Cisco Secure Desktop コンフィギュレーション ガ イド リリース 3.5
チュートリアル:ポリシーへのプレログイン 条件の割り当て
チュートリアル:ポリシーへのプレログイン条件の割り当て
発行日;2012/01/30 | 英語版ドキュメント(2010/11/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

チュートリアル:ポリシーへのプレログイン条件の割り当て

概要

プレログイン アセスメントの設定

Secure コンピュータのプレログイン条件の設定

Home コンピュータのプレログイン条件の設定

Public コンピュータのプレログイン条件の設定

Secure Desktop と Cache Cleaner の設定

Secure Desktop と Cache Cleaner の有効化または無効化

キーストローク ロガーのスキャンの設定

エンドポイント プロファイルごとの DAP の割り当て

チュートリアル:ポリシーへのプレログイン条件の割り当て

このチュートリアルでは、CSD 設定手順の概要について説明します。ここからは、設定の属性に関する詳細な手順が記載されています。セクションの内容は次のとおりです。

概要

プレログイン アセスメントの設定

Secure Desktop と Cache Cleaner の設定

エンドポイント プロファイルごとの DAP の割り当て

概要

このチュートリアルでは、「Secure」、「Home」、「Public」の 3 つのプレログイン ポリシー例の設定方法について説明します。「Secure」はオフィスのワークステーションから VPN に接続するユーザ用、「Home」は在宅勤務ユーザ用、「Public」はインターネット カフェから接続するユーザなどの「Secure」と「Home」のいずれの条件も満たしていないユーザ用に使用します。


) このチュートリアルは一例です。実際の展開では、VPN セキュリティ ポリシーが反映されたプロファイル名と設定を選択するようにお勧めします。


このチュートリアルでは、「Secure」はクライアントにフルアクセスが許可され、「Home」はある程度の柔軟性があり、「Public」はアクセスが制限される設定となっています。このチュートリアルでは、プレログイン ポリシーは次のように定義されています。

Secure

OS が Microsoft Windows であること、IP アドレスが指定された範囲内であること、コンピュータに指定されたレジストリ エントリがあることを確認して、VPN 接続を確立しようとする企業コンピュータを識別するために、プレログイン アセスメントを割り当てる。

Secure Desktop(Vault)と Cache Cleaner をディセーブルにする。

Dynamic Access Policy(DAP)設定を使用して、アクセス権を割り当てる。

Home

管理者によって付与された証明書およびファイル チェックを使用して識別する。

タイムアウトなしで、Secure Desktop と Vault Reuse をイネーブルにする。

[Vault Reuse] では、ユーザは Secure Desktop を閉じた後で Secure Desktop を再度開くことができます。次のセッションに移動しても、デスクトップ環境は維持されます。このオプションをイネーブルにする場合は、Secure Desktop セッションが確立される前に、ユーザはパスワード(最大 127 文字)を入力する必要があります。

高度な機能を使用する場合、企業にはウイルス対策、スパイウェア対策、ファイアウォール ソフトウェアが必要となる。

キーストローク ロガーについてチェックする。

DAP 設定を使用して、アクセス権を割り当てる。

Public プロファイル

マルウェア ファイルについてチェックする。

キーストローク ロガーについてチェックする。

Cache Cleaner をインストールする。

DAP 設定を使用して、アクセス権を割り当てる。

このチュートリアルの例は、「Secure」、「Home」、「Public」の順序で示されます。ホストに権限を割り当てる場合、CSD ではまずホストが「Secure」かどうかを確認します。ホストが「Secure」でない場合は、ホストが「Home」かどうかを確認します。ホストが「Home」でない場合は、複数のファイル チェックを実行し、「Public」エンドポイント プロファイルに関連付けられた権限を割り当てます。

プレログイン アセスメントの設定

これらの手順では、Secure Desktop Manager によりデフォルトの設定がロードされていることが前提となります。デフォルトの設定をリロードするには、sdesktop/data.xml ファイルの名前を変更して、CSD をディセーブルにしてから再度イネーブルにし、ASDM を終了してから新しい ASDM セッションを開始します。

次のセクションに従って、プレログイン アセスメントを設定し、名前をプレログイン ポリシーに割り当てます。

Secure コンピュータのプレログイン条件の設定

Home コンピュータのプレログイン条件の設定

Public コンピュータのプレログイン条件の設定

Secure コンピュータのプレログイン条件の設定

次の手順に従って、VPN 接続を試行する Secure コンピュータの CSD ポリシーの条件を指定します。


ステップ 1 [Prelogin Policy] を選択します。

[Prelogin Policy] ペインには、「Default」という名前のデフォルトのエンドポイント プロファイルが示されます。メニューには、同じプロファイル名が表示され、そのプロファイルに設定を割り当てた場所が示されます(図 4-1)。

図 4-1 メニューでのデフォルトのプレログイン ポリシー名の重複

 


ヒント CSD 設定ファイルである data.xml に恒久的な変更を加えずに、プレログイン アセスメント シーケンス エディタで使用可能なオプションを探す場合は、変更してから、[Secure Desktop Manager] メニュー以外の ASDM オプションを選択し、[Discard Changes] をクリックします。


ステップ 2 「Default」という名前のエンドノードをクリックします。

このエンドノードは、エンドノード プロファイルを示します。Secure Desktop Manager でこのエンドノードの名前がメニューに表示されます。

Secure Desktop Manager によってウィンドウが挿入され、エンドノードのタイプと名前を変更できます(図 4-2)。

図 4-2 エンドノードの変更ウィンドウ

 

[Policy] オプションは、既に選択されています。この場合、必要な操作は名前を変更するだけです。

ステップ 3 テキスト ボックスで、「Default」の名前を「Secure」に置き換えます。

ステップ 4 [Update] をクリックします。

Secure Desktop Manager によって、エンドノードの変更ウィンドウが閉じられ、エンドノードの名前と [Secure Desktop Manager] メニューの関連メニュー オプションが変更されます(図 4-3)。

図 4-3 デフォルトのポリシー名の変更

 

ステップ 5 図のプラス記号をクリックします。

図の下でウィンドウが開き、挿入するチェックの種類の選択を求めるプロンプトが表示されます(図 4-4)。

図 4-4 プレログイン アセスメントのオプション

ステップ 6 [OS Check] を選択して、[Add] をクリックします。

Secure Desktop Manager で、[OS Check] ノードが図(図 4-5)に挿入されます。

図 4-5 OS チェック

ステップ 7 [Secure] ノードの左側のプラス記号をクリックします。

ステップ 8 [IP Address Check] を選択して、[Add] をクリックします。

Secure Desktop Manager で、[IP Address Check] ノードが挿入され、図の下に [IP Address Check] ウィンドウが開きます。図 4-6 は、[IP Address Check] ウィンドウのデフォルトの [Mask] 属性を示します。

図 4-6 IP Address Check(デフォルトの [Mask] 属性表示)

 

ステップ 9 IP アドレス チェックの種類を変更するには、[Range] をクリックします。

Secure Desktop Manager により、[IP Address Check] ウィンドウ(図 4-7)の属性が変更されます。

図 4-7 [IP Address Check] ウィンドウの [Range] 属性

 

ステップ 10 IP アドレスの範囲とサブネット マスクを入力し、[Update] をクリックします。

ステップ 11 [Secure] ノードの左側のプラス記号をクリックします。

ステップ 12 [Registry Check] を選択して、[Add] をクリックします。

Secure Desktop Manager で、[Registry Check] ノードが挿入され、図の下に [Registry Check] ウィンドウが開きます(図 4-8)。

図 4-8 レジストリ チェック

 


) Mac OS または Linux を実行しているコンピュータの場合、プレログイン アセスメントではレジストリ チェックが無視されます。


ステップ 13 [Key Path] ドロップダウン メニューの隣にあるオプション(HKEY_LOCAL_MACHINE など)を選択し、パスの残りの部分を示す文字列(SOFTWARE¥Company-Name など)を入力します。続けて、ラジオ ボタン([Exists] など)を選択し、[Update] をクリックします。

このステップで、[Secure] ノードの例でチェックを作成する手順が完了します。


 

Home コンピュータのプレログイン条件の設定

次の手順に従って、VPN 接続を試行する Home コンピュータの CSD ポリシーの条件を指定します。この例では、自宅から接続するユーザを許可するために、CSD によって証明書の存在が確認されます。

次の手順に従って、Home コンピュータのプレログイン アセスメントの例を完了します。


) これらの手順では、前のセクションの手順を完了していることが前提となります。



ステップ 1 [Prelogin Policy] を選択します。

ステップ 2 [IP Address Check] ノードの [Failure] ブランチの後に続く [Login Denied] エンドノードをクリックします。

Secure Desktop Manager によってウィンドウが挿入され、エンドノードのタイプと名前を変更できます。

ステップ 3 [Subsequence] ラジオ ボタンをクリックし、ボックス内のテキストを「Home Check」という名前に置き換え、[Update] をクリックします。

Secure Desktop Manager によってウィンドウが挿入され、エンドノードのタイプと名前を変更できます。

ステップ 4 図の左側にある [Home Check] ノードまでスクロールし、右側の [Login Denied] エンドノードをクリックします。

ステップ 5 [Policy] ラジオ ボタンをクリックし、ボックス内のテキストを「Home」という文字列に置き換えます。

ステップ 6 [Home] のラベルが付いたエンドノードの左側のプラス記号をクリックします。

ステップ 7 [Certificate Check] を選択して、[Add] をクリックします。

Secure Desktop Manager で、[Certificate Check] ノードが挿入され、図の下に [Certificate Check] ウィンドウが開きます(図 4-9)。

図 4-9 Certificate Check

 


) Mac OS または Linux を実行しているコンピュータの場合、プレログイン アセスメントでは証明書チェックが無視されます。


ステップ 8 チェック対象の証明書フィールドを指定するオプションをドロップダウン ボックスから選択し、隣接するテキスト ボックスに、照合するフィールドの値を入力します。続けて、[Issuer] テキスト フィールドに証明書の発行元を入力して、[Update] をクリックします。

照合する証明書のフィールドを追加するごとに、フィールドと値を指定するプレログイン チェックを別途作成します。

照合できる証明書フィールドの詳細な説明については、「証明書のチェック」を参照してください。

ステップ 9 [Home] のラベルが付いたエンドノードの左側のプラス記号をクリックします。

ステップ 10 [File Check] を選択して、[Add] をクリックします。

Secure Desktop Manager で、[File Check] ノードが挿入され、図の下に [File Check] ウィンドウが開きます(図 4-10)。

図 4-10 ファイル チェック

 

ステップ 11 ドロップダウン ボックスで、ファイルへのパスを入力し、[Exists] などのラジオ ボタンを選択して、[Update] をクリックします。


) Secure Desktop Manager によって、入力したテキストの大文字と小文字が維持され、リモート デバイス上のファイルへのパスがチェックされます。デバイスで MacOS または Linux が実行されている場合だけ、一致した結果の大文字と小文字は区別されます。Microsoft Windows のファイル システムでは、大文字と小文字が区別されません。


このステップで、[Secure] ノードの例でチェックを作成する手順が完了します。[Home] ノードの例でチェックを作成するには、次のセクションの手順を続行します。


 

Public コンピュータのプレログイン条件の設定

次の手順に従って、VPN 接続を試行する Public コンピュータの CSD ポリシーの条件を指定します。

これらの手順では、Cache Cleaner 用の Windows コンピュータに適切なプレログイン ファイル チェックを複数追加するように指定されています。ただし、条件の一致を必要としない場合は、任意のプレログイン チェックを使用したり、[Login Denied] エンドノードを [Public] エンドノードに置き換えたりできます。


) これらの手順では、前のセクションの手順を完了していることが前提となります。



ステップ 1 [Prelogin Policy] を選択します。

ステップ 2 [Win 9x] ブランチの後に続く [Login Denied] エンドノードをクリックします。

ステップ 3 [Subsequence] ラジオ ボタンをクリックし、ボックス内のテキストを「Public Check」という名前に置き換え、[Update] をクリックします。

ステップ 4 [Certificate Check] と [File Check] ボックスの後に続く [Login Denied] エンドノードをサブシーケンス エンドノードに変更し、名前も「Public Check」に変更します。

ステップ 5 図の左側にある [Public Check] ノードまでスクロールし、右側の [Login Denied] エンドノードをクリックします。

ステップ 6 [Policy] ラジオ ボタンをクリックし、ボックス内のテキストを「Public」という文字列に置き換えます。

ステップ 7 [Public] エンドノードの左側に 2 つの [File Check] を挿入します。

このステップで、プレログイン アセスメントの例の設定が完了します。プレログイン アセスメントの図は 図 4-11 のようになります。

図 4-11 プレログイン設定の例

 

エンドポイント プロファイルごとに適切な Secure Desktop 設定と Cache Cleaner 設定を割り当てるには、次のセクションの手順を続行します。

Secure Desktop と Cache Cleaner の設定

ここでは、エンドポイント プロファイルごとに Secure Desktop(Vault)と Cache Cleaner をイネーブルまたはディセーブルにする方法、およびキーストローク ロガーのスキャンを設定する方法について説明します。

Secure Desktop と Cache Cleaner の有効化または無効化

キーストローク ロガーのスキャンの設定

Secure Desktop と Cache Cleaner の有効化または無効化

[Secure Desktop] メニューのプレログイン ポリシーの名前をクリックします。 [Privacy Protection] ペインが開きます。図 4-12 は、各エンドポイント プロファイルのデフォルトの設定を示します。

図 4-12 Privacy Protection

 

このウィンドウでは、選択したプロファイルに関連付けられた条件に一致するコンピュータのリモート デスクトップ上で、Secure Desktop(Vault)または Cache Cleaner を実行するかどうかを指定できます。プレログイン ポリシーごとに Privacy Protection を設定します。


) [Secure Desktop] をオンにする場合は、Secure Desktop 設定と Cache Cleaner 設定がこのポリシーに対して適切であることを確認します。Cache Cleaner は、Secure Desktop でサポートされていないオペレーティング システムのフォールバック セキュリティ ソリューションとして機能します。


[Secure Desktop] または [Cache Cleaner] オンまたはオフにする場合は、 表 4-1 を参照してください。

 

表 4-1 Privacy Protection:値の例

アクションおよび属性
エンドポイント プロファイル
Secure
Home
Public

[Check Secure Desktop?]

いいえ

はい

--

[Check Cache Cleaner?]

いいえ

--

はい

キーストローク ロガーのスキャンの設定

デフォルトでは、キーストローク ロガーのスキャンはディセーブルになっています。Secure エンドポイント プロファイルの場合は、この設定をディセーブルのままにします。次の手順に従い、Home エンドポイント プロファイルと Public エンドポイント プロファイルに対して、キーストローク ロガーのスキャンを 1 回ずつ設定します。


ステップ 1 左側のメニューで、設定するプレログイン ポリシーの名前の下にある [Keystroke Logger & Safety Checks] をクリックします。

[Keystroke Logger] ウィンドウが開きます(図 4-13)。

図 4-13 Keystroke Logger & Safety Checks

 

このウィンドウ内の属性を確認する場合は、 表 4-2 を参照してください。

 

表 4-2 Keystroke Logger & Safety Checks:値の例

アクションおよび属性
エンドポイント プロファイル
Secure
Home
Public

[Check for keystroke loggers]

いいえ

はい

はい

[Check Force Admin control on list of safe module?]

--

いいえ

はい

[Populate List of Save Modules?]

--

--

はい

[Check for host emulation?]

いいえ

はい

はい

[Check Always deny access if running within emulation?]

--

--

はい

ステップ 2 リモート クライアント上で、Secure Desktop スペースを作成する前に、リモート PC 上にあるキー入力ロギング アプリケーションをスキャンして、このアプリケーションが実行されていないことを確認する場合は、[Check for keystroke loggers] をオンにします。

デフォルトでは、この属性はオフです。その他の属性やボタンはグレーアウト表示になっています。この属性をオンにすると、[Force admin control on list of safe modules] 属性がアクティブになります。

ステップ 3 スキャンしないキー ロガーを指定する場合は、[Force admin control on list of safe modules] をオンにするか、オフにしてリモート ユーザの判断に任せます。

この属性をオンにすると、[Add] ボタンがアクティブになります。

検出されたキーストローク ロガーが安全かどうかの判断をリモート ユーザに委ねる場合は、この属性をオフにします。この属性をオフにすると、CSD インストーラにより、クライアント コンピュータ上で見つかったキーストローク ロガーが一覧表示されます。Secure Desktop にアクセスするには、リスト内のキーストローク ロガーの隣にあるチェックボックスをすべてオンにして、これらが安全であることを示す必要があります。それ以外の場合、ユーザはセッションを終了する必要があります。


) この属性をオフにすると非アクティブになりますが、[List of Safe Modules] ウィンドウの内容は削除されません。


ステップ 4 モジュールを安全として指定するには、[Add] をクリックします。モジュールのパスを変更する場合は、[List of Safe Modules] ウィンドウのエントリを選択して、[Edit] をクリックします。

Secure Desktop Manager によって、[Input] ダイアログボックスが開きます。

ステップ 5 [Please enter module path] フィールドに、モジュールまたはアプリケーションのパスと名前を入力し、[OK] をクリックします。

Secure Desktop Manager はこのダイアログボックスを閉じ、[List of Safe Modules] ウィンドウにエントリを一覧表示します。


) リストからプログラムを削除するには、[Path of safe modules] リスト内のエントリをクリックし、[Delete] をクリックします。



 

エンドポイント プロファイルごとの DAP の割り当て


) これらの手順では、このチュートリアルの前のセクションの手順を完了していることが前提となります。


次の手順に従って、エンドポイント プロファイルをサポートするように Dynamic Access Policy(DAP)を設定します。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] を選択するか、[Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add] または [Edit] を選択します。

[Add Dynamic Policy] または [Edit Dynamic Policy] ウィンドウが開きます(図 4-14)。

図 4-14 Add Dynamic Access Policy

 

ステップ 2 ウィンドウ最上部の [Policy Name] フィールドを使用して DAP に名前を付けます。

ステップ 3 マウスを右側の [Endpoint Attribute] テーブルに移動し、[Add] をクリックします。

[Add Endpoint Attribute] ウィンドウが開きます(図 4-15)。

図 4-15 Add Endpoint Attribute

 

ステップ 4 [Endpoint Attribute Type] の隣にあるドロップダウン リストから「Policy」を選択します。

ステップ 5 ドロップダウン リストからプレログイン ポリシーの名前を選択します。

ステップ 6 [OK] をクリックします。

[Add Dynamic Policy] または [Edit Dynamic Policy] ウィンドウが開いたままの状態で、[Add Endpoint Attribute] または [Edit Endpoint Attribute] ウィンドウが閉じます。

ステップ 7 [Basic Host Scan] テーブル([Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan])のエントリごとに、[Endpoint Attribute] テーブルのエントリを追加します。[Endpoint Attribute] テーブルの右側にある [Add] をクリックします。[Endpoint Attribute Type] 属性の隣で、「Registry Scan」、「File Scan」、「Process Scan」のいずれかの種類を選択し、[Endpoint ID] ボックス内のエントリを選択して、[OK] をクリックします。

ステップ 8 DAP の一部として必要なウイルス対策、スパイウェア対策、パーソナル ファイアウォール アプリケーションごとに、[Endpoint Attribute] テーブルの右側にある [Add] をクリックします。[Endpoint Attribute Type] 属性の隣で、「Antispyware」、「Antivirus」、「Personal Firewall」のいずれかの種類を選択し、ベンダとアプリケーションを選択して、[OK] をクリックします。

ステップ 9 アクセス権と制限を設定するために、[Add Dynamic Access Policy] ウィンドウの下部にあるタブで、属性値を設定して、[OK] をクリックします。