ポスチャエージェントレスの設定

はじめに

このドキュメントでは、ISEでポスチャエージェントレス(PEM)を設定する方法と、エージェントレススクリプトを実行するためにエンドポイントで必要な操作について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Identity Services Engine(ISE)の略。
• ポスチャ.
• PowerShellとSSH
• Windows 10以降 

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Identity Services Engine(ISE)3.3バージョン
• CiscoAgentlessWindows 5.1.6.6のパッケージ
• Windows 10

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

ISEポスチャは、クライアント側の評価を実行します。クライアントはISEからポスチャ要件ポリシーを受信し、ポスチャデータ収集を実行して、結果をポリシーと比較し、評価結果をISEに返します。

ISEは、ポスチャレポートに基づいて、デバイスが準拠しているか非準拠であるかを判断します。

エージェントレスポスチャは、クライアントからポスチャ情報を収集し、エンドユーザの操作を必要とせずに完了時に自動的にポスチャを削除するポスチャ方法の1つです。エージェントレスポスチャは、管理者権限を使用してクライアントに接続します。

はじめに 

前提条件

• クライアントはIPv4またはIPv6アドレスを使用して到達可能であり、そのIPアドレスがRADIUSアカウンティングで使用可能である必要があります。

• クライアントは、IPv4またはIPv6アドレスを使用してCisco Identity Services Engine(ISE)から到達可能である必要があります。また、このIPアドレスはRADIUSアカウンティングで使用できる必要があります。

• 現在、WindowsクライアントとMacクライアントがサポートされています。

  • Windowsクライアントの場合、クライアント上のPowerShellにアクセスするためのポート5985が開いている必要があります。Powershellはv7.1以降である必要があります。クライアントにはcURL v7.34以降が必要です。

  • MacOSクライアントの場合、SSHにアクセスするためのポート22は、クライアントにアクセスするために開いている必要があります。クライアントにはcURL v7.34以降が必要です。

• シェルログインのクライアントクレデンシャルには、ローカル管理者権限が必要です。

• 設定手順の説明に従って、ポスチャフィードの更新を実行し、最新のクライアントを取得します。次の点を確認してください。  

• MacOSの場合、エンドポイントで証明書のインストールが失敗しないように、sudoersファイルでこのエントリが更新されていることを確認します。次の点を確認してください。  

  <macadminusername> ALL = (ALL) NOPASSWD: /usr/bin/security, /usr/bin/osascript

• MacOSの場合、設定するユーザアカウントは管理者アカウントである必要があります。MacOSのエージェントレスポスチャは、権限を追加しても他のアカウントタイプでは機能しません。このウィンドウを表示するには、メニューアイコン()、Administration > System > Settings > Endpoint Scripts > Login Configuration > MAC Local Userの順に選択します。

• Microsoftからのアップデートが原因でWindowsクライアントのポート関連アクティビティが変更された場合、Windowsクライアントのエージェントレスポスチャ設定ワークフローを再設定する必要があります。

サポートされるポスチャ条件

• USER_DESKTOPおよびUSER_PROFILEファイルパスを使用する条件を除くファイル条件

• サービス条件（macOSでのシステムデーモンとデーモンまたはユーザエージェントのチェックを除く）

• 適用条件

• 外部データソースの条件

• 複合条件

• マルウェア対策条件

• パッチ管理条件(EnabledandUp To Dateconditionチェックを除く)

• ファイアウォールの状態

• ディスク暗号化条件（暗号化の場所に基づく条件チェックを除く）

• HCSKをルートキーとして使用する条件を除くレジストリ条件

サポートされていないポスチャ条件

• 修復方法

• 猶予期間

• 定期的再評価

• アクセプタブルユースポリシー

ISEの設定

ポスチャフィードの更新

ポスチャの設定を開始する前に、ポスチャフィードを更新することをお勧めします。

Cisco ISEのGUIで、メニューアイコン() Work Centers > Posture > Settings > Software Updates > Update Nowの順に選択します。

ポスチャフィードの更新

ポスチャエージェントレス設定フロー 

ポスチャエージェントレスは、最初の設定が次の設定に必要になるため、順番に設定する必要があります。修復はフローには含まれていないことに注意してください。ただし、このドキュメントの後半では、修復を設定するための代替手段について説明します。

エージェントレス設定フロー

エージェントレスポスチャ設定

ポスチャ条件

ポスチャ条件は、準拠するエンドポイントを定義するセキュリティポリシーの一連のルールです。これらの項目の一部には、ファイアウォール、アンチウイルスソフトウェア、アンチマルウェア、ホットフィックス、ディスク暗号化などのインストールが含まれます。

Cisco ISEのGUIで、メニューアイコン() さらに、Work Centers > Posture > Policy Elements > Conditionsの順に選択し、Addをクリックして、エージェントレスポスチャを使用する1つ以上のPosture 条件を作成して要件を特定します。Conditionが作成されたら、Saveをクリックします。 

このシナリオでは、「Agentless_Condition_Application」という名前のアプリケーション条件が次のパラメータで設定されました。

・ オペレーティング・システム：Windows All

この条件は、あらゆるバージョンのWindowsオペレーティングシステムに適用され、さまざまなWindows環境で幅広い互換性を確保します。

・ チェック・キー：プロセス

システムはデバイス内のプロセスを監視します。ProcessまたはApplicationのいずれかを選択できます。この場合は、Processが選択されています。

・ プロセス名：Wired AutoConfig

Wired AutoConfigプロセスは、Compliant Module(PEM)がデバイスをチェックインするプロセスです。このプロセスは、IEEE 802.1X認証を含む有線ネットワーク接続の設定と管理を担当します。

・ アプリケーション演算子：実行中

コンプライアンスモジュールは、デバイスでWired AutoConfigプロセスが現在実行されているかどうかを確認します。RunningまたはNot Runningのいずれかを選択できます。この例では、プロセスがアクティブであることを確認するためにRunningが選択されました。

エージェントレス状態

ポスチャ要件

ポスチャ要件は、複合条件のセット、またはロールとオペレーティングシステムにリンクできる1つの条件です。ネットワークに接続するすべてのクライアントは、ポスチャ評価中にネットワーク上で準拠するために必須の要件を満たす必要があります。

Cisco ISEのGUIで、メニューアイコン() Work Centers > Posture > Policy Elements > Requirementの順に選択します。 下向きの矢印をクリックして、Insert new Requirementを選択し、エージェントレスポスチャを使用する1つ以上のPostureRequirementを作成します。要件が作成されたら、Done、Saveの順にクリックします。 

この場合、「Agentless_Requirement_Application」という名前のアプリケーション要件が次の基準で設定されています。

・ オペレーティング・システム：Windows All

この要件は、すべてのバージョンのWindowsオペレーティングシステムに適用され、すべてのWindows環境に適用されます。

・ ポスチャタイプ：エージェントレス

この設定は、エージェントレス環境に対して設定されます。選択可能なオプションには、Agent、Agent Stealth、Temporal Agent、およびAgentlessがあります。このシナリオでは、エージェントレスが選択されました。

・ 条件：Agentless_Condition_Application

これは、ISEポスチャモジュールとコンプライアンスモジュールがデバイスのプロセス内でチェックする条件を指定します。選択された条件はAgentless_Condition_Applicationです。

•修復アクション:

この設定はエージェントレス環境を対象としているため、修復アクションはサポートされておらず、このフィールドはグレー表示されています。

エージェントレス要件

ポスチャ ポリシー 

Cisco ISEのGUIで、メニューアイコン() さらに、Work Centers > Posture > Posture Policyの順に選択します。 下矢印をクリックしてInsert new Requirementを選択し、そのポスチャ要件にエージェントレスポスチャを使用する、サポートされている1つ以上のポスチャポリシールールを作成します。  ポスチャポリシーが作成されたら、Done、Saveの順にクリックします。 

このシナリオでは、「Agentless_Policy_Application」という名前のポスチャポリシーが次のパラメータで設定されています。

・ ルール名：Agentless_Policy_Application

これは、この設定例でポスチャポリシーに指定されている名前です。

・ オペレーティング・システム：Windows All

ポリシーは、Windowsオペレーティングシステムのすべてのバージョンに適用されるように設定されており、異なるWindows環境で幅広い互換性を確保します。

・ ポスチャタイプ：エージェントレス

この設定は、エージェントレス環境に対して設定されます。選択可能なオプションには、Agent、Agent Stealth、Temporal Agent、およびAgentlessがあります。このシナリオでは、エージェントレスが選択されています。

•その他の条件：

この設定例では、追加の条件は作成されていません。ただし、ネットワーク上のすべてのWindowsデバイスではなく、対象デバイスだけがこのポスチャポリシーの対象となるように特定の条件を設定するオプションがあります。これは、ネットワークのセグメント化に特に役立ちます。

ポスチャエージェントレスポリシー

クライアント プロビジョニング

ステップ1：リソースのダウンロード

クライアントプロビジョニングの設定を開始するには、最初に必要なリソースをダウンロードし、後でクライアントプロビジョニングポリシーで使用できるようにISEで使用できるようにする必要があります。 

ISEにリソースを追加するには、シスコのサイトからのエージェントリソースとローカルディスクからのエージェントリソースの2つの方法があります。エージェントレスを設定しているため、ダウンロードするにはシスコのサイトからエージェントリソースにアクセスする必要があります。

注：このエージェントリソースをシスコのサイトから使用するには、ISE PANからインターネットにアクセスする必要があります。 

リソース

 シスコのサイトからのエージェントリソース

Cisco ISEのGUIで、メニューアイコン() Work Centers > Posture > Client Provisioning > Resourcesの順に選択します。 Addをクリックし、Agent Resources from Cisco siteを選択して、Saveをクリックします。 

シスコのサイトからは、コンプライアンスモジュールのみをダウンロードできます。ダウンロードする最新の2つのコンプライアンスモジュールが表示されます。この設定例では、リソースパッケージ「CiscoAgentlessWindows 5.1.6.6」が選択されています。これは、Windowsデバイス専用です。

.シスコのサイトからのエージェントリソース

ステップ2：クライアントプロビジョニングポリシーの設定

ポスチャエージェントを設定する際には、2つの異なるリソース(AnyConnectまたはセキュアクライアントとコンプライアンスモジュール)が必要です。

Agent Configurationの下の両方のリソースをAgent Posture Profileとともにマッピングし、このAgent Configurationをクライアントプロビジョニングポリシーで使用できるようにします。

ただし、ポスチャエージェントレスを設定する場合、エージェント設定またはエージェントポスチャプロファイルを設定する必要はなく、シスコのサイトからのエージェントリソースからエージェントレスパッケージをダウンロードするだけです。

Cisco ISEのGUIで、メニューアイコン() Work Centers > Posture > Client Provisioning > Client Provisioning Policyの順に選択します。 下の矢印をクリックして、Insert new policy aboveまたはInsert new policy below、Duplicate aboveまたはDuplicate belowを選択します。

• ルール名：Agentless_Client_Provisioning_Policy

クライアントプロビジョニングポリシーの名前を指定します。

• オペレーティングシステム：Windows All

これにより、Windowsオペレーティングシステムのすべてのバージョンにポリシーが適用されるようになります。

• その他の条件：この例では、特定の条件は設定されていません。ただし、ネットワーク内のすべてのWindowsデバイスではなく、必要なデバイスだけがこのクライアントプロビジョニングポリシーに一致するように条件を設定できます。これは、ネットワークのセグメント化に特に役立ちます。

例：Active Directoryを使用している場合は、ポリシーにActive Directoryグループを組み込んで、影響を受けるデバイスを絞り込むことができます。

• 結果：適切なパッケージまたは構成エージェントを選択します。エージェントレス環境を設定するため、パッケージとしてCiscoAgentlessWindows 5.1.6.6を選択します。このパッケージは以前、シスコのサイトにあるAgent Resourcesからダウンロードしています。このエージェントレスパッケージには、ポスチャエージェントレスの実行に必要なすべてのリソース(エージェントレスソフトウェアおよびコンプライアンスモジュール)が含まれています。

・ Saveをクリックします

エージェントレスクライアントプロビジョニングポリシー

注：特定の認証の試行の条件を満たすクライアントプロビジョニングポリシーが1つのみであることを確認します。複数のポリシーを同時に評価すると、予期しない動作や競合が発生する可能性があります。

エージェントレス認証プロファイル

Cisco ISEのGUIで、メニューアイコン()を選択し、Policy > Policy Elements > Results > Authorization > Authorization Profilessesの順に選択して、エージェントレスポスチャの結果を評価するAuthorization Profileを作成します。

• この設定例では、認可プロファイルにAgentless_Authorization_Profileという名前を付けます。

• 認可プロファイルでエージェントレスポスチャを有効にします。

• このプロファイルは、エージェントレスポスチャにのみ使用します。他のポスチャタイプにも使用しないでください。

• エージェントレスポスチャでは、CWAおよびリダイレクトACLは必要ありません。セグメンテーションルールの一部として、VLAN、DACL、またはACLを使用できます。 簡潔にするために、この設定例のエージェントレスポスチャチェックの他にdACL（すべてのipv4トラフィックを許可）だけを設定します。

• [Save] をクリックします。

エージェントレス認証プロファイル

修復を使用する代わりに（オプション）

エージェントレスフローの修復のサポートは利用できません。この問題に対処するために、カスタマイズされたホットスポットポータルを実装して、エンドポイントのコンプライアンスに関するユーザ認識を強化できます。エンドポイントが非準拠と識別されると、ユーザはこのポータルにリダイレクトされます。このアプローチにより、ユーザはエンドポイントのコンプライアンスステータスを把握し、問題を修正するために適切な措置を講じることができます。

Cisco ISEのGUIで、メニューアイコン() さらに、Work Centers > Guest Access > Portals & Components > Guest Portalsの順に選択します。 Create > Select Hotspot Guest Portal > Continue:の順にクリックします。この設定例では、ホットスポットポータルはAgentless_Warningという名前になっています。

ホットスポットゲストポータル

ポータル設定では、特定の要件に合わせてエンドユーザに表示されるメッセージをカスタマイズできます。これは、カスタマイズされたポータルビューの一例に過ぎません。

失敗したポスチャエージェントレス

修復認証プロファイル（オプション）

Cisco ISEのGUIで、メニューアイコン()を選択し、Policy > Policy Elements > Results > Authorization > Authorization Profileの順に選択して、修復用のAuthorization Profileを作成します。

• この設定例では、認可プロファイルにRemediation_Authorization_Profileという名前を付けます。

• 簡単にするために、この設定例にはLimited_Accessという名前のダウンロード可能アクセスコントロールリスト(dACL)だけが含まれています。これにより、組織固有のニーズに合わせて調整された制限付きアクセスが許可されます。

• 外部グループとホットスポットを含むWebリダイレクション機能が設定されているため、エンドポイントのコンプライアンスに関するユーザの認識が向上します。

• [Save] をクリックします。

修復承認規則

エージェントレス認証ルール

Cisco ISE GUIで、メニューアイコン () Policy > Policy Setの順に選択し、Authorization Policyを展開します。次の3つの認可ポリシーをイネーブルにして設定します。

注：ポスチャフローが正しく動作するためには、指定された順序でこれらの認可ルールを設定する必要があります。

     Unknown_Compliance_Redirect:

•条件：

結果をエージェントレスポスチャに設定して、Network_Access_Authentication_PassedおよびCompliance_Unknown_Devicesを設定します。この状態によってエージェントレスフローがトリガーされます。

・ 条件例：

トラフィックをセグメント化するためのActive Directory(AD)グループ条件を設定します。

初期ポスチャ状態が不明なため、Compliance_Unknown_Devices条件を設定する必要があります。 

•許可プロファイル：

デバイスがエージェントレスポスチャフローを通過できるようにするには、この許可ルールにAgentless_Authorization_Profileを割り当てます。 この状態にはエージェントレスフローが含まれるため、このプロファイルに一致するデバイスはエージェントレスフローを開始できます。 

不明な許可ルール

     NonCompliant_Devices_Redirect:

・ 条件：結果セットをDenyAccessに設定して、Network_Access_Authentication_PassedおよびNon_Compliant_Devicesを設定します。または、この例に示すように、修復オプションを使用できます。

・ 条件例：

トラフィックをセグメント化するためのADグループ条件を設定します。

Compliance_Unknown_Devices条件は、ポスチャ状態が非準拠の場合に限られたリソースを割り当てるように設定する必要があります。

•許可プロファイル：

ホットスポットポータル経由で非準拠のデバイスの現在のステータスを通知するか、アクセス拒否を実行するには、この認可ルールにRemediation_Authorization_Profileを割り当てます。

非準拠の許可ルール

     Compliant_Devices_Access:

•条件：

結果セットをPermitAccessに設定して、Network_Access_Authentication_PassedとCompliant_Devicesを設定します。

・ 条件例：

トラフィックをセグメント化するためのADグループ条件を設定します。

Compliance_Unknown_Devices条件は、準拠するデバイスに適切なアクセスを許可するように設定する必要があります。

•許可プロファイル：

この許可ルールにPermitAccessを割り当てて、準拠するデバイスがアクセスできるようにします。このプロファイルは、組織のニーズに合わせてカスタマイズできます。

準拠する許可ルール

すべての許可ルール

認可ルール

エンドポイントログインクレデンシャルの設定

Cisco ISEのGUIで、メニューアイコン() Administration > Settings > Endpoint Scripts > Login Configurationの順に選択し、クライアントにログオンするためのクライアントのクレデンシャルを設定します。

エンドポイントスクリプトによってこれと同じクレデンシャルが使用されるため、Cisco ISEはクライアントにログインできます。

Windowsデバイスの場合、最初の2つのタブ(Windows Domain UserおよびWindows Local User

😞

• Windowsドメインユーザ:

Cisco ISEがSSH経由でクライアントにログインするために使用する必要があるドメインクレデンシャルを設定します。Plusiconをクリックし、必要な数のWindowsログインを入力します。各ドメインのDomain、Username、およびPasswordfieldsに必要な値を入力します。ドメインクレデンシャルを設定する場合、Windowsのローカルユーザタブで設定されたローカルユーザのクレデンシャルは無視されます。

Active Directoryドメインを介してエージェントレスポスチャ評価を利用するWindowsエンドポイントを管理している場合は、ローカル管理者権限を持つクレデンシャルとともにドメイン名を指定してください。

Windowsドメインユーザ

• Windowsローカルユーザ:

Cisco ISEがSSH経由でクライアントにアクセスするために使用するローカルアカウントを設定します。ローカルアカウントは、PowershellおよびPowershellリモートを実行できる必要があります。

Active Directoryドメイン経由でエージェントレスポスチャ評価を使用するWindowsエンドポイントを管理していない場合は、ローカル管理者権限を持つクレデンシャルを入力してください。

Windowsローカルユーザ

アカウントの確認

Endpoint Login Credentialsで適切なデータを正確に追加できるように、WindowsドメインユーザおよびWindowsローカルユーザアカウントを確認するには、次の手順を実行します。

Windowsローカルユーザ：GUI(Settings App)を使用する。WindowsStartボタンをクリックし、Settings（歯車のアイコン）を選択し、Accountsをクリックして、Your infoを選択する。

アカウントの確認

注:MacOSの場合は、「MACローカルユーザ」を参照できます。ただし、この設定例では、MacOSの設定は表示されません。 

• MACローカルユーザ:Cisco ISEがSSH経由でクライアントにアクセスするために使用するローカルアカウントを設定します。ローカルアカウントは、PowershellおよびPowershellリモートを実行できる必要があります。Usernamefieldに、ローカルアカウントのAccount Nameを入力します。

Mac OSアカウント名を表示するには、ターミナルで次のcommandwhoamiを実行します。

Settings

Cisco ISEのGUIで、メニューアイコン() さらに、Administration > Settings > Endpoint Scripts > Settingsの順に選択し、OSの識別のためのconfigureMax retry attempts、OSの識別のための再試行間隔などを設定します。これらの設定により、接続の問題を確認する速度が決まります。たとえば、PowerShellポートが開いていないというエラーは、すべての再試行が行われなかった場合にのみログに表示されます。

次のスクリーンショットは、デフォルト値の設定を示しています。

エンドポイントスクリプトの設定

クライアントがエージェントレスポスチャで接続されると、ライブログで確認できます。

Windowsエンドポイントの設定とトラブルシューティング 

注: Windowsデバイスで確認して適用するための推奨事項がいくつかあります。ただし、ユーザー権限やPowerShellアクセスなどの問題が発生した場合は、Microsoftのドキュメントを参照するか、Microsoftサポートに問い合わせる必要があります。

前提条件の確認とトラブルシューティング

ポート5985へのTCP接続のテスト

Windowsクライアントの場合、クライアント上のPowerShellにアクセスするためのポート5985を開く必要があります。次のコマンドを実行して、ポート5985へのTCP接続を確認します。Test-NetConnection -ComputerName localhost -Port 5985 

このスクリーンショットに示されている出力は、localhostのポート5985へのTCP接続が失敗したことを示しています。これは、ポート5985を使用するWinRM（Windowsリモート管理）サービスが実行されていないか、正しく構成されていないことを意味します。

WinRMに接続できませんでした

ポート5985でPowerShellを許可する受信規則を作成しています

ステップ1:Windows GUIで、検索バーに移動し、Windows Firewall with Advanced Securityと入力してクリックし、Run as administrator > Inbound Rules > New Rule > Rule Type > Port > Nextの順に選択します。 

新しい受信の規則 – ポート

ステップ2- Protocols and Portsの下で、TCP and Specify local portsを選択し、ポート番号5985(PowerShellリモート処理用のデフォルトポート)を入力して、Nextをクリックします。

プロトコルとポート

ステップ3:Action > Allow the connection > Nextの順に選択します。

アクション

ステップ4:Profileの下で、Domain、Private、およびPublicの各チェックボックスをオンにして、Nextをクリックします。

profile

ステップ5:[名前]に、ルールの名前(例：Allow PowerShell on Port 5985)を入力し、Finishをクリックします。

[名前(Name)]

シェルログイン用のクライアントクレデンシャルには、ローカル管理者権限が必要

シェルログインのクライアントクレデンシャルには、ローカル管理者権限が必要です。 管理者権限を持っているかどうかを確認するには、次の手順を確認してください。

Windows GUIで、Settings > Computer Management > Local Users and Groups > Users > Select the User Account(この例ではAgentless Accountが選択されている) > Member of, account must have Administrators Groupの順に移動します。

ローカル管理者権限

WinRMリスナーを検証しています

WinRMリスナーがポート5985でHTTPに設定されていることを確認します。

C: \Windows\system32> winrm enumerate winrm/config/listener Listener Address = * Transport = НТТР Port = 5985 Hostname Enabled = true URLPrefix = wsman CertificateThumbprint C: \Windows\system32>

PowerShellリモート処理WinRMを有効にする

サービスが実行され、自動的に開始するように設定されていることを確認するには、次の手順を実行します。

# WinRMサービスを有効にするEnable-PSRemoting -Force # WinRMサービスを開始するStart-Service WinRM # WinRMサービスが自動的に開始されるように設定するSet-Service -Name WinRM -StartupType Automatic

予想される出力： 

C: \Windows\system32> Enable-PSRemoting -Force WinRMは、このコンピュータで要求を受信するようにセットアップされています。WinRMがリモート管理用に更新されました。WinRMファイアウォール例外が有効になりました。- LocalAccountTokenFilterPolicyを設定し、ローカルユーザにリモートで管理者権限を付与

C: \Windows\system32> Start-Service WinRM

C: \Windows\system32> Set-Service -Name WinRM -StartupType Automatic

Powershellはv7.1以降でなければなりません。クライアントには、cURL v7.34以降が必要です。

WindowsでPowerShellとcURLのバージョンを確認する方法

適切なバージョンのPowerShellを使用していることを確認します。cURLはポスチャエージェントレスに不可欠です。

PowerShellバージョンの確認

Windows の場合：

1. PowerShellを開きます。

・ Win + Xキーを押して、Windows PowerShellまたはWindows PowerShell (Admin)を選択します。

2. 次のコマンドを実行します。$PSVersionTable.PSVersion

・ このコマンドは、システムにインストールされているPowerShellのバージョンの詳細を出力します。

cURLバージョンの確認

Windows の場合：

1. コマンドプロンプトを開きます。

・ Win + Rキーを押し、cmdと入力してEnterキーをクリックします。

2. コマンドを実行します： curl —version

・ このコマンドは、システムにインストールされているcURLのバージョンを表示します。

Windowsデバイス上のPowerShellとcURLのバージョンを確認するための出力

C: \Windows\system32> $PSVersionTable.PSVersionメジャーマイナービルドリビジョン----- ----- ----- ----- 7 1 19041 4291

C: \Windows\system32>

C: \Windows\system32>

C: \Windows \system32>curl —version curl 8.4.0 (Windows) libcurl/8.4.0 Schannel WinIDNリリース日： 2023-10-11プロトコル： dict file ftp ftps http https imap imaps pop3 pop3s smtp smtps telnet tftp ftps http https機能： AsynchNS HSTS HTTPS-proxy IDN IPv6 Kerberos Largefile NTLM SPNEGO SSL SSPI threadsafe Unicode UnixSockets c: \Windows\system32>

追加設定

このコマンドは、WinRM接続の特定のリモートホストを信頼するようにコンピューターを構成します：Set-Item WSMan:\localhost\Client\TrustedHosts -Value <Client-IP>  

C: \Windows\system32> Set-Item WSMan:\localhost\Client\TrustedHosts -Value x.x.x.x WinRMセキュリティの構成。このコマンドは、WinRMクライアントのTrustedHostsリストを変更します。TrustedHostsリスト内のコンピューターを認証できません。クライアントは、これらのコンピュータにクレデンシャル情報を送信できます。このリストを変更しますか？[Y]はい[N]いいえ[S]中断[?]ヘルプ（既定値は"y"）: Y PS C: \Windows \system32> -

test-wsmanコマンドレットに-Authentication Negotiateパラメーターと-Credentialパラメーターを指定すると、リモートコンピューター上のWinRMサービスの可用性と構成を確認するための強力なツールになります： test-wsman <Client-IP> -Authentication Negotiate -Credential <Accountname>

MacOS

Powershellはv7.1以降でなければなりません。クライアントには、cURL v7.34以降が必要です。

macOSの場合：

1. ターミナルを開きます。

・ TerminalはApplications > Utilitiesにあります。

2. pwsh -Command '$PSVersionTable.PSVersion'コマンドを実行します。

注：注： ・ PowerShellコア(pwsh)がインストールされていることを確認します。そうでない場合は、Homebrew経由でインストールできます（Himebrewのインストールを確認してください）: brew install —cask powershell

macOSの場合：

1. ターミナルを開きます。

・ TerminalはApplications > Utilitiesにあります。

2. curl — versionコマンドを実行します。

・このコマンドを実行すると、システムにインストールされているcURLのバージョンが表示されます。

MacOSクライアントの場合、SSHにアクセスするためのポート22は、クライアントにアクセスするために開いている必要があります

ステップバイステップガイド：

1. システム環境設定を開きます。

・ Appleのメニューから、システム環境設定に移動します。

2. リモートログインを有効にします。

・ 共有に移動します。

・ 「Remote Login」の横にあるボックスをオンにします。

・ Allow access forオプションが適切なユーザまたはグループに設定されていることを確認します。All usersを選択すると、Mac上で有効なアカウントを持つすべてのユーザがSSH経由でログインできるようになります。

3. ファイアウォール設定の確認：

・ ファイアウォールが有効な場合、SSH接続を許可することを確認する必要があります。

・ System Preferences > Security & Privacy > Firewallの順に選択します。

・ Firewall Optionsボタンをクリックします。

・ リモートログインまたはSSHがリストされ、許可されていることを確認します。リストにない場合は、Addボタン(+)をクリックして追加します。

4. ターミナル経由でポート22を開きます（必要な場合）。

・ Applications > UtilitiesからTerminalアプリケーションを開きます。

・ pfctlコマンドを使用して現在のファイアウォールルールを確認し、ポート22が開いていることを確認します。sudo pfctl -sr | grep 22

・ポート22が開いていない場合は、手動でルールを追加してSSHを許可できます。echo "pass in proto tcp from any to any port 22" | sudo pfctl -ef -

5. SSHアクセスのテスト：

・別のデバイスから、ターミナルまたはSSHクライアントを開きます。

・ IPアドレスssh username@<macOS-client-IP>を使用して、macOSクライアントへの接続を試みます。

・ usernameは適切なユーザアカウントで置き換え、<macOS-client-IP>はmacOSクライアントのIPアドレスで置き換えます。

MacOSの場合は、sudoersファイルで次のエントリが更新され、エンドポイントでの証明書インストールの失敗が回避されることを確認してください。

MacOSエンドポイントを管理する場合、パスワードプロンプトを必要とせずに特定の管理コマンドを実行できることが重要です。

前提条件

・ macOSマシンでの管理者アクセス。

・端末コマンドに関する基本的な知識。

Sudoersファイルを更新する手順

1. ターミナルを開きます。

・ TerminalはApplications > Utilitiesにあります。

2. Sudoersファイルを編集します。

・ sudoersファイルを安全に編集するには、visudoコマンドを使用します。これにより、ファイルを保存する前に構文エラーが検出されます。sudo visudo

・ 管理者パスワードの入力を求められます。

3. 適切なセクションを検索します。

・ Visudoエディタで、ユーザ固有のルールが定義されているセクションに移動します。通常、これはファイルの下部方向です。

4. 必要なエントリを追加します。

・ この行を追加して、指定したユーザにsecurityコマンドとosascriptコマンドをパスワードなしで実行する権限を付与します： <macadminusername> ALL = (ALL) NOPASSWD: /usr/bin/security, /usr/bin/osascript

・ <macadminusername>を、macOSの管理者の実際のユーザ名に置き換えます。

5. 保存して終了します。

・デフォルトのエディタ(nano)を使用している場合は、Ctrl + Xキーを押して終了します。次に、Yキーを押して変更を確認します。最後に、Enterキーを押してファイルを保存します。

・ viまたはvimを使用している場合は、Escキーを押して「:wq」と入力し、Enterキーを押して保存し、終了します。

6. 変更の確認：

・ 変更が有効になったことを確認するために、更新されたsudo権限を必要とするコマンドを実行できます。例： 

sudo /usr/bin/security find-certificate -a sudo /usr/bin/osascript -e 'アプリケーションの「Finder」に「Test」ダイアログを表示するように指示します'

・ これらのコマンドは、パスワードの入力を求められることなく実行できます。