Sophos NAC Advanced
DHCP 施行ガイド
製品バージョン: 3.2
ドキュメント作成日: 2011年 3月
目次
1 このドキュメントについて.............................................................................................3
2 DHCP 施行の概要..............................................................................................................5
3 DHCP 施行のチェックリスト..........................................................................................6
4 DHCP の適用除外..............................................................................................................8
5 DHCP サーバー用接続要求ポリシーと RADIUS クライアント.............................11
6 DHCP Enforcer ソフトウェアのインストール............................................................17
7 Microsoft DHCP サーバーの設定...................................................................................22
8 Compliance Manager で行うタスク................................................................................31
9 テクニカルサポート........................................................................................................46
10 ご利用条件.......................................................................................................................47
2
DHCP 施行ガイド
1
このドキュメントについて
このドキュメントは、Sophos NAC Advanced の DHCP Enforcement (施行) 機能
の設定方法について説明するものです。この機能を設定することにより、社
内ネットワーク上の管理対象外エンドポイントの検出、それらのエンドポイ
ントのセキュリティレベルの評価、ネットワークアクセスのコントロールが
可能になります。このドキュメントには、DHCP Enforcer、Microsoft DHCP
サーバーの設定方法、および Sophos NAC Advanced を新規インストールした
場合のコンプライアンス アプリケーション サーバーの設定方法が記載され
ています。主な内容は次のとおりです。
■
DHCP 施行の概要
■
DHCP 施行のチェックリスト
■
DHCP の適用除外
■
ソフォス コンプライアンス アプリケーション サーバーの DHCP の設定
1.1
1.2
■
DHCP Enforcer ソフトウェアのインストール
■
DHCP 設定ツール
■
Microsoft DHCP サーバーの設定
■
Sophos Compliance Manager で行うタスク
対象読者
このドキュメントは、中小規模の組織で IT 業務全般を担当されている方を
対象にしています。また、クライアント数 25,000台以上の大規模なネット
ワークの管理担当者の方にもご活用いただけます。なお、クライアント数が
1,000台を超える場合は、ソフォス プロフェッショナル サービスのご利用を
お勧めします。プロフェッショナルサービスは、ソフトウェアの導入プラン
の立案・実行をご支援するサービスです。詳細についてはソフォスまでご相
談ください。
DHCP Enforcer ソフトウェアのインストール要件
Sophos NAC Advanced で DHCP Enforcement (施行) を使用するには、Sophos
DHCP Enforcer 用のソフトウェアをご使用の DHCP サーバーにインストール
する必要があります。
DHCP Enforcer のインストール要件
Windows Server 2000/2003/2008OS
3
Sophos NAC Advanced
DHCP Enforcer のインストール要件
ア
Microsoft®動的ホスト構成プロトコル (DHCP)DHCP ソフトウェ
4
DHCP 施行ガイド
2
DHCP 施行の概要
Sophos NAC Advanced ではデフォルト設定として DHCP Enforcement (施行) が
あらかじめ設定されています。このデフォルト設定は、もっとも一般的な
DHCP の利用環境を対象にしているため、Sophos NAC Advanced をインストー
ルした後の設定が最低限で済みます。ただし、DHCP の実装方法が通常と大
きく異なる場合は、追加の設定が必要なこともあります。
ヒント: DHCP Enforcement (施行) のチェックリストは、DHCP 施行の実装に
必要なタスクの一覧です。詳細はDHCP 施行のチェックリスト (p. 6) をご
覧ください。また、このドキュメントでは、チェックリスト内の各タスクの
詳細な手順も説明しています。
Sophos NAC Advanced 事前定義済み DHCP 施行のデフォルト設定
■
Compliance Manager を使用して、DHCP 施行に使用する各ポリシーで、
DHCP 施行機能を有効にする必要があります。
■
DHCP 施行を有効にすると、ポリシーに準拠している、あるいは一部準拠
しているエンドポイントにネットワークアクセスが許可されます。
■
DHCP 施行を有効にすると、ポリシーに準拠していないエンドポイントの
ネットワークアクセスは拒否されます。
■
エージェントがインストールされていないエンドポイントは、適用の対象
から除外されていない場合、ネットワークアクセスが拒否されます。
■
Dissolvable Agent を稼動している Windows Vista 環境のエンドポイントで
IP アドレスを解放、更新する必要がある場合、このエージェントは、管
理者権限のアカウント情報の入力、またはエンドポイントの再起動をリク
エストするユーザーメッセージを表示します。
Sophos NAC Advanced のアップグレード情報
■
前バージョンで DHCP を設定済みの場合、Sophos NAC Advanced のアップ
グレード後、DHCP 設定はそのまま残されます。他に変更が必要な設定は
ありません。
ヒント: Sophos NAC Advanced を新規インストールすると、2種類の新しい
DHCP Enforcer Access Template がインストールされます。Sophos NAC
Advancedのアップグレードでは、既存の DHCP Enforcer Access Template が
引き継がれます。
5
Sophos NAC Advanced
3
DHCP 施行のチェックリスト
DHCP Enforcement (施行) のチェックリストは、DHCP 施行の実装に必要な
タスクの一覧です。特に注意書きがない限り、このドキュメントの手順に
従ってすべてのタスクを実行します。
Sophos NAC Advanced のインストール・設定および Sophos Compliance Agent のデプロイ
チェック欄説明タスク
1.
2.
3.
ソフォス コンプライアンス アプリケーション サーバー の DHCP の設定
4.
5.
Sophos NAC Advanced をインストールし、設定する。詳細は「
Sophos NAC Advanced インストールガイド 」をご覧ください。
Compliance Manager で DHCP Exemption (除外) を作成する。
DHCP 除外の対象は、Sophos Compliance Agent を起動することが
できないエンドポイント、またはサーバー、ルーター、プリン
タ、あるいは確実に安全であることがわかっているエンドポイ
ントなど、コンプライアンス評価が不要なエンドポイントのど
ちらかです。対象から除外する必要のあるエンドポイントは、
DHCP で IP アドレスを自動的に取得しているエンドポイントだ
けです。
Sophos Compliance Agent を各エンドポイントに集中インストール
する。詳細は「 Sophos NAC Advanced インストールガイド 」を
ご覧ください。
コンプライアンス アプリケーション サーバーで DHCP 用の新し
い接続要求ポリシーを作成する。
コンプライアンス アプリケーション サーバーで DHCP サーバー
用の RADIUS クライアントを追加する。
DHCP サーバーの DHCP Enforcer の設定
6.
7.
DHCP サーバーの設定
8.
DHCP Enforcer のソフトウェアを DHCP サーバーにインストール
する。
ヒント: DHCP Enforcer のソフトウェアをインストール後、DHCP
Service が各 DHCP サーバーで起動していることを確認する必要
があります。
DHCP Enforcer Configuration Tool (設定ツール) を使用して、DHCP
Enforcer が DHCP サーバーと連動するように設定する。
DHCP Enforcer と連動するように DHCP サーバーを設定する。
6
Sophos Compliance Manager の設定
DHCP 施行ガイド
チェック欄説明タスク
9.
10.
11.
12.
13.
Sophos Compliance Dissolvable Agent の配布
14.
ポリシーを作成する。
グループを作成し、作成したポリシーを適用する。
DHCP Enforcer の設定を検証する。
DHCP Enforcer レポートを実行し、DHCP 施行を有効にする前
に、エンドポイントのポリシーコンプライアンスの状況を確認
する。
ヒント: DHCP Enforcer レポートを使用して、DHCP 施行を有効
にした際にエンドポイントに適切なネットワークアクセスが許
可されるかどうかを判断します。
DHCP Enforcer Access Template を検証し、DHCP 施行を有効にす
る。
Sophos Compliance Dissolvable Agent のアドレスをゲスト用エンド
ポイントに配布する。詳細は「Sophos NAC Advancedインストー
ルガイド 」をご覧ください。
7
Sophos NAC Advanced
4
DHCP の適用除外
DHCP Enforcement (施行) の対象から除外するエンドポイントには、Compliance
Agentを起動できないものや、コンプライアンス評価が不要なもの (サーバー、
ルーター、プリンタ、「安全」と判断されるエンドポイントなど) が含まれ
ます。対象から除外する必要のあるエンドポイントは、DHCP で IP アドレ
スを自動的に取得しているエンドポイントだけです。このようなエンドポイ
ントには DHCP Exemption (除外) を作成してください。作成しない場合は、
DHCP Enforcement (施行) を有効にした際に、エンドポイントのネットワー
クアクセスが拒否されます。
Compliance Manager を使用して、2種類の DHCP Exemption (除外) を作成する
ことができます。
■
DHCP Criteria Exemption (DHCP 条件による除外): 特定の MAC アドレス、
ユーザークラス、ベンダクラスを対象から除外する。
4.1
■
IP Scope Exemption (IP スコープによる除外): 特定のネットワークセグメン
トを対象から除外する。
DHCP 条件による除外を作成する
Compliance Manager の「Exemptions」(除外) ページで、DHCP Criteria (条件)
による除外を作成します。DHCP 条件による除外では、単一の MAC アドレ
ス、ユーザークラス、またはベンダクラスを指定するか、あるいはこれらの
項目の任意の組み合わせを指定します。DHCP Exemption (除外) と DHCP
Enforcer Access Template は一組で使用され、適用の除外や、対象から除外さ
れるエンドポイントに対するネットワークアクセスが識別されます。
操作方法
1.
Compliance Manager にログオンします。
2.
「 Enforce > Exemptions 」(施行 - 除外) をクリックします。そして、ペー
ジの左下にある「Create Exemption」(除外の作成) をクリックします。
3.
除外の名称と説明を入力します。
4.
「Exemption Type」(除外のタイプ) リストボックスをクリックして、
「DHCP Criteria」(DHCP 条件) を選択します。
8
DHCP 施行ガイド
5.
「Exemption Criteria」(除外の条件) の下に表示されている、「MAC
Address」(MAC アドレス)、「User Class」(ユーザークラス)、または
「Vendor Class」(ベンダクラス) オプションボタンを選択して除外の条件
を指定し、該当する MAC アドレス (またはプレフィックス)、ユーザーク
ラス、またはベンダクラスを入力欄に記入し、「Add」(追加) をクリック
します。
追加する除外の条件の数に応じて、この操作を繰り返します。
ヒント: ワイルドカード文字「*」を最後に指定して、除外の条件に使用
することもできます。たとえば、MAC アドレスとして「AA*」と入力す
ると、「AA」で始まるすべての MAC アドレスが除外されます。同様に、
「*」記号なしで「AA」と入力すると、「AA」という名称の MAC アドレ
スだけが除外されます。
6.
「Select」(選択) をクリックし、DHCP Enforcer Access Template を除外に追
加します。「Default - DHCP Permit (NULL User Class)」(デフォルト - DHCP
許可 (NULL ユーザークラス)) アクセステンプレートを選択して「OK」を
クリックします。
4.2
ヒント: 「Default - DHCP Permit (NULL User Class)」は、Sophos NAC
Advanced であらかじめ定義されているアクセステンプレートで、ネット
ワークアクセスを許可するものです。ここで作成する除外は、Sophos NAC
Advanced によるコンプライアンス評価なしでネットワークにアクセスで
きるよう設定されます。
7.
「Save」(保存) をクリックします。
重要: 除外の作成後、「Exemptions」ページの一覧で優先順位を設定でき
ます。特定のエンドポイントに複数の除外が適用可能な場合は、エンドポ
イントに適用可能な最初の除外が使用されます。より特化した、条件の厳
しい除外を優先することをお勧めします。
IP スコープによる除外を作成する
対象から除外する必要のあるエンドポイントは、DHCP で IP アドレスを自
動的に取得しているエンドポイントだけです。Compliance Manager の
「Exemptions」(除外) ページで、IP スコープによる除外を作成します。IP ス
コープによる除外では、適用の対象から除外するネットワークセグメントを
設定します。この除外では、組織全体でポリシーを段階的に施行する場合な
ど、段階ごとにポリシーの施行を必要としないネットワークセグメントを対
象から除外することができるため便利です。
9
Sophos NAC Advanced
操作方法
1.
Compliance Manager にログオンします。
2.
「 Enforce > Exemptions 」(施行 - 除外) をクリックします。そして、ペー
ジの左下にある「Create Exemption」(除外の作成) をクリックします。
3.
除外の名称と説明を入力します。
4.
「Exemption Type」(除外のタイプ) リストボックスをクリックして、「IP
Scope」(IP スコープ) を選択します。
5.
「Select」(選択) をクリックし、DHCP Enforcer Access Template を除外に追
加します。「Default - DHCP Permit (NULL User Class)」(デフォルト - DHCP
許可 (NULL ユーザークラス)) アクセステンプレートを選択して「OK」を
クリックします。
ヒント: 「Default - DHCP Permit (NULL User Class)」は、Sophos NAC
Advanced であらかじめ定義されているアクセステンプレートで、ネット
ワークアクセスを許可するものです。ここで作成する除外は、Sophos NAC
Advanced によるコンプライアンス評価なしでネットワークにアクセスで
きるよう設定されます。
6.
「Save」(保存) をクリックします。
重要: 除外の作成後、「Exemptions」ページの一覧で優先順位を設定でき
ます。特定のエンドポイントに複数の除外が適用可能な場合は、エンドポ
イントに適用可能な最初の除外が使用されます。より特化した、条件の厳
しい除外を優先することをお勧めします。
10
DHCP 施行ガイド
5
DHCP サーバー用接続要求ポリシーと RADIUS ク
ライアント
DHCP を適切に機能させるためには、DHCP サーバー用の接続要求ポリシー
と RADIUS クライアントを作成する必要があります。この設定はどちらとも
コンプライアンスアプリケーション サーバーで行います。接続要求ポリシー
は、DHCP コンプライアンス要求とその他の要求を識別するポリシーです。
DHCP サーバーからSophos NAC Advancedに施行の要求を送信できるように
するため、DHCP サーバーを RADIUS クライアントとして構成する必要があ
ります。
5.1
DHCP 用の新しい接続要求ポリシーを作成する (Windows Server 2003)
DHCP Enforcement (施行) を使用するには、Sophos コンプライアンス アプリ
ケーション サーバー で接続要求ポリシーを作成する必要があります。接続
要求ポリシーは、DHCP コンプライアンス要求とその他の要求を識別するポ
リシーです。このポリシーは、Sophos NAC Advanced で DHCP 要求とそれ以
外の要求を識別し、適切な施行を実施するために作成します。
1.
ソフォス コンプライアンス アプリケーション サーバーの「スタート」メ
ニューから、「 管理ツール > インターネット認証サービス 」をクリック
します。
インターネット認証サービスが開きます。
2.
「接続要求の処理」をクリックします。
3.
「接続要求ポリシー」を右クリックし、続いて「 新しい接続要求ポリ
シー」をクリックします。
「新しい接続要求ポリシー ウィザード」が表示されます。
4.
「次へ」をクリックします。
5.
「カスタム ポリシー」オプションボタンを選択します。
6.
この接続要求ポリシー名として、ポリシー名の欄に「DHCP」と入力し、
「次へ」をクリックします。
「DHCP」というポリシー名は、この接続要求ポリシーが DHCP 施行に使
用されることを示します。
7.
「追加」をクリックしてポリシー条件を追加します。
8.
「User-Name」を選択し、「追加」をクリックします。
11
Sophos NAC Advanced
9.
「User-Name」ダイアログボックスの入力欄に、「^[0-9a-f]{2,32}$」と入
力して、「OK」をクリックします。
ヒント: ソフォスでは、DHCP 用ユーザー名に MAC アドレスを使用して
います。この値は、2~32文字の 16進数文字列で指定されます。
10.
「追加」をクリックして別のポリシー条件を追加します。
11.
「Calling-Station-ID」を選択し、「追加」をクリックします。
12.
「Calling-Station-ID」ダイアログボックスの入力欄に、「^[0-9a-f]{2,32}$」
と入力して、「OK」をクリックします。
ヒント: ソフォスでは、DHCP 用 Calling-Station-ID に MAC アドレスを使
用しています。この値は、2~32文字の 16進数文字列で指定されます。
13.
「追加」をクリックして別のポリシー条件を追加します。
14.
「Service-Type」を選択し、「追加」をクリックします。
15.
「Authenticate Only」を選択し、「追加」をクリックして、「選択した種
類」に「Authenticate Only」を追加します。
16.
「OK」をクリックします。
17.
「追加」をクリックして別のポリシー条件を追加します。
18.
「Client-Friendly-Name」を選択し、「追加」をクリックします。
19.
「DHCP」と入力して、「OK」をクリックし、「次へ」をクリックしま
す。
ヒント: RADIUS クライアントの名前に「DHCP」を含めて、DHCP が適切
に動作するようにします。クライアント名で、大文字と小文字は区別され
ません。
20.
「プロファイルの編集」をクリックします。
21.
「資格情報を確認せずにユーザーを受け入れる」オプションボタンを選択
し、「OK」をクリックします。
ヒント: 認証は Compliance Agent によって実行されるので、接続要求ポリ
シーは、ユーザーの認証を要求しないよう設定されています。Sophos NAC
Advancedは、すべての DHCP 要求パケットに対して認証を実行します。
エージェントによって認証されないユーザーや、除外されていないユー
ザーは、ポリシーに準拠していないと判断されます。
12
22.
「次へ」をクリックします。
23.
「完了」をクリックします。
ヒント: 作成したポリシーをダブルクリックすると、ウィンドウに指定し
た「ポリシー条件」が表示されます。
DHCP 施行ガイド
5.2
DHCP 用の新しい接続要求ポリシーを作成する (Windows Server 2008)
DHCP Enforcement (施行) を使用するには、Sophos コンプライアンス アプリ
ケーション サーバー で接続要求ポリシーを作成する必要があります。接続
要求ポリシーは、DHCP コンプライアンス要求とその他の要求を識別するポ
リシーです。このポリシーは、Sophos NAC Advanced で DHCP 要求とそれ以
外の要求を識別し、適切な施行を実施するために作成します。
1.
ソフォス コンプライアンス アプリケーション サーバーの「スタート」メ
ニューから、「 管理ツール > ネットワーク ポリシー サーバー 」をクリッ
クします。
ネットワーク ポリシー サーバーが開きます。
2.
「ポリシー」で「接続要求ポリシー」を右クリックし、「新しい接続要求
ポリシー」をクリックします。
新しい接続要求ポリシー ウィザードが表示されます。
3.
接続要求ポリシー名として「DHCP」と入力し、ネットワーク接続の方法
は「指定なし」のままにします。そして「次へ」をクリックします。
「DHCP」というポリシー名は、この接続要求ポリシーが DHCP 施行に使
用されることを示します。
4.
「追加」をクリックしてポリシー条件を追加します。
5.
「User-Name」を選択し、「追加」をクリックします。
6.
「User-Name」ダイアログボックスの入力欄に、「^[0-9a-f]{2,32}$」と入
力して、「OK」をクリックします。
ヒント: DHCP 環境のためにユーザー名には MAC アドレスを使用します。
この値は、2~32文字の 16進数文字列で指定されます。
7.
「追加」をクリックして別のポリシー条件を追加します。
8.
「Calling-Station-ID」を選択し、「追加」をクリックします。
9.
「Calling-Station-ID」ダイアログボックスの入力欄に、「^[0-9a-f]{2,32}$」
と入力して、「OK」をクリックします。
ヒント: DHCP 環境のために Calling Station ID には MAC アドレスを使用し
ます。この値は、2~32文字の 16進数文字列で指定されます。
10.
「追加」をクリックして別のポリシー条件を追加します。
11.
「Service-Type」を選択し、「追加」をクリックします。
13
Sophos NAC Advanced
12.
「Authenticate Only」を選択し、「追加」をクリックします。
13.
「OK」をクリックします。
14.
「追加」をクリックして別のポリシー条件を追加します。
15.
「Client-Friendly-Name」を選択し、「追加」をクリックします。
16.
「DHCP」と入力して、「OK」をクリックし、「次へ」をクリックしま
す。
ヒント: RADIUS クライアントの名前に「DHCP」を含めて、DHCP が適切
に動作するようにします。クライアント名で、大文字と小文字は区別され
ません。
17.
「認証」セクションで「資格情報を確認せずにユーザーを受け入れる」オ
プションを選択し、「次へ」をクリックします。
ヒント: 認証は Compliance Agent によって実行されるので、接続要求ポリ
シーは、ユーザーの認証を要求しないよう設定されています。Sophos NAC
Advancedは、すべての DHCP 要求パケットに対して認証を実行します。
エージェントによって認証されないユーザーや、除外されていないユー
ザーは、ポリシーに準拠していないと判断されます。
5.3
18.
「次へ」をクリックします。このポリシーでは属性を設定する必要はあり
ません。
19.
「完了」をクリックします。
ヒント: 作成したポリシーをダブルクリックすると、ウィンドウに指定し
た「ポリシー条件」が表示されます。
DHCP サーバー用の RADIUS クライアントを追加する (Windows Server 2003)
Sophos コンプライアンス アプリケーション サーバー で、インターネット認
証サービス (IAS) にご使用の DHCP サーバーを追加してください。DHCP サー
バーから Sophos NAC Advanced に施行の要求を送信できるようにするため、
DHCP サーバーを RADIUS クライアントとして構成する必要があります。
1.
ソフォス コンプライアンス アプリケーション サーバーの「スタート」メ
ニューから、「 管理ツール > インターネット認証サービス 」をクリック
します。
14
インターネット認証サービスが開きます。
2.
「RADIUS クライアント」を右クリックし、「新しい RADIUS クライアン
ト」をクリックします。
DHCP 施行ガイド
3.
「フレンドリ名」フィールドに「DHCP」と入力し、「クライアントのア
ドレス」フィールドにご使用の DHCP サーバーの IP アドレス、または
DNS 名を入力します。「次へ」をクリックして続行します。
ヒント: RADIUS クライアントの名前を DHCP にして DHCP が適切に動作
するようにします。この名前は、前の項で作成した接続要求ポリシー名に
一致します。
4.
「共有シークレット」フィールドに「DHCP」と入力し、ご使用の DHCP
サーバーの共有シークレットを指定し、確認入力します。DHCP 共有シー
クレットは、DHCP サーバーを設定する際に Sophos NAC Advanced と連動
させるために使用します。
ヒント: デフォルトで、「クライアント ベンダ」が「RADIUS Standard」
に選択されているのでそのままにします。
5.
「要求はメッセージ認証属性を含んでいる必要がある」チェックボックス
が選択されていないことを確認します。
5.4
6.
「完了」をクリックします。
DHCP サーバー用の RADIUS クライアントを追加する (Windows Server 2008)
Sophos コンプライアンス アプリケーション サーバー で、ネットワーク ポリ
シー サーバーにお使いの DHCP サーバーを追加してください。DHCP サー
バーから Sophos NAC Advanced に施行の要求を送信できるようにするため、
DHCP サーバーを RADIUS クライアントとして構成する必要があります。
1.
ソフォス コンプライアンス アプリケーション サーバーの「スタート」メ
ニューから、「 管理ツール > ネットワーク ポリシー サーバー 」をクリッ
クします。
ネットワーク ポリシー サーバーが開きます。
2.
「RADIUS クライアントとサーバー」で、「RADIUS クライアント」を右
クリックし、「新規 RADIUS クライアント」をクリックします。
3.
「フレンドリ名」フィールドに「DHCP」と入力し、「アドレス (IP また
は DNS)」フィールドにご使用の DHCP サーバーの IP アドレス、または
DNS 名を入力します。
ヒント: RADIUS クライアントの名前を DHCP にして DHCP が適切に動作
するようにします。この名前は、前の項で作成した接続要求ポリシー名に
一致します。
15
Sophos NAC Advanced
4.
「共有シークレット」フィールドに「DHCP」と入力し、ご使用の DHCP
サーバーの共有シークレットを指定し、確認入力します。DHCP 共有シー
クレットは、DHCP サーバーを設定する際に Sophos NAC Advanced と連動
させるために使用します。
ヒント: デフォルトで、「ベンダ名」が「RADIUS Standard」に選択されて
いるのでそのままにします。
5.
「Access-Request メッセージに Message-Authenticator 属性を必要とする」
チェックボックスが選択されていないことを確認します。
6.
「OK」をクリックします。
16
DHCP 施行ガイド
6
DHCP Enforcer ソフトウェアのインストール
DHCP Enforcer のソフトウェアをご使用の Microsoft DHCP サーバーにインス
トールします。DHCP Enforcer のソフトウェアには、DHCP Enforcer と DHCP
Enforcer Configuration Tool (設定ツール) が含まれています。
1.
DHCP Enforcer のソフトウェアをソフォスWeb サイトからダウンロードし
ます。
2.
DHCP Enforcer のソフトウェアのインストールファイルをダブルクリック
してインストーラを起動します。
3.
「Next」(次へ) をクリックします。
DHCP Enforcer インストールウィザードが表示されます。
4.
「Complete」(すべて) オプションを選択します。「Next」(次へ) をクリッ
クします。
6.1
ヒント: Microsoft DHCP サーバーが検索され、適切な DHCP Enforcer のソ
フトウェアのコンポーネントがインストールされます。
5.
「Install」(インストール) をクリックしてソフトウェアをインストールし
ます。
6.
「Finish」(完了) をクリックします。
ヒント: インストールが完了したら、DHCP Enforcer Configuration Tool を
使ってご使用の DHCP サーバーの設定を構成してください。詳細はDHCP
設定ツール (p. 17) をご覧ください。
ヒント: DHCP Enforcer のソフトウェアをインストール後、DHCP Service
が各 DHCP サーバーで起動していることを確認する必要があります。
Microsoft DHCP Enforcer のソフトウェアをアンインストー ルする
1.
「スタート」メニューから、「 コントロール パネル > プログラムの追加
と削除 」の順に選択します。
6.2
2.
「Microsoft DHCP Enforcer Software」を選択し、「削除」をクリックしま
す。
3.
「はい」をクリックして DHCP Enforcer のソフトウェアの削除を確認しま
す。
DHCP 設定ツール
17
Sophos NAC Advanced
DHCP Enforcer Configuration Tool (設定ツール) を使用して、DHCP Enforcer
が DHCP サーバーと連動するように設定します。DHCP Enforcer Configuration
Tool は、DHCP Enforcer と一緒にインストールされ、 Microsoft の動的ホスト
構成プロトコル (DHCP) を起動している Windows サーバーに対応していま
す。
6.2.1
DHCP Enforcer を設定する
1.
DHCP サーバーの「スタート」メニューから、「 Sophos > NAC > Support
Tools > DHCP Enforcer Configuration Tool 」(Sophos - NAC - サポートツー
ル - DHCP Enforcer 設定ツール) を選択します。
「DHCP Enforcer Configuration」(DHCP Enforcer の設定) ウィンドウが表示
されます。ここで、「Enforcer」タブが選択されています。
2.
「Default User Class」(既定のユーザークラス) フィールドを空白のままに
します。
デフォルトのユーザークラスは、コンプライアンスアプリケーションサー
バー からユーザークラスが返されない場合のみに適用されます。たとえ
ば、コンプライアンス アプリケーション サーバー の障害や、DHCP サー
バー、コンプライアンス アプリケーション サーバー 間の通信エラーが発
生した場合、あるいは コンプライアンス アプリケーション サーバー でス
コープに対するユーザークラスが検出できない場合など、Sophos NAC
Advanced からユーザークラスが返されないことがあります。NULL のデ
フォルトユーザークラスは、ネットワークアクセスを許可するよう、あら
かじめ Sophos NAC Advanced で指定されています。
18
3.
「RADIUS Enforcer Servers」(RADIUS Enforcer サーバー) ペインで、「Add」
(追加) をクリックして、コンプライアンス アプリケーション サーバー を
指定します。コンプライアンス アプリケーション サーバー は DHCP サー
バーと通信する必要があります。
4.
「Enable」(有効) チェックボックスを選択したままにし、コンプライアン
ス アプリケーション サーバー をアクティブな状態に保ちます。
5.
「IP Addres」(IP アドレス) フィールドに、コンプライアンス アプリケー
ション サーバー の IP アドレスを入力します。または、「Resolve IP…」
(IP アドレスの解決) をクリックします。次に、入力欄にホスト名を入力し
て「OK」をクリックします。
6.
DHCP サーバーで使用されているポートと同じであれば、「Authentication
Port」(認証ポート) と「Accounting Port」(アカウンティング ポート) の設
定はデフォルトのままにします。
DHCP 施行ガイド
7.
「Shared Secret」(共有シークレット) フィールドに、DHCP サーバーの共
有シークレットとして「DHCP」と入力します。次に、確認のため再度
「DHCP」と入力します。
DHCP は、DHCP サーバーの設定で使用した共有シークレットに一致しま
す。詳細は、DHCP サーバー用の RADIUS クライアントを追加する
(Windows Server 2003) (p. 14) またはDHCP サーバー用の RADIUS クライア
ントを追加する (Windows Server 2008) (p. 15) をご覧ください。
8.
「OK」をクリックします。
ヒント: 「Microsoft」タブの設定は変えないでください。変更の必要はあ
りません。
9.
複数の コンプライアンス アプリケーション サーバー を指定するには、ス
テップ 3~8 を繰り返します。
10.
複数の コンプライアンス アプリケーション サーバー を指定した場合は、
適切な「Access for Multiple Servers」(複数のサーバーへのアクセス) オプ
ションボタンを選択します。
6.2.2
「Sequential」(順次) アクセスは、指定された順序に従って、すべての コ
ンプライアンス アプリケーション サーバー へのアクセスを試みます。
「Balanced」(均等) アクセスは、負荷分散を使用して、すべてのサーバー
への均等なアクセスを試みます。
ヒント: 順次アクセスする際のサーバーの優先順位は、「Move Up」(上
へ)、「Move Down」(下へ) ボタンを使用して指定してください。
11.
「OK」をクリックします。
フィールドおよびその説明
説明フィールド
「Enforcer」タブ
Enable Policy
Compliance
選択すると、予約済みのオプションコードで認識されるものを除
くすべての DHCP 要求パケットに対して、ポリシーコンプライア
ンスとレポート機能が有効になります。
Attempts
Timeout
DHCP 要求パケットに対してポリシーコンプライアンスを試行す
る回数。
次のポリシーコンプライアンスをチェックをするまでの DHCP
サーバーの待機時間 (秒)。
19
Sophos NAC Advanced
説明フィールド
Default User Class
Enable Reserved Option
Reporting
Attempts
Timeout
Access for Multiple
Servers
「DHCP Enforcer RADIUS Enforcer Server Settings」ウィンドウ
コンプライアンスを評価しているときに、エラーが発生した場合
など、ポリシーで定義されているユーザークラスを取得できない
場合に使用するユーザークラス。
選択すると、レポート機能が有効になり、予約済みオプション
コードが認識されます。
DHCP 要求パケットに対してレポートを試行する回数。
次のレポートイベントを開始するまでの DHCP サーバーの待機時
間 (秒)。
複数のコンプライアンス アプリケーション サーバーへのアクセ
ス方法を指定。「Sequential」(順次) アクセスは、指定された順序
に従って、すべてのコンプライアンスアプリケーション サーバー
へのアクセスを試みます。「Balanced」(均等) アクセスは、負荷
分散を使用して、すべてのコンプライアンス アプリケーション
サーバーへの均等なアクセスを試みます。
ヒント: 連続してアクセスする際のコンプライアンス アプリケー
ション サーバーの優先順位は、「Move Up」(上へ)、「Move
Down」(下へ) ボタンを使用して指定してください。
ヒント: このウィンドウのフィールドは、コンプライアンス アプリケーション サーバー
に関連します。
Enable
IP Address
Authentication Port
Accounting Port
Shared Secret
Confirm Shared Secret
コンプライアンス アプリケーション サーバーが有効であるかど
うかの表示。有効にすると、ポリシーコンプライアンスやレポー
ト処理にコンプライアンス アプリケーション サーバーが使用さ
れます。
コンプライアンス アプリケーション サーバーの IP アドレス。
コンプライアンス アプリケーション サーバーの認証ポート。
コンプライアンス アプリケーション サーバーのアカウンティン
グ ポート。
DHCP サーバーの共有シークレット。DHCP サーバー設定で使用
した共有シークレットと同じです。詳細は、DHCP サーバー用の
RADIUS クライアントを追加する (Windows Server 2003) (p. 14) ま
たはDHCP サーバー用の RADIUS クライアントを追加する
(Windows Server 2008) (p. 15) をご覧ください。
DHCP サーバーの共有シークレットの確認入力欄。DHCP サー
バー設定で使用した共有シークレットと同じです。詳細は、DHCP
サーバー用の RADIUS クライアントを追加する (Windows Server
20
「Resolve IP」ウィンドウ
DHCP 施行ガイド
説明フィールド
2003) (p. 14) またはDHCP サーバー用の RADIUS クライアントを
追加する (Windows Server 2008) (p. 15) をご覧ください。
Hostname
ホスト名。IP アドレスが不明な場合はコンプライアンス アプリ
ケーション サーバーの IP アドレス。
21
Sophos NAC Advanced
7
Microsoft DHCP サーバーの設定
Microsoft DHCP サーバーを構成するには、Sophos NAC Advanced で事前定義
済みのユーザークラスと一致する DHCP ユーザークラスを作成する必要があ
ります。NULL ユーザークラスは、ポリシーに準拠、または一部準拠してい
るエンドポイント用のユーザークラスです。これらのステートのエンドポイ
ントにはネットワークアクセスが許可されます。
NACDeny ユーザークラスは、ポリシーに準拠していない、またはCompliance
Agent がインストールされていないエンドポイント用のユーザークラスです。
ポリシーに準拠していないエンドポイントは検疫され、ネットワークアクセ
スが制限されます。ネットワークアクセスは Windows の DHCP スコープ オ
プションで指定した内容に従って決定されます。詳細はスコープオプション
を編集してユーザークラスを指定する (p. 23) をご覧ください。
ネットワーク上に DHCP で IP アドレスを自動的に取得するプリンタや
Windows 以外の OS がある場合は、Compliance Manager の設定で、このよう
なエンドポイントを対象から除外する必要があります。詳細はDHCP の適用
除外 (p. 8) をご覧ください。このようなエンドポイントには DHCP Exemption
(除外) を作成してください。作成しない場合は、DHCP Enforcement (施行)
を有効にした際に、エンドポイントのネットワークアクセスが拒否されま
す。適用の対象から除外すると、エンドポイントにネットワークアクセスが
許可されます。詳細は、DHCP 条件による除外を作成する (p. 8) およびIP
スコープによる除外を作成する (p. 9) をご覧ください。
7.1
ヒント: ここでの説明では、NULL ユーザークラスを想定しています。Microsoft
では、NULL ユーザークラスを DHCP サーバー上のデフォルトのユーザーク
ラスとしています。NULL ユーザークラスは、ネットワークアクセスを許可
するよう、あらかじめ Sophos NAC Advanced で指定されています。
Microsoft DHCP ユーザークラスを定義する
Microsoft DHCP サーバーを構成するには、Sophos NAC Advanced で事前定義
済みのユーザークラスと一致する DHCP ユーザークラスを作成する必要があ
ります。NULL ユーザークラスは、ポリシーに準拠、または一部準拠してい
るエンドポイント用のユーザークラスで、あらかじめ Sophos NAC Advanced
で定義されています。これらのステートのエンドポイントにはネットワーク
アクセスが許可されます。NACDeny ユーザークラスは、ポリシーに準拠し
ていないエンドポイント、Compliance Agent がインストールされていないエ
ンドポイント、あるいは Dissolvable Agent を稼動していないエンドポイント
用のユーザークラスで、あらかじめ Sophos NAC Advanced で定義されていま
す。ポリシーに準拠していないエンドポイントは検疫され、ネットワークア
クセスが制限されます。
22
DHCP 施行ガイド
ヒント: NULL ユーザークラスは、Microsoft DHCP サーバーであらかじめ定
義されているため、NULL のユーザークラスを定義する必要はありません。
1.
Microsoft DHCP サーバーで DHCP 管理コンソールを開き、DHCP サーバー
名を右クリックし、「ユーザークラスの定義」を選択します。
「DHCP ユーザークラス」ウィンドウが表示されます。
2.
「追加」をクリックします。
「新しいクラス」ウィンドウが表示されます。
3.
「表示名」フィールドに「NACDeny」、「説明」フィールドに「 Sophos
NAC Advanced Deny User Class」と入力します。
4.
「ASCII」フィールドにカーソルを置いてクリックし、ユーザークラスと
して「NACDeny」と入力します。
ヒント: このユーザークラスでは、大文字と小文字が区別されます。Sophos
NAC Advanced で事前定義済みのユーザークラスと一致するように、この
手順で示されるユーザークラスと全く同じように入力する必要がありま
す。NACDeny ユーザークラスは、「Default - DHCP Permit (NULL User
Class)」(デフォルト - DHCP 許可 (NULL ユーザークラス)) アクセステンプ
レートであらかじめ定義されています。
7.2
5.
「OK」をクリックして NACDeny ユーザークラスを作成します。
ヒント: NULL ユーザークラスは、Microsoft DHCP サーバーであらかじめ
定義されているため、NULL のユーザークラスを定義する必要はありませ
ん。
6.
「閉じる」をクリックして「DHCP ユーザークラス」ウィンドウを閉じま
す。
スコープオプションを編集してユーザークラスを指定す る
DHCP Enforcer は、各 DHCP 要求にユーザークラスを照合させることにより
機能します。ポリシーに準拠していないエンドポイントで対象から除外され
ていないもの (Compliance Agent がインストールされていない場合や、
Dissolvable Agent を稼動したことがない場合を含む) は、NACDeny ユーザー
クラスと照合されます。このユーザークラスは、Sophos NAC Advanced では
あらかじめ定義されています。DHCP サーバーでは後から設定します。ポリ
シーに準拠、あるいは一部準拠しているエンドポイントは、Sophos NAC
Advanced と DHCP サーバーであらかじめ設定されている NULL ユーザーク
23
Sophos NAC Advanced
ラスと照合されます。NULL ユーザクラスは、社内ネットワークとインター
ネットへのフルアクセスを許可します。NACDeny ユーザークラスは、ポリ
シーに準拠していないエンドポイントを検疫します。DNS サーバー、
Remediation (修復) サーバー、あるいはその他のネットワークリソースに対
して静的ルートを設定すると、ポリシーに準拠していないエンドポイント
に、制限付きでネットワークアクセスを許可することができます。
重要: ここでの手順では 1つのスコープを編集しています。複数のスコープ
を編集するには、同じ手順を繰り返す必要があります。通常、1つのスコー
プはネットワークセグメント 1つに対応しています。
1.
Microsoft DHCP サーバーで、DHCP 管理コンソールを開きます。適切なス
コープのフォルダを展開し、「スコープオプション」を右クリックして、
「オプションの構成」を選択します。
2.
「詳細設定」タブを選択し、 「ユーザークラス」リストボックスから
「NACDeny」を選択します。
NACDeny ユーザークラスは、DHCP サーバーで定義しました。詳細は、
Microsoft DHCP ユーザークラスを定義する (p. 22) をご覧ください。
24
DHCP 施行ガイド
3.
「利用可能なオプション」の一覧から「003 ルーター」チェックボックス
を選択します。
ヒント: ここでの検疫設定は、ポリシーに準拠していないエンドポイン
ト、対象から除外されていないエンドポイント、Compliance Agent がイン
ストールされていないエンドポイント、Dissolvable Agent を稼動していな
いエンドポイントが対象です。この設定では、ネットワークアクセスを拒
否するために、エンドポイントに空のゲートウェイが適用されます。DNS
サーバー、Remediation (修復) サーバー、インターネットアクセス用のプ
ロキシサーバー、あるいはその他のネットワークリソースに対して静的
ルートを設定すると、ポリシーに準拠していない検疫されているエンドポ
イントに、制限付きでネットワークアクセスを許可することができます。
4.
「適用」をクリックしてオプションを設定します。
ルーターユーザークラスには、IP アドレスを追加しないでください。こ
の手順では、ネットワークアクセスを拒否するために、エンドポイントに
空のゲートウェイを適用します。
5.
「ユーザークラス」リストボックスから、「NACDeny」を選択します。
ヒント: ユーザーを検疫するために、DHCP サーバーで NACDeny ユーザー
クラスを定義しました。詳細はMicrosoft DHCP ユーザークラスを定義す
る (p. 22) をご覧ください。
25
Sophos NAC Advanced
6.
「利用可能なオプション」の一覧から「033 静的ルートオプション」チェッ
クボックスを選択します。
ポリシーに準拠していないエンドポイント、対象から除外されていないエ
ンドポイント、Compliance Agent がインストールされていないエンドポイ
ント、Dissolvable Agent を稼動していないエンドポイントについてはゲー
トウェイを通過させません。ここでは、ポリシーに準拠していないエンド
ポイントがコンプライアンス アプリケーション サーバーと通信できるよ
う、コンプライアンス アプリケーション サーバーへの静的ルートを設定
しています。
26
7.
コンプライアンス アプリケーション サーバーの名前を「サーバー名」
フィールドに入力し、「解決」をクリックするか、あるいはコンプライア
ンス アプリケーション サーバーの IP アドレスを「IP アドレス」フィール
ドに入力します。次に、「追加」をクリックします。
ヒント: DHCP の静的ルートオプションでは、各静的ルートにつき一組の
IP アドレス (送信先とルーター) を指定する必要があります。エンドポイ
ントと同じセグメントにあるアドレスについては、IP アドレスの一覧に 2
度表示されるように、同じアドレスを再度追加してください。異なるセグ
メントにあるアドレスは、エンドポイントが経由するルーターのアドレス
を追加してください。
DHCP 施行ガイド
8.
「サーバー名」フィールドに Remediation (修復) サーバーのサーバー名を
入力し、「解決」をクリックします。または、「IP アドレス」フィール
ドに Remediation (修復) サーバーの IP アドレスを入力します。次に、「追
加」をクリックします。
ヒント: DHCP の静的ルートオプションでは、各静的ルートにつき一組の
IP アドレス (送信先とルーター) を指定する必要があります。エンドポイ
ントと同じセグメントにあるアドレスについては、IP アドレスの一覧に 2
度表示されるように、同じアドレスを再度追加してください。異なるセグ
メントにあるアドレスは、エンドポイントが経由するルーターのアドレス
を追加してください。
9.
他に追加するサーバー (ポリシーに準拠していないため、検疫されている
エンドポイントに対して、アクセスを許可する DNS サーバー、Remediation
(修復) サーバー、インターネットアクセス用のプロキシサーバー、他の
ネットワークリソースなど) があれば、ステップ 8 を繰り返して IP アドレ
スを追加します。
ヒント: これらの静的ルートのみにアクセスを許可することで、ポリシー
に準拠していないエンドポイントが検疫エリアに隔離されます。ネット
ワークへのアクセスは、定義したこれらの静的 IP アドレスとインターネッ
トに制限されます。内部の IP アドレスにはアクセスできません。下記に
表示されているアドレスは参考のみです。
27
Sophos NAC Advanced
10.
「OK」をクリックして完了します。
重要: ここでの手順では 1つのスコープを編集しています。複数のスコー
プを編集するには、同じ手順を繰り返す必要があります。通常、1つのス
コープはネットワークセグメント 1つに対応しています。
7.3
DHCP 施行におけるバイパスモードの概要
DHCP Enforcer には「Bypass Mode」(バイパスモード) という動作モードがあ
ります。バイパスモードはバックエンドの負荷が大きくなりすぎた際、一時
的にコンプライアンスの強制執行を回避するために使用します。バックエン
ドの負荷となるものには、ネットワーク障害、ネットワーク遅延、データ
ベース接続負荷、あるいは RADIUS Enforcer に関する負荷などがあります。
バイパスモードを有効化すると、各 DHCP トランザクションに対する最終コ
ンプライアンス要求のステートが記録されます。ステートは各 Enforcement
(RADIUS) のトランザクションではなく、各 DHCP トランザクションに対し
て記録されます。たとえば、一回以上 Enforcement を試行するように DHCP
Enforcer を設定している場合で、すべての試みに失敗したときは、失敗の回
数は複数回ではなく、一回のみカウントされます。セッションの最終ステー
トがネットワーク障害または Enforcement のタイムアウトを示す場合、カウ
ンターの数値が 1つ増加します。セッションが成功すると、カウンターの数
値はゼロになります。カウンターの数値が設定されている上限に達すると、
バイパスモードは指定されている期間の間、有効になります。
ヒント: カウンターの上限とバイパスモードの期間はどちらも指定できます。
7.3.1
28
バイパスモードが有効になっている間、DHCP Enforcer が処理するすべての
DHCP トランザクションは、指定されている DHCP ユーザークラスに割り当
てられます。デフォルトで DHCP Enforcer は NULL ユーザークラスを使用し
ます。DHCP サーバーの構成により、バイパスモードで割り当てられる DHCP
ユーザークラスを使用して制限を設けたり、エンドポイントが要求するアド
レスへの接続を解放したりできます。
DHCP 施行におけるバイパスモードのレジストリ設定
DHCP の「Bypass Mode」(バイパスモード) の有効化は任意です。バイパス
モードの設定内容は、DHCP Enforcer のインストール後、各 DHCP サーバー
のレジストリで指定する必要があります。バイパスモードを使用するには、
DHCP Enforcer をインストールし、バイパスモードを有効化する必要があり
ます。
DHCP 施行ガイド
バイパス機能は Enforcement のトランザクションではなく、DHCP トランザ
クションを監視するため、適切な DHCP Enforcer の設定内容を慎重に検討す
る必要があります。
重要: 各 DHCP サーバーの
「HKLM\SOFTWARE\Sophos\NAC\ServerExtensions\DHCP\Microsoft」という
レジストリキーで、すべてのバイパスモードの設定値を設定する必要があり
ます。ユーザークラスの設定は、「REG_SZ」です。それ以外のすべての設
定は「REG_DWORD」です。
デフォルト値説明バイパスモードのレジスト
リ設定
BypassModeEnabled
BypassErrorLimit
BypassErrorTimeoutSeconds
BypassUserClass
バイパスモードが有効
になっているかどうか
を示す値。
バイパスモードが有効
化される前に発生した
エラーの回数。
バイパスモードが有効
化されるまでの期間。
秒単位で指定します。
DHCP Enforcer のバイパ
スモードが有効になっ
ている間に割り当てる
DHCP ユーザークラ
ス。
BypassModeEnabled のデフォルト
値は 0 (無効) です。
有効化するには、この値を 1 に変
え、DHCP サーバーを再起動しま
す。
BypassErrorLimit のデフォルト値は
3 です。1~60 までの値を指定でき
ます。
この設定は DHCP サーバーを再起
動せずに変更できます。
BypassErrorTimeoutSecond のデフォ
ルト値は 300 (5分) です。15~900
(15分) までの値を指定できます。
この設定は DHCP サーバーを再起
動せずに変更できます。
デフォルトの値は NULL です。こ
の値が指定されていると、DHCP
要求のユーザークラスがなくなり
ます。
ヒント: これはデフォルトで
Windows のクライアント OS の動
作です。
この設定は DHCP サーバーを再起
動せずに変更できます。
29
Sophos NAC Advanced
7.3.2
7.4
DHCP サーバーに出力される Bypass Mode のイベントログ
Bypass モードでは InfoLogging が DHCP Enforcer で有効になっていると DHCP
サーバーのイベントログにメッセージが出力されます。出力されるメッセー
ジは次のとおりです。
イベント IDイベント
Bypass mode is activated (バイパスモードを有効化
しました)
Bypass mode has expired and has been de-activated (有
効期限が切れたため、バイパスモードが無効にな
りました)
10224
10225
DHCPInform メッセージのレポートを有効にする
デフォルトで DHCPInform メッセージは施行されますがレポートされませ
ん。DHCPInform メッセージのレポートを有効にするには、既存のマイクロ
フトのレジストリキーに値を追加します。大規模な DHCP 環境の場合は、
Sophos NAC Advanced のパフォーマンスに影響を及ぼすため、DHCPInform
メッセージのレポートの有効化はお勧めしません。
1.
DHCP サーバーで
「HKLM\SOFTWARE\Sophos\NAC\ServerExtensions\DHCP\Microsoft」とい
うレジストリキーを参照します。
2.
レジストリ値、DWORD を追加します。
3.
「 Value name」に「ReportInforms」と入力します。
4.
「Value data」に「1」と入力します。
5.
「OK」をクリックし、値を保存します。
これで DHCPInform メッセージのレポートが有効になりました。
30
DHCP 施行ガイド
8
Compliance Manager で行うタスク
DHCP Enforcement (施行) は、Compliance Manager の設定を大きく変更するこ
となく、機能するようになっています。ただし、少なくともポリシーを作成
し、グループを作成してポリシーを適用した後、DHCP Enforcement を有効
にする必要があります。
Compliance Manager で行うタスクは次のとおりです。
■
ポリシーを作成する。
■
グループを作成し、作成したポリシーを適用する。
■
使用する DHCP 実装に対して、事前定義済みの DHCP Enforcer の設定が適
切であることを確認する。
■
Compliance Manager の DHCP Enforcer レポートを実行し、DHCP レポート
情報を確認する。
8.1
ヒント: DHCP Enforcer レポートを使用して、DHCP 施行を有効にした際
にエンドポイントに適切なネットワークアクセスが許可されるかどうかを
判断します。
■
DHCP Enforcer Access Template を検証し、DHCP 施行を有効にする。
ポリシーを作成する
ポリシーは、エンドポイントにおけるプロファイルの評価に基づき、社内
ネットワークのリソースへのアクセスをコントロールします。ポリシーは、
エンドポイントのコンプライアンスステート、表示されるメッセージ、実行
される修復アクション、および施行アクションを決定する環境設定を管理し
ます。ポリシーには、エージェント設定、プロファイル、および関連付けら
れているアクセステンプレートが含まれます。
重要: すべてのポリシーおよびポリシーの変更内容は、ネットワーク上の施
行ポイントで直ちに有効ですが、エージェントが取得するまでポリシーはエ
ンドポイントに適用されません。
操作方法
1.
Compliance Manager にログオンします。
2.
「 Manage > Policies 」(管理 - ポリシー) をクリックします。そして、ペー
ジの左下にある「Create Policy」(ポリシーの作成) をクリックします。
3.
ポリシーの名称と説明を入力します。
4.
ポリシーモードの設定はそのままにします。
31
Sophos NAC Advanced
5.
「DHCP Agent Settings」(DHCP Agent の設定) を指定します。この設定は、
DHCP 施行を実装する場合のみに適用されます。
■
Agent Enforcement Action: エンドポイントの新規 IP アドレスの取得方法
を確立。エージェントは、次の状況で新規 IP アドレスを取得します。
エージェントがコンプライアンス評価を起動・開始した場合、エンド
ポイントのコンプライアンス ステートに変更があった場合、ポリシー
モードに変更があった場合、およびエンドポイントのポリシーで指定
されている DHCP Enforcer Access Template に変更があった場合。次のよ
うな内容を設定できます。
■
None: エンドポイントの IP アドレスを解放・更新しない。DHCP 施
行を使用していない場合は、「None」(なし) を選択してください。
■
Release Renew: エンドポイントの IP アドレスを解放する。また、解
放後に DHCP サーバーを使用して IP アドレスを更新する。新しい IP
アドレスを取得する前に、現在の IP アドレスは破棄されます。DHCP
施行を使用する場合は、必ず、「Release Renew」(解放、更新) を選
択してください。
ヒント: Dissolvable Agent を稼動している Windows Vista 環境のエンド
ポイントで IP アドレスを解放、更新する必要がある場合、同エー
ジェントは、管理者権限のアカウント情報の入力、またはエンドポ
イントの再起動をリクエストするユーザーメッセージを表示します。
6.
「Add Profiles」(プロファイルの追加) をクリックします。
7.
ポリシーに追加したい OS プロファイルの横にあるチェックボックスを選
択して、「OK」をクリックします。
OS プロファイルを複数選択した場合は、評価する際の優先順位をつける
ことができます。ポリシーの動作は、次のようにして評価されます。
■
Required - Use Best Profile: Operating System Profile (OS のプロファイル)
は必須で、Best Profile (最適なプロファイル) として評価されます。必要
な OS の 1つがエンドポイントにインストールされていない場合は、最
も優先順位の高い OS プロファイルにおける「Else」条件の「Compliance
State」が、OS プロファイルタイプのコンプライアンス ステートとアク
ションを決定するために使用され、同ポリシー内の他のプロファイル
は評価されません。
32
DHCP 施行ガイド
■
Use Best Profile: 各ポリシー内の特定のタイプのプロファイルは、エン
ドポイントで評価され、最適な一致が判断されます。最適な一致のプ
ロファイルに関連した規定のアクションのみが実行されます。「Best」
では、エンドポイントで最もポリシーとの適合性が高いプロファイル
が使用され、ポリシー内のプロファイルタイプのコンプライアンス ス
テートが決定されます。特に指定されない限り、アプリケーション プ
ロファイルはこのようにして評価されます。評価中のプロファイルが
エンドポイントに全くインストールされていない場合は、最も優先順
位の高いプロファイルにおける、コンプライアンスステートの「Else」
条件が、ポリシー内の各プロファイルタイプのコンプライアンスステー
トおよびアクションを決定するために使用されます。
■
Use All Profiles: 各ポリシー内の特定のタイプのプロファイルすべてがエ
ンドポイントで評価され、プロファイルすべてに関連付けされている
規定のアクションが実行されます。「All」では、エンドポイントでポ
リシーとの適合性が最も低いプロファイルが使用され、ポリシー内の
プロファイルタイプのコンプライアンスステートが決定されます。パッ
チプロファイルはこのようにして評価されます。エンドポイント上で
ブロックするアプリケーションプロファイルは、この方法で評価され
ます。
重要: OS プロファイルをポリシーに追加した後で、他のタイプのプロファ
イルをポリシーに追加するようにしてください。ポリシーに追加できるプ
ロファイル数に制限はありません。少なくとも 1つの OS プロファイルを
ポリシーに追加するようにしてください。ポリシーには、エンドポイント
で評価したい各 OS に対応する OS プロファイルを含めるようにしてくだ
さい。
8.
随時、「Add Profiles」(プロファイルの追加) をクリックして、他のタイ
プのプロファイルをポリシーに追加し、「Profile Type」(プロファイルタ
イプ) リストボックスをクリックして、ポリシーに追加したいプロファイ
ルタイプの横にあるチェックボックスを選択して、「OK」をクリックし
ます。
随時この操作を繰り返して、プロファイルをポリシーに追加してくださ
い。
33
Sophos NAC Advanced
9.
アプリケーションプロファイルやパッチプロファイルを選択した場合、ア
プリケーションやパッチを評価する OS 環境を指定することができます。
また、アプリケーションプロファイルが複数ある場合は、評価するアプリ
ケーションに優先順位をつけることができます。
アプリケーションやパッチの評価を実行したくない OS のチェックボック
スを選択から外してください。随時、矢印を使用して、アプリケーション
を評価する優先順位を指定してください。グレーアウト表示されている
ボックスは、該当する OS でのアプリケーションの評価が実行可能でな
い、または対応していないことを意味します。
10.
「Save」(保存) をクリックします。
ポリシーを作成した後は、それをグループに指定する必要があります。各グ
ループに指定できるポリシーは 1つのみですが、各ポリシーを指定できるグ
ループの数に制限はありません。
8.2
グループを作成して、ポリシーを適用する
グループの作成では、ユーザーやエンドポイントのグループをユーザースト
アに割り当てるための名前を設定し、各グループにポリシーを適用します。
Sophos NAC Advanced に登録されたエンドポイントをコンプライアンス評価
できるよう、グループにポリシーを適用する必要があります。所属するグ
ループは、エンドポイントがエージェントを使用して Sophos NAC Advanced
にアクセスする際に決定されます。ポリシーは、該当するポリシーの更新頻
度に基づいて取得されます。
グループ作成時、または「Groups」ページにて、グループにポリシーを適用
できます。各グループに指定できるポリシーは 1つのみですが、各ポリシー
を指定できるグループの数に制限はありません。グループの作成後、
「Groups」ページの一覧で優先順位を設定できます。
操作方法
1.
Compliance Manager にログオンします。
2.
「 Manage > Groups 」(管理 - グループ) をクリックします。そして、ペー
ジの左下にある「Create Groups」(グループの作成) をクリックします。
34
DHCP 施行ガイド
3.
グループの名称と説明を入力します。
重要:
■
Sophos NAC Advanced を RADIUS プロキシとして使用している (別の
RADIUS サーバーとの間にこのソフトウェアをプロキシモードで設定し
ている) 場合、ユーザーが適切なポリシーを取得できるようにするに
は、グループ名が、RADIUS サーバーから返される値と一致するように
してください。グループ名が、RADIUS サーバーから返される値と一致
しない、または RADIUS サーバーからグループ名が返されない場合は、
ユーザーにデフォルトポリシー (指定済みの場合) が適用されます。
■
Active Directory を使用している場合、グループ名は、ユーザーストアに
あるセキュリティグループ名と一致するようにしてください。グルー
プ名が、ユーザーストアにあるセキュリティグループ名と一致しない
場合は、ユーザーにデフォルトポリシー (指定済みの場合) が適用され
ます。
4.
「Policy」(ポリシー) リストボックスをクリックして、グループに関連付
けるポリシーを選択します。
重要: ポリシーが未選択で、デフォルトポリシーが適用されていない場
合、エンドポイントのコンプライアンスは評価されません。この場合、エ
ンドポイントには、以下のアクセステンプレートが適用されます。常にデ
フォルトポリシーを適用することをお勧めします。
■
DHCP Enforcer: エンドポイントには、「 Configure System > Enforcer
Settings 」(システムの設定 - エンフォーサの設定) エリアにある Default
アクセスステートに関連した、DHCP Enforcer Access Template が適用さ
れます。
5.
「Save」(保存) をクリックします。
重要: グループの作成後、「Groups」ページの一覧で優先順位を設定でき
ます。特定のエンドポイントに複数のグループが適用可能な場合は、その
エンドポイントに適用可能な最初のグループが使用されます。より特化し
た、条件の厳しいグループを優先することをお勧めします。
8.3
エンフォーサ設定を検証する
Compliance Manager の「Enforcer Settings」(エンフォーサ設定) ページでは、
Sophos NAC Advanced による Enforcement (施行) の実行方法を指定できます。
使用する DHCP 実装に対して、事前定義済みの DHCP Enforcer の設定が適切
35
Sophos NAC Advanced
であることを確認してください。ほとんどの場合、エンフォーサ設定に変更
を加える必要はありません。
操作方法
1.
Compliance Manager にログオンします。
2.
「 Configure System > Enforcer Settings 」(システムの設定 - エンフォーサ
設定) をクリックします。
3.
「Policy Threshold Settings」(ポリシー アップデートのしきい値) で、指定
されているデフォルト値をそのままにします。
4.
「Enforcer Server Settings」(エンフォーサのサーバー設定) で、指定されて
いるデフォルト値をそのままにします。
5.
「DHCP Enforcer」タブをクリックします。
6.
各アクセスステートに対して、適切なアクセステンプレートが適用されて
いることを確認してください。選択できるアクセスステートは次のとおり
です。
■
Unknown Endpoint: コンプライアンスのレコードが存在しない場合に
ネットワークアクセスを指定。不明なエンドポイントは、管理されず、
除外されません。適用されているアクセステンプレートは、不明なエ
ンドポイントのネットワークアクセスを拒否します。
■
Maintenance Mode/Enforcer Override: システムがメンテナンスモードに
ある、または「Override Enforcers」チェックボックスを使用して、DHCP
Enforcer が無効にされた場合にネットワークアクセスを指定。適用され
ているアクセステンプレートは、エンドポイントのネットワークアク
セスを許可します。
■
Default: デフォルトポリシーが適用されてない場合、または関連付けさ
れているアクセステンプレートが見つからない場合のネットワークア
クセスを指定。適用されているアクセステンプレートは、エンドポイ
ントのネットワークアクセスを許可します。
7.
特定のアクセスステートに対するアクセステンプレートを追加/変更する
には、「Select」(選択)をクリックし、アクセステンプレート、およびそ
れが適用されるアクセスステートの横にあるチェックボックスを選択し、
「OK」をクリックします。
36
8.
随時、矢印を使用して、アクセステンプレートを優先順位に従って並べて
ください。
特定のステートに適用可能なテンプレートが複数ある場合、そのステート
に最初に該当するテンプレートが使用されます。より特化された、条件の
厳しいアクセステンプレートを優先することをお勧めします。
9.
「Save」(保存) をクリックします。
DHCP 施行ガイド
8.4
DHCP Enforcer レポートを実行する
Compliance Manager DHCP Enforcer レポートを実行し、DHCP 施行を有効に
する前に、エンドポイントのポリシーコンプライアンスの状況を検出しま
す。DHCP Enforcer レポートを使用して、施行が有効に設定された場合、適
切なアクセステンプレートが適用されるかを判断することができます。
DHCP Enforcer レポートは、現在のデータまたはアーカイブされたデータを
使用して作成されます。現行のデータを保存する期間、およびデータをアー
カイブする頻度は、サーバーの設定に依存します。デフォルトで、現行デー
タは 2日間保存され、1日 1回データがアーカイブされます。データが最後に
アーカイブされた日時は、「Use Data from Last Archive」チェックボックスの
横に表示されます。
■
DHCP Enforcer: このレポートでは、エンドポイントのコンプライアンス
ステート、関連付けされたアクセステンプレート、および特定のアクセス
テンプレートが適用された理由が表示されます。DHCP Enforcer レポート
から「Exemptions」(除外) ページを表示して、DHCP 施行を有効にする前
に、必要に応じてエンドポイントを除外することができます。
ヒント: リアルタイムのデータを複数のソースから統合しているため、現行
のデータが不完全なこともあるのでご注意ください。
操作方法
1.
Compliance Manager にログオンします。
2.
「 Report > Troubleshooting 」(レポート - トラブルシューティング) をク
リックします。
3.
「Report Type」(レポートのタイプ) リストボックスをクリックして、
「DHCP Enforcer」を選択します。
4.
アーカイブデータを使用するには、「Use Data from Last Archive」(最後に
作成されたアーカイブファイルからデータを使用する) チェックボックス
を選択します。
37
Sophos NAC Advanced
5.
該当する場合、「Report Criteria」(レポートの基準) の横にあるプラス記
号をクリックし、適切な検索オプションを入力または選択します。また、
「Custom Sort」(並び替えのカスタマイズ) リンクをクリックして、並び
替えオプションを詳細設定することができます。ここで指定した並び替え
の設定は、レポートが表示されている間のみ有効です。
各フィールドに関する詳細は、表「フィールドおよびその説明」をご覧く
ださい。
ヒント: ほとんどのフィールドで、「*」や「%」記号を使用して、ワイル
ドカード検索を実行できます。たとえば、「Returned User Class」(返され
たユーザークラス) フィールドに「M%」を入力すると、「M」ではじま
るすべてのユーザークラスが表示されます。同様に、「Returned User
Class」(返されたユーザークラス) フィールドに「%」なしで「M」と入力
すると、「M」というユーザークラスのみが表示されます。
6.
「Run」(実行) をクリックします。
フィールドおよびその説明
説明フィールド
Summary レポートのエントリ
Date/Time
MAC Address
Computer Name
Compliance State
ネットワークアクセスを試みた日時。
ヒント: 日時は、Compliance Managerにアクセスしている Web ブラウ
ザのタイムゾーンに従って表示されます。
ネットワーク接続を試みているデバイスの MAC アドレス。表示され
ている MAC アドレスは、DHCP クライアント要求に関連する NIC
(ネットワーク インターフェース カード) に割り当てられています。
ネットワーク接続を試みているデバイスの名前。コンピュータ名に
は、クライアント要求で指定されたものが使用されます。
評価時に指定されたエンドポイントのコンプライアンス ステート。
指定されるコンプライアンス ステートは、次のとおりです。
■
Compliant: 評価の結果、エンドポイントがポリシーに準拠してい
ると判断された状態。ポリシーに関連付けされている、ポリシー
準拠の DHCP Enforcer Access Template によってネットワークアク
セスが決定されます。
38
■
Partially Compliant: 評価の結果、エンドポイントがポリシーに一
部準拠していると判断された状態。ポリシーに関連付けされてい
る、ポリシーに一部準拠している DHCP Enforcer Access Template
によってネットワークアクセスが決定されます。
DHCP 施行ガイド
説明フィールド
■
Non-Compliant: 評価の結果、エンドポイントがポリシーに準拠し
ていないと判断された状態。ポリシーに関連付けされている、ポ
リシーに準拠していない DHCP Enforcer Access Template によって
ネットワークアクセスが決定されます。
重要: エンドポイントのコンプライアンスステートは、エンドポイン
トのプロファイルの条件の評価結果と、各プロファイル タイプに適
用されているポリシーの動作とを併せて決定されます。各条件のコ
ンプライアンス ステートは、その上に位置するプロファイルに反映
され、複数のプロファイルのコンプライアンス ステートは、その上
に位置するポリシーに反映されます。このようにして、全般のコン
プライアンス ステートが決定されます。ポリシーとの適合性が最も
低いコンプライアンス ステートが、総合的なコンプライアンス ス
テートに反映されます。コンプライアンス ステート決定後は、それ
に基づいたネットワークアクセスを、ポリシー内で指定されている
アクセステンプレートを使用して施行することができます。
Template Name
(Version)
Reason
DHCP Enforcer によるアクションを決定するアクセステンプレートの
名前とバージョン。特定のアクセステンプレートが使用された理由
は、「Reason」(理由) に表示されます。使用可能なアクセステンプ
レートは、次のデフォルトのテンプレート、および組織特有のテン
プレートです。
■
Default - DHCP Permit (NULL User Class): ネットワークアクセスを
許可する目的で、Null ユーザークラスを返すために使用される
DHCP Enforcer Access Template。
■
Default - DHCP Deny (NACDeny User Class): ネットワークアクセス
を拒否する目的で、NACDeny ユーザークラスを返すために使用さ
れる DHCP Enforcer Access Template。
特定のアクセステンプレートが DHCP Enforcer によって適用された理
由。次のような理由があります。
■
Assessment: エージェントが実行した評価によってコンプライアン
スステートが決定された場合。コンプライアンス ステートに関連
付けされている、DHCP Enforcer Access Template によってネット
ワークアクセスが決定されます。
■
Default Template: エンドポイントにポリシーが関連付けされてい
る場合、またはエンドポイントが除外に指定されているが、関連
付けされているアクセステンプレートが見つからなかった場合。
「 Configure System Enforcer Settings」(システムの設定 - エンフォー
サ設定) エリアで指定されたデフォルトのアクセステンプレート
によって、ネットワークアクセスが指定されます。
■
Enforcer Override: 施行がチェックされなかった場合。「 Configure
System > Enforcer Settings 」(システムの設定 - エンフォーサ設定)
39
Sophos NAC Advanced
説明フィールド
エリアで、「Override Enforcer」(エンフォーサの設定をオーバー
ライドする) チェックボックスを選択した場合、同じエリアで指
定されている Maintenance Mode/Enforcer Override Access Template
によってネットワークアクセスが指定されます。
■
Exempted: エンドポイントが「 Enforce > Exemptions 」(施行 - 除
外) エリアで指定されている条件に基づいて除外された場合。
「Exemption Criteria」(除外の条件) で関連付けされているアクセ
ステンプレートによってネットワークアクセスが指定されます。
括弧書きで表示される、除外の理由は次のとおりです。
■
User Class: 当該のユーザークラスが除外の対象になっている。
■
Vendor Class: 当該のベンダクラスが除外の対象になっている。
■
MAC: 当該の MAC アドレスが除外の対象になっている。
■
IP Scope: 当該の IP スコープが除外の対象になっている。
■
Maintenance Mode: ソフトウェアがメンテナンスモードで動作して
いる場合。「 Configure System > Enforcer Settings 」(システムの設
定 - エンフォーサ設定) で指定された Maintenance Mode/Enforcer
Override Access Template によって、ネットワークアクセスが指定
されます。
■
Policy Retrieval Error: エンドポイントのコンプライアンス ステー
トが最新でない状態。「 Configure System > Enforcer Settings 」(シ
ステムの設定 - エンフォーサ設定) エリアで設定する「DHCP Policy
Update Threshold」(DHCP ポリシーアップデートのしきい値) フィー
ルドの値に基づいて判定されます。「Policy Retrieval Error」(ポリ
シー取得エラー) ステートに関連付けされている、ポリシーの
DHCP Enforcer Access Template によってネットワークアクセスが
指定されます。
■
Remediate: ポリシーモードが「Remediate」(修復) になっている場
合。「Remediate」モードに関連付けされている、DHCP Enforcer
Access Template によってネットワークアクセスが指定されます。
■
Report Only: ポリシーモードが「Report Only」(レポートのみ) に
なっている場合。「Report Only」モードに関連付けされている、
DHCP Enforcer Access Template によってネットワークアクセスが
指定されます。
40
■
Reserved: ネットワークアクセスを要求しているデバイスの MAC
アドレスが DHCP サーバーで特殊デバイスとして予約されている
場合。
■
System Error: 操作の完了を妨げるエラーがエンフォーサで発生し
た場合。コンプライアンス アプリケーション サーバーの
SystemErrors レジストリ設定は、ネットワークアクセスを拒否す
るようデフォルト設定されています。
DHCP 施行ガイド
説明フィールド
■
Template Error: 関連付けされているアクセステンプレートが存在
せず、「 Configure System > Enforcer Settings 」(システムの設定 エンフォーサ設定) エリアで指定したデフォルトのアクセステン
プレートを使用できなかった場合。このエラーが発生した場合、
ネットワークアクセスは DHCP サーバーによって指定され、ユー
ザークラスが返されず、ユーザーのアクセスが拒否されます。
■
Unknown Endpoint: コンプライアンスに関するレコードが存在し
ない場合。「 Configure System > Enforcer Settings 」(システムの設
定 - エンフォーサ設定) エリアで指定した Unknown Endpoint Access
Template によってネットワークアクセスが指定されます。
Returned User
Class
Username
DHCP Server
施行を実行するため、DHCP Enforcer によって DHCP サーバーに返さ
れた DHCP ユーザークラス。
ネットワークアクセスを試みたユーザーのユーザー名。
DHCP Enforcer にネットワークアクセスを要求している DHCP サー
バーの IP アドレス。同サーバーは、DHCP Enforcer がインストール
済みの DHCP サーバーです。
Exempt
「Exemptions」(除外) ページを表示するアイコン。このページを表示
して、レポートの項目にある DHCP 条件に基づき、除外を作成しま
す。このアイコンは、理由が「Exempted」(除外済み) でない場合の
みに表示されます。
Detailed レポートのエントリ
Agent Enforcement
Action
エンドポイントが実行したアクション。エンドポイントは、ポリシー
で指定されている Agent Enforcement Action に基づいて IP アドレスを
解放、更新します。エージェントは、次の状況で新規 IP アドレスを
取得します。エージェントがコンプライアンス評価を起動/開始した
場合、エンドポイントのコンプライアンス ステートに変更があった
場合、およびユーザーのポリシーで指定されている DHCP Enforcer
Access Template に変更があった場合。次のような内容を設定できま
す。
Vendor Class
■
None: エンドポイントの IP アドレスを解放・更新しない。
■
Release Renew: エンドポイントの IP アドレスを解放する。また、
解放後に DHCP サーバーを使用して IP アドレスを更新する。新
しい IP アドレスを取得する前に、現在の IP アドレスは破棄され
ます。
■
3つのハイフン (---): エージェントによってアクションが報告され
なかった場合。
DHCP クライアントのベンダクラス。
41
Sophos NAC Advanced
説明フィールド
8.5
DHCP Relay
Transaction ID
DHCP Enforcer Access Template を選択するため、DHCP Enforcer によっ
て使用される DHCP リレーエージェントの IP アドレス (元の DHCP
要求内に存在する場合)。DHCP リレーエージェントが使用されてい
ない場合、0.0.0.0 が表示されます。
DHCP サーバーから返されたトランザクション ID。トランザクショ
ン ID は、DHCP クライアントのメッセージをサーバーからの返答に
関連付けます。
アクセステンプレートを検証し、DHCP 施行を有効にす る
DHCP 施行を有効にするには、該当するポリシー内で、ポリシーモードを
「Report Only」(レポートのみ) から「Enforce」(施行) に変更してください。
施行を有効にする際、適用されている事前定義済みのアクセステンプレート
が、使用する DHCP 実装環境において適切であることを確認してください。
重要: すべてのポリシーおよびポリシーの変更内容は直ちに有効ですが、エー
ジェントが取得するまで、エンドポイントには適用されません。
操作方法
1.
Compliance Manager にログオンします。
2.
「 Manage > Policies 」(管理 - ポリシー) をクリックします。そして、アッ
プデートするポリシーのポリシー名をクリックします。
3.
「Policy Mode」(ポリシーモード) リストボックスをクリックして、ポリ
シーモードを「Enforce」(施行) に変更します。選択できるポリシーモード
は次のとおりです。
■
Report Only: ポリシー内のプロファイルを使用したエンドポイント評
価、Compliance Managerでのレポート情報の作成が行われます。しか
し、メッセージの表示、エンドポイントでの修復アクション、施行ア
クションは実行されません。「Report Only」(レポートのみ) モードは、
ステップ 5 で関連付けされるアクセステンプレートを使用します。
■
Remediate: ポリシー内のプロファイルを使用したエンドポイント評価、
Compliance Managerでのレポート情報の作成、メッセージの表示、エン
ドポイントの修復が行われます。しかし、施行アクションは実行され
ません。「Remediate」(修復) モードは、ステップ 5 で関連付けされる
アクセステンプレートを使用します。
42
DHCP 施行ガイド
■
Enforce: ポリシー内のプロファイルを使用したエンドポイント評価、
Compliance Managerでのレポート情報の作成、メッセージの表示、エン
ドポイントの修復、該当するアクセスステートやコンプライアンス ス
テートに対するアクセステンプレートの適用が行われます。「Enforce」
(施行) モードは、ステップ 5 で関連付けされるアクセステンプレートを
使用します。
4.
「DHCP Agent Settings」(DHCP Agent の設定) を指定してください。
■
Agent Enforcement Action: エンドポイントの新規 IP アドレスの取得方法
を確立。エージェントは、次の状況で新規 IP アドレスを取得します。
エージェントがコンプライアンス評価を起動/開始した場合、エンドポ
イントのコンプライアンス ステートに変更があった場合、およびエン
ドポイントのポリシーで指定されている DHCP Enforcer Access Template
に変更があった場合。次のような内容を設定できます。
■
None: エンドポイントの IP アドレスを解放・更新しない。DHCP 施
行を実行していない場合は、「None」(なし) を選択してください。
■
Release Renew: エンドポイントの IP アドレスを解放する。また、解
放後に DHCP サーバーを使用して IP アドレスを更新する。新しい IP
アドレスを取得する前に、現在の IP アドレスは破棄されます。DHCP
施行を実行する場合は、必ず、「Release Renew」(解放、更新) を選
択してください。
43
Sophos NAC Advanced
5.
左側のナビゲーション「Network Access」(ネットワークアクセス) エリア
で、「DHCP」をクリックします。「Enforce」(施行) タブをクリックし、
適用されている、事前定義済みのアクセステンプレートを確認します。
ヒント: デフォルトで、各ポリシーには、事前定義済みのアクセステンプ
レートが自動的に適用されています。適切なアクセステンプレートが適用
されていることを確認してください。「Report Only」(レポートのみ) およ
び「Remediate」(修復) モード用にあらかじめ適用されているアクセステ
ンプレートはそのままにしておきます。「Report Only」(レポートのみ) お
よび「Remediate」(修復) モード用にあらかじめ適用されている設定では、
ネットワークアクセスが許可されています。
事前定義済みの DHCP Enforcer Access Template
■
Policy Retrieval Error: エンドポイントのコンプライアンス ステートが最
新でない状態。「 Configure System > Enforcer Settings 」(システムの設
定 - エンフォーサ設定) エリアで設定する「DHCP Policy Update
Threshold」(DHCP ポリシー アップデートのしきい値) フィールドの値
に基づいて判定されます。事前定義済みの「Default - DHCP Deny
(NACDeny User Class)」(デフォルト - DHCP 拒否 (NACDeny ユーザーク
ラス)) アクセステンプレートは、エンドポイントを検疫し、ポリシー
取得エラーが発生した場合、制限付きでネットワークアクセスを許可
します。
■
Compliant: エンドポイントがポリシーに準拠している状態。事前定義
済みの「Default - DHCP Permit (NULL User Class)」(デフォルト - DHCP
許可 (NULL ユーザークラス)) アクセステンプレートは、エンドポイン
トがポリシーに準拠している際、ネットワークアクセスを許可します。
■
Partially Compliant: エンドポイントがポリシーに一部準拠している状
態。事前定義済みの「Default - DHCP Permit (NULL User Class)」(デフォ
ルト - DHCP 許可 (NULL ユーザークラス)) アクセステンプレートは、
エンドポイントがポリシーに一部準拠している場合、ネットワークア
クセスを許可します。
■
Non-Compliant: エンドポイントがポリシーに準拠していない状態。事
前定義済みの「Default - DHCP Permit (NULL User Class)」(デフォルト -
DHCP 許可 (NULL ユーザークラス)) アクセステンプレートは、エンド
ポイントを検疫し、エンドポイントがポリシーに準拠していない場合、
制限付きでネットワークアクセスを許可します。
44
DHCP 施行ガイド
6.
随時、矢印を使用して、DHCP Enforcer Access Template の優先順位を指定
してください。
特定のステートに適用可能なテンプレートが複数ある場合、そのステート
に最初に該当するテンプレートが使用されます。より特化された、条件の
厳しいアクセステンプレートを優先することをお勧めします。
7.
「Save」(保存) をクリックします。
45
Sophos NAC Advanced
9
テクニカルサポート
ソフォス製品のテクニカルサポートは、次のような形でご提供しておりま
す。
■
「SophosTalk」ユーザーフォーラム (英語) (http://community.sophos.com/)
のご利用。さまざまな問題に関する情報を検索できます。
■
ソフォス サポートデータベースのご利用。http://www.sophos.co.jp/support/
■
製品ドキュメントのダウンロード。http://www.sophos.co.jp/support/docs/
■
メールによるお問い合わせ。ソフォス製品のバージョン番号、OS および
適用しているパッチの種類、エラーメッセージの内容などを、
support@sophos.co.jp までお送りください。
46
DHCP 施行ガイド
10
ご利用条件
Copyright © 2011 Sophos Limited. All rights reserved. この出版物の一部または全
部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法に
おいても、使用許諾契約の条項に準じてドキュメントを複製することを許可
されている、もしくは著作権所有者からの事前の書面による許可がある場合
以外、無断に複製、復元できるシステムに保存、または送信することを禁じ
ます。
Sophos および Sophos Anti-Virus は、Sophos Limited の登録商標です。その他
記載されている会社名、製品名は、各社の登録商標または商標です。
47
Loading...