Cisco Secure Desktop コンフィギュレーション ガ イド リリース 3.5
Host Scan の設定
Host Scan の設定
発行日;2012/01/30 | 英語版ドキュメント(2010/11/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Host Scan の設定

Secure Desktop と Cache Cleaner を有効にしない Host Scan の使用

レジストリ キー、ファイル、およびプロセスのスキャン

File Check の追加

Registry Key Check の追加

Process Check の追加

ウイルス対策、パーソナル ファイアウォール、スパイウェア対策アプリケーションのスキャンのイネーブルおよびディセーブル

ウイルス対策、パーソナル ファイアウォール、スパイウェア対策アプリケーション修復の設定

Secure Desktop と Cache Cleaner を有効にしない Host Scan の使用

接続コンピュータ上で Secure Desktop と Cache Cleaner を実行せずに、Host Scan だけを実行する場合は、次の手順を実行します。


ステップ 1 [Secure Desktop Manager] ウィンドウの CSD プレログイン ポリシーの名前をクリックして、[Secure Desktop] と [Cache Cleaner] をオフにします。デフォルト ポリシーの名前は、「Default」です。Secure Desktop Manager を使用して、ポリシーを作成しない場合は、[Secure Desktop Manager] メニューの [Default] をクリックして、[Secure Desktop] と [Cache Cleaner] をオフにします。

ステップ 2 以下のセクションに従って、Host Scan を設定します。

ステップ 3 一致条件を使用したダイナミック アクセス ポリシーの設定 」の手順に従って、[Basic Host Scan] テーブルからアクセスできるオプションのレジストリ エントリ、ファイル名、プロセス名の条件を選択し、エンドポイント ポリシーを適用する条件として、ウイルス対策、スパイウェア対策、パーソナル ファイアウォール アプリケーションの要件を指定します。


 

レジストリ キー、ファイル、およびプロセスのスキャン

Basic Host Scan に含めるレジストリ エントリ、ファイル名、プロセス名のセットを指定できます。Host Scan には Basic Host Scan と Endpoint Assessment、または Advanced Endpoint Assessment が含まれています。Host Scan は、プレログイン アセスメントの後(ただし、DAP の割り当て前)に実行されます。Basic Host Scan に続いて、セキュリティ アプライアンスではログイン クレデンシャル、ホスト スキャン結果、プレログイン ポリシー、および設定するその他の条件を使用して、DAP を割り当てます。

設定する Basic Host Scan のエントリ タイプの名前が含まれる次のセクションを参照してください。

File Check の追加

Registry Key Check の追加

Process Check の追加

File Check の追加

Microsoft Windows、Mac OS、または Linux が実行されているエンドポイント ポリシー上のファイルをチェックできます。

特定のファイルのチェックを [Basic Host Scan] に追加するには、次の手順に従います。


ステップ 1 [Secure Desktop Manager] > [Host Scan] を選択します。[Host Scan] ペインが開きます(図 3-1)。

図 3-1 Host Scan

 


) Advanced Endpoint Assessment ライセンスの有無に関係なく、ASDM を使用して Dynamic Access Policies を設定し、スキャン結果に基づいてポリシーに関する意思決定を行うことができます。


ステップ 2 [Add] > [File Scan] をクリックします。[Add File Scan] ペインが開きます(図 3-2)。

図 3-2 File Scan の追加

 

ステップ 3 次の属性に値を割り当てます。

[Endpoint ID]:このエントリへのインデックスとして使用できる、一意でわかりやすい文字列を入力します。[Host Scan] の設定が完了したら、DAP の設定時にエンドポイント属性としてこのエントリに割り当てるときと同じインデックスを指定します。文字列の大文字と小文字は区別されます。

次の例を参考にしてください。

File-okclient.exe
 

[File Path]:ファイルへのディレクトリ パスを入力します。

Secure Desktop Manager によって、入力したテキストの大文字と小文字が維持され、リモート デバイス上のファイルへのパスがチェックされます。デバイスで Linux または MacOS が実行されている場合に限り、一致した結果の大文字と小文字が区別されます。Microsoft Windows のファイル システムでは、大文字と小文字が区別されません。

次の例を参考にしてください。

C:¥Program Files¥Cisco¥CSAgent¥bin¥okclient.exe
 

ステップ 4 [OK] をクリックします。

ASDM では [Add File Scan] ウィンドウを閉じ、[Basic Host Scan] テーブルにエントリを挿入します。


 

Registry Key Check の追加

レジストリ キー スキャンは Microsoft Windows オペレーティング システムを実行しているコンピュータに限り適用されます。Mac OS または Linux を実行しているコンピュータの場合、Basic Host Scan はレジストリ キー スキャンを無視します。

次の手順に従って、特定のレジストリ キーのチェックを [Basic Host Scan] に追加します。


ステップ 1 [Secure Desktop Manager] > [Host Scan] を選択します。

[Host Scan] ペインが開きます(図 3-1)。

ステップ 2 [Add] > [Registry Scan] をクリックします。

[Add Registry Scan] ペインが開きます(図 3-3)。

図 3-3 Registry Scan の追加

 

ステップ 3 次の属性に値を割り当てます。

[Endpoint ID]:このエントリへのインデックスとして使用できる、一意でわかりやすい文字列を入力します。[Host Scan] の設定が完了したら、DAP の設定時にエンドポイント属性としてこのエントリに割り当てるときと同じインデックスを指定します。文字列の大文字と小文字は区別されます。

次の例を参考にしてください。

Registry-SecureDesktop
 

[Entry Path] メニュー:レジストリ キーへの最初のディレクトリ パスである ハイブ を選択します。オプションは次のとおりです。

HKEY_CLASSES_ROOT¥
HKEY_CURRENT_USER¥
HKEY_LOCAL_MACHINE¥
HKEY_USERS¥
 

各文字列は、各種情報を格納するレジストリ ベースを参照しています。 HKEY_LOCAL_MACHINE¥ パスにはコンピュータ固有のレジストリ ファイルが含まれるので、最もよく使用されます。

[Entry Path] フィールド:レジストリ キーの名前を入力します。


注意 スペースが含まれるレジストリ キー名に引用符を入力しないでください。

次の例を参考にしてください。

SOFTWARE¥CISCO SYSTEMS¥SECURE DESKTOP¥(Default)
 

ステップ 4 [OK] をクリックします。

ASDM では [Add Registry Scan] ウィンドウを閉じ、[Basic Host Scan] テーブルにエントリを挿入します。


 

Process Check の追加

Microsoft Windows、Mac OS、または Linux 上で実行されているプロセスをチェックできます。

特定のプロセスのチェックを [Basic Host Scan] に追加するには、次の手順に従います。


ステップ 1 [Secure Desktop Manager] > [Host Scan] を選択します。[Host Scan] ペインが開きます(図 3-1)。

ステップ 2 [Add] > [Process Scan] をクリックします。[Add Process Scan] ペインが開きます(図 3-4)。

図 3-4 Process Scan の追加

 

ステップ 3 次の属性に値を割り当てます。

[Endpoint ID]:このエントリへのインデックスとして使用できる、一意でわかりやすい文字列を入力します。[Host Scan] の設定が完了したら、DAP の設定時にエンドポイント属性としてこのエントリに割り当てるときと同じインデックスを指定します。文字列の大文字と小文字は区別されます。

次の例を参考にしてください。

Process-Agent.exe
 

[Process Name]:プロセスの名前を入力します。[Windows Task Manager] ウィンドウを開き、[Processes] タブをクリックして、このプロセス名を Microsoft Windows で表示できます。

次の例を参考にしてください。

Agent.exe
 

ステップ 4 [OK] をクリックします。ASDM では [Add Process Scan] ウィンドウを閉じ、[Basic Host Scan] テーブルにエントリを挿入します。


 

ウイルス対策、パーソナル ファイアウォール、スパイウェア対策アプリケーションのスキャンのイネーブルおよびディセーブル

Cisco AnyConnect またはクライアントレス SSL VPN 接続の完了条件として、ウイルス対策、パーソナル ファイアウォール、スパイウェア対策アプリケーション、およびアップデートのスキャンを設定できます。プレログイン アセスメントの後、CSD では Endpoint Assessment チェックをロードして、DAP の割り当てで使用できるようにセキュリティ アプライアンスに結果を報告します。

[Host Scan Extensions] をイネーブルまたはディセーブルにするには、次の手順に従います。


ステップ 1 [Secure Desktop Manager] > [Host Scan] を選択します。

[Host Scan] ウィンドウが開きます(図 3-1)。

ステップ 2 [Host Scan] ウィンドウの [Host Scan Extensions] 領域で、次のいずれかのオプションをオンにします。

[Endpoint Assessment]:このオプションオンにすると、リモート PC によって、ウイルス対策、スパイウェア対策、パーソナル ファイアウォール アプリケーション、および関連するアップデートの大規模なコレクションのスキャンが実行されます。

[Advanced Endpoint Assessment]:このオプションは、設定に Advanced Endpoint Assessment ライセンス キーが含まれている場合に限り存在します。このオプションには、すべての Endpoint Assessment 機能が含まれており、指定のバージョン要件を満たすために非準拠の PC のアップデートを試行するように設定できます。Cisco からキーを取得した後で、このオプションをオンにするには、[Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択し、[New Activation Key] フィールドにキーを入力して、[Update Activation Key] をクリックします。

このオプションをオンにすると、Secure Desktop Manager は、両方のオプションの隣にチェックマークを挿入します。

[Host Scan Extensions] をディセーブルにするには、[Host Scan] ウィンドウの [Host Scan Extensions] 領域にあるオプションを両方ともオフにします。


 

ウイルス対策、パーソナル ファイアウォール、スパイウェア対策アプリケーション修復の設定

[Advanced Endpoint Assessment] では、指定のバージョン要件を満たすために非準拠のコンピュータのアップデートを試行するように設定できます。ウイルス対策/スパイウェア対策バージョン、関連する定義アップデート、パーソナル ファイアウォール バージョンの修復を設定すると、Host Scan ではこれらのアップデートがなかった場合にアップデートが試行されます。

[Advanced Endpoint Assessment] を設定するには、次の手順に従います。


ステップ 1 [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] を選択します。[Host Scan] ウィンドウが開きます(図 3-1)。

ステップ 2 [Advanced Endpoint Assessment] をオンにするか、クリックします。

Secure Desktop Manager では、セキュリティ アプライアンス設定で Advanced Endpoint Assessment ライセンスが含まれている場合に、[Configure] ボタンが有効になります。ライセンスがない場合、修復を設定するには Advanced Endpoint Assessment ライセンスを取得する必要があります。Advanced Endpoint Assessment ライセンスをイネーブルにする必要がある場合は、「Advanced Endpoint Assessment をサポートするためのアクティベーション キーの入力」を参照してから、この手順に戻ります。

ステップ 3 [Configure] をクリックします。

[Windows]、[Mac OS]、[Linux] タブでは、各種オペレーティング システムに応じた修復を指定できます。これら 3 つのタブの内容は同じで、異なるのはベンダーとアプリケーションだけです。デフォルトでは、Host Scan は修復を試行しません。図 3-5 はデフォルトの [Windows] タブを示します。

図 3-5 Advanced Endpoint Assessment([Windows] タブの例)

 


) Secure Desktop Manager では、アプリケーションで属性やボタンの機能がサポートされている場合に限り、選択する属性やボタンを有効にします。たとえば、選択したパーソナル ファイアウォール アプリケーションで、ルールがサポートされている場合に限り、[Add] をクリックして、パーソナル ファイアウォールのルールを追加できます。


ステップ 4 [Antivirus] テーブルの隣にある [Add] をクリックし、ダイアログボックスから [Vendor-Product] オプションを 1 つ以上選択して、[OK] をクリックします。

Secure Desktop Manager では、選択したオプションを [Antivirus] テーブルに挿入します。

ステップ 5 次のウイルス対策に関するオプションの属性を設定します。

[Force File System Protection]:(選択したウイルス対策アプリケーションで、この機能がサポートされている場合に限りイネーブルになります)インストールされているウイルス対策アプリケーションで現行のバックグラウンド スキャンをオンにする場合にオンにします。アプリケーションでは、ファイルを受信するとファイルをチェックし、ウイルスが含まれている可能性のあるファイルへのアクセスを拒否します。

[Force Virus Definitions Update]:インストールしたアプリケーションのウイルス定義アップデートのチェックをリモート ホストに要求する場合にオンにします。このオプションをオンにする場合は、日数を指定する必要があります。

[if not updated in last]:新しいアップデートをトリガーする最後のアップデートの期間(日数単位)を入力します。

ステップ 6 [Personal Firewall] テーブルの隣にある [Add] をクリックし、ダイアログボックスから [Vendor-Product] オプションを 1 つ以上選択して、[OK] をクリックします。

ステップ 7 次の [Personal Firewall] のアクションとルールのオプションを設定します。


注意 設定するアクションとルールは VPN セッションが終了した後でも、エンドユーザ デバイス上で継承されます。これらのオプションの適用は慎重に行ってください。

[Firewall Action]:このドロップダウン リストの内容は、選択したパーソナル ファイアウォールで使用可能なオプションに応じて異なります。ファイアウォールをイネーブルにするには、[None] または [Force Enable] を選択し、ファイアウォールをディセーブルにするには、[Force Disable] を選択します。

[Rules]:このテーブルは、選択したパーソナル ファイアウォールでルールがサポートされている場合に限り、使用できます。これにより、ファイアウォールで許可または拒否するポートやアプリケーションを指定できます。手順については、「 パーソナル ファイアウォールのルールの設定 」を参照してください。

ステップ 8 [Antispyware] テーブルの隣にある [Add] をクリックし、ダイアログボックスから [Vendor-Product] オプションを 1 つ以上選択して、[OK] をクリックします。

ステップ 9 次のスパイウェア対策に関するオプションの属性を設定します。

[Force Spyware Definitions Update]:選択したアプリケーションのスパイウェア定義アップデートのチェックをリモート ホストに要求する場合にオンにします。このオプションをオンにする場合は、日数を指定する必要があります。

[if not updated in last]:新しいアップデートをトリガーする最後のアップデートの期間(日数単位)を入力します。

ステップ 10 [OK] をクリックします。


 

パーソナル ファイアウォールのルールの設定

パーソナル ファイアウォールのルールでは、ファイアウォールで許可または拒否するアプリケーションやポートを指定できます。選択したパーソナル ファイアウォールでルールがサポートされている場合に限り、[Advanced Endpoint Assessment] ウィンドウ(図 3-5)内の [Rules] テーブルの隣にある [Add]、[Edit]、[Delete] ボタンが有効になります。たとえば、「Internet Security Systems, Inc」の下にオプションが表示されるアプリケーションでは、パーソナル ファイアウォールのルールがサポートされます。

前のセクションで説明したように [Advance Endpoint Assessment] を設定し、[Rules] テーブルの隣にある [Add] または [Edit] をクリックすると、[Add Rule] または [Edit Rule] ウィンドウが開きます(図 3-6)。

図 3-6 パーソナル ファイアウォールのルールの追加

 

[Add Rule] または [Edit Rule] ウィンドウで属性を設定するには、次の手順に従います。


ステップ 1 次の属性の説明を使用して、ルールを選択します。

[Rule]:このルールのアクションを選択します。[ALLOW Application]、[BLOCK Application]、[ALLOW Port]、[Block Port] のオプションがあります。

ステップ 2 [ALLOW Application] または [BLOCK Application] を選択した場合は、[Application] 領域に移動して、次の属性を設定します。

[Name]:許可または拒否するアプリケーションの完全なファイル名と拡張子を入力します。

[Full path]:アプリケーション ファイルへの完全なパスを入力します。

ステップ 3 [ALLOW Port] または [BLOCK Port] を選択した場合は、[Port] 領域に移動して、次の属性を設定します。

[Protocol]:許可または拒否するプロトコルを選択します。[Any]、[UDP]、[TCP] のオプションがあります。

[Port]:許可または拒否するポート番号を入力します。

ステップ 4 [OK] をクリックします。

この手順を、設定するパーソナル ファイアウォールのルールごとに繰り返します。