Cisco Secure Desktop コンフィギュレーション ガ イド リリース 3.5
一致条件を使用した ダイナミック アクセス ポ リシーの設定
一致条件を使用したダイナミック アクセス ポリシーの設定
発行日;2012/01/30 | 英語版ドキュメント(2010/11/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

一致条件を使用したダイナミック アクセス ポリシーの設定

モバイル デバイスのポスチャ アセスメント用の Lua 表現

デバイスのオペレーティング システムのチェック

デバイスのアーキテクチャのチェック

デバイスのロック ステータス

デバイス ロック ディセーブル

デバイス ロック イネーブル

デバイス ロック アクティブ

デバイス ロック非アクティブ

デバイス ロック タイムアウト過大

デバイス ロック タイムアウト過小

デバイス ロック期間過大

デバイス ロック期間過小

デバイス ロックの複雑性(numeric)

デバイス ロックの複雑性(strong)

セカンダリ ストレージのステータス

セカンダリ ストレージ暗号化可能

セカンダリ ストレージ暗号化ディセーブル

セカンダリ ストレージ暗号化イネーブル

パスワードのチェック

パスワード長さ過小

パスワード長さ過大

パスワード強度(弱)

パスワード強度(強)

パスワード強度(強/弱)

SIM ポリシー

SIM ロック機能

SIM ロック機能イネーブル

SIM ロック機能ディセーブル

SIM ロック アクティブ

SIM ロック非アクティブ

GPS ハードウェアと場所のチェック

GPS ハードウェアあり

GPS ハードウェアなし

GPS ハードウェア イネーブル

GPS ハードウェア ディセーブル

GPS 緯度チェック

GPS 経度チェック

アプリケーションのチェック

インストール済みアプリケーション チェック

未インストール アプリケーション チェック

Bluetooth® ハードウェアとステータスのチェック

Bluetooth ハードウェアあり

Bluetooth ハードウェアなし

Bluetooth イネーブル

Bluetooth ディセーブル

Bluetooth ステータス(Discoverable)

Bluetooth ステータス(Hidden)

一致条件を使用したダイナミック アクセス ポリシーの設定

ホスト スキャンの結果、プレログイン ポリシー、基本的なホスト スキャン エントリ、またはこれらの条件の任意の組み合わせと、管理者が指定するその他のポリシー属性との一致を確認してユーザに動的にアクセスを許可できます。

DAP を次のように設定します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] を選択するか、[Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add] または [Edit] を選択します。

[Add Dynamic Policy] または [Edit Dynamic Policy] ウィンドウが開きます(図 7-1)。

図 7-1 Add Dynamic Access Policy

 

ステップ 2 ウィンドウ最上部の [Policy Name] フィールドを使用して DAP に名前を付けます。

ステップ 3 [Selection Criteria] 領域の左側のドロップダウン リストで、[ANY]、[ALL]、または [NONE] オプションを選択します。

ステップ 4 左側の [Add] ボタンをクリックして AAA 属性タイプと値を指定し、[OK] をクリックします。この DAP で使用する AAA 属性ごとに手順を繰り返します。

ステップ 5 マウスを右側の [Endpoint Attribute] テーブルに移動し、[Add] をクリックします。

[Add Endpoint Attribute] ウィンドウが開きます(図 7-2)。

図 7-2 Add Endpoint Attribute

 


) [Secure Desktop Manager] > [Host Scan] ペインにある [Endpoint Assessment] または [Advanced Endpoint Assessment] オプションがオンで [Anti-spyware]、[Antivirus]、または [Personal Firewall] を選択している場合、ASDM によって [Vendor ID] および [Vendor Description] ドロップダウン メニューにデータが挿入されます。それ以外の場合は、[Vendor ID] および [Vendor Description] 属性名の横に空白のフィールドが表示されます。


ステップ 6 [Endpoint Attribute Type] の横で、次の値のいずれかを選択します。

[Anti-spyware]([Host Scan] ペインで [Host Scan Extention] 領域のいずれかのオプションをオンにしている場合だけ表示されます)。

[Antivirus]([Host Scan] ペインで [Host Scan Extention] 領域のいずれかのオプションをオンにしている場合だけ表示されます)。

[Application] を選択すると、使用中の VPN アプリケーションの一致を確認できます。

[Secure Desktop Manager] > [Host Scan] ペインの [Basic Host Scan] テーブルで指定したファイル。

ホスト名、MAC アドレス、ポート番号、Cache Cleaner または Secure Desktop 用のプライバシー保護、CSD のバージョン、および Endpoint Assessment のバージョンのいずれかを指定するデバイス。

[NAC] を選択すると、AAA サーバで定義されているポスチャ ステータスの一致を確認できます。

[Operating System] を選択すると、オペレーティング システムのバージョン、サービス パック、およびホット フィックスのバージョンの一致を確認できます。

[Personal Firewall]([Host Scan] ペインで [Host Scan Extention] 領域のいずれかのオプションをオンにしている場合だけ表示されます)。

[Policy] を選択すると、ASDM で定義されている既存のプレログイン ポリシーの一致を確認できます。

[Secure Desktop Manager] > [Host Scan] ペインの [Basic Host Scan] テーブルで指定したプロセス。

[Secure Desktop Manager] > [Host Scan] ペインの [Basic Host Scan] テーブルで指定したレジストリ(キー)。

[Add Endpoint Attribute] ウィンドウには、選択したエンドポイント属性値に関連付けられている属性とオプションが表示されます。

ステップ 7 エンドポイント属性のタイプの値を選択し、その値と関連付ける必要がある一致条件をすべて設定します。

ステップ 8 [OK] をクリックします。

[Add Dynamic Policy] または [Edit Dynamic Policy] ウィンドウが開いたままの状態で、[Add Endpoint Attribute] または [Edit Endpoint Attribute] ウィンドウが閉じます。

ステップ 9 その他のエンドポイント属性を設定し、DAP を適用するリモート アクセス デバイスの識別に使用する他の条件を指定します。

ステップ 10 [Action] タブで [Continue] または [Terminate] をクリックし、条件に一致するセッションにこのポリシーの属性を割り当てるか、これらのセッションを終了するかを指定します。

ステップ 11 (オプション)[User Message] ボックスにテキスト メッセージを入力します。詳細については、オンライン ヘルプを参照してください。

ステップ 12 [Add Dynamic Access Policy] の下部のタブで属性値を設定し、オンライン ヘルプで説明されているアクセス権とアクセス制限を設定して [OK] をクリックします。


 

モバイル デバイスのポスチャ アセスメント用の Lua 表現

Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)を使用して、Windows モバイル デバイスからポスチャ情報を収集します。DAP は Lua 言語で記述され、ASA 用に、ASDM インターフェイスを使用して簡単に設定できます。DAP 設定の詳細については、『 Cisco Security Appliance Configuration Guide Using ASDM 』の「 Configuring Dynamic Access Policies 」章を参照してください。

このセクションには、DAP を記述してモバイル デバイスのポスチャ情報を収集するための Lua 表現の例が多数記載されています。

デバイスのオペレーティング システムのチェック

デバイスのアーキテクチャのチェック

デバイスのロック ステータス

セカンダリ ストレージのステータス

パスワードのチェック

SIM ポリシー

GPS ハードウェアと場所のチェック

アプリケーションのチェック

Bluetooth® ハードウェアとステータスのチェック

これらすべてのテスト ケースには CSD 3.5 が必要です。この機能が ASDM DAP の GUI に含まれるまでは、次の高度な DAP Lua スクリプトを使用する必要があります。

デバイスのオペレーティング システムのチェック

モバイル デバイスで Windows Mobile 5、6、6.1、6.1.4、または 6.5 オペレーティング システムが実行されていると、この表現は True になります。

(
EVAL(endpoint.os.version, "EQ", "Windows Mobile 5", "string") or
EVAL(endpoint.os.version, "EQ", "Windows Mobile 6", "string") or
EVAL(endpoint.os.version, "EQ", "Windows Mobile 6.1", "string") or
EVAL(endpoint.os.version, "EQ", "Windows Mobile 6.1.4", "string") or
EVAL(endpoint.os.version, "EQ", "Windows Mobile 6.5", "string")
)

デバイスのアーキテクチャのチェック

これらの表現は、エンド ポイントで実行されているアーキテクチャをチェックします。

デスクトップの場合は、「x64」、「86」、「ia64」、「ppc」および「unknown」のいずれかの値になります。Windows Mobile の場合は、「arm」と「unknown」のいずれかの値になります。

モバイル デバイスがこれらのアーキテクチャのいずれかである場合に、表現が True になります。

(
EVAL(endpoint.os.architecture,"EQ","arm","string") or
EVAL(endpoint.os.architecture,"EQ","x86","string") or
EVAL(endpoint.os.architecture,"EQ","x64","string") or
EVAL(endpoint.os.architecture,"EQ","ia64","string") or
EVAL(endpoint.os.architecture,"EQ","ppc","string") or
EVAL(endpoint.os.architecture,"EQ","unknown","string")
)

デバイス ロック ディセーブル

この表現は、デバイスでデバイス ロック機能がディセーブルにされている場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].enabled,"EQ","false","string")
)

デバイス ロック イネーブル

この表現は、デバイスでデバイス ロック機能がイネーブルにされている場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].enabled,"EQ","true","string")
)

デバイス ロック アクティブ

この表現は、デバイスがロックされている場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].active,"EQ","true","string")
)

デバイス ロック非アクティブ

この表現は、デバイスがロックされていない場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].active,"EQ","false","string")
)

デバイス ロック タイムアウト過大

デバイス ロック タイムアウトは、デバイス自体が自動ロックするまでの間隔(分単位)です。この表現は、デバイス ロック タイムアウトが 10 分を超えている場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].timeoutmins,"GT","10","integer")
)

デバイス ロック タイムアウト過小

デバイス ロック タイムアウトは、デバイス自体が自動ロックするまでの間隔(分単位)です。この表現は、デバイス ロック タイムアウトが 10 分未満の場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].timeoutmins,"LT","10","integer")
)

デバイス ロック期間過大

デバイス ロック期間は、デバイスの PIN が最後に変更されてから経過した間隔(秒単位)です。この表現は、デバイス ロック期間が 432,000 秒(5 日間)を超えている場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].age,"GT","432000","integer")
)

デバイス ロック期間過小

デバイス ロック期間は、デバイスの PIN が最後に変更されてから経過した間隔(秒単位)です。この表現は、デバイス ロック期間が 432,000 秒(5 日間)未満の場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].age,"LT","432000","integer")
)

デバイス ロックの複雑性(numeric)

シンプル PIN は、数字だけを使用するパスワードで、少なくとも 4 桁の長さが必要です。この表現は、デバイスのパスワードが数字だけで構成されていて少なくとも 4 桁ある場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].complexity,"EQ","numeric","string"))
)

デバイス ロックの複雑性(strong)

強力な PIN は、英数字のパスワードで、アルファベットの大文字小文字、数字、および記号を含めることができます。この表現は、デバイスのパスワードがアルファベットの小文字、数字、および記号で構成されている場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].complexity,"EQ","strong","string"))
)

セカンダリ ストレージのステータス

これらの Lua 表現で、セカンダリ ストレージのステータスが評価されます。

セカンダリ ストレージ暗号化可能

セカンダリ ストレージ暗号化ディセーブル

セカンダリ ストレージ暗号化イネーブル

セカンダリ ストレージ暗号化可能

この表現は、デバイスでセカンダリ ストレージ カードを暗号化できる場合に True です。

(
EVAL(endpoint.device.autoencryption["Auto-encryption"].exists,"EQ","true","string")
)

セカンダリ ストレージ暗号化ディセーブル

この表現は、セカンダリ ストレージ カードの暗号化がディセーブルにされている場合に True です。

(
EVAL(endpoint.device.autoencryption["Auto-encryption"].enabled,"EQ","false","string")
)

セカンダリ ストレージ暗号化イネーブル

この表現は、セカンダリ ストレージ カードの暗号化がイネーブルにされている場合に True です。

(
EVAL(endpoint.device.autoencryption["Auto-encryption"].enabled,"EQ","true","string")
)

パスワードのチェック

これらの Lua 表現で、パスワードの特性が評価されます。

パスワード長さ過小

パスワード長さ過大

パスワード強度(弱)

パスワード強度(強)

パスワード強度(強/弱)

パスワード長さ過小

この表現は、デバイスのパスワードが 4 文字未満の場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].policylength,"LT","4","integer")
)

パスワード長さ過大

この表現は、デバイスのパスワードが 4 を超えている場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].policylength,"GT","4","integer")
)

パスワード強度(弱)

この表現は、パスワード強度が交換サーバに定義されている弱いものに該当する場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].policycomplexity,"EQ","numeric","string")
)

パスワード強度(強)

この表現は、パスワード強度が交換サーバに定義されている強力なものに該当する場合に True です。

(
EVAL(endpoint.device.devicelock["DeviceLock"].policycomplexity,"EQ","strong","string")
)

パスワード強度(強/弱)

通常、交換サーバによって設定されます。

(
EVAL(endpoint.device.devicelock["DeviceLock"].policycomplexity,"EQ","alphanumeric", "string")
)

SIM ポリシー

これらの Lua 表現で、SIM カードの特性が評価されます。

SIM ロック機能

SIM ロック機能イネーブル

SIM ロック機能ディセーブル

SIM ロック アクティブ

SIM ロック非アクティブ

SIM ロック機能

この表現は、デバイスに SIM をロックする機能がある場合に True です。

(
EVAL(endpoint.device.simpinlock["SIM"].exists,"EQ","true","string")
)

SIM ロック機能イネーブル

この表現は、SIM カードに PIN がある場合に True です。

(
EVAL(endpoint.device.simpinlock["SIM"].enabled,"EQ","true","string")
)

SIM ロック機能ディセーブル

この表現は、SIM カードに PIN がない場合に True です。

(
EVAL(endpoint.device.simpinlock["SIM"].enabled,"EQ","false","string")
)

SIM ロック アクティブ

この表現は、SIM カードがロック状態の場合に True です。

(
EVAL(endpoint.device.simpinlock["SIM"].active,"EQ","true","string")
)

SIM ロック非アクティブ

この表現は、SIM カードがロック状態ではない場合に True です。

(
EVAL(endpoint.device.simpinlock["SIM"].active,"EQ","false","string")
)

GPS ハードウェアと場所のチェック

これらの Lua 表現で、モバイル デバイスの場所が評価されます。

GPS ハードウェアあり

GPS ハードウェアなし

GPS ハードウェア イネーブル

GPS ハードウェア ディセーブル

GPS 緯度チェック

GPS 経度チェック

GPS ハードウェアあり

この表現は、デバイスに GPS ハードウェアが存在する場合に True です。

(
EVAL(endpoint.device.gps["GPS"].exists,"EQ","true","string")
)

GPS ハードウェアなし

この表現は、デバイスに GPS ハードウェアが存在しない場合に True です。

(
EVAL(endpoint.device.gps["GPS"].exists,"EQ","false","string")
)

GPS ハードウェア イネーブル

この表現は、デバイスで GPS ハードウェアがイネーブルにされている場合に True です。

(
EVAL(endpoint.device.gps["GPS"].enabled,"EQ","true","string")
)

GPS ハードウェア ディセーブル

この表現は、デバイスで GPS ハードウェアがディセーブルにされている場合に True です。

(
EVAL(endpoint.device.gps["GPS"].state,"EQ","off","string")
)

GPS 緯度チェック

ホスト スキャンで緯度を返すためには、GPS が衛星位置報告を取得している必要があります。この表現は、デバイスが北緯 40 度を超えていて、かつ北緯 45 度未満である場合に True です。

(
EVAL(endpoint.device.gps["GPS"].latitude,"GT","40.0","integer")and
EVAL(endpoint.device.gps["GPS"].latitude,"LT","45.0","integer")
)

GPS 経度チェック

ホスト スキャンで経度を返すためには、GPS が衛星位置報告を取得している必要があります。この表現は、デバイスが西経 75 度未満、かつ西経 70 度を超えている場合に True です。

(
EVAL(endpoint.device.gps["GPS"].longitude,"LT","-70.0","integer")and
EVAL(endpoint.device.gps["GPS"].longitude,"GT","-75.0","integer")
)

アプリケーションのチェック

これらの Lua 表現で、モバイル デバイスにインストールされているアプリケーションが評価されます。

インストール済みアプリケーション チェック

未インストール アプリケーション チェック

インストール済みアプリケーション チェック

この表現は、デバイスに特定のアプリケーション「Cisco AnyConnect Mobile VPN Client」がインストールされている場合に True です。

(
EVAL(endpoint.device.application["Cisco AnyConnect Mobile VPN Client"]."EQ","true")
)

未インストール アプリケーション チェック

この表現は、デバイスに特定のアプリケーション「Bad Application」がインストールされていない場合に True です。

(
EVAL(endpoint.device.application["Bad Application"],"NE","true")
)

Bluetooth® ハードウェアとステータスのチェック

これらの Lua 表現で、Bluetooth ハードウェアのステータスが評価されます。

Bluetooth ハードウェアあり

Bluetooth ハードウェアなし

Bluetooth イネーブル

Bluetooth ディセーブル

Bluetooth ステータス(Discoverable)

Bluetooth ステータス(Hidden)

Bluetooth ハードウェアあり

この表現は、デバイスに Bluetooth ハードウェアが存在する場合に True です。

(
EVAL(endpoint.device.bluetooth["Bluetooth"].exists,"EQ","true","string")
)

Bluetooth ハードウェアなし

この表現は、デバイスに Bluetooth ハードウェアが存在しない場合に True です。

(
EVAL(endpoint.device.bluetooth["Bluetooth"].exists,"NE","true","string")
)

Bluetooth イネーブル

この表現は、デバイスで Bluetooth がイネーブルにされている場合に True です。

(
EVAL(endpoint.device.bluetooth["Bluetooth"].enabled,"EQ","true","string")
)

Bluetooth ディセーブル

この表現は、デバイスで Bluetooth がディセーブルにされている場合に True です。

(
EVAL(endpoint.device.bluetooth["Bluetooth"].enabled,"NE","true","string")
)

Bluetooth ステータス(Discoverable)

この表現は、デバイスで Bluetooth ステータスが「Discoverable」モードの場合に True です。

(
EVAL(endpoint.device.bluetooth["Bluetooth"].state,"EQ","discoverable","string")
)

Bluetooth ステータス(Hidden)

この表現は、デバイスで Bluetooth ステータスが「Hidden」モードの場合に True です。

(
EVAL(endpoint.device.bluetooth["Bluetooth"].state,"EQ","hidden","string")
)