Sophos NAC Advanced 2011 User Manual [it]
Sophos NAC Advanced
エージェント 環境設定ガイド
製品バージョン: 3.2
ドキュメント作成日: 2011年 3月
目次
1 このドキュメントについて.............................................................................................3
2 ベストプラクティス..........................................................................................................5
3 エージェントの表示言語..................................................................................................8
4 Quarantine Agent..................................................................................................................9
5 Dissolvable Agent................................................................................................................37
6 Cisco NAC との連携機能.................................................................................................46
7 テクニカルサポート........................................................................................................48
8 ご利用条件.........................................................................................................................49
2
エージェント 環境設定ガイド
1
このドキュメントについて
このドキュメントは、Sophos Compliance Agent および Compliance Dissolvable
Agent について説明します。主な内容は次のとおりです。
■
ベストプラクティス
■
機能概要
■
処理の流れ
■
エージェントの設定 (タイプ別)
■
アイコン、メニュー、バルーン、ダイアログボックスなどの利用可能なイ
ンターフェース用コンポーネント
■
Cisco NAC との連携設定
1.1
概要
Sophos Compliance Agent は、詳細な設定が可能なアプリケーションで、社内
セキュリティポリシーに対するエンドポイントのコンプライアンス評価や、
ポリシーの施行を実行できます。主な機能は、ユーザー用社内セキュリティ
ポリシーの取得、エンドポイントのポリシーコンプライアンス評価、アプリ
ケーションの自動修復とユーザーへのメッセージ表示、エンドポイントの状
態に関するレポート送信です。また、サードパーティ製の VPN クライアン
トからエージェントに接続することもできます。
利用可能なエージェントは次のとおりです。 Quarantine Agent (検疫エージェ
ント) は Microsoft®Windows®を実行しているエンドポイントにインストール
できます。Dissolvable Agent (非常駐型エージェント) は Microsoft Windows を
実行しているゲストユーザー用のエージェントです。
■
Quarantine Agent : エンドポイントがネットワークリソースに接続を開始
する前、あるいはセッション確立中に、定期的にコンプライアンスを評
価・認証します。この間、ユーザーによる操作はほとんど必要ありませ
ん。また、クライアントベースの施行が可能な検疫機能により、コンプラ
イアンスの評価中に、セキュリティポリシーに準拠していないエンドポイ
ントを社内ネットワークの検疫エリアに隔離することができます。
Quarantine Agent は社外ネットワークと社内 LAN 環境の両方で利用可能で
す。RADIUS、DHCP、802.1x など様々な施行タイプと組み合わせて利用
することもできます。また、サードパーティ製のネットワーク アクセス
アプリケーションとの連携も可能です。
■
Dissolvable Agent : エンドポイントがネットワークに接続する前に、社内
セキュリティポリシーとの適合性を評価・認証します。Dissolvable Agent
3
Sophos NAC Advanced
は、ブラウザを使用してエンドポイントにダウンロードしてください。
Dissolvable Agent は、エンドポイントにエージェントをインストールして
いない (あるいはインストールできない) ゲストなどの社員以外のユーザー
が特定のネットワークに接続する必要がある場合に使います。Dissolvable
Agent にネットワークアクセスの施行機能はありませんが、RADIUS、
DHCP、または802.1x エンフォーサと組み合わせて導入することができま
す。
1.2
対象読者
このドキュメントは、中小規模の組織で IT 業務全般を担当されている方を
対象にしています。また、クライアント数 25,000台以上の大規模なネット
ワークの管理担当者の方にもご活用いただけます。なお、クライアント数が
1,000台を超える場合は、ソフォス プロフェッショナル サービスのご利用を
お勧めします。プロフェッショナルサービスは、ソフトウェアの導入プラン
の立案・実行をご支援するサービスです。詳細についてはソフォスまでご相
談ください。
4
エージェント 環境設定ガイド
2
ベストプラクティス
次の一覧表は最も効率的なエージェントの利用方法をまとめたものです。
種別説明ベストプラクティ
ス
Quarantine Agent/
Dissolvable Agent
の最も効率的な実
践方法
環境に応じたエー
ジェント登録の設
定を行う (推奨)。
各エージェントの特徴は次のとおりです。
■
Quarantine Agent : 社内のセキュリティポリシーに
適合しない、社外ユーザーや社内の LAN ユーザー
を隔離したい場合に使用します。Quarantine Agent
には検疫の解除を詳細に設定する機能が用意され
ています。検疫ベースの施行機能だけではなく、
他の施行タイプと組み合わせて利用することも可
能です。また、サードパーティ製のネットワーク
アクセス アプリケーションとの連携も可能です。
■
Dissolvable Agent: エンドポイントにエージェント
がインストールされていない (あるいはインストー
ルできない) ユーザーが特定のネットワークリソー
スに接続する必要がある場合に使用します。
Dissolvable Agent に施行機能はありませんが、
RADIUS、DHCP、802.1x など、様々な施行タイプ
と組み合わせて利用できます。
Quarantine Agent の登録は、Compliance Manager で構
成します。Dissolvable Agent の登録は、Dissolvable Agent
がインストールされている Web サーバーおよび
Compliance Manager で構成します。登録の設定内容に
ついて、エージェントと Compliance Manager の間で矛
盾が生じないようにする必要があります。矛盾してい
る場合、登録機能が正常に動作しないことがありま
す。推奨する Agent Registration の設定内容は、「ベス
トプラクティス ガイド」に記載されています。詳細
は「 Sophos NAC Advanced ベストプラクティス ガイド
」をご覧ください。
各エージェ
ント
Quarantine
Agent/Web
Agent
「Auto Register
Agent」設定を
ト情報を再利用す
る。
ログ設定はトラブ
ルシューティング
時のみ有効にす
る。 ため、どちらのエージェントの設定でも、トラブル
「Auto Register Agent」(自動登録エージェント) 設定は
デフォルトで「True」(有効) に設定されています。こ
の設定が有効な場合、同じエージェントセッション内使ってユーザーが
では、ユーザーがエージェント登録に入力したユー入力したアカウン
ザー名とパスワードが次のエージェント登録で自動的
に再利用されます。
ログの記録はすべての種類のエージェントのパフォー
マンスに負荷を与えます。特に、Quarantine Agent は
定期的に起動するため、より負荷が増加します。この
Quarantine
Agent
Quarantine
Agent/Web
Agent
5
Sophos NAC Advanced
ス
種別説明ベストプラクティ
シューティングを行う場合のみログを有効にし、操作
完了後、無効にすることをお勧めします。
Quarantine Agent
を各エンドポイン
トに展開する前に
テストを行う。
DHCP サーバーに
は DHCP Enforcer
Access Template を
使用する。 ているサーバー) に対しては、DHCP Enforcer Access
テスト用のコンピュータにエージェントをインストー
ルし、正しく動作することを確認してから、各エンド
ポイントに展開することを推奨します。たとえば、ダ
イアログボックスやアイコンの表示が適切であるかな
どを確認します。Quarantine Agent のカスタマイズに
ついて、詳細は「 Sophos NAC Advanced エージェント
カスタマイズ ガイド 」をご覧ください。
この設定には DHCP Enforcer (DHCP エンフォーサ) が
必要です。DHCP サーバー (マイクロソフト社の DHCP
(Dynamic Host Configuration Protocol) ソフトを実行し
Template (DHCP エンフォーサ アクセステンプレート)
を使用し、社内セキュリティポリシーとの適合性に応
じて DHCP ユーザークラスを強制的に適用します。
エージェントの「DHCP User Class」(DHCP ユーザー
クラス) はエンドポイントに当該のエージェントがイ
ンストールされていることだけを判定するため、
「DHCP User Class」ではなく、必ず DHCP Enforcer
Access Template を使用してください。
DHCP Enforcer Access Template の作成について、詳細
は「Compliance Manager ガイド」をご覧ください。
Quarantine
Agent
Quarantine
Agent/Web
Agent
DHCP Enforcer が
インストールされ
使う。 可能性のあるこのようなエンドポイントを検出し、
この設定に DHCP Enforcer (DHCP エンフォーサ) は必
要ありません。エージェントで定義されている「DHCP
User Class」設定を使うと、エージェントがインストーていない DHCP
ルされていないエンドポイントを DHCP サーバーで検サーバーにはエー
出することができます。このため、セキュリティポリジェントの DHCP
シーに準拠していない (管理対象外のユーザーなど)User Class 設定を
ネットワークへのアクセスをブロックしたり、制限で
きます。
マイクロソフト社の DHCP (Dynamic Host Configuration
Protocol) ソフトを実行している DHCP サーバーの場
合、DHCP Enforcer Access Template を定義し、社内セ
キュリティポリシーとの適合性に応じて DHCP ユー
ザークラスを強制的に適用できます。ただし、他のベ
ンダー製 DHCP サーバーでポリシーに準拠しているエ
ンドポイントを検出するには、エージェントをインス
トールする際に「DHCP User Class」を設定する必要が
Quarantine
Agent
6
ス
エージェント 環境設定ガイド
種別説明ベストプラクティ
あります。詳細は「 Sophos NAC Advanced インストー
ルガイド 」をご覧ください。
ヒント: エージェントのインストールで「DHCP User
Class」を設定する際は次の 3つの点にご注意くださ
い。1つ目は、ゲストユーザのエンドポイントで、ク
ライアントサイドのユーザークラスが定義されている
場合、このようなエンドポイントがネットワークにア
クセスした際に適切に動作しない可能性があることで
す。2つ目は、社内ユーザーのエンドポイント上でク
ライアントサイドのユーザークラスが定義されている
場合、このようなエンドポイントがネットワークにア
クセスした際に適切に動作しない可能性があることで
す。3つ目は、クライアントサイドのユーザークラス
を定義する際は、通常のパスワードのセキュリティ規
則に従ってください。これにより、社外のユーザーク
ラスとの重複を防止します。
7
Sophos NAC Advanced
3
エージェントの表示言語
エージェントは、英語、フランス語、スペイン語、ドイツ語、イタリア語、
日本語、簡体中国語、繁体中国語の8カ国語に対応しています。
エージェントには、ダイアログボックスの見出し、フィールド名、ユーザー
メッセージなどのインターフェースのコンポーネントが特定の言語で表示さ
れます。インターフェースのコンポーネントは、カスタマイズ設定ファイル
で、ユーザーメッセージは Compliance Manager で、それぞれ定義されていま
す。エージェントのユーザーメッセージをカスタマイズするには、Compliance
Manager で、エンドポイントのポリシーに関連付けられているプロファイル
を編集し、メッセージを定義する必要があります。
エージェントで使用される言語の決定ロジックは次のとおりです (優先度
順)。GUI コンポーネントとユーザーに対して表示するメッセージの両方に
適用されます。
■
デフォルトのユーザーロケール、言語が完全に一致: はじめに、 U.S. English
などエンドポイントの言語と完全一致するかどうかがチェックされます。
■
デフォルトのユーザーロケール、プライマリ言語のみが一致: 完全に一致
しない場合は、English などプライマリ言語のみと一致するかどうかが
チェックされます。
■
デフォルトの言語: デフォルトのユーザーロケールが認識できない場合、
デフォルトの言語である英語が表示されます。
■
デフォルトの言語が見つからない、あるいは定義されていない場合は、カ
スタム設定ファイル (config.xml) で最初に定義されている言語が GUI 言語
になります。ユーザーメッセージは表示されません。
重要: ソフォスでは、プロファイル用のメッセージを英語 (デフォルト言
語) でも作成することをお勧めしています。これによって、英語以外の
メッセージの表示に問題があった場合でも、少なくとも英語で、エンドポ
イントユーザーにメッセージが表示されます。
ヒント: カスタム設定ファイル (config.xml) で言語が定義されていない場
合、カスタム設定ファイルが使われていない場合、あるいは特定の言語を
認識できない場合は、エージェントの GUI 言語は英語になります。
インターフェース用コンポーネントのカスタマイズについて、詳細は「Sophos
NAC Advanced エージェント カスタマイズ ガイド 」をご覧ください。ユー
ザーメッセージのカスタマイズについて、詳細は「Compliance Manager ガイ
ド」をご覧ください。
8
エージェント 環境設定ガイド
4 Quarantine Agent
ここでは、Quarantine Agent (検疫エージェント) の機能概要と設定方法につ
いて説明します。
4.1
機能概要
Quarantine Agent は、エンドポイントにインストールします。デスクトップ
で起動するユーザー用 GUI はシンプルで、エージェントのプロセス処理と連
動します。また、Compliance Manager で定義されているポリシーに従って定
期的にプロセス処理を実行します。Quarantine Agent をエンドポイントにイ
ンストールするには、ローカル管理者権限が必要です。
エージェント設定
Quarantine Agent は、システムトレイから起動できるアプリケーションです。
システムトレイアイコンを使って、エージェントの動作や施行ステートを常
に参照することができます。Compliance Manager のAgent Configuration Template
でエージェント設定を行い、インターフェースの機能や表示オプションを調
整することも可能です。Agent Configuration Templates をポリシーに追加する
と、次のエンドポイントのコンプライアンス評価で、関連付けされたポリ
シーが取得され、エンドポイントに設定内容を適用することができます。ま
た、Quarantine Agent をログインが必要な他のアプリケーション (VPN ダイヤ
ラーなど) と連動的に起動させ、シームレスにユーザー認証を行うことがで
きます。
処理オペレーション
検疫状態のエンドポイントにユーザーがログオンすると、Quarantine Agent
が自動的に起動します。最初のコンプライアンス評価の後も定期的に評価が
行われ、エンドポイントが常にポリシーに準拠していることが確認されま
す。Quarantine Agent は、エンドポイントでの初回起動時に RSA 二要素認証
を含む登録プロセスを実行します。二度目以降は、エージェントを起動する
度に登録が要求される場合と、登録の有効期限が切れたときのみに再度登録
が要求される場合があります。Windows ドメインのユーザーアカウント情報
を使ってエージェント登録を行うと、エージェントの登録ダイアログボック
スは省略されます。
登録プロセスが完了すると、Quarantine Agent はポリシーの取得・評価・施
行、エンドポイントの修復、レポート生成などの操作を実行します。なお、
処理中にいずれかの操作に失敗した場合でも、他の操作すべてが実行されま
す。操作に失敗すると、あらかじめ定義されている設定に従って自動的に再
試行が行われます。また、当該の操作がスケジュールで次回実行される際
(実行間隔はポリシーで定義) にも再試行されます。
9
Sophos NAC Advanced
ネットワークアクセス
エンドポイントのコンプライアンス状況、接続の状態、ポリシー内で定義さ
れている該当する Network Access Template (ネットワーク アクセステンプレー
ト) を基に、ユーザーに対してネットワークアクセスが適用されます。また、
検疫ベースの施行だけではなく、RADIUS、DHCP、または 802.1x と組み合
わせて他の施行機能を利用することも可能です。
たとえば、ポリシーに準拠しているエンドポイントの場合、ポリシーに準拠
しているエンドポイント用のアクセステンプレートに基いてネットワークア
クセスが指定されます。同様に、ポリシーに準拠していないエンドポイント
や、Compliance Manager で定義したしきい値で最新の状態ではないと分類さ
れるポリシーにアクセスしようとしているエンドポイントの場合は、検疫が
継続され、各アクセスステートに対応した追加アクセステンプレートの定義
に従って、エンドポイントのネットワークアクセスが制限されることもあり
ます。アクセスが制限された状態でも、ネットワークアクセスを完全に回復
させるため、ユーザーにエンドポイントの修復を許可する必要があります。
また、プロキシサーバーを使用している場合は、プロキシへの接続も許可す
る必要があります。
検疫とコンプライアンス評価
Quarantine Agent のアイコンには、エンドポイントが検疫中の状態、ネット
ワークへのフルアクセスが許可されている状態、登録が必要な状態、または
結果待ちの状態などが表示されます。ポリシーで許可されている場合、ユー
ザーは、エージェントセッションの確立中に検疫を解除することができま
す。ユーザーが検疫のオーバーライドを無効にしたり、エンドポイントから
ログオフすると、検疫ステートがリセットされます。このように、エンドポ
イントの検疫はポリシーに準拠するまで継続します。継続的なコンプライア
ンス評価に加え、ユーザー自身が随時コンプライアンス状況を評価すること
もできます。評価は、Quarantine Agent のシステムトレイ アイコンの「コン
プライアンスの確認」メニューのオプションから、または「結果」ダイアロ
グボックスの「コンプライアンスの確認」ボタンから実行します。
レポートおよびメッセージの表示
評価結果には、エンドポイントにインストールされている (あるいはされて
いない) ソフトウェア、ポリシーに反するアクセスがあったときのコンプラ
イアンスステート、ユーザーに表示したメッセージ、またはエンドポイント
で実行されたアクションなどの情報が表示されます。評価中は、Compliance
Manager のプロファイルで設定されている、ユーザーメッセージや評価エ
ラーが表示されます。
10
エージェント 環境設定ガイド
4.1.1
他のネットワーク アクセス アプリケーションとエージェントの連 携
Quarantine Agent は他のネットワーク アクセス アプリケーションと連携させ
ることが可能です。
サードパーティ製アプリケーションから Compliance Checker (Cmpchk.exe) を
呼び出し、エージェントによる詳細なコンプライアンス評価を開始できま
す。他の詳細な対話型操作、および通常の操作は、エージェントのシステム
トレイから利用できます。なお、Compliance Checker を起動するには、エー
ジェントを起動する必要があります。連動操作のために、Compliance Checker
(Cmpchk.exe) から返されるコードは次のとおりです。
■
0: The Agent performed policy assessment and the endpoint is compliant.(エー
ジェントがコンプライアンス評価を実行しました。エンドポイントはポリ
シーに準拠しています。)
5: The Agent performed policy assessment and the endpoint is partially compliant.
■
(エージェントがコンプライアンス評価を実行しました。エンドポイント
はポリシーに一部準拠しています。)
4.2
10: The Agent performed policy assessment and the endpoint is non-compliant.
■
(エージェントがコンプライアンス評価を実行しました。エンドポイント
はポリシーに準拠していません。)
■
101: The Agent is not running. (エージェントが起動していません。)
■
102: Registration is required. (登録が必要です。)
■
103: No policy was found for this username. (このユーザー名に対するポリシー
が見つかりません。)
■
104: An error occurred during the compliance assessment. (コンプライアンス評
価中、エラーが発生しました。)
タスク
ここでは、フローチャートを使って Quarantine Agent のワークフローを説明
します。
11
Sophos NAC Advanced
12
エージェント 環境設定ガイド
13
Sophos NAC Advanced
14
エージェント 環境設定ガイド
15
Loading...