Cisco NAC アプライアンス Clean Access Manager コンフィギュレーション ガイド リリース 4.9
Agent ログインとクライアント ポスチャ評価 のための Cisco NAC アプライアンスの設定
Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定
発行日;2012/05/08 | 英語版ドキュメント(2012/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定

概要

Agent 設定手順

デフォルト ログイン ページの追加

Agent のロールとユーザ プロファイルの設定

クライアント マシンへの Agent ログインの要求

アウトオブバンド ログオフの設定

アウトオブバンド ログオフのイネーブル化

OOB ログオフのトラブルシューティング

Agent ユーザに対する制限付きネットワーク アクセスの設定

Agent ユーザ用の [Network Policy] ページ(AUP)の設定

Agent Temporary ロールの設定

Cisco NAC アプライアンスのアップデートの取得

最新アップデートの表示

アップデートの設定およびダウンロード

CAM アップデートのためのプロキシ設定(任意)

Agent の配布およびインストールの設定

Agent の配布

[Installation] ページ

Cisco NAC Agent XML コンフィギュレーション ファイルの設定

Agent カスタマイズ ファイルの設定

Logo

Agent のログイン画面

事前設定済みの Agent 文字列およびフィールドのセット

Cisco NAC Agent MSI インストーラ

Agent ベースのポスチャ評価の設定

概要

AV および AS Definition Update 要件の設定

AV ルールおよび AS ルール

AV/AS サポート情報の確認

AV ルールの作成

AV Definition Update 要件の作成

AS ルールの作成

AS Definition Update 要件の作成

Windows Server Update Services 要件の設定

Windows Server Update Service 要件の作成

Windows ルールへの Windows Server Update Service 要件のマッピング

Windows Update 要件の設定

Windows Update 要件の作成

Windows ルールへの Windows Update 要件のマッピングマップ

カスタム チェック、ルール、および要件の設定

カスタム要件

カスタム ルール

シスコの設定済みルール(「pr_」)

カスタム チェック

シスコの設定済みチェック(「pc_」)

CSA をチェックするための設定済みルールの使用

チェックおよびルールのコピー

設定の概要

カスタム チェックの作成

カスタム ルールの作成

ルールの検証

カスタム要件の作成

Launch Programs 要件の設定

admin 権限によるプログラムの起動

admin 権限なしのプログラムの起動

Launch Programs 要件の作成

要件とルールのマッピング

ユーザ ロールへの要件の適用

要件の検証

Optional および Audit 要件の設定

要件の自動修復の設定

CAM における設定後処理および Agent 管理

CAM への Agent の手動アップロード

Agent のダウングレード

Agent 自動アップグレードの設定

CAM における Agent 自動アップグレードのイネーブル化

ユーザに対する Agent アップグレードのディセーブル化

CAM における Agent の必須自動アップグレードのディセーブル化

Agent の自動アップグレードのユーザ エクスペリエンス

Agent のアンインストール

Agent 自動アップグレードの互換性

Agent ログインとクライアント ポスチャ評価のための Cisco NAC アプライアンスの設定

ここでは、クライアント マシンでの Agent の配布とインストールの方法、および Cisco NAC アプライアンス システムでのクライアント ポスチャ評価の設定方法について説明します。

「概要」

「デフォルト ログイン ページの追加」

「Agent のロールとユーザ プロファイルの設定」

「クライアント マシンへの Agent ログインの要求」

「Cisco NAC アプライアンスのアップデートの取得」

「Agent の配布およびインストールの設定」

「Agent ベースのポスチャ評価の設定」

「CAM における設定後処理および Agent 管理」

概要

Cisco NAC Agent および Cisco NAC Web Agent には、クライアント マシンに対してローカルのポスチャ評価および修復を行う機能があります。

ユーザは Cisco NAC Agent(読み取り専用クライアント ソフトウェア)をダウンロードおよびインストールして、ホストのレジストリ、プロセス、アプリケーション、およびサービスをチェックすることができます。Agent を使用すると、AV(アンチウイルス)や AS(アンチスパイウェア)の定義を更新したり、アップロードされたファイルを CAM に配布したり、ユーザがファイルをダウンロードしてシステムを修復できるように Web サイトへのリンクを配布したり、情報や手順を配布したりすることができます。

Cisco NAC Web Agent は、Cisco NAC Agent のように「永続的」ではなく、単一ユーザ セッションを提供する間クライアント マシン内に存在するだけです。Agent アプリケーションをダウンロードしてインストールする代わりに、ユーザはブラウザ ウィンドウを開いて NAC アプライアンス Web ログイン ページにログインし、一時 Cisco NAC Web Agent を起動するように選択します。この自己解凍 Agent インストーラがファイルをクライアント マシンの一時ディレクトリにダウンロードし、ポスチャ評価を実行してシステムをスキャンすることにより、セキュリティ コンプライアンスを確認し、コンプライアンス ステータスのレポートを Cisco NAC アプライアンス システムに返します。Cisco NAC アプライアンス Agent の詳細については、「Cisco NAC アプライアンス Agent」を参照してください。

Agent のポスチャ評価を CAM に設定するには、ルールおよびチェック基準(任意)に基づいて要件を作成してから、ユーザ ロールまたはクライアント オペレーティング システムに適用します。概要については、図 9-12を参照してください。


) 必須の修復アクション(Windows Update や AV/AS のサポート アップデートなど)のほとんどで、ユーザはクライアント マシンの管理者権限を持っている必要があります。したがって、クライアント マシンでポスチャ評価や修復を行うユーザには、必ず管理者レベルの権限を与えることをお勧めします。


L3 配置のユーザ

Cisco NAC アプライアンスはマルチホップ L3(レイヤ 3)配置、および Agent からの Virtual Private Network(VPN; バーチャル プライベート ネットワーク)コンセントレータ/L3 アクセスをサポートします。この機能を使用すると、クライアントが CAS から(L2 上で近接するのではなく)L3 上で 1 ホップ以上離れるようにネットワークが設定されている場合に、クライアントは CAS を検出できます。CAS で L3 のサポートをイネーブルにし、マルチホップ L3 環境で、または Cisco VPN コンセントレータの背後に、Agent に対する有効な Discovery Host が存在していることを確認する必要があります。

配布

Cisco NAC Agent インストール ファイルおよび Cisco NAC Web Agent は、CAM ソフトウェアに組み込まれており、すべての CAS に自動的に配布されます。初期インストールのために Agent をクライアントに配布するには、[General Setup] > [Agent Login] タブで、ユーザ ロールおよびオペレーティング システムが Agent を使用するように要求する必要があります。その後、クライアントが Agent を要求すると、CAS は Agent セットアップ ファイルを配布します(この動作は、Cisco NAC Web Agent には適用されません)。CAS の Agent のバージョンが期限切れの場合、CAS は CAM から使用可能な最新バージョンを取得してから、クライアントに配布します。

自動アップグレード

CAM で Agent 自動アップグレードを設定すると、ユーザはログイン時に、CAM で入手可能な最新バージョンの Agent に自動的にアップグレードすることができます。Cisco NAC Web Agent の場合、ユーザは CAM で入手可能な最新バージョンの一時 Agent を自動的にダウンロードします。

インストール

ユーザが Agent を最初にインストールするときに必要なユーザの相互作用のレベルを設定できます。

OOB ユーザ

アウトオブバンド ユーザが Agent を使用できるのは、認証および証明書のためにインバンドにとどまっている場合に限られるため、Agent 設定は、インバンド ユーザとアウトオブバンド ユーザで同じです。

ルールおよびチェック基準

設定済みのシスコのチェック基準とルール、およびユーザ設定のカスタム チェック基準とルールを使用して、Agent は稼動しているアプリケーションまたはサービスの有無、レジストリ キーの有無、またはレジストリ キーの値を調べることができます。シスコの設定済みルールは、Critical Windows OS ホットフィックスをサポートしています。

Agent アップデート

シスコは CAM Web コンソールの [Updates] ページで、複数のアップデートを 1 時間ごとに追跡して、提供しています。また、最新バージョンの Cisco NAC Agent インストーラ、Cisco NAC Web Agent インストーラ パッケージも、入手可能になった時点で提供しています。詳細については、「Cisco NAC アプライアンスのアップデートの取得」を参照してください。

デフォルト ログイン ページの追加

Web ログイン ユーザと Agent ユーザが認証プロバイダー リストを取得するには、ログイン ページを追加して、システムに格納し、ユーザが Agent を介して認証できるようにする必要があります。デフォルト ユーザ ログイン ページを迅速に追加する手順については、「デフォルト ログイン ページの追加」を参照してください。


) L3 OOB 配置の場合、「ログイン ページ用に Web クライアントをイネーブル化」が必要です。


Agent のロールとユーザ プロファイルの設定

Agent のユーザが Cisco NAC アプライアンスにログインできるようにするためには、ユーザのログイン ロールとユーザ プロファイルをシステムに設定しておく必要があります。ユーザ ロールと個別のユーザ ログイン プロファイルを Cisco NAC アプライアンスに設定するには、「ユーザ ロールの作成」および「ローカル ユーザ アカウントの作成」を参照してください。

クライアント マシンへの Agent ログインの要求

Agent の使用要求は、ユーザ ロールおよび OS ごとに設定する必要があります。特定のロールに Agent が必要な場合、このロールに属するユーザが Web ログインを使用して最初に認証を受けると、Agent ダウンロード ページに転送されます(図 9-2)。このユーザは、Agent インストール ファイルをダウンロードして実行するか、Cisco NAC Web Agent を起動するように要求されます。インストールが終了すると、Agent を使用してネットワークにログインするように要求されます(クライアント マシンがユーザ ロールに設定されている Agent 要件を満たしている限り、Cisco NAC Web Agent ユーザは自動的にネットワークに接続されます)。


ステップ 1 [Device Management] > [Clean Access] > [General Setup] > [Agent Login] に移動します(図 9-1)。

図 9-1 General Setup

 

ステップ 2 ユーザが Agent を使用することが必要な [User Role] を選択します。

ステップ 3 ドロップダウン メニューで選択できる項目から [Operating System] を選択します。


) Agent のダウンロード ページや Cisco NAC Web Agent の起動ページがユーザに正しくプッシュされるように、ロールに合わせてオペレーティング システムが正しく設定されていることを確認してください。


ステップ 4 Cisco NAC Agent を使用して Cisco NAC アプライアンス システムにユーザがログインする必要がある場合は、[Require use of Agent] チェックボックスをオンにします。配布の設定については、「Agent の配布」を参照してください。Cisco NAC Agent およびユーザ ダイアログの例については、「Cisco NAC Agent」を参照してください。

ステップ 5 Cisco NAC Web Agent を使用している Cisco NAC アプライアンス システムにユーザがログインする必要がある場合、[Require use of Cisco NAC Web Agent] のチェックボックスをオンにします。Cisco NAC Web Agent およびユーザ ダイアログの例については、「Cisco NAC Web Agent」を参照してください。


) [Require use of Agent] および [Require use of Cisco NAC Web Agent] オプションは、相互に排他的ではありません。両方のオプションをイネーブルにするように選択した場合、Login ページに誘導された際に両方の選択が提示されます。


ステップ 6 デフォルトのメッセージのままにすることも、オプションで独自の HTML メッセージを [Agent Download Page Message (or URL)] や [Cisco NAC Web Agent Launch Page Message (or URL)] テキスト フィールドに入力することもできます。

ステップ 7 [Update] をクリックします。


) [General Setup] ページの設定の詳細については、「クライアント ログインの概要」を参照してください。


Web ログイン ページで初めてログインする Agent ユーザには、Agent ダウンロード ページが表示されます(図 9-2 を参照)。

図 9-2 Agent ダウンロード ページ

 

初めて Web ログイン ページを使用してログインする Cisco NAC Web Agent ユーザには、Cisco NAC Web Agent 起動ページが表示されます(図 9-3 を参照)。

図 9-3 Cisco NAC Web Agent 起動ページ

 


 

アウトオブバンド ログオフの設定


注意 Cisco NAC アプライアンス ネットワークに現在ログインしているユーザの切断を回避するために、ネットワークの停止が計画されている時間中はアウトオブバンド ハートビート タイマーをディセーブルにすることを強くお勧めします。この設定を変更すると、現在のユーザ全員が Out-of-Band Online Users リストから除外されます。

アウトオブバンド ログオフ機能は、Cisco NAC アプライアンスではデフォルトでディセーブルになっており、Cisco NAC Web Agent や Web ログイン ユーザ セッションには適用されません。

機能の利点

アウトオブバンド ログオフを使用して、OOB ユーザ リストのユーザを監視および追跡できます。

この機能では、クライアント マシン上の Agent がアウトオブバンド配置のログオフ プロセスを開始できます。

アウトオブバンド ログアウトは Agent のトレイ アイコンで使用でき、別のユーザを CAM にログインさせるために、CAM にログインしていたユーザがログアウトして別のネットワークにアクセスする必要がある共有環境で役立ちます。

アウトオブバンド ログオフは、ユーザが IP 電話の背後で接続されている場合に有益です。ユーザが切断すると、マネージド スイッチはユーザを Out-of-Band Online Users リストから削除するよう求めるリンクダウン トラップを CAM に送信しません。OOB ハートビート タイマーをイネーブルにして、このタイマーが切れた後に、ネットワークに存在しないユーザが削除されるようにすることができます。

機能の依存関係:必須

アウトオブバンド ログオフを機能させるには、CAM と CAS の両方がリリース 4.9 でインストールされ、クライアント マシンが最新の Cisco NAC Agent バージョン(4.9.0.33)を実行している必要があります。

ユーザ ロール(ログイン後にクライアント マシンの IP アドレスが更新されるレイヤ 3 アウトオブバンド配置とレイヤ 2 アウトオブバンド環境の両方で)に基づいて VLAN の変更が必要な配置で、エージェントのアウトオブバンド ログオフを正しく機能させるには、「認証 VLAN 変更設定へのアクセスの設定」のガイドラインに従って、VLAN 変更検出オプションをイネーブルにする必要があります。

NACAgentCFG.xml Agent コンフィギュレーション ファイルで VLANdetectWithoutUI パラメータがイネーブルになっていることを確認します。(「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照)。このパラメータは、CAM がユーザをクリアし、そのユーザをアクセス VLAN から認証 VLAN に移動した後に、認証 VLAN で IP アドレスを更新するためにイネーブルにします。これは、OOB ログオフ機能を Windows ログオフとともに使用する場合に使用されます。

Cisco NAC アプライアンスのアウトオブバンド配置で Agent のパッシブ再評価(PRA)を強制する場合は、アウトオブバンド ログオフ機能をイネーブルにする 必要があります 。Agent のパッシブ再評価の詳細については、「新しいユーザ ロールの追加」「既存の Temporary、Quarantine、または Login ロールの変更」を参照してください。


) パッシブ再評価は、Cisco NAC Agent に対してのみイネーブルにすることができます。Mac OS X Agent は、PRA をサポートしていません。


リリース 4.8 よりも前のリリースでは、アクセス コントロール リスト(ACL)、レイヤ 3 アウトオブバンド リアル IP ゲートウェイ モード、および非信頼ネットワーク IP アドレスに基づく CAS 証明書を使用した配置では、UDP ポート 8905/8906 をブロックして、アクセス VLAN クライアントが CAS の非信頼側と通信して、再ログインを試みないようにする必要があります。ポリシー ベースのルーティングを使用して、すべての非 NAC 認証 VLAN トラフィックを CAS の信頼側の IP アドレスに送信できます。

Cisco NAC アプライアンスのリリース 4.8 およびそれ以降では、ACL が CAS へのアクセスをブロックした場合、OOB ログオフ機能は設計どおりに機能しません。Cisco NAC アプライアンス ネットワーク管理者は、ネットワーク スイッチ上の UDP ポート 8905/8906 を開いたままにして、CAS の信頼できるインターフェイスが、OOBシナリオ(OOB ハートビート タイマー、OOB ログアウト、パッシブ再評価)中も通信できるようにする必要があります。ポリシー ベース ルーティングを使用して、すべての非認証クライアント ネットワーク トラフィックが強制的に CAS の信頼できるインターフェイスに送られるようにします。

「ポート プロファイルの追加」で説明するように、再接続するユーザの割り当て先のポート プロファイルで、[Change to [Auth VLAN | Access VLAN] if the device is certified, but not in the Out-of-Band user list] オプションに [Authentication VLAN] が指定されていることを確認してください。

CAS にサード パーティ証明書または自己署名証明書を使用する場合は、CA 証明書がすべての Windows ドメイン ユーザのルート ストアにインストールされていることを確認してください。これは、マルチユーザ環境で Windows からログオフする際に OOB ログオフを機能させるために重要です。

Internet Explorer で、[Tools] > [Internet Options] をクリックします。[Content] タブに移動し、[Certificates] をクリックします。[Trusted Root Certificate Authorities] タブに移動し、CA 証明書がインストールされているかどうかをチェックします。


) 企業での導入には、自己署名証明書の使用は推奨しません。


ネットワーク要件

CAS に自己署名証明書を使用している間は、証明書がクライアント マシンの証明書ルート ストアにインストールされていることを確認してください。

ネットワークで仮想ルーティングおよび転送(VRF)、ポリシー ベース ルーティング(PBR)、またはアクセス コントロール リスト(ACL)を使用するレイヤ 3 アウトオブバンド リアル IP ゲートウェイ モードでは、CAS 証明書は CAS の信頼できない IP または FQDN を使用することをお勧めします。

レイヤ 3 ネットワーク トポロジで、ユーザが Discovery Host と同じ CAS 名を使用して 1 つの場所から別の場所に移動する場合は、DNS を使用して、ユーザに最も近い CAS の IP に名前を解決することをお勧めします。

デバイスがアクセス ネットワークに接続すると、NAC Agent の OOB ログオフ ハートビート パケットは、そのデバイスを認証した CAS に送信される必要があります。

機能の依存性:オプション

OOB ハートビート タイマーを強制するには、アウトオブバンド ログオフをイネーブルにする 必要があります 。詳細については、「OOB ハートビート タイマーの設定(ユーザ ロール単位)」を参照してください。

Certified Devices List(CDL)は、[CAM Device Management] > [Clean Access] > [General Setup] > [Web Login] Web コンソール ページの [Require users to be certified at every web login option] がユーザ ロールと該当する OS でイネーブルになっている場合のみ、アウトオブバンド ログオフによってクリアされます。詳細については、「Web ログイン」を参照してください。

ユーザが Windows ドメインからログオフする際、ロール ベースでの NAC Agent のログアウトをイネーブルにするには、[CAM Device Management] > [Clean Access] > [General Setup] > [Agent Login] Web コンソール ページの [Logoff NAC Agent users from network on their machine logoff or shutdown after <x> secs] オプションがそのユーザ ロールに対してイネーブルになっていることを確認してください。詳細については、「Agent ログイン」を参照してください。デフォルトでは、システム トレイの [Cisco NAC Agent] アイコンから [Logout] または [Exit] オプションが選択されている場合、Agent は CAS にログアウト要求を送信します。

機能の制限

Cisco NAC Agent および Mac OS X Agent のリリース 4.7(x) およびそれ以前のバージョンでは、アウトオブバンド ログオフ機能をサポートしていません。

DHCP の更新によって異なる IP が提供されるか、クライアント マシンが第 2 のアクセス VLAN に移動すると、ユーザはログオフされます。

マルチホーム環境でアウトオブバンド ログオフを使用している場合、NAC Agent は一度に 1 つのログインのみ追跡できます(PRA、ハートビート、またはログアウト)。

たとえば、ユーザがワイヤレス接続から NAC Agent にログインし、その後 PC に接続し、有線接続からログインします。この時点で、Agent は通信に有線 IP アドレスだけを使用します。ここでユーザがログアウトすると、有線接続から IP を使用するエントリは OUL から削除されますが、ワイヤレス エントリは OUL に残ります。OOB ハートビート タイマーが切れると、ワイヤレス エントリは OUL から削除されます。OOB ハートビート間隔を短く設定して、ワイヤレス側のユーザを適切に削除することをお勧めします。

次の失敗シナリオでは、クライアント マシンがレイヤ 3(インバンドとアウトオブバンドの両方)とレイヤ 2/レイヤ 3 のアウトオブバンド環境の CAS 間をローミングする際に、ユーザ認証に成功した後で、Cisco NAC Agent が表示される可能性があります。ユーザがレイヤ 3 モードの Cisco NAC アプライアンス ネットワークから非 NAC ネットワークにローミングする場合にも、Agent ログイン ダイアログが間違って表示される可能性があります。

ARP ポイズニング

クライアント マシンと CAS 間の一時的なネットワーク接続の損失

NAC 対応クライアント マシン上の 非 NAC ネットワーク セグメントから CAS 上の信頼できないインターフェイス IP アドレスへのアクセス

この状況を防ぐために、次のことを推奨します。

すべての信頼ネットワーク(認証後)が CAS の信頼できるインターフェイスからのみ CAS の信頼できないインターフェイス IP アドレスに接続できることを確認してください

すべての非 NAC ネットワークから CAS の信頼できないインターフェイス IP アドレスへのディスカバリ パケットをブロックします(CAS の信頼できるインターフェイスに到達するディスカバリ パケットはデフォルトでブロックされます)


) これらのシナリオは、OOB ログオフ機能に固有ではなく、一部のアウトオブバンド トポロジの一般的な Cisco NAC Agent の動作を表しています。


アウトオブバンド ログオフのイネーブル化

次の手順では、NAC Agent および Mac OS X Agent でアウトオブバンド ログオフをイネーブルにする方法について説明します。


ステップ 1 [Device Management] > [Clean Access] > [General Setup] > [Agent Login] に移動します(図 9-1)。

ステップ 2 [Enable OOB logoff for Windows NAC Agent and Mac OS X Agent] チェックボックスをオンにします。イネーブルにすると、この設定は、割り当てられたユーザ ロールのその他の設定に関係なく、Cisco NAC アプライアンス配置でこの CAM に管理されるすべてのアウトオブバンド CAS、すべてのユーザ ロール、および Cisco NAC Agent と Mac OS X Agent からログインするすべてのクライアント マシンに適用されます。

ステップ 3 [Update] をクリックし、表示されるダイアログボックス(図 9-4)で [OK] をクリックして、この CAM と関連付けられているすべてのアウトオブバンド CAS をリブートする要件を確認します。アウトオブバンド ログオフ機能をイネーブルにした後も、アウトオブバンド CAS をリブートするまで、ネットワークにログインする Agent は完全なアウトオブバンド ログオフ機能を使用できません。また、HA 配置で 1 つの CAS でアウトオブバンド ログオフをイネーブルにした場合、これらがすでに CAM で管理されているときは、CAS ペアをリブートする必要があります。「Clean Access Server のリブート」を参照してください。

図 9-4 OOB ログオフのイネーブル化:CAS をリブートする要件の確認

 


ヒント 特定のアウトオブバンド CAS でアウトオブバンド ログオフ機能がイネーブルになっているかどうかを確認するには、CAS CLI にログインし、netstat -unl | egrep -w '890[12]' コマンドを入力して、必要なポートが開いているかどうかを確認します。開いている場合、CAS は次のように応答します。

[root@CAS1]# netstat -unl | egrep -w '890[12]' udp 0 0 10.0.0.100:8901 0.0.0.0:*
udp 0 0 10.0.0.100:8902 0.0.0.0:*

これは、複数 CAS 環境のアウトオブバンド CAS で、現在アウトオブバンド ログオフ機能がイネーブルになっているかディセーブルになっているかをすばやく確認できる非常に便利なツールです。


 

OOB ログオフのトラブルシューティング

OOB ログオフ機能で問題が発生した場合は、次のことをチェックしてください。

アクセス VLAN へのログイン後、クライアント マシンが名前または IP アドレスを使用して CAS に接続できるかどうかをチェックします。CAM Web コンソールでアクセス VLAN のクライアント IP アドレスが更新されます。

名前を使用して CAS に接続している場合は、完全修飾ドメイン名(FQDN)を使用して CAS の DNS ルックアップを実行します。

wireshark を最小限に開き、CAS が Agent のログアウト要求に応答するかどうかを確認します。

CAM Web コンソールで OOB ログアウト機能をイネーブルにした後に CAS がリブートされたかどうかをチェックします。

次のコマンドを使用して、CAS ログ ファイルをチェックします。

/perfigo/access/tomcat/logs/nac_server.log
/perfigo/access/tomcat/logs/catalina.out
/perfigo/access/apache/logs/access_log
 

次のコマンドを使用して、CAM ログ ファイルをチェックします。

/perfigo/control/tomcat/logs/nac_manager.log
/perfigo/control/tomcat/logs/catalina.out
 

CAM Web コンソールで、[Monitoring] > [Event Logs] > [View Logs] をクリックしてイベント ログをチェックします。


) 詳細については、「Cisco NAC アプライアンスのログ ファイル」を参照してください。


[Start] > [All Programs] > [Cisco] > [Client Utilities] > [Cisco Log Packager] の順にクリックして、NAC Agent サポート ログを収集します。

Agent ユーザに対する制限付きネットワーク アクセスの設定

管理者は、ユーザがマシンに対する権限を持っていない、またはゲスト アクセスであるなどの理由により、Cisco NAC Agent を自分でダウンロードおよびインストールしない、またはユーザ自身が Cisco NAC Web Agent を起動しないことを選択した場合に備えて、ユーザに制限付きネットワーク アクセスを設定できます。この拡張機能は、割り当てられたユーザ ロールで Agent を介してログインする必要がある場合でも、ゲストまたは企業環境内のパートナーがネットワークにアクセスできるよう支援することを目的としています。

ユーザは、クライアント マシンが修復に失敗すると、限定的にネットワークにアクセスできる「制限付き」ネットワーク アクセスも利用できます。ユーザは、割り当てられたユーザ ロールでログインする前に、ネットワーク アクセス条件を満たすように更新を実行する必要があります。

制限付きネットワーク アクセス オプションは、[Require use of Agent] チェックボックスと [Require use of the Cisco NAC Web Agent] チェックボックスの少なくともどちらかがオンのときにだけ設定できます。このオプションにより、表示されるボタンやテキストの他に、ユーザに割り当てるユーザ ロールを設定することができるようになります。ユーザが最初の Web ログインを実行し、Agent のダウンロードにリダイレクトされると、[Device Management] > [Clean Access] > [General Setup | Agent Login] で [Allow restricted network access in case user cannot use NAC Agent or Cisco NAC Web Agent] オプションがイネーブルになっている場合、ページの [Download Cisco NAC Agent] または [Launch Cisco NAC Web Agent] ボタンの下に [Restricted Network Access] テキストとボタンが表示されます(図 9-2図 9-3 を参照)。ユーザは、Agent をダウンロードせず Cisco NAC Web Agent も起動しないことを選択した場合、[Get Restricted Network Access] ボタンをクリックして、割り当てられたロールで許可されたアクセス権を同じブラウザ ページから取得できます。

ネットワーク セキュリティ要件を満たすためにクライアント マシンで更新が必要なことが明らかな場合に、Agent ログインや修復をサポートするために、Agent ログイン ダイアログ セッション中にユーザは「制限付き」ネットワーク アクセスを受け入れることを選択できます。Agent セッション中、割り当てられたユーザ ロールに関係なく、ユーザは、Cisco NAC Agent/Cisco NAC Web Agent のダイアログで [Get Restricted Network Access] をクリックすることにより、制限付きネットワーク アクセス用に割り当てたロールを使用して即座にネットワークにアクセスすることができます。詳細については、「Windows Cisco NAC Agent ユーザ ダイアログ」および「Cisco NAC Web Agent ユーザ ダイアログ」を参照してください。

次の点に注意してください。

ブルーのシェーディングで表示される [In-Band Online Users] リストに、制限付きネットワーク アクセス ユーザが表示されます。

たとえば、ユーザが Agent をインストールできず、OOB 配置で [Restricted Access] ボタンをクリックすると、そのユーザが [In-Band Online Users] リストに表示され、CAS が OOB を実行している場合でも認証 VLAN に留まります。この場合、管理者は制限付きロールに ACL を設定して、そのロールのユーザのアクセスを制御できます。

制限付きネットワーク アクセス ユーザは、ポスチャ評価要件を満たしていないため、Certified Devices List には表示されません。

Agent ユーザ用の [Network Policy] ページ(AUP)の設定

ここでは、Agent ユーザ用の [Network Policy] ページ(または Acceptable Usage Policy(AUP))へのユーザ アクセスを設定する方法について説明します。ログインし、要件の評価が完了すると、[Accept] ダイアログ(図 10-57を参照)と [Network Usage Terms & Conditions] リンクが表示されます。ネットワークにアクセスするユーザは、このリンク先の Web ページの内容を承諾する必要があります。このリンクを使用すると、ネットワークの適切な使用方法に関するポリシーまたは情報ページが表示されます。このページは、外部の Web サーバまたは CAM 自体に保存しておくことができます。

Network Policy リンクの設定手順

1. [Device Management] > [Clean Access] > [General Setup] に移動します(図 9-1を参照)。

2. [User Role]、[Operating System]、および [Require use of Agent]/[Require Use of Cisco NAC Web Agent] が設定されていることを確認します。

3. [Show Network Policy to NAC Agent and Cisco NAC Web Agent users [Network Policy Link:]] をクリックします。Agent ユーザがネットワークにアクセスするために承諾する必要のある内容を記した、Network Usage Policy Web ページへのリンクが Agent に表示されます。

4. このページを CAM でホスティングする場合は、[Administration] > [User Pages] > [File Upload] を使用して、ページ(「helppage.htm」など)をアップロードする必要があります。詳細については、「リソース ファイルのアップロード」を参照してください。外部 Web サーバでページをホスティングする場合は、次のステップに進みます。

5. [Network Policy Link] フィールドに、次のように、ネットワーク ポリシー ページの URL を入力します。

外部ホスティング ページにリンクする場合は、次のフォーマットで URL を入力します。
https://mysite.com/helppages

CAM にアップロードしたページ(「helppage.htm」など)を指定する場合は、次のように URL を入力します。
https://<CAS_IP_address>/auth/helppage.htm

6. Temporary ロールにトラフィック ポリシーを追加して、ユーザがこのページに HTTP 経由でアクセスできるようにします。詳細については、「デフォルト ロール用のトラフィック ポリシーの追加」を参照してください。

Agent ユーザに [Network Policy] ダイアログを表示する方法については、図 10-57を参照してください。

Agent Temporary ロールの設定

Agent Temporary ロールのトラフィック ポリシーおよびセッション タイムアウトの設定の詳細については、「Agent Temporary ロールの設定」を参照してください。

Cisco NAC アプライアンスのアップデートの取得

各種アップデートは、Clean Access Updates サーバから入手できます。このサーバには、[Device Management] > [Clean Access> [Updates] からアクセスできます。必要に応じて手動で更新したり、自動的に実行するようにスケジュールすることができます。ここでは、次の方法について説明します。

最新アップデートの表示

アップデートの設定およびダウンロード

CAM アップデートのためのプロキシ設定(任意)

最新アップデートの表示


ステップ 1 [Device Management] > [Clean Access] > [Updates] に移動します。デフォルトでは [Summary] ページが表示されます(図 9-5)。

図 9-5 アップデート概要

 

ステップ 2 [Current Versions of Updates] に、現時点で CAM 上にある Cisco Updates の最新バージョンがすべて表示されます。

Cisco Checks and Rules

シスコは、ホットフィックス、Windows アップデート、各種アンチウイルス ソフトウェア パッケージなど、標準クライアント チェック用のさまざまなタイプの設定済みルール(「pr_」)およびチェック(「pc_」)を提供しています。シスコのチェックおよびルールを使用すると、独自のカスタム チェックおよびルールの手動作成が必要な場合に、簡単に作成することができます。

Supported AV/AS Product List (Windows/Macintosh)

Cisco NAC アプライアンスの Supported AV/AS Product List は、中央集中型アップデート サーバから配布される、バージョン管理されている XML ファイルです。このアップデート サーバは、ポスチャ評価/修復のためにアンチウイルス(AV)またはアンチスパイウェア(AS)ルール、および AV または AS の定義更新要件の設定に使用されるサポート対象の AV ベンダーと AS ベンダーおよび製品バージョンの最新のリストを提供します。このリストは、Agent の各リリースに AV/AS 製品およびバージョンを対応させるため、およびエージェントの新しいバージョンに合せて新しい製品を追加するために定期的に更新されます。リストにはバージョン情報だけが提供されることに注意してください。CAM が Supported AV/AS Product List をダウンロードする際、AV/AS 製品の最新バージョンに関する情報がダウンロードされています。実際のパッチ ファイルやウイルス定義ファイルはダウンロードされません。この情報に基づいて、エージェントはネイティブ AV/AS アプリケーションをトリガしてアップデートを実行することができます。

Supported AV/AS Product List を最新に維持することで、CAM 上で Agent のバージョンを更新した場合など、新しいエージェントでサポートされるすべての新しい製品が AV/AS ルールの設定ページに含まれるようになります。

サポート対象の製品およびバージョンの最新情報については、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] を参照するか、最新の リリース ノート の「Clean Access Supported AV/AS Product List」を参照してください。

Default Host Policies

Clean Access には、デフォルトのホストベース ポリシーの自動更新機能があります(Unauthenticated ロール、Temporary ロール、および Quarantine ロールの場合)。デフォルト許可ホストはデフォルトでディセーブルに設定されているため、[User Management] > [User Roles] > [Traffic Control] > [Hosts] でロールごとにイネーブルに設定する必要があります。詳細については、「デフォルト許可ホストのイネーブル設定」を参照してください。

Default L2 Policies

CAM 上で入手可能なデフォルトのレイヤ 2 トラフィック ポリシーの最新バージョンを表示します。CAM がアップデートを検索([Device Management] > [Clean Access] > [Updates] ページを使用して手動または自動で)するときはいつでも、入手可能なより新しいバージョンのデフォルト レイヤ 2 トラフィック ポリシーがあるかどうかを自動的に確認します。

OS Detection Fingerprint

デフォルトでは、HTTP ヘッダーの User-Agent 文字列を使用してクライアント OS が判別されます。さらに、JavaScript のプラットフォーム情報または TCP/IP ハンドシェイクの OS フィンガープリントを、CAM データベース内の OS シグニチャ情報と比較して、クライアント OS を判別することもできます。新しい OS シグニチャが使用可能になり、OS フィンガープリントを Windows マシンとして検証できるようになると、CAM 内のこの情報を更新できます。この拡張 OS フィンガープリント機能は、ユーザが HTTP 情報を操作して、クライアント OS の ID を変更できないようにするためのものです。この機能は TCP ハンドシェイクだけを検査し、個人用ファイアウォールの有無に影響されない「パッシブ」検出技術です(Nessus は使用しません)。詳細については、Web コンソールの CAS 管理ページの [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Authentication] > [OS Detection]、および『 Cisco NAC Appliance - Clean Access Server Configuration Guide Release 4.9 』も参照してください。


) OS 検出およびフィンガープリント機能は、ブラウザの User-Agent 文字列と TCP/IP スタック情報を両方使用して、クライアント マシンの OS を判別しようとします。検出ルーチンがベスト マッチの検出を試みる間に、エンド ユーザがクライアント マシンの TCP/IP スタックを変更し、ブラウザの User-Agent 文字列を変更すると、OS が誤って検出される場合があります。悪意のあるユーザが OS フィンガープリント/検出メカニズムを回避していると考えられる場合は、マシンの OS を確認するために管理者がネットワーク スキャンを利用することを推奨します。何らかの理由でネットワーク スキャンを使用できないか、使用を望まない場合、ネットワーク管理者はクライアント マシンに Agent を事前にインストールするか、Cisco NAC Web Agent を使用してログインすることをユーザに義務付けることを考慮する必要があります。

CAM と CAS がどちらもフェールオーバー モードに設定されている FIPS 140-2 準拠ネットワークで、フェールオーバー イベントとそれに続く同期が行われた後、Cisco NAC アプライアンスはクライアント マシンのオペレーティング システムについて正しく報告しません。CAM および CAS がクライアントの HTTP または HTTPS トラフィックを検出すると、CAM および CAS はフェールオーバー イベント後にクライアント マシンのオペレーティング システムを「再検出」できます。


Windows NAC Agent

CAM 上にインストールされている Cisco NAC Web Agent の現在のバージョンを表示します。これは、ユーザが Cisco NAC アプライアンスに最初にサインインした際にクライアント マシンにアップロードおよびインストールされた Cisco NAC Agent のバージョンです。

Compliance Module for Windows

Cisco NAC アプライアンス システムにログインするクライアント マシンが使用できる AV/AS ベンダー アプリケーション サポート パッケージの最新バージョンを表示します。

Macintosh Clean Access Agent

CAM で使用できる Mac OS X Cisco NAC Agent の最新バージョンを表示します。これは、ユーザが Cisco NAC アプライアンスに最初にサインインした際にクライアント マシンにアップロードおよびインストールされた Mac OS X Agent のバージョンです。Mac OS X Agent は、ユーザのサインイン時に CAM 上でより新しいバージョンのエージェントを入手可能な場合、さらに新しいバージョンに自動的に更新されます。

Cisco NAC Web Agent

CAM 上に現在インストールされている Cisco NAC Web Agent の現在のバージョンを表示します。ログインして一時的な Cisco NAC Web Agent を使用することを選択したユーザは、ユーザ セッションに必要な最新バージョンのエージェントを毎回受け取ります。

Cisco NAC Web Agent Facilitator (ActiveX/Applet)

Cisco NAC アプライアンスにアクセスして Cisco NAC Web Agent を使用することを選択した場合は、CAM がクライアント マシンへの一時的な Agent のインストールに使用する Cisco NAC Web Agent ActiveX/Java アプレットの現在のバージョンを表示します。

L3 MAC Address Detection (ActiveX/Applet)

ユーザが L3 OOB 配置で Web ログインを実行する場合、クライアント MAC アドレス検出に L3 Java アプレットおよび L3 ActiveX Web クライアントが必要です。L3 OOB 配置では、クライアント MAC アドレスが Agent の MAC 検出メカニズムによって自動的に検出されます。(詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』を参照してください)。

Web ログインを実行中のユーザは、ユーザ ログインの前に ActiveX コントロール(IE ブラウザの場合)または Java アプレット(IE ブラウザではない場合)をクライアント マシンにダウンロードして実行します。これによってユーザ マシンの MAC アドレスが判断されます。この情報が CAS と CAM に報告され、IP アドレスと MAC アドレスのマッピングが提供されます。

ActiveX/Java Applet and Browser Compatibility

ActiveX と Java アプレット、およびブラウザの互換性の詳細については、『 Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later 』を参照してください。

Firefox での Java に関する問題のため、Mac OS X 上の Firefox では Java アプレットがサポートされていません。詳細については、Firefox のリリース ノート( http://www.mozilla.com/firefox/releases/1.5.0.3.html )を参照してください。


) • Clean Access チェックに最新の Microsoft Windows ホットフィックスを含めるには、常に Cisco Checks and Rules の最新「アップデート」を取得して(必要に応じて Clean Update を使用)、ホストベースのトラフィック ポリシーが適切に配置されていることを確認します(詳細については、「ホストベースのグローバル トラフィック ポリシーの追加」を参照してください)。

CAM/CAS を Cisco NAC アプライアンスの最新リリースにアップグレードすると、すべての Perfigo/Cisco 設定済みチェック/ルールが自動的に更新されます。


 

ステップ 3 更新が(手動または自動で)実行されると、[Summary] ページを参照して更新を確認できます。


 

アップデートの設定およびダウンロード


ステップ 1 [Device Management] > [Clean Access] > [Updates] に移動します。

ステップ 2 [Update] サブタブをクリックして、Cisco Updates で CAM にダウンロードする内容、Clean Access Updates のチェック頻度、またはその両方を設定します。(図 9-6)。

図 9-6 [Device Management] > [Clean Access] > [Updates] > [Update]

 

ステップ 3 CAM の自動更新を設定するには、[Automatically check for updates starting from [ ] every [ ] hours] のチェックボックスをオンにして、開始時間を 24 時間形式(13:00:00 など)で入力し、「繰り返し」間隔( 1 時間を推奨)を入力します。

ステップ 4 [Check for Windows NAC Agent updates] オプションをオンにして、CAM が常に最新バージョンの Agent インストーラをダウンロードするように設定します。Agent 自動アップグレードを使用する場合は、このオプションをイネーブルにする必要があります。

ステップ 5 [Check for Macintosh Clean Access Agent updates] オプションをオンにして、CAM が常に最新バージョンの Agent をダウンロードするように設定します。Macintosh Clean Access Agent の自動アップグレードを使用する場合は、このオプションをイネーブルに設定する必要があります。

ステップ 6 [Check for Cisco NAC Web Agent updates] オプションをオンにして、CAM が常に最新バージョンの Cisco NAC Web Agent をダウンロードするように設定します。

ステップ 7 [Check for L3 MAC Address Detection ActiveX/Applet updates] オプションをクリックして、CAM が常に最新バージョンの L3 Java アプレットおよび ActiveX Web クライアントをダウンロードするように設定します。Web ログイン ユーザは、CAS が L3 配置(特に L3 OBB)で MAC 情報を取得できるように、ログイン ページからこれらのヘルパー制御をダウンロードする必要があります。Agent を使用すると、Agent はクライアント MAC 情報を自動的に CAS に送信します。

ステップ 8 次のログイン セッション中にクライアント マシンが利用できる AV/AS ベンダー サポート パッケージの最新バージョンの更新リポジトリを自動的に取得するには、[Check for Compliance Module for Windows updates] オプションをオンにします。クライアント マシンに更新された AV/AS ポスチャ パック をダウンロードできるようにするには、「Agent の配布」を参照してください。

ステップ 9 次のいずれかを実行します。

a. [Update] をクリックし、最新のシスコ チェックおよびルール、Agent アップグレード パッチ、Supported AV/AS Product List、およびデフォルト ホスト ポリシーで既存のデータベースを手動で更新します。

b. [Clean Update] をクリックして以前のアップデート アイテム(チェック、ルール、Agent パッチ、および Supported AV/AS Product List のうちユーザが作成したもの以外)をデータベースから削除してから、新しいアップデートをダウンロードします。詳細については、「デフォルト許可ホストのイネーブル設定」を参照してください。

ステップ 10 アップデートを取得すると、ページ下部に次のステータス メッセージが表示されます。

Cisco 自動更新スケジュール (イネーブルの場合)

Latest version of Windows NAC Agent Installer (使用可能な場合)。

Latest version of Macintosh Clean Access Agent Installer (使用可能な場合)。

Windows 用 コンプライアンス モジュールのアップデートの最新バージョン

Cisco Checks & Rules の最新バージョン:
ダウンロードされたシスコのチェックおよびルールのバージョンが表示されます。シスコの設定済みチェック(「pc_」)およびルール(「pr_」)の最新アップデートに、[Check List] および [Rule List] がそれぞれ読み込まれます([Device Management] > [Clean Access] > [Clean Access Agent] > [Rules])。

インストールされた Latest Cisco NAC Web Agent バージョン Cisco NAC Web Agent Applet Facilitator バージョン 、および Cisco NAC Web Agent ActiveX Facilitator バージョン

サポート対象 AV/AS 製品リストの最新バージョン:
サポート対象 AV/AS 製品リストの最新バージョンを示します。[New AV Rule] またはタイプ [AV Definition Update] の要件を作成すると、サポート対象ベンダーおよび製品バージョンのリストが適宜更新されます。

デフォルト ホスト ポリシーの最新バージョン
Unauthenticated ロール、Temporary ロール、および Quarantine ロール用に提供されているデフォルトのホストベース ポリシーの最新バージョンを表示します。

OS 検出フィンガープリントの最新バージョン
OS 検出フィンガープリント(またはシグニチャ)のアップデートは、Windows マシンに対応する新しいオペレーティング システムが入手可能になると作成されます。

L3 Java Applet Web クライアントの最新バージョン :
L3 Java Applet Web クライアントのアップデートが入手可能になると、ダウンロードされ発行されます。

L3 ActiveX Web クライアントの最新バージョン :
L3ActiveX Web クライアントのアップデートが入手可能になると、ダウンロードされ発行されます。

OOB スイッチ OID の最新バージョン :
サポートされているスイッチのオブジェクト ID(OID)のアップデートが入手可能になると、ダウンロードされ発行されます。

 


) リリース 4.5 からは、管理者は、CAM 更新の実行時に(サポートされているスイッチの他に)サポートされている WLC プラットフォームのオブジェクト ID(OID)を更新できます。


デフォルト L2 ポリシーの最新バージョン
レイヤ 2 トラフィック ポリシーのアップデートが入手可能になると、ダウンロードされ発行されます。


 

CAM アップデートのためのプロキシ設定(任意)

CAM でインターネットへの接続にプロキシ サーバが必要な場合、CAM が Clean Access のアップデートを取得できるようにプロキシ サーバを設定します。


ステップ 1 [Device Management] > [Clean Access] > [Updates] に移動します。

ステップ 2 [HTTP Settings] サブタブをクリックします。

図 9-7 [Device Management] > [Clean Access] > [Update] > [HTTP Settings]

 

ステップ 3 CAM からプロキシ サーバを経由してインターネットにアクセスする場合は、[Use an HTTP proxy server to connect to the update server] オプションをクリックします。

ステップ 4 CAM がインターネットの接続に使用する [Proxy Hostname] と [Proxy Port] を指定します。

ステップ 5 プロキシ サーバでプロキシ セッションの認証に資格情報が必要な場合、以下のいずれかをクリックして [Proxy Authentication] メソッドを指定します。

[Basic]:CAM とプロキシ サーバの間のプロキシ セッションを認証するのに必要な [Username] および [Password] を指定するように求められます。

[Digest]:[Basic] 設定の場合と同様に、このオプションでも CAM とプロキシ サーバ間のプロキシ セッションの認証に [Username] と [Password] の入力と、さらに資格情報のハッシュが必要です。また、ユーザ名とパスワードをネットワーク上で保護するために情報をダイジェスト認証するプロキシ サービスが必要になります。

[NTLM]:CAM とプロキシ サーバのプロキシ セッションの認証に [Username] と [Password] が必要であることに加えて、既存の Microsoft Windows NT LAN マネージャ(NTLM)プロキシ サービスをサポートするために、プロキシの [Host] および [Domain] を指定する必要があります。


) [NTLM] オプションは NTLM バージョン 1 およびバージョン 2 をサポートしています。


ステップ 6 [Save] をクリックします。


 

Agent の配布およびインストールの設定

各ソフトウェア リリースの CAM ソフトウェアには、Agent の最新バージョンが自動的に組み込まれています。CAS をインストールした場合、および Web アップデートまたは手動アップロードを通して CAM が新バージョンの Agent を入手した場合、CAM は Agent インストール ファイルを各 CAS に自動的に配布します。

ユーザが Agent インストール ファイルをダウンロードしてインストールできるようにするか、Cisco NAC Web Agent を起動できるようにするには、「クライアント マシンへの Agent ログインの要求」を参照してください。新しい Agent ユーザが Web ログインを介して最初にログインすると、Agent ダウンロード ページが表示されます。自動アップグレードがイネーブルである場合、新しい Agent バージョンが入手可能になると、既存の Agent ユーザはログイン時にアップグレードするように要求されます。Cisco NAC Web Agent ユーザは、クライアント マシンがネットワーク セキュリティ パラメータに適合している限り、ネットワークに自動的に接続されます。


) 管理者権限のないユーザが Windows クライアント マシンを以前のバージョンの CAA(バージョン 4.5.2.0 または 4.1.10.0、およびそれ以前)から Cisco NAC Agent にアップグレードするには、CCAAgentStub.exe Agent スタブがクライアント マシンにインストールされていることが必要です(管理者権限のあるユーザは、このファイルは不要です)。Cisco NAC Agent のインストールが成功したら、その後はクライアント マシンでの管理者権限も CCAAgentStub.exe Agent スタブ ファイルも不要です。CCAAgentStub.exe ファイルの詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください


ここでは、次の内容について説明します。

「Agent の配布」

「[Installation] ページ」

「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」

「Agent カスタマイズ ファイルの設定」

「Cisco NAC Agent MSI インストーラ」

Agent の配布

[Distribution] ページ(図 9-8 を参照)には、Agent に関係する次の設定オプションがあります。

図 9-8 [Distribution] ページ

 

[NAC Agent Temporary Role]:Agent の一時的ロールの名前が表示されます(デフォルトは「Temporary」)。Role Name を変更する手順については、「既存のロールの編集」を参照してください。


) • Agent を VPN トンネル モードで機能させるには、CAS で [Enable L3 support] オプションをオンにする必要があります([Device Management] > [Clean Access Servers] > [Manage [CAS_IP]] > [Network] > [IP])。詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』を参照してください。

VPN クライアントは L3 配置に存在している必要があります。CAS の管理対象サブネットや管理インターフェイス サブネットに置くことはできません。


 

[Windows NAC Agent Current Version]:クライアント マシンによってダウンロードされる Windows Agent インストール ファイルのバージョン。アップグレード バージョンには、CAM が [Updates] ページからダウンロードした内容が反映されます。「クライアント マシンへの Agent ログインの要求」を参照してください。


) 管理者権限のないユーザが Windows クライアント マシンを以前のバージョンの CAA(バージョン 4.5.2.0 または 4.1.10.0、およびそれ以前)から Cisco NAC Agent にアップグレードするには、CCAAgentStub.exe Agent スタブがクライアント マシンにインストールされていることが必要です(管理者権限のあるユーザは、このファイルは不要です)。Cisco NAC Agent のインストールが成功したら、その後はクライアント マシンでの管理者権限も CCAAgentStub.exe Agent スタブ ファイルも不要です。CCAAgentStub.exe ファイルの詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください


[Macintosh Clean Access Agent Current Version]:Macintosh Clean Access Agent インストール ファイルのバージョン。アップグレード バージョンには、CAM が [Updates] ページからダウンロードした内容が反映されます。「クライアント マシンへの Agent ログインの要求」を参照してください。

[Windows Compliance Module] :クライアント マシンが使用できる AV/AS ベンダー サポート パッケージの最新バージョン。クライアント マシンが Cisco NAC Agent から Cisco NAC アプライアンスにログインし、Agent の新しいバージョンが入手可能かどうかをチェックするときに、ディスカバリ プロセスは、クライアントの AV/AS サポート情報が最新かどうかも判断します。最新ではない場合、[Current Compliance Module is a mandatory upgrade] オプションをイネーブルにしたかどうかによって、およびイネーブルになっていない場合は、ユーザがその時点で AV/AS サポート パッケージを更新することを選択するかどうかによって、更新されたパッケージを入手できます。

[Current NAC Agent is a mandatory upgrade]:このオプションをオンにして、[Update] をクリックした場合、ユーザはログイン時に最新バージョンの Agent へのアップグレードを促すプロンプトを受け入れるように強制されます。オフのままの場合(オプション アップグレード)、ユーザは最新の Agent バージョンへのアップグレードを促されますが、アップグレードを延期して、引き続き既存の Agent でログインすることができます。「CAM における Agent の必須自動アップグレードのディセーブル化」を参照してください。


) 新しい CAM/CAS インストールでは、デフォルトで、[Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] の [Current NAC Agent is a mandatory upgrade] オプションが自動的に設定されます。CAM/CAS をアップグレードすると、現在の設定(イネーブルまたはディセーブル)がアップグレード後のシステムに継承されます。

[Current NAC Agent is a mandatory upgrade] オプションは、リリース 4.1(2) およびそれ以前の Windows Agent にのみ適用されます。


[Do not offer current Clean Access Agent Patch to users for upgrade]:このオプションをオンにして、[Update] をクリックすると、CAM から Agent アップデートを入手できる場合でも、すべての Agent ユーザにアップグレード通知(必須またはオプション)が表示されません。

[Current Compliance Module is a mandatory upgrade]:このオプションをイネーブルにすると、Cisco NAC Windows Agent からログインするクライアント マシンでは、AV/AS ベンダー サポート パッケージが最新ではない場合、強制的にパッケージが更新されます。ユーザには、AV/AS ベンダー サポート パッケージの更新を求めるメッセージが表示されます。

[Do not offer current Compliance Module to users for upgrade]:このオプションでは、Cisco NAC Windows Agent から Cisco NAC アプライアンス システムにログインするユーザに最新 AV/AS ベンダー更新パッケージを提供しないようにします。(このオプションは、ユーザに AV/AS サポート パッケージのアップデートを提供する前に、最新パッケージの 1 つ以上のベンダー アプリケーションをテストして、ネットワークにアクセスするユーザに適切であることを確認する必要がある場合にイネーブルにできます)。

[Allow downgrade of Compliance Module]:このオプションをオンにすると、Cisco NAC Windows Agent からログインするユーザに AV/AS サポート パッケージの旧バージョンを提供できます。Agent が Cisco NAC アプライアンス システムでディスカバリを実行して次のユーザ ログイン セッションを開始したときに、[Allow downgrade of Compliance Module] オプションがイネーブルになっていると、現在クライアント マシンで使用している AV/AS サポート パッケージのバージョンに関係なく、Agent は自動的に CAS から「ダウングレード」された AV/AS サポート パッケージを受け取ります。

[Upload Agent/Compliance Module File]:[Browse] ボタンを使用して、適切な Agent ファイルが置かれているフォルダに移動します。Agent ファイルを選択し、[Agent Version] フィールドにバージョン番号を入力し、[Upload] をクリックして、このフィールドで Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)または Windows AV/AS ポスチャ パック( av-posture-pack-win.tar.gz )を手動でアップロードします。コンプライアンス モジュールの場合は、[Agent Version] フィールドを空白のままにしておいてもかまいません。

Windows および Macintosh バージョンの以前の Clean Access Agent をアップロードする場合の詳細については、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1) 』および『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』を参照してください


) CAM は、Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)と Windows Clean Access Agent セットアップ ファイル(CCAAgentSetup-4.x.y.z.tar.gz)を同時に扱うことはできません。以前の Windows Clean Access Agent セットアップ ファイルをアップロードすると、既存の Cisco NAC Agent インストールおよび XML Agent コンフィギュレーション ファイルは消去されます。逆の場合も同様です。



) リリース 4.6(1) から、CAM は Clean Access Agent パッチ/アップグレード ファイル(CCAAgentUpgrade-4.x.y.z.tar.gz)を管理しなくなりました。Cisco Software Download サイトから Clean Access Agent インストール ファイル(CCAAgentSetup-4.x.y.z.tar.gz または CCAAgentMacOSX-4.x.y.z-k9.tar.gz)だけをアップロードするように注意してください。



注意 Agent ファイルは tar.gz ファイルのまま(展開しないで)CAM にアップロードする必要があります。アップロード前に、.exe ファイルを抽出しないでください。

「CAM への Agent の手動アップロード」も参照してください。

[Version]:手動アップロードの場合は、ダウンロード時の Agent と同じバージョン番号を使用します。

[Installation] ページ

Agent を最初にインストールするときに必要な、ユーザとの対話レベルを設定できます。


) 永続的 Agent がインストールされると、Agent の起動用およびアンインストール用のショートカットがデスクトップに表示されます。


インストール オプションの設定手順


ステップ 1 「クライアント マシンへの Agent ログインの要求」の説明に従って、Agent の使用が必要であることを確認します。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] に移動します。

図 9-9 Agent インストール ページ

 

[Discovery Host]:このフィールドは、L3 配置内の CAS を検出するために Agent が独自の暗号化された UDP ベース プロトコルを CAM に送信するときに使用します。このフィールドには、CAM の IP アドレス(または DNS ホスト名)が自動的に読み込まれます。通常、デフォルト IP アドレスは変更する必要がありません。ただし、CAM の IP アドレスが CAS を介してルーティングされない場合は、Discovery Host に、CAS を介してクライアント マシンから到達可能な任意の IP アドレスまたはホスト名を設定できます。初期インストールの際、または新しい Agent 設定 XML ファイルが CAS を通じてクライアント マシンに渡されたとき、Cisco NAC Agent はこの値を Agent のログインに必要な Agent 設定 XML ファイル内の DiscoveryHost パラメータとして、自動的に使用します。


) Discovery Host 値が変更されると、配置されている新しい Agent だけが値を受信します。既存の Agent は、変更された IP アドレスを受信しません。既存の Agent が変更された Discovery Host 値を受信するには、Agent コンフィギュレーション XML ファイルの DiscoveryHost パラメータの「上書き」機能を使用する必要があります。詳細は表 9-4を参照してください。



) CAM は常に CAS の信頼できる側のルーテッド インターフェイス上に存在する必要があるため、デフォルトで [Discovery Host] は CAM の IP に設定されています。これは、CAM の IP に到達するために、信頼できない側のクライアント トラフィックが CAS を通過する必要があることを意味します。クライアントが Discovery Host IP に接続を試みる場合、CAS はトラフィックを代行受信して、ログイン プロセスを開始します。ACL で CAM を保護するために最良の方法がとられ、クライアント トラフィックが実際に CAM に到達すべきでないことが想定されます。さらにセキュリティを高めるために(L3 が正しく配置された後)、[Discovery Host] を CAM IP ではなく、信頼できる側の IP に変更できます。


ステップ 3 デフォルトで、[Installation Options] が [Windows] でイネーブルにされています。

ステップ 4 Cisco NAC Agent がインストールされている Windows クライアント マシンでログインとセッションの動作をカスタマイズするには、次のように [Agent configuration XML file upload] オプションを使用します。

a. NACAgentCFG.xml という名前の Agent 設定 XML ファイルを作成し、ローカル マシンに保存します。XML ファイル テンプレートの例と、すべてのパラメータおよび使用できる設定のリストについては、「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照してください。

b. [Browse] をクリックし、ローカル マシン上の NACAgentCFG.xml Agent コンフィギュレーション ファイルを保存してあるディレクトリまで移動し、ダイアログボックスでファイルを強調表示して、[Upload] をクリックします。

次にユーザが Cisco NAC アプライアンスで認証するか、Cisco NAC Agent の必須の更新を実行すると、クライアント マシンで新しい Agent 設定が自動的にイネーブルになります。

ステップ 5 [Agent customization file upload] オプションを使用して、Windows クライアント マシンの NAC Agent UI を、インストールされている CAM Release 4.9 と互換性のある Cisco NAC Agent でカスタマイズします。


) [Agent customization file upload] オプションは、バージョン 4.8.0.32 よりも前の Cisco NAC Agent では使用できません。


a. Agent カスタマイズ ファイルを作成し、ローカル マシンにファイルを保存します。使用可能な設定については、「Agent カスタマイズ ファイルの設定」を参照してください。

b. [Browse] をクリックし、ローカル マシンの Agent カスタマイズ ファイルが置かれているディレクトリに移動し、[Upload] をクリックします。

次にユーザがフレッシュ インストールを実行するか、Cisco NAC Agent をアップグレードするときに、新しい Agent カスタマイズがクライアント マシンでイネーブルになります。


) Agent カスタマイズを削除するには、[Remove Custom] をクリックします。次にユーザがフレッシュ インストールを実行するか、Cisco NAC Agent をアップグレードするときに、カスタマイズがクライアント マシンから削除されます。


ステップ 6 ユーザがマシンで直接インストーラを起動した場合は、次の [Direct Installation Options] からいずれかを選択します。

[User Interface]:

[No UI]:Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)の [File Download] ダイアログボックスでユーザが [Open] をクリックした場合、ユーザ入力は不要になります。[Preparing to Install] ダイアログが短期間表示され、Agent が自動的にダウンロードおよびインストールされます。

[Reduced UI]:ユーザが [Open] をクリックして Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)を起動(または保存してから実行)すると、[Preparing to Install]、および InstallShield ウィザードの [Installing Cisco NAC Agent] 画面が表示されますが、ユーザ入力フィールド([Next] ボタンなど)はディセーブルで、Agent が自動的に抽出されインストールされます。

[Full UI](デフォルト):ユーザが Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)を [Open](または保存してから実行)すると、通常のインストール ダイアログが表示されます。[Destination Folder] ディレクトリの画面を含む Agent の InstallShield ウィザードが表示されます。CAS の場合、ユーザは各ペインで [Next]、[Install]、および [Finish] ボタンをクリックして、インストールを完了します。

[Run Agent After Installation]:

[Yes](デフォルト):Agent のインストール後、Agent Login 画面がポップアップします。

[No]:Agent のインストール後、Agent Login 画面は表示されません。ユーザはデスクトップの Agent ショートカットをダブルクリックして Agent を開始し、タスクバーに表示する必要があります。[Control Panel] > [Add/Remove Programs] > [Cisco Clean Access Agent] で Agent のインストールを確認できます。Agent が起動すると、[Pop Up Login Window] がタスクバー メニューでイネーブルの場合にログイン画面がポップアップします。

ステップ 7 [Update] をクリックして設定値を保存します。


) Cisco NAC Agent の MSI インストール手順については、「Cisco NAC Agent MSI インストーラ」を参照してください。



 

Cisco NAC Agent XML コンフィギュレーション ファイルの設定

ここでは、 NACAgentCFG.xml Agent コンフィギュレーション ファイルで設定を指定することによって Cisco NAC Agent のさまざまな機能を設定およびイネーブルにする方法を説明します。次の内容について説明します。

「Cisco NAC Agent ログイン/ログアウト ダイアログの動作のカスタマイズ」

「Cisco NAC Agent ポスチャ評価レポートの表示設定」

「Cisco NAC Agent ログ ファイル サイズの指定」

「Cisco NAC Agent Discovery Host アドレスの管理」

「サーバ ルール名の指定」

「信頼できるデジタル署名用の Launch Program 実行ファイルを確認する Cisco NAC Agent」

「追加の SWISS ディスカバリのカスタマイズ」

「HTTP ディスカバリのカスタマイズ」

「複数のアクティブな NIC を使用したクライアントによる認証 VLAN 変更検出へのアクセス」

「クライアント側の MAC アドレス管理」

「Cisco NAC Agent のアクセシビリティ対話のイネーブル化/ディセーブル化」

「Cisco NAC Agent ローカリゼーション設定の指定」

上に示した Cisco NAC Agent の追加機能のいずれかを Windows クライアント マシンが使用するように設定するには、適切なパラメータを Agent コンフィギュレーション XML ファイルで定義し、そのファイルに NACAgentCFG.xml という名前を付けて、CAM にアップロードします。そうすることで、次にクライアント マシンが Cisco NAC Agent をインストールするときに(または既存のユーザに対して Cisco NAC Agent の更新を求めたときに)、新しい設定がクライアント マシン上の Agent インストール ディレクトリに自動的に「プッシュ」されます。Windows 7/Vista/XP におけるデフォルトのインストール ディレクトリは、 C: ¥ Program Files ¥ Cisco ¥ Cisco NAC Agent ¥ です。ただし、異なるディレクトリを指定できます。

カスタムの Agent コンフィギュレーション XML ファイルを設定する場合、管理者は 1 つ、複数、またはすべての設定をカスタマイズすることを選択でき、また、クライアント マシン上の既存の XML コンフィギュレーション設定とマージするか、それを上書きするかも選択できます。この後に示すパラメータに対して特定の値を指定することに加えて、目的の XML パラメータに「mode」属性を組み合わせて使用することにより、Agent が設定を既存のパラメータと「マージ」するか、そのまま「上書き」するかを指示できます。

"merge" :今までに定義されていない XML 設定の場合は値を指定し、クライアント マシン上に XML 設定がすでに存在する場合は無視されます。これは、XML コンフィギュレーション ファイル ダウンロード機能のデフォルト動作です。

"overwrite" :現在クライアント マシン上に存在するすべての値よりも、Agent コンフィギュレーション XML ファイルで指定されている XML 設定が自動的に優先されます。

たとえば、Agent コンフィギュレーション XML ファイル内の <Locale mode="merge">German</Locale> というエントリは、クライアント マシン上の既存の Locale 設定は一切変更せず(上書きではなくマージ)、ただし、現在設定が存在していなければローカリゼーション言語をドイツ語にするように Agent に指示します。この例のエントリが <Locale mode="overwrite">German</Locale> であると、Agent の新しいローカリゼーション言語の設定は、既存の設定が存在するかどうかに関係なくドイツ語になります。


) 管理者は、特定のパラメータなしでコンフィギュレーション XML を配置して、後で必要に応じて追加することができます。管理者は、パラメータを含む新しいコンフィギュレーション XML ファイルをアップロードできます。これらのパラメータは前に配置されていないので、"merge" または "overwrite" モードで設定できます。

モードを "merge" に設定すると、現在のクライアント マシンのコンフィギュレーション ファイルに存在しないパラメータが追加されます。しかし、管理者がエンド ユーザにコンフィギュレーション ファイルへのパラメータの追加を許可し、パラメータ値がすでに存在している場合、「マージ」は失敗します。

エンド ユーザに追加されたパラメータに関係なく、すべての値を上書きする場合は、"overwrite" モードを使用できます。


Agent マシンにダウンロードするための Agent コンフィギュレーション ファイルを CAM にアップロードする手順については、「[Installation] ページ」を参照してください。Cisco NAC Agent およびその機能については、「Cisco NAC Agent」を参照してください。


) Clean Access Agent がインストールされているクライアント マシンで類似の機能をイネーブルにする場合の詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください


Agent コンフィギュレーション XML でカスタム設定を指定した場合に、Cisco NAC Agent がその設定を確実に受け入れるようにするには、次の XML ファイルのサンプル テンプレートに示すようなファイルを作成します。

Agent コンフィギュレーション XML ファイル テンプレートの例

<?xml version="1.0" ?>
<cfg>
<VlanDetectInterval>0</VlanDetectInterval>
<RetryDetection>3</RetryDetection>
<PingArp>0</PingArp>
<PingMaxTimeout>1</PingMaxTimeout>
<DisableExit>0</DisableExit>
<AllowCRLChecks>1</AllowCRLChecks>
<SignatureCheck>0</SignatureCheck>
<RememberMe>1</RememberMe>
<AutoPopUp>1</AutoPopUp>
<AutoPopUpEnable>1</AutoPopUpEnable>
<PostureReportFilter>displayFailed</PostureReportFilter>
<BypassSummaryScreen>yes</BypassSummaryScreen>
<LogFileSize>5</LogFileSize>
<DiscoveryHost></DiscoveryHost>
<DiscoveryHostEditable>1</DiscoveryHostEditable>
<ServerNameRules>host.match.com,*.match.com,*.com</ServerNameRules>
<Locale>default</Locale>
<AccessibilityMode>0</AccessibilityMode>
<SwissTimeout>1</SwissTimeout>
<HttpDiscoveryTimeout>30</HttpDiscoveryTimeout>
<HttpTimeout>120</HttpTimeout>
<DisableL3SwissDelay>0</DisableL3SwissDelay>
<ExceptionMACList></ExceptionMACList>
<GeneratedMAC></GeneratedMAC>
</cfg>

 

表 9-1 Cisco NAC Agent ログイン/ログアウト ダイアログの動作のカスタマイズ

パラメータ
デフォルト値
有効な範囲
説明/動作

RememberMe

0

0 または 1

この設定が 0 以外の値の場合、ユーザはログイン資格情報を一度だけ入力する必要があります。Cisco NAC Agent は、セッションの終了/タイムアウト後もユーザ資格情報を記憶しています

ユーザがユーザ名とパスワードを必要とする接続から SSO セッションに移動し、また戻った場合、資格情報は削除されます。

AutoPopUp

1

0 または 1

この設定が 1 の場合、ユーザがログアウトすると Cisco NAC Agent のログイン ダイアログが自動的に表示されます。

この設定が 0 の場合、ユーザは [Start] メニュー、またはデスクトップ上のシステム トレイ アイコンを使用して、手動でログインを開始する必要があります。

AutoPopUpEnable

1

0 または 1

この設定値が 1 の場合、[Auto PopUp] オプションはイネーブルになります。

この設定値が 0 の場合、[Auto PopUp] オプションはディセーブルになります。

(注) この設定値がユーザによって手動で変更された場合、設定の変更をイネーブルにするには、クライアント マシンをリブートする必要があります。コンフィギュレーション ファイルが CAM からクライアントにプッシュされる場合は自動的にイネーブルになります。

BypassSummaryScreen

yes

yes または no

Cisco NAC Agent の要件に関して自動修復を採用している場合、この設定によって Agent セッション ダイアログを「自動化」することができます。Agent ポスチャ評価の要約画面をスキップして自動修復の最初の機能に直接進むことにより、Agent ログインおよび修復セッション中のユーザ対話が削減されるか、完全になくなります。

DisableExit

0

0 または 1

このパラメータを 1 に設定すると、ユーザは Cisco NAC Agent をシステム トレイ アイコンから終了できません。

AllowCRLChecks

1

0 または 1

このパラメータを 0 に設定すると、CAS の発見とネゴシエーション時に、Cisco NAC Agent 向けの Certificate Revocation List(CRL; 証明書失効リスト)チェックが行われません。

 

表 9-2 Cisco NAC Agent ポスチャ評価レポートの表示設定

パラメータ
デフォルト値
有効な範囲
説明/動作

PostureReportFilter

displayFailed

--

このパラメータは、クライアント マシンでポスチャ評価が行われたときにユーザに表示される結果の、レベルとタイプを制御します。

この設定が displayAll の場合、クライアント ポスチャ評価レポートが示され、ユーザが Cisco NAC Agent ダイアログの [Show Details] をクリックするとすべての結果が表示されます。

この設定が DisplayFailed の場合、ユーザが Cisco NAC Agent ダイアログの [Show Details] をクリックすると、クライアント ポスチャ評価レポートには修復エラーだけが示されます。

 

表 9-3 Cisco NAC Agent ログ ファイル サイズの指定

パラメータ
デフォルト値(10 進数)
有効な範囲
説明/動作

LogFileSize

5

0 以上

この設定は、クライアント マシン上の Cisco NAC Agent ログ ファイルのファイル サイズ(メガバイト)を指定します。

この設定が 0 の場合、Agent は、クライアント マシン上のユーザ セッションに関するログインまたは操作の情報を記録しません。

管理者がそれ以外の整数を指定すると、Cisco NAC Agent は、指定された数値(MB 単位)までログインとセッションの情報を記録します。1

1.Cisco NAC Agent ログ ファイルは、C:¥Documents and Settings¥All Users¥Application Data¥Cisco¥Cisco NAC Agent¥logs ディレクトリに記録、保存されます。1 回目の Agent ログイン セッションの後、2 つのファイルがディレクトリ内に置かれます。1 つは前回のログイン セッションからのバックアップ ファイルで、もう 1 つは現在のセッションのログインおよび操作の情報を含む新しいファイルです。現在の Cisco NAC Agent セッションのログ ファイルが大きくなり、指定されたファイル サイズを超えると、Agent のログインおよび操作情報の最初の部分が自動的にディレクトリ内の「バックアップ」ファイルになり、Agent は引き続き最新のエントリを現在のセッション ファイルに記録していきます。

 

表 9-4 Cisco NAC Agent Discovery Host アドレスの管理

パラメータ
デフォルト値
有効な範囲
説明/動作

DiscoveryHost

--

IP アドレスまたは FQDN

この設定は、レイヤ 3 配置で Cisco NAC アプライアンス システムに接続するために Agent が使用する Discovery Host アドレスを指定します。

この機能を使用すると、現在のクライアント マシン上の値に対して、CAM で指定された Discovery Host 値を「上書き」または「マージ」できます。

[CAM Device Management] > [Clean Access] > [Clean Access Agent] > [Installation] Web コンソール ページで Discovery Host 値を変更し、その後、同じ値をこのパラメータに指定する必要があります。

DiscoveryHostEditable

1

0 または 1

NACAgentCFG.xml ファイルで、 DiscoveryHostEditable のパラメータが「1」(デフォルト値)に設定されている場合、ユーザは、[Agent Properties] ダイアログボックスの [Discovery Host] フィールドにカスタム値を指定できます。このエントリを「0」に変更して、ユーザがクライアント マシンの [Discovery Host] フィールドの値を変更できないようにすることができます。

 

表 9-5 サーバ ルール名の指定

パラメータ
デフォルト値
有効な範囲
説明/動作

ServerNameRules

--

FQDN

このパラメータは、カンマ区切りのサーバ名のリストです。このリストで使用できるサーバ名は、クライアント マシンによる CAS の認可に使用されます。このリストが空白の場合、認可は実行されません。

Agent は CAS/Agent SSL との通信で提供された証明書の CN(標準名)を NACAgentCFG.xml ファイルの ServerNameRules パラメータと比較します。CN にはホスト名やドメイン名などの情報が含まれます。Agent はこれらの名前が一致した場合のみ表示されます。

サーバ名は FQDN 名である必要があります。パラメータは、 NACAgentCFG.xml ファイルの任意の場所に置くことができます。CN と一致する場合は、IP アドレスも使用できます。

ServerNameRules エントリの例:

marketing.cisco.com、sales.cisco.com

engineering.cisco.com

同様の文字を持つサーバ名の指定に、ワイルドカード文字「*」を使用できます。たとえば、 *.cisco.com は、Cisco.com ドメインのすべてのサーバと一致します。ワイルドカードは、先頭のみに使用でき、ワイルドカードの後ろに続く文字は正確に一致する必要があります。

ワイルドカードのその他の例:

*.marketing.cisco.com

*.com

 

表 9-6 信頼できるデジタル署名用の Launch Program 実行ファイルを確認する Cisco NAC Agent

レジストリ キー
デフォルト値(10 進数)
有効な範囲
説明/動作

SignatureCheck

0

0 または 1

SignatureCheck 設定は、Windows が実行可能ファイルを起動する前にファイルを信頼できるかどうかを判断するために Cisco NAC Agent が使用するデジタル署名を検索します。

詳細については、「Launch Programs 要件の設定」を参照してください。

 

表 9-7 追加の SWISS ディスカバリのカスタマイズ

パラメータ
デフォルト値(10 進数)
有効な範囲
説明/動作

SwissTimeout

1

> 1

この設定が 1 の場合、Agent は設計どおりに SWISS ディスカバリを実行し、追加の応答パケット遅延タイムアウト値はありません。

設定が 1 よりも大きい 整数の場合、Agent は Clean Access サーバからの SWISS ディスカバリ応答を追加の秒数だけ待機してから、別のディスカバリ パケットを送信し、ネットワークで応答パケットの遅延が発生していないことを確認します。

DisableL3SwissDelay

0

0 または 1

この設定が 1 の場合、Agent はレイヤ 3 検出パケットの転送間隔を長くする機能をディセーブルにします。したがって、レイヤ 3 検出パケットはレイヤ 2 パケットと同様に、5 秒ごとに送信され続けます。デフォルト設定は 0(イネーブル)です。

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Layer 3 SWISS Packet Delay to Conserve Bandwidth」を参照してください。


) SwissTimeout は、UDP SWISS タイムアウトでのみ機能します。


詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Configuring the CAS Managed Network」の章を参照してください。

 

表 9-8 HTTP ディスカバリのカスタマイズ

パラメータ
デフォルト値(秒)
有効な範囲
説明/動作

HttpDiscoveryTimeout

30

3 以上

デフォルトのタイムアウトは 30 秒です。これは、Agent からの HTTPS ディスカバリが Clean Access Server からの応答を待機する時間です。指定された時間内に応答がないと、ディスカバリはタイムアウトになります。

設定可能な最小値は 3 です。値が 1 または 2 に設定されると、タイムアウトは 3 秒として認識されます。

この値がゼロ(0)に設定されると、Windows のデフォルトのタイムアウト設定値が使用されます。

(注) Cisco NAC アプライアンス 4.9 では、Agent からの HTTPS ディスカバリは、ネットワークを 30 分ごとにチェックします。旧リリースでは、HTTPS ディスカバリは 30 分後にチェックを停止し、ネットワークに変更があった場合のみ再開しました。

HttpTimeout

120

3 以上

デフォルトのタイムアウトは 120 秒です。これは、Agent からの HTTP 要求が応答を待機する時間です。指定された時間内に応答がないと、要求はタイムアウトになります。

設定可能な最小値は 3 です。値が 1 または 2 に設定されると、タイムアウトは 3 秒として認識されます。

この値がゼロ(0)に設定されると、Windows のデフォルトのタイムアウト設定値が使用されます。値がゼロ(0)より小さい場合、タイムアウトは 120 秒に設定されます。

(注) HttpTimeout は、ポスチャ HTTP 通信にのみ適用されます。

表 9-9 複数のアクティブな NIC を使用したクライアントによる認証 VLAN 変更検出へのアクセス

パラメータ
デフォルト値(10 進数)
有効な範囲
説明/動作

RetryDetection

3

0 以上

ICMP または ARP ポーリングが失敗した場合、クライアント IP アドレスの更新の前に、この設定は Agent が <x> 回再試行するよう設定します。

PingArp 2

0

0 ~ 2

この値が 0 に設定されている場合は、ICMP を使用してポーリングします。

この値が 1 に設定されている場合は、ARP を使用してポーリングします。 1

この値が 2 に設定されている場合は、まず ICMP を使用してポーリングしてから、(ICMP が失敗した場合は)ARP を使用します。

PingMaxTimeout

1

1 ~ 10

ICMP を使用してポーリングし、 <x> 秒内に応答がない場合は、ICMP ポーリング失敗を宣言します。

VlanDetectInterval 1

0 3、5 4

0、5 ~ 900 5

この設定が 0 の場合、認証 VLAN 変更機能へのアクセスはディセーブルにされます。

この設定が 1 ~ 5 の場合、Agent は 5 秒ごとに ICMP/ARP クエリを送信します。

この設定が 6 ~ 900 の場合は、 <x> 秒ごとに ICMP/ARP クエリを送信します

EnableVlanDetectWithoutUI

0

0、1

このパラメータは、NAC Agent のトレイ アイコンが実行されていない場合(クライアント マシンが Windows のログイン プロンプトの場合など)に、VLAN 検出機能をイネーブルにするために使用されます。この機能は、CDL タイマーを設定した管理者が、マシンの電源をオンにしたままログインしていないユーザを「外に出す」ために使用できます。これにより、ネットワークが変更されたときに、マシンに有効な IP を提供できます。

この値を 0 に設定すると、VLAN 検出機能はディセーブルになります。これはデフォルトの設定です。

この値を 1 に設定すると、VLAN 検出機能はイネーブルになります。

2.VLAN 検出は、ネットワークの使用率が高い状況で ARP をディスカバリ方法として使用すると失敗することがあります。代わりに ICMP 方式を使用してください。

3.Windows NAC Agent の場合、デフォルト値は 0 です。デフォルトでは、認証 VLAN 変更機能へのアクセスは Windows ではディセーブルになっています。

4.Mac OS X Agent の場合、デフォルト値は 5 です。Mac OS X のデフォルトでは、認証 VLAN 変更機能へのアクセスは、「VlanDetectInterval」を 5 秒としてイネーブルになっています。

5.Cisco NAC Agent での最大範囲は 900 秒(15 分)です。Cisco Clean Access Agent での最大範囲は 60 秒(1 分)です。詳細については、『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』および『Release Notes for Cisco NAC Appliance, Version 4.5(1)』を参照してください。

詳細については、「認証 VLAN 変更設定へのアクセスの設定」を参照してください。

 

表 9-10 クライアント側の MAC アドレス管理

パラメータ
デフォルト値
有効な範囲
説明/動作

ExceptionMACList

--

有効な MAC アドレス

この設定で 1 つまたは複数の MAC アドレスを指定すると、Agent は、ログインと認証の間、ネットワーク経由の不要な MAC アドレスの送信を防ぐために、これらの MAC アドレスを Clean Access Server(CAS)にアドバタイズしません。指定するテキスト ストリングは、コロンを含む、カンマで区切られた MAC アドレスのリストでなければなりません。例:

AA:BB:CC:DD:EE:FF,11:22:33:44:55:66
 

GeneratedMAC

--

有効な MAC アドレス

このパラメータは、クライアント マシンでの Evolution Data Optimized(EVDO)接続をサポートします。クライアント マシンにアクティブな NIC がない場合、Agent はシステム上に「ダミー」の MAC アドレスを作成します。

 

表 9-11 Cisco NAC Agent のアクセシビリティ対話のイネーブル化/ディセーブル化

パラメータ
デフォルト値(10 進数)
有効な範囲
説明/動作

AccessibilityMode

0

0 または 1

この設定が 1 の場合、Cisco NAC Agent は JAWS 画面リーダーに対応します。

この設定が 0 の場合、Agent は JAWS 画面リーダーとの対話を行いません。

(注) この機能をイネーブルにすると、パフォーマンスがわずかながら影響を受ける可能性があります。JAWS 画面リーダーがインストールされていないクライアント マシンでこの機能をイネーブルにしても、Agent は正常に機能します。

詳細については、『 Accessibility Features in Cisco NAC Agent- Keyboard Navigation 』を参照してください。

 

表 9-12 Cisco NAC Agent ローカリゼーション設定の指定

パラメータ
デフォルト値
有効な範囲
説明/動作

Locale

OS の設定(「default」)

--

この設定が default の場合、Agent はクライアント オペレーティング システムのロケール設定を使用します。

この設定が、サポートされている言語の ID、略称、または正式名称の場合、Agent は自動的に、クライアント マシンの Agent ダイアログをローカライズされたテキストで表示します。

 

表 9-13 Agent コンフィギュレーション XML ファイルの「Locale」パラメータ設定

言語
ID
略称
完全な名称

カタロニア語(スペイン)

1027

ca

Catalan

中国語(簡体字)

2052

zh-cn

ChineseSimplified

中国語(繁体字)

1028

zh-tw

ChineseTraditional

チェコ語

1029

cs

Czech

デンマーク語

1030

da

Danish

オランダ語(標準)

1043

nl

Dutch

英語(米国)

1033

en

English

フィンランド語

1035

fi

Finnish

フランス語

1036

fr

French

フランス語(カナダ)

3084

fr-ca

FrenchCanadian

ドイツ語

1031

de

German

ハンガリー語

1038

hu

Hungarian

イタリア語

1040

it

Italian

日本語

1041

ja

Japanese

韓国語(Extended Wansung)

1042

ko

Korean

ノルウェー語

1044

no

Norwegian

ポルトガル語

2070

PT

Portuguese

ロシア語

1049

ru

Russian

セルビア語(キリル)

3098

src

SerbianCyrillic

セルビア語(ラテン)

2074

sr

SerbianLatin

スペイン語(トラディショナル)

1034

es

SpanishTraditional

スウェーデン語

1053

sv

Swedish

トルコ語

1055

tr

Turkish

Agent カスタマイズ ファイルの設定

ここでは、Agent カスタマイズ ファイル( branding.tar.gz )内で設定を指定して、Cisco NAC Agent のさまざまな機能をカスタマイズする方法について説明します。

「branding.tar.gz」 ファイルには、通常次のファイルが含まれます。

nac_logo.gif

nac_login.xml

nacStrings_xx.xml

次のパラメータをカスタマイズできます。

Logo

Agent のログイン画面

事前設定済みの Agent 文字列およびフィールドのセット

Logo

すべての NAC Agent 画面に表示される Cisco ロゴをブランドのロゴに置き換えることができます。イメージには、67 x 40 ピクセルまでの .gif ファイルを使用する必要があります。ロゴ イメージには、「nac_logo.gif」という名前を付けます。

Agent のログイン画面

デフォルトでは、NAC Agent ログイン画面は図 9-10 のように表示されます。

図 9-10 NAC Agent のログインのデフォルト画面

 

NAC Agent のログイン画面に表示される要素は、次の方法のいずれかを使用してカスタマイズできます。

「nac_login.xml」ファイルの変更

「nacStrings_xx.xml」ファイルの変更


) デフォルトのロゴは、「nac_logo.gif」ファイルを使用して置き換えることができます。


NAC Agent をデフォルトの場所にインストールしたシステムでは、上述のファイルは次のディレクトリにあります。

「nac_login.xml」ファイルは "C:¥Program Files¥Cisco¥Cisco NAC Agent¥UI¥nac_divs¥login" ディレクトリにあります。

「nacStrings_xx.xml」ファイルで、「xx」はロケールを示します。ファイルの詳細なリストは、"C:¥Program Files¥Cisco¥Cisco NAC Agent¥UI¥cues_utility" ディレクトリにあります。


) Agent がデフォルトの場所にインストールされている場合、ファイルは上で説明したディレクトリから使用できます。Agent が別の場所にインストールされている場合、ファイルは、「<Agent Installed path>\Cisco\Cisco NAC Agent\UI\nac_divs\login」および「<Agent Installed path>\Cisco\Cisco NAC Agent\cues_utility」にあります。



ヒント 「nacStrings_xx.xml」ファイルで変更を加えることをお勧めします。

次に、「nac_login.xml」の内容の一部を示します。カスタマイズされたテキストは、太字で示されています。

<tr class="nacLoginMiddleSectionContainerInput">
<td colspan="2">
<fieldset width="100%" id="nacLoginCustomAlert"
style="display:block" class="nacLoginAlertBox">
<table width="100%">
<tr>
<td id="nacLoginCustomAlert.img" valign="top" width="32px">
<img src="./cues_icons/Status_warning_icon.png" align="absmiddle" onload="cuesFixPNG(null,this)"></img>
</td>
<td id="nacLoginCustomAlert.content" class="nacLoginAlertText">
<cues:localize key="login.customalert"/>
</td>
</tr>
</table>
</fieldset>
</td>
</tr>
<tr id="nacLoginRememberMe" style="visibility:hidden">
<td>
<cues:localize key="cd.nbsp"/>
</td>
<td class="cuesLoginField" >
<nobr>
<input type="checkbox" alt="" title="" name="rememberme"
id="rememberme" checked="true" />
<cues:localize key="login.remember_me"/>
</nobr>
</td>
</tr>

 

次に、「nacStrings_xx.xml」の内容の一部を示します。カスタマイズされたテキストは、太字で示されています。

<cueslookup:name key="login.productname"> ACME Co Inc. </cueslookup:name>
<cueslookup:name key="login.version">Version</cueslookup:name>
<cueslookup:name key="login.username"> Enter your username (same as your VPN) </cueslookup:name>
<cueslookup:name key="login.password">Enter your password (VPN password)</cueslookup:name>
<cueslookup:name key="login.remember_me">Remember Me</cueslookup:name>
<cueslookup:name key="login.server">Server</cueslookup:name>
<cueslookup:name key="login.customalert">Do not allow anyone else to use this PC</cueslookup:name>
<cueslookup:name key="login.Too many users using this account">This account is already active on another device</cueslookup:name>
<cueslookup:name key="login.differentuser">Login as Different User</cueslookup:name>
<cueslookup:name key="login.removeoldest">Remove Oldest Login Session</cueslookup:name>

 

上のファイルは、ログイン画面を図 9-11 に示すようにカスタマイズするように変更されています。

図 9-11 Cisco NAC Agent のカスタマイズされたログイン画面

 

[Remember Me] チェックボックスが削除されています。さらに、[Username] フィールドと [Password] フィールドのテキストが増えています。


) カスタマイズするテキストに使用できる文字数に制限はありませんが、ログイン画面のスペースを過剰に占有しないように制限することをお勧めします。


事前設定済みの Agent 文字列およびフィールドのセット

デバイス ポスチャ ステータス(DPS)の詳細を置き換えるには、「nacStrings_xx.xml」ファイルを変更します。次に、DPS 値が設定された「nacStrings_xx.xml」ファイルの一部を示します。

nacStrings_xx.xml ファイルの例:

<cueslookup:name key="dp.status.fullNetAccess">Full Network Access</cueslookup:name>
<cueslookup:name key="dp.status.fullNetAccess.verbose">Your device conforms with all the security policies for this protected network</cueslookup:name>
<cueslookup:name key="dp.status.fullNetAccessWarn.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name>
<cueslookup:name key="dp.status.iprefresh.progress.verbose">Refreshing IP address. Please Wait ...</cueslookup:name>
<cueslookup:name key="dp.status.iprefresh.complete.verbose">Refreshing IP address succeeded.</cueslookup:name>
<cueslookup:name key="dp.status.vlanchange.progress.verbose">Connecting to protected Network. Please Wait ...</cueslookup:name>
<cueslookup:name key="dp.status.guestNetAccess">Guest Network Access</cueslookup:name>
<cueslookup:name key="dp.status.noNetAccess">Network Access Denied</cueslookup:name>
<cueslookup:name key="dp.status.noNetAccess.verbose">There is at least one mandatory requirement failing. You are required to update your system before you can access the network.</cueslookup:name>
<cueslookup:name key="dp.status.rejectNetPolicy.verbose">Network Usage Terms and Conditions are rejected. You will not be allowed to access the network.</cueslookup:name>
<cueslookup:name key="dp.status.RestrictedNetAccess">Restricted Network Access granted.</cueslookup:name>
<cueslookup:name key="dp.status.RestrictedNetAccess.verbose">You have been granted restricted network access because your device did not conform with all the security policies for this protected network and you have opted to defer updating your system. It is recommended that you update your system at your earliest convenience.</cueslookup:name>
<cueslookup:name key="dp.status.temporaryNetAccess">Temporary Network Access</cueslookup:name>
<cueslookup:name key="dp.status.temporaryNetAccess.bepatient.verbose">Please be patient while your system is checked against the network security policy.</cueslookup:name>
<cueslookup:name key="dp.status.pra.mandatoryfailure">Performing Re-assessment</cueslookup:name>
<cueslookup:name key="dp.status.pra.mandatoryfailure.verbose">There is at least one mandatory requirement failing. You are required to update your system otherwise your network access will be restricted.</cueslookup:name>
<cueslookup:name key="dp.status.pra.optionalfailure">Performing Re-assessment</cueslookup:name>
<cueslookup:name key="dp.status.pra.optionalfailure.verbose">Only optional requirements are failing. It is recommended that you update your system at your earliest convenience.</cueslookup:name>
<cueslookup:name key="dp.status.SessionTimeout">Logged out</cueslookup:name>
<cueslookup:name key="dp.status.SessionTimeout.verbose">Temporary Access to the network has expired.</cueslookup:name>
<cueslookup:name key="dp.status.Unauthenticated">Logged out</cueslookup:name>
<cueslookup:name key="dp.status.Unauthenticated.verbose"> </cueslookup:name>

 


) カスタマイズが必要なすべてのロケールで文字列を置き換える必要があります。複数のロケールでカスタマイズが必要な場合、複数の nacStrings_xx.xml ファイルで変更を行う必要があります。


必要なファイルを変更した後、すべてのファイルを含む tar ファイルを作成し、「branding.tar.gz」という名前で保存します。次に、tar コマンドの例を示します。

tar cvzf branding.tar.gz nac_login.xml nac_logo.gif nacStrings_en.xml

CAM の [Agent Installation] オプションを使用して、クライアント システムに tar ファイルをアップロードします。詳細については、「[Installation] ページ」を参照してください。

Altiris/SMS を使用している場合、MSI パッケージとともにカスタマイズ ファイルを配布できます。詳細は「Cisco NAC Agent MSI インストーラ」を参照してください。

MSI パッケージを使用する場合、「branding.tar.gz」ファイルではなく、個々のカスタマイズ ファイル(nac_login.xml、nac_logo.gif、および nacStrings_en.xml)を配布します。

Cisco NAC Agent MSI インストーラ

Cisco NAC アプライアンスには、Windows クライアント マシン用に Cisco NAC Agent の MSI(Microsoft Installer 形式)インストーラが用意されています( nacagentsetup-win.msi )。ファイル転送時のローカル メモリ使用量が少ない、同じインストーラ パッケージの .zip バージョンもあります。MSI または .zip パッケージは、Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )からダウンロードできます。Cisco NAC Agent MSI または .zip パッケージを取得したら、MSI インストーラを Agent コンフィギュレーション XML ファイル( NACAgentCFG.xml )と共にクライアント マシン上のディレクトリに置きます。このファイルは、Cisco NAC アプライアンス ネットワークを検索する場所をクライアント マシンに示す、適切な Discovery Host アドレスを含んでいる必要があります。


ステップ 1 nacagentsetup-win.msi または nacagentsetup-win.zip インストーラ ファイルを Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )からダウンロードします。

ステップ 2 nacagentsetup-win.msi ファイルをクライアント マシン上の特定のディレクトリに置きます(たとえば、C:¥temp¥nacagentsetup-win.msi)。

MSI インストーラを直接クライアントにコピーする場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、 nacagentsetup-win.msi ファイルを置きます。

nacagentsetup-win.zip インストーラを使用する場合は、クライアント マシンから Cisco NAC Agent をインストールする際のインストール元となるディレクトリに、.zip ファイルの内容を抽出します。

ステップ 3 適切な Discovery Host アドレスを指定する Agent コンフィギュレーション XML ファイルを、Cisco NAC Agent MSI パッケージと同じディレクトリに置きます。Agent コンフィギュレーション XML ファイル、およびそのパラメータと構文については、「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照してください。

Agent コンフィギュレーション XML ファイルが MSI インストーラ パッケージと同じディレクトリに存在していれば、インストール プロセスによって Agent コンフィギュレーション XML ファイルは自動的に適切な Cisco NAC Agent アプリケーション ディレクトリに置かれるため、Agent は最初に起動されたとき、ネットワーク上の正しい場所をポイントすることができます。


) [Discovery Host] フィールドは、Agent コンフィギュレーション XML ファイルの DiscoveryHostEditable パラメータを変更して、編集可能または編集不可にすることができます。詳細については、「Cisco NAC Agent XML コンフィギュレーション ファイルの設定」を参照してください。


ステップ 4 クライアント マシンでコマンド プロンプトを開き、次のように入力してインストールを実行します。

msiexec.exe /i NACAgentSetup-win.msi /qn /l*v c:\temp\agent-install.log
 

/qn 修飾子は、Cisco NAC Agent を完全にサイレントでインストールします。/l*v は、インストール セッションを冗長モードで記録します。


Cisco NAC Agent はクライアント マシンにインストールされ、Agent コンフィギュレーション XML ファイルで指定された Discovery Host を使用してバックグラウンドで自動的に起動して、Cisco NAC アプライアンス ネットワークに接続します。


 

Altiris/SMS を使用して MSI インストーラを配布する場合、次の手順を実行して、Agent のカスタマイズを強制します。

Agent カスタマイズ ファイルを、ディレクトリ「%TEMP%/CCAA」の「brand」というサブディレクトリに置きます。

カスタマイズは、NAC Agent がクライアントにインストールされるときに Agent に適用されます。

カスタマイズを削除するには、カスタマイズ ファイルのないプレーンな MSI を送信します。

Agent カスタマイズ ファイルの詳細については、「Agent カスタマイズ ファイルの設定」を参照してください。

Agent ベースのポスチャ評価の設定

ここでは、クライアント マシン上で Agent がポスチャ評価と修復を実行できるように CAM の要件を設定する方法について説明します。

「概要」

「AV および AS Definition Update 要件の設定」

「Windows Server Update Services 要件の設定」

「Windows Update 要件の設定」

「カスタム チェック、ルール、および要件の設定」

「Launch Programs 要件の設定」

「要件とルールのマッピング」

「ユーザ ロールへの要件の適用」

「要件の自動修復の設定」

概要

要件

Cisco NAC Agent または Cisco NAC Web Agent を実行しているクライアント マシンでポスチャ評価を実行するには、クライアントのオペレーティング システムで実行するクライアント検証のタイプに基づいて、要件を設定、実装する必要があります。要件は、ネットワーク アクセスを実現するためにユーザがシステムで実行しなければならない(あるいは、実行してはならない)機能について、ビジネスレベルの判断を行う場合に使用されます。要件のメカニズムは、ユーザ ロールでクライアントが満たさなければならない 1 つまたは複数のルールに、クライアントが違反した場合のユーザの対処法をマップします。新しい要件を作成する場合、いくつかの異なる要件タイプから 1 つ(たとえば、AV Definition Update)を選択し、クライアントが要件に違反した場合に、ユーザに表示する Agent ダイアログのオプション、ボタン、および対処法の説明を設定します。異なる要件タイプを作成する手順の詳細については、次を参照してください。

「AV および AS Definition Update 要件の設定」

「Windows Server Update Services 要件の設定」

「Windows Update 要件の設定」

「カスタム チェック、ルール、および要件の設定」

「Launch Programs 要件の設定」


) 必須の修復アクション(Windows Update や AV/AS のサポート アップデートなど)のほとんどで、ユーザはクライアント マシンの管理者権限を持っている必要があります。したがって、クライアント マシンでポスチャ評価や修復を行うユーザには、必ず管理者レベルの権限を与えることをお勧めします。


ルール

Windows Server Update Service(WSUS)の「Severity」オプションの要件タイプを除くすべてのケースにおいて、クライアント マシンでセキュリティ標準を満たしていることを確認するために、ルールを要件にマッピングする 必要があります 。ルールは、クライアント マシンを検証し、要件を満たしているかどうかを評価するために Agent が使用する単位です。ルールには、次のものがあります。

AV/AS 要件に関連付けられた設定済み AV/AS ルール。これには、クライアント マシンを検証するための追加チェックが不要です。

1 つまたは複数のプリセット チェックを備えた設定済み Cisco Rules(pr_rule)。たとえば、「緊急」の更新だけに対処する Windows ホット フィックス関連「pr_ 」ルールがあります。pr_rules を複数の異なる要件タイプの検証基準としてマッピングできます。Cisco Rules の詳細については、「シスコの設定済みルール(「pr_」)」を参照してください。

1 つまたは複数の設定済みまたはカスタム チェックで構成されたカスタム ルール。カスタム ルールは、チェックに基づいてルール式を設定することでユーザ自身が作成するものです。

ルールの要件をマッピングする詳細については、「要件とルールのマッピング」 を参照してください。

チェック

チェックはルールの基礎的な要素ですが、多くの場合これを設定する必要はありません。チェックは選択された OS に対応する単一のレジストリ、ファイル、サービス、またはアプリケーション チェックです。カスタム ファイルを作成する場合に使用されます。チェックには、シスコの設定済みチェック(pc_ check)または自分で作成するカスタム チェックがあります。ルールを要件にマッピングする際に、正確にクライアント マシンを検証するために適切なチェック(pc_ checks またはカスタム チェック)が所定の位置に配置されていることを確認します。


) 設定済み(「pr_」)ルールは、すでにクライアント マシンのセキュリティ標準を検証する 1 つまたは複数のチェックと関連付けられています。設定済みルールまたはチェックがニーズと一致しない場合だけカスタム ルールまたはチェックを作成する必要があります。詳細については、「カスタム チェック、ルール、および要件の設定」を参照してください。


ロール マッピング

要件を 1 つまたは複数のルールにマッピングした後、最後の手順は要件を標準ログイン ユーザ ロールに関連付けることです。標準ユーザ ロールへの認証を試行するユーザは、標準ログイン ロールに対応する要件にパスするまで、Temporary ロールに配置されます。

この要件に正常に適合したユーザは、標準ログイン ロールでのネットワーク作業が許可されます。

要件に違反したユーザは、Agent ダイアログに記載された手順を実行して、要件に正常に適合しないかぎり、Temporary ロールのままでセッションをタイムアウトします。

ロールへの要件のマッピングに関する詳細は、「ユーザ ロールへの要件の適用」を参照してください。


) 要件を標準ログイン ユーザ ロールにマップするには、「ユーザ ロールの作成」の説明に従って、ロールを作成しておく必要があります。


Agent ポスチャ評価プロセス

図 9-12 に、Agent によるユーザ認証時の Cisco NAC アプライアンス クライアントのポスチャ評価プロセス(ネットワーク スキャンの有無も含めて)の詳細を示します。

図 9-12 Agent ポスチャ評価

 

Cisco NAC アプライアンスでは、次のユーザ ロールが使用されます。これらに対してトラフィック ポリシーとセッション タイムアウトを設定する必要があります。

Unauthenticated ロール :Clean Access Server の後ろ側の未認証ユーザ(Agent または Web ログイン)用のデフォルト システム ロール。Web ログイン ユーザは、ネットワーク スキャンの実行中、Unauthenticated ロールになります。

Agent Temporary ロール :Agent ユーザは、Agent の要件がシステム上でチェックされている間、Temporary ロールになります。

Quarantine ロール :Web ログインと Agent のいずれのユーザも、ネットワーク スキャンによってクライアント マシンに脆弱性があると判断された場合、Quarantine ロールになります。

ユーザが Agent の条件に適合した場合またはネットワーク スキャンで脆弱性が発見されなかった場合、またはその両方の場合には、そのユーザに標準ログイン ユーザ ロールまたは「制限付き」アクセス ロールでのネットワーク アクセスが許可されます。詳細については、「クライアント ポスチャ評価のロール」を参照してください。

ユーザ ログイン/修復中、Agent ダイアログには、インストールされている Agent のタイプ、およびクライアント マシンを検証するために割り当てられた要件に応じて、ユーザがクリックできるさまざまなボタンが表示されます。Agent ダイアログおよび動作の詳細については、「Cisco NAC アプライアンス Agent」を参照してください。

AV および AS Definition Update 要件の設定

AV Definition Update および AS Definition Update 要件タイプは、クライアント上にあるサポート対象 AV/AS 製品の定義ファイルのレポートおよび更新に使用できます。クライアントが AV/AS 要件を満たさない場合、Agent はクライアントにインストールされた AV/AS ソフトウェアと直接通信します。ユーザが Agent ダイアログの [Update] または [Remediate] ボタンをクリックすると、定義ファイルは自動的に更新されます。


) Cisco NAC Web Agent は、[Go To Link] 手動修復および [File Distribution] 機能だけをサポートしています。Cisco NAC Web Agent は、[Update] または [Launch] 修復アクションをサポートしていません。また、自動修復は実行しません。


AV ルールには AV ベンダーに関するロジックが多数組み込まれていて、AV Definition Update 要件が対応付けられています。AS ルールにはほとんどの AS ベンダーに関するロジックが組み込まれていて、AS Definition Update 要件が対応付けられています。AV または AS Definition Update 要件の場合、チェックを設定する必要はありません。次のように対応付けます。

AV Definition Update 要件と AV ルール、ユーザ ロールおよび OS

AS Definition Update 要件と AS ルール、ユーザ ロールおよび OS

さらに、AV/AS 要件に違反した場合にユーザに表示する Agent ダイアログの説明を設定します。


) 可能であれば、クライアントの AV ソフトウェアをチェックする場合に、AV Definition Update 要件に対応付けられた AV ルールを使用することを推奨します。サポート対象外の AV 製品の場合、または AV ルールを介して AV 製品/バージョンを使用できない場合、管理者は常に AV ベンダーに関するシスコ提供の pc_ checks および pr_rules を使用したり、[Device Management] > [Clean Access] > [Clean Access Agent] を通して([New Check]、[New Rule]、および [New File/Link/Local Check Requirement] を使用して)独自のカスタム チェック、ルール、および要件を作成することができます(「カスタム チェック、ルール、および要件の設定」を参照)。

Cisco NAC アプライアンスは AV ベンダーがサポートするインストール方式およびメカニズムと連携して機能します。AV ベンダーが AV 製品の基本メカニズムを突然変更した場合、Clean Access チームはできるだけ早く Supported AV/AS Product List または Agent をアップグレードして、新しい AV 製品の変更をサポートします。その間に、管理者は常に目的の AV 製品に「カスタム」ルール(pc_checks/pr_ ルールなど)を使用して対処し、「Any selected rule succeeds」の要件を設定することができます。


図 9-13図 9-14 に、クライアントが AV Definition Update 要件を満たしていない場合に表示される Agent ダイアログを示します。

図 9-13 必要な AV Definition Update(Cisco NAC Agent)

 

図 9-14 必要な AV Definition Update(Mac OS X Agent)

 

AV ルールおよび AS ルール

AV ルールおよび AS ルールは、Supported AV/AS Product List 内のベンダーおよび製品のリストに対応付けられた設定済みのルール タイプです。このタイプのルールを含むチェックを設定する必要はありません。

AV ルールには 2 つの基本タイプがあります。

インストール AV ルール :選択された AV ソフトウェアがクライアント オペレーティング システムに対応するようにインストールされているかどうかを調べます。

ウイルス定義 AV ルール :クライアントのウイルス定義ファイルが最新であるかどうかを調べます。ウイルス定義 AV ルール を AV Definition Update 要件に対応付けると、要件を満たさないユーザが Agent の [Update] ボタンをクリックして更新を自動実行し、システム レポート機能が Cisco NAC Web Agent ユーザに要件について警告することができるようになります。

AS ルールには 2 つの基本タイプがあります。

インストール AS ルール :選択された AS ソフトウェアがクライアント OS に対応するようにインストールされているかどうかを調べます。

スパイウェア定義 AS ルール :クライアントのスパイウェア定義ファイルが最新であるかどうかを調べます。スパイウェア定義 AS ルールを AS Definition Update 要件に対応付けると、要件を満たさないユーザが Agent の [Update] ボタンをクリックして更新を自動実行し、システム レポート機能が Cisco NAC Web Agent ユーザに要件について警告することができるようになります。


) 特定の AV/AS ベンダー製ソフトウェアでは、更新を行うためにはユーザがクライアント マシンの管理者権限を持っている必要があります。


通常、 AV ルール AV Definition Update 要件に、 AS ルール AS Definition Update 要件に関連付けられます。

AV Definition Update 要件を作成する手順は、次のとおりです。


ステップ 1 「AV/AS サポート情報の確認」

ステップ 2 「AV ルールの作成」

ステップ 3 「AV Definition Update 要件の作成」

ステップ 4 「要件とルールのマッピング」

ステップ 5 「ユーザ ロールへの要件の適用」

ステップ 6 「要件の検証」


 

AS Definition Update 要件を作成する手順は、次のとおりです。


ステップ 1 「AV/AS サポート情報の確認」

ステップ 2 「AS ルールの作成」

ステップ 3 「AS Definition Update 要件の作成」

ステップ 4 「要件とルールのマッピング」

ステップ 5 「ユーザ ロールへの要件の適用」

ステップ 6 「要件の検証」


 


) AV または AS ルール/要件を別の方法で設定する方が便利な場合があります。例:

特定のベンダーの一部の製品バージョンでは、Agent による製品の自動更新をサポートしていない場合があります。この場合は、インストールされた AV/AS 製品のインターフェイスを通して、AV/AS 定義ファイルを更新するようにユーザに指示する説明を設定できます(AV または AS Definition Update 要件の [Description] フィールドを使用)。

AV または AS ルールに別の要件タイプ(Link Distribution や Local Check など)を関連付けて、Agent ボタンおよびユーザの対処法を「Update」から「Go to Link」に変更したり、アクション ボタンをディセーブルにして説明だけを表示することができます。この方法により、ユーザが実行するアクションを柔軟に設定できます。

異なる Enforce Type も設定できます。クライアント向けのレポートを生成したり、ユーザが要件を満たす期間を延長し、その期間はユーザがネットワークからブロックされないようにできます。詳細については、「Optional および Audit 要件の設定」を参照してください。


 

AV/AS サポート情報の確認

Cisco NAC アプライアンスを使用すると、ネットワーク上で複数のバージョンの Agent を使用できます。Agent に新しいアップデートを適用すると、リリース時点での最新の AV/AS 製品のサポートが追加されます。最適な方法(Def Date または Def Version)が選択され、入手可能な AV/AS 製品および Agent のバージョンに基づいて AV/AS 定義チェックを実行します。[AV/AS Support Info] ページには、CAM にダウンロードされた最新の Supported AV/AS Product List と Agent の互換性が詳細に表示されています。また、AV/AS 製品ごとの定義ファイルの最新バージョンや日付、製品サポートに必要な Agent のベースライン バージョンが表示されています。クライアントの AV/AS 情報と、[AV/AS Support Info] ページを比較して、クライアントの定義ファイルが最新かどうかを確認できます。ネットワークで複数のバージョンの Agent が稼動している場合、このページを使用すると、特定の製品をサポートするため実行しなければならないバージョンを判別することができます。

Agent サポート詳細を表示するには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [AV/AS Support Info] に移動します。

ステップ 2 Category ドロップダウン メニューで [Antivirus](図 9-15 および図 9-16 を参照)または [Anti-Spyware](図 9-17 および図 9-18 を参照)を選択します。

図 9-15 [AV/AS Support Info]:Windows AV ベンダーの例

 

図 9-16 [AV/AS Support Info]:Mac OS X AV ベンダーの例

 

図 9-17 [AV/AS Support Info]:Windows AS ベンダーの例

 

図 9-18 [AV/AS Support Info]:Mac OS X AS ベンダーの例

 

ステップ 3 ドロップダウン メニューで、対応するベンダー([Antivirus Vendor] または [Anti-Spyware Vendor])を選択します。


) AS 定義の日付/バージョンの定期更新は、Cisco Updates から実行できます。更新サービスが使用可能になるまで、システムは定義ファイルを AS Spyware Definition ルール([Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules])の現在のシステム日付よりも x 日古い日付に設定します。


ステップ 4 [Operating System] ドロップダウン メニューで次のオペレーティング システムのいずれかを選択し、クライアント システムのサポート情報を表示します。

Windows 7/Vista/XP

Mac OSX

製品の詳細については、[Minimum Agent Version Required to Support AV/AS Products] テーブルで確認してください。

この選択を行うと、次のテーブルにデータが読み込まれます。

[Minimum Agent Version Required to Support AV/AS Products] は、各 AV/AS 製品のサポートに必要な最低限の Agent バージョンを示します。例:

4.1.3.0 以降の Windows Agent は、Aluria Security Center AntiVirus 1.x を必要とするロールにログインすることはできますが、これよりも前の Agent バージョンの場合、このチェックは失敗します。

4.6.0.3 Mac OS X Agent は、clamXav: 0.x および ClamXav: 1.x にログインすることができます。

特定のバージョンの Agent が Def Date と Def Version の両方のチェックをサポートする場合、Def Version チェックが使用されます。

[Latest Virus/Spyware Definition Version/Date for Selected Vendor] は、AV/AS 製品の最新バージョンと日付の情報を示します。最新クライアントの AV ソフトウェアに、同じ値が表示されます。


) Agent はバージョン情報を CAM に送信します。CAM が最初に AV チェックに使用するのは、常にウイルス定義のバージョンです。バージョンを使用できない場合、CAM はウイルス定義の日付を使用します。



ヒント [New AV Rule] フォームで AV ベンダーを選択した場合も、最新の定義ファイル バージョンを表示できます。


 

AV ルールの作成


) Mac OS X Agent バージョン 4.5.0.0 以降を使用してクライアント修復を実行するために、CAM/CAS では、Cisco NAC アプライアンス リリース 4.5 以降を実行し、最新の Cisco AV/AS サポート アップデートが存在している必要があります。


AV ルールを設定するには、次の手順を実行します。


ステップ 1 最新バージョンの Supported AV/AS Product List が存在することを確認してください(「Cisco NAC アプライアンスのアップデートの取得」を参照)。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AV Rule] に移動します。

図 9-19 [New AV Rule]:Windows

 

図 9-20 [New AV Rule]:Mac OS X

 

ステップ 3 [Rule Name] を入力します。名前内には数字と下線を使用できますが、スペースは使用できません。

ステップ 4 ドロップダウン メニューで、特定の [Antivirus Vendor] または [ANY](任意の)ベンダーを選択します。この操作を実行すると、選択した [Operating System] に対応する、[ANY](任意の)ベンダー オプションの情報または指定ベンダーのサポート対象製品および製品バージョンが、ページの下部にある [Checks for Selected Operating Systems] テーブルに読み込まれます。


) [ANY] オプションを選択するとクライアント マシンでの Agent のパフォーマンスに影響を与える(プロセスに時間がかかる)可能性があるため、できるだけベンダー名を指定することをお勧めします。


ステップ 5 [Type] ドロップダウン メニューで、[Installation] または [Virus Definition] を選択します。このようにすると、下部のテーブル内の、対応する [Installation] または [Virus Definition] カラムのチェックボックスがイネーブルになります。

ステップ 6 ドロップダウン メニューで [Operating System] を選択します。このクライアント OS でサポートされる製品バージョンが下部のテーブルに読み込まれます。

Windows 7/Vista/XP

Mac OSX

ステップ 7 (任意)[Rule Description] に入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 8 [Checks for Selected Operating Systems] テーブルで、対応する [Installation] または [Virus Definition] カラム内のチェックボックスをクリックして、クライアント上でチェックする製品バージョンを選択します。

[ANY] をクリックすると、この AV ベンダーのすべての製品およびバージョンがチェックされます。

[Installation] は、製品がインストールされているかどうかを調べます。

[Virus Definition] は、指定された製品のウイルス定義ファイルが、クライアント上で最新かどうかを調べます。


) 定義ルールでは、Agent は最初に製品がインストールされているかどうかを確認し、次に定義ファイルが最新かどうかを調べます。


ステップ 9 [Add Rule] をクリックします。新しい AV ルールが [Rule List] の下部に、指定した名前で追加されます。

図 9-21 [Rule List] の下に表示される新しい AV ルール:Mac OS X の例

 


) AV ルールを設定する際に、[ANY] AV ベンダー オプションと、ベンダー固有の [ANY Product/ANY Version] オプションでは、次のように動作が異なります。

ANY ベンダーの場合、Agent はインストールされた製品がサポート対象ベンダーからのものかどうかについて、サーバに問い合せる必要があります。Agent は、ログイン セッションの最初にだけ問い合せるため、ユーザは [Cancel] をクリックするか Agent を再起動して、サーバの応答を更新し、ログイン プロセスを繰り返す必要があります。

特定のベンダーの [ANY Product/ANY Version] の場合、Agent はクライアント マシンにインストールしたもの対して必要なベンダーが一致していることだけが必要です。問い合せは不要です。


 


 

AV Definition Update 要件の作成

次の手順は、対応する AV ルールを使用して特定の AV 製品およびバージョンのクライアント システムを検索する、新しい AV Definition Update 要件を作成する方法を示します。クライアントの AV 定義ファイルが最新でない場合、ユーザは Agent の [Update] または [Remediate] ボタンをクリックして、常駐の AV ソフトウェア独自の更新メカニズムを起動することができます。実際のメカニズムは、AV 製品ごとに異なります(ライブ アップデートやコマンド ライン パラメータなど)。


) Cisco NAC Web Agent は、[Go To Link] 手動修復および [File Distribution] 機能だけをサポートしています。Cisco NAC Web Agent は、[Update] または [Launch] 修復アクションをサポートしていません。また、自動修復は実行しません。



) Mac OS X のユーザは、http://www.clamav.net にある ClamXAV ダウンロード サイトにナビゲートすることにより、ClamWin AV Definition Update 要件を解決することができます。CAM の Unauthenticated ロールの定義済みホスト ポリシー([User Management] > [User Roles] > [Traffic Control] > [Host])を使用することを推奨します。


AV Definition Update 要件を作成するには、次の手順を実行します。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニュー リンクをクリックしてから、[New Requirement] を選択します。

図 9-22 New Requirement

 

ステップ 2 [Requirement Type] で、[AV Definition Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレント」にチェックされ、レポートが自動的に生成されて CAS に返されます(監査要件はユーザの [Mac OS X Assessment Report] ウィンドウに表示されません)。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。必須要件が失敗する場合、その要件が成功するまで Agent は次に進みません。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、[New Requirement] 設定ページに表示される修復機能(修復の [Type]、[Interval]、および [Retry Count])はその目的を果たしません。


ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. [Remediation Type] のドロップダウン メニューで [Manual] または [Automatic] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します。(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 ドロップダウン メニューで [Antivirus Product Name] を選択するか、[ANY] を選択します。[Products] テーブルに、クライアント OS ごとにサポートされているウイルス定義製品のバージョンがすべて表示されます。


) [ANY] オプションを選択するとクライアント マシンでの Agent のパフォーマンスに影響を与える(プロセスに時間がかかる)可能性があるため、できるだけベンダー名を指定することをお勧めします。


ステップ 7 [Requirement Name] に、Agent 内でこの AV ウイルス定義ファイル要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 8 [Description] フィールドに、要件の説明、および要件に違反したユーザの指針となる手順を入力します。AV Definition Update 要件の場合、Cisco NAC Web Agent ユーザに対する要件についての警告と、Cisco NAC Agent ユーザに対して [Update] または [Remediate] ボタンをクリックしてシステムを更新するように警告する手順を含めます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 9 少なくとも 1 つのクライアント [Operating System] に対応するチェックボックスをクリックします(少なくとも 1 つをオンにする必要があります)。

ステップ 10 [Add Requirement] をクリックして、Requirement List に要件を追加します。

図 9-23 Mac OS X Agent Assessment Report AV Definition Update 要件表示

 


 

AS ルールの作成


) Mac OS X Agent バージョン 4.5.0.0 以降を使用してクライアント修復を実行するために、CAM/CAS では、Cisco NAC アプライアンス リリース 4.5 以降を実行し、最新の Cisco AV/AS サポート アップデートが存在している必要があります。


AS ルールを設定するには、次の手順を実行します。


ステップ 1 最新バージョンの Supported AV/AS Product List が存在することを確認してください(「Cisco NAC アプライアンスのアップデートの取得」を参照)。

ステップ 2 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [New AS Rule] に移動します。

図 9-24 [New AS Rule]:Windows

 

図 9-25 [New AS Rule]:Mac OS X

 

ステップ 3 [Rule Name] を入力します。名前内には数字と下線を使用できますが、スペースは使用できません。

ステップ 4 ドロップダウン メニューで [Anti Spyware Vendor] を選択するか、または [ANY] を選択して、サポートされている AS ベンダーまたは製品をすべて選択します。この操作を実行すると、ページ下部にある [Checks for Selected Operating Systems] テーブルに、(選択された [Operating System] に対応する)このベンダーのサポート対象製品および製品バージョンが読み込まれます。


) [ANY] オプションを選択するとクライアント マシンでの Agent のパフォーマンスに影響を与える(プロセスに時間がかかる)可能性があるため、できるだけベンダー名を指定することをお勧めします。


ステップ 5 [Type] ドロップダウン メニューで、[Installation] または [Spyware Definition] を選択します。その下のテーブル内の、対応する [Installation] または [Spyware Definition] カラムのチェックボックスがイネーブルになります。

ステップ 6 ドロップダウン メニューで [Operating System] を選択します。

Windows 7/Vista/XP

Mac OSX

ステップ 7 (任意)[Rule Description] に入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 8 [Checks for Selected Operating Systems] テーブルで、対応する [Installation] または [Spyware Definition] カラム内のチェックボックスをクリックして、クライアント上でチェックする製品バージョンを選択します。

[ANY] をクリックすると、この AS ベンダーのすべての製品およびバージョンが検索されます。

[Installation] は、製品がインストールされているかどうかを調べます。

[Spyware Definition] は、指定された製品のスパイウェア定義ファイルが、クライアント上で最新かどうかを調べます。


) 定義ルールでは、Agent は最初に製品がインストールされているかどうかを確認し、次に定義ファイルが最新かどうかを調べます。


ステップ 9 [Add Rule] をクリックします。新しい AS ルールが [Rule List] の下部に、指定した名前で追加されます(図 9-26 を参照)。

図 9-26 [Rule List] の下に表示される新しい AS ルール:Mac OS X の例

 


 

AS Definition Update 要件の作成


) Mac OS X Agent では、AV Definition Update と AS Definition Update の両方をサポートしていますが、Cisco NAC アプライアンス リリース 4.9 に関連付けられている Compliance Module ライブラリには、現在 AS Definition Update が含まれていません。したがって、CAM AS Definition Update 要件の設定ページでは、現在 AS 定義の更新は使用できません。

サポート AV/AS アプリケーションのリストについては、『Release Notes for Cisco NAC Appliance, Version 4.9』の「Clean Access Supported AV/AS Product List」を参照してください。


AS Definition Update 要件を作成するには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-27 新しい AS Definition Update 要件

 

ステップ 2 [Requirement Type] で、[AS Definition Update] を選択します

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレントに」チェックされ、レポートが自動的に生成されて CAS に返されます。(監査要件は Mac OS X ユーザの [Assessment Report] ウィンドウに表示されません)。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、[New Requirement] 設定ページに表示される修復機能(修復の [Type]、[Interval]、および [Retry Count])はその目的を果たしません。


ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. [Remediation Type] のドロップダウン メニューで [Manual] または [Automatic] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します。(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 ドロップダウン メニューで [Anti-Spyware Vendor Name] を選択するか、[ANY] を選択します。[Products] テーブルに、クライアント OS ごとに現在サポートされているスパイウェア定義製品のバージョンがすべて表示されます。


) [ANY] オプションを選択するとクライアント マシンでの Agent のパフォーマンスに影響を与える(プロセスに時間がかかる)可能性があるため、できるだけベンダー名を指定することをお勧めします。


ステップ 7 [Requirement Name] に、Agent 内でこの AS 定義ファイル要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 8 [Description] フィールドに、要件の説明、および要件に違反したユーザの指針となる手順を入力します。AS Definition Update 要件の場合、Cisco NAC Web Agent ユーザに対する要件についての警告と、Cisco NAC Agent ユーザに対して [Update] または [Remediate] ボタンをクリックしてシステムを更新するように警告する手順を含めます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 9 少なくとも 1 つのクライアント [Operating System] に対応するチェックボックスをクリックします(少なくとも 1 つをオンにする必要があります)。

ステップ 10 [Add Requirement] をクリックして、Requirement List に要件を追加します。


 

Windows Server Update Services 要件の設定

Agent の「Windows Server Update Services」要件タイプの設定ページを使用すると、管理者は次の点に基づいて Agent ユーザ マシンで Windows Server Update Services(WSUS)を起動できます。

特定の Windows オペレーティング システムに対する、Cisco Rules(pr_ <Windows operating system> _hotfixes など)や管理者が設定したカスタム ルール

Windows Update 重大度チェック

Cisco Rules を使用して Windows クライアント マシンを検証することを選択した場合、CAM 内の 1 つまたは複数のルールに WSUS 要件をマッピングする必要もあります。既存の Cisco Rules(pr_hotfix)または作成したカスタム ルールに要件をマッピングして、Cisco NAC アプライアンス ネットワークへのアクセスを許可する前にクライアント マシンが特定の基準を確実に満たすようにすることができます。外部サーバ アクセスが不要であるため、Cisco Rules を使用すると、より迅速にクライアントの検証とユーザ ログインを行うことができます。ただし、クライアント マシンは Cisco Rules に含まれる「緊急」ホットフィックスに対してだけチェックされます。pr_rules の詳細については、「カスタム チェック、ルール、および要件の設定」を参照してください。

Windows Update の [Severity] オプションを使用してクライアント マシンを検証することを選択した場合、要件とルールのマッピングを設定する必要がなく、チェックに対応するホットフィックスのレベルを選択できます。[Severity] ポスチャ評価設定では、クライアント マシンのセキュリティ コンプライアンスを検証し、Windows Update をインストールするために、外部 WSUS 更新サーバへのアクセスが必要です。これらを完了させるには非常に長い時間がかかる可能性があります。

「Windows Server Update Services」要件では、Agent に修復用の [Update] ボタンを用意しています。エンド ユーザが [Update] ボタンをクリックすると、Agent は Automatic Updates Agent を起動して、Microsoft またはローカル/サードパーティ管理の WSUS サーバからアップデート ソフトウェアを取得させます。WSUS 要件を [Mandatory] にすることはできますが、WSUS サーバからのソフトウェアのダウンロードに時間がかかる場合があります(特に、[Severity] 設定を使用してクライアント マシンを検証した場合)。したがって、クライアント マシンで WSUS 修復をバックグランド プロセスとして実行するように、WSUS 要件を [Optional] にすることを推奨します。


) Cisco NAC Web Agent は、[Go To Link] 手動修復および [File Distribution] 機能だけをサポートしています。Cisco NAC Web Agent は、[Update] または [Launch] 修復アクションをサポートしていません。また、自動修復は実行しません。


Windows Update をイネーブルまたはディセーブルにすることだけが必要な場合(つまり、Microsoft の重大度レベルに基づいて特定の更新が必要ない場合)、WSUS 要件の代わりに標準 Windows Update 要件を設定できます。詳細については、「Windows Update 要件の設定」を参照してください。

前提条件

ネットワーク管理者は、自動起動機能をサポートするローカル WSUS サーバをサポートするために、Automatic Updates Agent が更新されていることを確認する必要があります。詳細については、次のサイトを参照してください。

http://www.microsoft.com/windowsserversystem/updateservices/evaluation/faqs.mspx

「Windows Server Update Services」要件タイプは、Windows XP、Windows Vista、および Windows 7 に限定されます。

Windows Server Update Services 操作をサポートするには、クライアント マシンに WUAUENG.dll ファイルのバージョン 5.4.3790.1000(またはより最新のバージョン)がインストールされている必要があります。

管理者権限のないユーザが WSUS を使用して Windows を更新する場合は、WSUS 要件を設定する際に、[Installation Wizard Interface Setting] で [No UI] オプションを選択する必要があります。

一部の Microsoft Windows コンポーネント(たとえば、Internet Explorer 7)では、更新を正常に行うために admin 権限が必要になります。ユーザがクライアント マシンに admin 権限を持たない場合は、Windows 更新プロセスが「WU_E_NO_INTERACTIVE_USER」エラーを戻します。そのため、admin 権限を必要とする Windows の更新を [Optional] にして、更新の失敗を最小限に抑えることを推奨します。詳細については、 http://msdn2.microsoft.com/en-us/library/aa387289.aspx を参照してください。

WSUS によって強制された更新は、時間がかかる場合があります。この更新は、バックグラウンドで起動されて、実行されます。

更新エラーがある場合は、クライアント マシンの C: ¥ Windows ¥ Windows Update.log または C: ¥ Windows ¥ WindowsUpdate.log を参照してください。

Windows Server Update Service 要件を作成する手順は、次のとおりです。


ステップ 1 「Windows Server Update Service 要件の作成」

ステップ 2 「Windows ルールへの Windows Server Update Service 要件のマッピング」

ステップ 3 「ユーザ ロールへの要件の適用」

ステップ 4 「要件の検証」


 

Windows Server Update Service 要件の作成

WSUS 要件を設定する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-28 新規の Windows Server Update Service 要件

 

ステップ 2 [Requirement Type] ドロップダウン メニューで [Windows Server Update Services] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件が「サイレント」にチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。これが必須要件で、この要件に失敗した場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. [Remediation Type] のドロップダウン メニューで [Manual] または [Automatic] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します。(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 [Windows Updates Validation by] で、クライアント マシンにインストールされている Windows オペレーティング システムを検証する際に使用する検証方法を指定します。

[Cisco Rules]:Cisco Rules(たとえば pr_ <Windows operating system> _Hotfixes)または CAM 上の類似の管理者設定カスタム ルールを使用して、クライアントの Windows オペレーティング システムが最小のセキュリティ標準を満たしているかどうかを確認します。これは、クライアント マシンのセキュリティ ポスチャに迅速にアクセスする方法で、CAM ローカル データベースでアクセス可能な基準を前提にしています。迅速に実行するために、(「緊急」および「重要」な Windows アップデートをインストールする)[Express] インストールとともに、Cisco Rules を検証方法として使用し、インストール元として [Windows Servers] を使用することを推奨します。


) このオプションを選択する場合は、「Windows ルールへの Windows Server Update Service 要件のマッピング」の説明に従って要件とルールのマッピングも設定する必要があります。

独自のカスタム ルールに対して検証する場合は、これらを既存の Cisco Rules と同じように設定することをお勧めします(pr_<Windows operating system>_Hotfixes など)。チェックするために、ホットフィックスの重大度レベルを把握しておく必要があります(たとえば「重要」対「注意」)。詳細については、「チェックおよびルールのコピー」を参照してください。


[Severity]:Microsoft の管理するサーバまたはローカルの Windows Update サーバを使用して、クライアントの Windows オペレーティング システムが最小セキュリティ標準を満たしているかどうかを確認します。この検証方法では、WSUS 要件を任意のルールにマッピングする必要はありません。ただし、[Severity] 設定では、CAM は外部 WSUS サーバを使用して、現在クライアント マシンにインストールされているアップデートを確認して、要件を満たすために必要な Windows アップデートをインストールする必要があります。

ローカル管理またはホスト Windows(WSUS)サーバを使用して Windows Update を実行することにより WSUS 要件を満たす場合、Agent は WSUS にアップデートのインストールを要求します。WSUS Agent は、指定された重大度レベルで使用可能な「すべての」アップデートを自動的にインストールすることに注意してください(つまり、5 つの「重要」アップデートと 3 つの「緊急」アップデートがある場合に、クライアント マシンですでにその中のいくつかのアップデートが適用されていても、WSUS インストーラは要件タイプに指定された すべて のアップデートを自動的にインストールします)。その結果、クライアント マシンで重大度に基づく検証を行う際に、評価と修復の時間が長くなる可能性があります。


) ステップ 9 の [Windows Updates Installation Sources] 設定で、[Severity] オプションに一致する検証方法を設定します。


ステップ 7 [Windows Updates to be Installed] で、インストールするアップデートのレベルを指定します。検証方法は、基本的に更新をトリガするためにマシンで不足しているものをチェックします。実際のアップデートは、Microsoft または WSUS サーバから送信されます。インストールされたアップデートの数は、ここで選択したアップデートのレベルに依存します。たとえば、緊急ホットフィックスだけをチェックする Cisco Rules による検証を選択し、[Windows Updates to be Installed] で [Custom] と [Medium] レベルを選択した場合、緊急ホットフィックスがクライアントで不足している場合に限り、すべての「緊急」、「重要」、および「警告」ホットフィックスがクライアントにインストールされます。

[Express]:このオプションは、Windows Update アプリケーションの [Express] オプションから入手できる Windows アップデートをインストールします。一般的に、[Express] オプションには、「重要」および「緊急」の Windows アップデートだけが含まれています。ただし、Express アップデートの Microsoft バージョンにその他のインストール(Service Pack アップデートなど)が含まれている場合、 すべて のアップデートが自動的にクライアント マシンにインストールされます。

[Custom]:この設定と関連するドロップダウン メニューを使用し、関連するドロップダウン メニューから [Critical]、[Medium]、または [All] を選択して、重大度に基づいてアップデートをインストールします。

[Critical]:「緊急」Microsoft Windows アップデートだけをインストールします。

[Medium]:すべての「緊急」、「重要」、および「警告」Windows アップデート をインストールします。

[All]:すべての「緊急」、「重要」、「警告」、および「注意」Windows アップデートをインストールします。

どの場合も、WSUS サーバは、クライアントにインストールするために すべて のアップデートを自動的にダウンロードします。したがって、クライアント マシンにすでに指定の重大度の 5 アップデートの内 3 つがインストール済であっても、WSUS サーバはすべてのアップデートをダウンロードし、インストールします。

ステップ 8 [Upgrade to Latest OS Service Pack] をクリックして、ユーザのオペレーティング システムで利用できる最新のサービス パックを自動的にインストールします。


) 上で、[Custom] の [Medium] または [All] 更新を指定した場合、このオプションは自動的にインストール プロセスに含まれ、「除外」することはできません。[Custom] の [Critical] 更新を指定した場合、このオプションをイネーブルにするかディセーブルにするかを選択できます。

Cisco Rules では、すべての「緊急」Windows アップデートが検証され、クライアント マシンに最小限の Windows XP Service Pack アップデートがインストールされているかどうかが確認されます。[Windows Updates to be Installed] で「緊急」だけがインストールされるように選択したときに、Windows XP Service Pack 2 がクライアント マシンに存在していない場合、クライアント マシンは「Cisco Rules」によるポスチャ評価に合格できません。「Cisco Rules」を使用してクライアント マシンを検証し、「緊急」アップデートだけが必要な場合、この問題に対処するには、Service Pack 更新も要求して、「Cisco Rules」を使用して検証されるクライアントがポスチャ評価に合格するようにしてください。(「Cisco Rules」ではなく、「重大度」に従ってクライアント マシンを検証するように選択した場合、これは問題にはなりません)。



) 通常、Windows Service Pack アップデートのダウンロードとインストールには時間がかかります。フル サービス パックのインストールで Windows オペレーティング システムを更新するようにユーザに要求する前に、Temporary ロール ユーザのセッション タイムアウト時間を延長して、インストールとアップデートの長いプロセス時間を調整します。(「Temporary ロールのセッション タイムアウトの設定」を参照)。


ステップ 9 [Windows Updates Installation Sources] で、Windows アップデートのソースを指定します。

[Windows Servers]:Microsoft 社の管理する Windows Update サーバを使用して Windows オペレーティング システムを更新します。

[Managed WSUS Servers]:Windows サーバ管理者またはその他の信頼できるサードパーティ ソースによって管理されているリソースを使用して、Windows オペレーティング システムを更新します。

ステップ 10 [Installation Wizard Interface Setting] で、Windows Update のインストール中にユーザにインストレーション ウィザード ユーザ インターフェイスを表示するかどうかを指定します。

[Show UI]:更新プロセス中、Windows Update インストール ウィザードの経過表示が表示されるため、ユーザは更新中のコンポーネントの内容がわかり、アップデートが完了したことも知ることができます(Windows 更新中に Installation Wizard ユーザ インターフェイスを表示するには、ユーザはクライアント マシンで管理者権限を持っている必要があります)。

[No UI]:アップデート プロセスが開始すると、Windows Update はバックグラウンドで行われ、アップデートが完了したときにだけユーザに通知されます。


) • 管理者権限のないユーザが WSUS を使用して Windows を更新する場合は、[No UI] オプションを選択する必要があります。

新しくインストールした Windows 7(アップデートがまったく適用されていない状態)で WSUS アップデートが実行され、要件に対して [No UI] オプションが選択されている場合、WSUS アップデートは失敗する可能性があります。

Windows Update のうち、インストールに失敗する部分は、KB890830 アップデート(Windows 悪意のあるソフトウェアの削除ツール、 http://support.microsoft.com/?kbid=890830 )です。このアップグレードは、admin 権限でインストールする必要があり、また、インストール時に EULA を承認する必要があります。

KB890830 をインストールした後では、Microsoft 社から毎月のアップデートが火曜日にプッシュされます。インストール後の KB890830 のアップデートは admin 権限を必要とせず、admin グループのメンバーでないユーザが使用するマシンでも正常に動作します。

ユーザが admin でないユーザとして、Windows Update を使用して手動で KB890830 をクライアント システムにインストールすると、管理者パスワードの入力を要求され、EULA が表示されます。


 

ステップ 11 [Requirement Name] に、Agent 内でこの要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 12 [Description] フィールドには、要件の説明のほか、要件を満たさないユーザを誘導する方法(システムを更新するためにユーザが [Update] ボタンをクリックする方法を含む)を入力してください。Windows Server Update Service では、Agent に [Update] ボタンが表示されます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 13 次の 1 つまたは複数のチェックボックスをオンにして、要件の [Operating System] を設定します。

[Windows XP (All)]、または 1 つ以上の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、または 1 つまたは複数の特定の Windows Vista オペレーティング システム

[Windows 7 (All)]、または 1 つまたは複数の特定の Windows 7 オペレーティング システム

ステップ 14 [Add Requirement] をクリックします。

ステップ 15 [Windows Updates Validation by Cisco Rules] の WSUS 要件を設定した場合、次の手順の Windows ルールへの Windows Server Update Service 要件のマッピングに進みます。

それ以外の場合は、次の手順に進んで、設定を完了します。

「ユーザ ロールへの要件の適用」

「要件の検証」


 

Windows ルールへの Windows Server Update Service 要件のマッピング

[Windows Updates Validation by Cisco Rules] の Windows Server Update Service 要件を設定した場合は、このセクションの手順を実行します(「Windows Server Update Service 要件の作成」を参照)。

[Windows Updates Validation by Severity] を指定した場合は、Windows Server Update Service を既存の Windows ルールにマップする必要はないため、このセクションを省略できます。

Windows Server Update Service 要件を Windows ルールにマッピングするには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

図 9-29 ルールへの Windows Server Update Service 要件のマッピング

 

ステップ 2 [Requirement Name] ドロップダウン メニューで、設定した WSUS 要件を選択します。

ステップ 3 Windows Server Update Service 要件とルールのマッピングを設定するには、この要件に対して検証する各オペレーティング システムで次の手順を繰り返します。

a. [Operating System] ドロップダウン メニューで、「Windows Server Update Services 要件の設定」のステップ 13 で要件を設定したオペレーティング システムの 1 つを選択します。

ルールは、設定するオペレーティング システムに従ってシステム内に分類されます。[Operating System] ドロップダウンによって、ページの下部にある [Rules for Selected Operating System] テーブルに選択肢として表示されるルールが決まります。たとえば、[Requirement-Rule] ページで、[Windows XP (All)] 用に設定した要件に複数のホットフィックス ルールをマッピングする場合、Windows XP の各バージョン(たとえば Windows XP Pro/Home、Windows XP Tablet PC、Windows XP Media Center)を [Operating System] ドロップダウン メニューから個別に選択する必要があります。これにより、各 OS バージョン用の pr_hotfix ルール(それぞれ pr_XP_Hotfixes、pr_XP_TabletPC_Hotfixes、pr_XP_MCE_Hotfixes など)を [Rules for Selected Operating System] リストに表示し、選択できるようになります。

b. [Requirement met if] の次のいずれかのオプションを選択します。

[All selected rules succeed](デフォルト):クライアントが要件に適合していると見なすための条件が、すべてのルールを満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択したルールを 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択したルールをすべて満たさないことである場合。

c. AV Virus/AS Spyware Definition ルールのオプションを無視します。

d. [Rules for Selected Operating System] リストには、選択した OSのシステム内に存在するすべてのルール(pr_ rule または設定したルール)が表示されます。この要件でイネーブルにする各ルールのチェックボックスをオンにします。一般的にこの要件に関連付けられているルールは、次のとおりです。

pr_AutoUpdateCheck_Rule(Windows XP (All))

pr_XP_Hotfixes(Windows XP Pro/Home)

pr_Vista_ <version> _Hotfixes(Windows Vista Home Basic/Premium、Business、Ultimate、Enterprise)

すべてのルールが [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。

e. [Update] をクリックして、マッピングを完了します。

ステップ 4 「ユーザ ロールへの要件の適用」および「要件の検証」に進んで、設定を完了します。


 

Windows Update 要件の設定

Agent の「Windows Update」要件タイプ設定ページでは、管理者が Windows Update 設定のチェックと変更を行い、ユーザが管理者権限を持っているクライアント マシンで Windows Updater を起動することができます。

この要件が設定されている場合、管理者は Windows Vista または Windows XP クライアント マシンで自動更新をオンにすることができます。このオプションはこれらのマシンではディセーブルに設定されています。

Windows Update 要件(デフォルトで [Optional] に設定済み)では、Agent には必ず修復用の [Update] ボタンがあります。エンド ユーザが [Update] ボタンをクリックすると、Agent が Automatic Updates Agent を起動して、外部 WSUS サーバからソフトウェア アップデートを取得するように強制します。WSUS サーバからのソフトウェア ダウンロードには、時間がかかる場合があります。したがって、修復がバックグラウンドで実行されるように Windows Update 要件を [Optional] のままにしておくことを推奨します。


) Cisco NAC Web Agent は、[Go To Link] 手動修復および [File Distribution] 機能だけをサポートしています。Cisco NAC Web Agent は、[Update] または [Launch] 修復アクションをサポートしていません。また、自動修復は実行しません。


Windows オペレーティング システムは、オペレーティング システムのインストールの一部としてホットフィックスとサービス パックを含めるために、さまざまな方法でカスタマイズできます。ホットフィックスがオペレーティング システムの一部である場合、Agent がレジストリ内のホットフィックスのキー値を検出できないこともあります。このようなケースでは、外部 Windows Updates サーバにアクセスするように設定された Windows Server Update Services(WSUS)要件を使用することを推奨します。詳細については、「Windows Server Update Services 要件の設定」を参照してください。

前提条件

Windows Server Update Services 要件タイプは、Windows XP、Windows Vista、および Windows 7 クライアント マシンだけに適用されます。シスコベースおよび Windows ベースのクライアント オペレーティング システム検証およびアップデートの重要度に基づくカスタマイズされたアップデート インストール オプションのチェックをサポートしています。

ネットワーク管理者は、自動起動機能をサポートするローカル WSUS サーバをサポートするために、Automatic Updates Agent が更新されていることを確認する必要があります。詳細については、 http://www.microsoft.com/windowsserversystem/updateservices/evaluation/faqs.mspx を参照してください。

Windows Server Update Services 操作をサポートするには、クライアント マシンに WUAUENG.dll ファイルのバージョン 5.4.3790.1000(またはより最新のバージョン)がインストールされている必要があります。

WSUS によって強制された更新は、時間がかかる場合があります。一般的に、このような更新はバックグラウンドで起動および実行されます。

一部の Microsoft Windows コンポーネント(たとえば、Internet Explorer 7)では、更新を正常に行うために admin 権限が必要になります。ユーザがクライアント マシンに admin 権限を持たない場合は、Windows 更新プロセスが「WU_E_NO_INTERACTIVE_USER」エラーを戻します。そのため、admin 権限を必要とする Windows の更新を [Optional] にして、更新の失敗を最小限に抑えることを推奨します。詳細については、 http://msdn2.microsoft.com/en-us/library/aa387289.aspx を参照してください。

アップデート エラーが発生した場合は、C:¥Windows¥Windows Update.log または C:¥Windows¥WindowsUpdate.log を参照してください。

Windows Update 要件を設定する手順は、次のとおりです。


ステップ 1 「Windows Update 要件の作成」

ステップ 2 「Windows ルールへの Windows Update 要件のマッピングマップ」

ステップ 3 「ユーザ ロールへの要件の適用」

ステップ 4 「要件の検証」


 

Windows Update 要件の作成

Windows Update 要件を設定する手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-30 新規の Windows Update 要件

 

ステップ 2 [Requirement Type] ドロップダウン メニューで [Windows Update] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Optional](デフォルト設定):要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。


) 更新プロセスをバックグラウンドで実行して、ユーザ エクスペリエンスを最適化するために、Windows Update 要件タイプはデフォルトで [Optional](つまり「強制しない」)に設定されています。[Automatically download and install] オプションを選択する場合は、この要件を [Optional] のままにしておくことを推奨します。


[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件が「サイレント」にチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。これが必須要件で、この要件に失敗した場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. [Remediation Type] のドロップダウン メニューで [Manual] または [Automatic] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します。(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 [Windows Update Setting] ドロップダウンから、次のいずれかのオプションを選択します。

Do not change setting

Notify to download and install

Automatically download and notify to install

Automatically download and install

これらの設定内容は、Windows クライアント(図 9-31)の [Automatic Updates] ダイアログ設定に対応します。

ステップ 7 Windows Update の実行中または実行後にすべてのクライアント マシンの自動更新に対する管理者指定の設定を強制する場合は、[Permanently override user setting with administrator Windows Update Setting] チェックボックスをオンにします。チェックボックスをオンにしない場合、自動更新がクライアントでディセーブルになっている場合だけ admin 設定が適用されます。自動更新がイネーブルになっている場合はユーザ設定が適用されます。

ステップ 8 [Requirement Name] に、Agent 内でこの要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 9 [Description] フィールドには、要件の説明のほか、要件を満たさないユーザを誘導する方法(システムを更新するためにユーザが [Update] ボタンをクリックする方法を含む)を入力してください。 Windows Update では、Agent に [Update] ボタンが表示されます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 10 次の 1 つまたは複数のチェックボックスをオンにして、要件の [Operating System] を設定します。

[Windows XP (All)]、または 1 つ以上の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、または 1 つまたは複数の特定の Windows Vista オペレーティング システム

[Windows 7 (All)]、または 1 つまたは複数の特定の Windows 7 オペレーティング システム


) 選択したオペレーティング システムが、「Windows Server Update Services 要件の設定」でこの Windows Update 要件にマッピングしようとしているルールに設定されているオペレーティング システムと一致していることを確認します。


ステップ 11 [Add Requirement] をクリックします。

図 9-31 Windows XP の Automatic Updates

 


 

Windows ルールへの Windows Update 要件のマッピングマップ

Windows Update 要件を 1 つまたは複数のルールにマッピングするには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

図 9-32 ルールへの Windows Update 要件のマッピング

 

ステップ 2 [Requirement Name] ドロップダウン メニューで、設定した Windows Update 要件を選択します。

ステップ 3 Windows Update 要件とルールのマッピングを設定するには、サポートする各オペレーティング システム に対して、次の手順を繰り返します。

a. [Operating System] ドロップダウン メニューで、「Windows Update 要件の設定」のステップ 10 で要件を設定したオペレーティング システムの 1 つを選択します。

ルールは、設定するオペレーティング システムに従ってシステム内に分類されます。[Operating System] ドロップダウンによって、ページの下部にある [Rules for Selected Operating System] テーブルに選択肢として表示されるルールが決まります。たとえば、[Requirement-Rule] ページで、[Windows XP (All)] 用に設定した要件に複数のホットフィックス ルールをマッピングする場合、Windows XP の各バージョン(たとえば Windows XP Pro/Home、Windows XP Tablet PC、Windows XP Media Center)を [Operating System] ドロップダウン メニューから個別に選択する必要があります。これにより、各 OS バージョン用の pr_hotfix ルール(それぞれ pr_XP_Hotfixes、pr_XP_TabletPC_Hotfixes、pr_XP_MCE_Hotfixes など)を [Rules for Selected Operating System] リストに表示し、選択することができるようになります。

b. [Requirement met if] の次のいずれかのオプションを選択します。

[All selected rules succeed](デフォルト):クライアントが要件に適合していると見なすための条件が、すべてのルールを満たすことである場合

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択したルールを 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択したルールをすべて満たさないことである場合。

c. AV Virus/AS Spyware Definition ルールのオプションを無視します。

d. [Rules for Selected Operating System] リストには、選択した OSのシステム内に存在するすべてのルール(pr_ rule または設定したルール)が表示されます。この要件でイネーブルにする各ルールのチェックボックスをオンにします。この要件に関連付けられている一般的なルールは、次のとおりです。

pr_AutoUpdateCheck_Rule(Windows XP (All))

pr_XP_Hotfixes(Windows XP Pro/Home)

pr_Vista_ <version> _Hotfixes(Windows Vista Home Basic/Premium、Business、Ultimate、Enterprise)

すべてのルールが [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。

e. [Update] をクリックして、マッピングを完了します。

ステップ 4 「ユーザ ロールへの要件の適用」および「要件の検証」に進んで、設定を完了します。


 

カスタム チェック、ルール、および要件の設定

チェックは、クライアント システムを調べる場合に使用する条件ステートメントです。最も単純な場合、1 つの要件は、1 つのチェックで構成される 1 つのルールから作成可能です。条件ステートメントの結果が true の場合、システムは Agent 要件に適合し、対処が不要であると見なされます。

チェックを作成するには、まず要件の識別機能を判別します。この機能(レジストリ キーやプロセス名など)によって、クライアントが要件を満たしているかどうかが示されなければなりません。このようなインジケータを見つける最善の方法は、要件を満たしているシステムを調べることです。必要に応じて、ソフトウェア付属のマニュアルを参照して、Clean Access チェックに使用する識別機能を決定します。要件に使用するインジケータを決定したら、次の手順を使用して、チェックを作成します。


) Mac OS X Agent では、カスタム チェックおよびカスタム ルールをサポートしていません。AV ルールおよび AS ルールを割り当てることができるのは、Link Distribution、Local Check、AV Definition Update、および Mac OS X ポスチャ修復のための AS Definition Update 要件のタイプに対してだけです。


カスタム要件

カスタム要件を作成すると、ユーザがルールの条件を満たすためのメカニズムにルールをマッピングできます。このメカニズムには、インストール ファイル、外部リソースへのリンク、単なる命令などがあります。ルール チェックが満たされない場合(たとえば、必要なソフトウェアがクライアント システム上に 見つからない 場合)は、設定に応じて、ユーザに警告を表示したり、システムを修復するようにユーザに要求することができます。図 9-33 で示すように、ブール演算子「&」(and)、「|」(or)、および「!」(not)を使用して、1 つのルール内で複数のチェックを連結できます。1 つの要件に複数のルールを使用する場合は、クライアントが要件に適合していると見なすための条件を、「選択されたいずれかのルールを満たす」、「すべてのルールを満たす」、「どのルールも満たさない」の中から指定することができます。

図 9-33 カスタム チェック、ルール、および要件

 

カスタム ルール

ルールは、1 つ以上のチェックで構成される条件ステートメントです。1 つのルール内で複数のチェックを論理演算子で連結し、クライアント システムの複数の機能をテストできるブール ステートメントを形成することができます。

シスコの設定済みルール(「pr_」)

Cisco NAC アプライアンスは、CAM Web コンソールの [Updates] ページ([Device Management] > [Clean Access] > [Updates])経由で CAM にダウンロードされる設定済みルールとチェックのセットを提供します。

設定済みのルールには名前に「pr」というプレフィクスがあり(「pr_XP_Hotfixes」など)、テンプレートとして使用する場合にコピーできますが、編集したり、削除することはできません。「pr_」ルールの [Edit] アイコンをクリックして、そのルールを定義するルール式を参照できます。設定済みのルールのルール式は、設定済みのチェック(たとえば、「pc_Hotfix835732」)とブール演算子で構成されます。設定済みルールのルール式は、Cisco Updates から更新されます。たとえば、Windows XP に新しい緊急 Windows OS ホットフィックスがリリースされた場合、pr_XP_Hotfixes ルールは、対応するホットフィックス チェックで更新されます。

設定済みルールは、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に表示されます。


) シスコの設定済みルールは、緊急 Windows オペレーティング システム ホットフィックスだけにサポートを提供することを目的としています。


カスタム チェック

チェックは、ファイル、レジストリ キー、サービス、アプリケーションなど、クライアント システムの機能を調べる条件ステートメントです。 表 9-14 に、使用可能なカスタム チェックのタイプとテストの内容を示します。

 

表 9-14 チェック

チェックのカテゴリ
チェック タイプ

レジストリ チェック

レジストリ キーの有無

レジストリ キー値、バージョン、または変更日

ファイル チェック

ファイルの有無

変更日または作成日

ファイル バージョン

サービス チェック

稼動しているサービスの有無

アプリケーション チェック

稼動しているアプリケーションの有無

シスコの設定済みチェック(「pc_」)

設定済みのチェックには名前に「pc」というプレフィクスがあり(pc_Hotfix828035 など)、[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Check List] に表示されます。

CSA をチェックするための設定済みルールの使用

シスコの設定済みルールを使用して、Cisco Security Agent(CSA)がクライアントにすでにインストールされ、実行されているかどうかをチェックする Agent 要件を作成できます。次の手順を実行します。

1. 新規の Link Distribution または File Distribution 要件を作成します(Windows 7/Vista/XP の場合)。

2. 次のルールのいずれか、または両方に要件を関連付けます(Windows 7/Vista/XP の場合)。

pr_CSA_Agent_Version_5_0

pr_CSA_Agent_Service_Running

3. 適用するユーザ ロールに要件を関連付けます。


) 設定済みのルールやカスタム ルールを使用して、カスタム要件を作成する詳細については、「設定の概要」を参照してください。


チェックおよびルールのコピー

設定済みのルールおよびチェックは編集できませんが、テンプレートとして使用できます。編集不可能なチェックまたはルールを変更するには、対応する [Copy] アイコンをクリックして、まずコピーを作成します。チェックのコピーを [Check List] の下部に copy_of_ checkname 形式で追加します。ルールのコピーを [Rules List] の下部に、 copy_of_ rulename の形式で追加します。対応する [Edit] アイコンをクリックして、Edit フォームを起動し、チェックまたはルールを変更します。編集されたチェックおよびルールは、次の説明に従って、設定したり、要件やルールに関連付けることができます。

設定の概要

カスタム要件の作成手順は、次のとおりです。


ステップ 1 「カスタム チェックの作成」

ステップ 2 「カスタム ルールの作成」

ステップ 3 「ルールの検証」

ステップ 4 「カスタム要件の作成」

ステップ 5 「要件とルールのマッピング」

ステップ 6 「ユーザ ロールへの要件の適用」

ステップ 7 「要件の検証」


 

カスタム チェックの作成

カスタム チェックを設定するには、次の手順を実行します。


ステップ 1 [Clean Access Agent] タブで、[Rules] サブメニューをクリックし、[New Check] ページを開きます。

図 9-34 New Check

 


) すべてのカスタム チェックについて、ステップ 27 に従い、各チェック タイプの特定のコンフィギュレーション設定を参照して、次にステップ 8 に進んでください。


ステップ 2 [Check Category]([Registry Check]、[File Check]、[Service Check]、または [Application Check])を選択します。

ステップ 3 カテゴリに対応する [Check Type] を選択し、次のセクションの説明に従って特定のフォーム フィールドに入力します。パラメータ、演算子、および(チェック タイプが値比較の場合)ステートメントの値とデータ タイプを指定し、[Add Check] をクリックして評価ステートメントを作成します。条件ステートメントが False に評価された場合は、必要なソフトウェアが存在しないと見なされています。

「レジストリ チェック」

「ファイル チェック」

「サービス チェック」

「アプリケーション チェック」

ステップ 4 [Check Name] にわかりやすい名前を入力します。このチェックから作成されたルールはチェックをこの名前で参照するため、チェックにはわかりやすい一意の名前を付けてください。名前は大文字と小文字を区別します。スペースや特殊文字を含まない 255 文字未満の文字列を指定する必要があります。

ステップ 5 (任意)[Check Description] に入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 6 次の 1 つまたは複数のチェックボックスをオンにして、要件の [Operating System] を設定します。

[Windows All]

[Windows XP (All)]、または 1 つ以上の特定の Windows XP オペレーティング システム

[Windows Vista (All)]、または 1 つ以上の特定の Windows Vista オペレーティング システム

[Windows 7 (All)]、または 1 つまたは複数の特定の Windows 7 オペレーティング システム

ステップ 7 必要に応じて、[Automatically create rule based on this check] を選択します。この場合、追加されたチェックがこのルールに自動的に読み込まれ、 「checkname-rule」 という名前が付けられます。

ステップ 8 終了したら [Add Check] をクリックします。

レジストリ チェック

[Registry Key]:特定のキーがレジストリにあることかどうかをチェックします。

[Registry Value (Default)]:名前のない(デフォルト)レジストリ キーが存在するか、または特定の値、バージョン、または変更日が設定されているかを調べます。

[Registry Value]:名前付きのレジストリ キーが存在するか、または特定の値、バージョン、または変更日が設定されているかを調べます。

図 9-35 レジストリ チェック タイプ

 

a. [Registry Key] フィールドで、クライアント レジストリのエリアを選択します。

[HKLM]:HKEY_LOCAL_MACHINE

[HKCC]:HKEY_CURRENT_CONFIG

[HKCU]:HKEY_CURRENT_USER

[HKU]:HKEY_USERS

[HKCR]:HKEY_CLASSES_ROOT

検索するパスを入力します。

例:HKLM \SOFTWARE\Symantec\Norton AntiVirus\version

b. 特定のレジストリ値を検索する場合は、[Value Name] を入力します。

c. 複数のレジストリ値を検索する場合は、[Value Data Type] を入力します。

1. ["Number" Value Data Type]( 注: REG_DWORD は数値と同等)の場合は、[Operator] のドロップダウンから [equals]、[greater than]、[less than]、[does not equal]、[greater than or equal to]、[less than or equal to] の 1 つを選択します。

2. ["String" Value Data Type] の場合は、[Operator] ドロップダウンから [equals]、[equals (ignore case)]、[does not equal]、[starts with]、[does not start with]、[ends with]、[does not end with]、[contains]、[does not contain] の 1 つを選択します。

3. ["Version" Value Data Type] の場合は、[Operator] ドロップダウンから [earlier than]、[later than]、[same as] の 1 つを選択します。

4. ["Date" Value Data Type] の場合は、[Operator] ドロップダウンから [earlier than]、[later than]、[same as] の 1 つを選択します。

d. ["Date" Value Data Type] を指定する場合は、2 つの値のいずれかも選択して、チェックを行います。これにより、現在の日付より x 日多いまたは少ない単位として [older than] または [newer than] を指定することができます。

mm/dd/yyyy hh:MM:ss 形式でクライアント マシンの日付/時刻を入力します。

ドロップダウンから [CAM date]、[+]、または [-] を選択して、日数を入力します。

e. レジストリ値を検索する場合は、[Value Data] を入力します。


) ["String" Value Data Type] の場合は、ストリングの最大の長さは、256 文字です。


ファイル チェック

[File Existence]:システムにファイルが存在するかどうかを調べます。

[File Date]:特定の変更日または作成日を持つファイルがシステムに存在するかどうかを調べます。

[File Version]:特定のバージョンのファイルがシステムに存在するかどうかを調べます。

図 9-36 ファイル チェック タイプ

 

a. [File Path] で、次のように選択します。

[SYSTEM_DRIVE]:C:¥ ドライブを検索します。

[SYSTEM_ROOT]:Windows システムのルート パスを検索します。

[SYSTEM_32]:C:¥WINDOWS¥SYSTEM32 をチェックします。

[SYSTEM_PROGRAMS]:C:¥Program Files を検索します。

b. [Operator] で、次のように選択します。

[exists] または [does not exist]:[File Existence] チェック

[earlier than]、[later than]、[same as]:[File Date] または [File Version] チェック

c. [File Date] チェック タイプでは、次の 2 つの値のいずれかも選択して、[File Date] をチェックします。これにより、現在の日付より x 日多いまたは少ない単位として [older than] または [newer than] を指定することができます。

mm/dd/yyyy hh:MM:ss 形式でクライアント マシンの日付/時刻を入力します。

ドロップダウンから [CAM date]、[+]、または [-] を選択して、日数を入力します。

d. [File Date] チェック タイプでは、[File Date Type] を選択します。

Creation date

Modification date

サービス チェック

[Service Status]:システムで現在稼動しているサービスがあるかどうか

図 9-37 サービス チェック タイプ

 

a. [Service Name] を入力します。ここで [Service Name] とは、ユーザが Microsoft 管理コンソールで「Service Name:」プレフィクスのあるサービスをダブルクリックしたときに表示される名前のことです。たとえば、「Windows Firewall/Internet Connection Sharing(ICS)」の場合、サービスをチェックするには [Service Name] フィールドで「SharedAccess」として設定する必要があります。

b. [Operator] を選択します。

running

not running

アプリケーション チェック

[Application Status]:システムで現在稼動しているアプリケーションがあるかどうか

図 9-38 アプリケーション チェック タイプ

 

a. [Application Name] を入力します。

b. [Operator]([running] または [not running])を選択します。


 

カスタム ルールの作成

ルールは複数のチェックおよび演算子で構成された式です。特定のオペレーティング システムのポスチャを評価するための単位として、Agent で使用されます。ルール式の結果によって、Agent 要件との適合性が評価されます。1 つのルールを 1 つのチェックで構成したり、複数のチェックをブール演算子で連結することができます。 表 9-15 に演算子およびその評価順を示します。

 

表 9-15 ルールの演算子

プライオリティ
演算子
説明

1

()

評価プライオリティ用のカッコ

2

!

not

3

&

and

3

|

or

プライオリティが等しい演算子は、左から右に評価されます。たとえば、ルールは次のように定義できます。

adawareLogRecent & (NorAVProcessIsActive | SymAVProcessIsActive)
 

ルールを満たすためには、 adawareLogRecent チェック、および NorAVProcessIsActive チェックと SymAVProcessIsActive チェックのいずれかを満たす必要があります。カッコがない場合は、次の式と同じになります。

(adawareLogRecent & NorAVProcessIsActive) | SymAVProcessIsActive
 

この場合、ルールを満たすためには、 SymAVProcessIsActive 、または最初の 2 つのチェックの両方が True である必要があります。

カスタム ルールを作成するには、次の手順を実行します。


ステップ 1 [Clean Access Agent] タブで、[Rules] サブメニュー リンクをクリックしてから、[New Rule] をクリックします。

図 9-39 New Rule

 

ステップ 2 [Rule Name] に一意のルール名を入力します。

ステップ 3 [Rule Description] に入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 4 ルールを適用する [Operating System] を選択します。アップデートをダウンロードした場合、この OS に対応する設定済みチェックが、下部の [Checks for Selected Operating System] リストに表示されます。

ステップ 5 チェックおよび演算子を連結して、[Rule Expression] を作成します。リストを使用してチェックの名前を選択し、[Rule Expression] テキスト フィールドにコピーして貼り付けます。チェックが複数ある場合は、()(評価プライオリティ)、!(not)、&(and)、 | (or)の演算子を使用します。

例:

adawareLogRecent & (NorAVProcessIsActive | SymAVProcessIsActive)
 

1 つのチェックをテストする単純なルールの場合は、チェック名を入力します。

SymAVProcessIsActive
 

ステップ 6 [Add Rule] をクリックします。

コンソールによってルールが検証され、形式が正しい場合は、[Rule List] に表示されます。このリストから、ルールを削除、変更、またはコピーする(ルールをコピーして新しいルールを作成する)ことができます。


 

ルールの検証

CAM は作成されたルールおよび要件を自動的に検証します。ルールが無効な場合(特に、ターゲット OS に関連するルールが無効な場合)は、チェックとルールの間に互換性がありません。これらのエラーは、特定の OS に対応するチェックおよびルールを複数作成した後で、特定のチェックに対応する OS プロパティを変更した場合に発生することがあります。この場合は、このチェックを使用するルール、および以前に設定した OS に引き続き適用可能なルールは、無効になります。ルールを検証すると、このようなエラーや、その他のエラーが検出されます。

[Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] の [Validity] カラムでは、ルールが有効の場合はブルーのチェックマーク、ルールが無効の場合は赤い「X」が表示されます。マウスでこのアイコンを強調表示して、このフォームでどのチェックがルールを無効にしているかを確認してください。

Invalid rule [rulename], Invalid check [checkname] in rule expression.

図 9-40 Rule List

 

無効なルールを修正するには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Rules] > [Rule List] に移動します。

ステップ 2 無効なルールに対応する [Edit] アイコンをクリックします。

ステップ 3 無効な [Rule Expression] を訂正します。チェックが削除されたためにルールが無効になった場合は、有効なチェックにルールを対応付けます。

ステップ 4 正しい [Operating System] が 選択されていることを確認します。

ステップ 5 [Requirement met if:] 式が正しく設定されていることを確認します。

ステップ 6 [Save Rule] をクリックします。

ステップ 7 このルールに基づくすべての要件が、「要件の検証」の説明に従って、訂正されているかを確認します。


 

カスタム要件の作成

カスタム要件は、オペレーティング システムに指定された一連のルールを、Agent ダイアログを介してユーザにプッシュされるファイル、配信リンク、または説明に対応付けるメカニズムです。カスタム要件では、インストール ファイル、またはソフトウェアをダウンロードできるリンクを指定できます。ローカル チェックが特定のインストール ファイルに対応付けられていない場合、要件はルールを情報メッセージ(たとえば、ソフトウェアを削除したり、ウイルス チェックを実行するようにユーザに指示するメッセージ)に対応付けることができます。新しい要件は、設定プロセス中にいつでも作成できます。ただし、要件を有効にするには、OS のルールおよびユーザ ロールの両方に要件を対応付けておく必要があります。

File Distribution /Link Distribution / Local Check 要件の作成

カスタム要件を設定するには、次の手順を実行します。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニュー リンクをクリックしてから、[New Requirement] を選択します。

図 9-41 New Requirement(File Distribution)

 

ステップ 2 [Requirement Type] を選択します。

[File Distribution]:Agent によるユーザ ダウンロードでインストール パッケージを使用できるようにして、必要なソフトウェアを直接配布します。この場合、ユーザがダウンロードするファイルは、[File to Upload] フィールドを使用して CAM に置かれます。(File Distribution を介して使用可能にすることのできる最大ファイル サイズは 50 MB です)。Agent でこのファイルをダウンロードする場合、HTTPS アクセスを CAM だけに許可するトラフィック ポリシーを Temporary ロール用に作成する必要があります。「デフォルト ロール用のトラフィック ポリシーの追加」を参照してください。

また、File Distribution 要件タイプを使用して、ユーザにダウンロードさせるファイルとは別の特定のファイルをクライアント マシンで検索することもできます。これにより、正しいファイルを入手していないユーザには File Distribution 要件を通じてファイルを強制的に取得させる一方で、すでにファイルをインストールしているユーザはポスチャ評価プロセスのこのステップを省略することができます。


) NAC アプライアンス リリース 4.8 およびそれ以降では、File Distribution 要件タイプは、Agent のバージョンが最新(4.8.0.32 以上)の場合のみ機能します。4.8.0.32 よりも前の Agent とともに CAM/CAS バージョン 4.8 以上を使用している場合、Link Distribution 要件を使用するか、Agent を最新バージョンにアップグレードして File Distribution を使用してください。


図 9-42 Cisco NAC Agent の File Distribution ダイアログの例

 

[Link Distribution]:ソフトウェアが使用可能な別の Web ページ(ソフトウェア ダウンロード ページなど)にユーザを転送します。リンクへの HTTP(および HTTPS の両方またはいずれか一方)はアクセスを許可するように Temporary ロールが設定されていることを確認します。

図 9-43 Mac OS X Agent 評価レポートの Link Distribution 要件の表示例

 

[Local Check]:インストール可能なソフトウェアに関連付けられていないチェックを作成して、Windows Update Service(自動更新)がイネーブルであるかどうかの確認や、システムに存在してはならないソフトウェアの検索などを実行する場合に使用します。([Message] アイコンを使用すると、[Mac OS X Agent Assessment Report] ウィンドウに Local Check 要件が表示されます)。

図 9-44 Mac OS X Agent 評価レポートの Local Check 要件の表示例

 

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知することなくクライアント システムの要件が「サイレントに」チェックされ、レポートが自動的に生成されて CAS に返されます。(監査要件はユーザの [Assessment Report] ウィンドウに表示されません)。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 要件の [Priority] を指定します。値が最小(「1」など)の要件のプライオリティが最大になり、最初に実行されます。要件に失敗した場合、この要件に設定された修復の説明がユーザにプッシュされ、その他の要件はテストされません。したがって、失敗する可能性が最も高い要件のプライオリティを最大にすることによって、処理時間を最短にすることができます。

ステップ 5 Link Distribution 要件タイプに対してだけ、Agent を使用した自動修復をイネーブルにし、設定することが可能です。詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 [Version] フィールドでは、さまざまなバージョンの要件を追跡できます。これは特に、必要なソフトウェアに対するアップデートが複数存在する場合に便利です。番号(1、2、3)、小数(1.0)、または文字など、必要な任意のバージョン設定方式を使用できます。

ステップ 7 要件タイプとして [File Distribution] を選択した場合は、[File to Upload] フィールドの横にある [Browse] をクリックして、必要なソフトウェアのインストール ファイル(.exe)が保存されたフォルダに移動します。

ステップ 8 要件タイプとして [Link Distribution] を選択した場合は、[File Link URL] フィールドに、インストール ファイルまたはパッチ アップデートを取得できる Web ページの URL を入力します。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、AV Definition Update または AS Definition Update 要件タイプを選択する際に [New Requirement] 設定ページに表示される修復機能(修復の [Type]、[Interval]、および [Retry Count])は、Macintosh クライアント修復のための要件作成時に役割を果たしません。


ステップ 9 [Requirement Name] に、システム要件を識別する一意の名前を入力します。この名前は、Agent ダイアログに表示されます。

ステップ 10 [Description] フィールドに、要件の説明、およびユーザに役立つ手順を入力します。次の点に注意してください。

File Distribution では、Agent に [Download] ボタンが表示されます。

Link Distribution では Agent に [Go To Link] ボタンが表示されます。

Local Check では、Agent に [Re-Scan] ボタンが表示されます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 11 要件を適用する [Operating System] を選択します(少なくとも 1 つ選択する必要があります)。

ステップ 12 [Add Requirement] をクリックして、ダウンロード要件の設定を保存します。

ステップ 13 [Requirement List] に要件が表示されます。

図 9-45 に、Mac OS X Agent の要件設定フィールドの表示例を示します。

図 9-45 Mac OS X Agent 要件(ユーザ表示例)

 

図 9-46 に、Cisco NAC Agent の要件設定フィールドの表示例を示します。

図 9-46 オプションの Link Distribution 要件の例:Windows XP 上の Cisco NAC Agent

 


 

Launch Programs 要件の設定


) この機能を使用するためには、Cisco NAC Agent が必要です。この機能は、Windows 7、Windows Vista、および Windows XP マシンだけに適用されます。Mac OS X Agent および Cisco NAC Web Agent は、この要件タイプをサポートしていません。


Launch Programs 要件タイプにより、管理者は Agent を通じて認定された(署名された)復旧プログラムを起動できます。管理者はチェックとルールの条件を作成できます。失敗した場合、管理者はマシンを修正するための復旧プログラムを起動するように設定できます。複数のプログラムが許可されており、管理者が指定した順序で起動します。

Agent は、ユーザがデバイスの admin ユーザ権限を持っているかどうかに応じて、2 つの方法でプログラムを起動します。

admin 権限によるプログラムの起動

ユーザがクライアント マシンに admin 権限を持っている場合、実行可能なすべてのプログラムを使用できます。プログラムは直接起動し、アプリケーションのデジタル署名や検証は不要です。

admin 権限なしのプログラムの起動

実行ファイルには、次の内容が含まれています。

特定のフィールド値を使用した証明書によって署名された有効なデジタル署名

特定の項目値を使用したファイルのバージョン情報

次の点にも注意してください。

実行ファイルは、適切な証明書チェーンのあるコード署名証明書で署名されている必要があります。コード署名証明書がクライアント マシンにインストールされている必要があります。

ルート証明書もクライアント マシンにインストールされている必要があり、Windows の信頼できるルート認証局にある必要があります。

証明書のインストール以外に、実行する実行ファイルに特化されたレジストリ キーを作成する必要があります。 詳細については、「Agent によるデジタル署名の確認および実行可能プログラムの信頼方法」を参照してください。


) admin ユーザ以外の場合、自動修復を設定し、プログラム(Microsoft KB パッチなど)を起動するときに、実行可能ファイルがネットワーク共有にあると、たとえそれがマッピングされたドライブでも、署名チェックに失敗することがあります。ファイルをローカル システムにコピーし、実行することをお勧めします。


Agent によるデジタル署名の確認および実行可能プログラムの信頼方法

ユーザが実行可能ファイルを起動するクライアント マシンでは、実行する実行可能ファイルに Windows レジストリで Trust <N> キーを追加する必要があります。プログラムが Cisco NAC Agent サービスに信頼されるように、プログラムに必要なレジストリ キーを読み込むのは管理者の責任です。Cisco NAC Agent は、次のように、信頼できるデジタル署名に対して起動プログラムを検証します。

1. デジタル署名を確認します。デジタル署名が信頼できることを確認します。

2. レジストリ内の情報に基づいて署名者の証明書情報を確認します。

関連レジストリ構造が次のように表示されます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCAAgentStub\Trust<N>\
Certificate\2.5.4.3
\FileVersionInfo\ProductName
 

上記で

<N> は数値です。

Certificate の下のエントリの各値は、完全に大文字小文字の区別をなくすことができます。

FileVersionInfo の下のエントリの各値は、ファイル情報ストリーム内の対応する値に表示されている必要があり、これも大文字小文字の区別は必要ありません。

Certificate および FileVersionInfo の下のすべてのエントリは、信頼できるターゲットとして認定されるための条件を満たす必要があります(AND 演算子)。

いずれかの Trust <N> チェーンが条件を満たす場合、ターゲットは起動することを認められます。

たとえば、レジストリの次のキーと値のペアは、admin 以外に Cisco NAC Agent をアプリケーションとして実行する資格を与えます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCAAgentStub\Trust0\Certificate\
2.5.4.3 with a value of "Cisco Systems"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CCAAgentStub\Trust0\
FileVersionInfo\ProductName with a value of "Cisco NAC Agent"

管理者は、レジストリ エントリを追加して、ユーザがクライアント マシンで起動するすべてのアプリケーションを認める必要があります。サポートされているキーのリストについては、 表 9-16 を参照してください。

 

表 9-16 信頼できるデジタル署名でサポートされる Launch Program 実行可能キー

レジストリ キー
デフォルト値(10 進数)
有効な範囲
サポートされる値の名前
場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CCAAgentStub\

Trust <N>

--

0 以上

Trust <N> チェーンは、起動前に実行可能モジュールを Windows が信頼できるかどうかを決定するために Clean Access Agent スタブが使用する実行可能モジュールのデジタル署名です。

Certificate

--

--

2.5.4.3 - COMMON_NAME または

2.5.4.3 - SUBJECT_NAME

2.5.4.4 - SUR_NAME

2.5.4.5 - DEVICE_SERIAL_NUMBER

2.5.4.6 - COUNTRY_NAME

2.5.4.7 - LOCALITY_NAME

2.5.4.8 - STATE_OR_PROVINCE_NAME

2.5.4.9 - STREET_ADDRESS

2.5.4.10 - ORGANIZATION_NAME

2.5.4.11 - ORGANIZATIONAL_UNIT_NAME

2.5.4.12 - TITLE

2.5.4.13 - DESCRIPTION

2.5.4.14 - SEARCH_GUIDE

2.5.4.15 - BUSINESS_CATEGORY

2.5.4.16 - POSTAL_ADDRESS

2.5.4.17 - POSTAL_CODE

2.5.4.18 - POST_OFFICE_BOX

2.5.4.19 - PHYSICAL_DELIVERY_OFFICE_NAME

2.5.4.20 - TELEPHONE_NUMBER

FileVersionInfo

--

--

ProductName

CompanyName

FileDescription

FileVersion

InternalName

LegalCopyright

OriginalFileName

ProductVersion

Comments

LegalTrademarks

PrivateBuild

SpecialBuild

Launch Programs 要件の作成

Launch Programs 要件を設定するには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-47 新規の Launch Program 要件

 

ステップ 2 [Requirement Type] で、[Launch Programs] を選択します。

ステップ 3 ドロップダウン メニューで [Enforce Type] を選択します。

[Mandatory]:要件を強制します。ユーザにはこの要件が伝えられ、クライアント システムが要件を満たさないかぎりユーザは次に進んだり、ネットワークにアクセスすることはできません。

[Optional]:要件を強制しません。ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。

[Audit]:サイレント監査。ユーザに通知せずにクライアント システムの要件が「サイレント」にチェックされ、レポートが生成されます。レポートの結果(成功または失敗)は、ユーザのネットワーク アクセスに影響しません。

詳細については、「Optional および Audit 要件の設定」を参照してください。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。必須要件が失敗する場合、その要件が成功するまで Agent は次に進みません。

ステップ 5 Agent の自動修復をイネーブルにして設定する場合

a. [Remediation Type] のドロップダウン メニューで [Manual] または [Automatic] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します。(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 次のように起動するようにプログラムを設定します。

a. [Program Name] で、プログラムを起動するルート ロケーション([SYSTEM_DRIVE]、[SYSTEM_ROOT]、[SYSTEM_32]、[SYSTEM_PROGRAMS]、または [None])をドロップダウンから選択し、隣のテキスト フィールドにプログラム実行ファイルの名前を入力します。

b. さらに特定のパスまたはプログラムのパラメータが必要な場合は、[Program Parameters] テキスト フィールドに入力します。

c. [Add Program] をクリックします。これにより、[Program Name] と [Program Parameters] が、要件で起動されるプログラムのサブリストに追加されます。

d. さらに追加するプログラムを設定するか、[Delete] チェックボックスをオンにして、リストからプログラムを削除します。

ステップ 7 追加するプログラムまたはプログラム リストの設定が終了したら、[Requirement Name] を入力します。

ステップ 8 ユーザに表示する [Description] を入力します。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 9 この要件が適用される Windows の [Operating System] のチェックボックスをオンにします。

ステップ 10 [Add Requirement] をクリックします。


 

要件とルールのマッピング

要件を作成し、対処法へのリンクおよび手順を指定したら、特定のルールまたは一連のルールに要件をマップします。要件とルールのマッピングは、クライアント システムが要件を満たすかどうかを調べるルール セットと、クライアント システムを適合させるために必要なユーザ対処法([Agent] ボタン、手順、リンク)をマッピングします。


) Mac OS X Agent では、カスタム チェックおよびカスタム ルールをサポートしていません。AV ルールおよび AS ルールを割り当てることができるのは、Link Distribution、Local Check、AV Definition Update、および Mac OS X ポスチャ修復のための AS Definition Update 要件のタイプに対してだけです。


要件とルールをマッピングするには、次の手順を実行します。


ステップ 1 [Clean Access Agent] タブで、[Requirements] サブメニューをクリックしてから、[Requirement-Rules] フォームを開きます。

図 9-48 要件とルールのマッピング

 

ステップ 2 [Requirement Name] メニューで、マッピングする要件を選択します。

ステップ 3 [Operating System] メニューで、要件に対応したオペレーティング システムを確認します。[Rules for Selected Operating System] リストに、選択された OS で使用可能なすべてのルールが読み込まれます。

ステップ 4 [Requirements met if] オプションで、次のいずれかのオプションを選択します。

[All selected rules succeed]:クライアントが要件に適合していると見なすための条件が、すべてのルールを満たすことである場合。

[Any selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択したルールを 1 つ以上満たすことである場合

[No selected rule succeeds]:クライアントが要件に適合していると見なすための条件が、選択したルールをすべて満たさないことである場合。

クライアントが要件に適合しない場合は、要件に対応付けられたソフトウェアをインストールするか、または指示された手順を実行する必要があります。

ステップ 5 AV Virus Definition ルール(背景がイエロー)および AS Spyware Definition ルール(背景がブルー)の場合は、クライアントの定義ファイルの日付が、CAM が [Updates] から入手可能なものよりも数日間古い日付になるように、CAM を設定することができます(最新の製品ファイル日付については、[Rules] > [AV-AS Support Info] を参照してください)。このように設定すると、新しいウイルス/スパイウェア定義ファイルが製品ベンダーからリリースされない場合も、クライアントが要件をパスできるように、要件の柔軟性を高めることができます。

次のいずれかのチェックボックスをクリックします。

For AV Virus Definition rules, allow definition file to be x days older than

For AS Spyware Definition rules, allow definition file to be x days older than

テキスト ボックスに数値を入力します。デフォルトは「0」です。この場合、定義日をファイル/システム日付よりも古い日付に設定できません。

次のいずれかを選択します。

[Latest file date]:クライアント定義ファイルを、CAMの最新のウイルス/スパイウェア定義日よりも指定日数だけ古い日付にすることができます。

[Current system date]:クライアント定義ファイルを、最後に [Update] が実行された時点の CAM のシステム日よりも指定日数だけ古い日付にすることができます。


) AS Spyware Definition ルールの場合、Cisco Update サービスを使用してスパイウェア定義ファイルの日付/バージョンを定期的に更新するまで、この機能が適用されます(定義ファイルを現在のシステム日付よりも X 日間古くすることができます)。

特定の要件にこの機能を設定した場合、Agent は AV/AS 製品の定義日を検索してから、日付がこの要件を満たすかどうかを検証します。Agent が定義日を検出できない場合(この製品で定義日の検出がサポートされていない場合など)、この機能は無視され、Agent はクライアントに最新の定義バージョンがあるかどうかを調べます。


ステップ 6 ページをスクロールダウンして、要件に関連付ける各ルールの横にある [Select] チェックボックスをオンにします。ルールはプライオリティ順に適用されます(表 9-15を参照)。

図 9-49 要件にマップするルールの選択

 

ステップ 7 [Update] をクリックします。


 

ユーザ ロールへの要件の適用

要件を作成し、対処法を設定し、ルールを対応付けたら、要件をユーザ ロールに対応付ける必要があります。この最終手順では、システム内のユーザ グループに要件を適用します。


) 標準ログイン ユーザ ロールが作成されていることを確認してください(「ユーザ ロールの作成」を参照)。


要件とユーザ ロールをマッピングするには、次の手順を実行します。


ステップ 1 [Clean Access Agent] タブで、[Role-Requirements] サブメニュー リンクをクリックします。

図 9-50 ロールと要件のマッピング

 

ステップ 2 [Role Type] メニューで、設定するロールのタイプを選択します。通常は、[Normal Login Role] を選択します。

ステップ 3 [User Role] メニューで、ロールの名前を選択します。

ステップ 4 ログイン中、そのロールのユーザに適用する各要件に対応した [Login] チェックボックスをオンにします。

ステップ 5 パッシブ再評価を適用する各要件について [Passive] チェックボックスをオンにします。パッシブ再評価の詳細については、「ロール プロパティ」を参照してください。

ステップ 6 [Update] をクリックします。

ステップ 7 終了する前に、ロール内のユーザが Agent を使用する必要があるかどうかを確認してください。「クライアント マシンへの Agent ログインの要求」を参照してください。


 

要件の検証

Clean Access Manager は作成された要件およびルールを自動的に検証します。[Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement List] の [Validity] カラムは、要件が有効の場合はブルーのチェックマーク、要件が無効の場合は赤い「X」を表示します。

マウスで赤い「X」アイコン(ある場合)を強調表示して、このフォームでどのルールとチェックが要件を無効にしているかを確認してください。

Invalid rule [rulename] in package [requirementname] (Rule verification error: Invalid check [checkname] in rule expression)
 

要件を訂正、検証してから、使用する必要があります。一般的に、オペレーティング システムが一致しない場合に要件/ルールが無効になります。

無効な要件を訂正するには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [Requirement-Rules] に移動します。

ステップ 2 無効なルールまたはチェックを訂正します(「ルールの検証」を参照)。

ステップ 3 ドロップダウン メニューで無効な [Requirement Name] を選択します。

ステップ 4 [Operating System] を選択します。

ステップ 5 [Requirement met if:] 式が正しく設定されていることを確認します。

ステップ 6 要件に対して選択されたルールが有効であること([Validity] カラム内にブルーのチェックマークが付いていること)を確認します。

図 9-51 要件リスト

 


 

Optional および Audit 要件の設定

[New Requirement] または [Edit Requirement] フォームの [Enforce Type] ドロップダウン メニューだけを使用して、要件を 必須 オプション 、または 監査 にすることができます。オプション要件を使用すると、この要件に違反した場合に、ネットワークからクライアントをブロックしなくても、Agent ユーザの管理レポートを表示することができます。オプション要件を満たさないユーザは Temporary ロールに配置され、[Agent] ダイアログの要件名の前に「Optional」が付加されます。ただし、この場合も、[Next] または [Skip] をクリックして、次の要件に進むか、その他の要件が設定されていない場合はネットワーク作業を継続できます。

ユーザが要件を満たす期間を延長し、その期間はネットワークからユーザがブロックされないようにする場合は、特定の日付で要件を満たすように指示する命令をオプション要件に設定します。後で、指定された日に要件を適用して、要件を必須にすることができます。

ユーザに通知せずにクライアント システムの要件を「サイレント」にチェックし、レポートを生成して CAS に送り返す場合は、ユーザのネットワーク アクセスに影響を与えずに、結果(成功または失敗)だけを報告する監査だけの要件を設定できます。


) パッシブ再評価(PRA)がイネーブルになっているときに オプションまたは監査要件に失敗すると、PRA レポート情報は CAM に渡されません。必須要件とともにオプションまたは監査要件をイネーブルにして、レポート情報が CAM に渡されるようにすることをお勧めします。


Optional および Audit 要件を作成するには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動します。

図 9-52 Optional および Audit 要件

 

ステップ 2 ドロップダウン メニューで [Requirement Type] を選択します。

ステップ 3 [Enforce Type] ドロップダウン メニューで [Optional](強制なし)または [Audit](サイレント評価)を選択します。

[Optional] 要件では、ユーザには要件が伝えられますが、必要に応じて Agent ダイアログで [Next] または [Skip] をクリックすることによって無視できます。クライアント システムが要件を満たさなくても、ユーザは次に進んだり、ネットワークにアクセスすることができます。監査要件では、システムは監査レポートを生成しますが、クライアント マシンにユーザ ダイアログが表示されず、ユーザのネットワーク アクセスに影響を与えません。

ステップ 4 クライアントでこの要件を実行する [Priority] を選択します。ハイ プライオリティ(たとえば、1)の場合、他のすべての要件よりこの要件が優先されてシステムでチェックされ、その順序で Agent ダイアログに表示されることを意味します。必須要件が失敗する場合、その要件が成功するまで Agent は次に進みません。


) Mac OS X Agent は、自動修復をサポートしていません。したがって、Macintosh クライアント修復の要件タイプを作成する際に、[New Requirement] 設定ページに表示される修復機能(修復の [Type]、[Interval]、および [Retry Count])はその目的を果たしません。


ステップ 5 Agent の自動修復をイネーブルにして設定する場合、次の手順を実行します。

a. [Remediation Type] のドロップダウン メニューで [Manual] または [Automatic] を選択します。[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、Agent の [Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。

b. 自動修復を使用するように要件を設定した場合、[Interval] に秒数を設定します(デフォルト間隔は 0 です)。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。

c. [Retry Count []] を入力します。再試行カウントの指定は、最初に失敗した場合に Agent が自動的に要件を再試行する回数の制限を設定します。(デフォルトの再試行カウント設定は 0 です)。

自動修復の設定に関する詳細については、「要件の自動修復の設定」を参照してください。


) Cisco NAC Web Agent は自動修復をサポートしていません。


ステップ 6 要件タイプに対応する各フィールドを設定します。

ステップ 7 [Requirement Name] にオプション要件の名前を入力します。

ステップ 8 [Description] フィールドに説明を入力し、この要件がオプション要件であること、および Agent ダイアログの [Next] または [Skip] ボタンをクリックしてネットワーク作業を継続できることをユーザに通知します。次の点に注意してください。

File Distribution では、Agent に [Download] ボタンが表示されます。

Link Distribution では Agent に [Go To Link] ボタンが表示されます。

Local Check では、Agent に [Re-Scan] ボタンが表示されます。

AV Definition Update では、Agent に [Update] ボタンが表示されます。

AS Definition Update では、Agent に [Update] ボタンが表示されます。

Windows Update では Agent に [Update] ボタンが表示されます。

Launch Programs では Agent に [Launch] ボタンが表示されます。

Windows Server Update Service では、Agent に [Update] ボタンが表示されます。


) Agent ダイアログ内の一部のデフォルト ユーザ メッセージは、異なるルールや要件の間でもよく似ています。ユーザが修復の問題を明確に理解できるように、機能の特性や目的を説明する適切なメッセージをこのフィールドに指定することを強くお勧めします。


ステップ 9 [Operating System] で、該当するチェックボックスをクリックします。

ステップ 10 [Add Requirement] をクリックします。

必須要件と同じ方法で、オプション要件をルールおよびロールに対応付ける必要があります。詳細については、「要件とルールのマッピング」および「ユーザ ロールへの要件の適用」を参照してください。

図 9-53 Optional 要件の Cisco NAC Agent ダイアログの例

 

図 9-54 Optional 要件の Mac OS X Agent ダイアログの例

 


 

要件の自動修復の設定

File Distribution および Local Check を除くすべての要件タイプの自動修復を設定できます。


) この設定例は、Cisco Clean Access Agent に固有のものです。Mac OS X Agent および Cisco NAC Web Agent は、自動修復をサポートしません。


自動修復を設定するには、次の手順を実行します。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Requirements] > [New Requirement] に移動し、[Requirement Type] を選択します。次のものに対して自動修復を設定できます。

Link Distribution

AV Definition Update

AS Definition Update

Windows Update

Launch Programs

Windows Server Update Services

ステップ 2 [Enforce Type] のドロップダウン メニューで [Mandatory]、[Optional]、または [Audit] を選択します。

ステップ 3 [Remediation Type] のドロップダウン メニューで [Manual] または [Automatic] を選択します。

[Manual] を選択すると、前の Agent 動作が維持されます。ユーザは、[Next] または [Skip] ボタンを使用して、各要件をクリックする必要があります。

[Automatic] を選択すると、自動修復を実行するように Agent が設定されます。この場合、Agent は自動的に更新を実行するか、ユーザのログイン後にクライアントで必要なプログラムを起動します。たとえば次のように、Agent が要件タイプに応じて自動的に異なるアクションを実行します。

Link Distribution に対してデフォルト ブラウザで URL が自動的に起動

AV/AS Definition Update に対してクライアントの AV/AS 定義ファイルを自動的に更新

Windows Update に対して(バックグラウンドで)Windows 自動更新を自動的に起動

Launch Programs のプログラムを自動的に起動

Windows Server Update Services に対して WSUS クライアント アップデートを自動的にインストール

[Automatic] オプションをオンにした場合、同じ要件を再試行するまで Agent が待機する時間([Interval])、およびクライアントで最初に要件の実行に失敗した場合に Agent が再試行する回数([Retry Count])を任意で設定することができます。これらのオプションの影響は、要件タイプによって多少異なります。


) [Auto Remediation] 中、Agent ダイアログには [Details] および [Manual] ボタンだけが表示されます。[Details] をクリックすると、自動修復の追加進捗メッセージが表示されます。自動修復が失敗した場合、ユーザは [Manual] ボタンをクリックして Agent を Manual モードに戻して、ユーザが各要件をクリックする必要がある状態に戻すことができます。


ステップ 4 [Interval [] Secs] 設定に値を入力します。

[Interval [] Secs]:デフォルトは 0 です。要件タイプに応じて、この間隔は、Agent が修復を再試行するまでの遅延を設定したり、特定の修復プロセスに認められる合計時間を設定するものです。間隔が 0 に設定された場合、Temporary ロールがタイムアウトするまで Agent は 自動修復を試行し続けます。

[AV Definition Update/AS Definition Update/Windows Server Update Services]:初期修復試行に失敗した場合、次の更新試行を再開するまでの Agent の待機時間がこの間隔によって定義されます。たとえば、AV Definition Update に対して 30 秒の間隔が設定された場合、要件に違反すると、クライアントの AV 定義ファイルを更新する初期試行の終わりから、Agent は 30 秒待機した後に次の更新試行を開始します。

[Link Distribution/Windows Update/Launch Programs]:この要件タイプの場合、Agent が修復試行を完了することのできる合計秒数がこの間隔によって定義されます。たとえば、Launch Programs 要件に対して間隔が 60 秒に設定されている場合、Agent がプログラムを起動してプログラムを 60 秒間実行することができます。60 秒経過した後にクライアントが要件に合致しない場合、Agent は即座にプログラムを再起動します。

ステップ 5 [Retry Count []] に値を入力します。

[Retry Count []]:デフォルトは 0 です。間隔が 0 の場合、Temporary ロールがタイムアウトするまで Agent は 自動修復を試行し続けます。それ以外の場合、再試行カウントを指定すると、最初に違反したときに Agent が自動的に要件を再試行する回数の制限が設定されます。Temporary ロールがタイムアウトになる前に 再試行カウントに達した場合、[Auto Remediation] ダイアログには、ユーザに [Manual] ボタンをクリックすることを求める赤いステータス テキストが表示されます。

AV Definition Update / AS Definition Update / Windows Server Update Services

Link Distribution / Windows Update / Launch Programs

再試行回数の後も必須要件に違反する場合、Agent は停止し、ユーザ ロールの次の優先要件は実行されません。ユーザはネットワークにアクセスできなくなります。

オプション要件の場合、初期試行が終了した後に、指定された再試行回数や初期試行が成功したか失敗したかに関係なく、Agent は常に次の要件に進みます。ただし、間隔が指定されている場合、Agent はその指定された時間待機した後に、次の要件に進みます。

自動修復が失敗した場合、ユーザには失敗メッセージが表示され、[Details] ボタンをクリックして修復結果を確認するか、[Continue] ボタンをクリックして Clean Access Agent 認証プロセスに戻ることができます。次に、ユーザはログイン セッションを取り消すか、「制限された」ネットワーク アクセス()を受け入れます。


 

CAM における設定後処理および Agent 管理

Agent のログインとクライアント ポスチャ評価を設定し、ユーザが Cisco NAC アプライアンス ネットワークにアクセスできるようになったら、以下のトピックに従ってネットワーク内のクライアント マシン上で Agent の各バージョンを管理できます。

「CAM への Agent の手動アップロード」

「Agent のダウングレード」

「Agent 自動アップグレードの設定」


) 以前(リリース 4.6(1) よりも前)の Windows CAA を CAM にアップロードする場合は、アップロードとダウンロードの手順について『Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.5(1)』を参照してください。


CAM への Agent の手動アップロード

CAM/CAS のソフトウェア アップグレードまたは新規インストールを実行する場合、Agent インストール ファイルは CAM ソフトウェアに自動的に組み込まれるため、アップロードする必要がありません。場合によっては、Windows Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)または Mac OS X Agent インストール ファイル(CCAAgentMacOSX-4.9.x.y-k9.tar.gz)を CAM に手動で直接アップロードできます(たとえば、Agent を再インストールしたり、新しいユーザに配布する Agent のバージョンをダウングレードする必要がある場合などです。詳細については「Agent のダウングレード」を参照してください)。

Windows CAA の下位互換性をサポートするために、Windows CAA セットアップ ファイル(CCAAgentSetup-4.x.y.z.tar.gz)を CAM に手動で直接アップロードすることもできます。この機能を使用すると、管理者は配布する Windows Agent セットアップ ファイルを以前のバージョンに戻すことができます。Agent セットアップ ファイルを手動でアップロードするには、CAM の [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] Web コンソール ページを使用します。


) ファイルが手動でアップロードされると、CAM は自動的に、接続されている CAS に Agent インストール/セットアップ ファイルをパブリッシュします。インストールおよびパブリッシュ中にバージョン チェックは行われないため、Agent セットアップをダウングレードしたり、置き換えることができます。CAM および CAS と Agent の間のバージョン互換性については、『Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later』を参照してください。



注意 Agent ファイルは tar.gz ファイルのまま(展開しないで)CAM にアップロードする必要があります。アップロード前に、.exe ファイルを抽出しないでください。


ステップ 1 Cisco Software Download サイト( http://www.cisco.com/public/sw-center/index.shtml )にログインします。CCO 資格情報の提供を求められる場合があります。

ステップ 2 [Security] > [Endpoint Security] > [Cisco Network Access Control] > [Cisco NAC Appliance] > [Cisco NAC Appliance 4.9] に移動します。

ステップ 3 適切なリリース、たとえば「4.9」のディレクトリ リンクをクリックします。

ステップ 4 Cisco NAC Agent インストーラ ファイル(nacagentsetup-win.tar.gz)をローカル マシンにダウンロードします。


) CAM は、Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)と Windows Clean Access Agent セットアップ ファイル(CCAAgentSetup-4.x.y.z.tar.gz)を同時に扱うことはできません。以前の Windows Clean Access Agent セットアップ ファイルをアップロードすると、既存の Cisco NAC Agent インストールおよび XML Agent コンフィギュレーション ファイルは消去されます。逆の場合も同様です。


ステップ 5 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] に移動します(「Agent の配布」を参照)。

ステップ 6 [Upload Agent File] フィールドで、[Browse] をクリックし、適切な Agent が置かれている場所に移動します。

ステップ 7 .tar.gz ファイルを選択し、[Open] をクリックします。テキスト フィールドにファイルの名前が表示されます。

ステップ 8 [Version] フィールドに、アップロードする Agent のバージョンを入力します(4.9.0.33 など)。


注意 Agent ファイルは tar.gz ファイルのまま(展開しないで)CAM にアップロードする必要があります。アップロード前に、.exe ファイルを抽出しないでください。

ステップ 9 [Upload] をクリックします。


 

Agent のダウングレード

CAM の Agent のバージョンを手動でダウングレードする手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] で、[Current NAC Agent is a mandatory upgrade] チェックボックスをオフにして、[Update] をクリックします。

ステップ 2 [Device Management] > [Clean Access] > [Updates] で、[Check for Windows NAC Agent updates] チェックボックスをオフにして、[Update] をクリックします。

ステップ 3 「CAM への Agent の手動アップロード」の手順を実行します。


) ユーザは、クライアント マシン上の Cisco NAC Agent を自動的に「ダウングレード」できません。Cisco NAC Agent で Agent のダウングレードをサポートするには、最初に既存の Agent をアンインストールしてから、再度 Cisco NAC アプライアンスにログインして、使用可能なバージョンの Agent をインストールします。


ステップ 4 [Device Management] > [CCA Servers] > [List of Servers] で、すべての CAS のステータスが [Connected] ステータスになっていることを確認します。

ステップ 5 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] で、まず Setup.tar.gz ファイルを参照して CAM にアップロードします。[Upload] をクリックする前に、必ず [Version] フィールドに Agent の正しいバージョン(たとえば、"4.1.10.0")を入力したことを確認します。ファイルは自動的に CAS にパブリッシュされます。


) CAM は、Cisco NAC Agent インストール ファイル(nacagentsetup-win.tar.gz)と Windows Clean Access Agent セットアップ ファイル(CCAAgentSetup-4.x.y.z.tar.gz)を同時に扱うことはできません。以前の Windows Clean Access Agent セットアップ ファイルをアップロードすると、既存の Cisco NAC Agent インストールおよび XML Agent コンフィギュレーション ファイルは消去されます。逆の場合も同様です。


ステップ 6 エンド ユーザに手順を提供する Local Check 要件を作成して、Agent(たとえば、4.1.x.y)をアンインストールし、weblogin を再度実行して、ダウングレードされた Agent(たとえば、4.1.2.1)をダウンロードします。


) Mac OS X Agent は、ダウングレードをサポートしていません。たとえば、古い Mac OS X Agent(古いバージョン番号)をアップロードして、[Current NAC Agent is a mandatory upgrade] オプションをオンにした場合、クライアント マシンは自動アップグレードを求めません。



 

CAM における Agent 自動アップグレードのイネーブル化

Agent 自動アップグレードをイネーブルにするには、以下の条件が必須です。

Cisco NAC アプライアンス リリース 4.1(0) 以降を CAM および CAS で実行しており、Agent をクライアント マシンにインストール済みであること(「Agent の自動アップグレードのユーザ エクスペリエンス」を参照)。

ロールおよびクライアント オペレーティング システムに Agent の使用を要求すること(「クライアント マシンへの Agent ログインの要求」を参照)。

最新バージョンの Agent インストール ファイルを取得すること。必須または任意のどちらの自動アップグレードでも、より新しいバージョンの Agent インストーラを [Device Management] > [Clean Access] > [Updates] > [Update] を介して CAM にダウンロードする必要があります。そうしないと、新しい Agent にアップグレードするように要求するプロンプトが表示されません(「クライアント マシンへの Agent ログインの要求」を参照)。


) Cisco NAC Web Agent インストーラをアップグレードした場合、Web Agent を使用してログインしているユーザは、常にこの Agent バージョンを使用してログインします。


ユーザに対する Agent アップグレードのディセーブル化

Agent インストーラ ファイルのアップグレードをユーザに通知および配布することをディセーブルにする手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution] に移動します(図 9-8を参照)。

ステップ 2 [Do not offer current NAC Agent to users for upgrade] オプションをイネーブル(オン)にします。

ステップ 3 [Update] をクリックします。


 

CAM における Agent の必須自動アップグレードのディセーブル化

CAM/CAS を新規にインストールすると、デフォルトで、必須自動アップグレードが自動的にイネーブルになります。CAM/CAS をアップグレードすると、現在の設定(イネーブルまたはディセーブル)がアップグレード後のシステムに継承されます。すべてのユーザに対して必須 Agent 自動アップグレードをディセーブルにする手順は、次のとおりです。


ステップ 1 [Device Management] > [Clean Access] > [Clean Access Agent] > [Distribution]に移動します(図 9-8)。

ステップ 2 [Current NAC Agent is a mandatory upgrade] オプションをディセーブル(オフ)にします。

ステップ 3 [Update] をクリックします。


) 最新の AV/AS 製品サポートを確実に受けるために、[Current NAC Agent is a mandatory upgrade] オプションを設定することを推奨します。



 

Agent の自動アップグレードのユーザ エクスペリエンス

自動アップグレードがイネーブル化されていて、新しいバージョンの Agent が CAM から入手できる場合、ユーザは次のように操作します。

新規ユーザは、最初のワンタイム Web ログイン後に、入手可能な最新バージョンの Agent をダウンロードして、インストールします。

既存のユーザは、入手可能な最新バージョンの Agent に自動アップグレードするように、ログイン時に要求されます(ユーザに対するアップグレード通知がイネーブルの場合)。ユーザがプロンプトを受け入れてアップグレードすると、クライアントは自動的に新しいバージョンの Agent のインストールを開始します。

ログイン時に Agent を自動アップグレードするようにアウトオブバンド ユーザに要求するためには、アウトオブバンド ユーザが認証 VLAN(仮想 LAN)上になければなりません。

[General Setup] ページの設定が異なっている場合を除き、インバンド ユーザは Windows ドメインをログオフするか、またはマシンをシャットダウンしても、Agent にログインしたままです。詳細については、「Logoff NAC Agent users from network on their machine logoff or shutdown after <x> secs (for Windows & In-Band setup, for OOB setup when OOB Logoff is enabled)」を参照してください。

Agent のアンインストール

ここでは、次の方法について説明します。

「Cisco NAC Agent のアンインストール」

「Windows CAA のアンインストール」

「Mac OS X Agent のアンインストール」

Cisco NAC Agent のアンインストール

Agent は Windows クライアントの C: ¥ Program Files ¥ Cisco ¥ Cisco NAC Agent ¥ にインストールされます。Agent は、次の方法でアンインストールできます。

[Uninstall Cisco NAC Agent] デスクトップ アイコンのダブルクリック

[Start Menu] > [Programs] > [Cisco Systems] > [Cisco Clean Access] > [Uninstall Cisco NAC Agent]

[Start Menu] > [Control Panel] > [Add or Remove Programs] > [Cisco NAC Agent]


) CAM の Agent のバージョンを変更する場合は、「CAM への Agent の手動アップロード」を参照してください。


Windows CAA のアンインストール

Agent は Windows クライアントの C:¥Program Files¥Cisco Systems¥Clean Access Agent¥ にインストールされます。次の方法で CAA をアンインストールできます。

[Start Menu] > [Programs] > [Cisco Systems] > [Cisco Clean Access] > [Uninstall Clean Access Agent]

[Start Menu] > [Control Panel] > [Add or Remove Programs] > [Cisco Clean Access Agent]


) CAM から配布された Agent のバージョンを変更するには、「CAM への Agent の手動アップロード」を参照してください。


Mac OS X Agent のアンインストール

Mac OS X Agent のバージョン 4.8.2.590 以上では、次のアンインストール スクリプトを実行して、Agent をアンインストールできます。


ステップ 1 ナビゲータ ペインを開き、 <local drive ID> > [Applications] に移動します。

ステップ 2 [CCAAgent] アイコンを強調表示して右クリックし、選択メニューを表示します。

ステップ 3 [Show Package Contents] を選択し、[NacUninstall] をダブルクリックします。

ステップ 4 これで、Mac OS X で Agent がアンインインストールされます。


 

Mac OS X Agent の旧バージョンでは、2 つの手順で Agent をアンインストールします。


ステップ 1 次のいずれかを実行します。

Terminal.app セッションを開いて、次のように入力します。

sudo rm -rf /sbin/dhcp_refresh /opt/cisco/nac/Applications/CCAAgent.app

または

Mac OS X 10.7 の場合、Terminal.app セッションを開き、次のように入力します。

sudo rm -rf /sbin/dhcp_refresh /Applications/CCAAgent.app

または

ゴミ箱に Agent アプリケーションをドラッグします。Agent アプリケーションは、 /Library/Application Support/Cisco Systems/CCAAgent.app にあります。

Mac OS X 10.7 の場合、[Finder] > [Application] > [CCAAgent.app] に移動し、右クリックして、[Move to Trash] をクリックします。

ステップ 2 Mac OS X 10.5 の場合は、Terminal.app セッションで次のように入力します。

sudo rm -rf /Library/Receipts/CCAAgent.pkg

Mac OS X 10.6 および 10.7 の場合は、Terminal.app セッションで次のように入力します。

sudo rm -rf /var/db/receipts/com.cisco.cca.CCAAgent.*


 

これらの 2 つの手順が完了すると、アプリケーションのすべての痕跡が完全に削除されたため、インストーラを次に実行すると、インストーラのボタンには「UPGRADE」 ではなく、「INSTALL」が表示されます。

Macintosh OS X からの dhcp_refresh ツールの削除

Mac OS X Agent と関連ファイルを完全に削除するには、/sbin フォルダの dhcp_refresh ファイルが削除されたことを確認する必要があります。

/sbin にコピーされ、格納されている dhcp_refresh ツールを手動で削除しなければならない場合もあります。 dhcp_refresh ツールは、この場所に 2 種類の方法(Java アプレットまたは Macagent インストーラ アプリケーション)を使用してコピーされます。このツールを削除できる方法には 2 種類あります。

Terminal.app セッションを開いて、次のように入力します。

cd /sbin
sudo rm dhcp_refresh

Finder.app メソッドを使用します。

a. [Finder] > [Go] > [Go to Folder] に移動します。

b. プロンプトで /sbin と入力します。

c. dhcp_refresh ファイルをゴミ箱にドラッグします。

d. ポップアップする認証ダイアログに管理者パスワードを入力します。

Agent 自動アップグレードの互換性

各 Cisco NAC アプライアンスのソフトウェア リリースでは、CAM ソフトウェアに Agent インストール ファイルの最新バージョンが自動的に含まれます。各バージョンの Agent は、同じバージョンのサーバ製品と互換性があります。例:

4.9.0.33 Cisco NAC Agent は 4.9 CAS/CAM と連携します。

すべての新しい 4.9.0.33 Agent は、4.8(x) および 4.7(x) Clean Access Server と基本的な下位互換性を維持するよう設計されています。さらに、4.9 Clean Access Server は、それ以降の 4.9.0.33 Agent と互換性を維持するように設計されています。基本的な互換性があるため、Agent はログイン、ログアウト、設定済み要件の検索、脆弱性レポートなどの基本機能を実行できます。

CAA バージョンの互換性の詳細については、『 Support Information for Cisco NAC Appliance Agents, Release 4.5 and Later 』を参照してください。

バージョン設定

Cisco NAC Agent では、4 桁のバージョン設定が使用されています。

Cisco NAC Agent バージョン 4.9.0.33 は、Cisco NAC アプライアンス リリース 4.9 にバンドルされています。

Agent のアップグレード(4.9.0.33 など)は、通常、AV/AS 製品サポートの拡張や Agent の互換性(OS サポートなど)に対応するために行われます。

Cisco NAC アプライアンス リリースにバンドルされる新しいバージョンの Agent(Cisco NAC Agent バージョン 4.9.0.33 など)には、以前のバージョンの Clean Access Agent(4.7.1.511 や 4.7.1.15 など)が組み込まれ、それらよりも優先されます。

Cisco Updates

自動アップグレードがイネーブルで Agent がすでにクライアントにインストールされている場合、Agent アップグレードが入手可能になると、Agent はアップグレードを自動検出し、CAS からダウンロードして、ユーザ確認後にクライアント上で自動アップグレードを行います。管理者は Agent 自動アップグレードをユーザに対して必須にするか、任意にするかを設定できます。

Agent アップデートをユーザに配布しないようにするには、Agent の [Distribution] ページで [Do not offer current NAC Agent to users for upgrade] オプションをオンにします。これにより、新規 Agent アップデートが CAM で使用可能になった場合にユーザにアップグレードを通知しないようになります。


) バージョン アップグレードの制約事項の詳細については、『Release Notes for Cisco NAC Appliance, Version 4.9』の「Agent Upgrade Compatibility Matrix」を参照してください。