要件を満たさない場合、Agent はクライアントにインストールされた AV/AS ソフトウェアと直接通信します。ユーザが Agent ダイアログの [Update] または [Remediate] ボタンをクリックすると、定義ファイルは自動的に更新されます。


) Cisco NAC Web Agent は、[Go To Link] 手動修復および [File Distribution] 機能だけをサポートしています。Cisco NAC Web Agent は、[Update] または [Launch] 修復アクションをサポートしていません。また、自動修復は実行しません。


AV 規則には AV ベンダーに関するロジックが多数組み込まれていて、AV Definition Update 要件が対応付けられています。AS 規則にはほとんどの AS ベンダーに関するロジックが組み込まれていて、AS Definition Update 要件が対応付けられています。AV または AS Definition Update 要件の場合、チェックを設定する必要はありません。次のように対応付けます。

AV Definition Update 要件と、AV 規則およびユーザ ロールや OS

AS Definition Update 要件と、AS 規則およびユーザ ロールや OS

さらに、AV/AS 要件を満たさない場合にユーザに表示する Agent ダイアログの説明を設定します。


) 可能であれば、クライアントの AV ソフトウェアをチェックする場合に、AV Definition Update 要件に対応付けられた AV 規則を使用することを推奨します。サポート対象外の AV 製品の場合、または AV 規則を介して AV 製品/バージョンを使用できない場合、管理者は常に AV ベンダーに関するシスコ提供の pc_ checks および pr_rules を使用したり、[Device Management] > [Clean Access] > [Clean Access Agent] で([New Check]、[New Rule]、および [New File/Link/Local Check Requirement] を使用して)独自のカスタム チェック、規則、および要件を作成することができます(「カスタム チェック、規則、および要件の設定」を参照)。

Cisco NAC アプライアンスは、AV ベンダーがサポートするインストール方式およびメカニズムと連携して機能します。AV ベンダーが AV 製品の基本メカニズムを突然変更した場合、Clean Access チームはできるだけ早く Supported AV/AS Product List または Agent をアップグレードして、新しい AV 製品の変更をサポートします。それまでの間、管理者は、いつでも目的の AV 製品に「カスタム」規則(pc_checks/pr_rules など)を使用して対処し、[Any selected rule succeeds] の要件を設定することができます。


図 9-10図 9-11 に、クライアントが AV Definition Update 要件を満たしていない場合に表示される Agent ダイアログを示します。

図 9-10 必要な AV Definition Update(Cisco NAC Agent)

 

図 9-11 必要な AV Definition Update(Mac OS X Agent)

 

AV 規則および AS 規則

AV 規則および AS 規則は、Supported AV/AS Product List 内のベンダーおよび製品のリストに対応付けられた設定済みの規則タイプです。このタイプの規則を含むチェックを設定する必要はありません。

AV 規則には 2 つの基本タイプがあります。

[Installation AV Rules]:選択された AV ソフトウェアがクライアント オペレーティング システムに対応するようにインストールされているかどうかを調べます。

[Virus Definition AV Rules]:クライアントのウイルス定義ファイルが最新であるかどうかを調べます。[Virus Definition AV Rules] を AV Definition Update 要件に対応付けると、要件を満たさないユーザが Agent の [Update] ボタンをクリックして更新を自動実行し、システム レポート機能が Cisco NAC Web Agent ユーザに要件について警告することができるようになります。

AS 規則には 2 つの基本タイプがあります。

[Installation AS Rules]:選択された AS ソフトウェアがクライアント OS に対応するようにインストールされているかどうかを調べます。

[Spyware Definition AS Rules]:クライアントの AS 定義ファイルが最新であるかどうかを調べます。[Spyware Definition AS Rules] を AS Definition Update 要件に対応付けると、要件を満たさないユーザが Agent の [Update] ボタンをクリックして更新を自動実行し、システム レポート機能が Cisco NAC Web Agent ユーザに要件について警告することができるようになります。


) 特定の AV/AS ベンダー製ソフトウェアでは、更新を行うためにはユーザがクライアント マシンの管理者権限を持っている必要があります。


通常、 AV 規則 AV Definition Update 要件に、 AS 規則 AS Definition Update 要件に対応付けられます。

AV Definition Update 要件を作成する手順は、次のとおりです。


ステップ 1 「AV/AS サポート情報の確認」

ステップ 2 「AV 規則の作成」

ステップ 3 「AV Definition Update 要件の作成」

ステップ 4 「要件と規則のマッピング」

ステップ 5 「ユーザ ロールへの要件の適用」

ステップ 6 「要件の検証」


 

AS Definition Update 要件を作成する手順は、次のとおりです。


ステップ 1 「AV/AS サポート情報の確認」

ステップ 2 「AS 規則の作成」

ステップ 3 「AS Definition Update 要件の作成」

ステップ 4 「要件と規則のマッピング」

ステップ 5 「ユーザ ロールへの要件の適用」

ステップ 6 「要件の検証」


 


) AV または AS 規則/要件を別の方法で設定する方が便利な場合があります。次の例を参考にしてください。

特定のベンダーの一部の製品バージョンでは、Agent による製品の自動更新をサポートしていない場合があります。この場合は、インストールされた AV/AS 製品のインターフェイスを通して、AV/AS 定義ファイルを更新するようにユーザに指示する説明を設定できます(AV または AS Definition Update 要件の [Description] フィールドを使用)。

AV または AS 規則に別の要件タイプ(Link Distribution や Local Check など)を対応付けて、Agent ボタンおよびユーザの対処法を [Update] から [Go to Link] に変更したり、アクション ボタンをディセーブルにして説明だけを表示することができます。この方法により、ユーザが実行するアクションを柔軟に設定できます。

異なる Enforce Type も設定できます。クライアント向けのレポートを生成したり、ユーザが要件を満たす期間を延長して、その期間はユーザがネットワークからブロックされないようにすることができます。詳細については、「Optional および Audit 要件の設定」を参照してください。


 

AV/AS サポート情報の確認

Cisco NAC アプライアンスを使用すると、ネットワーク上で複数のバージョンの Agent を使用できます。Agent に新しいアップデートを適用すると、リリース時点での最新の AV/AS 製品のサポートが追加されます。最適な方法(Def Date または Def Version)が選択され、入手可能な AV/AS 製品および Agent のバージョンに基づいて AV/AS 定義チェックが実行されます。[AV/AS Support Info] ページには、CAM にダウンロードされた最新の Supported AV/AS Product List と Agent の互換性が詳細に表示されています。また、AV/AS 製品ごとの定義ファイルの最新バージョンや日付、および製品サポートに必要な Agent のベースライン バージョンも表示されています。クライアントの AV/AS 情報と、[AV/AS Support Info] ページを比較して、クライアントの定義ファイルが最新であるかどうかを確認できます。ネットワークで複数のバージョンの Agent が稼動している場合、このページを使用すると、特定の製品をサポートするために実行しなければならないバージョンを判別することができます。

Agent サポートの詳細を表示するには、次の手順を行います。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] に移動します。

ステップ 2 Category ドロップダウン メニューで [Antivirus](図 9-12 および図 9-13 を参照)または [Anti-Spyware](図 9-14 および図 9-15 を参照)を選択します。

図 9-12 [AV/AS Support Info]:Windows AV ベンダーの例

 

図 9-13 [AV/AS Support Info]:Mac OS X AV ベンダーの例

 

図 9-14 [AV/AS Support Info]:Windows AS ベンダーの例

 

図 9-15 [AV/AS Support Info]:Mac OS X AS ベンダーの例

 

ステップ 3 ドロップダウン メニューで、対応するベンダー([Antivirus Vendor] または [Anti-Spyware Vendor])を選択します。


) AS 定義の日付/バージョンの定期更新は、シスコのアップデートから実行できます。更新サービスが使用可能になるまで、システムは定義ファイルを AS Spyware Definition 規則([Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules])の現在のシステム日付よりも x 日間古い日付に設定します。


ステップ 4 [Operating System] ドロップダウン メニューで次のオペレーティング システムのいずれかを選択し、クライアント システムのサポート情報を表示します。

[Windows 7/Vista/XP/2K]

[Mac OSX]

製品の詳細については、[Minimum Agent Version Required to Support AV/AS Products] テーブルで確認してください。

この選択を行うと、次のテーブルにデータが読み込まれます。

[Minimum Agent Version Required to Support AV/AS Products] は、各 AV/AS 製品のサポートに必要な最低限の Agent バージョンを示します。次の例を参考にしてください。

4.1.3.0 以降の Windows Agent は、Aluria Security Center AntiVirus 1.x を必要とするロールにログインすることはできますが、これよりも前の Agent バージョンの場合、このチェックは失敗します。

4.6.0.3 Mac OS X Agent は、clamXav: 0.x および ClamXav: 1.x にログインすることができます。

特定のバージョンの Agent が Def Date と Def Version の両方のチェックをサポートする場合は、Def Version チェックが使用されます。

[Latest Virus/Spyware Definition Version/Date for Selected Vendor] は、AV/AS 製品の最新バージョンと日付の情報を示します。最新クライアントの AV ソフトウェアでも同じ値が表示されます。


) Agent はバージョン情報を CAM に送信します。CAM が最初に AV チェックに使用するのは、常にウイルス定義のバージョンです。バージョンを使用できない場合、CAM はウイルス定義の日付を使用します。



ヒント [New AV Rule] フォームで AV ベンダーを選択した場合も、最新の定義ファイル バージョンを表示できます。



 

AV 規則の作成


) Mac OS X Agent バージョン 4.5.0.0 以降を使用してクライアント修復を実行するために、CAM/CAS では、Cisco NAC アプライアンス リリース 4.5 以降を実行し、最新の Cisco AV/AS サポート アップデートが存在している必要があります。


AV 規則を設定する手順は、次のとおりです。


ステップ 1 最新バージョンの Supported AV/AS Product List が存在することを確認してください(「Cisco NAC アプライアンスのアップデートの取得」を参照)。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AV Rule] に移動します。

図 9-16 [New AV Rule]:Windows

 

図 9-17 [New AV Rule]:Mac OS X

 

ステップ 3 [Rule Name] を入力します。名前の中では数字および下線を使用できますが、スペースは使用できません。

ステップ 4 ドロップダウン メニューで、特定の [Antivirus Vendor] または [ANY](任意の)ベンダーを選択します。この操作を行うと、選択した [Operating System] に対応する、[ANY](任意の)ベンダー オプションの情報または指定ベンダーのサポート対象製品および製品バージョンが、ページの下部にある [Checks for Selected Operating Systems] テーブルに読み込まれます。


) [ANY] オプションを選択するとクライアント マシンでの Agent のパフォーマンスに影響を与える(プロセスに時間がかかる)可能性があるため、できるだけベンダー名を指定することをお勧めします。


ステップ 5 [Type] ドロップダウン メニューで、[Installation] または [Virus Definition] を選択します。これにより、下部のテーブル内で、対応する [Installation] または [Virus Definition] カラムのチェックボックスがオンになります。

ステップ 6 ドロップダウン メニューから [Operating System] を選択します。これにより、このクライアント OS でサポートされる製品バージョンが下部のテーブルに読み込まれます。

[Windows 7/Vista/XP/2K]

[Mac OSX]

ステップ 7 オプションの [Rule Description] に入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 8 [Checks for Selected Operating Systems] テーブルで、対応する [Installation] または [Virus Definition] カラム内のチェックボックスをオンにして、クライアント上で検索する製品バージョンを選択します。

[ANY] をオンにすると、この AV ベンダーのすべての製品およびバージョンが検索されます。

[Installation] は、製品がインストールされているかどうかを調べます。

[Virus Definition] は、指定された製品のウイルス定義ファイルがクライアント上で最新かどうかを調べます。


) 定義規則では、Agent は最初に製品がインストールされているかどうかを確認し、次に定義ファイルが最新かどうかを調べます。


ステップ 9 [Add Rule] をクリックします。新しい AV 規則が [Rule List] の下部に、指定した名前で追加されます。

図 9-18 [Rule List] の下に表示される新しい AV 規則:Mac OS X の例

 


) AV 規則を設定する際に、[ANY] AV ベンダー オプションと、ベンダー固有の [ANY Product/ANY Version] オプションでは、次のように動作が異なります。

[ANY] ベンダーの場合、Agent はインストールされた製品がサポート対象ベンダーからのものかどうか確認するため、サーバに対してクエリを実行する必要があります。Agent は、ログイン セッションの開始時に 1 回だけクエリを行うので、サーバの応答を更新するためには、[Cancel] をクリックするか Agent を再起動して、ログイン プロセスを繰り返す必要があります。

特定のベンダーの [ANY Product/ANY Version] の場合、Agent は、クライアント マシンにインストールされているものと必要なベンダーを照合するだけで済みます。クエリは不要です。


 


 

AV Definition Update 要件の作成

次の手順は、対応する AV 規則を使用して特定の AV 製品およびバージョンのクライアント システムを検索する、新しい AV Definition Update 要件を作成する方法を示します。クライアントの AV 定義ファイルが最新でない場合、ユーザは Agent の [Update] または [Remediate] ボタンをクリックして、既存の AV ソフトウェア独自の更新メカニズムを起動することができます。実際のメカニズムは、AV 製品ごとに異なります(ライブ アップデートやコマンド ライン パラメータなど)。


) Cisco NAC Web Agent は、[Go To Link] 手動修復および [File Distribution] 機能だけをサポートしています。Cisco NAC Web Agent は、[Update] または [Launch] 修復アクションをサポートしていません。また、自動修復は実行しません。



) Mac OS X のユーザは、http://www.clamav.net にある ClamXAV ダウンロード サイトにナビゲートすることにより、ClamWin AV Definition Update 要件を解決することができます。CAM の Unauthenticated ロールの定義済みホスト ポリシー([User Management] > [User Roles] > [Traffic Control] > [Host])を使用することを推奨します。


AV Definition Update 要件を作成する手順は、次のとおりです。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニュー リンクをクリックしてから、[New Requirement] を選択します。

図 9-19 [New Requirement]

 

ステップ 2 [Requirement Type] で、[AV Definition Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスできません。

[Optional] 要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit] サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレント」にチェックされ、レポートが自動的に生成されて CAS に返されます(監査要件はユーザの [Mac OS X Assessment Report] ウィンドウに表示されません)。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行するときの [Priority] を選択します。ハイ プライオリティ(たとえば 1)は、他のすべての要件よりもこの要件が優先してシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。[Mandatory] 要件が失敗する場合、その要件が成功するまで Agent は次に進みません。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、[New Requirement] 設定ページに表示される [Remediation] 機能([Remediation] の [Type]、[Interval]、および [Retry Count])は機能しません。


ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合は、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。この間隔は、要件タイプに応じて、Agent が修復を再試行するまでの遅延を設定するか、または特定の修復プロセスに認められる合計時間を設定します。

c. [Retry Count []] を入力します 。こ の再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は、自動修復をサポートしていません。


ステップ 6 ドロップダウン メニューで [Antivirus Product Name] を選択するか、[ANY] を選択します。[Products] テーブルに、各クライアント OS でサポートされているすべてのウイルス定義製品のバージョンが表示されます。


) [ANY] オプションを選択するとクライアント マシンでの Agent のパフォーマンスに影響を与える(プロセスに時間がかかる)可能性があるため、できるだけベンダー名を指定することをお勧めします。


ステップ 7 [Requirement Name] に、Agent 内でこの AV ウイルス定義ファイル要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 8 [Description] フィールドに、要件の説明、および要件を満たさないユーザの指針となる手順を入力します。AV Definition Update 要件の場合、Cisco NAC Web Agent ユーザに対する要件についての警告と、Cisco NAC Agent ユーザに対して [Update] または [Remediate] ボタンをクリックしてシステムを更新するように警告する手順を含めます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 9 少なくとも 1 つのクライアント [Operating System] に対応するチェックボックスをクリックします(少なくとも 1 つをオンにする必要があります)。

ステップ 10 [Add Requirement] をクリックして、[Requirement List] に要件を追加します。

図 9-20 Mac OS X Agent 評価レポートの AV Definition Update 要件の表示

 


 

AS 規則の作成


) Mac OS X Agent バージョン 4.5.0.0 以降を使用してクライアント修復を実行するために、CAM/CAS では、Cisco NAC アプライアンス リリース 4.5 以降を実行し、最新の Cisco AV/AS サポート アップデートが存在している必要があります。


AS 規則を設定する手順は、次のとおりです。


ステップ 1 最新バージョンの Supported AV/AS Product List が存在することを確認してください(「Cisco NAC アプライアンスのアップデートの取得」を参照)。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AS Rule] に移動します。

図 9-21 [New AS Rule]:Windows

 

図 9-22 [New AS Rule]:Mac OS X

 

ステップ 3 [Rule Name] を入力します。名前の中では数字および下線を使用できますが、スペースは使用できません。

ステップ 4 ドロップダウン メニューで [Anti Spyware Vendor] を選択するか、または [ANY] を選択して、サポートされている AS ベンダーまたは製品をすべて選択します。この操作を行うと、ページ下部にある [Checks for Selected Operating Systems] テーブルに、(選択された [Operating System] に対応する)このベンダーのサポート対象製品および製品バージョンが読み込まれます。


) [ANY] オプションを選択するとクライアント マシンでの Agent のパフォーマンスに影響を与える(プロセスに時間がかかる)可能性があるため、できるだけベンダー名を指定することをお勧めします。


ステップ 5 [Type] ドロップダウン メニューで、[Installation] または [Spyware Definition] を選択します。これにより、その下のテーブル内で、対応する [Installation] または [Spyware Definition] カラムのチェックボックスがオンになります。

ステップ 6 ドロップダウン メニューから [Operating System] を選択します。

[Windows 7/Vista/XP/2K]

[Mac OSX]

ステップ 7 オプションの [Rule Description] に入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 8 [Checks for Selected Operating Systems] テーブルで、対応する [Installation] または [Spyware Definition] カラム内のチェックボックスをオンにして、クライアント上で検索する製品バージョンを選択します。

[ANY] をクリックすると、この AS ベンダーのすべての製品およびバージョンが検索されます。

[Installation] は、製品がインストールされているかどうかを調べます。

[Spyware Definition] は、指定された製品のスパイウェア定義ファイルが、クライアント上で最新かどうかを調べます。


) 定義規則では、Agent は最初に製品がインストールされているかどうかを確認し、次に定義ファイルが最新かどうかを調べます。


ステップ 9 [Add Rule] をクリックします。新しい AS 規則が [Rule List] の下部に、指定した名前で追加されます(図 9-23 を参照)。

図 9-23 [Rule List] の下に表示される新しい AS 規則:Mac OS X の例

 


 

AS Definition Update 要件の作成


) Mac OS X Agent では、AV Definition Update と AS Definition Update の両方をサポートしていますが、Cisco NAC アプライアンス リリース 4.7 に関連付けられている Opswat ライブラリには、現在 AS Definition Update が含まれていません。したがって、CAM AS Definition Update 要件設定ページで現在使用可能な AS 定義アップデートがありません。

サポート AV/AS アプリケーションのリストについては、『Release Notes for Cisco NAC Appliance, Version 4.7(1)』の「Clean Access Supported AV/AS Product List」を参照してください。


AS Definition Update 要件を作成する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-24 新しい AS Definition Update 要件

 

ステップ 2 [Requirement Type] で、[AS Definition Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスできません。

[Optional] 要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit] サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレントに」チェックされ、レポートが自動的に生成されて CAS に返されます(監査要件は Mac OS X ユーザの [Assessment Report] ウィンドウに表示されません)。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行するときの [Priority] を選択します。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、[New Requirement] 設定ページに表示される [Remediation] 機能([Remediation] の [Type]、[Interval]、および [Retry Count])は機能しません。


ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合は、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。この間隔は、要件タイプに応じて、Agent が修復を再試行するまでの遅延を設定するか、または特定の修復プロセスに認められる合計時間を設定します。

c. [Retry Count []] を入力します 。こ の再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は、自動修復をサポートしていません。


ステップ 6 ドロップダウン メニューで [Anti-Spyware Vendor Name] を選択するか、[ANY] を選択します。[Products] テーブルに、各クライアント OS で現在サポートされているすべてのスパイウェア定義製品のバージョンが表示されます。


) [ANY] オプションを選択するとクライアント マシンでの Agent のパフォーマンスに影響を与える(プロセスに時間がかかる)可能性があるため、できるだけベンダー名を指定することをお勧めします。


ステップ 7 [Requirement Name] に、Agent 内でこの AS 定義ファイル要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 8 [Description] フィールドに、要件の説明、および要件を満たさないユーザの指針となる手順を入力します。AS Definition Update 要件の場合、Cisco NAC Web Agent ユーザに対する要件についての警告と、Cisco NAC Agent ユーザに対して [Update] または [Remediate] ボタンをクリックしてシステムを更新するように警告する手順を含めます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 9 少なくとも 1 つのクライアント [Operating System] に対応するチェックボックスをクリックします(少なくとも 1 つをオンにする必要があります)。

ステップ 10 [Add Requirement] をクリックして、[Requirement List] に要件を追加します。


 

Windows Server Update Services 要件の設定

Agent の Windows Server Update Services 要件タイプの設定ページを使用すると、管理者は次の点に基づいて Agent ユーザ マシンで Windows Server Update Services(WSUS)を起動できます。

特定の Windows オペレーティング システムに対する、シスコ規則(pr_ <Windows operating system> _hotfixes など)や管理者が設定したカスタム規則

Windows Update 重大度チェック

「シスコ規則」を使用して Windows クライアント マシンを検証することを選択した場合は、CAM 内の 1 つまたは複数の規則に WSUS 要件をマッピングすることも必要です。Cisco NAC アプライアンス ネットワークへのアクセスを許可する前に、要件を既存のシスコ(pr_hotfix)規則にマッピングするか、クライアント マシンが特定の基準を確実に満たすように作成したカスタム規則にマッピングするかを選択できます。外部サーバ アクセスが不要なので、シスコ規則を使用すると、より短時間でクライアントの検証とユーザ ログインを行うことができます。ただし、クライアント マシンはシスコ規則に含まれる「緊急」のホットフィックスに対してだけチェックされます。pr_rules の詳細については、「カスタム チェック、規則、および要件の設定」を参照してください。

Windows Update の [Severity] オプションを使用してクライアント マシンを検証することを選択した場合は、要件と規則のマッピングを設定する必要がなく、チェックに対応するホットフィックスのレベルを選択できます。[Severity] ポスチャ評価設定では、クライアント マシンのセキュリティ コンプライアンスを検証し、Windows Updates をインストールするために、外部 WSUS アップデート サーバへのアクセスが必要です。これらを完了させるには非常に長い時間がかかる可能性があります。

「Windows Server Update Services」要件では、Agent に修復用の [Update] ボタンを用意しています。エンド ユーザが [Update] ボタンをクリックすると、Agent は Automatic Updates Agent を起動して、Microsoft またはローカル/サードパーティ管理の WSUS サーバからアップデート ソフトウェアを取得させます。WSUS 要件を [Mandatory] にすることはできますが、WSUS サーバからのソフトウェアのダウンロードに時間がかかる場合があります(特に、[Severity] 設定を使用してクライアント マシンを検証した場合)。したがって、クライアント マシンで WSUS 修復がバックグランド プロセスとして実行されるように、WSUS 要件を [Optional] にすることを推奨します。


) Cisco NAC Web Agent は、[Go To Link] 手動修復および [File Distribution] 機能だけをサポートしています。Cisco NAC Web Agent は、[Update] または [Launch] 修復アクションをサポートしていません。また、自動修復は実行しません。


Windows Updates をイネーブルまたはディセーブルにすることだけが必要な場合(つまり、Microsoft 重大度レベルに基づく特定の更新が不要な場合)は、WSUS 要件の代わりに標準の Windows Update 要件を設定できます。詳細については、「Windows Update 要件の設定」を参照してください。

前提条件

ネットワーク管理者は、自動起動機能をサポートするローカル WSUS サーバをサポートするために、Automatic Updates Agent が更新されていることを確認する必要があります。詳細は、以下を参照してください。

http://www.microsoft.com/windowsserversystem/updateservices/evaluation/faqs.mspx

Windows Server Update Services 要件タイプは、Windows 2000、Windows XP、Windows Vista、および Windows 7 に限定されます。

Windows Server Update Services 操作をサポートするには、クライアント マシンに WUAUENG.dll ファイルのバージョン 5.4.3790.1000(またはより最新のバージョン)がインストールされている必要があります。

管理者権限のないユーザが WSUS を使用して Windows を更新する場合は、WSUS 要件を設定する際に、[Installation Wizard Interface Setting] で [No UI] オプションを選択する必要があります。

一部の Microsoft Windows コンポーネント(たとえば、Internet Explorer 7)では、更新を正常に行うために admin 権限が必要です。ユーザがクライアント マシンで admin 権限を持っていない場合、Windows Update プロセスは「WU_E_NO_INTERACTIVE_USER」エラーを返します。そのため、admin 権限を必要とする Windows Update を [Optional] にして、更新の失敗を最小限に抑えることを推奨します。詳細については、 http://msdn2.microsoft.com/en-us/library/aa387289.aspx を参照してください。

WSUS によって実行される更新は、時間がかかる場合があります。この更新は、バックグラウンドで起動され、実行されます。

更新エラーが発生した場合は、クライアント マシンの C:¥Windows¥Windows Update.log または C:¥Windows¥WindowsUpdate.log を参照してください。

Windows Server Update Service 要件を作成する手順は、次のとおりです。


ステップ 1 「Windows Server Update Service 要件の作成」

ステップ 2 「Windows 規則への Windows Server Update Service 要件のマッピング」

ステップ 3 「ユーザ ロールへの要件の適用」

ステップ 4 「要件の検証」


 

Windows Server Update Service 要件の作成

WSUS 要件を設定する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-25 新規の Windows Server Update Service 要件

 

ステップ 2 [Requirement Type] ドロップダウン メニューから、[Windows Server Update Services] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit] サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレントに」チェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行するときの [Priority] を選択します。ハイ プライオリティ(たとえば 1)は、他のすべての要件よりもこの要件が優先してシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。これが [Mandatory] 要件である場合、この要件が失敗すると、Agent はこれが成功するまで次に進みません。

ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合は、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。この間隔は、要件タイプに応じて、Agent が修復を再試行するまでの遅延を設定するか、または特定の修復プロセスに認められる合計時間を設定します。

c. [Retry Count []] を入力します 。こ の再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は、自動修復をサポートしていません。


ステップ 6 [Windows Updates Validation by] で、クライアント マシンにインストールされている Windows オペレーティング システムを検証する際に使用する検証方法を指定します。

[Cisco Rules]:シスコ規則(たとえば pr_ <Windows operating system> _Hotfixes)または CAM 上の類似の管理者設定カスタム規則を使用して、クライアントの Windows オペレーティング システムが最低限のセキュリティ標準を満たしているかどうかを確認します。これは、クライアント マシンのセキュリティ ポスチャに迅速に評価する方法で、CAM ローカル データベースでアクセス可能な基準を使用します。短時間で実行するために、(「緊急」および「重要」な Windows Update をインストールする)[Express] インストールとともにシスコ規則を検証方法として使用し、インストール元として [Windows Servers] を使用することを推奨します。


) このオプションを選択した場合は、「Windows 規則への Windows Server Update Service 要件のマッピング」で説明しているように要件とルールのマッピングを設定する必要があります。

独自のカスタム規則を使用して検証する場合は、既存のシスコ規則(たとえば pr_<Windows operating system>_Hotfixes)と同じように設定することを推奨します。チェックするホットフィックスの重大度レベルを把握しておく必要があります(「重要」であるか 「注意」であるか、など)。詳細については、「チェックおよび規則のコピー」を参照してください。


[Severity]:Microsoft 社の管理するサーバまたはローカルの Windows Update サーバを使用して、クライアントの Windows オペレーティング システムが最低限のセキュリティ標準を満たしているかどうかを確認します。この検証方法では、WSUS 要件を任意の規則にマッピングする必要はありません。ただし、[Severity] 設定では、アップデートが現在クライアント マシンにインストールされていることを確認し、要件を満たすために必要な Windows Update をインストールするために、CAM が外部 WSUS サーバを使用する必要があります。

ローカル管理またはホスト Windows(WSUS)サーバを使用して Windows Update を実行することにより WSUS 要件を満たす場合、Agent は WSUS にアップデートのインストールを要求します。WSUS Agent は、指定された重大度レベルで使用可能な「すべての」アップデートを自動的にインストールすることに注意してください(つまり、5 つの「重要」アップデートと 3 つの「緊急」アップデートがある場合に、クライアント マシンですでにその中のいくつかのアップデートが適用されていても、WSUS インストーラは要件タイプに指定された「すべての」アップデートを自動的にインストールします)。その結果、クライアント マシンで重大度に基づく検証を行う際に、評価と修復の時間が長くなる可能性があります。


) ステップ 9 の [Windows Updates Installation Sources] 設定で、[Severity] オプションに一致する検証方法を設定します。


ステップ 7 [Windows Updates to be Installed] で、インストールするアップデートのレベルを指定します。検証方法は、アップデートをトリガするためにマシンで不足しているものをチェックすることが基本です。実際のアップデートは、Microsoft または WSUS サーバから送信されます。インストールされたアップデートの数は、ここで選択したアップデートのレベルに依存します。たとえば、緊急ホットフィックスだけを選択するシスコ規則による検証を選択する一方で、[Custom] Windows Update を [Medium] レベルでインストールすることを選択した場合、緊急ホットフィックスがクライアントにない場合に限り、すべての「緊急」、「重要」、および「警告」ホットフィックスがクライアントにインストールされます。

[Express]:このオプションは、Windows Update アプリケーションの [Express] オプションから入手できる Windows Update をインストールします。一般的に、[Express] オプションには、「重要」と「緊急」の Windows Update だけが含まれています。ただし、[Express] アップデートの Microsoft バージョンがその他のインストール(Service Pack アップデートなど)を含んでいる場合、「すべての」アップデートが自動的にクライアント マシンにインストールされます。

[Custom]:この設定と関連するドロップダウン メニューを使用し、関連するドロップダウン メニューから [Critical]、[Medium]、または [All] を選択して、重要度に基づいてアップデートをインストールします。

[Critical]:「緊急」Microsoft Windows Update だけをインストールします。

[Medium]:すべての「緊急」、「重要」、および「警告」Windows Update をインストールします。

[All]:すべての「緊急」、「重要」、「警告」、および「注意」Windows Update をインストールします。

すべての場合において、WSUS サーバは、クライアントにインストールするためにすべてのアップデートを自動的にダウンロードします。したがって、指定された重大度のアップデート 5 件の内 3 件がすでにクライアント マシンにインストール済であっても、WSUS サーバはすべてのアップデートをダウンロードし、インストールします。

ステップ 8 [Upgrade to Latest OS Service Pack] をクリックして、ユーザのオペレーティング システムで利用できる最新のサービス パックを自動的にインストールします。


) このオプションは、上部の [Medium] または [All] を [Custom] アップデートで指定する場合に自動的にインストール プロセスに含まれます。「省略」することはできません。[Critical] を [Custom] アップデートで指定した場合、このオプションをイネーブルまたはディセーブルにするよう選択できます。

シスコ規則は、すべての「緊急」Windows Update を検証し、最低限の Windows 2000 Service Pack および Windows XP Service Pack アップデートがクライアント マシンにインストールされているかどうかを確認します。[Windows Updates to be Installed] で「緊急」だけがインストールされるように選択する場合、Windows 2000 Service Pack 4 および Windows XP Service Pack 2 がクライアント マシンに表示されない場合があります。そのため、クライアント マシンは「シスコ規則」経由でポスチャ評価を渡しません。「シスコ規則」を使用してクライアント マシンを検証し、「緊急」アップデートだけが必要な場合、この問題に対処するには、Service Pack Update も要求し、「シスコ規則」のポスチャ評価を使用してクライアントを検証することを推奨します(「シスコ規則」ではなく、「重大度」でクライアント マシンを検証するように選択した場合、これは問題にはなりません)。



) 通常、Windows Service Pack アップデートのダウンロードとインストールには長い時間がかかります。フル サービス パックのインストレーションに基づいて Windows オペレーティング システムを更新するようにユーザに要求する場合は、インストールとアップデートの長い処理時間に対応できるように、必ず事前に Temporary ロール ユーザのセッション タイムアウト時間を延長してください (「Temporary ロールのセッション タイムアウトの設定」 を参照)。


ステップ 9 [Windows Updates Installation Sources] で、Windows アップデートのソースを指定します。

[Windows Servers]:Microsoft 社の管理する Windows Update サーバを使用して Windows オペレーティング システムを更新します。

[Managed WSUS Servers]:Windows サーバ管理者またはその他の信頼できるサードパーティ ソースによって管理されているリソースを使用して、Windows オペレーティング システムを更新します。

ステップ 10 [Installation Wizard Interface Setting] で、Windows Update のインストール中にユーザにインストレーション ウィザード ユーザ インターフェイスを表示するかどうかを指定します。

[Show UI]:更新プロセス中、Windows Update インストール ウィザードの経過表示が表示されるため、ユーザは更新中のコンポーネントの内容がわかり、アップデートが完了したことも知ることができます(Windows Update 中にインストール ウィザードのユーザ インターフェイスを表示するには、ユーザがクライアント マシン上で管理者権限を持っている必要があります)。

[No UI]:アップデート プロセスが開始すると、Windows Update はバックグラウンドで行われ、アップデートが完了したときにだけユーザに通知されます。


) • 管理者権限のないユーザが WSUS を使用して Windows を更新する場合は、[No UI] オプションを選択する必要があります。

新しくインストールした Windows 7(アップデートがまったく適用されていない状態)で WSUS アップデートが実行され、要件に対して [No UI] オプションが選択されている場合、WSUS アップデートは失敗する可能性があります。

Windows Update のうち、インストールに失敗する部分は、KB890830 アップデート(Windows 悪意のあるソフトウェアの削除ツール、 http://support.microsoft.com/?kbid=890830 )です。このアップグレードは、admin 権限でインストールする必要があり、また、インストール時に EULA を承認する必要があります。

KB890830 をインストールした後では、Microsoft 社から毎月のアップデートが火曜日にプッシュされます。インストール後の KB890830 のアップデートは admin 権限を必要とせず、admin グループのメンバーでないユーザが使用するマシンでも正常に動作します。

ユーザが admin でないユーザとして、Windows Update を使用して手動で KB890830 をクライアント システムにインストールすると、管理者パスワードの入力を要求され、EULA が表示されます。


 

ステップ 11 [Requirement Name] に、Agent 内でこの要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 12 [Description] フィールドには、要件の説明のほか、要件を満たさないユーザを誘導する方法(システムを更新するためにユーザが [Update] ボタンをクリックする方法を含む)を入力してください。Windows Server Update Service では、Agent に [Update] ボタンが表示されます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 13 次のチェックボックスの少なくとも 1 つをオンにして、要件の [Operating System] を設定します。

[Windows 2000]

[Windows XP (All)]、または 1 つまたは複数の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、または 1 つまたは複数の特定の Windows Vista オペレーティング システム

[Windows 7 (All)]、または 1 つまたは複数の特定の Windows 7 オペレーティング システム

ステップ 14 [Add Requirement] をクリックします。

ステップ 15 [Windows Updates Validation by Cisco Rules] の WSUS 要件を設定した場合は、次の「Windows 規則への Windows Server Update Service 要件のマッピング」に進みます。

それ以外の場合は、次の手順に進んで設定を完了します。

「ユーザ ロールへの要件の適用」

「要件の検証」


 

Windows 規則への Windows Server Update Service 要件のマッピング

[Windows Updates Validation by Cisco Rules] の Windows Server Update Service 要件を設定した場合は、このセクションの手順を実行します(「Windows Server Update Service 要件の作成」 を参照)。

[Windows Updates Validation by Severity] を指定した場合は、Windows Server Update Service を既存の Windows 規則にマップする必要はないため、このセクションを省略できます。

Windows Server Update Service 要件を Windows 規則にマッピングする手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

図 9-26 規則への Windows Server Update Service 要件のマッピング

 

ステップ 2 [Requirement Name] ドロップダウン メニューから、設定した WSUS 要件を選択します。

ステップ 3 Windows Server Update Service 要件と規則のマッピングを設定するには、この要件に対して検証する各オペレーティング システムで次の手順を繰り返します。

a. [Operating System] ドロップダウン メニューで、「Windows Server Update Services 要件の設定」のステップ 13 で要件を設定したオペレーティング システムの 1 つを選択します。

システム内で、規則は設定するオペレーティング システムに従って分類されます。[Operating System] ドロップダウン メニューにより、ページの下部にある [Rules for Selected Operating System] テーブルで選択するために表示される規則が決定されます。たとえば、[Requirement-Rule] ページで、[Windows XP (All)] 用に設定した要件に複数のホットフィックス規則をマッピングした場合、Windows XP の各バージョン(たとえば Windows XP Pro/Home、Windows XP Tablet PC、Windows XP Media Center)を [Operating System] ドロップダウン メニューから個別に選択する必要があります。これにより、各 OS バージョン用の pr_hotfix 規則(たとえば、それぞれ pr_XP_Hotfixes、pr_XP_TabletPC_Hotfixes、pr_XP_MCE_Hotfixes)を [Rules for Selected Operating System] リストに表示し、選択することができるようになります。

b. [Requirement met if] で、次のいずれかのオプションを選択します。

[All selected rules succeed](デフォルト):クライアントが要件に適合していると見なすための条件が、すべての規則を満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則を 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則をどれも満たさないことである場合

c. AV Virus/AS Spyware Definition 規則のオプションは無視します。

d. [Rules for Selected Operating System] リストには、選択した OS(pr_ rule または設定した規則)のシステム内に存在するすべての規則が表示されます。この要件でイネーブルにする各規則のチェックボックスをオンにします。通常、この要件に関連付けられている規則は、次のとおりです。

pr_AutoUpdateCheck_Rule(Windows XP (All)、Windows 2000)

pr_XP_Hotfixes(Windows XP Pro/Home)

pr_2K_Hotfixes(Windows 2000)

pr_Vista_ <version> _Hotfixes(Windows Vista Home Basic/Premium、Business、Ultimate、Enterprise)

すべての規則が [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。

e. [Update] をクリックしてマッピングを完了します。

ステップ 4 「ユーザ ロールへの要件の適用」および「要件の検証」に進んで、設定を完了します。


 

Windows Update 要件の設定

Agent の「Windows Update」要件タイプ設定ページでは、管理者が Windows Update 設定のチェックと変更を行い、ユーザが管理者権限を持っているクライアント マシンで Windows Updater を起動することができます。

この要件が設定されている場合は、このオプションがディセーブルに設定されている Windows Vista、Windows 2000、または Windows XP クライアント マシンの Automatic Update をオンにできます。

Windows Update 要件(デフォルトで [Optional] に設定済み)では、Agent には必ず修復用の [Update] ボタンがあります。エンド ユーザが [Update] ボタンをクリックすると、Agent が Automatic Updates Agent を起動して、外部 WSUS サーバからソフトウェア アップデートを取得するように強制します。WSUS サーバからのソフトウェア ダウンロードには、時間がかかる場合があります。したがって、修復がバックグラウンドで実行されるように Windows Update 要件を [Optional] のままにしておくことを推奨します。


) Cisco NAC Web Agent は、[Go To Link] 手動修復および [File Distribution] 機能だけをサポートしています。Cisco NAC Web Agent は、[Update] または [Launch] 修復アクションをサポートしていません。また、自動修復は実行しません。


Windows オペレーティング システムは、さまざまな方法でカスタマイズして、オペレーティング システムのインストールの一部としてホットフィックスとサービス パックを含めることができます。ホットフィックスがオペレーティング システムの一部である場合、Agent がレジストリ内のホットフィックスのキー値を検出できないこともあります。そのような場合は、外部 Windows Update サーバにアクセスするように設定された Windows Server Update Services(WSUS)要件を使用することを推奨します。詳細については、「Windows Server Update Services 要件の設定」を参照してください。

前提条件

Windows Server Update Services 要件タイプは、Windows 2000、Windows XP、Windows Vista、Windows 7 クライアント マシンにだけ適用されます。シスコベースおよび Windows ベースのクライアント オペレーティング システム検証のチェックと、アップデートの重要度に基づいてカスタマイズされたアップデート インストレーション オプションのチェックをサポートしています。

ネットワーク管理者は、自動起動機能をサポートするローカル WSUS サーバをサポートするために、Automatic Updates Agent が更新されていることを確認する必要があります。詳細については、 http://www.microsoft.com/windowsserversystem/updateservices/evaluation/faqs.mspx を参照してください。

Windows Server Update Services 操作をサポートするには、クライアント マシンに WUAUENG.dll ファイルのバージョン 5.4.3790.1000(またはより最新のバージョン)がインストールされている必要があります。

WSUS によって実行される更新は、時間がかかる場合があります。一般的に、この更新はバックグラウンドで起動され、実行されます。

一部の Microsoft Windows コンポーネント(たとえば、Internet Explorer 7)では、更新を正常に行うために admin 権限が必要です。ユーザがクライアント マシンで admin 権限を持っていない場合、Windows Update プロセスは「WU_E_NO_INTERACTIVE_USER」エラーを返します。そのため、admin 権限を必要とする Windows Update を [Optional] にして、更新の失敗を最小限に抑えることを推奨します。詳細については、 http://msdn2.microsoft.com/en-us/library/aa387289.aspx を参照してください。

更新エラーが発生した場合は、C:¥Windows¥Windows Update.log または C:¥Windows¥WindowsUpdate.log を参照してください。

Windows Update 要件を設定する手順は、次のとおりです。


ステップ 1 「Windows Update 要件の作成」

ステップ 2 「Windows 規則への Windows Update 要件のマッピング」

ステップ 3 「ユーザ ロールへの要件の適用」

ステップ 4 「要件の検証」


 

Windows Update 要件の作成

Windows Update 要件を設定する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-27 新規の Windows Update 要件

 

ステップ 2 [Requirement Type] ドロップダウン メニューから、[Windows Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Optional](デフォルト設定) 要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。


) アップデート プロセスをバックグラウンドで実行することによってユーザ エクスペリエンスを最適化するために、Windows Update 要件タイプはデフォルトで [Optional](または [do not enforce])に設定されています。[Automatically download and install] オプションを選択する場合は、この要件を [Optional] のままにしておくことを推奨します。


[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスできません。

[Audit] サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレント」にチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行するときの [Priority] を選択します。ハイ プライオリティ(たとえば 1)は、他のすべての要件よりもこの要件が優先してシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。これが [Mandatory] 要件である場合、この要件が失敗すると、Agent はこれが成功するまで次に進みません。

ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合は、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。この間隔は、要件タイプに応じて、Agent が修復を再試行するまでの遅延を設定するか、または特定の修復プロセスに認められる合計時間を設定します。

c. [Retry Count []] を入力します 。こ の再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は、自動修復をサポートしていません。


ステップ 6 [Windows Update Setting] ドロップダウンから、次のいずれかのオプションを選択します。

[Do not change setting]

[Notify to download and install]

[Automatically download and notify to install]

[Automatically download and install]

これらの設定内容は、Windows クライアント(図 9-28 を参照)の [Automatic Updates] ダイアログ設定に対応します。

ステップ 7 Windows Update の実行中または実行後にすべてのクライアント マシンの Automatic Updates に対する管理者指定の設定を強制するには、[Permanently override user setting with administrator Windows Update Setting] チェックボックスをオンにします。チェックボックスをオンにしないと、admin 設定は Automatic Updates がクライアントでディセーブルの場合にだけ適用され、それ以外の場合は、Automatic Updates がイネーブルであればユーザ設定が適用されます。

ステップ 8 [Requirement Name] に、Agent 内でこの要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 9 [Description] フィールドには、要件の説明のほか、要件を満たさないユーザを誘導する方法(システムを更新するためにユーザが [Update] ボタンをクリックする方法を含む)を入力してください。 Windows Update では、Agent に [Update] ボタンが表示されます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 10 次のチェックボックスの少なくとも 1 つをオンにして、要件の [Operating System] を設定します。

[Windows 2000]

[Windows XP (All)]、または 1 つまたは複数の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、または 1 つまたは複数の特定の Windows Vista オペレーティング システム

[Windows 7 (All)]、または 1 つまたは複数の特定の Windows 7 オペレーティング システム


) 選択したオペレーティング システムが、「Windows Server Update Services 要件の設定」に示されているこの Windows Update 要件にマッピングしようとしている規則で設定されているオペレーティング システムと一致していることを確認します。


ステップ 11 [Add Requirement] をクリックします。

図 9-28 Windows XP の Automatic Updates

 


 

Windows 規則への Windows Update 要件のマッピング

Windows Update 要件を 1 つまたは複数の規則にマッピングするには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

図 9-29 規則への Windows Update 要件のマッピング

 

ステップ 2 [Requirement Name] ドロップダウン メニューから、設定した Windows Update 要件を選択します。

ステップ 3 Windows Update 要件と規則のマッピングを設定するには、サポートする各オペレーティング システムに対して、次の手順を繰り返します。

a. [Operating System] ドロップダウン メニューで、「Windows Update 要件の設定」のステップ 10 で要件を設定したオペレーティング システムの 1 つを選択します。

システム内で、規則は設定するオペレーティング システムに従って分類されます。[Operating System] ドロップダウン メニューにより、ページの下部にある [Rules for Selected Operating System] テーブルで選択するために表示される規則が決定されます。たとえば、[Requirement-Rule] ページで、[Windows XP (All)] 用に設定した要件に複数のホットフィックス規則をマッピングした場合、Windows XP の各バージョン(たとえば Windows XP Pro/Home、Windows XP Tablet PC、Windows XPMedia Center など)を [Operating System] ドロップダウン メニューから個別に選択する必要があります。これにより、各 OS バージョン用の pr_hotfix 規則(たとえば、それぞれ pr_XP_Hotfixes、pr_XP_TabletPC_Hotfixes、pr_XP_MCE_Hotfixes など)を [Rules for Selected Operating System] リストに表示し、選択することができるようになります。

b. [Requirement met if] の次のいずれかのオプションを選択します。

[All selected rules succeed](デフォルト):クライアントが要件に適合していると見なすための条件が、すべての規則を満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則を 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則をどれも満たさないことである場合

c. AV Virus/AS Spyware Definition 規則のオプションは無視します。

d. [Rules for Selected Operating System] リストには、選択した OS(pr_ rule または設定した規則)のシステム内に存在するすべての規則が表示されます。この要件でイネーブルにする各規則のチェックボックスをオンにします。通常、この要件に関連付けられている規則は、次のとおりです。

pr_AutoUpdateCheck_Rule(Windows XP (All)、Windows 2000)

pr_XP_Hotfixes(Windows XP Pro/Home)

pr_2K_Hotfixes(Windows 2000)

pr_Vista_ <version> _Hotfixes(Windows Vista Home Basic/Premium、Business、Ultimate、Enterprise)

すべての規則が [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。

e. [Update] をクリックしてマッピングを完了します。

ステップ 4 「ユーザ ロールへの要件の適用」および「要件の検証」に進んで、設定を完了します。


 

カスタム チェック、規則、および要件の設定

チェックは、クライアント システムを調べる場合に使用する条件ステートメントです。最も単純な場合、1 つの要件は、1 つのチェックで構成される 1 つの規則から作成可能です。条件ステートメントの結果が true の場合、システムは Agent 要件に適合し、対処が不要であると見なされます。

チェックを作成するには、まず要件の識別機能を判別します。この機能(レジストリ キーやプロセス名など)により、クライアントが要件を満たしているかどうかを示します。そのようなインジケータを見つけるためには、要件を満たしているシステムを調べることを推奨します。必要に応じて、ソフトウェア付属のマニュアルを参照して、Clean Access チェックに使用する識別機能を決定します。要件に使用するインジケータを決定したら、次の手順を使用してチェックを作成します。


) Mac OS X Agent では、カスタム チェックおよびカスタム規則をサポートしていません。AV 規則および AS 規則を割り当てることができるのは、Link Distribution、Local Check、AV Definition Update、および Mac OS X ポスチャ修復のための AS Definition Update 要件のタイプに対してだけです。


カスタム要件

カスタム要件を作成すると、ユーザが規則条件を満たすためのメカニズムに規則をマッピングすることができます。このメカニズムには、インストール ファイル、外部リソースへのリンク、単なる指示などがあります。規則チェックが満たされない場合(たとえば、必要なソフトウェアがクライアント システム上に 見つからない 場合)は、設定に応じて、ユーザに警告を表示したり、システムを修復するようにユーザに要求することができます。図 9-30 で示すように、ブール演算子「&」(and)、「|」(or)、および「!」(not)を使用して、1 つの規則内で複数のチェックを連結できます。1 つの要件に複数の規則を使用する場合は、クライアントが要件に適合していると見なすための条件を、「選択されたいずれかの規則を満たす」、「すべての規則を満たす」、「どの規則も満たさない」の中から指定することができます。

図 9-30 カスタム チェック、規則、および要件

 

カスタム規則

規則は、1 つ以上のチェックで構成される条件ステートメントです。1 つの規則内で複数のチェックを論理演算子で連結し、クライアント システムの複数の機能をテストできるブール ステートメントを形成することができます。

シスコの設定済み規則(「pr_」)

Cisco NAC アプライアンス は、CAM Web コンソールの [Updates] ページ([Device Management] > [Clean Access] > [Updates])経由で CAM にダウンロードされる設定済み規則とチェックのセットを提供します。

設定済みの規則には名前に「pr」のプレフィクスがあり(「pr_XP_Hotfixes」など)、テンプレートとして使用する場合にコピーできますが、編集したり削除できません。「pr_」規則の [Edit] ボタンをクリックして、その規則を定義する規則式を参照できます。設定済みの規則の規則式は、設定済みのチェック(たとえば、「pc_Hotfix835732」)とブール演算子で構成されます。設定済み規則の規則式は、シスコのアップデートから更新されます。たとえば、Windows XP 用に新規の緊急 Windows OS ホットフィックスがリリースされると、pr_XP_Hotfixes 規則が対応するホットフィックス チェックで更新されます。

設定済みの規則は、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。


) シスコの設定済み規則は、緊急 Windows オペレーティング システム ホットフィックスだけに対してサポートを提供することを目的としています。


カスタム チェック

チェックは、ファイル、レジストリ キー、サービス、アプリケーションなど、クライアント システムの機能を調べる条件ステートメントです。 表 9-12 に、使用可能なカスタム チェックのタイプとテストの内容を示します。

 

表 9-12 チェック

チェックのカテゴリ
チェック タイプ

レジストリ チェック

レジストリ キーの有無

レジストリ キー値、バージョン、または変更日

ファイル チェック

ファイルの有無

変更日または作成日

ファイル バージョン

サービス チェック

稼動しているサービスの有無

アプリケーション チェック

稼動しているアプリケーションの有無

シスコの設定済みチェック(「pc_」)

設定済みのチェックは、名前に「pc」のプレフィクスがあり(pc_Hotfix828035 など)、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Check List] に表示されます。

CSA をチェックするための設定済み規則の使用

シスコの設定済み規則を使用して、Cisco Security Agent(CSA)がクライアントにすでにインストールされ、実行されているかどうかをチェックする Agent 要件を作成できます。次の内容を実行します。

1. 新規の Link Distribution または File Distribution 要件を作成します(Windows 7/Vista/XP/2000 の場合)。

2. 次の規則のいずれか、または両方に要件を関連付けます(Windows 7/Vista/XP/2000 の場合)。

pr_CSA_Agent_Version_5_0

pr_CSA_Agent_Service_Running

3. 適用するユーザ ロールに要件を関連付けます。


) 設定済みまたはカスタム規則を使用してカスタム要件を作成する場合の詳細については、「設定の概要」を参照してください。


チェックおよび規則のコピー

設定済みの規則およびチェックは編集できませんが、テンプレートとして使用できます。編集不可能なチェックまたは規則を変更するには、対応する [Copy] ボタンをクリックして、まずコピーを作成します。チェックのコピーを [Check List] の下部に copy_of_ checkname の形式で追加します。規則のコピーを [Rules List] の下部に、 copy_of_ rulename の形式で追加します。対応する [Edit] ボタンをクリックして [Edit] フォームを起動し、チェックまたは規則を変更します。編集されたチェックおよび規則は、以下の説明に従って、設定したり、要件や規則に対応付けることができます。

設定の概要

カスタム要件の作成手順は、次のとおりです。


ステップ 1 「カスタム チェックの作成」

ステップ 2 「カスタム規則の作成」

ステップ 3 「規則の検証」

ステップ 4 「カスタム要件の作成」

ステップ 5 「要件と規則のマッピング」

ステップ 6 「ユーザ ロールへの要件の適用」

ステップ 7 「要件の検証」


 

カスタム チェックの作成

カスタム チェックを設定する手順は、次のとおりです。


ステップ 1 [Clean Access Agent] タブで、[Rules] サブメニューをクリックし、[New Check] ページを開きます。

図 9-31 [New Check]

 


) すべてのカスタム チェックの場合、ステップ 27 に従い、各チェック タイプの特定の設定を参照して、次にステップ 8 に進みます。


ステップ 2 [Check Category]([Registry Check]、[File Check]、[Service Check]、または [Application Check])を選択します。

ステップ 3 カテゴリに対応する [Check Type] を選択し、次の項で説明しているように特定のフォーム フィールドに入力します。パラメータ、演算子、および(チェック タイプが値比較の場合)ステートメントの値およびデータ タイプを指定し、[Add Check] をクリックして評価ステートメントを作成します。条件ステートメントが False に評価された場合は、必要なソフトウェアが存在しないと見なされています。

「レジストリ チェック」

「ファイル チェック」

「サービス チェック」

「アプリケーション チェック」

ステップ 4 [Check Name] に、わかりやすい名前を入力します。このチェックから作成された規則はチェックをこの名前で参照するため、チェックにはわかりやすい一意の名前を付けてください。名前は大文字と小文字を区別します。スペースや特殊文字を含まない 255 文字未満の文字列を指定する必要があります。

ステップ 5 オプションの [Check Description] に入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 6 次のチェックボックスの少なくとも 1 つをオンにして、要件の [Operating System] を設定します。

[Windows All]

[Windows 2000]

[Windows XP (All)]、または 1 つまたは複数の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、または 1 つまたは複数の特定の Windows Vista オペレーティング システム

[Windows 7 (All)]、または 1 つまたは複数の特定の Windows 7 オペレーティング システム

ステップ 7 必要に応じて、[Automatically create rule based on this check] を選択します。この場合、追加されたチェックがこの規則に自動的に読み込まれ、「 checkname-rule 」と名前が付けられます。

ステップ 8 終了したら [Add Check] をクリックします。

レジストリ チェック

[Registry Key]:特定のキーがレジストリにあることかどうかをチェックします。

[Registry Value (Default)]:名前のない(デフォルト)レジストリ キーが存在するか、または特定の値、バージョン、または変更日が設定されているかを調べます。

[Registry Value]:名前付きのレジストリ キーが存在するか、または特定の値、バージョン、または変更日が設定されているかを調べます。

図 9-32 レジストリ チェック タイプ

 

a. [Registry Key] フィールドで、クライアント レジストリのエリアを選択します。

[HKLM] HKEY_LOCAL_MACHINE

[HKCC] HKEY_CURRENT_CONFIG

[HKCU] HKEY_CURRENT_USER

[HKU] HKEY_USERS

[HKCR] HKEY_CLASSES_ROOT

検索するパスを入力します。

たとえば、HKLM ¥SOFTWARE¥Symantec¥Norton AntiVirus¥version と入力します。

b. 特定の [Registry Value] を検索する場合は、[Value Name] を入力します。

c. 複数の [Registry Value] を検索する場合は、[Value Data Type] を入力します。

1. ["Number" Value Data Type]( 注: REG_DWORD は Number と同等)の場合は、[Operators] ドロップダウンから [equals](等しい)、[greater than](より大きい)、[less than](未満)、[does not equal](等しくない)、[greater than or equal to](以上)、[less than or equal to](以下)の 1 つを選択します。

2. ["String" Value Data Type] の場合は、[Operators] ドロップダウンから [equals](等しい)、[equals (ignore case)](等しい、大文字と小文字を区別しない)、[does not equal](等しくない)、[starts with](で始まる)、[does not start with](で始まらない)、[ends with](で終わる)、[does not end with](で終わらない)、[contains](を含む)、[does not contain](を含まない)の 1 つを選択します。

3. ["Version" Value Data Type] の場合は、[Operators] ドロップダウンから [earlier than](よりも前)、[later than](よりも後)、[same as](に等しい)の 1 つを選択します。

4. ["Date" Value Data Type] の場合は、[Operators] ドロップダウンから [earlier than](よりも前)、[later than](よりも後)、[same as](に等しい)の 1 つを選択します。

d. ["Date" Value Data Type] を指定する場合は、2 つの値のいずれかを選択して、チェックを行います。これにより、現在の日付よりも x 日多いまたは少ない単位として [older than] または [newer than] を指定することができます。

mm/dd/yyyy hh:MM:ss 形式でクライアント マシンの日付/時刻を入力します。

ドロップダウンから [CAM date]、[+]、または [-] を選択して、日数を入力します。

e. [Registry Value] を検索する場合は、[Value Data] を入力します。


) ["String" Value Data Type] では、ストリングの最大の長さは、256 文字です。


ファイル チェック

[File Existence]:システムにファイルが存在するかどうかを調べます。

[File Date]:特定の変更日または作成日を持つファイルがシステムに存在するかどうかを調べます。

[File Version]:特定のバージョンのファイルがシステムに存在するかどうかを調べます。

図 9-33 ファイル チェック タイプ

 

a. [File Path] で、次のように選択します。

[SYSTEM_DRIVE]:C:¥ ドライブを検索します。

[SYSTEM_ROOT]:Windows システムのルート パスを検索します。

[SYSTEM_32]:C:¥WINDOWS¥SYSTEM32 を検索します。

[SYSTEM_PROGRAMS]:C:¥Program Files を検索します。

b. [Operator] で、次のように選択します。

[exists] または [does not exist]:File Existence チェック

[earlier than]、[later than]、[same as]:File Date または File Version チェック

c. [File Date] チェック タイプでは、[File Date] をチェックするための値も 2 つのいずれかから選択します。これにより、現在の日付よりも x 日多いまたは少ない単位として [older than] または [newer than] を指定することができます。

mm/dd/yyyy hh:MM:ss 形式でクライアント マシンの日付/時刻を入力します。

ドロップダウンから [CAM date]、[+]、または [-] を選択して、日数を入力します。

d. [File Date] チェック タイプでは、[File Date Type] を選択します。

[Creation date]

[Modification date]

サービス チェック

[Service Status]:システムで現在稼動しているサービスがあるかどうか

図 9-34 サービス チェック タイプ

 

a. [Service Name] を入力します。ここで [Service Name] とは、ユーザが Microsoft Management Console で「Service Name:」プレフィクスのあるサービスをダブルクリックしたときに表示される名前のことです。たとえば、「Windows Firewall/Internet Connection Sharing(ICS)」は、サービスをチェックするために [Service Name] フィールドで「SharedAccess」として設定される必要があります。

b. [Operator] を選択します。

[running]

[not running]

アプリケーション チェック

[Application Status]:システムで現在稼動しているアプリケーションがあるかどうか

図 9-35 アプリケーション チェック タイプ

 

a. [Application Name] を入力します。

b. [Operator]([running] または [not running])を選択します


 

カスタム規則の作成

規則とは、複数のチェックおよび演算子で構成された式です。特定のオペレーティング システムのポスチャを評価するための単位として、Agent で使用されます。規則式の結果によって、Agent 要件との適合性が評価されます。1 つの規則を 1 つのチェックで構成することも、複数のチェックをブール演算子で連結することもできます。 表 9-13 に演算子およびその評価順を示します。

 

表 9-13 規則の演算子

プライオリティ
演算子
説明

1

()

評価プライオリティ用のカッコ

2

!

not

3

&

and

3

|

or

プライオリティが等しい演算子は、左から右に評価されます。たとえば、規則は次のように定義できます。

adawareLogRecent & (NorAVProcessIsActive | SymAVProcessIsActive)
 

規則を満たすためには、 adawareLogRecent チェック、および NorAVProcessIsActive チェックと SymAVProcessIsActive チェックのいずれかを満たす必要があります。カッコがない場合は、次の式と同じになります。

(adawareLogRecent & NorAVProcessIsActive) | SymAVProcessIsActive
 

この場合、規則を満たすためには、 SymAVProcessIsActive 、または最初の 2 つのチェックの両方が True である必要があります。

カスタム規則を作成する手順は、次のとおりです。


ステップ 1 [Clean Access Agent] タブで、[Rules] サブメニュー リンクをクリックしてから、[New Rule] をクリックします。

図 9-36 [New Rule]

 

ステップ 2 [Rule Name] に一意の規則名を入力します。

ステップ 3 [Rule Description] に入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 4 規則を適用する [Operating System] を選択します。アップデートをダウンロードした場合、この OS に対応する設定済みチェックが、下部の [Checks for Selected Operating System] リストに表示されます。

ステップ 5 チェックおよび演算子を連結して、[Rule Expression] を作成します。リストを使用してチェックの名前を選択し、[Rule Expression] テキスト フィールドにコピー アンド ペーストします。チェックが複数ある場合は、()(評価プライオリティ)、!(not)、&(and)、 | (or)の演算子を使用します。

次の例を参考にしてください。

adawareLogRecent & (NorAVProcessIsActive | SymAVProcessIsActive)
 

1 つのチェックをテストする単純な規則の場合は、チェック名を入力します。

SymAVProcessIsActive
 

ステップ 6 [Add Rule] をクリックします。

コンソールによって規則が検証され、形式が正しい場合は、[Rule List] に表示されます。このリストから、規則を削除、変更、またはコピーする(規則をコピーして新しい規則を作成する)ことができます。


 

規則の検証

CAM は作成された規則および要件を自動的に検証します。規則が無効な場合(特に、ターゲット OS に関連する規則が無効な場合)は、チェックと規則の間に互換性がありません。これらのエラーは、特定の OS に対応するチェックおよび規則を複数作成した後で、特定のチェックに対応する OS プロパティを変更した場合に発生することがあります。この場合は、このチェックを使用する規則、および以前に設定した OS に引き続き適用可能な規則は、無効になります。規則を検証すると、このようなエラーや、その他のエラーが検出されます。

[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] の [Validity] カラムでは、規則が有効な場合はブルーのチェックマーク、規則が無効な場合はレッドの「X」が表示されます。マウスでこのアイコンを強調表示して、このフォームでどのチェックが規則を無効にしているかを確認してください。

Invalid rule [rulename], Invalid check [checkname] in rule expression.

図 9-37 [Rule List]

 

無効な規則を修正する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に移動します。

ステップ 2 無効な規則に対応する [Edit] ボタンをクリックします。

ステップ 3 無効な [Rule Expression] を訂正します。チェックが削除されたために規則が無効になった場合は、有効なチェックに規則を対応付けます。

ステップ 4 正しい [Operating System] が 選択されていることを確認します。

ステップ 5 [Requirement met if:] 式が正しく設定されていることを確認します。

ステップ 6 [Save Rule] をクリックします。

ステップ 7 この規則に基づくすべての要件が、「要件の検証」の説明に従って訂正されているかを確認します。


 

カスタム要件の作成

カスタム要件は、オペレーティング システムに指定された一連の規則を、Agent ダイアログを介してユーザにプッシュされるファイル、配信リンク、または説明に対応付けるメカニズムです。カスタム要件では、インストール ファイル、またはソフトウェアをダウンロードできるリンクを指定できます。ローカル チェックが特定のインストール ファイルに対応付けられていない場合、要件は規則を情報メッセージ(たとえば、ソフトウェアを削除したり、ウイルス チェックを実行するようにユーザに指示するメッセージ)に対応付けることができます。新しい要件は、設定プロセス中にいつでも作成できます。ただし、要件を有効にするには、OS の規則およびユーザ ロールの両方に要件を対応付けておく必要があります。

File Distribution/Link Distribution/Local Check 要件の作成

カスタム要件を設定する手順は、次のとおりです。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニュー リンクをクリックしてから、[New Requirement] を選択します。

図 9-38 [New Requirement](File Distribution)

 

ステップ 2 [Requirement Type] を選択します。

[File Distribution]:Agent によるユーザ ダウンロードでインストール パッケージを使用できるようにして、必要なソフトウェアを直接配布します。この場合、ユーザがダウンロードするファイルは、[File to Upload] フィールドを使用して CAM に格納されます(File Distribution を介して使用可能にすることのできる最大ファイル サイズは 500 MB です)。Agent でファイルをダウンロードする場合、HTTP アクセスを CAM にだけ許可するトラフィック ポリシーを Temporary ロール用に作成する必要があります。「デフォルト ロール用のトラフィック ポリシーの追加」を参照してください。

また、File Distribution 要件タイプを使用して、ユーザにダウンロードさせるファイルとは別の特定のファイルをクライアント マシンで検索することもできます。これにより、正しいファイルを入手していないユーザには File Distribution 要件を通じてファイルを強制的に取得させる一方で、すでにファイルをインストールしているユーザはポスチャ評価プロセスのこのステップを省略することができます。

図 9-39 Cisco NAC Agent の File Distribution ダイアログの例

 

[Link Distribution]:ソフトウェアが入手可能な別の Web ページ(ソフトウェア ダウンロード ページなど)にユーザを転送します。リンクへの HTTP(と HTTPS の少なくともどちらか)アクセスを許可するように Temporary ロールが設定されていることを確認します。

図 9-40 Mac OS X Agent 評価レポートの Link Distribution 要件の表示例

 

[Local Check]:インストール可能なソフトウェアに対応付けられていないチェックを作成して、Windows Update Service(Automatic Updates)がイネーブルであるかどうかの確認や、システムに存在してはならないソフトウェアの検索などを実行する場合に使用します(「Message」アイコンを使用して [Mac OS X Agent Assessment Report] ウィンドウに Local Check 要件が表示されます)。

図 9-41 Mac OS X Agent 評価レポートの Local Check 要件の表示例

 

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスできません。

[Optional] 要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit] サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレントに」チェックされ、レポートが自動的に生成されて CAS に返されます(監査要件はユーザの [Assessment Report] ウィンドウに表示されません)。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 要件の [Priority] を指定します。値が最小(「1」など)の要件のプライオリティが最大になり、最初に実行されます。要件に失敗した場合は、この要件に設定された対処法の説明がユーザにプッシュされ、その他の要件はテストされません。したがって、失敗する可能性が最も高い要件のプライオリティを最大にすることによって、処理時間を最短にすることができます。

ステップ 5 Link Distribution 要件タイプに対してだけ、Agent を使用した自動修復をイネーブルにし、設定することが可能です。詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は、自動修復をサポートしていません。


ステップ 6 [Version] フィールドでは、さまざまなバージョンの要件を追跡できます。これは特に、必要なソフトウェアに対するアップデートが複数存在する場合に便利です。番号(1、2、3)、小数(1.0)、または文字など、必要な任意のバージョン設定方式を使用できます。

ステップ 7 [Requirement Type] として [File Distribution] を選択した場合は、[File to Upload] フィールドの横にある [Browse] をクリックして、必要なソフトウェアのインストール ファイル(.exe)が格納されたフォルダに移動します。

ステップ 8 [Requirement Type] として [Link Distribution] を選択した場合は、[File Link URL] フィールドに、インストール ファイルまたはパッチ ファイルを取得できる Web ページの URL を入力します。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、AV Definition Update または AS Definition Update 要件タイプを選択する際に [New Requirement] 設定ページに表示される [Remediation] 機能([Remediation] の [Type]、[Interval]、および [Retry Count])は、Macintosh クライアント修復の要件の作成時に機能しません。


ステップ 9 [Requirement Name] に、システム要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 10 [Description] フィールドに、要件の説明、およびユーザに役立つ手順を入力します。次の点に注意してください。

File Distribution では、Agent に [Download] ボタンが表示されます。

Link Distribution では Agent に [Go To Link] ボタンが表示されます。

Local Check では、Agent に [Re-Scan] ボタンが表示されます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 11 要件を適用する [Operating System] を選択します(少なくとも 1 つ選択する必要があります)。

ステップ 12 [Add Requirement] をクリックして、ダウンロード要件の設定を保存します。

ステップ 13 [Requirement List] に要件が表示されます。

図 9-42 に、Mac OS X Agent の要件設定フィールドの表示例を示します。

図 9-42 Mac OS X Agent の要件(ユーザ表示例)

 

図 9-43 に、Cisco NAC Agent の要件設定フィールドの表示例を示します。

図 9-43 オプションの Link Distribution 要件の例:Windows XP 上の Cisco NAC Agent

 


 

Launch Programs 要件の設定


) この機能を使用するためには、Cisco NAC Agent が必要です。この機能は、Windows 7、Windows Vista、Windows 2000、および Windows XP マシンにだけ適用されます。Mac OS X Agent および Cisco NAC Web Agent は、この要件タイプをサポートしていません。


Launch Programs 要件タイプにより、管理者は Agent を通じて認定された(署名された)復旧プログラムを起動できます。管理者はチェックと規則の条件を作成できます。失敗した場合、管理者はマシンを修正するための復旧プログラムを起動するように設定できます。複数のプログラムが許可されており、管理者が指定した順序で起動します。

Agent は、ユーザがデバイスの admin ユーザ権限を持っているかどうかに応じて、2 つの方法でプログラムを起動します。

admin 権限によるプログラムの起動

ユーザがクライアント マシンの admin 権限を持っている場合、実行可能なすべてのプログラムを使用できます。プログラムは直接起動し、アプリケーションのデジタル署名や検証は不要です。

admin 権限なしのプログラムの起動

実行ファイルには、次の内容が含まれている必要があります。

特定のフィールド値を使用した証明書によって署名された有効なデジタル署名

特定の項目値を使用したファイルのバージョン情報

次の点にも注意してください。

実行ファイルは、適切な証明書チェーンのあるコード署名証明書で署名されている必要があります。コード署名証明書がクライアント マシンにインストールされている必要があります。

ルート証明書もクライアント マシンにインストールされている必要があり、Windows の信頼できるルート認証局にある必要があります。

Launch Programs 要件の作成

Launch Programs 要件を設定する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-44 新規の Launch Program 要件

 

ステップ 2 [Requirement Type] で、[Launch Programs] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスできません。

[Optional] 要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit] サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレントに」チェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行するときの [Priority] を選択します。ハイ プライオリティ(たとえば 1)は、他のすべての要件よりもこの要件が優先してシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。[Mandatory] 要件が失敗する場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合は、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。この間隔は、要件タイプに応じて、Agent が修復を再試行するまでの遅延を設定するか、または特定の修復プロセスに認められる合計時間を設定します。

c. [Retry Count []] を入力します 。こ の再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は、自動修復をサポートしていません。


ステップ 6 次のように起動するようにプログラムを設定します。

a. [Program Name] で、プログラムを起動するルート ロケーション([SYSTEM_DRIVE]、[SYSTEM_ROOT]、[SYSTEM_32]、[SYSTEM_PROGRAMS]、または [None])をドロップダウンから選択し、隣接しているテキスト フィールドにプログラム実行ファイルの名前を入力します。

b. さらに具体的なパスまたはプログラムのパラメータが必要な場合は、[Program Parameters] テキスト フィールドに入力します。

c. [Add Program] をクリックします。これにより、[Program Name] と [Program Parameters] が、要件に対して起動されるプログラムのサブリストに追加されます。

d. さらに追加するプログラムを設定するか、[Delete] チェックボックスをオンにしてリストからプログラムを削除します。

ステップ 7 追加するプログラムまたはプログラム リストの設定が終了したら、[Requirement Name] を入力します。

ステップ 8 ユーザに表示する [Description] を入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 9 この要件が適用される Windows の [Operating System] のチェックボックスをオンにします。

ステップ 10 [Add Requirement] をクリックします。


 

要件と規則のマッピング

要件を作成し、対処法へのリンクおよび手順を指定したら、特定の規則または一連の規則に要件をマップします。要件と規則のマッピングは、クライアント システムが要件を満たすかどうかを調べる規則セットと、クライアント システムを適合させるために必要なユーザ対処法(Agent ボタン、手順、リンク)とをマップします。


) Mac OS X Agent では、カスタム チェックおよびカスタム規則をサポートしていません。AV 規則および AS 規則を割り当てることができるのは、Link Distribution、Local Check、AV Definition Update、および Mac OS X ポスチャ修復のための AS Definition Update 要件のタイプに対してだけです。


要件と規則をマッピングする手順は、次のとおりです。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニューをクリックしてから、[Requirement-Rules] フォームを開きます。

図 9-45 要件と規則のマッピング

 

ステップ 2 [Requirement Name] メニューで、マップする要件を選択します。

ステップ 3 [Operating System] メニューで、要件に対応した OS を確認します。[Rules for Selected Operating System] リストに、選択された OS で使用可能なすべての規則が読み込まれます。

ステップ 4 [Requirements met if] で、次のいずれかのオプションを選択します。

[All selected rules succeed]:クライアントが要件に適合していると見なすための条件が、すべての規則を満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則を 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択した規則をどれも満たさないことである場合

クライアントが要件に適合しない場合は、要件に対応付けられたソフトウェアをインストールするか、または指示された手順を実行する必要があります。

ステップ 5 AV Virus Definition 規則(背景がイエロー)および AS Spyware Definition 規則(背景がブルー)の場合は、クライアントの定義ファイルの日付が、CAM が [Updates] から入手可能なものよりも数日間古い日付になるように、CAM を設定することができます(最新の製品ファイル日付については、[Rules] > [AV-AS Support Info] を参照してください)。このように設定すると、新しいウイルス/スパイウェア定義ファイルが製品ベンダーからリリースされない場合も、クライアントが要件を満たすことができるように、要件の柔軟性を高めることができます。

次のいずれかのチェックボックスをクリックします。

[For AV Virus Definition rules, allow definition file to be x days older than:]

[For AS Spyware Definition rules, allow definition file to be x days older than:]

テキスト ボックスに数値を入力します。デフォルトは「 0 」です。この場合、定義日をファイル/システム日付よりも古い日付に設定できません。

次のいずれかを選択します。

[Latest file date]:クライアント定義ファイルを、CAM の最新のウイルス/スパイウェア定義日よりも指定日数だけ古い日付にすることができます。

[Current system date]:クライアント定義ファイルを、最後に [Update] が実行された時点の CAM のシステム日よりも指定日数だけ古い日付にすることができます。


) AS Spyware Definition 規則の場合、シスコ アップデート サービスを使用してスパイウェア定義ファイルの日付/バージョンを定期的に更新するまで、この機能は適用されます(定義ファイルを現在のシステム日付よりも X 日古くすることができます)。

特定の要件にこの機能を設定した場合、Agent は AV/AS 製品の定義日を検索してから、日付がこの要件を満たすかどうかを検証します。Agent が定義日を検出できない場合(この製品で定義日の検出がサポートされていない場合など)、この機能は無視され、Agent はクライアントに最新の定義バージョンがあるかどうかを調べます。


ステップ 6 ページを下にスクロールして、要件に対応付ける各規則の横にある [Select] チェックボックスをオンにします。規則はプライオリティ順に適用されます(表 9-13を参照)。

図 9-46 要件にマップする規則の選択

 

ステップ 7 [Update] をクリックします。


 

ユーザ ロールへの要件の適用

要件を作成し、対処法を設定し、規則を対応付けたら、要件をユーザ ロールに対応付ける必要があります。この最終手順では、システム内のユーザ グループに要件を適用します。


) 標準ログイン ユーザ ロールが作成されていることを確認してください(「ユーザ ロールの作成」を参照)。


要件とユーザ ロールをマッピングする手順は、次のとおりです。


ステップ 1 [Clean Access Agent] タブで、[Role-Requirements] サブメニュー リンクをクリックします。

図 9-47 ロールと要件のマッピング

 

 

ステップ 2 [Role Type] メニューで、設定するロールのタイプを選択します。通常は、[Normal Login Role] を選択します。

ステップ 3 [User Role] メニューで、ロールの名前を選択します。

ステップ 4 ロール内でユーザに適用する各要件に対応した [Select] チェックボックスをクリックします。

ステップ 5 [Update] をクリックします。

ステップ 6 終了する前に、ロール内のユーザが Agent を使用する必要があるかどうかを確認してください。「クライアント マシンへの Agent ログインの要求」を参照してください。


 

要件の検証

CAM は、作成された要件および規則を自動的に検証します。[Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement List] の [Validity] カラムは、規則が有効の場合はブルーのチェックマーク、規則が無効の場合はレッドの「X」を表示します。

マウスでレッドの「X」アイコン(ある場合)を強調表示して、このフォームのどの規則とチェックによって要件が無効になっているかを確認してください。

Invalid rule [rulename] in package [requirementname] (Rule verification error: Invalid check [checkname] in rule expression)
 

要件を訂正、検証してから、使用する必要があります。一般的に、オペレーティング システムが一致しない場合に要件/規則が無効になります。

無効な要件の訂正手順:


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

ステップ 2 無効な規則またはチェックを訂正します(「規則の検証」を参照)。

ステップ 3 ドロップダウン メニューで、無効な [Requirement Name] を選択します。

ステップ 4 [Operating System] を選択します。

ステップ 5 [Requirement met if:] 式が正しく設定されていることを確認します。

ステップ 6 要件に対して選択された規則が有効であること([Validity] カラム内にブルーのチェックマークが付いていること)を確認します。

図 9-48 要件リスト

 


 

Optional および Audit 要件の設定

[New Requirement] または [Edit Requirement] フォームの [Enforce Type] ドロップダウン メニューだけを使用して、Mandatory、Optional、または Audit 要件を作成できます。オプション要件を使用すると、この要件を満たさない場合に、ネットワークからクライアントをブロックしなくても、Agent ユーザの管理レポートを表示することができます。オプション要件を満たさないユーザは Temporary ロールに配置され、Agent ダイアログの要件名の前に「Optional」が付加されます。ただし、この場合も、[Next] または [Skip] をクリックして、次の要件に進むか、その他の要件が設定されていない場合はネットワーク作業を継続できます。

ユーザが要件を満たす期間を延長し、その期間はネットワークからユーザがブロックされないようにする場合は、特定の日付で要件を満たすように指示する命令をオプション要件に設定します。後から、指定された日に要件を適用して、要件を必須にすることができます。

ユーザに通知することなくクライアント システムの要件を「サイレントに」チェックし、レポートを生成して CAS に送り返す場合は、ユーザのネットワーク アクセスに影響せずに、結果(成功または失敗)だけを報告する監査だけの要件を設定できます。

Optional および Audit 要件を作成するには


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-49 Optional および Audit 要件

 

ステップ 2 ドロップダウン メニューで [Requirement Type] を選択します。

ステップ 3 [Enforce Type] ドロップダウン メニューから [Optional](強制なし)または [Audit](サイレント評価)を選択します。

[Optional] 要件では、ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。[Audit] 要件では、システムは監査レポートを生成しますが、クライアント マシンにユーザ ダイアログが表示されず、ユーザのネットワーク アクセスは影響されません。

ステップ 4 クライアントでこの要件を実行するときの [Priority] を選択します。ハイ プライオリティ(たとえば 1)は、他のすべての要件よりもこの要件が優先してシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。[Mandatory] 要件が失敗する場合、その要件が成功するまで Agent は次に進みません。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、[New Requirement] 設定ページに表示される [Remediation] 機能([Remediation] の [Type]、[Interval]、および [Retry Count])は機能しません。


ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合は、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。この間隔は、要件タイプに応じて、Agent が修復を再試行するまでの遅延を設定するか、または特定の修復プロセスに認められる合計時間を設定します。

c. [Retry Count []] を入力します 。こ の再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は、自動修復をサポートしていません。


ステップ 6 要件タイプに対応する各フィールドを設定します。

ステップ 7 [Requirement Name] にオプション要件の名前を入力します。

ステップ 8 [Description] フィールドに説明を入力し、この要件がオプション要件であること、および Agent ダイアログの [Next] または [Skip] ボタンをクリックしてネットワーク作業を継続できることをユーザに通知します。次の点に注意してください。

File Distribution では、Agent に [Download] ボタンが表示されます。

Link Distribution では Agent に [Go To Link] ボタンが表示されます。

Local Check では、Agent に [Re-Scan] ボタンが表示されます。

AV Definition Update では、Agent に [Update] ボタンが表示されます。

AS Definition Update では、Agent に [Update] ボタンが表示されます。

Windows Update では Agent に [Update] ボタンが表示されます。

Launch Programs では Agent に [Launch] ボタンが表示されます。

Windows Server Update Service では、Agent に [Update] ボタンが表示されます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なる規則や要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 9 [Operating System] で、該当するチェックボックスをクリックします。

ステップ 10 [Add Requirement] をクリックします。

必須要件と同じ方法で、オプション要件を規則およびロールに対応付ける必要があります。詳細については、「要件と規則のマッピング」および「ユーザ ロールへの要件の適用」を参照してください。

図 9-50 Optional 要件の Cisco NAC Agent ダイアログの例

 

図 9-51 Optional 要件の Mac OS X Agent ダイアログの例

 


 

要件の自動修復の設定

File Distribution と Local Check を除くすべての要件タイプの自動修復を設定できます。


) この設定例は、Cisco Clean Access Agent に固有のものです。Mac OS X Agent および Cisco NAC Web Agent は、自動修復をサポートしません。


自動修復を設定するには


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動し、[Requirement Type] を選択します。以下に対して自動修復を設定できます。

Link Distribution

AV Definition Update

AS Definition Update

Windows Update

Launch Programs

Windows Server Update Services

ステップ 2 ドロップダウン メニューから [Enforce Type [Mandatory | Optional | Audit]] を選択します。

ステップ 3 ドロップダウン メニューから [Remediation Type [Manual | Automatic]] を選択します。

[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、[Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。

[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。たとえば次のように、Agent が要件タイプに応じて自動的に異なるアクションを実行します。

Link Distribution では、デフォルト ブラウザで URL が自動的に起動します。

AV/AS Definition Update では、クライアントの AV/AS 定義ファイルを自動的に更新します。

Windows Update では、(バックグラウンドで)Windows Auto Update を自動的に起動します。

Launch Programs では、プログラムが自動的に起動します。

Windows Server Update Services では、WSUS クライアント アップデートが自動的にインストールされます。

[Automatic] オプションをオンにした場合、同じ要件を再試行するまで Agent が待機する時間([Interval])、およびクライアントで最初に要件の実行に失敗した場合に Agent が再試行する回数([Retry Count])をオプションで設定することができます。これらのオプションの効果は、要件タイプによって多少異なります。


) [Auto Remediation] 中、Agent ダイアログには [Details] および [Manual] ボタンだけが表示されます。[Details] ボタンをクリックすると、自動修復の追加進捗メッセージが表示されます。自動修復が失敗した場合、ユーザは [Manual] ボタンをクリックして Agent を Manual モードに戻して、ユーザが各要件をクリックする必要がある状態に戻すことができます。


ステップ 4 [Interval [] Secs] 設定に値を入力します。

[Interval [] Secs]:デフォルトは 0 です。この間隔は、要件タイプに応じて、Agent が修復を再試行するまでの遅延を設定するか、または特定の修復プロセスに認められる合計時間を設定します。間隔が 0 に設定された場合、Temporary ロールがタイムアウトするまで Agent は自動修復を試行し続けます。

[AV Definition Update/AS Definition Update/Windows Server Update Services]:初期修復試行に失敗した場合、次の更新試行を再開するまでの Agent の待機時間がこの間隔によって定義されます。たとえば、AV Definition Update に対して 30 秒の間隔が設定された場合、要件を満たしていないと、クライアントの AV 定義ファイルを更新する初期試行の終わりから、Agent は 30 秒待機した後に次の更新試行を開始します。

[Link Distribution/Windows Update/Launch Programs]:この要件タイプの場合、Agent が修復試行を完了することのできる合計秒数がこの間隔によって定義されます。たとえば、Launch Programs 要件に対して間隔が 60 秒に設定されている場合、Agent がプログラムを起動してプログラムを 60 秒間実行することができます。60 秒経過した後にクライアントが要件に合致しない場合、Agent は即座にプログラムを再起動します。

ステップ 5 [Retry Count []] に値を入力します。

[Retry Count []]:デフォルトは 0 です。間隔が 0 の場合、Temporary ロールがタイムアウトするまで Agent は自動修復を試行し続けます。それ以外の場合、再試行カウントを指定すると、最初に違反したときに Agent が自動的に要件を再試行する回数の制限が設定されます。Temporary ロールがタイムアウトになる前に [Retry Count] に達した場合、自動修復ダイアログには、ユーザに [Manual] ボタンをクリックすることを求める赤いステータス テキストが表示されます。

AV Definition Update / AS Definition Update / Windows Server Update Services

Link Distribution / Windows Update / Launch Programs

[Retry Count] の後でも [Mandatory] 要件を満たさない場合、Agent は停止し、ユーザ ロールの次の優先要件を実行しません。ユーザはネットワークにアクセスできなくなります。

[Optional] 要件の場合、初期試行が終了した後に、指定された [Retry Count] や初期試行が成功したか失敗したかに関係なく、Agent は常に次の要件に進みます。ただし、間隔が指定されている場合、Agent はその指定された時間待機した後に、次の要件に進みます。

図 9-52 Clean Access Agent 自動修復の例:進行中の Windows Update

 

自動修復が失敗した場合、ユーザには図 9-53 で示しているような失敗メッセージが表示され、[Details] ボタンをクリックして修復結果(図 9-54)を確認するか、[Continue] ボタンをクリックして CAA 認証プロセスに戻ることができます。次に、ユーザはログイン セッションを取り消すか、「制限付き」ネットワーク アクセス(図 9-55)を受け入れます。

図 9-53 Clean Access Agent 自動修復の例:失敗した Windows Update

 

図 9-54 Clean Access Agent 自動修復の例:自動修復の詳細

 

図 9-55 Clean Access Agent 自動修復の例:WSUS 要件認証ダイアログへの復帰

 


 

CAM における設定後処理および Agent 管理

Agent のログインとクライアント ポスチャ評価を設定し、ユーザが Cisco NAC アプライアンス ネットワークにアクセスできるようになったら、以下のトピックに従ってネットワーク内のクライアント マシン上で Agent の各バージョンを管理できます。

「CAM への Agent の手動アップロード」

「Agent のダウングレード」

「Agent 自動アップグレードの設定」


) 以前(リリース 4.6(1) よりも前)の Windows CAA を CAM にアップロードする場合は、アップロードとダウンロードの手順について『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』を参照してください。


CAM への Agent の手動アップロード

CAM/CAS のソフトウェア アップグレードまたは新規インストールを実行する場合、Agent インストール ファイルは CAM ソフトウェアに自動的に組み込まれるため、アップロードする必要がありません。場合によっては、Windows Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)または Mac OS X Agent インストール ファイル(CCAAgentMacOSX-4.6.x.y-k9.tar.gz)を CAM に手動で直接アップロードできます(たとえば、Agent を再インストールしたり、新しいユーザに配布する Agent のバージョンをダウングレードする必要がある場合は、詳細について 「Agent のダウングレード」を参照してください)。

Windows CAA の下位互換性をサポートするために、Windows CAA セットアップ ファイル(CCAAgentSetup-4.x.y.z.tar.gz)を CAM に手動で直接アップロードすることもできます。この機能を使用すると、管理者は配布する Windows Agent セットアップ ファイルを以前のバージョンに戻すことができます。Agent セットアップ ファイルを手動でアップロードするには、CAM の [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] Web コンソール ページを使用します。


) ファイルが手動でアップロードされると、CAM は自動的に、接続されている CAS に Agent インストール/セットアップ ファイルをパブリッシュします。インストールおよびパブリッシュ中にバージョン チェックは行われないため、Agent セットアップをダウングレードしたり、置き換えることができます。CAM および CAS と Agent の間のバージョン互換性については、『Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later』を参照してください。



注意 Agent ファイルは tar.gz ファイルのまま(展開しないで)CAM にアップロードする必要があります。アップロード前に、.exe ファイルを抽出しないでください。


ステップ 1 Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインします。通常は、CCO 証明書を要求されます。

ステップ 2 [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] > [Cisco NAC Appliance 4.7] に移動します。

ステップ 3 適切なリリース、たとえば「4.7.0.」のディレクトリ リンクをクリックします。

ステップ 4 Cisco NAC Agent インストーラ ファイル(nacagentsetup-win.tar.gz)をローカル マシンにダウンロードします。


) CAM は、Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)と Windows Clean Access Agent セットアップ ファイル(CCAAgentSetup-4.x.y.z.tar.gz)を同時に扱うことはできません。以前の Windows Clean Access Agent セットアップ ファイルをアップロードすると、既存の Cisco NAC Agent インストールおよび XML Agent コンフィギュレーション ファイルは消去されます。逆の場合も同様です。


ステップ 5 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] に移動します(「Agent の配布」を参照)。

ステップ 6 [Upload Agent File] フィールドで、[Browse] をクリックし、適切な Agent が置かれている場所に移動します。

ステップ 7 .tar.gz ファイルを選択し、[Open] をクリックします。テキスト フィールドにファイルの名前が表示されます。

ステップ 8 [Version] フィールドに、アップロードする Agent のバージョンを入力します(4.7.1.511 など)。


注意 Agent ファイルは tar.gz ファイルのまま(展開しないで)CAM にアップロードする必要があります。アップロード前に、.exe ファイルを抽出しないでください。

ステップ 9 [Upload] をクリックします。


 

Agent のダウングレード

CAM の Agent のバージョンを手動でダウングレードする手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] で、[Current NAC Agent is a mandatory upgrade] チェックボックスをオフにして、[Update] をクリックします。

ステップ 2 [Device Management] > [Clean Access] > [Updates] で、[Check for Windows NAC Agent updates] チェックボックスをオフにして、[Update] をクリックします。

ステップ 3 「CAM への Agent の手動アップロード」の手順を実行します。


) クライアント マシン上の Cisco NAC Agent を自動的に「ダウングレード」できません。Cisco NAC Agent で Agent のダウングレードをサポートするには、最初に既存の Agent をアンインストールしてから、再度 Cisco NAC アプライアンスにログインして、使用可能なバージョンの Agent をインストールします。


ステップ 4 [Device Management] > [CCA Servers] > [List of Servers] の [Connected] ステータスに、すべての CAS が表示されていることを確認します。

ステップ 5 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] で、まず Setup.tar.gz ファイルを参照して CAM にアップロードします。[Upload] をクリックする前に、必ず [Version] フィールドに Agent の正しいバージョン(たとえば、「4.1.10.0」)を入力します。ファイルは自動的に CAS にパブリッシュされます。


) CAM は、Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)と Windows Clean Access Agent セットアップ ファイル(CCAAgentSetup-4.x.y.z.tar.gz)を同時に扱うことはできません。以前の Windows Clean Access Agent セットアップ ファイルをアップロードすると、既存の Cisco NAC Agent インストールおよび XML Agent コンフィギュレーション ファイルは消去されます。逆の場合も同様です。


ステップ 6 エンド ユーザに手順を提供する Local Check 要件を作成して、Agent(たとえば、4.1.x.y)をアンインストールし、weblogin を再度実行して、ダウングレードされた Agent(たとえば、4.1.2.1)をダウンロードします。


) Mac OS X Agent は、ダウングレードをサポートしていません。たとえば、古い Mac OS X Agent(古いバージョン番号)をアップロードして、[Current NAC Agent is a mandatory upgrade] オプションをオンにした場合、クライアント マシンは自動アップグレードを求めません。



 

CAM における Agent 自動アップグレードのイネーブル化

Agent 自動アップグレードをイネーブルにするには、以下の条件が必須です。

Cisco NAC アプライアンス リリース 4.1(0) 以降を CAM および CAS で実行しており、Agent をクライアント マシンにインストール済みであること(「Agent の自動アップグレードのユーザ エクスペリエンス」 を参照)。

ロールおよびクライアント オペレーティング システムに Agent の使用を要求すること(「クライアント マシンへの Agent ログインの要求」 を参照)。

最新バージョンの Agent インストール ファイルを取得すること。必須または任意のどちらの自動アップグレードでも、より新しいバージョンの Agent インストーラを [Device Management] > [Clean Access] > [Updates] > [Update] を介して CAM にダウンロードする必要があります。そうしないと、新しい Agent にアップグレードするように要求するプロンプトが表示されません(「クライアント マシンへの Agent ログインの要求」 を参照)。


) Cisco NAC Web Agent インストーラをアップグレードした場合、Web Agent を使用してログインしているユーザは、常にこの Agent バージョンを使用してログインします。


ユーザに対する Agent アップグレードのディセーブル化

Agent インストーラ ファイルのアップグレードをユーザに通知および配布することをディセーブルにする手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] に移動します(図 9-7を参照)。

ステップ 2 [Do not offer current NAC Agent to users for upgrade] オプションをイネーブル(オン)にします。

ステップ 3 [Update] をクリックします。


 

CAM における Agent の必須自動アップグレードのディセーブル化

CAM/CAS を新規にインストールすると、デフォルトで、必須自動アップグレードが自動的にイネーブルになります。CAM/CAS をアップグレードすると、現在の設定(イネーブルまたはディセーブル)がアップグレード後のシステムに継承されます。すべてのユーザに対して必須 Agent 自動アップグレードをディセーブルにする手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution]に移動します(図 9-7)。

ステップ 2 [Current NAC Agent is a mandatory upgrade] オプションをディセーブル(オフ)にします。

ステップ 3 [Update] をクリックします。


) 最新の AV/AS 製品サポートを確実に受けるために、[Current NAC Agent is a mandatory upgrade] オプションを設定することを推奨します。



 

Agent の自動アップグレードのユーザ エクスペリエンス

自動アップグレードがイネーブル化されていて、新しいバージョンの Agent が CAM から入手できる場合、ユーザは次のように操作します。

新規ユーザは、最初のワンタイム Web ログイン後に、入手可能な最新バージョンの Agent をダウンロードして、インストールします。

既存のユーザは、入手可能な最新バージョンの Agent に自動アップグレードするように、ログイン時に要求されます(ユーザに対するアップグレード通知がイネーブルの場合)。ユーザがプロンプトを受け入れてアップグレードすると、クライアントは自動的に新しいバージョンの Agent のインストールを開始します。

ログイン時に Agent を自動アップグレードするようにアウトオブバンド ユーザに要求するためには、アウトオブバンド ユーザが認証 VLAN(仮想 LAN)上になければなりません。

[General Setup] ページの設定が異なっている場合を除き、インバンド ユーザは Windows ドメインをログオフするか、またはマシンをシャットダウンしても、Agent にログインしたままです。詳細については、「Logoff NAC Agent users from network on their machine logoff or shutdown after <x> secs (for Windows & In-Band setup)」を参照してください。

Agent のアンインストール

ここでは、次の方法について説明します。

「Cisco NAC Agent のアンインストール」

「Windows CAA のアンインストール」

「Mac OS X Agent のアンインストール」

Cisco NAC Agent のアンインストール

Agent は Windows クライアントの C:¥Program Files¥Cisco¥Cisco NAC Agent¥ にインストールされます。Agent は、次の方法でアンインストールできます。

[Uninstall Cisco NAC Agent] デスクトップ アイコンのダブルクリック

[Start] メニュー > [Programs] > [Cisco Systems] > [Cisco Clean Access] > [Uninstall Cisco NAC Agent]

[Start] メニュー > [Control Panel] > [Add or Remove Programs] > [Cisco NAC Agent]


) CAM の Agent のバージョンを変更する場合は、「CAM への Agent の手動アップロード」を参照してください。


Windows CAA のアンインストール

Agent は Windows クライアントの C:¥Program Files¥Cisco Systems¥Clean Access Agent¥ にインストールされます。次の方法で CAA をアンインストールできます。

[スタート] メニュー > [プログラム] > [Cisco Systems] > [Cisco Clean Access] > [Uninstall Clean Access Agent]

[スタート] メニュー > [コントロール パネル] > [プログラムの追加と削除] > [Cisco Clean Access Agent]


) CAM から配布された Agent のバージョンを変更するには、「CAM への Agent の手動アップロード」を参照してください。


Mac OS X Agent のアンインストール

Mac OS X の Agent をアンインストールするには、2 つの手順があります。

1. ゴミ箱に Agent アプリケーションをドラッグします。Agent アプリケーションは、 /Library/Application Support/Cisco Systems/CCAAgent.app にあります。

2. ゴミ箱に Agent インストレーション レシートをドラッグします。レシートは、 /Library/Receipts/CCAAgent.pkg にあります。

これらの 2 つの手順が完了すると、アプリケーションのすべての痕跡を完全に削除したため、インストーラを次に実行するときに、インストーラのボタンには「UPGRADE」ではなく、「INSTALL」が表示されます。

Macintosh OS X からの dhcp_refresh ツールの削除

Mac OS X Agent および関連ファイルを完全に削除するには、次の 3 つのファイルが削除されていることを確認する必要があります。

/Applications フォルダの CCAAgent.app

/Library/Receipts フォルダの受領ファイル CCAAgent.pkg

/sbin フォルダの dhcp_refresh

/sbin にコピーされ、格納されている dhcp_refresh ツールを手動で削除しなければならない場合もあります。 dhcp_refresh ツールは、この場所に 2 種類の方法(Java アプレットまたは Macagent インストーラ アプリケーション)を使用してコピーされます。このツールを削除できる方法には 2 種類あります。

Terminal.app セッションを開いて、次のように入力します。

cd /sbin
sudo rm dhcp_refresh
 

Finder.app メソッドを使用します。

a. [Finder] > [Go] > [Go to Folder] に移動します。

b. プロンプトで「 /sbin 」と入力します。

c. dhcp_refresh ファイルをゴミ箱にドラッグします。

d. ポップアップする認証ダイアログに管理者パスワードを入力します。

Agent 自動アップグレードの互換性

各 Cisco NAC アプライアンスのソフトウェア リリースでは、CAM ソフトウェアに Agent インストール ファイルの最新バージョンが自動的に含まれます。各バージョンの Agent は、同じバージョンのサーバ製品と互換性があります。次の例を参考にしてください。

4.7.1.511 Cisco NAC Agent は 4.7(1) CAS/CAM と連携します。

4.7.1.15 Cisco NAC Agent は 4.7(0) CAS/CAM と連携します。

4.6.2.113 Cisco NAC Agent は 4.6(1) CAS/CAM と連携します。

すべての新しい 4.7.x.x Agent は、各 4.7(x) CAS と基本的な下位互換性を保つように設計されています。さらに、4.7(x) CAS は、それ以降の 4.7.x.x Agent と互換性があるように設計されています。基本的な互換性があるため、Agent はログイン、ログアウト、設定済み要件の検索、脆弱性レポートなどの基本機能を実行できます。

CAA バージョンの互換性の詳細については、『 Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later 』を参照してください。

バージョン設定

Cisco NAC Agent では、4 桁のバージョン設定が使用されています。

Cisco NAC Agent バージョン 4.7.1.511 は、Cisco NAC アプライアンス バージョン 4.7(1) にバンドルされています。

Agent のアップグレード(4.7.1.511 など)は、通常、AV/AS 製品サポートの拡張や Agent の互換性(OS サポートなど)に対応するために行われます。

Cisco NAC アプライアンス リリース(Cisco NAC Agent バージョン 4.7.1.511 など)にバンドルされる新しいバージョンの Agent は、以前のバージョンの CAA (4.7.1.15 や 4.6.2.113 など)を包含しており、それらよりも優先されます。

Cisco Updates

自動アップグレードがイネーブルで Agent がすでにクライアントにインストールされている場合、Agent アップグレードが入手可能になると、Agent はアップグレードを自動検出し、CAS からダウンロードして、ユーザ確認後にクライアント上で自動アップグレードを行います。管理者は Agent 自動アップグレードをユーザに対して必須にするか、任意にするかを設定できます。

Agent アップデートをユーザに配布しないようにするには、Agent の [Distribution] ページで [Do not offer current NAC Agent to users for upgrade] オプションをオンにします。これにより、新規 Agent アップデートが CAM で使用可能になった場合にユーザにアップグレードを通知しないようになります。


) バージョン アップグレードの制約事項の詳細については、『Release Notes for Cisco NAC Appliance, Version 4.7(1)』の「Agent Upgrade Compatibility Matrix」を参照してください。