Cisco Secure Desktop コンフィギュレーション ガ イド リリース 3.5
はじめに
はじめに
発行日;2012/01/30 | 英語版ドキュメント(2010/11/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

はじめに

機能

Host Scan

Basic Host Scan

Endpoint Assessment

Advanced Endpoint Assessment

Secure Desktop(Vault)

Cache Cleaner

キーストローク ロガー検出

プレログイン アセスメント

CSD ポリシー

Dynamic Access Policies との統合

Windows Mobile デバイス管理

ホスト エミュレーション検出

スタンドアロン インストール パッケージ

CSD の手動起動

CSD のワークフロー

管理インターフェイス

実行コンフィギュレーションの保存とリセット

はじめに

Cisco SSL VPN ソリューションは、情報のセキュリティとプライバシーを保護する堅牢性と柔軟性を備えた製品を組織に提供し、組織のコンプライアンス戦略において重要な役割を果たします。今日の技術では、提案された標準規格に基づくすべてのセキュリティ要件を単体で満たすものはありません。また、オペレーティング システムの制限により、オペレーティング システムと相互運用する技術では、すべてのデータを完全に削除することは保証できません。特に、潜在的に悪意のあるサードパーティ製ソフトウェアがインストールされた信頼されていないシステムからの削除は保証されません。Cisco Secure Desktop(CSD)を使用して展開を実行すると、効果的なリスク マネジメント対策とポリシーの枠組み内で、他のセキュリティ制御およびメカニズムと組み合わせて、こうした技術に関連するリスクを軽減できます。

ここでは、CSD の機能について説明し、Secure Desktop Manager のインターフェイスを紹介するほか、設定の変更を保存する方法について説明します。

機能

CSD のワークフロー

管理インターフェイス

実行コンフィギュレーションの保存とリセット

機能

CSD では、Cisco クライアントレス SSL VPN または AnyConnect Client セッションを確立するときに、リモート デバイスの使用によって発生するリスクを最小限に抑えます。CSD には、単独で、または組み合わせて動作するように設定できる機能が多数あります。

ここでは、CSD の機能について説明します。

Host Scan

Secure Desktop(Vault)

Cache Cleaner

キーストローク ロガー検出

プレログイン アセスメント

CSD ポリシー

Dynamic Access Policies との統合

Windows Mobile デバイス管理

ホスト エミュレーション検出

スタンドアロン インストール パッケージ

CSD の手動起動

Host Scan

Host Scan は、ユーザがセキュリティ アプライアンスに接続した後、ログインする前に、リモート デバイス上にインストールされるモジュールです。Host Scan は、CSD 管理者が設定する Basic Host Scan、Endpoint Assessment、Advanced Endpoint Assessment のモジュールの任意の組み合わせで構成されます。Host Scan は、Microsoft Windows、Apple Mac OS、Linux 上で実行されます。要件の詳細については、『 Cisco Secure Desktop Release Notes 』を参照してください。

Basic Host Scan

Basic Host Scan では、接続コンピュータ上のオペレーティング システムとサービス パックが自動的に識別されます。Basic Host Scan を使用して、指定したプロセス、ファイル、レジストリ キーの検査を設定することもできます。そのため、この機能を使用して、リモート コンピュータでのウォーターマークの存在チェックを設定し、ウォーターマークが企業所有のものかどうかを判断できます。別の Dynamic Access Policies(DAP)を設定して、Basic Host Scan によって返される結果を使用し、企業コンピュータ、ホーム コンピュータ、パブリック コンピュータを区別できます。

CSD がセキュリティ アプライアンス上でイネーブルになっている場合、Basic Host Scan は Cisco クライアントレス SSL VPN または AnyConnect Client セッションを確立しているリモート デバイス上で実行しようとします。OS 検出では、リモート デバイスによる Endpoint Assessment、Advanced Endpoint Assessment、Secure Desktop(Vault)、Cache Cleaner(このうち実行が設定されているもの)の各機能の実行を自動的に許可または拒否します。Basic Host Scan によって実行されるプロセス名、ファイル名、レジストリ キーのチェック機能は、Secure Desktop Manager を使用して明示的に設定する必要があります。Basic Host Scan では、OS とサービス パックの名前、および、設定したチェックの結果をセキュリティ アプライアンスに返します。

セキュリティ アプライアンスでは、DAP で明示的に設定したエンドポイント条件と照合して、返された値を評価します。したがって、このデータに基づいて、DAP をデバイスに割り当てることができます。このモジュールで検出されるオペレーティング システムとサービス パックのリストを表示するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add or Edit] を選択します。エンドポイント属性テーブルの隣にある [Add] または [Edit] をクリックし、[Endpoint Attribute Type] ドロップダウン リストから「Operating System」を選択し、[OS Version] をオンにして、隣接する演算子記号の右にある矢印をクリックします。

Basic Host Scan では、設定した DAP エンドポイント条件と照合して評価するために、次の追加の値を自動的に返します。

Microsoft Windows、Mac OS、Linux のビルド

Microsoft Windows が実行されている接続ホスト上でアクティブなリスニング ポート

接続ホスト上にインストールされている CSD コンポーネント

Microsoft サポート技術情報(KB)番号

その他のデータに一致するようにエンドポイント条件を設定する場合は、[Advanced Logical Expressions] テキスト ボックスに、適切な自由形式の Lua テキストを入力します。これを行うには、 Lua に関する高度な知識が必要です。詳細については、[Add Dynamic Access Policies] または [Edit Dynamic Access Policies] ウィンドウを開き、[Selection Criteria] 領域の一番下にある [Advanced] ボタンをクリックして、[Logical Expressions] テキスト ボックスの右側の [Guide] ボタンをクリックします。

Endpoint Assessment

Host Scan の拡張機能である Endpoint Assessment では、ウイルス対策およびスパイウェア対策アプリケーション、関連する定義アップデート、ファイアウォールの大規模なコレクションについて、リモート コンピュータを調査します。この機能を使用して、セキュリティ アプライアンスによって特定の DAP がセッションに割り当てられる前に、要件を満たすようにエンドポイント条件を組み合わせることができます。

Advanced Endpoint Assessment

別の Host Scan の拡張機能である Advanced Endpoint Assessment では、非準拠のコンピュータのアップデートを試行できます。たとえば、この機能を使用して、特定のウイルス対策アプリケーションのバージョンとそのウイルス対策定義ファイルのアップデートの強制実行を試行できます。


) この機能を使用するには、Advanced Endpoint Assessment ライセンスが必要です。


Secure Desktop(Vault)

Secure Desktop では、関連するデータやファイル、またはリモート セッション時にダウンロードしたデータやファイルをセキュリティで保護されたデスクトップ パーティションに暗号化し、錠のイメージが追加されたデスクトップをグラフィック表示して、リモート ユーザの作業環境がセキュリティで保護されていることを示します。セッションが終了すると、Secure Desktop は米国 国防総省(DoD)データ消去アルゴリズムを実行して、パーティションを削除します。

Secure Desktop は通常、クライアントレス SSL VPN セッション中に使用され、リモート ユーザのログアウト、セッションのタイムアウト、突然のセッション終了後に、クッキー、ブラウザの履歴、一時ファイルが残る可能性を低減しようとします。

管理者として、レジストリ、コマンド ウィンドウ、ネットワーク ドライブおよびフォルダ、リムーバブル ドライブへの Secure Desktop アクセスを制御できます。

Secure Desktop は、32 ビット版 Microsoft Windows OS 環境に限り実行できます。要件の詳細については、『 Cisco Secure Desktop Release Notes 』を参照してください。プレログイン ポリシーに Secure Desktop のインストールが設定されているときに、リモート コンピュータ上のオペレーティング システムがこの操作をサポートしていない場合は、代わりに Cache Cleaner のインストールが試行されます。

ブラウザ プラグイン、シェル拡張、断片化したレジストリが原因で、Secure Desktop でのレジストリの読み取りと書き込み操作の実行に必要な時間が大幅に長くなる可能性があります。Secure Desktop では、レジストリ操作を実行して、タスクの実行に必要なフィルタリングを行います。したがって、リモート コンピュータが低速な場合や、整理されていない場合は、クライアントレス SSL VPN ログイン ページで Secure Desktop を開くのに予想以上の時間がかかる場合があります。

Secure Desktop から表示できるのは、Microsoft Windows 上の [Documents and Settings]、[WINDOWS]、[Program Files] ディレクトリだけです。セキュリティを最大限に高めるため、Secure Desktop では、これらのディレクトリにインストールされたアプリケーションに限りアクセスできます。

Secure Desktop では、システム メモリ情報は暗号化または消去されません。システム メモリ情報とは、Microsoft Windows 仮想メモリ ファイル(一般的にページング ファイルと呼ばれる)としてオペレーティング システムによってディスク上に残される情報などです。Secure Desktop Manager では、ユーザ セッションから印刷をディセーブルにするオプションが用意されています。ローカル印刷が許可されていると、データがローカル システムの印刷スプールにデータが残る場合があります。

Secure Desktop では高度な設定が可能です。Secure Desktop に含まれる豊富な機能セットを使用し、セキュリティで保護された環境で作業を行うユーザに対して、協調的なセキュリティを提供できます。これらの機能では、ホスト、ホストが実行されるネットワーク、インターネットに対するセキュリティで保護されたパーティションの関係が指定されます。

Secure Desktop では、セキュリティで保護されたパーティションを他のホストから隔離せずに、セキュリティで保護されたパーティション内の情報がローカル ドライブに渡されないようにします。Secure Desktop は、ホストからセキュリティで保護されたパーティションに情報が渡されるのを防止しません。ユーザが、既にマルウェアに感染されたホスト上で作業を行っている場合、そのマルウェアはホストからセキュリティで保護されたパーティションに渡される可能性があります。

Secure Desktop では、セキュリティで保護されたパーティションから、ホストが実行されているネットワークへのアクセスを防止せず、ホストのファイル システムへのアクセスも制限しません。ユーザはセキュリティで保護されたパーティションからブラウザを起動し、インターネットにアクセスできます。

Cache Cleaner

Secure Desktop の代替機能となる Cache Cleaner は機能面で制限がありますが、多くのオペレーティング システムをサポートする柔軟性を備えています。Cache Cleaner では、クライアントレス SSL VPN または AnyConnect Client セッション終了時に、ブラウザ キャッシュから情報を削除しようとします。この情報には、入力されたパスワード、オートコンプリート テキスト、ブラウザでキャッシュされたファイル、セッション時に行われたブラウザ設定の変更などが含まれます。

Cache Cleaner は、Microsoft Windows、Apple Mac OS、Linux 上で実行されます。要件の詳細については、『 Cisco Secure Desktop Release Notes 』を参照してください。

キーストローク ロガー検出

ユーザが入力したキー入力を記録するプロセスまたはモジュールのスキャンを選択したプレログイン ポリシーを設定して、疑わしいキー入力ロギング アプリケーションが存在する場合は、VPN アクセスを拒否できます。

デフォルトでは、キーストローク ロガー検出はすべてのプレログイン ポリシーでディセーブルになっています。Secure Desktop Manager を使用して、キーストローク ロガー検出をイネーブルまたはディセーブルにできます。安全なキーストローク ロガーを指定するか、リモート コンピュータ上の Secure Desktop、Cache Cleaner、Host Scan を実行するための条件として、スキャンで識別されたキーストローク ロガーをリモート ユーザに対話的に承認させることができます。

この機能をイネーブルにすると、Secure Desktop、Cache Cleaner、または Host Scan と共にリモート コンピュータにダウンロードされます。ダウンロードが完了したキーストローク ロガー検出は、OS が Windows で、かつユーザが管理者権限を持っている場合に限り実行されます。

関連モジュールは、スキャンに問題がない場合、または、管理者がユーザに管理作業を割り当て、スキャンで識別されたアプリケーションをユーザが承認する場合に限り実行されます。


) キーストローク ロガー検出は、エンドユーザが管理者権限でログインしている限り、ユーザ モードとカーネル モードの両方のロガーに適用されます。


キーストローク ロガー検出は、32 ビット版 Microsoft Windows OS 環境に限り実行できます。この機能は Secure Desktop(Vault) と同じ OS 上で実行されます。

キーストローク ロガー検出では、潜在的に悪意のあるキーストローク ロガーのすべてを検出できない場合があります。ハードウェアのキー入力ロギング デバイスは検出されません。

プレログイン アセスメント

プレログイン アセスメント モジュールも、ユーザがセキュリティ アプライアンスに接続した後、ログインする前に自動的にインストールされます。このモジュールでは、ファイル、デジタル証明書、OS、IP アドレス、Microsoft Windows レジストリ キーについてリモート デバイスをチェックできます。

管理者と CSD のインターフェイスとなる Secure Desktop Manager では、プレログイン アセスメント モジュールを簡単に設定できるグラフィカル シーケンス エディタが用意されています。

プレログイン アセスメント モジュールを設定するときに、CSD 管理者は「 シーケンス 」と呼ばれるノードのブランチを作成します。各シーケンスは [Start] ノードで始まり、続いてエンドポイント チェックが実行されます。チェックの結果により、別のエンドポイント チェックを実行するかどうか、またはエンドノードでシーケンスを終了するかどうかを判定します。

エンドノードでは、[Login Denied] メッセージを表示するかどうか、CSD ポリシーをデバイスに割り当てるかどうか、または「サブシーケンス」と呼ばれるセカンダリ チェックを実行するかどうかを判定します。「 サブシーケンス 」は、シーケンスの連続で、通常、詳細なエンドポイント チェックとエンドノードで構成されます。この機能は、以下の処理を行う場合に便利です。

特定のケースで、チェックのシーケンスを再利用する。

サブシーケンス名を使用して文書化するといった全体的な目的を持つ条件セットを作成する。

グラフィカル シーケンス エディタが占める水平方向の領域を制限する。

CSD ポリシー

CSD ポリシーを使用すると、リモート デバイスがバーチャル プライベート ネットワークに接続する方法と、接続方法に応じてリモート デバイスを保護する方法を指定できます。CSD ポリシーで、リモート ユーザのエクスペリエンス、権限、制限を指定できます。プレログイン アセスメント モジュールを設定するときに、CSD ポリシーを作成します。グラフィカル シーケンス エディタのチェック結果により、プレログイン アセスメントで特定のプレログイン ポリシーが割り当てられるか、拒否されるかが決まります。

ポリシーを作成するたびに、Secure Desktop Manager によりポリシーにちなんだ名前が追加されます。ポリシーのメニューごとに、ポリシーに対して一意な設定を割り当てることができます。これらの設定により、ポリシーに割り当てられたプレログイン条件に一致するリモート デバイス上に Secure Desktop(Vault)モジュール、Cache Cleaner モジュールがインストールされるか、どちらのモジュールともインストールされないかが決まります。管理者は通常、これらのモジュールを企業以外のコンピュータに割り当て、セッション終了後の企業データやファイルへのアクセスを防止します。ここでは、Secure Desktop モジュールと Cache Cleaner モジュールに関する情報を詳しく説明します。

リモート デバイスが企業コンピュータの場合は、Secure Desktop と Cache Cleaner のどちらともポリシーに割り当てないことを選択できます。10. x.x.x ネットワーク上の社内 LAN から接続しているコンピュータの場合、機密情報が公開されるリスクは低くなります。このようなコンピュータの場合、10. x.x.x ネットワーク上の IP アドレスに一致するように「セキュア」という名前のプレログイン ポリシーをセットアップし、そのポリシーに対して、Secure Desktop と Cache Cleaner をディセーブルにできます。

これに対して、ユーザのホーム コンピュータは、仕事とプライベートで併用しているため、ウイルスに対するリスクが高いと考えられます。このようなコンピュータの場合、会社から支給された証明書がインストールされた従業員のホーム コンピュータに「ホーム」という名前のプレログイン ポリシーをセットアップできます。このプレログイン ポリシーが含まれている DAP 条件でも、ネットワークへのフルアクセス許可を付与するために、ウイルス対策およびスパイウェア対策ソフトウェアが必要になります。

さらに、インターネット カフェなど、信頼できない場所では、一致する条件がない「パブリック」という名前のプレログイン ポリシーをセットアップして、このポリシーを安全なポリシーの要件を満たさないリモート アクセス デバイス用のデフォルト ポリシーとしたり、厳密さを緩和した条件を定義したりできます。このプレログイン ポリシーには、Secure Desktop インストールが必要となり、承認されていないユーザからのアクセスを防止するため、タイムアウト期間は短く設定されます。

Dynamic Access Policies との統合

セキュリティ アプライアンスでは、CSD の機能が Dynamic Access Policies(DAP)に組み込まれます。設定に応じて、セキュリティ アプライアンスでは、DAP 割り当ての条件として、オプションの AAA 属性値と組み合わせたエンドポイント属性値が 1 つ以上使用されます。DAP のエンドポイント属性でサポートされる CSD 機能には、OS 検出、CSD ポリシー、Basic Host Scan 結果、Endpoint Assessment があります。

管理者として、DAP をセッションに割り当てるのに必要な条件を構成する属性を単独で、または組み合わせて指定できます。DAP により、エンドポイント AAA 属性値に適切なレベルでネットワーク アクセスが提供されます。設定したエンドポイント条件がすべて満たされたときに、セキュリティ アプライアンスによって DAP が適用されます。

Windows Mobile デバイス管理

CSD Host Scan によって既に実行されている基本的なポスチャ アセスメントに加え、Mobile デバイス管理では、モバイル デバイス固有のポスチャ チェックが実行されます。これにより、VPN 管理者は Dynamic Access Policies(DAP)を強制実行できます。Windows Mobile デバイス管理機能を使用するには、AnyConnect Client がモバイル デバイスにインストールされていることと、Advanced Endpoint Assessment ライセンスが ASA にインストールされている必要があります。


) • この機能では、タッチ スクリーン デバイス対応の Windows Mobile 6.x Professional オペレーティング システムがサポートされています。Windows Mobile Smartphone または Windows Mobile Standard デバイスはサポートされていません。

Windows Mobile デバイスの場合、Host Scan では、ウイルス対策、スパイウェア対策、パーソナル ファイアウォール アプリケーションのポスチャ情報は収集されません。


 

DAP は Lua 言語で記述され、ASA 用に、ASDM インターフェイスを使用して簡単に設定できます。DAP の設定に関する詳細については、「一致条件を使用したダイナミック アクセス ポリシーの設定」を参照してください。

ホスト エミュレーション検出

プレログイン ポリシーのもう 1 つの機能であるホスト エミュレーション検出では、リモートの Microsoft Windows オペレーティング システムがバーチャライゼーション ソフトウェア上で実行されているかどうかを判断します。Secure Desktop Manager を使用して、この機能をイネーブルまたはディセーブルにできます。また、ホスト エミュレータが存在する場合にアクセスを拒否したり、ユーザに検出を報告し、続行するか終了するかの判断をユーザに委ねることができます。

デフォルトでは、ホスト エミュレーション検出はすべてのプレログイン ポリシーでディセーブルになっています。この機能をイネーブルにすると、Secure Desktop、Cache Cleaner、または Host Scan と共にリモート コンピュータにダウンロードされます。ダウンロードが完了すると、まずホスト エミュレーション検出が実行され、キーストローク ロガー検出の実行が設定されている場合は同時に実行されます。続いて、次のいずれかの条件に当てはまる場合は、関連モジュールが実行されます。

ホストがエミュレータ(または、バーチャライゼーション ソフトウェア)上で実行されていない。

アクセスを常に拒否するように設定しておらず、ユーザが検出されたホスト エミュレータを承認する。

ホスト エミュレーション検出は、32 ビット版 Microsoft Windows OS 環境に限り実行されます。この機能は Secure Desktop(Vault) と同じ OS 上で実行されます。

スタンドアロン インストール パッケージ

CSD スタンドアロン インストール パッケージを用意しています。これらのインストール パッケージでは、ASA からエンドポイントに配布する必要はなく、企業全体を対象とするソフトウェア配布ツールで展開できます。パッケージを使用するには、CSD に対する管理者権限が必要ですが、アップグレード インストールの場合は必要ありません。

これらの変更により、次のメリットがあります。

CSD をアウトオブバンド方式で展開できるようになるので、最初の接続時間とソフトウェア アップデートの実行に必要な追加時間を短縮できる。

権限のないユーザによって起動されても、エンドポイントのポスチャを詳細に評価できる。

管理者権限を必要とせずにソフトウェア アップデートを実行できる。

CSD の手動起動

この機能を使用すると、ユーザはコンピュータから CSD を起動して、ASA へのクライアントレス SSL VPN 接続を作成できます。この機能は、Active X や Java を実行する権限がない、または Active X や Java をインストールしていないユーザに便利です。

この機能は、Windows、Linux、Mac OS X デスクトップで使用できますが、Windows Mobile デバイス ユーザは使用できません。

CSD のワークフロー

CSD の設定が完了すると、次のワークフローで説明するように、CSD は企業ネットワークを保護するために、セキュリティ アプライアンスと連携して動作します。


ステップ 1 リモート デバイスでは、クライアントレス SSL VPN またはセキュリティ アプライアンスとの AnyConnect Client セッション確立が試行されます。


) ここで説明する各「モジュール」は、CSD の機能です。


ステップ 2 プレログイン アセスメント モジュールは、リモート デバイスについて次のチェックを行います。

オペレーティング システム

CSD 管理者が指定するファイルの有無。

CSD 管理者が指定するレジストリ キーの有無。このチェックは、コンピュータが Microsoft Windows を実行している場合だけに適用されます。

CSD 管理者が指定するデジタル証明書の有無。このチェックについても、コンピュータが Microsoft Windows を実行している場合だけに適用されます。

CSD 管理者が指定する IP アドレスの範囲。

ステップ 3 前のステップの結果に応じて、次のイベントのいずれかが発生します。

リモート コンピュータでプレログイン アセスメントが実行され、[Login Denied] エンドノードで終了するシーケンスを経由する場合は、[Login Denied] メッセージが表示されます。この場合、セキュリティ アプライアンスとリモート デバイス間の対話は停止します。

プレログイン アセスメント モジュールにより、プレログイン ポリシー名がデバイスに割り当てられ、プレログイン ポリシーの名前がセキュリティ アプライアンスに報告されます。

ステップ 4 リモート デバイスに割り当てられたプレログイン ポリシーで Secure Desktop モジュールと Cache Cleaner モジュールがイネーブルになっているかどうかによって、Host Scan では、これらのモジュールを必要に応じてダウンロードして実行します。Secure Desktop がイネーブルになっているが、オペレーティング システム上で実行できない場合は、Cache Cleaner だけが実行されます。

ステップ 5 ユーザがログインします。

ステップ 6 通常、セキュリティ アプライアンスでは、DAP をセッションに適用するために、設定したエンドポイント属性の条件(プレログイン ポリシーや Host Scan 結果の値など)と組み合わせて認証データを使用します。

ステップ 7 ユーザ セッションが終了すると、Host Scan が終了し、Cache Cleaner または Secure Desktop でクリーンアップ機能が実行されます。

管理インターフェイス

Secure Desktop Manager 」と呼ばれる管理インターフェイスを使用して、セキュリティ アプライアンス上で CSD を設定できます。CSD をインストールしてイネーブルにしたら、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] を選択します。[Secure Desktop Manager] ペインが開きます。

CSD がディセーブルになっている場合、[Setup] メニュー オプションだけが表示されます。このオプションで CSD をイネーブルにできます。Secure Desktop をインストールしてイネーブルにし、ASDM を終了して、新しい ASDM 接続を確立すると、Secure Desktop Manager にフルメニューが表示されます。

図 1-1 は、[Secure Desktop Manager] ペイン内のノードをすべて展開したデフォルト メニューを示しています。

図 1-1 Secure Desktop Manager(初期状態)

 

[Secure Desktop Manager] メニューには次のオプションが表示されます。

[Setup]:コンピュータから CSD イメージを取得して、イメージをインストールできます。また、既存のイメージを新しいイメージまたは古いイメージに置き換えてインストールしたり、イメージをアンインストールしたり、CSD をイネーブルまたはディセーブルにできます。

[Global Settings]:ユーザがセキュリティ アプライアンスに接続するときに VPN ユーザ エンドポイント上で発生する CSD ロギング レベルを変更できます。

[Prelogin Policy]:セキュリティ アプライアンスに接続されているコンピュータのプレログイン アセスメントを表示または設定できます。また、プレログイン アセスメント条件に適合したリモート コンピュータに適用されるプレログイン ポリシーの追加、表示、名前の変更、削除を実行できます。

[Prelogin Policy] オプションを使用して、リモート コンピュータがプレログイン ポリシー割り当ての資格を得るために満たす必要がある条件を指定します。たとえば、企業のアドレス範囲内の DHCP で割り当てられた IP アドレスを持つリモート コンピュータに「セキュア」という名前のプレログイン ポリシーを割り当てることができます。

[Secure Desktop Customization]:リモート ユーザに表示される Secure Desktop ウィンドウのデザインを変更したり、カスタマイズしたりできます。これには、Secure Desktop の背景(錠アイコン)やテキストの色に加え、[Desktop]、[Cache Cleaner]、[Keystroke Logger]、[Close Secure Desktop] ウィンドウのダイアログ バナーなどが含まれます。

[Default]:デフォルトでは、グラフィカル シーケンス エディタによって表示されるプレログイン ポリシー ダイアグラムには、プレログイン ポリシーが 1 つしかありません。プレログイン ポリシーの名前は、「Default」です。Secure Desktop Manager により、プレログイン ポリシー ダイアグラムで名前を付けたプレログイン ポリシーごとに、メニューが左ペインに追加されます。メニュー内のプレログイン ポリシーの名前をクリックするか、従属するオプションをクリックすると、プレログイン ポリシーに割り当てられた設定を表示して変更できます。

プレログイン ポリシーを設定に追加すると、Secure Desktop Manager により、ポリシーの名前に加え、そのポリシーの権限や制限を設定するための次のオプションがメニューに表示されます。

[Keystroke Logger & Safety Checks]:リモート PC でのキー入力ロギング アプリケーションとホスト エミュレータのスキャンをイネーブルまたはディセーブルにします。

[Cache Cleaner]:親メニューで Secure Desktop または Cache Cleaner がオンになっている場合、Cache Cleaner の設定内容を調整するには、このオプションをクリックします。このオプションでは、Microsoft Windows Vista、Windows XP、Windows 2000、Apple Macintosh OS X 10.4(PowerPC または Intel)、Linux がサポートされるようになりました。

[Secure Desktop (Vault) General]:このオプションがイネーブルになっている場合は、Secure Desktop(Vault)設定を指定できます。

[Secure Desktop (Vault) Settings]:このオプションがイネーブルになっている場合は、Secure Desktop に制限をかけることができます。

[Secure Desktop (Vault) Browser]:ブラウザのデフォルトのホームページを指定できます。このオプションでは、フォルダおよびブックマーク(または 「お気に入り」)を指定して、セッション時に各ブラウザ メニューに挿入することもできます。

[Host Scan]:プレログイン アセスメントが完了した後でスキャンするファイル、プロセス、Microsoft Windows レジストリ キーを指定するには、このオプションをクリックします。これらの項目のスキャンは、「Basic Host Scan」と呼ばれます。また、[Host Scan] をクリックすると、Endpoint Assessment(リモート コンピュータで実行されているウイルス対策、パーソナル ファイアウォール、スパイウェア対策アプリケーションとアップデートのスキャン)をイネーブルにできます。さらに、[Host Scan] をクリックして、非準拠のコンピュータの指定したアプリケーションと更新ファイルのアップデートを行う Advanced Endpoint Assessment を設定できます。この機能を使用するには、Advanced Endpoint Assessment ライセンスが必要です。

[Prelogin Policy] と [Host Scan] のオプションを設定したら、ユーザ ログインの後に Dynamic Access Policy を割り当てるための、次に示す Host Scan 結果のいずれかまたはその組み合わせの一致条件を設定できます。

オペレーティング システム

(プレログイン)ポリシー

レジストリ キー(Microsoft Windows の場合)

ファイル

プロセス

ウイルス対策アプリケーション

パーソナル ファイアウォール アプリケーション

スパイウェア対策アプリケーション

実行コンフィギュレーションの保存とリセット

Secure Desktop Manager では、すべての CSD 設定データは disk0:/sdesktop/data.xml に保存されます。


設定を別のセキュリティ アプライアンスにコピーするには、disk0:/sdesktop/data.xml ファイルのコピーを対象のセキュリティ アプライアンスのフラッシュ デバイスに転送します。disk0:/sdesktop/data.xml ファイルを実行コンフィギュレーションにコピーするには、Cisco Secure Desktop をディセーブルにしてから再度イネーブルにします。


セキュリティ アプライアンスによって、[Secure Desktop Manager] > [Setup] ペインに表示される設定が保存されます。Secure Desktop Manager により、disk0:/sdesktop/data.xml ファイルの残りの設定が保存されます。Secure Desktop Manager では、[Secure Desktop Manager] > [Prelogin Policy] で表示されるペインの一番下に、そのファイルを操作するための 2 つのボタンが表示されます。次のようにこれらのボタンを使用します。

実行 CSD コンフィギュレーションを data.xml ファイルに保存するには、[Apply All] をクリックします。

Secure Desktop Manager セッションから適用されていない変更をすべて削除するには、[Reset All] をクリックします。

設定を保存せずに、[Secure Desktop Manager] ウィンドウから別の場所に移動したり、終了しようとすると、[Unapplied Changes] ダイアログボックスが表示され、CSD 設定を保存するように求められます。そのウィンドウで、[Apply Changes] クリックすると、[Apply All] ボタンをクリックするのと同じ効果が得られます。