ポスチャの設定

Cisco Secure Client は、セキュア ファイアウォール ポスチャ モジュール(旧称 HostScan)、および ISE ポスチャモジュールを提供します。両方のモジュールにより、Security Manager クライアントで、ホストにインストールされたウイルス対策、スパイウェア対策、ファイアウォール ソフトウェアなどについてエンドポイントのコンプライアンスを評価できます。その後、エンドポイントがコンプライアンスに対応するまでネットワーク アクセスを制限したり、修復方法を確立できるようにローカル ユーザの権限を強化したりできます。

Secure Firewall ポスチャは、secure-firewall-posture-<version>-k9.pkg にバインドされています。これは、どのようなオペレーティング システム、ウイルス対策、スパイウェア対策、およびソフトウェアがホストにインストールされているかを収集するアプリケーションです。ISE ポスチャは、ISE 制御ネットワークにアクセスするときに、Cisco Secure Client と NAC Agent の両方を展開するのではなく、1 つのクライアントを展開します。ISE ポスチャは、Cisco Secure Client 製品に追加のセキュリティコンポーネントとしてインストールできるモジュールです。

ISE ポスチャは、クライアント側評価を実行します。クライアントは、ヘッドエンドからポスチャ要件ポリシーを受信し、ポスチャ データ収集を実行し、結果をポリシーと比較し、評価結果をヘッドエンドに返します。エンドポイントがコンプライアンス対応かどうかを実際には ISE が判断する場合でも、ISE はエンドポイント独自のポリシー評価を利用します。

一方、Secure Firewall ポスチャ はサーバ側評価を実行します。Cisco Secure Firewall ASA がエンドポイント属性(オペレーティング システム、IP アドレス、レジストリエントリ、ローカル証明書、ファイル名など)のリストのみを要求し、これらが Secure Firewall ポスチャ によって返されます。ポリシーの評価結果に基づいて、どのホストがセキュリティ アプライアンスへのリモート アクセス接続を確立できるかを制御できます。


(注)  

Secure Firewall ポスチャ と ISE のポスチャエージェントの併用はサポートされていません。2 つの異なるポスチャエージェントを実行すると、予期しない結果が発生します。

次のポスチャチェックは、Secure Firewall ポスチャ ではサポートされていますが、ISE ポスチャではサポートされていません。ホスト名、IP アドレス、MAC アドレス、ポート番号、OPSWAT バージョン、BIOS シリアル番号、および証明書フィールド属性です。

ISE ポスチャ モジュールの提供内容

ポスチャ チェック

ISE ポスチャ モジュールはポスチャ チェックの実行に OPSWAT v3 または v4 ライブラリを使用します。初回のポスチャ チェックでは、すべての必須要件への一致に失敗したエンドポイントがすべて非準拠と見なされます。その他のエンドポイントの許可ステータスは、ポスチャ不明または準拠(必須要件に合致)です。


(注)  

macOS 64 ビットの移行では、Cisco Secure Client ISE ポスチャモジュールは古い OPSWAT v3 準拠モジュールと互換性がありません。

ポスチャチェックフェーズでエラーが発生し、Cisco Secure Client が続行可能な場合、ユーザーに通知されますが、可能な場合はポスチャのチェックが続行されます。必須のポスチャ チェック中にエラーが発生した場合、チェックは失敗とマークされます。ネットワーク アクセスは、すべての必須要件が満たされている場合に許可されます。そうでない場合、ユーザーはポスチャ プロセスをリスタートできます。

必要な修復

修復ウィンドウはバックグラウンドで実行されるため、ネットワーク アクティビティのアップデートはポップアップ表示されず、干渉や中断は発生しません。Cisco Secure Client UI の ISE ポスチャタイル部分で [詳細(Details)] をクリックして、検出された内容およびネットワークに参加する前に必要なアップデート内容を確認できます。必須の手動修復が存在する場合、修復ウィンドウが開き、対処が必要な項目が表示されます。この ISE ポスチャ のウィンドウに、アップデートの進捗状況、割り当てられたアップデート時間の残り時間、すべての要件のステータス、およびシステムの準拠状態が表示されます。


(注)  

昇格された権限を必要とするアプリケーションは、管理者以外のユーザ アカウントでのみ自動修復を使用します。管理者アカウントでは、修復を手動で実行する必要があります。

(注)  

昇格権限を必要とするポスチャ チェックおよび修復は、サーバが信頼されている場合にのみ実行されます。

オプションのアップデートのみが残っている場合、[スキップ(Skip)] を選択して次の更新に進むことも、[すべてスキップ(Skip All)] を選択して残りの修復をすべて無視することも可能です。時間を節約するためにオプションの修復をスキップしても、ネットワーク アクセスは維持されます。

修復後(または修復が必要でない場合は要件チェック後)、アクセプタブル ユース ポリシーの通知を受け取る場合があります。この場合、ネットワーク アクセスのポリシーに同意する必要があり、同意しなかった場合はアクセスが制限されます。修復のこの部分では、Cisco Secure Client UI のポスチャ タイル部分に、「ISE ポスチャ:ネットワークのアクセプタブル ユース ポリシー(System Scan: Network Acceptable Use Policy)」と表示されます。

修復が完了すると、必須アップデートとしてリストされたチェック項目がすべて [完了(Done)] ステータスとなり、緑色のチェックボックスが表示されます。修復後、エージェントは ISE にポスチャ結果を送信します。

パッチ管理チェックと修復

Cisco Secure Client および Microsoft System Center Configuration Manager(SCCM)の統合により、パッチ管理チェックとパッチ管理修復が導入されました。エンドポイントで欠落している重要なパッチのステータスをチェックし、ソフトウェア パッチをトリガーするべきかどうか確認します。重要なパッチが Windows エンドポイントで欠落していない場合は、パッチ管理チェックは合格です。パッチ管理修復は、管理者レベルのユーザのみに対して、1 つ以上の重要なパッチが Windows エンドポイントで欠落しているときにのみトリガーされます。

SCCM クライアントで、再起動前にインストールが行われるパッチをインストールすると、マシンが再起動するとすぐに、パッチのインストール ステータス(インストール完了または未インストール)がレポートされます。ただし、SCCM クライアントで、再起動にインストールが開始されるパッチをインストールすると、パッチのステータスはすぐにはレポートされません。

Cisco Secure Client コンプライアンスモジュールは、この時点で SCCM クライアントにステータスの提供を強制できません。ポスチャ モジュール クライアントがネイティブ API 要求を完了するためにかかる時間は、さまざまな動的 OS パラメータ(CPU 負荷、保留中のパッチの量、パッチ インストール後の再起動なしなど)と、ネットワークの要因(ポスチャ モジュール クライアントとサーバ間の接続と遅延)に依存します。SCCM クライアントが応答するまで待機する必要があるかもしれませんが、既知のパッチによる一部のテスト結果は約 10 分でした。

同様の動作は、Windows Server Update Services(WSUS)の検索 API でも見られ、応答時間は長めで、20 ~ 30 分かかることもあります。Windows アップデートは、Windows OS だけでなく、すべてのマイクロソフト製品(Microsoft Office など)についてパッチの不足がないかチェックします。WSUS の状態と修復に使用される API は信頼性が低く、予期しない動作が発生する可能性があります。Windows プラットフォームでのパッチの検証には、代わりにパッチ管理の状態と修復を使用することをお勧めします。

ISE のポリシー状態の設定方法については「Policy Conditions」を参照してください。またパッチ管理修復の詳細については「Patch Management Remediation」を参照してください。

エンドポイント コンプライアンスの再評価

エンドポイントがコンプライアンス対応と見なされ、ネットワーク アクセスが許可されると、管理者が設定した制御に基づいてエンドポイントを任意で定期的に再評価できます。パッシブ再評価ポスチャ チェックは、初期のポスチャ チェックとは異なります。失敗した場合、ユーザには修復するオプションが与えられます(管理者がそのように設定していた場合)。この構成設定では、1 つ以上の必須要件が満たされていない場合でも、ユーザが信頼ネットワーク アクセスを維持するかどうかを制御します。初期のポスチャ評価では、すべての必須要件が満たされていないと、エンドポイントはコンプライアンス非対応と見なされます。この機能はデフォルトでは無効であり、ユーザ ロールに対して有効になっている場合、ポスチャは 1 ~ 24 時間ごとに再評価されます。

管理者は、結果を [続行(Continue)]、[ログオフ(Logoff)]、または [修復(Remediate)] に設定し、適用や猶予時間など他のオプションを設定できます。

ISE の UI を使用すると、Secure Firewall ポスチャ プロファイルに表示される情報メッセージを作成できます。ボタンのテキストとリンクは、カスタマイズも可能です。

非準拠デバイスの猶予期間

Cisco ISE の UI で猶予期間を設定することができます。これを設定すると、以前のポスチャ ステータスでは準拠していたが準拠しなくなったエンドポイントに、ネットワークへのアクセスを許可できるようになります。Cisco ISE は、以前に認識された良好な状態をキャッシュ内で探し、デバイスに猶予時間を提供します。猶予期間が終了すると、Cisco Secure Client は再度ポスチャチェックを行いますが、今回は修復を行いません。チェックの結果に基づいてエンドポイントの状態を準拠または非準拠と判断します。


(注)  
デバイスが猶予期間にあるがポスチャ ポリシーで更新されると、次のようになります。

  • (猶予期間が延長された場合)、以前の猶予期間が経過するか、またはデバイスが Cisco ISE から削除されたときに、新しい猶予期間が適用されます。

  • (猶予期間が短縮された場合)、デバイスが再びポスチャ フロー プロセスを通過した場合にのみ、新しい猶予期間がデバイスに適用されます。

猶予期間は、一時的なエージェント、ハードウェアのインベントリ、アプリケーションのモニタリングには適用されません。

ユーザが猶予期間にいる場合は、定期的な再評価(PRA)は適用されません。

(それぞれ異なる猶予期間を設定した)複数のポスチャ ポリシーにデバイスが一致する場合、それらの異なるポリシーで設定された最大の猶予期間がデバイスに与えられます。

デバイスが猶予期間に移行すると、アクセプタブル ユース ポリシー(AUP)は表示されません。

猶予期間は、ISE UI で [ポリシー(Policy)] > [ポスチャ(Posture)] または [ワークセンター(Work Centers)] > [ポスチャ(Posture)] > [ポスチャポリシー(Posture Policy)] の順に移動して、Secure Firewall ポスチャ プロファイルに設定します。有効な値は、日、時間、または分単位で指定します。デフォルトでは、この設定は無効です。

柔軟な通知

猶予期間の特定の割合が経過するまでカスタム通知ウィンドウの表示を遅らせるには、遅延通知のオプションを使用します。たとえば、ISE UI の [遅延の通知(Delay Notification)] フィールドが 50 % に設定され、設定されている猶予期間が 10 分の場合、ISE ポスチャは 5 分後にエンドポイントを再スキャンし、エンドポイントに違反があると検出した場合は通知ウィンドウを表示します。エンドポイントのステータスが準拠している場合、通知ウィンドウは表示されません。通知遅延期間が 0 % に設定されている場合は、猶予期間の開始時に直ちに問題の解決を促すメッセージが表示されます。エンドポイントは、猶予期間の有効期限が切れるまで、アクセスが許可されます。

カスタム通知が ISE UI で設定されている場合にのみ、エンドポイントが準拠していないと Cisco Secure Client UI に警告が表示されます。通知は、猶予期間の開始および猶予期間の開始後に準拠していないエンドポイントに対しても示されます。Cisco Secure Client ISE ポスチャ タイルにはすべてのポスチャ障害が強調表示され、[再度スキャン(Scan Again)] ボタンを押すと、ポスチャポリシーの再実行を強制して完全なネットワークアクセスを維持できます。

(注)  

[再度スキャン(Scan Again)] オプションが表示されるようにするには、[再スキャンボタンを有効にする(Enable Rescan Button)] オプションを [有効(Enabled)] に設定する必要があります。

修復フローでは、問題を解決するまで基本的にアクセスがブロックされます。一時的なアクセスは、使用可能ではありません。猶予期間フローでは、遅延アクセスの取得により、問題を解決するための猶予期間が提供されます。柔軟な通知フローの [ブラウザを起動(Launch Browser)] オプションをクリックすると、サーバーが信頼できる場合は、ブラウザを起動することができます。ブラウザ オプションでは、ポスチャ ポリシーへの準拠に関する詳細を取得できます。

複数の接続と自動化を目的としたポスチャ CLI

ISE ポスチャ CLI は、Cisco Secure Client の一部として事前展開または Web 展開用に ISE ポスチャモジュールが選択されている場合にのみ、Windows にインストールされ、使用できます。ISE ポスチャのインストーラの展開に関する詳細は、事前展開と Web 展開向けの Cisco Secure Client モジュール実行可能ファイルを参照してください。ポスチャ CLI を使用すると、ポスチャサブシステムに複数のクライアントを接続でき、1 つのクライアントと 1 つのサーバーだけで通信するのではなく、UI プロセスがサポートできるすべての接続されたクライアントプロセスにデータを送信することができます。

ポスチャ CLI を実行するには、Cisco Security Client がインストールされている場所に移動し、posturecli.exe を実行します。デフォルトでは、パスは C:\Program Files(x86)\Cisco\Cisco Secure Client\ です。使用可能なコマンドとその結果を以下に示します。コマンドが実行されると、Secure Client GUI の ISE ポスチャタイルも変化し、さまざまなステータスを示します。ISE ポスチャタイルの更新に関する詳細は、ISE ポスチャのステータスを参照してください。

ポスチャスキャンの開始

[ISE ポスチャ(ISE Posture)] > プロンプトで、rescan と入力します。ポスチャスキャンが開始されます。

ポリシーサーバーの状態の確認

[ISE ポスチャ(ISE Posture)] > プロンプトで、state と入力します。ポリシーサーバーの状態が表示されます。

ISE ポスチャモジュールの統計情報の取得

[ISE ポスチャ(ISE Posture)] > プロンプトで、stats と入力します。次の統計情報が返されます。

  • [現在のステータス(Current Status)]:エンドポイントが ISE ヘッドエンドポリシーに準拠しているかどうかに基づいて、クライアントデバイスを準拠または非準拠として定義します。

  • [ポリシーサーバー(Policy Server)]:ポリシーサーバーの IP アドレスまたは名前を示します。

  • [スキャン開始時刻(Scan Start Time)]:最新のスキャン開始時刻を示します。

  • [コンプライアンスモジュールのバージョン(Compliance Module Version)]:コンプライアンスモジュールのバージョンを示します。

セキュリティ製品の確認

[ISE ポスチャ(ISE Posture)] > プロンプトで、showproducts と入力します。このコマンドは、クライアント用に存在するセキュリティ製品を示します。

スキャン結果の概要の取得

[ISE ポスチャ(ISE Posture)] > プロンプトで、showreport と入力します。このコマンドは、ポスチャスキャン結果の概要を提供します。

コンプライアンスモジュールのバージョンの取得

[ISE ポスチャ(ISE Posture)] > プロンプトで、showcmversion と入力します。このコマンドは、コンプライアンスモジュールのバージョンを提供します。

CLI インターフェイスの接続解除

[ISE ポスチャ(ISE Posture)] > プロンプトで、exit と入力します。このコマンドは、CLI インターフェイスの接続を切断します。既存のポスチャセッションはアクティブのままです。

ISE ポスチャ CLI コマンドに関するヘルプの表示

[ISE ポスチャ(ISE Posture)] > プロンプトで、CLI コマンドに関するヘルプを得るために help と入力します。特定のコマンドのヘルプを表示するには、help <command> を入力します。

シスコ テンポラル エージェント

シスコ テンポラル エージェントは、ユーザーが信頼ネットワークにアクセスしているときにコンプライアンス ステータスを共有できるように、Windows または macOS 環境向けに設計されています。シスコ テンポラル エージェントの設定は、ISE UI で行います。シスコ テンポラル エージェントの実行ファイル .exe(Windows 用)または dmg(macOS 用)は、エンドポイントがインターネットへのアクセスを試行するたび、エンドポイントにダウンロードされます。ユーザは、ダウンロードした実行ファイルまたは dmg を実行し、コンプライアンス チェックを行う必要があります。これには、管理者権限は不要です。

UI が自動的に起動し、エンドポイントのコンプライアンスに問題がないか判断するチェックを開始します。コンプライアンス チェックが完了すると、ISE は、ISE UI でのポリシーの設定方法に基づいて必要なアクションを取れるようになります。

Windows では、実行ファイルは自己解凍されます。この解凍により、コンプライアンス チェックに必要なすべての dll およびその他のファイルが一時フォルダに保存されます。解凍されたファイルおよび実行ファイルは、コンプライアンス チェックの完了後、削除されます。ファイルおよび実行ファイルを完全に削除するには、ユーザーが UI を終了する必要があります。

ISE UI での詳細な設定手順については、『Cisco Identity Services Engine Administrator Guide』[英語] の「Cisco Temporal Agent Workflows」を参照してください。

シスコ テンポラル エージェントの制限事項

  • macOS では、VLAN 制御のポスチャ環境は、ルート権限がないと更新アダプタ(DHCP 更新)プロセスが実行されないため、テンポラル エージェントについてはサポートされていません。テンポラル エージェントはユーザー プロセスとしてのみ実行できます。ACL 制御のポスチャ環境は、エンドポイントの IP を更新する必要がないため、サポートされています。

  • 修復中にネットワーク インターフェイスが発生した場合、ユーザーは、現在の UI を終了して手順全体をやり直す必要があります。

  • macOS では、dmg ファイルは削除されません。

  • テンポラル エージェント インストーラは、起動後、エンドポイントでの実行中にブラウザの背後に隠れてしまうことがあります。テンポラル エージェント アプリケーションでのヘルス情報の収集を続行するには、エンドユーザーは、ブラウザを最小化する必要があります。この問題は、主に Windows 10 ユーザーで発生します。理由は、これらのクライアントでは、高いセキュリティ条件で実行されるサードパーティ アプリケーションを許容するため、UAC モードが「高」に設定されていることです。

  • エンドポイントでステルス モードが有効になっている場合は、テンポラル エージェントを使用できません。

  • 次の状態は、シスコ テンポラル エージェントではサポートされていません。

    • サービス状態(macOS):システム デーモンのチェック

    • サービス状態(macOS):デーモンまたはユーザー エージェントのチェック

    • PM:最新バージョンのチェック

    • PM:有効化チェック

    • DE:暗号化の場所に基づくチェック

オプション モードのポスチャ ポリシー拡張機能

必須の要件チェックの成否に関係なく、オプション モードで失敗した要件チェックの修復を実行できます。修復に関するメッセージは、Cisco Secure Client ISE ポスチャ UI に表示され、失敗の内容と必要な修復アクションを確認することが可能です。

  • オプションモードの手動修復:[ISE ポスチャのサマリー(System Scan Summary)] 画面には、条件が満たされない場合に修復が必要な可能性がある、オプションモードのステータスが表示されます。[開始(Start)] を手動でクリックして修復するか、[スキップ(Skip)] をクリックします。これらはオプションの要件にすぎないため、修復が失敗しても、エンドポイントはコンプライアンス対応です。[ISE ポスチャのサマリー(System Scan Summary)] に、スキップされたのか、失敗したのか、成功したのかが表示されます。

  • オプション モードの自動修復:オプションのアップデートの適用時、[ISE ポスチャ(System Scan)] タイルの表示内容を監視できます。修復は自動的に実行されるため、修復を開始するか確認されません。いずれかの自動修復が失敗すると、修復を試行できなかったというメッセージが表示されます。さらに、必要に応じて、修復アクションをスキップできます。

ハードウェア インベントリの可視性

ISE UI の [コンテキストの可視性(Context Visibility)] の下に、[エンドポイント(Endpoints)] > [ハードウェア(Hardware)] タブが追加されました。これは、エンドポイント ハードウェアの情報を短時間で収集、分析、および報告するのに役立ちます。メモリ容量が小さいエンドポイントの検出や、エンドポイントの BIOS モデル/バージョンの検出など、情報を収集することができます。検出結果に基づいて、メモリ容量を増やしたり、BIOS のバージョンをアップグレードしたり、資産の購入を計画する前に要件を評価したりすることができます。[メーカー使用状況(Manufacturers Utilization)] ダッシュレットには、Windows または macOS のエンドポイントのハードウェア インベントリの詳細が表示されます。[エンドポイント使用状況(Endpoint Utilizations)] ダッシュレットには、エンドポイントの CPU、メモリ、およびディスクの使用状況が表示されます。詳細については、『Cisco Identity Services Engine Administrator Guide』[英語] の「The Hardware Tab」を参照してください。

ステルス モード

管理者は、Cisco Secure Client UI タイルをエンドユーザークライアントに対して非表示にしている間に、ISE ポスチャを設定できます。ポップアップは表示されないので、ユーザーによる設定を必要とするどのシナリオでも、デフォルトのアクションが実行されます。この機能は、Windows および macOS オペレーティングシステムで使用できます。

Cisco Identity Services Engine Administrator Guide』[英語] の「Configure Posture Policies」の項を参照してください。ここでは、クライアントレス状態を無効または有効にしてステルス モードを設定します。

ISE UI では、エンド ユーザーにエラー通知が表示されるようにステルス モードで通知を有効にするよう設定できます。

ISE ポスチャ プロファイル エディタ でプロファイルをマッピングし、Cisco Secure Client 設定を ISE の [クライアント プロビジョニング(Client Provisioning)] ページにマッピングすると、Cisco Secure Client は、ポスチャプロファイルを読み込んで目的のモードに設定し、最初のポスチャ要求中に選択されたモードに関する情報を ISE に送信できます。モードと、ID グループ、OS、コンプライアンス モジュールなどのその他の要因に基づいて、Cisco ISE は適切なポリシーをマッチングします。

Cisco Identity Services Engine Administrator Guide』[英語] でステルス モードの展開とその影響について参照してください。

ISE ポスチャでは、ステルス モードで次の機能を設定することはできません。

  • すべての手動修復

  • リンク修復

  • ファイル修復

  • WSUS 表示 UI 修復

  • アクティブ化 GUI 修復

  • AUP ポリシー

ポスチャ ポリシーの適用

エンドポイントにインストールされているソフトウェアの全体的な可視性を改善するために、シスコは次のポスチャ拡張機能を提供しました。

  • エンドポイントのファイアウォール製品の状態をチェックして、その製品が実行されているかどうか確認できます。必要に応じて、ファイアウォールを有効にし、最初のポスチャ中や定期的な再評価(PRA)中にポリシーを適用できます。設定するには、『Cisco Identity Services Engine Configuration Guide』[英語] の「Firewall Condition Settings」の項を参照してください。

  • 同様に、エンドポイントにインストールされているアプリケーションのクエリを実行できます。不要なアプリケーションが実行中またはインストールされている場合は、アプリケーションを停止するか、不要なアプリケーションをアンインストールできます。設定するには、ISE UI で、『Cisco Identity Services Engine Configuration Guide』[英語] の「Application Remediation」の項を参照してください。

UDID 統合

Cisco Secure Client は、デバイスにインストールされていると、Cisco Secure Client のすべてのモジュール間で共有される独自の一意の ID(UDID)を持ちます。この UDID は、エンドポイントの ID であり、エンドポイント属性として保存されるため、MAC アドレスではなく特定のエンドポイントでのポスチャ制御が保証されます。その後は、UDID に基づいてエンドポイントをクエリすることができます。UDID は定数で、エンドポイントの状況(接続、アップグレード、アンインストールなど)に関係なく変化しません。ISE UI の [コンテキスト表示(Context Visibility)] ページ([コンテキスト表示(Context Visibility)] > [エンドポイント(Endpoints)] > [コンプライアンス(Compliance)])は、複数の NIC を持つエンドポイントについて、複数のエントリではなく 1 つのエントリを表示できます。

アプリケーション監視

ポスチャ クライアントは、動的な変化を監視し、ポリシー サーバに報告できるように、さまざまなエンドポイント属性を継続的に監視できます。ポスチャポリシーの設定に応じて、インストールされるアプリケーションや、アプリケーションが実行するスパイウェア対策、ウイルス対策、アンチマルウェア、ファイアウォールなどのさまざまな属性を監視できます。アプリケーションの条件設定の詳細については、『Cisco Identity Services Engine Administrator Guide』[英語] の「Continuous Endpoint Attribute Monitoring」の項を参照してください。

USB ストレージ デバイス検出

USB 大容量ストレージ デバイスを Windows エンド ポイントに接続すると、ポスチャ クライアントはそのデバイスを検出し、ポスチャ ポリシー ブロックに応じて、デバイスをブロックしたり許可したりすることができます。エージェントは USB 検出を使用して、同じ ISE 制御ネットワークにある限り、継続的にエンドポイントをモニタします。この期間内に、条件に一致する USB デバイスを接続した場合、指定した修復アクションが実行されます。インシデントは、ポリシー サーバにも報告されます。

USB ストレージ検出は、OPSWAT v4 コンプライアンス モジュールに依存しています。[ワーク センター(Work Centers)] > [ポスチャ(Posture)] > [ポリシー要素(Policy Elements)] > [USB] で、ISE UI の定期再評価ポリシー(PRA)の USB チェックを設定する必要があります。


(注)  

チェックと修復は順番に実行されるため、その他のチェックの PRA 猶予時間を最小限の値に設定することによって、USB チェックの処理での遅延を防止できます。猶予時間は、[ワーク センター(Work Centers)] > [ポスチャ(Posture)] > [設定(Settings)] > [再評価設定(Reassessment Config)] の ISE UI で設定されます。

ISE UI で USB ストレージの検出を設定する手順については、「USB Mass Storage Check Workflow」を参照してください。

自動コンプライアンス

ポスチャ リースにより、ISE サーバは、ポスチャを完全にスキップし、簡単にシステムを準拠状態にすることができます。この機能により、ユーザは、自分のシステムが最近ポスチャされている場合に、ネットワーク間の切り替えによる遅延を感じることがありません。ISE ポスチャ エージェントは、単に、ISE サーバが検出されたすぐ後に、システムが準拠しているかどうかを示すステータス メッセージを UI に送信します。ISE の UI([設定(Settings)] > [ポスチャ(Posture)] > [一般設定(General Settings)])で、最初のコンプライアンス チェックの後にエンドポイントがポスチャ準拠と見なされる時間を指定できます。ユーザがある通信インターフェイスから別の通信インターフェイスに切り替えた場合でも、コンプライアンス ステータスは維持されることが予期されています。


(注)  
ポスチャ リースでは、ISE でセッションが有効な場合に、エンドポイントがポスチャ不明状態から準拠状態に移行することが予期されます。

VLAN のモニタリングと遷移

サイトによっては、異なる VLAN またはサブネットを使用して、企業グループおよびアクセス レベル用にネットワークを分割しています。ISE からの認可変更(CoA)では、VLAN の変更を指定します。変更は、セッション終了など管理者のアクションによって発生することもあります。有線接続中の VLAN 変更をサポートするには、ISE ポスチャ プロファイルに次の設定を行います。

  • [VLAN 検出間隔(VLAN Detection Interval)]:エージェントが VLAN の遷移を検出する頻度およびモニタリングを無効にするかどうかを決定します。VLAN モニタリングは、この間隔が 0 以外の値に設定されている場合に有効になります。macOS の場合は、この値を 5 以上に設定します。

    VLAN モニタリングは Windows と macOS の両方に実装されていますが、macOS では予期しない VLAN 変更を検出するためにのみ必要です。VPN が接続される場合、または acise(メインの Cisco Secure Client ISE プロセス)が実行されていない場合は、自動的に無効になります。有効な値の範囲は 0 ~ 900 秒です。

  • [エージェント IP 更新の有効化(Enable Agent IP Refresh)]:オフにすると、ISE はエージェントに [ネットワーク遷移遅延(Network Transition Delay)] 値を送信します。オンにすると、ISE はエージェントに DHCP リリースおよび更新の値を送信し、エージェントは IP 更新を行って最新の IP アドレスを取得します。

  • [DHCP リリース遅延(DHCP release delay)] と [DHCP 更新遅延(DHCP renew delay)]:IP 更新および [エージェント IP 更新の有効化(Enable Agent IP Refresh)] 設定との相関で使用されます。[エージェント IP 更新の有効化(Enable Agent IP Refresh)] チェックボックスをオンにし、この値が 0 でない場合、エージェントはリリース遅延秒数を待機し、IP アドレスを更新し、更新遅延秒数を待機します。VPN が接続されている場合、IP 更新は自動的に無効になります。4 連続でプローブがドロップされると、DHCP 更新がトリガーされます。

  • [ネットワーク遷移遅延(Network Transition Delay)]:([エージェント IP 更新の有効化(Enable Agent IP Refresh)] チェックボックスで)VLAN モニタリングがエージェントによって無効または有効にされた場合に使用されます。この遅延により、VLAN が使用されていない場合にはバッファが追加され、サーバからの正確なステータスを待機する十分な時間がエージェントに与えられます。ISE はエージェントにこの値を送信します。また、ISE UI のグローバル設定に [ネットワーク遷移遅延(Network Transition Delay)] 値を設定した場合、ISE ポスチャ プロファイル エディタの値でその値が上書きされます。


(注)  

Cisco Secure Firewall ASA は VLAN 変更をサポートしないため、クライアントが Cisco Secure Firewall ASA を介して ISE に接続されているときには、これらの設定は適用されません。

トラブルシューティング

ポスチャの完了後にエンドポイント デバイスがネットワークにアクセスできない場合は、次の点を確認してください。

  • VLAN 変更は ISE UI で設定されていますか。

    • 設定されている場合、DHCP リリース遅延および更新遅延がプロファイルに設定されていますか。

    • どちらの設定も 0 の場合、[ネットワーク遷移遅延(Network Transition Delay)] がプロファイルに設定されていますか。

Cisco Secure Client ISE フローを中断する操作

さまざまな理由から、Cisco Secure Client ISE ポスチャフローは最初のポスチャ再アセスメントまたはパッシブ再アセスメント中に中断されることがあります。

  • ユーザーが Cisco Secure Client ISE をキャンセルする:ポスチャのチェックと修復の期間に、ユーザーは Cisco Secure Client ISE をキャンセルできます。UI にはキャンセルが進行中であることがただちに通知されますが、これはエンドポイントを問題のある状態にすることを回避するときにだけ発生します。サードパーティ ソフトウェアを使用している場合、キャンセル操作によってはリブートが必要な場合があります。キャンセル後、Cisco Secure Client UI の ISE ポスチャタイル部分には、準拠状態が示されます。
  • 修復タイマーが期限切れになる:ポスチャ要件を満たすための管理者制御時間が終了しました。アセスメント レポートがヘッドエンドに送信されます。パッシブ再アセスメント時には、ユーザーはネットワーク アクセスを保持し、ポスチャ アセスメントでは、必須要件すべてが満たされた場合にネットワーク アクセスが許可されます。
  • ポスチャチェック中のエラー:ポスチャチェックフェーズでエラーが発生し、Cisco Secure Client が続行可能な場合、ユーザーに通知されますが、可能な場合はポスチャのチェックが続行されます。必須のポスチャ チェック中にエラーが発生した場合、チェックは失敗とマークされます。ネットワーク アクセスは、すべての必須要件が満たされている場合に許可されます。そうでない場合、ユーザーはポスチャ プロセスをリスタートできます。
  • 修復中のエラー:修復フェーズでエラーが発生し、Cisco Secure Client ISE ポスチャが続行可能な場合は、ユーザーに通知されます。失敗した修復ステップが必須のポスチャ要件と関連付けられている場合、Cisco Secure Client ISE ポスチャは修復プロセスを停止します。失敗した修正ステップがオプションのポスチャの要件に関連付けられている場合は、次のステップに進んで ISE ポスチャ操作を終了しようとします。ネットワーク アクセスは、すべての必須要件が満たされている場合に許可されます。そうでない場合、ユーザーはポスチャ プロセスをリスタートできます。
  • デフォルト ゲートウェイの変更:デフォルト ゲートウェイに対する変更により、ユーザーが信頼ネットワークへのアクセスを失う場合があります。これにより、ISE ポスチャは ISE の再検出を試みます。Cisco Secure Client UI の ISE ポスチャタイル部分では、再検出モードに入ると ISE ポスチャのステータスが表示されます。
  • Cisco Secure Client と ISE 間の接続の喪失:エンドポイントが準拠状態と見なされてネットワークアクセスが許可された後に、さまざまなネットワークシナリオが発生する可能性があります。エンドポイントがネットワーク接続を完全に失う場合があります。ISE がダウンする場合があります。ISE ポスチャが失敗する場合があります(セッションタイムアウト、手動リスタートなどによる)。Cisco Secure Firewall ASA の背後の ISE が VPN トンネルを喪失する場合があります。

  • ISE ポスチャを使用している場合、1 つの macOS エンドポイントに複数のコンソール ユーザーをログインさせることはできません。

  • 初期化およびポスチャアセスメントフローの遅延(macOS のみ):コンプライアンス モジュール ライブラリの署名検証で障害が発生しないように、ポスチャ前フェーズでサブネットを許可することをお勧めします。

ISE ポスチャのステータス

Cisco Secure Client ISE ポスチャが機能し、想定どおりにネットワーク アクセスをブロックしている場合に、Cisco Secure Client UI の [ISE ポスチャ(ISE Posture)] タイルに [ISE ポスチャ:ポリシーサーバーを検索しています(System Scan: Searching for policy server)] と表示されます。Windows タスクマネージャまたは macOS システムログには、プロセスが実行中であると示される場合があります。サービスが実行されていない場合は、ISE ポスチャ UI の [ISE ポスチャ(ISE Posture)] タイルに [ISE ポスチャ:サービスは使用できません(System Scan: Service is unavailable)] と表示されます。

ネットワークを変更すると、検出フェーズが開始されます。Cisco Secure Client ISE ポスチャの場合、プライマリインターフェイスのデフォルトルートが変更された場合、エージェントが検出プロセスに戻ります。たとえば、WiFi およびプライマリ LAN が接続された場合、エージェントは検出をリスタートします。同様に、WiFi およびプライマリ LAN が接続されたものの、その後、WiFi の接続が解除された場合、エージェントは検出をリスタートしません。

また、「ISE ポスチャ」後、Cisco Secure Client UI の [ISE ポスチャ(ISE Posture)] タイルに次のステータスメッセージが表示される場合があります。

  • [コンプライアンスモジュールのロードに失敗しました(Failed to load compliance module)]:コンプライアンスモジュールがロードされていない状態で、[ISE ポスチャ(ISE Posture)] > CLI プロンプトで state を入力すると返されます。

  • [限定的または接続なし(Limited or no connectivity)]:接続がないため検出は発生していません。Cisco Secure Client ISE ポスチャエージェントは、ネットワーク上の不正なエンドポイントで検出を実行している可能性があります。

  • [システムスキャンは現在の WiFi では不要(System scan not required on current WiFi)]:セキュアでない WiFi が検出されたため検出は発生していません。Cisco Secure Client ISE ポスチャエージェントは、LAN、ワイヤレス(802.1X 認証が使用されている場合)、および VPN でのみ検出を開始します。WiFi がセキュアでないか、またはエージェントプロファイルで OperateOnNonDot1XWireless を 1 に設定してこの機能を無効にしています。

  • [不正なポリシー サーバ(Unauthorized policy server)]:ネットワーク アクセスが制限されているか存在しないため、ホストが ISE ネットワークのサーバ名ルールに一致していません。

  • [Cisco Secure Client ダウンローダーが更新を実行しています…(The AnyConnect Downloader is performing update...)]:ダウンローダーが呼び出され、パッケージバージョンを比較し、Cisco Secure Client 設定をダウンロードし、必要なアップグレードを行います。

  • [システムをスキャンしています...(Scanning System...)]:ウイルス対策/スパイウェア対策のセキュリティ製品のスキャンが開始されました。このプロセス中にネットワークが変更された場合、エージェントはログ ファイルの生成プロセスをリサイクルし、ステータスは [検出されたポリシー サーバなし(No policy server detected)] に戻ります。

  • [Cisco Secure Client スキャンのバイパス(Bypassing AnyConnect scan)]:ネットワークは、Cisco NAC Agent を使用するように設定されています。

  • [ユーザーによってキャンセルされた信頼できないポリシーサーバー(Untrusted Policy Server Cancelled by the user)]:Cisco Secure Client UI の [ISE ポスチャプリファレンス(System Scan Preferences)] タブで信頼できないサーバーへの接続のブロックを解除すると、ポップアップウィンドウに Cisco Secure Client ダウンローダーのセキュリティ警告が表示されます。この警告ページで [接続のキャンセル(Cancel Connection)] をクリックすると、[ISE ポスチャ(ISE Posture)] タイルがこのステータスに変わります。

    このメッセージは、[ISE ポスチャ(ISE Posture)] > CLI プロンプトで state を入力し、ポリシーサーバーが信頼できないと判断したときにも発生する可能性があります。

  • [ネットワークの利用規定(Network Acceptable Use Policy)]:ネットワークへのアクセスには、アクセプタブル ユース ポリシーを確認し、受け入れる必要があります。ポリシーを拒否すると、ネットワーク アクセスが制限される可能性があります。

  • [ネットワーク設定の更新(Updating Network Settings)]:ISE UI の [設定(Settings)] > [ポスチャ(Posture)] > [全般設定(General Settings)] では、ネットワーク遷移間で発生させる遅延の秒数を指定できます。

  • [コンプライアンス非対応。更新時間の期限が切れました。(Not Compliant. Update time expired.)]:修復のために設定された時間の期限が切れました。

  • [コンプライアンス対応。ネットワーク アクセスが許可されています。(Compliant. Network access allowed.)]:修復が完了しました。[Cisco Secure Client] > [スキャン概要(Scan Summary)] にも、ステータスが完了と示されます。

    このメッセージは、[ISE ポスチャ(ISE Posture)] > CLI プロンプトで state と入力し、ポリシーサーバーが信頼できると判断したときにも発生する可能性があります。

  • [検出されたポリシー サーバなし(No policy server detected)]:ISE ネットワークが見つかりません。30 秒後、エージェントによるプローブは低下します。デフォルトのネットワーク アクセスが有効になります。

スクリプト修復メッセージ

UI が制限されている Linux でスクリプトを実行している場合を除き、スクリプトの修復中に修復通知やユーザ通知のポップアップが表示されることがあります。スクリプトを正常に修復するには、AnyConnectLocalPolicy.xml にフィンガープリントが必要です。フィンガープリントを追加すると、スクリプト条件または修復が ISE で設定されているかどうかに関係なく、通常のポスチャフローでも検証されます。スクリプト修復に関する次のメッセージが表示される場合があります。

  • スクリプトに無効なハッシュがあるため、修復を試行できません:ダウンロードされたスクリプトのハッシュが一致しない場合、またはポリシー署名の検証に失敗した場合に、このメッセージが ISE ポスチャ の詳細に表示されます。

  • 実行しようとしているスクリプトはエラー終了します:スクリプトの終了コードがゼロ以外の場合、このメッセージが ISE ポスチャ の詳細に表示されます。Windows では、設定された実行ポリシーがスクリプトの実行を許可しない場合にも、このメッセージが表示されることがあります。

  • スクリプトがタイムアウトしたため、修復に失敗しました:スクリプトが修復タイマーの終了時間よりも長くかかると、このメッセージが ISE ポスチャ の詳細に表示されます。スクリプトが修復タイマーの残り時間内に終了しない場合、Cisco Secure Client はスクリプトを停止し、修復失敗とマークします。

  • 信頼できないサーバーに接続しているため、修復を実行できません:エンドポイントが信頼できない ISE サーバーに接続されている場合、このメッセージが Cisco Secure Client の詳細に表示されます。サーバー証明書が証明書ストアで信頼済みとマークされていないか、AnyConnectLocalPolicy.xml でフィンガープリントが設定されていません。ISE によって提示される証明書のフィンガープリントは、AnyConnectLocalPolicy.xml で設定されているフィンガープリントと一致する必要があります。

ポスチャ条件スクリプト

ポスチャ条件スクリプトを作成およびアップロードして、エンドポイントでポスチャチェックを実行できます。次のプラットフォームとスクリプトタイプがサポートされています。スクリプト条件を追加する設定の詳細については、『Cisco Identity Services Engine Administrator Guide』を参照してください。

  • Windows:PowerShell script (.ps1)

  • macOS:Shell script (.sh)

  • Linux:Shell script (.sh)

macOS および Linux で管理者/ルートとして実行するように設定された修復スクリプトは、個別のルート環境で起動されます。$HOME やユーザー固有の $PATH などのユーザーセッション環境変数は継承されません。そのため、スクリプトでは使用しないでください。

ポスチャとマルチホーミング

Cisco Secure Client ISE ポスチャモジュールは、マルチホーミングをサポートしていません。これは、そのようなシナリオの動作が定義されていないためです。たとえば、メディアが有線からワイヤレスに変更された後で有線に戻ると、エンドポイントが実際には有線接続でリダイレクトされている場合でも、ユーザーには ISE ポスチャモジュールに準拠したポスチャステータスが表示されることがあります。

エンドポイントの同時ユーザー

Cisco Secure Client ISE ポスチャは、複数のユーザーが同時にエンドポイントにログインしてネットワーク接続を共有した場合、個別のポスチャ評価をサポートしません。最初に Cisco Secure Client ISE ポスチャを実行したユーザーが正常にポスチャされ、エンドポイントに信頼ネットワークアクセスが許可されると、エンドポイントの他のすべてのユーザーがネットワークアクセスを継承します。これを防ぐため、管理者はエンドポイントに同時ユーザーを許可する機能を無効にできます。

ポスチャ モジュールのロギング

ISE ポスチャの場合、イベントはネイティブ オペレーティング システムのイベントログ(Windows イベントログビューアまたは macOS システムログ)に記録されます。

Secure Firewall ポスチャ の場合、エラーおよび警告は syslog(Windows 以外の場合)とイベントビューア(Windows の場合)に送信されます。使用可能なすべてのメッセージがログ ファイルに記録されます。

Secure Firewall ポスチャ モジュールコンポーネントは、オペレーティングシステム、特権レベル、および起動メカニズム(Web 起動または AnyConnect)に基づいて、ログに出力します。

  • libcsd.log:Secure Firewall ポスチャ API を使用する Cisco Secure Client スレッドによって作成されます。ログ レベル設定に応じて、このログにデバッグのエントリが入力されます。

  • cscan.log:スキャニング実行可能ファイル(cscan.exe)によって作成される、Secure Firewall ポスチャ のメインのログです。ログ レベル設定に応じて、このログにデバッグのエントリが入力されます。

ポスチャ モジュールのログ ファイルと場所

ISE ポスチャの場合、イベントはインストールされた Cisco Secure Client バージョンの独自のサブフォルダに含まれているため、Cisco Secure Client イベントの他の部分から容易に分離できます。各ビューアでは、キーワードの検索およびフィルタリングが可能です。Web Agent イベントは、標準のアプリケーション ログに書き込まれます。

トラブルシューティングのために、ISE ポスチャ要件ポリシーとアセスメント レポートがイベント ログではなく、エンドポイントの別の難解化されたファイルに記録されます。一部のログ ファイル サイズ(aciseposture など)は、管理者がプロファイルに設定できますが、UI ログ サイズは事前に定義されています。

プロセスが異常終了したときは、他の Cisco Secure Client モジュールと同じように、常にミニダンプファイルが生成されます。

Secure Firewall ポスチャ の場合、ファイルはユーザーのホームフォルダの次のディレクトリにあります。

  • (Windows 以外):.cisco/posture/log

  • (Windows):C:\Users\<user_name>\AppData\Local\Cisco Secure Firewall ポスチャ\log\cscan.log

ISE ポスチャ プロファイル エディタ

管理者は、ポスチャ プロファイルを作成し、ISE にアップロードするために、このスタンドアロン エディタを使用することを選択できます。それ以外の場合、組み込みのポスチャ プロファイル エディタが ISE UI の [ポリシー要素(Policy Elements)] に設定されます。Cisco Secure Client コンフィギュレーション エディタが ISE で起動すると、Cisco Secure Client ソフトウェアおよび関連するモジュール、プロファイル、OPSWAT、およびカスタマイズを備えた Cisco Secure Client 設定が作成されます。ISE ポスチャ用のスタンドアロン プロファイル エディタには、次のパラメータが含まれています。

  • エージェントの動作

    • [署名チェックの有効化(Enable signature check)]:オンにすると、エージェントによって実行される前に実行可能ファイルの署名チェックが有効になります。

    • [ログファイルサイズ(Log file size)]:コンプライアンスモジュールのログファイルの最大サイズ。有効な値は 5 ~ 200 MB です。

    • [修復タイマー(Remediation timer)]:コンプライアンス非対応とタグ付けされるまでにユーザが修復に割くことができる時間。有効な値は 1 ~ 300 分です。

    • [自動DARTカウント(Automated DART Count)]:障害シナリオ時に収集する自動 DART バンドルの数を決定します。

    • [エージェント ログ トレースの有効化(Enable agent log trace)]:エージェントでのデバッグ ログを有効にします。

    • [非 802.1X ワイヤレス ネットワークでの動作(Operate on non-802.1X wireless networks)]:オンにすると、エージェントは非 802.1X ワイヤレス ネットワークで動作できます。

    • [ポスチャ非ダイレクトフローを有効にする(Enable posture non-direction flow)]:オフにすると、ポスチャ非リダイレクトフローが無効になります。無効にする前に、すべての NAD がリダイレクトをサポートしていることを確認してください。

    • [ステルスモードを有効にする(Enable Stealth Mode)]:ユーザによる設定なしにポスチャをサービスとして実行できるステルスモードを有効にするかどうかを選択します。

    • [通知によるステルスを有効にする(Enable Stealth With Notification)]:ステルスモードの通知が有効に設定されている場合、エンドユーザーは、Cisco Secure Client ステルスモードが非準拠の状態にある、ネットワークアクセスが制限されている、到達不能なサーバーなどがあるなどの場合でも通知メッセージを受け取ります。

    • [EDRインターネットチェックの無効化(Disable EDR Internet Check)]:エンドポイントにプロキシが設定されている場合、定義チェックの失敗が確認されます。エンドポイントにプロキシが設定されていると、Cortex XDR などの EDR 製品がインターネットに到達できなくなります。インターネットチェックをバイパスし、リアルタイム転送プロトコルチェックとエンドポイントおよび Endpoint Detection and Response(EDR)製品の定義チェックをスキップするには、このチェックボックスをクリックして [はい(Yes)] に設定します。

    • [再スキャンボタンを有効にする(Enable Rescan Button)]:障害発生後、手動修復後、ポスチャの動作不能時(など)に、ポスチャ(またはディスカバリ)を再起動する場合は、このボタンを有効にして、ISE ポスチャ タイルに [再度スキャン(Scan Again)] の選択が表示されるようにします。このオプションは、ISE ポスチャ プロファイルで表示または非表示にできます。[再度スキャン(Scan Again)] をクリックすると、ディスカバリが起動し、ポスチャ フロー全体が開始されます。


      (注)  

      [再度スキャン(Scan Again)] がタイルに表示されるのは、ポスチャ プロファイルで EnableRescan タグを 1 に設定している場合だけです。0 に設定すると、[再度スキャン(Scan Again)] ボタンが表示されるのは、それが(このオプションよりも先に)表示されていた場合だけです。


      (注)  

      ISE 側でプロファイルの変更が発生すると、次回ディスカバリが起動されるときに、その変更が Cisco Secure Client タイルに反映されます。

    • [UACポップアップを無効にする(Disable UAC Popup)]:ポリシー検証中に Windows ユーザ アカウント制御(UAC)ポップアップが表示されるかどうかを決定します。デフォルト値(オフ)では、エンド ユーザは引き続き接続時に管理者権限を求められます。有効にすると、ポリシーの検証中に Windows ユーザ アカウント制御(UAC)プロンプトが表示されません。UAC プロンプトをオフにすることによって、Secure Firewall ポスチャ は「管理者として実行(Run as administrator)」ではなく、特権昇格のシステム プロセスを使用します。UAC プロンプトを無効にする前に、ユーザにローカル管理者権限があるデバイスでポスチャ ポリシーを検証します。

    • [バックオフタイマーの制限(Backoff Timer Limit)]:Cisco Secure Client が ISE 検出のプローブを送信する最長時間を入力します。プローブによりトラフィックが増えるため、ネットワークの負荷にならない値を選択してください。

    • [定期的なプローブ間隔(Periodic Probe Interval)]:バックオフタイマー制限を超えた後の検出プローブ間隔を指定します。Cisco Secure Client は、有効な ISE サーバーが見つかるまで、指定された間隔で定期的なプローブを継続的に送信します。デフォルトでは 30 分で、プローブは、初回プローブの完了後、30 分間隔で継続的に送信されます。値を 0 に設定すると、定期的なプローブがディセーブルになります。

    • [ポスチャ状態同期間隔(Posture State Synchronization Interval)]:定期的なプローブを無効にするには、0 を入力します。有効範囲は 0 ~ 300 秒です。

    • [ポスチャ状態同期プローブリスト(Posture State Synchronization Probe List)]:検出フェーズ中に、エージェントはプローブをバックアップリストに送信して、ISE サーバーを検索します。デフォルトは値なしです。すべてのパケット スイッチ ネットワークをバックアップサーバーとして使用します。

    • [CWA/BYODプローブの最大時間(Maximum time for CWA/BYOD probing)]:中央 Web 認証(CWA)または個人所有デバイスの持ち込み(BYOD)フローが設定されている場合、エージェントは最大でこの秒数までパケット スイッチ ネットワークをプローブし、エンドユーザーがフローを完了したかどうかを判断します。完了すると、エージェントはポスチャフローを開始します。

    • [CWA/BYODプローブの間隔(Interval of CWA/BYOD probing)]:中央 Web 認証(CWA)または個人所有デバイスの持ち込み(BYOD)フローが設定されている場合、エージェントは CWA/BYOD フローが完了するか、最大時間に達するまで、この秒数の間パケット スイッチ ネットワークをプローブします。

  • IP アドレスの変更

    最適なユーザ エクスペリエンスのため、次の値を推奨値に設定してください。

    • [VLAN検出間隔(VLAN detection interval)]:クライアント IP アドレスを更新する前にエージェントが VLAN 変更をチェックする間隔。有効な範囲は 0 ~ 900 秒で、推奨値は 5 秒です。0 に設定すると、VLAN 検出機能は無効になります。1 ~ 900 に設定すると、エージェントはインターネット制御メッセージプロトコル(ICMP)またはアドレス解決プロトコル(ARP)クエリを X 秒ごとに送信します。

    • [ping または ARP(Ping or ARP)]:IP アドレスの変更を検出する方法。ICMP を使用してポーリングする場合は Ping (0)、ARP を使用してポーリングする場合は Arp (1)、最初に ICMP を使用してポーリングする場合は Ping から Arp (2)、ICMP が失敗した場合は ARP の、いずれかの設定を選択します。デフォルトゲートウェイが ICMP パケットをブロックするように設定されている可能性があるため、ARP を使用してポーリングする設定を推奨します。

    • [ping の最大タイムアウト(Maximum timeout for ping)]:1 ~ 10 秒の ping タイムアウト。

    • [エージェント IP 更新の有効化(Enable agent IP refresh)]:VLAN 変更の検出を有効にする場合にオンにします。

    • [DHCP 更新遅延(DHCP renew delay)]:IP 更新後にエージェントが待機する秒数。[エージェント IP 更新の有効化(Enable Agent IP Refresh)] を有効にしたときに、この値を設定します。この値が 0 ではない場合、エージェントはこの予期される遷移中に IP を更新します。更新中に VPN が検出された場合、更新は無効です。有効な値は 0 ~ 60 秒で、推奨値は 5 秒です。この機能を無効にするには、パラメータを 0 に設定します。

    • [DHCP リリース遅延(DHCP release delay)]:エージェントによる IP 更新を遅延させる秒数。[エージェント IP 更新の有効化(Enable Agent IP Refresh)] を有効にしたときに、この値を設定します。この値が 0 ではない場合、エージェントはこの予期される遷移中に IP を更新します。更新中に VPN が検出された場合、更新は無効です。有効な値は 0 ~ 60 秒で、推奨値は 5 秒です。この機能を無効にするには、パラメータを 0 に設定します。

    • [ネットワーク遷移遅延(Network transition delay)]:計画された IP 変更を待機できるようにエージェントがネットワーク モニタリングを一時停止する期間(秒単位)。推奨値は 5 秒です。

  • ポスチャ プロトコル

    • [ディスカバリホスト(Discovery host)]:リダイレクトベースのネットワークでポリシーサービスノードのディスカバリに使用されます。IP または FQDN を使用して、ネットワーク アクセス デバイスがリダイレクトを実行できるサーバーを決定します。スタンドアロン プロファイル エディタでは、1 つのホストのみを入力します。

    • [サーバー名ルール(Server name rules)]:エージェントが接続できるサーバーを定義する、ワイルドカード対応のカンマで区切られた名前のリスト(example1.cisco.com、.cisco.com など)。

    • [Call Homeリスト(Call Home List)]:ロードバランシング、ルックアップのモニタリングとトラブルシューティングに使用する IP または FQDN、またはそのノードでデフォルトのポリシーサービスノード(PSN)にマップする DNS の FQDN(複数シナリオの場合)を入力します。これを設定すると、ルックアップのモニタリングとトラブルシューティングついての最初のプローブは Call Home に送信されます。リダイレクト ネットワークから非リダイレクト ネットワークに移行するときにこれを設定する必要があります。

    • [PRA 再送信時間(PRA retransmission time)]:パッシブ再評価の通信障害が発生した場合に、このエージェントが再試行する間隔を指定します。有効な値の範囲は 60 ~ 3600 秒です。

    • [再送信遅延(Retransmission Delay)]:HTTP タスク (GET または POST) の実行に失敗した後、再試行するまでの待機時間を秒単位で指定します。有効な範囲は 5 ~ 300 秒で、デフォルトは 60 です。整数値のみを受け入れます。

    • [再送信制限(Retransmission Limit)]:HTTP タスク(GET または POST)の実行に失敗した後に、メッセージに許可される再試行回数を指定します。有効な範囲は 0 ~ 10 で、デフォルト値は 4 です。整数値のみを受け入れます。

詳細パネル

Cisco Secure Client UI の [詳細(Advanced)] パネルは、コンポーネントの統計情報、ユーザープリファレンス、およびコンポーネント固有のその他の情報を表示するための各コンポーネントの領域です。Cisco Secure Client システムトレイで、[すべてのコンポーネントの詳細ウィンドウ(Advanced Window for all components)] アイコンをクリックすると、新しい [システムスキャン(System Scan)] セクションに次のタブが含まれます。


(注)  

macOS では、これらの統計情報、ユーザー設定、メッセージ履歴などは、[統計情報(Statistics)] ウィンドウの下に表示されます。プリファレンスは、[プリファレンス(Preferences)] ウィンドウに表示され、Windows のようなタブの向きではありません。

  • [プリファレンス(Preferences)]:信頼できないサーバーへの接続をブロックできます。ダウンローダーのプロセス中に、証明書が信頼できず ISE サーバーが未検証になると、「信頼できないサーバーをブロックしました(Untrusted Server Blocked)」というメッセージを受信します。ブロッキングを無効にすると、Cisco Secure Client は悪意がある可能性があるネットワークデバイスへの接続をブロックしなくなります。
  • [統計情報(Statistics)]:現在の ISE ポスチャステータス(準拠または非準拠)、OPSWAT のバージョン情報、アクセプタブル ユース ポリシーのステータス、ポスチャの最新の実行タイムスタンプ、不足要件、およびトラブルシューティングの目的で表示する必要があると判断されたその他の統計情報を提供します。

  • [セキュリティ製品(Security Products)]:システムにインストールされているマルウェア対策製品のリストにアクセスします。

  • [スキャンの概要(Scan Summary)]:管理者がユーザーに対して表示するように設定したポスチャ項目をユーザーが確認できるようにします。たとえば、設定されている場合、ユーザーはシステム上にポスチャされたすべての項目を表示したり、ポスチャ チェックに失敗して修復が必要な項目のみを表示したりすることができます。
  • [メッセージ履歴(Message History)]:コンポーネントについて、システムトレイに送信されたすべてのステータスメッセージの履歴を表示します。この履歴は、トラブルシューティングに役立ちます。

Secure Firewall ポスチャ モジュールが提供するもの

Secure Firewall ポスチャ

Secure Firewal ポスチャ(以前の HostScan) は、ユーザーが Cisco Secure Firewall ASA に接続した後、かつログインする前に、リモートデバイス上にインストールされるパッケージです。Secure Firewal ポスチャは、基本モジュール、Endpoint Assessment モジュール、および Advanced Endpoint Assessment モジュールで構成されています。Secure Firewall ポスチャは、モバイルデバイス(Android、iOS、Chrome、または UWP)ではサポートされていません。

基本的機能

Secure Firewall ポスチャ は自動的に Cisco Secure Client VPN クライアントセッションを確立しているリモートデバイスのオペレーティングシステムとサービスパックを識別します。

特定のプロセス、ファイル、およびレジストリキーについて、エンドポイントを検査するように Secure Firewall ポスチャ を設定することもできます。HostScan は、トンネルが完全に確立される前にこれらのすべての検査を実行し、この情報を Cisco Secure Firewall ASA に送信して、会社所有、個人用、および公共のコンピュータを識別します。この情報は、評価にも使用できます。


(注)  

ログイン前の評価および証明書情報の返送は実行できません。Secure Firewall ポスチャ は認証方式ではありません。接続しようとしているデバイスの内容を検証するチェックを実行するだけです。

また、Secure Firewall ポスチャ は、設定した DAP エンドポイント条件と照合して評価するために、次の追加の値を自動的に返します。

  • Microsoft Windows、macOS、および Linux オペレーティングシステム

  • Microsoft サポート技術情報(KB)番号

  • デバイス エンドポイント属性タイプ(ホスト名、MAC アドレス、BIOS シリアル番号、ポート番号(レガシー属性)、TCP/UDP ポート番号、プライバシー保護、およびエンドポイント アセスメント(OPSWAT)のバージョンなど)。


(注)  
Secure Firewall ポスチャ は Windows クライアントシステム上の Microsoft のソフトウェアアップデートに関するサービスリリース(GDR)の情報を収集します。サービス リリースには複数のホットフィックスが含まれます。サービス リリース エンドポイント属性は、ホット フィックスではなく、DAP ルールに使用されます。

エンドポイント アセスメント

エンドポイントアセスメントは、Secure Firewall ポスチャ の拡張機能であり、多くの種類のウイルス対策とスパイウェア対策のアプリケーション、関連する定義の更新、およびファイアウォールについて、リモートコンピュータを検査します。Cisco Secure Firewall ASA によって特定のダイナミック アクセス ポリシー(DAP)がセッションに割り当てられる前に、この機能を使用して要件を満たすようにエンドポイント条件を組み合わせることができます。

詳細については、適切なバージョンの『Cisco ASA Series VPN CLI or ASDM Configuration Guide』[英語] の「Dynamic Access Policies」の項を参照してください。

Advanced Endpoint Assessment:マルウェア対策およびファイアウォールの修復

Windows、macOS、および Linux のデスクトップでは、マルウェア対策およびパーソナル ファイアウォール保護のソフトウェアで別のアプリケーションが修復を開始することを許可している場合に、Advanced Endpoint Assessment は、それらのソフトウェアに関するさまざまな修復を開始しようとします。

マルウェア対策:Advanced Endpoint Assessment は、マルウェア対策ソフトウェアの以下のコンポーネントを修復しようとします。

  • ファイル システム保護の強制:マルウェア対策ソフトウェアが無効の場合に、Advanced Endpoint Assessment はこのコンポーネントを有効にします。

  • ウイルス定義更新の強制:Advanced Endpoint Assessment の設定で定義された日数の間、マルウェア対策定義が更新されなかった場合に、Advanced Endpoint Assessment はウイルス定義の更新を開始しようとします。

パーソナル ファイアウォール:Advanced Endpoint Assessment モジュールでは、ファイアウォールを有効または無効にすることができます。

Secure Firewall ポスチャ は、パーソナルファイアウォールを使用するアプリケーションとポートのブロックまたは許可をサポートしていません。


(注)  

すべてのパーソナル ファイアウォールがこの有効化の強制/無効化の強制機能をサポートしているわけではありません。

Secure Firewall ポスチャ 用のマルウェア対策アプリケーションの設定

Secure Firewall ポスチャ モジュールをインストールする前に、次の各アプリケーションについてセキュリティ例外を指定するように、マルウェア対策ソフトウェアを設定します。マルウェア対策アプリケーションは、これらのアプリケーションの動作を悪意があるものと誤って認識する場合があります。

  • cscan.exe

  • ciscod.exe

  • cstub.exe

ダイナミック アクセス ポリシーとの統合

Cisco Secure Firewall ASA では、Secure Firewall ポスチャ の機能がダイナミック アクセス ポリシー(DAP)に統合されます。設定に応じて、Cisco Secure Firewall ASA では、DAP 割り当ての条件として、オプションの AAA 属性値と組み合わせたエンドポイント属性値が 1 つ以上使用されます。DAP のエンドポイント属性でサポートされる Secure Firewall ポスチャ の機能には、OS 検出、ポリシー、基本結果、およびエンドポイントアセスメントがあります。

セッションに DAP を割り当てるために必要な条件を構成する属性を、単独で、または組み合わせて指定できます。DAP により、エンドポイント AAA 属性値に適したレベルでネットワーク アクセスが提供されます。設定したエンドポイント条件がすべて満たされたときに、ASA によって DAP が適用されます。

『Cisco ASA Series VPN CLI Configuration Guide』[英語] または『Cisco ASA Series VPN ASDM Configuration Guide』[英語] の「Configure Dynamic Access Policies」の項を参照してください。

DAP の BIOS シリアル番号

Secure Firewall ポスチャ は、ホストの BIOS シリアル番号を取得できます。ダイナミック アクセス ポリシー(DAP)を使用し、その BIOS シリアル番号に基づいて Cisco Secure Firewall ASA への VPN 接続を許可または拒否できます。

DAP エンドポイント属性としての BIOS の指定

Procedure

Step 1

ASDM にログインします。

Step 2

[設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ネットワーク(クライアント)アクセス(Network (Client) Access)] または [クライアントレスSSL VPNアクセス(Clientless SSL VPN Access)] > [ダイナミックアクセスポリシー(Dynamic Access Policies)] を選択します。

Step 3

[ダイナミック アクセス ポリシーの設定(Configure Dynamic Access Policies)] パネルで、[追加(Add)] または [編集(Edit)] をクリックして、BIOS を DAP エンドポイント属性として設定します。

Step 4

エンドポイント ID 表の右にある [追加(Add)] をクリックします。

Step 5

[エンドポイント属性タイプ(Endpoint Attribute Type)] フィールドで、[デバイス(Device)] を選択します。

Step 6

[BIOS シリアル番号(BIOS Serial Number)] チェックボックスをオンにし、[=] (等しい)または [!=] (等しくない)を選択して、[BIOS シリアル番号(BIOS Serial Number)] フィールドに BIOS 番号を入力します。[OK] をクリックし、[エンドポイント属性(Endpoint Attribute)] ダイアログボックスでの変更を保存します。

Step 7

[OK] をクリックして、[ダイナミック アクセス ポリシーの編集(Edit Dynamic Access Policy)] への変更を保存します。

Step 8

[適用(Apply)] をクリックして、ダイナミック アクセス ポリシーへの変更を保存します。

Step 9

[保存(Save)] をクリックします。

Cisco Secure Firewall ASA で有効にされた Secure Firewall ポスチャ イメージの判別

ASDM を開いて [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [Cisco Secure Firewall用ポスチャ(Posture (for Secure Firewall) )] > [ポスチャイメージ(Posture Image)] を選択します。

ディスク暗号化

エンドポイントにインストールされているディスク暗号化製品のレポートを有効にすることができます。次に、csc_cscan ログで、ディスクのバージョンの詳細と暗号化の状態を確認できます。

ASDM の [Advanced Endpoint Assessment] 画面で、[エンドポイントの暗号化ディスクを識別する(Identify Encrypted Disks on Endpoint)] チェックボックスをオンにすると、ディスク暗号化がアクティブになります。ASDM でのこの画面のナビゲーションは、[設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ポスチャ(Secure Firewall向け)(Posture (for Secure Firewall))] > [ポスチャ設定(Posture Settings)] > [構成(Configure)] です。

Secure Firewall ポスチャ のアップグレード

Cisco Secure Client および Secure Firewall ポスチャ を手動で(msiexec を使用して)アップグレードする場合は、必ず、Cisco Secure Client を最初にアップグレードして、その後に Secure Firewall ポスチャ をアップグレードしてください。

OPSWAT サポート

Secure Firewall ポスチャ(以前の HostScan)および ISE ポスチャモジュールも、OPSWAT フレームワークを使用して、エンドポイントを保護します。

クライアントとヘッドエンドの両方を伴うこのフレームワークは、エンドポイント上のサードパーティ アプリケーションを評価するのに役立ちます。使用されている OPSWAT バージョンによって認識されるように、各ポスチャメソッドのサポートチャートが提供されます。チャートには、アプリケーションのリストの製品およびバージョン情報が含まれています。

ヘッドエンド(Cisco Secure Firewall ASA または ISE)とエンドポイント(Secure Firewall ポスチャ または ISE ポスチャ)との間にバージョン番号の不一致があるときは、ヘッドエンドのバージョンに合わせて、OPSWAT 準拠モジュールがアップグレードまたはダウングレードされます。これらのアップグレード/ダウングレードは必須であり、ヘッドエンドへの接続が確立されるとすぐにエンド ユーザの介入なしで自動的に実行されます。

Secure Firewall ポスチャ OPSWAT サポート

Secure Firewall ポスチャ のサポートチャートSecure Firewall ポスチャ のパッケージバージョンに対応し、Cisco Secure Firewall ASA ヘッドエンドで機能するものを提供します。

Secure Firewall ポスチャ は、Cisco Secure Client メジャーリリースおよびメンテナンスリリースと連携するようにバージョン管理されます。ASDM で Secure Firewall ポスチャ パッケージを設定するときに、バージョンを指定します。[設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [セキュアデスクトップマネージャ(Secure Desktop Manager)] > [ホストスキャンイメージ(Host Scan Image)] の順に選択してください。


(注)  

今後の ASDM リリースでは、このメニューパスは [設定(Configuration)] > [リモートアクセスVPN(Remote Access VPN)] > [ポスチャ(Posture)] になります ([Secure Firewall] > [ポスチャイメージ(Posture Image)] の場合は、HostScan の名前が変更されています。

Secure Firewall ポスチャ のガイドライン

  • クライアントとヘッドエンドで使用されている OPSWAT のバージョンは、一致する必要があります。

  • HostScan 4.3.x までの全バージョンが OPSWAT v2 を使用します。HostScan 4.6x 以降は、OPSWAT v4 を使用します。OPSWAT v3 は、HostScan のどのバージョンでもサポートされていません。

ISE ポスチャ OPSWAT サポート

Cisco Secure Clientエージェント準拠モジュール」は、ISE ポスチャモジュール用です。

ISE エージェント準拠モジュールのバージョンには、基盤となる OPSWAT バージョンが反映されています。ISE ポスチャでは、OPSWAT バイナリは別個のインストーラにパッケージ化されています。OPSWAT ライブラリをローカル ファイル システムから ISE ヘッドエンドに手動でロードしたり、ISE 更新フィード URL を使用して直接取得するように ISE を設定したりできます。

Cisco Secure Client を ISE 2.1 以降とともに使用したときは、ISE 準拠モジュールに OPSWAT v3 または v4 のどちらを使用するかを選択できます。アンチマルウェアの設定は、[ワーク センター(Work Centers)] > [ポスチャ(Posture)] > [ポスチャ要素(Posture Elements)] > [条件(Conditions)] > [アンチマルウェア(Antimalware)] の ISE UI で行います。