Cisco Secure Desktop コンフィギュレーション ガ イド リリース 3.5
ポリシーへの Secure Desktop、Cache Cleaner、および検出設定の割り当て
ポリシーへの Secure Desktop、Cache Cleaner、および検出設定の割り当て
発行日;2012/01/30 | 英語版ドキュメント(2011/02/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ポリシーへの Secure Desktop、Cache Cleaner、および検出設定の割り当て

Secure Desktop または Cache Cleaner の有効化および無効化

キーストローク ロガー検出とホスト エミュレーション検出の設定

Cache Cleaner の設定

Secure Desktop (Vault) General の設定

Secure Desktop (Vault) Settings の設定

Secure Desktop (Vault) Browser の設定

AnyConnect を介した Windows XP 上での Secure Desktop の実行

Secure Desktop または Cache Cleaner の有効化および無効化

プレログイン ポリシーに割り当てられた設定を表示および変更するには、[Prelogin Policy] ペインの緑色のエンドノードのラベルをメモし、[Secure Desktop Manager] メニューで同じ名前を持つメニューをクリックします。そのポリシーの [Privacy Protection] ペインが開きます(図 6-1)。

図 6-1 Privacy Protection

 

このウィンドウでは、プレログイン ポリシーの条件に一致する任意のリモート コンピュータ上で実行するリモート インストール モジュールを指定できます。

次のいずれかのオプションをオンにします。

[Secure Desktop]:リモート PC 上で、Secure Desktop(Vault)を実行します。


) [Secure Desktop] をオンにする場合は、Secure Desktop 設定と Cache Cleaner 設定がこのポリシーに対して適切であることを確認します。Cache Cleaner は、Secure Desktop でサポートされていないオペレーティング システムのフォールバック セキュリティ ソリューションとして機能します。


[Cache Cleaner]:リモート PC 上で、Cache Cleaner を実行します。

[Secure Desktop] と [Cache Cleaner] の両方をオフにする:PC がセキュリティで保護されている場合(プレログイン チェックで、PC が企業コンピュータであることが判明した場合など)、またはどちらのモジュールもロードしない場合は、両方のオプションをオフにします。

キーストローク ロガー検出とホスト エミュレーション検出の設定

サポート対象の Windows プラットフォーム上のキーストローク アプリケーションをスキャンするように各プレログイン ポリシーを設定して、疑わしいキーストローク ロギング アプリケーションが存在する場合は、アクセスを拒否できます。安全なキーストローク ロギング アプリケーションを指定するか、スキャンで識別されたキーストローク ロギング アプリケーションをリモート ユーザに対話的に承認させることができます。

プレログイン ポリシーのもう 1 つの機能であるホスト エミュレーション検出では、リモートの Microsoft Windows オペレーティング システムがバーチャライゼーション ソフトウェア上で実行されているかどうかを判断します。この機能をイネーブルまたはディセーブルにして、ホスト エミュレータが存在する場合は、アクセスを拒否するか、ユーザに検出を報告し、セッションを終了するかどうかをユーザに判断させます。

デフォルトでは、キーストローク ロガー検出とホスト エミュレーション検出は、すべてのプレログイン ポリシーでディセーブルになっています。これらの機能をイネーブルにすると、Secure Desktop、Cache Cleaner、または Host Scan と共にリモート コンピュータにダウンロードされます。関連モジュールは、スキャンが消去されているか、ユーザに管理作業が割り当てられ、スキャンで識別されたアプリケーションやホスト エミュレータをユーザが承認する場合に限り実行されます。


) ユーザが管理者権限を持っている場合に限り、CSD でキーストローク ロガーが検出されます。ユーザが管理者権限を持っていない場合、キーストローク ロガー検出は実行されません。


キーストローク ロガー検出とホスト エミュレーション検出は、サポート対象の Windows オペレーティング システムのバージョンで使用できます。

次の手順に従って、キーストローク ロガーのスキャンを設定します。


ステップ 1 左側のメニューで、設定するプレログイン ポリシーの名前の下にある [Keystroke Logger & Safety Checks] をクリックします。

[Keystroke Logger & Safety Checks] ウィンドウが開きます(図 6-2)。

図 6-2 Keystroke Logger & Safety Checks

 

 

[List of Safe Modules] ウィンドウには、キーストローク ロギング機能があるが、使用しても安全であると管理者が判断したリモート PC 上のプログラム アプリケーションへのパスが一覧表示されます。通常、ユーザが別のアプリケーションから特定のキー入力の組み合わせを押したときに、このようなプログラム(Tech Smith SnagIt® など)で関数が呼び出されます。

ステップ 2 リモート PC 上のキーストローク ロギング アプリケーションのスキャンを実行するには、[Check for keystroke loggers] をオンにします。

デフォルトでは、この属性はオフです。その他の属性やボタンはグレーアウト表示になっています。この属性をオンにすると、[Force admin control on list of safe modules] 属性がアクティブになります。

ステップ 3 スキャンしないキーストローク ロガーを指定する場合は、[Force admin control on list of safe modules] をオンにするか、オフにしてリモート ユーザの判断に任せます。

この属性をオンにすると、[Add] ボタンがアクティブになります。

検出されたキーストローク ロガーが安全かどうかの判断をリモート ユーザに委ねる場合は、この属性をオフにします。この属性をオフにした状態で、疑わしいモジュールが検出された場合は、リモート PC 上のウィンドウに、疑わしいモジュール別のパスと名前が一覧表示されます。特定のモジュールが安全かどうかを判断する際に、名前の隣にある [Click for info] リンクをクリックして、モジュールのインターネット検索結果を表示できます。Secure Desktop、Cache Cleaner、または Host Scan を実行するには、ユーザはリスト内のキーストローク ロガーの隣にあるチェックボックスをすべてオンにして、これらが安全であることを示す必要があります。それ以外の場合、ユーザはセッションを終了する必要があります。


) この属性をオフにすると非アクティブになりますが、[List of Safe Modules] ウィンドウの内容は削除されません。


ステップ 4 モジュールを安全として指定するには、[Add] をクリックします。モジュールのパスを変更する場合は、[List of Safe Modules] ウィンドウのエントリを選択して、[Edit] をクリックします。

Secure Desktop Manager によって、[Input] ダイアログボックスが開きます。

ステップ 5 [Please enter module path] フィールドに、モジュールまたはアプリケーションのフル パスと名前を入力し、[OK] をクリックします。

環境変数を入力して、ホワイト リスト エントリを指定することもできます。次の例を参考にしてください。

%windir%¥system32¥keylogger.exe

%programfiles%¥mylogger¥logme.exe

%commonprogramfiles%¥logger¥watch.exe

Secure Desktop Manager はこのダイアログボックスを閉じ、[List of Safe Modules] ウィンドウにエントリを一覧表示します。


) リストからエントリを削除するには、[Path of safe modules] リスト内のエントリをクリックし、[Delete] をクリックします。


ステップ 6 オペレーティング システムが VMWare などのバーチャライゼーション ソフトウェア上で実行されているかどうかを判断する場合は、[Check for host emulation] をオンにします。

ステップ 7 CSD により、オペレーティング システムがバーチャライゼーション ソフトウェア上で実行されていることが検出された場合は、[Always deny access if running within emulation] をオンにし、モジュール(Secure Desktop、Cache Cleaner、または Host Scan)が実行されないようにします。ホスト エミュレーション ソフトウェアについてユーザに警告する場合は、この属性をオフにし、セッションを終了するかどうかの判断をユーザに委ねます。

ステップ 8 設定の変更を保存するには、[Apply All] をクリックします。


 

Cache Cleaner の設定

Cache Cleaner は、ユーザがブラウザでダウンロード、挿入、作成したデータの無効化または消去を試行します。このようなデータには、キャッシュされたファイル、設定の変更、キャッシュされたブラウザ情報、入力したパスワード、オートコンプリート情報が含まれます。Cache Cleaner でサポートされる接続は次のとおりです。

サポート対象の Windows、Mac OS X、Linux オペレーティング システム上で実行される Cisco AnyConnect の WebLaunch。

サポート対象の Windows、Mac OS X、Linux オペレーティング システム上で実行されるクライアントレス(ブラウザ ベース)SSL VPN 接続。

Cache Cleaner では、コンピュータから AnyConnect Client をスタンドアロンで起動することはサポートされていません。

Secure Desktop(Vault)または Cache Cleaner のいずれかがイネーブルになっているプレログイン ポリシーごとに、設定するプロファイルの下にある [Cache Cleaner] をクリックします。[Cache Cleaner] ペインが表示されます。図 6-3 は、デフォルトの設定を示します。

図 6-3 Cache Cleaner

 

このウィンドウでは、関連付けられたプレログイン ポリシーの Cache Cleaner を設定できます。セキュリティ ポリシーに応じて、次のフィールドをオンにします。

[Launch hidden URL after installation]:(Microsoft Windows の場合。オペレーティング システムが Mac OS または Linux の場合、Cache Cleaner はこのフィールドを無視します)。管理目的で、リモート PC からは非表示となる URL を使用する場合にオンにします。これにより、ユーザが Cache Cleaner をインストールしていることを確認できます。たとえば、ユーザの PC にクッキー ファイルを置いて、そのクッキーが存在するかどうかを後でチェックできます。

[Hidden URL]:[Launch hidden URL after installation] をオンにした場合、管理目的で使用する URL を入力します。

[Show success message at the end of successful installation (Windows only)]:Cache Cleaner が正常にインストールされたときにユーザに通知するダイアログボックスをリモート PC 上で表示する場合はオンにします。

[Launch cleanup upon timeout based on inactivity]:マウスのアクティブでない状態が一定期間経過した後、Cache Cleaner を自動的に閉じる場合はオンにします。このパラメータは、Microsoft Windows にだけ適用されます。オペレーティング システムが Mac OS または Linux の場合、Cache Cleaner はこのパラメータを無視します。


) ネットワーク アクティビティは、アイドル タイムアウト(ここでは、「トラフィック タイマー」といいます)を再開します。トラフィック タイマーは、内部のグループ ポリシーに応じて設定できます。ユーザがログアウトするのを忘れた場合、またはコンピュータがフリーズするなど正常にログアウトできなかった場合、タイマーはセッションを終了します。マウス タイマーがその上限に到達すると、セキュリティ アプライアンスはセッションを終了して、ブラウザ ウィンドウを閉じます。使用中のアプリケーションに関係なく、リモート コンピュータに接続されているマウスに動きがあると、このタイマーは再開します。マウス タイマーにより、大量のダウンロードが進行中であっても、ユーザの在席を確認できます。Windows タイム クロックの隣にある CSD 錠アイコンをダブルクリックすると、Cache Cleaner セッションのユーザは作業をしながら、カウントダウンを表示できます。[Secure Desktop (Vault) General] 設定パネルにある [Enable Secure Desktop inactivity timeout] では、残り時間が 9 秒となると、カウントダウン表示が自動的に開き、毎秒ビープ音が鳴るオプション タイマーが動作することを除き、同じ Secure Desktop 機能が実行されます。トラフィック タイマーは、ロードする時間が短く、読み取りに時間がかかる Web ページの閲覧に便利です。トラフィック タイマーを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] を選択するか、[Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [General] > [More Options] を選択して、アイドル タイムアウト属性の値を変更します。


[Timeout after]:[Launch cleanup upon timeout based on inactivity] 属性をオンにした場合、設定するタイムアウト期間(1、2、5、10、15、30、または 60 分)を選択します。この属性は、関連付けられた非アクティブ タイマーです。数値を入力する前に、上記の注をお読みください。

[Launch cleanup upon closing of all browser instances or SSL VPN connection]:すべてのブラウザ ウィンドウまたはユーザ セッションが閉じられたときに、キャッシュをクリーンアップする場合はオンにします。

[Clean the whole cache in addition to the current session cache (IE only)]:Internet Explorer のキャッシュからデータを削除する場合はオンにします。有効にすると、Cache Cleaner では、セッションが開始される前に、生成されたファイル、ブラウズ履歴、入力したフィールド、保存されたパスワードの削除が試行されます。

[Disable Cancel button]:(Microsoft Windows の場合)リモート ユーザがキャッシュの削除をキャンセルできないようにする場合はオンにします。

[Secure Delete]:セッション終了時、Cache Cleaner では米国 国防総省(DoD)データ消去アルゴリズムを実行して、ブラウザ キャッシュを消去します。このクリーンアップ タスクを実行する回数を選択します。デフォルトの設定は、3 パスです。指定した回数のタスクが完了した後に、Secure Desktop によってファイルへのポインタが削除されます。


) CSD の実行コンフィギュレーションを保存するには、[Apply All] をクリックします。


Secure Desktop (Vault) General の設定

Secure Desktop (Vault) 機能をイネーブルまたはディセーブルにして、ユーザ エクスペリエンスをカスタマイズするには、プレログイン ポリシーの名前の下にある [Secure Desktop (Vault) General] をクリックします。

[Secure Desktop (Vault) General] ペインが表示されます。図 6-4 は、デフォルトの設定を示します。

図 6-4 Secure Desktop (Vault) General

 

セキュリティ ポリシーに応じて、設定するプレログイン ポリシーの全般的な Secure Desktop 設定を行うには、次の属性をオンにします。

[Enable switching between Secure Desktop and Local Desktop]:この属性をオンにして、Secure Desktop と信頼できないデスクトップの切り替えをユーザに任せるように強くお勧めします。「 デスクトップの切り替え 」と呼ばれるこの機能を使用すると、Secure Desktop が処理を続行するために別のアプリケーションから OK を求めるプロンプトに応答する必要が生じた場合に、ユーザは柔軟に対処できます。この属性をオフにすると、信頼できないデスクトップ上にトレースを残すユーザがもたらす潜在的なセキュリティ リスクを最小限に抑えます。展開のメリットがセキュリティ リスクよりも優先される場合は、このオプションをオフにできます。切り替えを許可する場合、Windows XP ユーザはローカル デスクトップ上で実行されている Secure Desktop と AnyConnect セッション間で切り替えることができます。オペレーティング システムの制限により、この機能がディセーブルになっていても、Secure Desktop がデスクトップの切り替え防止を実行できない場合があります。Windows Vista 上では、AnyConnect と Secure Desktop を同時に実行できません。

[Enable Vault Reuse]:Secure Desktop を閉じた後で、Secure Desktop を再度開くことをユーザに許可する場合はオンにします。次のセッションに移動しても、Secure Desktop のデスクトップ環境は維持されます。このオプションをイネーブルにする場合は、ユーザはパスワード(最大 127 文字)を入力して、Secure Desktop を再起動する必要があります。このオプションは、ユーザがホーム PC など、再度使用される可能性の高い PC 上で Secure Desktop を実行している場合に便利です。ユーザが Secure Desktop を閉じても、Secure Desktop は自動的に消去されません。このオプションをイネーブルにしない場合は、Secure Desktop はセッション終了時に自動的に消去されます。

このオプションをオフにすると、次の 2 つの属性がイネーブルになります。

[Suggest application uninstall upon Secure Desktop closing]:Secure Desktop を閉じるとき、Secure Desktop をアンインストールするように、プロンプトでユーザに推奨する場合はオンにします。もう 1 つのオプションと対照的に、ユーザはアンインストールの拒否を選択できます。


) このオプションをオンにすると、ユーザがセッションを閉じたとき、リモート PC から Secure Desktop がアンインストールされます。そのため、Secure Desktop へのアクセスが重要な場合は、このオプションをディセーブルのままにします。


[Force application uninstall upon Secure Desktop closing]:ユーザが Secure Desktop を使い終わった後で、信頼できない PC 上に Secure Desktop を残さない場合はオンにします。Secure Desktop は、閉じたときにアンインストールされます。


) このオプションをオンにすると、セッションを閉じたときに、リモート PC から Secure Desktop がアンインストールされます。そのため、Secure Desktop へのアクセスが重要な場合は、このオプションをディセーブルのままにします。


[Launch cleanup upon timeout based on inactivity]:マウスのアクティブでない状態が一定期間経過した後、Cache Cleaner を自動的に閉じる場合はオンにします。このパラメータは、Microsoft Windows にだけ適用されます。オペレーティング システムが Mac OS または Linux の場合、Cache Cleaner はこのパラメータを無視します。

[Enable Secure Desktop inactivity timeout]:マウスのアクティブでない状態が一定期間経過した後、Secure Desktop を自動的に閉じる場合はオンにします。


) ネットワーク アクティビティは、アイドル タイムアウト(ここでは、「トラフィック タイマー」といいます)を再開します。トラフィック タイマーは、内部のグループ ポリシーに応じて設定できます。ユーザがログアウトするのを忘れた場合、またはコンピュータがフリーズするなど正常にログアウトできなかった場合、タイマーはセッションを終了します。マウス タイマーの残り時間が 9 秒になると、カウントダウン表示が自動的に開き、毎秒ビープ音が鳴るオプション タイマーが動作します。使用中のアプリケーションに関係なく、リモート コンピュータに接続されているマウスに動きがあると、このタイマーは再開します。マウス タイマーがその上限に到達すると、セキュリティ アプライアンスはセッションを終了して、ブラウザ ウィンドウを閉じます。マウス タイマーにより、大量のダウンロードが進行中であっても、ユーザの在席を確認できます。[Cache Cleaner] 設定パネルにある [Launch cleanup upon timeout based on inactivity] タイマーでも同じ Cache Cleaner 機能が実行されます。ただし、カウントダウンを表示するには、Windows タイム クロックの隣にある CSD 錠アイコンをダブルクリックします。マウスの動きに関連付けられる音声タイマーは、Secure Desktop にだけ提供される機能です。トラフィック タイマーは、ロードする時間が短く、読み取りに時間がかかる Web ページの閲覧に便利です。トラフィック タイマーを設定するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] を選択するか、[Clientless SSL VPN Access] > [Group Policies] > [Add] または [Edit] > [General] > [More Options] を選択して、アイドル タイムアウト属性の値を変更します。


このオプションをオンにしている場合は、次の属性が有効になります。

[Timeout after]:[Enable Secure Desktop inactivity timeout] 属性をオンにした場合、設定するタイムアウト期間(1、2、5、10、15、30、または 60 分)を選択します。この属性は、関連付けられた非アクティブ タイマーです。数値を入力する前に、上記の注をお読みください。

[Open following web page after Secure Desktop closes]:このボックスをオンにし、フィールドに URL を入力すると、Secure Desktop を閉じたときに、Web ページが自動的に開きます。

[Secure Delete]:Secure Desktop 自身が暗号化され、リモート PC ディスク上に書き込まれます。セッションが終了すると、Secure Desktop では米国 国防総省(DoD)データ消去アルゴリズムが実行されます。このクリーンアップ タスクを実行する回数を選択します。デフォルトの設定は、3 パスです。指定した回数のタスクが完了した後に、Secure Desktop によってファイルへのポインタが削除されます。

[Launch the following application after installation]:このオプションでは、Secure Desktop がリモート PC 上にインストールされると、アプリケーションを自動的に起動できます。入力するのは、C:¥Program Files¥ の後に続くアプリケーションへのパスの部分だけです。アプリケーションは、Program Files ディレクトリに格納する必要があります。


) CSD の実行コンフィギュレーションを保存するには、[Apply All] をクリックします。


Secure Desktop (Vault) Settings の設定

Secure Desktop を制限するプレログイン ポリシーの名前の下にある [Secure Desktop (Vault) Settings] をクリックします。

[Secure Desktop (Vault) Settings] ペインが表示されます。図 6-5 は、デフォルトの設定を示します。

図 6-5 Secure Desktop (Vault) Settings

 

チェックボックスをオンにして、関連する制限を適用します。次のような制限があります。

[Restrict application usage to the web browser only]:元のブラウザおよび指定する任意のブラウザ ヘルパーに限り Secure Desktop での実行を許可する場合はオンにします。このオプションを選択すると、ユーザが他のアプリケーションを使用できないように制限します。

このオプションは、セキュリティで保護された環境で作業するユーザを対象に、協調型セキュリティ設定で動作します。このオプションでは、別のブラウザ ウィンドウや新しいブラウザ タブを開くなど、すべてのブラウザ動作を制御しません。ブラウザを介して設定可能な他のセキュリティ設定と組み合わせた使用を対象としています。

このオプションでは、セキュリティで保護されたパーティションから、ホストが実行されているネットワークへのアクセスを防止したり、ホストのファイル システムへのアクセスを制限したりしません。

この属性をオンにすると、Secure Desktop Manager で、この属性の下にテキスト ボックスが挿入されます(図 6-6)。

図 6-6 アプリケーションの使用制限

 

 

Secure Desktop 上で実行可能なブラウザ ヘルパーを指定するには、[Add Browser Helpers] をクリックして、事前に設定されたリストからブラウザ ヘルパーを選択します。アプリケーションが事前に設定されたリストにない場合は、テキスト ボックスに実行可能ファイルの名前を入力します。テキストの大文字と小文字は区別されません。セキュリティを高めるために、アプリケーションのフル パスを挿入できます。


注意 アプリケーションの使用制限をオンにするが、開かれている Web ページ上の Java アプレットにユーザがアクセスできるようにする場合は、次のエントリをブラウザ リストに追加する必要があります。
c:¥program
java.exe
jp2launcher.exe

そうしないと、アプリケーションの使用制限をオンにしている場合、JRE 6 Update 10 以降がインストールされているシステム上のブラウザは、Java アプレットが表示されたときにフリーズします。Java の起動は標準プラクティスとは異なるので、Update 10 以降のアプレットには、上記のエントリ行が必要です。スマート トンネル アクセスを設定する場合も、スマート トンネル アプリケーションとしてこれらの行を追加する必要があります。

これらの行を入力すると、テスト済みのすべての Java アプレットにアクセスできますが、ユーザにとって重要な Java アプレットをテストすることをお勧めします。また、アプレットのロードが完了する前に、ロードされるアプレットが若干あるようです。アプレットが失敗するようでしたら、ユーザにしばらく待つように指示します。

Update 10 よりも前のバージョンである JRE 6 をインストールしているユーザについては、上記のエントリによる Java アプレットへの干渉はありません。

(オプション)ハッシュを指定して、実行可能ファイルが正規であることを確認できます。これを行うには、 Microsoft File Checksum Integrity Verifier (FCIV) をダウンロードします。次に、テキスト ボックスの下にある i アイコンをクリックします。指示どおりに FCIV を使用し、SHA-1 ハッシュを計算して、これをファイル名に追加します。

[Disable access to network drives and network folders]:Secure Desktop の実行時、ユーザがネットワーク リソースおよびネットワーク ドライブにアクセスできないようにするには、オンのままにします。ネットワーク リソースは、サーバ メッセージ ブロック(SMB)クライアント/サーバ、要求/応答プロトコルを使用して、ファイル、プリンタ、API などのリソースを共有します。CSD では、マップされたネットワーク ドライブに書き込まれたファイルはクリーンアップされないので、オンにしておくことを強くお勧めします。

[Disable access to removable drives and removable folders]:Secure Desktop の実行時、ユーザがポータブル ドライブにアクセスできないようにするにはオンにします。オフにすると、セッションを閉じる前に、ユーザはファイルをリムーバブル ドライブに保存して、ドライブを取り外すことができます。セッションを閉じた後、ユーザがリムーバブル ドライブを取り外すのを忘れる可能性があります。最大限のセキュリティを確保するために、この属性をオンにすることをお勧めします。

この属性は、Microsoft によって「Removable」という名前が付けられたドライブにだけ適用されます。このドライブは、Windows エクスプローラの [My Computer] ウィンドウにあります。

[Disable registry modification]: ユーザが Secure Desktop からレジストリを変更できないようにするにはオンにします。最大限のセキュリティを確保するために、この属性をオンにすることをお勧めします。

[Disable command prompt access]:ユーザが Secure Desktop から DOS コマンド プロンプトを実行できないようにするには、オンにします。最大限のセキュリティを確保するために、この属性をオンにすることをお勧めします。

[Disable printing]:Secure Desktop の使用時、ユーザが印刷できないようにするにはオンにします。機密データのセキュリティを最大限確保するには、このオプションをオンにします。

[Allow email applications to work transparently]:Secure Desktop の使用時、ユーザが 電子メールを開くことを許可し、セッションの終了時に電子メールを削除しないようにするにはオンにします。電子メールがローカル デスクトップで処理される方法と同様に、Secure Desktop で処理されることを示すため、「 トランスペアレント 」という用語を使用しています。トランスペアレント処理は、次の電子メール アプリケーションで動作します。

Microsoft Outlook Express

Microsoft Outlook

Eudora

Lotus Notes

この属性がオンの状態で、リモート ユーザが電子メール アプリケーションを使用して添付ファイルを [My Documents] フォルダに保存すると、Secure Desktop とローカル デスクトップの両方でこの添付ファイルが表示されます。同様に、Secure Desktop 上で実行されている電子メール アプリケーションから添付ファイルを削除すると、両方のデスクトップから、そのファイルが削除されます。


Secure Desktop の使用時、Windows エクスプローラのウィンドウなど、Outlook 以外から透過的ファイルまたは非透過的ファイルを削除すると、ファイルは Secure Desktop からだけ削除されます。


CSD の実行コンフィギュレーションを保存するには、[Apply All] をクリックします。

Secure Desktop (Vault) Browser の設定

Secure Desktop ユーザが [Home] をクリックしたときに開く URL を指定するには、プレログイン ポリシーの名前の下にある [Secure Desktop (Vault) Browser] をクリックします。このオプションでは、Secure Desktop セッション時に、[Bookmarks] や [Favorites] メニューに追加するフォルダと URL を指定することもできます。

[Secure Desktop (Vault) Browser] ペインが表示されます。図 6-7 は、デフォルトの設定を示します。

図 6-7 Secure Desktop (Vault) Browser

 

Secure Desktop セッション中、ブラウザにはユーザのブックマークやお気に入りが一覧表示されません。このペインに表示されるものだけが、ブラウザに一覧表示されます。

次の手順に従って、Secure Desktop (Vault) Browser を設定します。


ステップ 1 [Home Page] フィールドに、リモート ユーザが [Home] をクリックしたときに開くページの URL を入力します。

[Customized Bookmarks] ペインには、ブラウザの [Bookmarks] や [Favorites] メニューに追加するフォルダと URL が一覧表示されます。

ステップ 2 次のガイドラインを使用して、 [Customized Bookmarks] ペイン内のエントリを追加、変更、削除します。

フォルダを追加するには、格納先のフォルダを選択し、[Add Folder] をクリックして、ダイアログボックスに新しいフォルダの名前を入力してから、[OK] をクリックします。

ブックマークをリストに追加するには、格納先のフォルダを選択し、[Add Bookmark] をクリックして、ダイアログボックスに URL を入力してから、[OK] をクリックします。

URL を変更するには、URL を選択し、[Edit] をクリックして、ダイアログボックスに新しい URL を入力してから、[Edit] をクリックします。

フォルダまたは URL を削除するには、フォルダまたは URL を選択し、[Delete] をクリックします。


) CSD の実行コンフィギュレーションを保存するには、[Apply All] をクリックします。



 

AnyConnect を介した Windows XP 上での Secure Desktop の実行

AnyConnect 接続を介して、Windows XP 上で Secure Desktop (Vault) を実行する場合は、プレログイン ポリシーで Windows Vista と Windows 7 オペレーティング システムを識別するように CSD を設定してから、Secure Desktop ではなく Cache Cleaner をこれらのオペレーティング システムに対して実行する必要があります。


) Windows Vista または Windows 7 上の Secure Desktop から AnyConnect を実行することはサポートされていません。



) Windows 7 は、Secure Desktop のサポート対象外です。



ステップ 1 CSD メニューの [Prelogin Policy] オプションを使用して、Microsoft Windows 用の [OS Check] を追加します(既に追加されている場合は、次の手順に進みます)。図 6-8 は、この手順の結果を図で示しています。

ステップ 2 Win XP/Vista ラインの右側に [Registry Check] ノードを追加します。

ステップ 3 [Key Path] の隣にあるデフォルト値(つまり、HKEY_LOCAL_MACHINE)を使用します。

ステップ 4 隣接するテキスト ボックスに次の値を入力します。

Software¥Microsoft¥Windows NT¥CurrentVersion¥CurrentVersion

ステップ 5 [String] オプション ボタンを選択し、[String] リストボックスで、[Matches] を選択します。

ステップ 6 隣接するテキスト ボックスに、「6.0」と入力します。

ステップ 7 テストに成功したら、[Windows 7 or Vista] というポリシー名のエンドノードを作成して、この値に一致するコンピュータを隔離します。[Update] をクリックします。

テストに失敗したら、[Failure] に続く +(プラス)記号をクリックして、[Registry Check] をもう 1 つ 追加します。

ステップ 8 [Key Path] の隣にあるデフォルト値(つまり、HKEY_LOCAL_MACHINE)を使用します。

ステップ 9 隣接するテキスト ボックスに次の値を入力します。

Software¥Microsoft¥Windows NT¥CurrentVersion¥CurrentVersion

ステップ 10 [String] オプション ボタンを選択し、[String] リストボックスで、[Matches] を選択します。

ステップ 11 隣接するテキスト ボックスに、「6.1」と入力します。

ステップ 12 テストに成功したら、エンドノードを [Windows 7 or Vista] ポリシーに設定して、[Update] をクリックします。テストに失敗したら、[Login Denied] ノードを、プレログイン アセスメントに進む別のサブシーケンスに変更するか、異なるポリシーに変更します。

ステップ 13 ASDM 上の [Secure Desktop Manager] 領域で、[Windows 7 or Vista] ポリシーを選択します。

ステップ 14 [Privacy Protection] ページで、[Cache Cleaner] をオンにします。

ステップ 15 [Apply All] をクリックします。


 

上記の手順が完了すると、ここまで作成したプレログイン ポリシーの例は次のようになります。

図 6-8 プレログイン ポリシーでの Windows 7 と Vista オペレーティング システムの隔離