Cisco Secure Desktop コンフィギュレーション ガ イド リリース 3.5
詳細:ポリシーへのプレログイン条件の割り 当て
詳細:ポリシーへのプレログイン条件の割り当て
発行日;2012/01/30 | 英語版ドキュメント(2010/11/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

詳細:ポリシーへのプレログイン条件の割り当て

プレログイン ポリシーの概要

レジストリ キーのチェック(Microsoft Windows の場合)

ファイルのチェック

証明書のチェック

OS のチェック

IP アドレスのチェック

プレログイン アセスメント設定の変更

詳細:ポリシーへのプレログイン条件の割り当て

プレログイン アセスメントは、プレログイン ポリシーに関連付けられている一致条件で構成されます。次のセクションを使用して、リモート PC にダウンロードされるプレログイン アセスメントを設定します。

プレログイン ポリシーの概要

レジストリ キーのチェック(Microsoft Windows の場合)

ファイルのチェック

証明書のチェック

OS のチェック

IP アドレスのチェック

プレログイン アセスメント設定の変更

プレログイン ポリシーの概要

Secure Desktop Manager を使用して、ユーザがセキュリティ アプライアンスと接続を確立してからログイン証明書を入力するまでの間に実行されるチェックを指定できます。これらのチェックでは、プレログイン ポリシーを割り当てるかどうか、またはリモート ユーザに対して「Login Denied」メッセージを表示するかどうかが決定されます。一致したプレログイン ポリシーの設定によって、Secure Desktop(Vault)と Cache Cleaner のどちらをロードするかが決定されます。Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)にプレログイン ポリシーが適用され、接続に適用されるアクセス権と制約が決定されます。また、ユーザ ログインの前後および最中での CSD コンポーネントの動作が決定されます。たとえば、キーストローク ロガーをチェックするかどうかや、非アクティブ タイムアウトを適用するかどうかが決定されます。

設定されているプレログイン アセスメントを表示するには、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Prelogin Policy] の順に選択します。

図 5-1 に、デフォルトのプレログイン アセスメント設定を示します。「Default」という名前のプレログイン ポリシーが含まれています。

図 5-1 Default Elements in the [Prelogin Policy] ペイン内の [Default] 要素

 

デフォルトでは、[Prelogin Policy] ペインに次の要素が表示されます。

[Start]:青色で表示されるこのノードは、実行するチェックのシーケンスの開始点を視覚的に示しています。[Start] ノードは編集できません。

ライン:ノードの左右のノードに対する条件関係を視覚的に示しています。ラインは移動または削除できません。

[+] 記号:ラインの両側にある 2 つのノードの間にプレログイン チェックを挿入するときにクリックします。Secure Desktop Manager を使用して、次のタイプのチェックを挿入できます。

レジストリ:レジストリ キーが存在しているかどうかを検出できます。

ファイル:特定のファイル、そのバージョン、およびそのチェックサムが存在しているかどうかの条件を指定できます。

証明書:一致を確認する証明書の発行者、および証明書の属性と値を 1 つ指定できます。

単一の証明書の別の属性の一致も確認するには、その属性と値を指定する別のプレログイン チェックを作成します。

OS チェック:Windows(Microsoft Windows 2000、Windows XP、および Windows Vista 用)、Win 9x(Windows 98 用)、Mac(Apple Mac OS X 10.4 用)、および Linux のチェックを設定できます。エディタによって、OS チェックに失敗したリモート 接続用の [Failure] ラインと [Login Denied] エンド ノードが挿入されます。

IP アドレス:IP アドレス範囲、またはネットワーク アドレスとサブネット マスクを指定できます。

[Default]:このエンド ノードは緑色で表示され、「Default」という名前のプレログイン ポリシーが指定されています。CSD がイネーブルにされている場合、デフォルトで、VPN セッションを試行するすべてのリモート コンピュータに対してこのプロファイルが CSD によって割り当てられます。このポリシーまたは他の任意のプレログイン ポリシーにプレログイン チェックを追加して、CSD がポリシーをリモート VPN セッションに割り当てる前に一致を確認する条件を指定できます。

エンド ノードの前にチェックを挿入すると、Secure Desktop Manager によって自動的に、次の各タグのインスタンスが少なくとも 1 つずつ割り当てられます。

新しいチェックから既存のプレログイン ポリシーへのラインに対する [Success] タグ。

新しいチェックから [Login Denied] ノードへのラインに対する [Failure] タグ。このノードは赤色で表示され、「Login Denied」メッセージが表示される(CSD によってセキュリティ アプライアンスへのユーザ アクセスが拒否される)ことを意味しています。

[Start] ノード以外のノードに対しては、名前やタイプを変更できます。[Success] タグに続くエンド ノードを [Login Denied] ノードに変更したり、[Failure] タグに続くエンド ノードをプレログイン ポリシーに変更したりできます。また、エンド ノードの各タイプを サブシーケンス ノードに変更できます。このノードは青色で表示され、[Start] ノードの下に縦に並んだ別の青色のノードの続きであることを示しています。一連の条件にサブシーケンスを割り当てるには、エンド ノードをクリックしてから [Subsequence] をクリックします。作成する各サブシーケンスには、固有の名前を割り当てる必要があります。ブランチの終点のサブシーケンス ノード、および新しいブランチの開始点のノードの両方のインスタンスに対して、Secure Desktop Manager によって名前が割り当てられます。サブシーケンスを再利用するには、エンド ノードをサブシーケンス ノードに変更するときに、既存のサブシーケンスの名前を入力します。

すべてのプレログイン ポリシー(名前が「Default」のものも含む)の名前を変更できます。[Default] ノードを変更するには、[Prelogin Policy] ペインに戻り、[Default] ノードをクリックします。[Label] フィールド内のテキストを、プレログイン ポリシーとしてわかりやすい名前で置き換えます。たとえば、「Secure」という名前に変更して、このプロファイルが組織の PC(つまり、挿入されるチェックで判断される最も厳格な要件を満たすもの)に適用されることを示すことができます。関連するメニュー内のノードの名前が、Secure Desktop Manager によって自動的に変更されます。その後で、それに合わせてプレログイン ポリシー用の設定を調整できます。

レジストリ キーのチェック(Microsoft Windows の場合)

Mac OS または Linux を実行しているコンピュータの場合は、プレログイン アセスメントの際にレジストリ キーのチェックが無視されます。

Microsoft Windows オペレーティング システムを実行しているリモート コンピュータの特定のレジストリ キーのチェックを挿入する手順は、次のとおりです。


ステップ 1 [Prelogin Policy] を選択します。

ステップ 2 レジストリ チェックを挿入する位置を決め、該当する [+] 記号をクリックします。

挿入するチェックのタイプの入力を求めるプロンプトが表示されます。

ステップ 3 [Registry Check] を選択し、[Add] をクリックします。

Secure Desktop Manager によって、ウィンドウに [Registry Check] ノードが挿入され、[Registry Check] ウィンドウ(図 5-2)が開かれます。

図 5-2 レジストリ チェック

 


ヒント リモート PC 内に条件を 1 つ以上設定し、このプレログイン ポリシー用に指定したものとの一致を確認するガイドとして、このウィンドウで指定する値のタイプを使用できます。たとえば、DWORD(倍長、符号なし 32 ビット整数)値または文字列値をリモート PC のレジストリ キーに追加し、設定するプレログイン ポリシーの一致として使用できます。


ステップ 4 [Registry Check] ウィンドウで必須属性に値を割り当てる手順は、次のとおりです。

[Key Path] メニュー: ハイブ (レジストリ キーへの最初のディレクトリ パス)を選択します。オプションは次のとおりです。

HKEY_CLASSES_ROOT¥
HKEY_CURRENT_USER¥
HKEY_LOCAL_MACHINE¥
HKEY_USERS¥
 

各文字列は、各種情報を格納するレジストリ ベースを参照しています。 HKEY_LOCAL_MACHINE¥ パスにはコンピュータ固有のレジストリ ファイルが含まれるので、最もよく使用されます。

[Key Path] フィールド:リモート PC に存在する、または存在しないレジストリ キーの名前を入力します。


注意 スペースが含まれるレジストリ キー名に引用符を入力しないでください。

エントリ パスの文字列の例については、後述する属性の説明を参照してください。

ステップ 5 次のリストからオプション ボタンを 1 つクリックし、関連付ける値を割り当てます。

[Exists]:指定したレジストリ キーがリモート PC に存在することを、設定するプレログイン ポリシーとの一致条件とする場合にこれをクリックします。

例:プレログイン ポリシーの条件に一致するために、次のレジストリ キーが存在している必要がある場合は、[Exists] をクリックします。

HKEY_LOCAL_MACHINE¥SOFTWARE¥<Protective_Software>
 

[Does not exist]:指定したレジストリ キーがリモート PC に存在しないことを、設定するプレログイン ポリシーとの一致条件とする場合にこれをクリックします。

例:プレログイン ポリシーの条件に一致するために、次のレジストリ キーが存在しない必要がある場合は、[Does not exist] をクリックします。

HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥<Evil_SpyWare>
 

[DWORD value] オプション ボタン:レジストリ キーに「Dword」(倍長、32 ビット整数)が含まれていて、その値を条件として指定する場合は、これをクリックします。

「DWORD」は、[Add/Edit Registry Criterion] ダイアログ ボックス内の属性のことです。「Dword」は、レジストリ キー内に表示される属性のことです。


) Windows のコマンドラインからアクセスできる regedit アプリケーションを使用して、レジストリ キーの Dword 値を表示するか、設定する要件を満たすためにレジストリ キーに Dword 値を追加します。


[DWORD value] メニュー:レジストリ キーの Dword 値と、右側に入力する値との関係を指定するオプション(<、<=、=、!=、>、または >=)を選択します。

[DWORD value] フィールド:リモート PC のレジストリ キーの Dword 値と比較する 10 進数を入力します。

例:次の保護ソフトウェア アプリケーションが最小バージョン要件を満たす必要がある場合に、[>=] を選択します。

HKEY_LOCAL_MACHINE¥SOFTWARE¥<Protective_Software>¥Version
 

[String value] オプション ボタン:レジストリ キーに文字列が含まれていて、その値を条件として使用する場合は、これをクリックします。


) Windows のコマンドラインからアクセスできる regedit アプリケーションを使用して、レジストリ キーの文字列値を表示するか、設定している要件を満たすためにレジストリ キーに文字列値を追加します。


[String value] メニュー:次のオプションのいずれかを選択し、レジストリ キーの文字列値と右側に入力する値との関係を指定します。

[contains]

[matches]

[differs]

[String value] フィールド:リモート PC のレジストリ キーの文字列値と比較する文字列を入力します。

例:次の保護ソフトウェア アプリケーションがアクティブであることを確認するために、[matches] を選択し、「Active」と入力します。

HKEY_LOCAL_MACHINE¥SOFTWARE¥<Protective_Software>¥Status
 

[Case sensitive]:条件を満たすために、リモート PC のレジストリ キーの文字列値が、[String value] フィールドと大文字小文字も一致する必要がある場合は、これをオンにします。

ステップ 6 [Update] をクリックします。


 

ファイルのチェック

ファイル条件のプレログイン チェックを使用して、特定のファイルが存在するまたは存在しないことを、関連付けられたプレログイン ポリシーの条件に指定できます。たとえば、ファイルのプレログイン チェックを使用し、プレログイン ポリシーを適用する前に、ある社内ファイルが存在していること、またはマルウェアを含んでいるピアツーピアのファイル交換プログラム(複数可)が存在していないことを確認できます。

リモート PC 上のファイルに対するプレログイン アセスメントを挿入する手順は、次のとおりです。


ステップ 1 [Prelogin Policy] を選択します。

ステップ 2 ファイル チェックを挿入する位置を決め、該当する [+] 記号をクリックします。

挿入するチェックのタイプの入力を求めるプロンプトが表示されます。

ステップ 3 [File Check] を選択し、[Add] をクリックします。

Secure Desktop Manager によって、ウィンドウに [File Check] ノードが挿入され、[File Check] ウィンドウ(図 5-3)が開かれます。

図 5-3 ファイル チェック

 

ステップ 4 次の必須属性に値を割り当てます。

[File Path]:ファイルへのディレクトリ パスを入力します。

Secure Desktop Manager によって、入力したテキストの大文字と小文字が維持され、リモート デバイス上のファイルへのパスがチェックされます。デバイスで Linux または Mac OS が実行されている場合だけ、大文字小文字が区別された一致結果になります。Microsoft Windows のファイル システムでは、大文字と小文字が区別されません。

次の例を参考にしてください。

C:¥Program Files¥Cisco Systems¥CSAgent¥bin¥okclient.exe
 

ステップ 5 次の必須選択のオプション ボタンのいずれかをクリックします。

[Exists]:リモート PC にファイルが存在する必要がある場合は、これをクリックします。

[Does Not Exist]:リモート PC にファイルが存在していない必要がある場合は、これをクリックし、手順 7 に進みます。

ステップ 6 ファイル バージョンを指定するには、次の属性を使用します。

[Version] チェック ボックス:ファイルのバージョンを条件として指定するには、これをオンにします。この条件を使用して、特定のアプリケーションが特定のバージョンであること、または特定のバージョンではないことを要求します。


) .exe ファイルのバージョンを表示するには、Windows Explorer でファイルを右クリックして [Properties] を選択し、[Version] タブをクリックします。


[Version] ドロップダウン リスト:ファイルのバージョンと、右側に入力する文字列との関係を指定するオプション(<、<=、=、!=、>、または>=)を選択します。

[Version] フィールド:リモート PC 上のファイルのバージョンと比較する文字列を入力します。

[Checksum] チェック ボックス:[Path] フィールドのファイル名を認証するためのチェックサムを指定するには、これをオンにします。

[Checksum] フィールド:0x で始まる 16 進数形式でチェックサムを入力します。または、[Compute CRC32 Checksum] をクリックしてローカルに保存したファイルのチェックサムを計算し、その値をこのフィールドに挿入します。

[Compute CRC32 Checksum] ダイアログ ボックス(図 5-4)が開かれます。

図 5-4 Compute CRC32 Checksum

 

チェックサムを取得する手順は、次のとおりです。

a. [Browse] をクリックし、チェックサムを計算するファイルを選択します。

[Compute CRC32 Checksum] ダイアログ ボックスの上側のフィールドに、選択したファイルのパスが表示されます。

b. [Calculate] をクリックします。

[Compute CRC32 Checksum] ダイアログ ボックスの下側のフィールドに、16 進数形式でチェックサムが表示されます。

c. [OK] をクリックします。

[Compute CRC32 Checksum] ダイアログ ボックスが閉じられ、16 進数値が [Checksum] フィールドに表示されます。

ステップ 7 [File Check] ウィンドウの [Update] をクリックします。


 

証明書のチェック

プレログイン アセスメントでは、Microsoft Windows、Mac OS、および Linux 上の証明書をチェックします。

リモート コンピュータ上の特定の証明書用のチェックを挿入する手順は、次のとおりです。


ステップ 1 ASDM の [Secure Desktop Manager] メニューに移動し、[Prelogin Policy] を選択します。

ステップ 2 証明書チェックを挿入する位置を決め、該当する [+] 記号をクリックします。

挿入するチェックのタイプの入力を求めるプロンプトが表示されます。

ステップ 3 [Certificate Check] を選択し、[Add] をクリックします。

Secure Desktop Manager によって、ウィンドウに [Certificate Check] ノードが挿入され、[Certificate Check] ウィンドウ(図 5-5)が開かれます。

図 5-5 証明書チェックの追加

 


) 複数の証明書の一致が必要な場合は、複数の証明書チェックを挿入します。


ステップ 4 一致を評価する証明書の属性を選択して証明書の発行者を識別するには、 表 5-1 の該当する手順を使用します。

 

表 5-1 証明書の属性と値の表示

証明書(.cer)ファイル
証明書を含むファイル
証明書のストア

証明書をダブルクリックします。

a. ファイルを右クリックし、[Properties] を選択します。

b. [Digital Signatures] タブ(ファイルが署名されている場合だけ表示されます)をクリックします。

c. [Details] をクリックします。

d. [View Certificate] をクリックします。

e. [Details] タブをクリックします。

a. [Control Panel] を開きます。

b. [Internet Options] を選択します。

c. [Content] タブをクリックします。

d. [Certificates] をクリックします。

e. 証明書を選択し、[View] をクリックします。

ステップ 5 以下のいずれかを実行します。

[Certificate] ウィンドウの [General] タブをクリックし、[Issued to] フィールドの文字列を ASDM の [Issued to] テキスト ボックスにコピーします。

[Certificate] ウィンドウの [Details] タブをクリックし、[Issuer] フィールドまたはその下側にある [Subject] フィールドをクリックします。

[Issuer] または [Subject] のすべての値が隣接する [Value] 列に表示され、[Issuer] または [Subject] フィールドに関連付けられている個別のパラメータおよび値がウィンドウ下部のボックスに一覧表示されます。

下部のボックスのパラメータ名の形式は、認証局ごとに異なります。次のリストは、ASDM のドロップダウン リスト内のパラメータと一致するもので、通常のパラメータ名をかっこ内に示しています。このリスト内でかっこで囲まれた名前がないものは、通常は使用されないパラメータであることを示しています。

Common Name(CN)

Given Name(GN)

Surname(SN)

Country(C)

Locality(L)

State or Province(ST)

Street Address(STREET)

Organization(O)

Organizational Unit(OU)

Title(T)

Initials(I)

Dn Qualifier(DNQ)

Domain Component(DC)

[Details] タブのウィンドウ下部に表示されているパラメータに関連付けられているパラメータの名前を、ASDM で選択します。パラメータの隣に表示されている値を、ASDM の [Add Certificate Check] ウィンドウ内の上部の名前の付いていないテキスト ボックスにコピーします。


) CSD では、次の証明書フィールドの一致は、プレログインの間に確認できません。


Description

Business Category

Postal Address(PA)

Postal Code(POSTALCODE)

Member(M)

Owner

Role Occupant


 

ステップ 6 [Certificate] ウィンドウの [General] タブをクリックし、[Issued by] フィールドの文字列を ASDM の [Add Certificate] ウィンドウの [Issuer] テキスト ボックスにコピーします。

ステップ 7 [Update] をクリックします。


 

OS のチェック

プレログイン アセスメントには、VPN 接続の確立を試行している OS のチェックが含まれています。OS プレログイン チェックを挿入したかどうかにかかわらず、ユーザが接続を試行したときに、CSD によって自動的に OS のチェックが行われます。

接続に割り当てられているプレログイン ポリシーで Secure Desktop(Vault)がイネーブルにされていて、リモート PC で Microsoft Windows のサポートされるバージョンが実行されている場合は、ユーザが OS プレログイン チェックを挿入したかどうかにかかわらず、Secure Desktop がインストールされます。プレログイン ポリシーで Secure Desktop がイネーブルにされていて、オペレーティング システムが Mac OS X または Linux のサポートされるバージョンの場合は、代わりに Cache Cleaner が実行されます。したがって、インストールする Secure Desktop または Cache Cleaner を設定したプレログイン ポリシーの Cache Cleaner 設定が適切である必要があります。

CSD によって OS が自動的にチェックされますが、各 OS 用に後続のチェックを分離するために、OS プレログイン チェックをプレログイン ポリシーの適用条件として挿入することもできます。

OS チェックを挿入する手順は、次のとおりです。


ステップ 1 [Prelogin Policy] を選択します。

ステップ 2 OS チェックを挿入する位置を決め、該当する [+] 記号をクリックします。

挿入するチェックのタイプの入力を求めるプロンプトが表示されます。

ステップ 3 [OS Check] を選択して、[Add] をクリックします。

Secure Desktop Manager で、[OS Check] ノードが図(図 5-6)に挿入されます。

図 5-6 OS チェック

 

必要に応じて、任意の [Login Denied] ノードをクリックし、プレログイン ポリシーまたはサブシーケンス ノードに変更できます。


 

IP アドレスのチェック

VPN 接続の確立を試行しているリモート ホストの IP アドレスのチェックを挿入できます。IP アドレスがこの数値範囲内、またはネットワーク アドレスで指定された範囲内の場合、リモート ホストはチェックに合格します。範囲外の場合は失敗します。たとえば、10. x.x.x ネットワーク上の社内 LAN から接続する PC では、機密情報の漏えいリスクはほとんどありません。これらの PC に対しては、10. x.x.x ネットワーク上の IP で指定された Secure という名前のプレログイン ポリシーをセットアップして、Cache Cleaner および Secure Desktop のインストールをイネーブルにするプレログイン ポリシー設定をディセーブルにできます。


) PC に複数の IP アドレスがある場合、CSD は最初に検出されたアドレスだけを使用します。


プレログイン チェックの一部として IP アドレスをチェックする手順は、次のとおりです。


ステップ 1 [Prelogin Policy] を選択します。

ステップ 2 IP アドレス チェックを挿入する位置を決め、該当する [+] 記号をクリックします。

挿入するチェックのタイプの入力を求めるプロンプトが表示されます。

ステップ 3 [IP Address Check] を選択して、[Add] をクリックします。

Secure Desktop Manager で、[IP Address Check] ノードが挿入され、図の下に [IP Address Check] ウィンドウが開きます。図 5-7 の左側の IP アドレス チェック ウィンドウはデフォルトのマスク属性、右側の IP アドレス チェック ウィンドウは [Range] をクリックしたときに表示される属性です。

図 5-7 IP アドレスのチェック([Mask] と [Range] オプションの両方を表示)

 

ステップ 4 IP アドレス チェックのタイプを指定するには、次のオプションの どちらか を選択します。

[Mask] をクリックし、ネットワーク アドレスおよびサブネット マスクを入力します。

[Range] をクリックし、[From] フィールドに IP アドレスを入力し(範囲を示すために右側から 1 つ以上のフィールドに 0 を残します)、[To] フィールドにサブネット マスクを入力します。

ステップ 5 [Update] をクリックします。


 

プレログイン アセスメント設定の変更

[Prelogin Policy] ウィンドウ内の、[Start] および [OS] ノード以外の任意のノードを変更できます。[Start] およびエンド ノード以外の任意のノードを削除できます。ノード ウィンドウを変更または削除するには、該当するノードをクリックします。必要に応じて変更を加えて [Update] をクリックするか、設定からノードを削除するために [Delete] をクリックします。

プレログイン チェックを挿入するには、チェックを挿入する位置にある [+] 記号をクリックします。Secure Desktop Manager で、チェックを選択できるウィンドウが挿入されます。次に、[Add] をクリックします。前のセクションの手順を使用して、チェック タイプのウィンドウで属性を設定し、[Update] をクリックします。

任意のエンド ノードのタイプと名前を変更するには、エンド ノードをダブルクリックし、[Login Denied]、[Policy]、または [Subsequence] をクリックしてノード タイプを変更し、タイプが [Policy] または [Subsequence] の場合は [Label] フィールドに名前を入力し、[Update] をクリックします。