Cisco Identity Services Engine 管理者ガイド リリース 2.0
- Updated:
- 2017年6月19日
章のタイトル: クライアント ポスチャ ポリシーの設定
クライアント ポスチャ ポリシーの設定
ポスチャは、Cisco Identity Services Engine(ISE)のサービスです。ポスチャを使用すると、ネットワークに接続されているすべてのエンドポイントの企業セキュリティ ポリシーとのコンプライアンスに関するステート(ポスチャとも呼ばれる)をチェックできます。これにより、ネットワークの防護領域にアクセスするクライアントを制御できます。
- ポスチャ サービス
- ポスチャ管理の設定
- Cisco ISE へのポスチャ更新のダウンロード
- ポスチャ評価の利用規定の設定
- ポスチャ ポリシーの設定
- ポスチャ評価オプション
- ポスチャ修復オプション
- ポスチャのカスタム条件
- カスタム ポスチャ修復アクション
- ポスチャ評価要件
- ポスチャのカスタム権限
- 標準許可ポリシーの設定
ポスチャ サービス
ポスチャは、Cisco Identity Services Engine(ISE)のサービスです。ポスチャを使用すると、ネットワークに接続されているすべてのエンドポイントの企業セキュリティ ポリシーとのコンプライアンスに関するステート(ポスチャとも呼ばれる)をチェックできます。これにより、ネットワークの防護領域にアクセスするクライアントを制御できます。
クライアントは、エンドポイントの AnyConnect ISE ポスチャ エージェントまたはネットワーク アドミッション コントロール(NAC)を介してポスチャ サービスと相互作用して、セキュリティ ポリシーを適用し、コンプライアンスを満たし、エンドポイントから保護されたネットワークへのアクセスを可能にします。クライアント プロビジョニングは、エンドポイントが適切なポスチャ エージェントを受信できるようにします。
Cisco ISE の ISE ポスチャ エージェントでは、ネイティブ サプリカントを使用する場合は Windows のユーザの簡易切り替え機能がサポートされません。これは、古いユーザの切断が明確にならないためです。新しいユーザが送信されると、古いユーザのプロセスとセッション ID がエージェントによってハングされるため、新しいポスチャ セッションを実行できません。Microsoft のセキュリティ ポリシーに従い、ユーザの簡易切り替え機能を無効にすることを推奨します。
ポスチャ サービスのコンポーネント
Cisco ISE ポスチャ サービスには、主にポスチャ管理サービスとポスチャ ランタイム サービスが含まれます。
ポスチャ管理サービス
Cisco ISE に APeX ライセンスをインストールしていない場合、ポスチャ管理サービス オプションは管理者ポータルから使用できません。
管理サービスは、ポスチャ サービス用に設定された要件および許可ポリシーに関連付けられた、ポスチャ固有のカスタム条件および修復アクションに対するバックエンド サポートを提供します。
ポスチャ ランタイム サービス
ポスチャ ランタイム サービスでは、ポスチャ評価およびクライアントの修復のためにクライアント エージェントと Cisco ISE サーバの間で実行されるすべての相互作用をカプセル化します。
ポスチャ ランタイム サービスは検出フェーズから開始します。エンドポイント セッションは、エンドポイントが 802.1x 認証に成功した後に作成されます。クライアント エージェントは、次の順序で各種の方式によって検出パケットを送信して Cisco ISE ノードへの接続を試行します。
- HTTP 経由で Cisco ISE サーバのポート 80 へ(設定されている場合)
- HTTPS 経由で Cisco ISE サーバのポート 8905 へ(設定されている場合)
- HTTP 経由でデフォルト ゲートウェイのポート 80 へ
- HTTPS 経由でポート 8905 からそれぞれ前にアクセスしたサーバへ
- HTTP 経由で enroll.cisco.com のポート 80 へ
ポスチャ フェーズは、利用規定(存在する場合)が受け入れられると開始されます。Cisco ISE ノードはクライアント エージェントにポスチャ ドメインのポスチャ トークンを発行します。ポスチャ トークンにより、エンドポイントではポスチャ プロセスを再度実行せずにネットワークに再接続できます。これには、エージェント GUID、利用規定のステータス、エンドポイントのオペレーティング システム情報などの情報が含まれています。
ポスチャ フェーズで使用されるメッセージは、NEA PB/PA 形式(RFC5792)です。
ポスチャおよびクライアント プロビジョニング ポリシー ワークフロー
ポスチャ サービス ライセンス
Cisco ISE は、Base ライセンス、Plus ライセンス、APeX ライセンスの 3 種類のライセンスを提供します。PAN で APeX ライセンスをインストールしないと、ポスチャ要求は Cisco ISE で実行されません。Cisco ISE のポスチャ サービスは、1 つのノードまたは複数のノードで実行できます。
ポスチャ サービス展開
Cisco ISE は、スタンドアロン環境(単一ノード)または分散環境(複数ノード)に展開できます。
スタンドアロン Cisco ISE 展開では、単一のノードをすべての管理サービス、モニタリングとトラブルシューティング サービス、およびポリシー実行時サービスに設定できます。
分散 Cisco ISE 展開では、各ノードを、管理サービス、モニタリングとトラブルシューティング サービス、およびポリシー実行時サービスの Cisco ISE ノードとして設定できます。管理サービスを実行しているノードは、Cisco ISE 展開内のプライマリ ノードです。他のサービスを実行している他のノードは、互いのバックアップ サービス用に設定できるセカンダリ ノードです。
Cisco ISE でのポスチャ セッション サービスの有効化
- クライアントから受信したすべてのポスチャ要求に対応するには、Cisco ISE でセッション サービスを有効にし、拡張ライセンス パッケージをインストールする必要があります。
-
分散展開に複数のノードを登録している場合は、登録したすべてのノードがプライマリ ノードとは別に [展開ノード(Deployment Nodes)] ページに表示されます。各ノードを Cisco ISE ノード(管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナ)として設定できます。
-
ポスチャ サービスは、ポリシー サービス ペルソナを担当する Cisco ISE ノードでのみ実行され、分散展開で管理ペルソナとモニタリング ペルソナを担当する Cisco ISE ノードでは実行されません。
ポスチャ評価レポートの実行
ポスチャの詳細な評価を実行して、ポスチャ評価中に使用されるポスチャ ポリシーに対するクライアントのコンプライアンスの詳細なステータスを生成できます。
ポスチャ管理の設定
ポスチャ サービス用の管理者ポータルをグローバルに設定できます。シスコから Web 経由で自動的に Cisco ISE サーバに更新をダウンロードできます。また、オフラインで、後で、Cisco ISE を手動で更新することもできます。さらに、クライアントに AnyConnect、NAC Agent、Web Agent などのエージェントがインストールされていると、クライアントにポスチャ評価および修復サービスが提供されます。クライアント エージェントは、Cisco ISE に対してクライアントのコンプライアンス ステータスを定期的に更新します。ログインおよびポスチャの要件評価が正常に完了した後、ネットワーク使用の利用規約への準拠をエンドユーザに求めるリンクが示されたダイアログがクライアント エージェントに表示されます。このリンクを使用して、エンドユーザがネットワークへのアクセス権を取得する前に同意する、企業ネットワークのネットワーク使用情報を定義できます。
クライアントのタイマー設定
ユーザが修復するためのタイマー、あるステータスから別のステータスに移行するためのタイマー、およびログイン成功画面を制御するためのタイマーをセットアップできます。
エージェント プロファイルを設定して、修復タイマー、ネットワーク遷移遅延タイマー、およびクライアント マシン上でログイン成功画面を制御するために使用するタイマー制御し、これらの設定がポリシーベースになるようにすることを推奨します。 で、クライアント プロビジョニング リソースのエージェントに対して、これらすべてのタイマーを設定できます。
ただし、クライアント プロビジョニング ポリシーに一致するように設定されたエージェント プロファイルがない場合は、 設定ページの設定を使用できます。
指定した時間内で修復するためのクライアントの修復タイマーの設定
指定した時間内にクライアントを修復するためのタイマーを設定できます。最初の評価時にクライアントが設定されたポスチャ ポリシーを満たすことに失敗した場合、エージェントは修復タイマーに設定された時間内にクライアントが修復するのを待ちます。クライアントがこの指定時間内の修復に失敗すると、クライアント エージェントはポスチャ ランタイム サービスにレポートを送信します。その後、クライアントは非準拠ステートに移行されます。
クライアントの遷移のためのネットワーク遷移遅延タイマーの設定
ネットワーク遷移遅延タイマーを使用して、指定した時間内に、クライアントがある状態から別の状態に遷移するためのタイマーを設定できます。これは、許可変更(CoA)が完了するために必要となります。ポスチャの成功時と失敗時にクライアントが新しい VLAN の IP アドレスを取得するための時間がかかる場合は、より長い遅延時間が必要になることがあります。クライアントが正常にポスチャされると、Cisco ISE は、ネットワーク遷移遅延タイマーで指定された時間内に未知から準拠モードへ移行することを許可します。ポスチャに失敗すると、Cisco ISE は、タイマーで指定された時間内にクライアントが未知から非準拠モードへ移行することを許可します。
ログイン成功画面を自動的に閉じる設定
ポスチャ評価が正常に完了した後、クライアント エージェントは一時的なネットワーク アクセス画面を表示します。ユーザはログイン画面で [OK] ボタンをクリックして、この画面を閉じる必要があります。指定した時間の経過後にこのログイン画面を自動的に閉じるタイマーを設定できます。
非エージェント デバイスのポスチャ ステータスの設定
Linux または iDevice などの非エージェント デバイスで実行されるエンドポイントのポスチャ ステータスを設定できます。Android デバイスおよび iPod、iPhone、iPad などの Apple の iDevice が Cisco ISE 対応ネットワークに接続する場合、これらのデバイスはデフォルト ポスチャ ステータスの設定を引き継ぎます。
これらの設定は、ポスチャのランタイム中に一致するポリシーが見つからない場合、Windows および Macintosh オペレーティング システムで実行されるエンドポイントにも適用されます。
エンドポイントにポリシーを適用するには、対応するクライアント プロビジョニング ポリシー(エージェントのインストール パッケージ)を設定する必要があります。そうしないと、エンドポイントのポスチャ ステータスは自動的にデフォルト設定が反映されます。
ポスチャのリース
ユーザがネットワークにログインするたびにポスチャ評価を実行したり、指定した間隔でポスチャ評価を実行したりするよう Cisco ISE を設定できます。有効な範囲は 1 ~ 365 日です。
この設定は、ポスチャ評価に AnyConnect エージェントを使用するユーザだけに適用されます。
定期的再評価
定期的再評価(PRA)は、コンプライアンスについてすでに適切にポスチャされているクライアントにのみ実行できます。PRA は、クライアントがネットワーク上で準拠していない場合には実行されません。
PRA は、エンドポイントが準拠ステートになっている場合にのみ有効であり、適用可能です。ポリシー サービス ノードは関連するポリシーを調べ、設定で定義されているクライアント ロールに応じて要件をコンパイルし、PRA を適用します。PRA 設定の一致が見つかった場合、ポリシー サービス ノードは、クライアントの PRA 設定で定義されている PRA 属性を使用して、クライアント エージェントに応答してから、CoA 要求を発行します。クライアント エージェントは、設定に指定された間隔に基づいて定期的に PRA 要求を送信します。PRA が成功した場合、または、PRA 設定に指定されているアクションが続行になっている場合、クライアントは準拠ステートのままになります。クライアントが PRA を満たしていない場合、準拠ステートから非準拠ステートに移行します。
PostureStatus 属性は、ポスチャ再評価要求の場合でも、PRA 要求で現在のポスチャ ステータスを不明ではなく準拠と示します。PostureStatus はモニタリング レポートでも更新されます。
定期的再評価の設定
コンプライアンスに対してすでに正常にポスチャされているクライアントだけの定期的な再評価を設定できます。システムで定義されているユーザ ID グループに各 PRA を設定できます。
Cisco ISE へのポスチャ更新のダウンロード
ポスチャ更新には、Windows および Macintosh オペレーティング システムの両方のアンチウイルスとアンチスパイウェアの一連の事前定義済みのチェック、ルール、サポート表、およびシスコでサポートされるオペレーティング システム情報が含まれます。また、ローカル ファイル システムの更新の最新のアーカイブを含むファイルから Cisco ISE をオフラインで更新することもできます。
ネットワークに Cisco ISE を初めて展開する場合は、Web からポスチャ更新をダウンロードできます。通常、このプロセスには約 20 分かかります。初回ダウンロード後に、差分更新が自動的にダウンロードされるように Cisco ISE を設定できます。
Cisco ISE では、初回ポスチャ更新時に 1 回のみ、デフォルトのポスチャ ポリシー、要件、および修復を作成します。それらを削除した場合、Cisco ISE は後続の手動またはスケジュールされた更新中にこれらを再作成しません。
ポスチャ リソースを Cisco ISE にダウンロードできる適切なリモート ロケーションにアクセスできるようにするには、5-2 ページの「Cisco ISE でのプロキシ設定の指定」の説明に従ってネットワークにプロキシが正しく設定されていることを確認する必要がある場合があります。
ポスチャ更新の自動ダウンロード
ポスチャ評価の利用規定の設定
ログインし、クライアントのポスチャ評価が成功すると、クライアント エージェントにより一時的なネットワーク アクセス画面が表示されます。この画面には、利用規定(AUP)へのリンクが含まれています。ユーザがリンクをクリックすると、ネットワーク利用条件を表示するページにリダイレクトされます。その条件を読み、同意する必要があります。
各利用規定設定には、一意のユーザ ID グループ、またはユーザ ID グループの一意の組み合わせが必要です。Cisco ISE は最初に一致したユーザ ID グループの AUP を見つけ、AUP を表示するクライアント エージェントと通信します。
ポスチャ ポリシーの設定
ポスチャ ポリシーは 1 つ以上の ID グループおよびオペレーティング システムに関連付けられたポスチャ要件の集合です。ディクショナリ属性は、クライアントの異なるポリシーを定義できる、ID グループおよびオペレーティング システムと組み合わされたオプションの条件です。
ポスチャ評価オプション
次の表に、Windows および Macintosh の ISE Posture Agent、および Windows の Web Agent でサポートされるポスチャ評価(ポスチャ条件)オプションのリストを示します。
|
ISE ポスチャ エージェント Windows |
Web Agent Windows |
ISE ポスチャ エージェント Macintosh OS X |
|---|---|---|
|
オペレーティング システム/サービス パック/ホットフィックス |
オペレーティング システム/サービス パック/ホットフィックス |
— |
|
サービス チェック |
サービス チェック |
サービス チェック(AC 4.1 および ISE 1.4) |
|
レジストリ チェック |
レジストリ チェック |
— |
|
ファイル チェック |
ファイル チェック |
ファイル チェック(AC 4.1 および ISE 1.4) |
|
アプリケーション チェック |
アプリケーション チェック |
アプリケーション チェック(AC 4.1 および ISE 1.4) |
|
アンチウイルスのインストール |
アンチウイルスのインストール |
アンチウイルスのインストール |
|
アンチウイルス バージョン/アンチウイルス定義日 |
アンチウイルス バージョン/アンチウイルス定義日 |
アンチウイルス バージョン/アンチウイルス定義日 |
|
アンチスパイウェアのインストール |
アンチスパイウェアのインストール |
アンチスパイウェアのインストール |
|
アンチスパイウェア バージョン/アンチスパイウェア定義日 |
アンチスパイウェア バージョン/アンチスパイウェア定義日 |
アンチスパイウェア バージョン/アンチスパイウェア定義日 |
|
パッチ管理チェック(AC 4.1 および ISE 1.4) |
— |
パッチ管理チェック(AC 4.1 および ISE 1.4) |
|
実行中の Windows Update |
実行中の Windows Update |
— |
|
Windows Update の設定 |
Windows Update の設定 |
— |
|
WSUS のコンプライアンス設定 |
WSUS のコンプライアンス設定 |
— |
ポスチャ修復オプション
次の表に、Windows および Macintosh の ISE Posture Agent、および Windows の Web Agent でサポートされる修復オプション(ポスチャ条件)のリストを示します。
次の表に、Windows および Macintosh の ISE Posture Agent、および Windows の Web Agent でサポートされる修復オプション(ポスチャ条件)のリストを示します。
|
ISE ポスチャ エージェント Windows |
Web Agent Windows |
ISE ポスチャ エージェント Macintosh OS X |
|---|---|---|
|
メッセージ テキスト(ローカル チェック) |
メッセージ テキスト(ローカル チェック) |
メッセージ テキスト(ローカル チェック) |
|
URL リンク(リンク分散) |
URL リンク(リンク分散) |
URL リンク(リンク分散) |
|
ファイル配布 |
ファイル配布 |
— |
|
プログラム起動 |
— |
— |
|
アンチウイルス定義更新 |
— |
アンチウイルス ライブ更新 |
|
アンチスパイウェア定義更新 |
— |
アンチスパイウェア ライブ更新 |
|
パッチ管理修復(AC 4.1 および ISE 1.4) |
— |
— |
|
Windows Update |
— |
— |
|
WSUS |
— |
— |
ポスチャのカスタム条件
ポスチャ条件は次の単純条件のいずれかになります。ファイル、レジストリ、アプリケーション、サービス、またはディクショナリ条件。これらの単純条件のうちの 1 つ以上の条件によって複合条件が形成され、複合条件はポスチャ要件と関連付けることができます。
最初のポスチャ更新の後に、Cisco ISE もシスコ定義の単純条件と複合条件を作成します。シスコ定義の単純条件では pc_ as が使用され、複合条件では pr_ as が使用されます。
ユーザ定義の条件またはシスコ定義の条件には、単純条件と複合条件の両方が含まれます。
ポスチャ サービスは、アンチウイルスおよびアンチスパイウェア(AV/AS)複合条件に基づいた内部チェックを使用します。このため、ポスチャ レポートは、作成した正確な AV/AS 複合条件名を反映しません。レポートには、AV/AS 複合条件の内部チェックの名前だけが表示されます。
たとえば、任意のベンダーおよび製品をチェックする「MyCondition_AV_Check」という名前の AV 複合条件を作成した場合、ポスチャ レポートには、条件名として、「MyCondition_AV_Check」ではなく、内部チェック「av_def_ANY」が表示されます。
カスタム ポスチャ修復アクション
カスタム ポスチャ修復アクションは、ファイル、リンク、アンチウイルスまたはアンチスパイウェア定義の更新、プログラムの起動、Windows Update、Windows Server Update Services(WSUS)の修復タイプです。
- ファイル修復の追加
- リンク修復の追加
- パッチ管理修復の追加
- アンチウイルス修復の追加
- アンチスパイウェア修復の追加
- プログラム修復起動の追加
- Windows Update 修復
- Windows Update 修復の追加
- Windows Server Update Services 修復の追加
ファイル修復の追加
ファイル修復により、クライアントはコンプライアンスに必要なファイルのバージョンをダウンロードできます。クライアント エージェントは、コンプライアンスのためにクライアントが必要とするファイルを使用してエンドポイントを修復します。
[ファイル修復(File Remediations)] ページでファイル修復をフィルタリング、表示、追加、または削除することはできますが、ファイル修復を編集することはできません。[ファイル修復(File Remediations)] ページには、すべてのファイル修復がそれらの名前と説明、および修復に必要なファイルとともに表示されます。
リンク修復の追加
リンク修復により、クライアントは修復ページまたはリソースにアクセスするための URL をクリックできます。クライアント エージェントはリンクを使用してブラウザを開き、クライアントはコンプライアンスのために自身を修復できます。
[リンク修復(Link Remediation)] ページには、すべてのリンク修復がそれらの名前と説明、および修復のモードとともに表示されます。
パッチ管理修復の追加
パッチ管理修復を作成して、修復後にコンプライアンスのために最新のファイル定義でクライアントを更新できます。
[パッチ管理修復(Patch Management Remediation)] ページには、修復タイプ、パッチ管理ベンダーの名前、およびさまざまな修復オプションが表示されます。
| ステップ 1 | > [ポスチャ(Posture)] を選択します。 |
| ステップ 2 | [修復アクション(Remediation Actions)] をクリックします。 |
| ステップ 3 | [パッチ管理修復(Patch Management Remediation)] をクリックします。 |
| ステップ 4 | [追加(Add)] をクリックします。 |
| ステップ 5 | [パッチ管理修復(Patch Management Remediation)] ページで値を変更します。 |
| ステップ 6 | [送信(Submit)] をクリックして、[パッチ管理修復(Patch Management Remediation)] ページに修復アクションを追加します。 |
アンチウイルス修復の追加
アンチウイルス修復を作成して、修復後にコンプライアンスのために最新のファイル定義でクライアントを更新できます。
[AV 修復(AV Remediations)] ページには、すべてのアンチウイルス修復がそれらの名前と説明、および修復のモードとともに表示されます。
アンチスパイウェア修復の追加
アンチスパイウェア修復を作成して、修復後にコンプライアンスのために最新のファイル定義でクライアントを更新できます。
[AS 修復(AS Remediations)] ページには、すべてのアンチウイルス修復がそれらの名前と説明、および修復のモードとともに表示されます。
プログラム修復起動の追加
コンプライアンスのために、クライアント エージェントが 1 つ以上のアプリケーションを起動してクライアントを修復するプログラム修復起動を作成できます。
[プログラム修復起動(Launch Program Remediations)] ページには、すべてのプログラム修復起動がそれらの名前と説明、および修復のモードとともに表示されます。
プログラム修復起動のトラブルシューティング
問題
プログラム修復起動を使用して、アプリケーションを修復として起動すると、アプリケーションは正常に開始されます(Windows Task Manager で観察されます)が、アプリケーション UI は表示されません。
ソリューション
プログラム起動 UI アプリケーションはシステム権限で実行され、[インタラクティブサービス検出(ISD)(Interactive Service Detection (ISD))] ウィンドウに表示されます。プログラム起動 UI アプリケーションを表示するには、次の OS で ISD をイネーブルにする必要があります。
Windows Update 修復
Windows Update 修復により、セキュリティ ポリシーに従って Windows クライアントで自動更新設定がオンになるようにします。Windows 管理者は、Windows クライアントで自動更新をオンまたはオフにできます。Microsoft Windows では、この機能を使用して、更新の有無を定期的に確認します。自動更新機能がオンになっていると、Windows は他の更新を行う前に、Windows 推奨の更新プログラムを自動的に更新します。
Windows 自動更新設定は、Windows オペレーティング システムによって異なります。
たとえば、Windows XP は自動更新を設定するために次の設定を提供しています。
-
[自動(Automatic)](推奨):Windows は、クライアントが推奨の Windows Update を自動的にダウンロードしてインストールすることを許可します。
-
[更新を自動的にダウンロードするが、インストールは手動で実行する(Download updates for me, but let me choose when to install them)]:Windows がクライアントの更新プログラムをダウンロードしますが、更新プログラムをいつインストールするかはクライアントが選択できます。
-
[更新を通知するのみで、自動的なダウンロードまたはインストールを実行しない(Notify me but don’t automatically download or install them)]:Windows はクライアントに通知するのみで、更新プログラムを自動的にダウンロードまたはインストールしません。
-
[自動更新を無効にする(Turn off Automatic Updates)]:Windows は、クライアントが Windows 自動更新機能をオフにすることを許可します。ここで、クライアントは Windows Update Web サイト リンクから更新プログラムを定期的にインストールしないと脆弱になります。
Windows Update サービス(wuaserv)が任意の Windows クライアントで開始または停止されているかどうかを、pr_AutoUpdateCheck_Rule を使用して確認できます。これは、ポスチャ要件を作成するために使用できる事前定義されたシスコのルールです。ポスチャ要件が失敗した場合、要件に関連付けた Windows Update 修復は、Windows クライアントに自動更新のオプションの 1 つを使用して修復するように強制します。
Windows Update 修復の追加
[Windows Update 修復(Windows update remediations)] ページには、すべての Windows Update 修復がそれらの名前と説明、および修復のモードとともに表示されます。
Windows Server Update Services 修復の追加
コンプライアンスのためにローカルに管理されているか、または Microsoft で管理されている WSUS サーバから最新の WSUS 更新を受信するように Windows クライアントを設定できます。Windows Server Update Services(WSUS)修復は、ローカルに管理されている WSUS サーバまたは Microsoft で管理されている WSUS サーバから最新の Windows サービス パック、ホット フィックス、およびパッチをインストールします。
クライアント エージェントをローカルの WSUS Agent と統合して、エンドポイントの WSUS 更新が最新かどうかをチェックする WSUS 修復を作成できます。
| ステップ 1 | > [ポスチャ(Posture)] を選択します。 |
| ステップ 2 | [修復アクション(Remediation Actions)] をクリックします。 |
| ステップ 3 | [Windows Server Update Service 修復(Windows Server Update Services Remediation)] をクリックします。 |
| ステップ 4 | [追加(Add)] をクリックします。 |
| ステップ 5 | [新規 Windows Server Update Service 修復(New Windows Server Update Services Remediation)] ページで値を変更します。 |
| ステップ 6 | [送信(Submit)] をクリックします。 |
ポスチャ評価要件
ポスチャ要件は、ロールおよびオペレーティング システムとリンクできる修復アクションを伴う一連の複合条件です。ネットワークに接続しているすべてのクライアントは、ネットワークで適合ホストになるためにはポスチャ評価中に必須要件を満たす必要があります。
ポスチャ ポリシー要件は、ポスチャ ポリシーの必須、オプション、または監査タイプに設定できます。要件がオプションで、クライアントがこれらの要件を満たさない場合、クライアントにはエンドポイントのポスチャ評価中に続行するオプションがあります。
必須要件
ポリシーの評価時に、エージェントはポスチャ ポリシーに定義されている必須要件を満たすことができないクライアントに修復オプションを提供します。エンドユーザは、修復タイマー設定で指定された時間内に要件を満たすように修復する必要があります。
たとえば、絶対パス内に C:\temp\text.file があるかをチェックするために、ユーザ定義の条件を含む必須要件を指定したとします。ファイルがない場合、必須要件は失敗し、ユーザは [非準拠(Non-Compliant)] 状態になります。
オプション要件
ポリシーの評価時に、クライアントがポスチャ ポリシーに指定されたオプション要件を満たすことができない場合に、エージェントは続行するためのオプションをクライアントに提供します。エンドユーザは、指定されたオプション要件をスキップすることができます。
たとえば、Calc.exe などのクライアント マシンで実行するアプリケーションをチェックするために、ユーザ定義の条件を含むオプション要件を指定したとします。クライアントが条件を満たすことができない場合、オプション要件がスキップされ、エンドユーザが [準拠(Compliant)] 状態になるように、さらに続行するためのオプションがエージェントによって促されます。
監査要件
監査要件は内部用に指定され、エージェントはポリシー評価時の合格または失敗のステータスに関係なく、メッセージやエンドユーザからの入力を促しません。
たとえば、エンドユーザにアンチウイルス プログラムの最新バージョンがあるかどうかを確認するために、必須のポリシー条件を作成中だとします。ポリシー条件として実際に適用する前に非準拠のエンドユーザを見つける場合は、その条件を監査要件として指定できます。
非準拠ステートでスタックしたクライアント システム
クライアント マシンが必須要件を修復できない場合、ポスチャ ステータスは「非準拠」に変更され、エージェント セッションは隔離されます。クライアント マシンを「非準拠」状態から移行するには、エージェントがクライアント マシン上でポスチャ評価を再び開始するようにポスチャ セッションを再起動する必要があります。次のようにポスチャ セッションを再起動できます。
クライアントのポスチャ要件の作成
[要件(Requirements)] ページでは、ユーザ定義の条件とシスコ定義の条件、および修復アクションを関連付けて要件を作成できます。[要件(Requirements)] ページで作成および保存されたユーザ定義の条件および修復アクションは、それぞれのリスト ページに表示されます。
ポスチャのカスタム権限
カスタム権限は、Cisco ISE で定義する標準許可プロファイルです。標準許可プロファイルは、エンドポイントの一致するコンプライアンス ステータスに基づいてアクセス権を設定します。ポスチャ サービスでは、ポスチャは大きく不明プロファイル、準拠プロファイル、および非準拠プロファイルに分類されます。ポスチャ ポリシーおよびポスチャ要件によって、エンドポイントのコンプライアンス ステータスが決まります。
VLAN、DACL および他の属性値ペアの異なるセットを持つことができるエンドポイントの不明、準拠、および非準拠のポスチャ ステータスに対して 3 つの異なる許可プロファイルを作成する必要があります。これらのプロファイルは、3 つの異なる許可ポリシーに関連付けることができます。これらの許可ポリシーを区別するために、Session:PostureStatus 属性を他の条件とともに使用できます。
不明プロファイル
エンドポイントに一致するポスチャ ポリシーが定義されていない場合、そのエンドポイントのポスチャ コンプライアンス ステータスは不明に設定されることがあります。不明のポスチャ コンプライアンス ステータスは、一致するポスチャ ポリシーが有効であるが、エンドポイントに対してポスチャ評価がまだ行われておらず、従ってクライアント エージェントによってコンプライアンス レポートが提供されていないエンドポイントにも適用できます。
準拠プロファイル
エンドポイントに一致するポスチャ ポリシーが定義されている場合、そのエンドポイントのポスチャ コンプライアンス ステータスは準拠に設定されます。ポスチャ評価が行われると、エンドポイントは、一致するポスチャ ポリシー内に定義されているすべての必須要件を満たします。準拠とポスチャされているエンドポイントには、ネットワークに対する特権ネットワーク アクセスを付与できます。
非準拠プロファイル
エンドポイントのポスチャ コンプライアンス ステータスが非準拠に設定されるのは、そのエンドポイントに対して一致するポスチャ ポリシーが定義されているが、ポスチャ評価の実行中にすべての必須要件を満たすことができない場合です。非準拠としてポスチャされたエンドポイントは、修復アクションを含むポスチャ要件に一致し、自らを修復するために修復リソースへ制限付きのネットワーク アクセスが付与される必要があります。
標準許可ポリシーの設定
[許可ポリシー(Authorization Policy)] ページでは、標準許可ポリシーと例外許可ポリシーの 2 種類の許可ポリシーを定義できます。ポスチャに固有の標準許可ポリシーは、エンドポイントのコンプライアンス ステータスに基づいて、ポリシー決定を行うために使用されます。
| ステップ 1 | を選択します。 |
| ステップ 2 | [許可ポリシー(Authorization Policy)] ページの上部に表示されるドロップダウン リストから適用する照合ルール タイプを 1 つ選択します。 |
| ステップ 3 | デフォルトの標準許可ポリシー行の [編集(Edit)] の横の下矢印をクリックします。 |
| ステップ 4 | [新規ルールを上に挿入(Insert New Rule Above)] をクリックします。 |
| ステップ 5 | ルール名を入力し、ID グループおよびその他の条件を選択し、デフォルトの標準許可ポリシー行の上に表示される新しい許可ポリシー行に許可プロファイルを関連付けます。 |
| ステップ 6 | 読み取り専用モードで新しい標準許可ポリシーを作成するには、[完了(Done)] をクリックします。 |
| ステップ 7 | [保存(Save)] をクリックします。 |
フィードバック