セキュアクライアント HostScan

AnyConnect ポスチャモジュールにより、セキュアクライアント は、ホストにインストールされているオペレーティングシステム、アンチマルチウェア、ファイアウォールの各ソフトウェアを識別できます。この情報は、HostScan アプリケーションによって収集されます。ポスチャ アセスメントでは、ホストに HostScan がインストールされている必要があります。

HostScan の前提条件

セキュアクライアント をポスチャモジュールとともに使用するには、最低でも次のような ASA コンポーネントが必要です。

  • ASA 8.4

  • ASDM 6.4

これらの セキュアクライアント 機能は、ポスチャモジュールをインストールする必要があります。

  • SCEP 認証

  • AnyConnect テレメトリ モジュール

ポスチャモジュールのインストールでサポートされるオペレーティングシステムについては、『Supported VPN Platforms, Cisco ASA Series』を参照してください。

HostScan のライセンス

次に、HostScan の セキュアクライアント ライセンス要件を示します。

  • AnyConnect Apex

  • AnyConnect VPN Only

HostScan パッケージ

HostScan パッケージを ASA にスタンドアロン パッケージ hostscan-version.pkg としてロードすることができます。このファイルには、HostScan ソフトウェアとともに、HostScan ライブラリおよびサポート表が含まれています。

HostScan のインストールまたはアップグレード

この手順では、ASA のコマンドライン インターフェイスを使用して HostScan パッケージをインストールまたはアップグレードし、有効にします。

始める前に


(注)  

HostScan バージョン 4.3.x 以前から 4.6.x 以降にアップグレードしようとしている場合、以前に確立した既存の AV/AS/FW DAP ポリシーおよび LUA スクリプトがすべて HostScan 4.6.x 以降と非互換であるという事実に起因するエラー メッセージが表示されます。

設定を適応させるために実行する必要があるワンタイム移行手順が存在します。この手順では、このダイアログボックスを閉じて、この設定を保存する前に HostScan 4.4.x と互換になるように設定を移行します。この手順を中止し、『AnyConnect HostScan 4.3.x to 4.6.x Migration Guide』で詳細な手順を参照してください。つまり、移行するには ASDM DAP のポリシー ページに移動して、互換性のない AV/AS/FW 属性を確認して手動で削除してから、LUA スクリプトを確認し、書き換える必要があります。

  • ASA にログオンし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は hostname(config)# プロンプトを表示します。

  • hostscan_version-k9.pkg ファイルを ASA にアップロードします。

手順

ステップ 1

webvpn コンフィギュレーション モードを開始します。

例:


hostname(config)# webvpn
ステップ 2

HostScan イメージとして指定するパッケージのパスを指定します。スタンドアロンの HostScan パッケージ、または セキュアクライアント パッケージを HostScan パッケージとして指定することができます。

hostscan image path

例:

ASAName(webvpn)#hostscan image disk0:/ hostscan_4.9.00086-k9.pkg
ステップ 3

前の手順で指定した HostScan イメージを有効にします。

例:


ASAName(webvpn)#hostscan enable
ステップ 4

実行コンフィギュレーションをフラッシュ メモリに保存します。新しいコンフィギュレーションがフラッシュ メモリに正常に保存されると、[OK] メッセージが表示されます。

例:


hostname(webvpn)# write memory
ステップ 5

HostScan の有効化または無効化

これらのコマンドは、ASA のコマンドライン インターフェイスを使用して、インストール済みの HostScan イメージを有効または無効にします。

始める前に

ASA にログオンし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は hostname(config)# プロンプトを表示します。

手順

ステップ 1

webvpn コンフィギュレーション モードを開始します。

例:

webvpn

ステップ 2

ASA からスタンドアロンの HostScan イメージがアンインストールされていない場合、このイメージを有効にします。

hostscan enable

ステップ 3

インストールされているすべての HostScan パッケージの HostScan を無効にします。

(注)   

有効になっている HostScan イメージをアンインストールする前に、このコマンドを使用して、HostScan を無効にする必要があります。

no hostscan enable

ASA で有効になっている HostScan バージョンの表示

この手順では、ASA のコマンドライン インターフェイスを使用して、有効になっている HostScan のバージョンを特定します。

始める前に

ASA にログインし、特権 EXEC モードを開始します。ASA の特権 EXEC モードでは、表示されるプロンプトは hostname# となります。

手順

ASA 上で有効になっている HostScan のバージョンを表示します。

show webvpn hostscan

HostScan のアンインストール

HostScan パッケージをアンインストールすると、ASDM インターフェイス上のビューから削除されます。これにより、HostScan が有効になっている場合でも ASA による HostScan パッケージの展開が回避されます。HostScan をアンインストールしても、HostScan パッケージはフラッシュ ドライブから削除されません。

始める前に

ASA にログオンし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は hostname(config)# プロンプトを表示します。

手順

ステップ 1

webvpn コンフィギュレーション モードを開始します。

webvpn

ステップ 2

アンインストールする HostScan イメージを無効にします。

no hostscanenable

ステップ 3

アンインストールする HostScan イメージへのパスを指定します。スタンドアロンの HostScan パッケージが HostScan パッケージとして指定されている場合があります。

no hostscan image path

例:


hostname(webvpn)#no hostscan image disk0:/hostscan_4.9.00086-k9.pkg
ステップ 4

実行コンフィギュレーションをフラッシュ メモリに保存します。新しいコンフィギュレーションがフラッシュ メモリに正常に保存されると、[OK] メッセージが表示されます。

write memory

グループポリシーへの セキュアクライアント 機能モジュールの割り当て

次の手順で、セキュアクライアント 機能モジュールとグループポリシーを関連付けます。VPN ユーザーが ASA に接続するときに、ASA はこれらの セキュアクライアント 機能モジュールをエンドポイントコンピュータにダウンロードしてインストールします。

始める前に

ASA にログオンし、グローバル コンフィギュレーション モードを開始します。グローバル コンフィギュレーション モードでは、ASA は hostname(config)# プロンプトを表示します。

手順

ステップ 1

ネットワーク クライアント アクセス用の内部グループ ポリシーを追加します。

group-policy name internal

例:


hostname(config)# group-policy PostureModuleGroup internal
ステップ 2

新しいグループ ポリシーを編集します。このコマンドを入力した後は、グループ ポリシー コンフィギュレーション モードのプロンプト hostname(config-group-policy)# が表示されます。

group-policy name attributes

例:

hostname(config)# group-policy PostureModuleGroup attributes
ステップ 3

グループ ポリシー webvpn コンフィギュレーション モードを開始します。このコマンドを入力した後は、次に示す ASA のプロンプトが表示されます。hostname(config-group-webvpn)#

webvpn

ステップ 4

グループ内のすべてのユーザーに セキュアクライアント 機能モジュールがダウンロードされるように、グループポリシーを設定します。

anyconnect modules value AnyConnect Module Name

anyconnect module コマンドの value には、次の値の 1 つ以上を指定することができます。複数のモジュールを指定する場合は、値をカンマで区切ります。

AnyConnect モジュール/機能名

dart

AnyConnect DART(診断およびレポート ツール)

vpngina

AnyConnect SBL(ログイン前の起動)

websecurity

AnyConnect Web セキュリティ モジュール

telemetry

AnyConnect テレメトリ モジュール

posture

AnyConnect ポスチャ モジュール

nam

AnyConnect ネットワーク アクセス マネージャ

none

グループ ポリシーからすべての AnyConnect モジュールを削除する場合に使用します。

profileMgmt

AnyConnect 管理トンネル VPN

例:


hostname(config-group-webvpn)# anyconnect modules value websecurity,telemetry,posture

モジュールの 1 つを削除するには、保持したいモジュールの値だけを指定したコマンドを再送信します。たとえば、このコマンドは Web セキュリティ モジュールを削除します。 


hostname(config-group-webvpn)# anyconnect modules value telemetry,posture
ステップ 5

実行コンフィギュレーションをフラッシュ メモリに保存します。

新しいコンフィギュレーションが正常にフラッシュ メモリに保存されると、[OK] というメッセージが表示され、次に示す ASA のプロンプトが表示されます。hostname(config-group-webvpn)#

write memory

HostScan の関連マニュアル

HostScan がエンドポイント コンピュータからポスチャ クレデンシャルを収集した後は、情報を活用するために、ダイナミック アクセス ポリシーの設定、Lua の式の使用などのサブジェクトを理解する必要があります。

これらのトピックの詳細については、『Cisco Adaptive Security Device Manager Configuration Guides』を参照してください。また、セキュアクライアント での HostScan の動作の詳細については、『Cisco Secure Client Administrator Guide』を参照してください。