Sophos NAC Advanced
エージェント 環境設定ガイド
製品バージョン: 3.2
ドキュメント作成日: 2011年 3月
目次
1 このドキュメントについて.............................................................................................3
2 ベストプラクティス..........................................................................................................5
3 エージェントの表示言語..................................................................................................8
4 Quarantine Agent..................................................................................................................9
5 Dissolvable Agent................................................................................................................37
6 Cisco NAC との連携機能.................................................................................................46
7 テクニカルサポート........................................................................................................48
8 ご利用条件.........................................................................................................................49
2
エージェント 環境設定ガイド
1
このドキュメントについて
このドキュメントは、Sophos Compliance Agent および Compliance Dissolvable
Agent について説明します。主な内容は次のとおりです。
■
ベストプラクティス
■
機能概要
■
処理の流れ
■
エージェントの設定 (タイプ別)
■
アイコン、メニュー、バルーン、ダイアログボックスなどの利用可能なイ
ンターフェース用コンポーネント
■
Cisco NAC との連携設定
1.1
概要
Sophos Compliance Agent は、詳細な設定が可能なアプリケーションで、社内
セキュリティポリシーに対するエンドポイントのコンプライアンス評価や、
ポリシーの施行を実行できます。主な機能は、ユーザー用社内セキュリティ
ポリシーの取得、エンドポイントのポリシーコンプライアンス評価、アプリ
ケーションの自動修復とユーザーへのメッセージ表示、エンドポイントの状
態に関するレポート送信です。また、サードパーティ製の VPN クライアン
トからエージェントに接続することもできます。
利用可能なエージェントは次のとおりです。 Quarantine Agent (検疫エージェ
ント) は Microsoft®Windows®を実行しているエンドポイントにインストール
できます。Dissolvable Agent (非常駐型エージェント) は Microsoft Windows を
実行しているゲストユーザー用のエージェントです。
■
Quarantine Agent : エンドポイントがネットワークリソースに接続を開始
する前、あるいはセッション確立中に、定期的にコンプライアンスを評
価・認証します。この間、ユーザーによる操作はほとんど必要ありませ
ん。また、クライアントベースの施行が可能な検疫機能により、コンプラ
イアンスの評価中に、セキュリティポリシーに準拠していないエンドポイ
ントを社内ネットワークの検疫エリアに隔離することができます。
Quarantine Agent は社外ネットワークと社内 LAN 環境の両方で利用可能で
す。RADIUS、DHCP、802.1x など様々な施行タイプと組み合わせて利用
することもできます。また、サードパーティ製のネットワーク アクセス
アプリケーションとの連携も可能です。
■
Dissolvable Agent : エンドポイントがネットワークに接続する前に、社内
セキュリティポリシーとの適合性を評価・認証します。Dissolvable Agent
3
Sophos NAC Advanced
は、ブラウザを使用してエンドポイントにダウンロードしてください。
Dissolvable Agent は、エンドポイントにエージェントをインストールして
いない (あるいはインストールできない) ゲストなどの社員以外のユーザー
が特定のネットワークに接続する必要がある場合に使います。Dissolvable
Agent にネットワークアクセスの施行機能はありませんが、RADIUS、
DHCP、または802.1x エンフォーサと組み合わせて導入することができま
す。
1.2
対象読者
このドキュメントは、中小規模の組織で IT 業務全般を担当されている方を
対象にしています。また、クライアント数 25,000台以上の大規模なネット
ワークの管理担当者の方にもご活用いただけます。なお、クライアント数が
1,000台を超える場合は、ソフォス プロフェッショナル サービスのご利用を
お勧めします。プロフェッショナルサービスは、ソフトウェアの導入プラン
の立案・実行をご支援するサービスです。詳細についてはソフォスまでご相
談ください。
4
エージェント 環境設定ガイド
2
ベストプラクティス
次の一覧表は最も効率的なエージェントの利用方法をまとめたものです。
種別説明ベストプラクティ
ス
Quarantine Agent/
Dissolvable Agent
の最も効率的な実
践方法
環境に応じたエー
ジェント登録の設
定を行う (推奨)。
各エージェントの特徴は次のとおりです。
■
Quarantine Agent : 社内のセキュリティポリシーに
適合しない、社外ユーザーや社内の LAN ユーザー
を隔離したい場合に使用します。Quarantine Agent
には検疫の解除を詳細に設定する機能が用意され
ています。検疫ベースの施行機能だけではなく、
他の施行タイプと組み合わせて利用することも可
能です。また、サードパーティ製のネットワーク
アクセス アプリケーションとの連携も可能です。
■
Dissolvable Agent: エンドポイントにエージェント
がインストールされていない (あるいはインストー
ルできない) ユーザーが特定のネットワークリソー
スに接続する必要がある場合に使用します。
Dissolvable Agent に施行機能はありませんが、
RADIUS、DHCP、802.1x など、様々な施行タイプ
と組み合わせて利用できます。
Quarantine Agent の登録は、Compliance Manager で構
成します。Dissolvable Agent の登録は、Dissolvable Agent
がインストールされている Web サーバーおよび
Compliance Manager で構成します。登録の設定内容に
ついて、エージェントと Compliance Manager の間で矛
盾が生じないようにする必要があります。矛盾してい
る場合、登録機能が正常に動作しないことがありま
す。推奨する Agent Registration の設定内容は、「ベス
トプラクティス ガイド」に記載されています。詳細
は「 Sophos NAC Advanced ベストプラクティス ガイド
」をご覧ください。
各エージェ
ント
Quarantine
Agent/Web
Agent
「Auto Register
Agent」設定を
ト情報を再利用す
る。
ログ設定はトラブ
ルシューティング
時のみ有効にす
る。 ため、どちらのエージェントの設定でも、トラブル
「Auto Register Agent」(自動登録エージェント) 設定は
デフォルトで「True」(有効) に設定されています。こ
の設定が有効な場合、同じエージェントセッション内使ってユーザーが
では、ユーザーがエージェント登録に入力したユー入力したアカウン
ザー名とパスワードが次のエージェント登録で自動的
に再利用されます。
ログの記録はすべての種類のエージェントのパフォー
マンスに負荷を与えます。特に、Quarantine Agent は
定期的に起動するため、より負荷が増加します。この
Quarantine
Agent
Quarantine
Agent/Web
Agent
5
Sophos NAC Advanced
ス
種別説明ベストプラクティ
シューティングを行う場合のみログを有効にし、操作
完了後、無効にすることをお勧めします。
Quarantine Agent
を各エンドポイン
トに展開する前に
テストを行う。
DHCP サーバーに
は DHCP Enforcer
Access Template を
使用する。 ているサーバー) に対しては、DHCP Enforcer Access
テスト用のコンピュータにエージェントをインストー
ルし、正しく動作することを確認してから、各エンド
ポイントに展開することを推奨します。たとえば、ダ
イアログボックスやアイコンの表示が適切であるかな
どを確認します。Quarantine Agent のカスタマイズに
ついて、詳細は「 Sophos NAC Advanced エージェント
カスタマイズ ガイド 」をご覧ください。
この設定には DHCP Enforcer (DHCP エンフォーサ) が
必要です。DHCP サーバー (マイクロソフト社の DHCP
(Dynamic Host Configuration Protocol) ソフトを実行し
Template (DHCP エンフォーサ アクセステンプレート)
を使用し、社内セキュリティポリシーとの適合性に応
じて DHCP ユーザークラスを強制的に適用します。
エージェントの「DHCP User Class」(DHCP ユーザー
クラス) はエンドポイントに当該のエージェントがイ
ンストールされていることだけを判定するため、
「DHCP User Class」ではなく、必ず DHCP Enforcer
Access Template を使用してください。
DHCP Enforcer Access Template の作成について、詳細
は「Compliance Manager ガイド」をご覧ください。
Quarantine
Agent
Quarantine
Agent/Web
Agent
DHCP Enforcer が
インストールされ
使う。 可能性のあるこのようなエンドポイントを検出し、
この設定に DHCP Enforcer (DHCP エンフォーサ) は必
要ありません。エージェントで定義されている「DHCP
User Class」設定を使うと、エージェントがインストーていない DHCP
ルされていないエンドポイントを DHCP サーバーで検サーバーにはエー
出することができます。このため、セキュリティポリジェントの DHCP
シーに準拠していない (管理対象外のユーザーなど)User Class 設定を
ネットワークへのアクセスをブロックしたり、制限で
きます。
マイクロソフト社の DHCP (Dynamic Host Configuration
Protocol) ソフトを実行している DHCP サーバーの場
合、DHCP Enforcer Access Template を定義し、社内セ
キュリティポリシーとの適合性に応じて DHCP ユー
ザークラスを強制的に適用できます。ただし、他のベ
ンダー製 DHCP サーバーでポリシーに準拠しているエ
ンドポイントを検出するには、エージェントをインス
トールする際に「DHCP User Class」を設定する必要が
Quarantine
Agent
6
ス
エージェント 環境設定ガイド
種別説明ベストプラクティ
あります。詳細は「 Sophos NAC Advanced インストー
ルガイド 」をご覧ください。
ヒント: エージェントのインストールで「DHCP User
Class」を設定する際は次の 3つの点にご注意くださ
い。1つ目は、ゲストユーザのエンドポイントで、ク
ライアントサイドのユーザークラスが定義されている
場合、このようなエンドポイントがネットワークにア
クセスした際に適切に動作しない可能性があることで
す。2つ目は、社内ユーザーのエンドポイント上でク
ライアントサイドのユーザークラスが定義されている
場合、このようなエンドポイントがネットワークにア
クセスした際に適切に動作しない可能性があることで
す。3つ目は、クライアントサイドのユーザークラス
を定義する際は、通常のパスワードのセキュリティ規
則に従ってください。これにより、社外のユーザーク
ラスとの重複を防止します。
7
Sophos NAC Advanced
3
エージェントの表示言語
エージェントは、英語、フランス語、スペイン語、ドイツ語、イタリア語、
日本語、簡体中国語、繁体中国語の8カ国語に対応しています。
エージェントには、ダイアログボックスの見出し、フィールド名、ユーザー
メッセージなどのインターフェースのコンポーネントが特定の言語で表示さ
れます。インターフェースのコンポーネントは、カスタマイズ設定ファイル
で、ユーザーメッセージは Compliance Manager で、それぞれ定義されていま
す。エージェントのユーザーメッセージをカスタマイズするには、Compliance
Manager で、エンドポイントのポリシーに関連付けられているプロファイル
を編集し、メッセージを定義する必要があります。
エージェントで使用される言語の決定ロジックは次のとおりです (優先度
順)。GUI コンポーネントとユーザーに対して表示するメッセージの両方に
適用されます。
■
デフォルトのユーザーロケール、言語が完全に一致: はじめに、 U.S. English
などエンドポイントの言語と完全一致するかどうかがチェックされます。
■
デフォルトのユーザーロケール、プライマリ言語のみが一致: 完全に一致
しない場合は、English などプライマリ言語のみと一致するかどうかが
チェックされます。
■
デフォルトの言語: デフォルトのユーザーロケールが認識できない場合、
デフォルトの言語である英語が表示されます。
■
デフォルトの言語が見つからない、あるいは定義されていない場合は、カ
スタム設定ファイル (config.xml) で最初に定義されている言語が GUI 言語
になります。ユーザーメッセージは表示されません。
重要: ソフォスでは、プロファイル用のメッセージを英語 (デフォルト言
語) でも作成することをお勧めしています。これによって、英語以外の
メッセージの表示に問題があった場合でも、少なくとも英語で、エンドポ
イントユーザーにメッセージが表示されます。
ヒント: カスタム設定ファイル (config.xml) で言語が定義されていない場
合、カスタム設定ファイルが使われていない場合、あるいは特定の言語を
認識できない場合は、エージェントの GUI 言語は英語になります。
インターフェース用コンポーネントのカスタマイズについて、詳細は「Sophos
NAC Advanced エージェント カスタマイズ ガイド 」をご覧ください。ユー
ザーメッセージのカスタマイズについて、詳細は「Compliance Manager ガイ
ド」をご覧ください。
8
エージェント 環境設定ガイド
4 Quarantine Agent
ここでは、Quarantine Agent (検疫エージェント) の機能概要と設定方法につ
いて説明します。
4.1
機能概要
Quarantine Agent は、エンドポイントにインストールします。デスクトップ
で起動するユーザー用 GUI はシンプルで、エージェントのプロセス処理と連
動します。また、Compliance Manager で定義されているポリシーに従って定
期的にプロセス処理を実行します。Quarantine Agent をエンドポイントにイ
ンストールするには、ローカル管理者権限が必要です。
エージェント設定
Quarantine Agent は、システムトレイから起動できるアプリケーションです。
システムトレイアイコンを使って、エージェントの動作や施行ステートを常
に参照することができます。Compliance Manager のAgent Configuration Template
でエージェント設定を行い、インターフェースの機能や表示オプションを調
整することも可能です。Agent Configuration Templates をポリシーに追加する
と、次のエンドポイントのコンプライアンス評価で、関連付けされたポリ
シーが取得され、エンドポイントに設定内容を適用することができます。ま
た、Quarantine Agent をログインが必要な他のアプリケーション (VPN ダイヤ
ラーなど) と連動的に起動させ、シームレスにユーザー認証を行うことがで
きます。
処理オペレーション
検疫状態のエンドポイントにユーザーがログオンすると、Quarantine Agent
が自動的に起動します。最初のコンプライアンス評価の後も定期的に評価が
行われ、エンドポイントが常にポリシーに準拠していることが確認されま
す。Quarantine Agent は、エンドポイントでの初回起動時に RSA 二要素認証
を含む登録プロセスを実行します。二度目以降は、エージェントを起動する
度に登録が要求される場合と、登録の有効期限が切れたときのみに再度登録
が要求される場合があります。Windows ドメインのユーザーアカウント情報
を使ってエージェント登録を行うと、エージェントの登録ダイアログボック
スは省略されます。
登録プロセスが完了すると、Quarantine Agent はポリシーの取得・評価・施
行、エンドポイントの修復、レポート生成などの操作を実行します。なお、
処理中にいずれかの操作に失敗した場合でも、他の操作すべてが実行されま
す。操作に失敗すると、あらかじめ定義されている設定に従って自動的に再
試行が行われます。また、当該の操作がスケジュールで次回実行される際
(実行間隔はポリシーで定義) にも再試行されます。
9
Sophos NAC Advanced
ネットワークアクセス
エンドポイントのコンプライアンス状況、接続の状態、ポリシー内で定義さ
れている該当する Network Access Template (ネットワーク アクセステンプレー
ト) を基に、ユーザーに対してネットワークアクセスが適用されます。また、
検疫ベースの施行だけではなく、RADIUS、DHCP、または 802.1x と組み合
わせて他の施行機能を利用することも可能です。
たとえば、ポリシーに準拠しているエンドポイントの場合、ポリシーに準拠
しているエンドポイント用のアクセステンプレートに基いてネットワークア
クセスが指定されます。同様に、ポリシーに準拠していないエンドポイント
や、Compliance Manager で定義したしきい値で最新の状態ではないと分類さ
れるポリシーにアクセスしようとしているエンドポイントの場合は、検疫が
継続され、各アクセスステートに対応した追加アクセステンプレートの定義
に従って、エンドポイントのネットワークアクセスが制限されることもあり
ます。アクセスが制限された状態でも、ネットワークアクセスを完全に回復
させるため、ユーザーにエンドポイントの修復を許可する必要があります。
また、プロキシサーバーを使用している場合は、プロキシへの接続も許可す
る必要があります。
検疫とコンプライアンス評価
Quarantine Agent のアイコンには、エンドポイントが検疫中の状態、ネット
ワークへのフルアクセスが許可されている状態、登録が必要な状態、または
結果待ちの状態などが表示されます。ポリシーで許可されている場合、ユー
ザーは、エージェントセッションの確立中に検疫を解除することができま
す。ユーザーが検疫のオーバーライドを無効にしたり、エンドポイントから
ログオフすると、検疫ステートがリセットされます。このように、エンドポ
イントの検疫はポリシーに準拠するまで継続します。継続的なコンプライア
ンス評価に加え、ユーザー自身が随時コンプライアンス状況を評価すること
もできます。評価は、Quarantine Agent のシステムトレイ アイコンの「コン
プライアンスの確認」メニューのオプションから、または「結果」ダイアロ
グボックスの「コンプライアンスの確認」ボタンから実行します。
レポートおよびメッセージの表示
評価結果には、エンドポイントにインストールされている (あるいはされて
いない) ソフトウェア、ポリシーに反するアクセスがあったときのコンプラ
イアンスステート、ユーザーに表示したメッセージ、またはエンドポイント
で実行されたアクションなどの情報が表示されます。評価中は、Compliance
Manager のプロファイルで設定されている、ユーザーメッセージや評価エ
ラーが表示されます。
10
エージェント 環境設定ガイド
4.1.1
他のネットワーク アクセス アプリケーションとエージェントの連 携
Quarantine Agent は他のネットワーク アクセス アプリケーションと連携させ
ることが可能です。
サードパーティ製アプリケーションから Compliance Checker (Cmpchk.exe) を
呼び出し、エージェントによる詳細なコンプライアンス評価を開始できま
す。他の詳細な対話型操作、および通常の操作は、エージェントのシステム
トレイから利用できます。なお、Compliance Checker を起動するには、エー
ジェントを起動する必要があります。連動操作のために、Compliance Checker
(Cmpchk.exe) から返されるコードは次のとおりです。
■
0: The Agent performed policy assessment and the endpoint is compliant.(エー
ジェントがコンプライアンス評価を実行しました。エンドポイントはポリ
シーに準拠しています。)
5: The Agent performed policy assessment and the endpoint is partially compliant.
■
(エージェントがコンプライアンス評価を実行しました。エンドポイント
はポリシーに一部準拠しています。)
4.2
10: The Agent performed policy assessment and the endpoint is non-compliant.
■
(エージェントがコンプライアンス評価を実行しました。エンドポイント
はポリシーに準拠していません。)
■
101: The Agent is not running. (エージェントが起動していません。)
■
102: Registration is required. (登録が必要です。)
■
103: No policy was found for this username. (このユーザー名に対するポリシー
が見つかりません。)
■
104: An error occurred during the compliance assessment. (コンプライアンス評
価中、エラーが発生しました。)
タスク
ここでは、フローチャートを使って Quarantine Agent のワークフローを説明
します。
11
Sophos NAC Advanced
12
エージェント 環境設定ガイド
13
Sophos NAC Advanced
14
エージェント 環境設定ガイド
15
Sophos NAC Advanced
16
エージェント 環境設定ガイド
4.3
環境設定
17
Sophos NAC Advanced
Quarantine Agent (検疫エージェント) を設定するには次のステップを実行し
てください。
1.
Compliance Manager NAC Manager で、Network Resources (ネットワーク
リソース) を作成して Agent Enforcer Access Template (エージェント エン
フォーサ アクセステンプレート) に適用する。
ネットワークリソースは、エンドポイントの修復に必要なアプリケーショ
ンやデバイス、または隔離されたエンドポイントによるアクセスを制限す
る必要のあるアプリケーションやデバイスです。Agent Enforcer Access
Template は、Quarantine Agent で施行を実施する際に、エンドポイントに
アクセスを許可/拒否するネットワークリソースを識別するためのアクセ
ステンプレートで、ポリシーに関連付けて使用します。Network Resources
へのアクセスは、エンドポイントの修復ができるように、隔離されたエン
ドポイントにも許可する必要があります。また、プロキシサーバーを使用
している場合は、プロキシへの接続も許可する必要があります。
2.
Compliance Manager で Agent configuration Template の Agent settings を設
定する。
Agent Configuration Template では、エンドポイントにおけるエージェント
の動作設定を任意で定義できます。NAC Manager の Agent Configuration
Template でエージェント設定を行い、インターフェースの表示や機能オプ
ションを調整することも可能です。
3.
Agent Configuration Template と Agent Enforcer Access Template を含むポリ
シーを作成し 、 Compliance Manager のグループに関連付ける。
エンドポイントのコンプライアンス評価に、Agent Configuration Template
と Agent Enforcer Access Template を使用するには、エンドポイントのグルー
プに関連付けられているポリシーにテンプレートを適用する必要がありま
す。適用すると、エージェントが次のコンプライアンス評価で、更新され
たポリシーを取得し、エンドポイントで変更が自動的に反映されるため、
エージェントを再インストールする必要はありません。
4.
Sophos Compliance Agent を各エンドポイントに一括インストールする。
エンドポイントが指定されているポリシーを取得し、ポリシーで定義され
ている設定が適用されます。
18
4.4
ネットワークリソース、Agent Enforcer Access Template、Agent Configuration
Template、およびポリシーの詳細は、「Compliance Manager ガイド」をご覧
ください。
ログ
エージェント 環境設定ガイド
Quarantine Agentでは、トラブルシューティング用の複数のログファイルを使
用できます。これらのファイルはエンドポイントのハードディスクに保存さ
れます。
ログの記録はQuarantine Agentのパフォーマンスに影響を与えます。そのた
め、ログ設定はトラブルシューティングを行うときだけ有効にし、完了後、
無効にすることをお勧めします。ログファイルには、ユーザーを特定できる
ようなデータは記録されません。設定で指定できるレベルの情報が記録され
ます。ログの設定は、エージェントのバージョン情報ダイアログボックスか
ら有効にできます。ログの出力レベルはエージェントの設定でカスタマイズ
が可能です。各ログファイルの保存期間は、エージェント設定の値で指定で
きます。エージェントセッションが開始されると、指定された保存期間を過
ぎたログファイルはすべて削除されます。
ログファイルは次の 3種類です。
■
Session Log (セッションログ): 高度なエラー情報が記録されます。
■
Trace Log (トレースログ): 詳細なエラー情報が記録されます。
■
Agent Log (エージェントログ): エージェントに関するエラー情報が記録さ
れます。
1.
Compliance Manager で「Create Agent Configuration Template」(エージェン
ト環境設定テンプレートの作成) ページを開きます。
2.
「Logging」(ログ) というエージェント設定を Agent Configuration Template
に追加し、適切なログのレベルを選択します。
詳細は、エージェント設定 (p. 19) をご覧ください。
3.
エンドポイントのバージョン情報ダイアログボックスを開き、「Enable
Logging」(ログを有効にする) チェックボックスを選択します。
Windows 2000/XP 環境でログファイルは <ドライブ名>:\Documents and
Settings\All Users\Application Data\Sophos\Sophos NAC\Logs ディレクトリに
あります。なお、Windows Vista/7 の場合は、 <ドライブ名
>:\ProgramData\Sophos\Sophos NAC\Logs ディレクトリにあります。
4.
トラブルシューティングが完了したら、エンドポイントのバージョン情報
ダイアログボックスを開き、「Enable Logging」(ログを有効にする) チェッ
クボックスの選択を外します。
4.5
エージェント設定
エージェント設定では、エンドポイントでのエージェントの動作や機能を設
定します。Compliance Manager の Agent Configuration Template (エージェント
19
Sophos NAC Advanced
環境設定テンプレート) の該当するエージェント設定で内容を定義します。
エージェント設定は、Dissolvable Agent には使用できません。
4.5.1
設定オプション
Compliance Manager の Agent Configuration Template (エージェント環境設定テ
ンプレート) で利用可能な Agent Settings (エージェント設定) の項目は、次の
一覧表をご覧ください。設定項目を利用できるエージェントの種類について
は、「種別」欄をご覧ください。Agent Configuration Template が作成されて
いない場合や、テンプレートに値が設定されていない場合は、デフォルトの
値 (利用できる場合) が適用されます。
システムトレイアイコン、ツールチップ、メニューオプション、バルーン、
ダイアログボックスの詳細は、アイコン、メニュー、バルーン、およびダイ
アログボックス (p. 29) をご覧ください。Quarantine Agent のカスタマイズに
ついて、詳細は「 Sophos NAC Advanced エージェント カスタマイズ ガイド
」をご覧ください。
デフォルト
値
該当なしエンドポイントで評価されたアプリケーションに関する
Assessment
Results Path
設定可能な値とその説明 (該当する場合)設定
情報を含むファイルのパスおよびファイル名。アプリ
ケーション管理ソリューションと統合する場合のみ設定
が必要となります。このファイルは、コンプライアンス
アプリケーション サーバー 上の Policy Interface Web.config
ファイルにある assessmentFile 設定が有効になっている場
合のみ、エンドポイントで作成されます。詳細は「
Sophos NAC Advanced アプリケーション管理ソリューショ
ン ガイド 」をご覧ください。
20
Auto Register
重要: 有効なパスとファイル名を設定する必要がありま
す。パスに
は、%Sophos_ProgramFiles%、%Sophos_System%、%Sophos_Windows%、
%Sophos_AppData% などサポートされている環境変数を
含めることができます。詳細は、環境変数の使用 (p. 28)
をご覧ください。
コンプライアンス アプリケーション サーバー が登録を
要求するとき、1つのエージェントセッション中に、自
動登録を試みることを設定。
■
Off: 自動登録を試みない。
■
On: ユーザーが「登録」ダイアログボックスや「アカ
ウント情報」ダイアログボックスにアカウント情報
On
エージェント 環境設定ガイド
Compliant State
Default State
設定可能な値とその説明 (該当する場合)設定
を入力した場合、または「Save Username」および
「Save Password」エージェント設定を使用して、ユー
ザー名およびパスワードが保存された場合、自動登
録を試みる。
エンドポイントがポリシーに準拠している場合のエー
ジェントアイコンを指定。
■
Idle Icon: アイドル状態を示すアイコンを表示。
■
Quarantine Icon: 検疫アイコンを行事。
ヒント: エージェントがこの 2つの値を行き来する場合
は、該当する検疫バルーンも表示されます。
エージェントが評価を実行しておらず、アクティブな
エージェントセッションがない状態を示すエージェント
アイコンを指定。
■
Idle Icon : アイドル状態を示すアイコンを表示。
デフォルト
値
Idle Icon
Quarantine
Icon
Expired State
Log Lifetime
■
Quarantine Icon: 検疫アイコンを行事。
ヒント: エージェントがこの 2つの値を行き来する場合
は、該当する検疫バルーンも表示されます。
「 Configure System > Enforcer Settings 」(システムの設
定 - エンフォーサ設定) エリアで指定される「Agent
Enforcer Policy Update Threshold」を超え、エージェント
が コンプライアンス アプリケーション サーバー からポ
リシーを取得できない場合に表示されるエージェントア
イコンを指定。
■
Idle Icon: アイドル状態を示すアイコンを表示。
■
Quarantine Icon: 検疫アイコンを行事。
ヒント: エージェントがこの 2つの値を行き来する場合
は、該当する検疫バルーンも表示されます。
エージェントログが、エンドポイントでクリアされ初期
化されるまでの保存期間 (単位: 時間)。エージェントセッ
ションが開始されると、指定された保存期間を過ぎたロ
グファイルはすべて削除されます。
Quarantine
Icon
24
ヒント: ログの実行は、パフォーマンスに影響を与えま
す。したがって、トラブルシューティングを行う場合の
みログを有効にし、操作完了後、無効にすることをお勧
めします。Windows 2000/XP 環境でログファイルは <ド
21
Sophos NAC Advanced
Logging
設定可能な値とその説明 (該当する場合)設定
ライブ名>:\Documents and Settings\All Users\Application
Data\Sophos\Sophos NAC\Logs ディレクトリにあります。
なお、Windows Vista/7 の場合は、 <ドライブ名
>:\ProgramData\Sophos\Sophos NAC\Logs ディレクトリに
あります。
エージェントのログレベルを設定。ログレベルは次のと
おりです。
■
Log Error and Warning: エラーおよび警告メッセージ
を表示。
■
Log All Messages: エラー、警告および情報メッセージ
を表示。
■
Log All Messages and Brief Trace: エラー、警告、情報
および簡単な診断トレース メッセージを表示。
ヒント: ログの実行は、パフォーマンスに影響を与えま
す。したがって、トラブルシューティングを行う場合の
みログを有効にし、操作完了後、無効にすることをお勧
めします。Windows 2000/XP 環境でログファイルは <ド
ライブ名>:\Documents and Settings\All Users\Application
Data\Sophos\Sophos NAC\Logs ディレクトリにあります。
なお、Windows Vista/7 の場合は、 <ドライブ名
>:\ProgramData\Sophos\Sophos NAC\Logs ディレクトリに
あります。
デフォルト
値
Log Error
and
Warning
22
Max Attempts
Non-Compliant
State
Notify
(ポリシーの取得、ポリシーの評価/施行/ポリシーの修
復、およびレポートなど) 特定の操作に対して、エージェ
ントが コンプライアンス アプリケーション サーバー と
の通信を試行する最大回数。エージェントは、初回の起
動時、および一定の頻度で行う評価を実行する際、通信
を再試行します。ユーザーが「コンプライアンスの確
認」を実行している間は再試行されません。
エンドポイントがポリシーに準拠していない場合のエー
ジェントアイコンを指定。
■
Idle Icon: アイドル状態を示すアイコンを表示。
■
Quarantine Icon: 検疫アイコンを表示。
ヒント: エージェントがこの 2つの値を行き来する場合
は、該当する検疫バルーンも表示されます。
「登録」、「アカウント情報」、「アカウント情報のリ
クエスト」、「結果」ダイアログボックスでユーザー介
10
検疫アイコ
ン
On Change
エージェント 環境設定ガイド
Notify Action
設定可能な値とその説明 (該当する場合)設定
入が必要な場合や、エージェント施行ステートの変更
時、通知アクション (「Notify Action」の設定) を実行す
るタイミングを指定。
■
Always: 常に通知する。
■
On Change: 初回登録ステートの変更、および新しい
結果がある場合、通知する。さらに、ユーザーがコ
ンプライアンスの確認を開始した場合は、登録ステー
トや結果が変更したかどうかに関わらず、常に通知
が行われます。
「登録」、「アカウント情報」、「アカウント情報のリ
クエスト」、「結果」ダイアログボックスでユーザー介
入が必要な場合や、エージェント施行ステートの変更時
のエージェントの動作を設定。
■
Blink Tray Icon: トレイアイコンの点滅。
■
Display Balloon: バルーンメッセージの表示。
デフォルト
値
Display
Balloon
Partially
Compliant State
Register
■
Blink Tray Icon and Balloon: トレイアイコンの点滅、
バルーンメッセージの表示。
■
Display Dialog Box: デフォルトのメニューアクション
に関連したダイアログボックスの表示。
■
None: トレイアイコンが表示されるが点滅せず、バ
ルーンメッセージおよびダイアログボックスが表示
されない。
エンドポイントがポリシーに一部準拠している場合の
エージェントアイコンを指定。
■
Idle Icon: アイドル状態を示すアイコンを表示。
■
Quarantine Icon: 検疫アイコンを表示。
ヒント: エージェントがこの 2つの値を行き来する場合
は、該当する検疫バルーンも表示されます。
エージェントの登録モードの設定は次のとおりです。
■
Always Prompt: エージェントはユーザー名とパスワー
ドの入力を促し、エージェントが起動するたびに登
録を行う。
Idle Icon
Prompt on
Demand
■
Prompt on Demand: エージェントは登録が有効期限切
れになった場合のみユーザー名およびパスワードの
23
Sophos NAC Advanced
設定可能な値とその説明 (該当する場合)設定
入力を促し、それ以外の場合は、ユーザー名の入力
のみ促す。
■
No Password: コンプライアンス アプリケーションサー
バー から要求がない限り、登録中、エージェントは
ユーザー名の入力を促さない。
■
Use Computer Logon: エージェントはユーザー名、パ
スワードどちらの入力も促さない。ただし、エンド
ポイントにログオンするときに、ユーザーがWindows
ドメインのアカウント情報を入力すると、登録が実
行されます。
ヒント: Use Computer Logon オプションは、ユーザー
が Windows ドメインのアカウント情報を使って、エ
ンドポイントにログオンしたときのみに適用されま
す。
重要: 正常に動作させるには、Agent Registration モードと
Compliance Manager で設定されている有効期限に矛盾が
ないように設定する必要があります。Agent Registration
設定の推奨設定内容は、「ベストプラクティスガイド」
に記載されています。詳細は「 Sophos NAC Advanced
<i><keyword
conref="../../../../../common/Jpn/to pics/Sophos_document_titles.xml#topic_89BF5B04A7CE48038975288E1759074A/N A CAd v_APMG">application
management solutions guide</keyword></i>」をご覧くださ
い。
デフォルト
値
24
Remediate State
ヒント: 有効期限は、Compliance Manager の「 Configure
System > Agent Registr ation 」(システムの設定 - エージェ
ント登録) エリアで一括設定されています。また、特定
の Agent Registration の有効期限は、Compliance Manager
の「 Manage > Endpoints 」(管理 - エンドポイント) エリ
アで設定できます。詳細は「Compliance Manager ガイド」
をご覧ください。
ポリシーが「Remeditae」(修復) モードにある場合のエー
ジェントアイコンを指定。
■
Idle Icon : アイドル状態を示すアイコンを表示。
■
Quarantine Icon: 検疫アイコンを表示。
ヒント: エージェントがこの 2つの値を行き来する場合
は、該当する検疫バルーンも表示されます。
Idle Icon
エージェント 環境設定ガイド
Report Only State
Retry Delay
Save Password
設定可能な値とその説明 (該当する場合)設定
ポリシーが「Report Only」(レポートのみ) モードにある
場合のエージェントアイコンを指定。
■
Idle Icon : アイドル状態を示すアイコンを表示。
■
Quarantine Icon: 検疫アイコンを表示。
ヒント: エージェントがこの 2つの値を行き来する場合
は、該当する検疫バルーンも表示されます。
エージェントが、コンプライアンス アプリケーション
サーバー との通信を再試行するまでの遅延期間 (単位:
秒)。エージェントは、初回の起動時、および一定の頻度
で行う評価を実行する際、通信を再試行します。ユー
ザーが「コンプライアンスの確認」を実行している間は
再試行されません。
初回のエージェント登録時に入力されたパスワードを保
存して、以後行う登録時に使用。使用できる値は「Do
Not Save」(保存しない) および「Save」(保存) です。
デフォルト
値
Idle Icon
15
Do Not
Save
Save Username
Show Errors In
Results
Show Exit
初回のエージェント登録時に入力されたユーザー名を保
存して、以後行う登録時に使用。使用できる値は「Do
Not Save」(保存しない) および「Save」(保存) です。
「結果」ダイアログボックスで、エラーメッセージを表
示/非表示。使用できる値は、「Show」(表示) および
「Hide」(非表示) です。
値が「Show」の場合、エラーメッセージは「結果」ダイ
アログボックスに表示され、errors.htm というファイル
に記録されます。値が「Hide」の場合、エラーメッセー
ジは errors.htm ファイルのみに記録されます。Windows
2000/XP 環境の場合、ファイルは <ドライブ名
>:\Documents and Settings\All Users\Application
Data\Sophos\Sophos NAC\Data ディレクトリにあります。
なお、Windows Vista/7 の場合は、 <ドライブ名
>:\ProgramData\Sophos\Sophos NAC\Data ディレクトリに
あります。
ダイアログボックスの「終了」ボタン、および「終了」
メニューオプションを表示/非表示、「終了」コンテキス
トメニューオプション、およびダイアログボックスのX
印 (閉じる) を有効/無効に設定。使用できる値は、
「Show」(表示) および「Hide」(非表示) です。
Do Not
Save
Show
Hide
値が「Show」の場合、「終了」オプションが表示され、
スキンファイルのメニューオプションのみによって設定
25
Sophos NAC Advanced
Show Extended
Errors
Show Logging
設定可能な値とその説明 (該当する場合)設定
内容を変更することができます。値が「Hide」の場合、
スキンファイルのメニューオプションによって設定内容
を変更することはできません。
コンプライアンス アプリケーション サーバー との通信
に失敗した際、「結果」ダイアログボックスに拡張エ
ラーメッセージを表示/非表示。拡張エラーメッセージに
は、理由およびエラーコードが含まれます。使用できる
値は、「Show」(表示) および「Hide」(非表示) です。
値が「Show」の場合、拡張エラーメッセージは「結果」
ダイアログボックスに表示され、errors.htm というファ
イルに記録されます。Windows 2000/XP 環境の場合、ファ
イルは <ドライブ名>:\Documents and Settings\All
Users\Application Data\Sophos\Sophos NAC\Data ディレク
トリにあります。なお、Windows Vista/7 の場合は、 <ド
ライブ名>:\ProgramData\Sophos\Sophos NAC\Data ディレ
クトリにあります。
「バージョン情報」ダイアログボックスに、「ログを有
効にする」チェックボックスを表示/非表示。使用できる
値は、「Show」(表示) および「Hide」(非表示) です。
デフォルト
値
Show
Show
Show Progress
Icon
Show Quarantine
Icon
プログレスアイコンの表示/非表示。プログレスアイコン
は、登録、ポリシーの取得/適用/施行を表します。使用
できる値は、「Show」(表示) および「Hide」(非表示) で
す。
ヒント: アイコンは、次の優先順位 (降順) に従ってエン
ドポイントに表示されます。「Show Registration Icon」
(登録アイコンの表示)、「Show Results Icon」(結果アイ
コンの表示) 、「Show Progress Icon」(プログレスアイコ
ンの表示)、「Show Quarantine Override Icon」(検疫のオー
バーライドアイコンの表示)、「Show Quarantine Icon」
(検疫アイコンの表示)。最も優先順位の高いアイコンが
非表示の場合、現在のステートを表す、次に優先順位の
高いアイコンが表示されます。すべてのアイコンが非表
示の場合、「Idle」(アイドル状態) アイコンが表示され
ます。また、各アイコンに関連した通知アクション
(「Notify Action」の設定) は実行されません。
「Quarantine」(検疫) アイコンを表示/非表示。使用でき
る値は、「Show」(表示) および「Hide」(非表示) です。
警告: 「Quarantine」アイコンを非表示にすると、
検疫状態にあることをエンドポイントユーザーはわ
Show
26
エージェント 環境設定ガイド
Show Quarantine
Override Icon
設定可能な値とその説明 (該当する場合)設定
からないので、トラブルシューティングが困難にな
ることが考えられます。
ヒント: アイコンは、次の優先順位 (降順) に従ってエン
ドポイントに表示されます。「Show Registration Icon」
(登録アイコンの表示)、「Show Results Icon」(結果アイ
コンの表示) 、「Show Progress Icon」(プログレスアイコ
ンの表示)、「Show Quarantine Override Icon」(検疫のオー
バーライドアイコンの表示)、「Show Quarantine Icon」
(検疫アイコンの表示)。最も優先順位の高いアイコンが
非表示の場合、現在のステートを表す、次に優先順位の
高いアイコンが表示されます。すべてのアイコンが非表
示の場合、「Idle」(アイドル状態) アイコンが表示され
ます。また、各アイコンに関連した通知アクション
(「Notify Action」の設定) は実行されません。
「Quarantine Override」(検疫のオーバーライド) アイコン
を表示/非表示。使用できる値は、「Show」(表示) およ
び「Hide」(非表示) です。
デフォルト
値
Hide
Show Registration
Icon
重要: 「Quarantine Override」オプションがポリシーで
「False」に設定されている (つまり、エンドポイントで
検疫状態を解除することが許可されていない) 場合、
「Quarantine Override」アイコンは表示されません。
ヒント: アイコンは、次の優先順位 (降順) に従ってエン
ドポイントに表示されます。「Show Registration Icon」
(登録アイコンの表示)、「Show Results Icon」(結果アイ
コンの表示) 、「Show Progress Icon」(プログレスアイコ
ンの表示)、「Show Quarantine Override Icon」(検疫のオー
バーライドアイコンの表示)、「Show Quarantine Icon」
(検疫アイコンの表示)。最も優先順位の高いアイコンが
非表示の場合、現在のステートを表す、次に優先順位の
高いアイコンが表示されます。すべてのアイコンが非表
示の場合、「Idle」(アイドル状態) アイコンが表示され
ます。また、各アイコンに関連した通知アクション
(「Notify Action」の設定) は実行されません。
「Registration」(登録) アイコンを表示/非表示。使用でき
る値は、「Show」(表示) および「Hide」(非表示) です。
ヒント: アイコンは、次の優先順位 (降順) に従ってエン
ドポイントに表示されます。「Show Registration Icon」
(登録アイコンの表示)、「Show Results Icon」(結果アイ
コンの表示) 、「Show Progress Icon」(プログレスアイコ
ンの表示)、「Show Quarantine Override Icon」(検疫のオー
Show
27
Sophos NAC Advanced
Show Results Icon
設定可能な値とその説明 (該当する場合)設定
バーライドアイコンの表示)、「Show Quarantine Icon」
(検疫アイコンの表示)。最も優先順位の高いアイコンが
非表示の場合、現在のステートを表す、次に優先順位の
高いアイコンが表示されます。すべてのアイコンが非表
示の場合、「Idle」(アイドル状態) アイコンが表示され
ます。また、各アイコンに関連した通知アクション
(「Notify Action」の設定) は実行されません。
「Results」(結果) アイコンを表示/非表示。使用できる値
は、「Show」(表示) および「Hide」(非表示) です。
ヒント: アイコンは、次の優先順位 (降順) に従ってエン
ドポイントに表示されます。「Show Registration Icon」
(登録アイコンの表示)、「Show Results Icon」(結果アイ
コンの表示) 、「Show Progress Icon」(プログレスアイコ
ンの表示)、「Show Quarantine Override Icon」(検疫のオー
バーライドアイコンの表示)、「Show Quarantine Icon」
(検疫アイコンの表示)。最も優先順位の高いアイコンが
非表示の場合、現在のステートを表す、次に優先順位の
高いアイコンが表示されます。すべてのアイコンが非表
示の場合、「Idle」(アイドル状態) アイコンが表示され
ます。また、各アイコンに関連した通知アクション
(「Notify Action」の設定) は実行されません。
デフォルト
値
Show
4.5.2
28
環境変数の使用
Microsoft Windows のファイルパスを設定する際、特に非標準のファイルの保
存場所を使用、または英語版以外の OS を稼動しているエンドポイントにエー
ジェントがインストールされている場合、環境変数を使用することをお勧め
します。
例Windows の環境変数ソフォスの環境変数
C:\Program Files
ヒント: この値は OS の言語によっ
て異なることがあります。
C:\Windows または C:\WinNT
C:\Windows\System または
C:\WinNT\System32
%Sophos_System%
%ProgramFiles%%Sophos_ProgramFiles%
%WinDir%%Sophos_Windows%
%WinDir%\<システムディレ
クトリ>
エージェント 環境設定ガイド
例Windows の環境変数ソフォスの環境変数
4.6
4.6.1
%Sophos_AppData%
%DefaultUserProfile%\Application
Data
C:\Documents and Settings\<ユー
ザー名>\Application Data
ヒント: この値は OS の言語によっ
て異なることがあります。
ヒント: <ユーザー名> は、
Windows にログオンしているユー
ザーです。
アイコン、メニュー、バルーン、およびダイアログボッ クス
ここでは、Quarantine Agent のシステムトレイ アイコン、ツールチップ、メ
ニュー、オプション、ダイアログボックスについて説明します。これらのア
イテムの表示方法や、ユーザー通知 (エージェントの施行ステートが変わる
際に表示) の設定を定義できます。
システムトレイ アイコンとツールチップ
システムトレイアイコンには、エージェントの現在のステートが次のように
表示されます。
■
様々なエージェントのステートがトレイアイコンの色やデザインで表示さ
れる。
■
カーソルをトレイアイコン合わせると、アイコンの説明がツールチップ
(説明窓) に表示される。
ヒント: エージェントの現在のステートが複数ある場合は、優先順位の一番
高いステートがアイコンで表示されます。
システムトレイ アイコンとツールチップの表示例
アイコンの一覧は次のとおりです。一部のアイコンはデフォルトで非表示に
なっているため、ユーザーが目にすることはありません。アイコンを表示す
るには、Compliance Manager の Agent Configuration Template で該当するエー
29
Sophos NAC Advanced
ジェント設定を変更する必要があります。詳細は、エージェント設定 (p. 19)
をご覧ください。
アイ
コン
容
登録が必要です。
ダブルクリックし
て、登録してくだ
さい。
結果を待機中で
す。ダブルクリッ
クして、結果を表
示してください。
Sophos Compliance
Agent - エージェン
トを登録していま
す
Sophos Compliance
Agent - ポリシーを
取得しています
説明ツールチップの内
エージェントの登録が有効期限切れのときに
表示。
ヒント: ユーザーの登録が必要なときに点滅
するように設定できます。
保留中の処理があるときに表示。処理内容は
「結果」ダイアログボックスに表示されま
す。
ヒント: 評価結果があるときに点滅するよう
に設定できます。
エージェントの登録中に表示。ツールチップ
の最後に進行状況がパーセント表示されま
す。
エージェントがポリシーを取得しているとき
に表示。ツールチップの最後に進行状況が
パーセント表示されます。
デフォル
ト値
Show
Show
Hide
Hide
Sophos Compliance
Agent - ポリシーを
評価しています
Sophos Compliance
Agent - ポリシーを
施行しています
Sophos Compliance
Agent - 結果を報告
しています
Sophos Compliance
Agent - アイドル状
態です。検疫が
オーバーライドさ
れました。
エージェントがポリシーを評価しているとき
に表示。ツールチップの最後に進行状況が
パーセント表示されます。
エージェントがポリシーを施行しているとき
に表示。ツールチップの最後に進行状況が
パーセント表示されます。
エージェントがレポートを送信しているとき
に表示。ツールチップの最後に進行状況が
パーセント表示されます。
エージェントの検疫が解除されたときに表
示。
ヒント: 「Quarantine Override」(検疫の解除)
オプションがポリシーで「False」に設定され
ている (つまり、エンドポイントで検疫状態
を解除することが許可されていない) 場合、
このアイコンは表示されません。
Hide
Hide
Hide
Hide
30
エージェント 環境設定ガイド
アイ
コン
容
Sophos Compliance
Agent - アイドル状
態です。マシンは
検疫エリアに隔離
されました。
Sophos Compliance
Agent - アイドル状
態です。
説明ツールチップの内
エージェント設定の施行ステートが
「Quarantined」(検疫済み) に設定されている
ときに表示。エージェント設定の施行ステー
トには、「Compliant State」(ポリシー準拠)、
「Non-Compliant State」(ポリシーに準拠して
いない)、「Partially Compliant State」(ポリシー
に一部準拠)、「Default State」(デフォルト)、
「Report Only State」(レポートのみ)、
「Remediate State」(修復)、「Expired State」
(有効期限切れ) があります。
エージェント設定の施行ステートが「None」
(なし) に設定されているときに表示。エー
ジェント設定の施行ステートには、
「Compliant State」(ポリシー準拠)、
「Non-Compliant State」(ポリシーに準拠して
いない)、「Partially Compliant State」(ポリシー
に一部準拠)、「Default State」(デフォルト)、
「Report Only State」(レポートのみ)、
「Remediate State」(修復)、「Expired State」
(有効期限切れ) があります。
デフォル
ト値
Show
Show
4.6.2
メニューオプション
エージェントのメニューオプションを表示するには、システムトレイアイコ
ンを右クリックします。トレイアイコンをダブルクリックすると、デフォル
トのメニューオプション (下記の例での太字表記箇所) が実行されます。登録
が必要な場合は、「登録」がデフォルトのメニューオプションになります。
登録が不要な場合は、「結果の表示」がデフォルトのメニューオプションに
なります。
メニューの表示例
メニュー名とその説明は次の一覧表をご覧ください。
31
Sophos NAC Advanced
説明メニュー名
終了
エージェントによる検疫の停止
コンプライアンスの確認
エージェントを終了し、システムトレイからアイコ
ンを消去する。また、該当する場合はエンドポイン
トが検疫状態になります。
ヒント: このメニューオプションは、エージェント
の設定「Show Exit」で「Show」が選択されている場
合に表示され、「Hide」の場合は表示されません。
詳細は、エージェント設定 (p. 19) をご覧ください。
製品のバージョン情報を表示する。バージョン情報...
Quarantine Agent の検疫ステートを解除する。検疫
を無効にすると、メニュー名の横にチェックマーク
が表示され、有効に戻すとチェックマークが消えま
す。
ヒント: このメニューオプションは、「Quarantine
Override」(検疫の解除) オプションがポリシーで
「False」に設定されている (つまり、エンドポイン
トで検疫状態を解除することが許可されていない)
場合、表示されません。
ユーザー自身によるコンプライアンスチェックを開
始する。ポリシーの取得・評価・施行・修復と結果
の表示が実行されます。
4.6.3
登録...
結果の表示...
ユーザーに要求する操作に応じて、「登録」または
「アカウント情報」ダイアログボックスを表示す
る。
「結果」ダイアログボックスに、最新のコンプライ
アンス評価の結果を表示する。
バルーン
バルーンには、エージェントが実行、あるいは要求するアクションに関する
補足情報が表示されます。登録が必要なときや、結果が保留中のとき、エー
ジェントの施行ステートが変わったときなど、ユーザーによる操作が必要な
場合に表示されます。
バルーンの表示例
32
エージェント 環境設定ガイド
アイコン名、およびバルーンの内容とその説明は、次の一覧表をご覧くださ
い。
説明バルーンの表示内容アイコ
ン
見出し: 登録の有効期限が切れました。
テキスト: 登録するにはクリックしてく
ださい。
見出し: 新しい結果を表示できます。
テキスト: 結果を表示するにはクリック
してください。
見出し: ご使用のマシンは検疫エリアに
隔離されました。
エージェントの登録が有効期限切れ
になると表示されるバルーン。
デフォルトでこのアイコンは非表示
に設定されています。このアイコン
と、それに対応するバルーンを表示
するには、Compliance Manager の
Agent Configuration Template で該当す
るエージェント設定を変更する必要
があります。詳細は、エージェント
設定 (p. 19) をご覧ください。
このアイコンが非表示設定の場合、
登録期限が切れた際には「結果を待
機中です」アイコンが表示されま
す。
保留中の処理があるときに表示。処
理内容は「結果」ダイアログボック
スに表示されます。
エージェントが検疫ステートのとき
に表示。
デフォルトのテキストなし。
見出し: ご使用のマシンは検疫エリアか
ら移動されました。
デフォルトのテキストなし。
エージェントの検疫状態が解除され
たときに表示。
33
Sophos NAC Advanced
4.6.4
「登録」ダイアログボックス
「登録」ダイアログボックスは、ユーザーに対して最初に表示されるダイア
ログボックスで、ユーザーはこのダイアログボックスに、コンプライアンス
アプリケーションサーバーへの接続に必要な情報を入力します。「登録」ダ
イアログボックスは、エンドポイントで最初にエージェントが起動したとき
や、エージェントの登録モードが「Always Prompt」(常にプロンプト表示) に
設定されている場合に表示されます。また、「Prompt on Demand」(オンデ
マンドでプロンプト表示) に設定されている場合は、登録の有効期限が切れ
ているときに表示されます。「登録」ダイアログボックスは、メニューの
「登録」オプションから開くことができます。
重要: エージェントの登録モードは、Compliance Managerのエージェントの
登録設定内容と必ず一致させてください。この 2つの設定が矛盾していると、
登録機能が正常に動作しないことがあります。使用する設定について、さら
に詳しくは「Sophos NAC Advanced ベストプラクティス ガイド」をご覧くだ
さい。
「登録」ダイアログボックスの表示例
4.6.5
34
「アカウント情報」ダイアログボックス
「アカウント情報」ダイアログボックスは、エージェントの起動後に表示さ
れるダイアログボックスで、ユーザーはこのダイアログボックスに、コンプ
ライアンスアプリケーション サーバーへの接続に必要な情報を入力します。
「アカウント情報」ダイアログボックスは、エンドポイントで最初にエー
ジェントが起動したときや、エージェントの登録モードが「No Password」
(パスワードなし) の場合に表示されます。また、「Prompt on Demand」(オ
ンデマンドでプロンプト表示) に設定されている場合は、登録の有効期限が
切れているときに表示されます。「アカウント情報」ダイアログボックス
は、エージェントの登録モードに応じて、メニューの「登録」オプションか
ら開くことができます。
エージェント 環境設定ガイド
重要: エージェントの登録モードは、Compliance Managerのエージェントの
登録設定内容と必ず一致させてください。この 2つの設定が矛盾していると、
登録機能が正常に動作しないことがあります。使用する設定について、さら
に詳しくは「Sophos NAC Advanced ベストプラクティス ガイド」をご覧くだ
さい。
「アカウント情報」ダイアログボックスの表示例
4.6.6
4.6.7
「アカウント情報のリクエスト」ダイアログボックス
「アカウント情報のリクエスト」ダイアログボックスは、無効なアカウント
情報を入力したときや、RSA サーバーから RSA チャレンジを受信したときに
表示されます。
「アカウント情報のリクエスト」ダイアログボックスの表示例
「結果」ダイアログボックス
「結果」ダイアログボックスには、ポリシーで定義されているユーザーメッ
セージや、エラーが発生したときのエラーメッセージが表示されます。この
ダイアログボックスを表示するには、「結果の表示」メニューオプションを
選択します。最新のコンプライアンス評価に関するメッセージが表示されま
す。
「結果」ダイアログボックスの表示例
35
Sophos NAC Advanced
4.6.8
「バージョン情報」ダイアログボックス
「バージョン情報」ダイアログボックスには、エージェントのバージョン情
報、著作権情報、「ログを有効にする」チェックボックスが表示されます。
「バージョン情報」ダイアログボックスは、メニューの「バージョン情報」
オプションから開くことができます。
「バージョン情報」ダイアログボックスの表示例
36
エージェント 環境設定ガイド
5 Dissolvable Agent
ここでは、Dissolvable Agent (検疫エージェント) の機能概要と設定方法につ
いて説明します。
5.1
機能概要
Dissolvable Agent は、コンプライアンス アプリケーション サーバー など
Windows ベースの Web サーバーにインストールし、ゲストユーザーが
Dissolvable Agent を実行するときにアクセスする Web ページを提供します。
Dissolvable Agent はスタンドアロンの Java アプレットで、エンドポイントの
ローカルマシン上で起動します。起動に際して管理者権限やパワーユーザー
権限は必要ありません。
処理オペレーション
Dissolvable Agent が起動すると、ダイアログボックスに進行状況や必要な操
作が順に表示されます。また、Compliance Manager で定義されているポリ
シーに従って定期的にプロセス処理を実行します。処理が完了すると、
Dissolvable Agent はエンドポイントから自動的に削除されます。Dissolvable
Agent にネットワークアクセスの施行機能はありませんが、RADIUS、DHCP、
または802.1x エンフォーサと組み合わせて導入することができます。
呼び出されると、Dissolvable Agent でポリシーの取得、評価、施行、および
エンドポイントの修復やレポート処理が実行されます。Dissolvable Agent で
は、Dissolvable Agent を Web サーバーにインストールした際に、「Always
register agent with server」チェックボックスを選択し、Compliance Manager で
の Dissolvable Agent の登録設定を有効にした場合に限りゲストユーザーに対
して登録が要求されます。登録が不要な場合、Dissolvable Agent は、デフォ
ルトポリシーを使用してエンドポイントのコンプライアンスステートを評価
します。RADIUS アクセスはユーザーベースで実行されるため、登録が不要
な場合、RADIUS 施行を使用できないことにご注意ください。
ヒント: 以前のバージョンからバージョン 3.2.2 へ Sophos NAC Advanced を
アップグレードした場合は、アップグレード前のバージョンの登録設定が引
き継がれます。たとえば、以前のバージョンの Dissolvable Agent でゲストユー
ザーに登録を要求していた場合は、アップグレード後も同じように登録が要
求されます。
レポートおよびメッセージの表示
評価結果には、エンドポイントにインストールされている (あるいはされて
いない) ソフトウェア、ポリシーに反するアクセスがあったときのコンプラ
イアンスステート、エンドポイントユーザーに表示したメッセージが表示さ
37
Sophos NAC Advanced
れます。評価中は、Compliance Manager のプロファイルで設定されている、
ユーザーメッセージや評価エラーが表示されます。
ヒント: Dissolvable Agent は、制限付きユーザーアカウントで実行している場
合、パッチの評価を実施することはできません。管理者権限のあるアカウン
トに変更してください。変更できない場合は、Dissolvable Agent を実行する
ユーザー用のポリシーを別に作成することをお勧めします。ポリシーにパッ
チは含めず、Windows Update プロファイルは含めるようにしてください。こ
のプロファイルは、Windows Update ツールがインストールされており、自動
更新が有効になっていることを確証します。詳細は「Compliance Manager ガ
イド」をご覧ください。
5.2
タスク
ここでは、フローチャートを使って Dissolvable Agent のワークフローを説明
します。
38
エージェント 環境設定ガイド
39
Sophos NAC Advanced
40
エージェント 環境設定ガイド
5.3
環境設定
41
Sophos NAC Advanced
Dissolvable Agent を使用するには、まずはじめに、ゲストユーザーが接続で
きる Windows ベースの Web サーバーに Sophos Compliance Dissolvable Agent
をインストールします。Dissolvable Agent は、Sophos NAC Advanced がインス
トールされているサーバーにインストールすることもできます。
1.
Compliance Dissolvable Agent を Windows ベースの Web サーバーにインス
トールする。
Compliance Dissolvable Agent はソフォスの Web サイトからダウンロードで
きます。Sophos Compliance Dissolvable Agent をインストールすると、
Dissolvable Agent に必要なファイルがインストールされます。詳細は「
Sophos NAC Advanced インストールガイド 」をご覧ください。
2.
必要に応じて、Compliance Dissolvable Agent の URL をゲストユーザーに
通知する。
エンドポイントが指定されているポリシーを取得し、ポリシーで定義され
ている設定が適用されます。Dissolvable Agent をデフォルトのディレクト
リにインストールした場合、各エンドポイントから Dissolvable Agent にア
クセスするには、https://<IPアドレス/DNS 名>/dissolvableagent にアクセス
してください。IP アドレスや DNS 名は、Dissolvable Agent をインストール
した Web サーバーです。運用環境以外でテストを行うときなど HTTPS を
無効にした場合は、http://<IP アドレス/DNS 名>/dissolvableagent にアクセ
スしてください。
5.4
ログ
Compliance Manager のログ設定は、Dissolvable Agent には定義されていませ
ん。設定はエンドポイントで定義します。
Dissolvable Agent では、トラブルシューティング用の複数のログファイルを
使用できます。これらのファイルはエンドポイントのハードディスクに出力
されます。ログの記録は Dissolvable Agent のパフォーマンスに影響を与えま
す。ログ設定はバージョン情報ダイアログボックスから有効にできますが、
トラブルシューティングを行うときだけに設定を有効にし、完了後、無効に
することをお勧めします。ログファイルには、ユーザーを特定できるような
データは記録されません。設定で指定できるレベルの情報が記録されます。
ログファイルは次の 3種類です。
■
Session Log: 高度なエラー情報が記録されます。
■
Trace Log: 詳細なエラー情報が記録されます。
42
エージェント 環境設定ガイド
■
Agent Log: エージェントに関するエラー情報が記録されます。
1.
Dissolvable Agent を起動します。
2.
「登録」、「アカウント情報」、または「結果」ダイアログボックスの
Sophos NAC Advanced アイコンをクリックし、「バージョン情報」を選択
します。
バージョン情報ダイアログボックスが表示されます。
3.
「ログを有効にする」チェックボックスを選択します。
4.
Dissolvable Agent を起動します。
5.
<ドライブ名>:\Sophos\SDA<任意の数値>\Logs ディレクトリにあるログファ
イルを参照します。
6.
トラブルシューティングが完了したら、再度、Dissolvable Agent を起動し
ます。そして、エンドポイントの「バージョン情報」ダイアログボックス
を開き、「ログを有効にする」チェックボックスの選択を外します。
5.5
5.5.1
ダイアログボックス
ここでは、Dissolvable Agentのダイアログボックスについて説明します。
「登録」ダイアログボックス
「登録」ダイアログボックスは、NAC コンプライアンス アプリケーション
サーバーへの接続に必要なユーザー情報を入力するダイアログボックスで
す。このダイアログボックスは、Dissolvable Agentを Web サーバーにインス
トールした際に、「Always register agent with server」(常にエージェントをサー
バー登録する) チェックボックスを選択すると表示されます。
重要: Dissolvable Agentのインストールで設定する内容は、必ずCompliance
Managerのエージェントの登録設定と一致させてください。この 2つの設定が
矛盾していると、登録機能が正常に動作しないことがあります。使用する設
定について、さらに詳しくは「Sophos NAC Advanced ベストプラクティス ガ
イド」をご覧ください。
「登録」ダイアログボックスの表示例
43
Sophos NAC Advanced
5.5.2
5.5.3
「プログレス」ダイアログボックス
「プログレス」ダイアログボックスは、エージェントが処理を実行している
ときに表示されます。実行される処理は、ポリシーの取得/評価/施行、修復、
レポート処理などです。「プログレス」ダイアログボックスには、ステータ
スを表すテキスト、操作ステップごとの進行状況、全体的な進行状況が表示
されます。
「プログレス」ダイアログボックスの表示例
「結果」ダイアログボックス
44
「結果」ダイアログボックスには、ポリシーで定義されているユーザーメッ
セージや、エラーが発生したときのエラーメッセージが表示されます。
「結果」ダイアログボックスの表示例
エージェント 環境設定ガイド
5.5.4
「バージョン情報」ダイアログボックス
「バージョン情報」ダイアログボックスには、エージェントのバージョン情
報、著作権情報、「ログを有効にする」チェックボックスが表示されます。
このダイアログボックスを開くには、「登録」、「アカウント情報」、また
は「結果」ダイアログボックスのソフォスアイコンをクリックします。
「バージョン情報」ダイアログボックスの表示例
45
Sophos NAC Advanced
6
Cisco NAC との連携機能
Cisco® Trust Agent は、Cisco Network Admission Control (NAC) ソリューション
のコンポーネントで、ネットワークアクセスの検証機能を備えたポスチャ
エージェント アプリケーションです。Cisco Trust Agent は、セキュリティ ポ
スチャ プラグインを通じてエンドポイント上の NAC に準拠しているアプリ
ケーションからセキュリティのポスチャ情報を受信します。
Quarantine Agent はセキュリティ スチャ ラグインを使用して Cisco Trust Agent
と連携します。Cisco Trust Agent はセキュリティ ポスチャ プラグインを介し
て受け取った値を Cisco Secure ACS (Access Control Server) に転送します。Cisco
Secure ACS は転送された値と Cisco NAC ポリシーを比較し、ネットワークア
クセスを許可するエンドポイントを決定します。エージェントは、エンドポ
イントで実行したコンプライアンス評価に基いて、ポスチャプラグイン経由
で Cisco Trust Agent に渡す値を決定します。ポスチャ プラグインの設定を
NAC ポリシーに組み込むには、NAC のアーキテクチャや NAC ポリシーの作
成に関する知識が必要です。
6.1
Quarantine Agent をインストールすると、エージェント ポスチャ プラグイン
は Cisco Trust Agent フォルダに保存されます。通常、この場所は
%COMMONPROGRAMFILES%\PostureAgent\Plugins\Install です。インストー
ル後、Cisco Trust Agent を起動すると、ポスチャ プラグインが登録され、プ
ラグインが「Plugins」ディレクトリに移動されます。エンドポイントで Cisco
Trust Agent を使用していない場合、ポスチャ プラグインは無視されます。こ
の場合、エージェントをインストールする際に、ポスチャプラグインが削除
されます。
ヒント: Dissolvable Agent は、Cisco Trust Agent のセキュリティ ポスチャ プラ
グインと連動しません。
ポスチャ プラグインの詳細
エージェントのポスチャ プラグインから Cisco Trust Agent に送信される情報
は次のとおりです。
■
vendor-id=5428
■
vendor-name=ENDFORCE
■
application-id=200
46
6.2
■
application-name=EFE_PP
ポリシーの組み込み
エージェント 環境設定ガイド
エージェントのポスチャプラグインを Cisco NAC ポリシーに組み込むために
必要な Attribute Value Pair (AVP) のコードは次の表をご覧ください。ポスチャ
プラグインの設定を NAC ポリシーに組み込むには、NAC のアーキテクチャ
や NAC ポリシーの作成に関する知識が必要です。
Sophos NAC Advanced の属性を Cisco Secure ACS サーバーにインポートするた
めのファイルは、Sophos NAC Advanced CD から入手できます。デフォルトの
保存場所は、Cisco NAC\Sophos ACS Import.txt です。
AVP
コード
属性の定義AVP 名
の種類
API_Name32768
API_Version32769
Compliance_State32770
Policy_Mode32771
Group_ID32773
Last_Policy_Retrieval32774
AgentAPI アプリケー
ション名
AgentAPI バージョン
エンドポイントのコン
プライアンスステート
最後に評価されたポリ
シーのモード
ユーザグループ
最後にポリシーを取得
した日付
String
String
String
Date
設定値データ
AgentAPIString
3.0Version
compliant, partial,
non-compliant
report only, remediate,
enforce
<Compliance Manager で定
義されているグループおよ
びユーザー登録で取得した
グループ>, none
<エンドポイントで最後に
ポリシーが取得された日付
>, zero date (1970/01/01 00:00
UTC)
47
Sophos NAC Advanced
7
テクニカルサポート
ソフォス製品のテクニカルサポートは、次のような形でご提供しておりま
す。
■
「SophosTalk」ユーザーフォーラム (英語) (http://community.sophos.com/)
のご利用。さまざまな問題に関する情報を検索できます。
■
ソフォス サポートデータベースのご利用。http://www.sophos.co.jp/support/
■
製品ドキュメントのダウンロード。http://www.sophos.co.jp/support/docs/
■
メールによるお問い合わせ。ソフォス製品のバージョン番号、OS および
適用しているパッチの種類、エラーメッセージの内容などを、
support@sophos.co.jp までお送りください。
48
エージェント 環境設定ガイド
8
ご利用条件
Copyright © 2011 Sophos Limited. All rights reserved. この出版物の一部または全
部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法に
おいても、使用許諾契約の条項に準じてドキュメントを複製することを許可
されている、もしくは著作権所有者からの事前の書面による許可がある場合
以外、無断に複製、復元できるシステムに保存、または送信することを禁じ
ます。
Sophos および Sophos Anti-Virus は、Sophos Limited の登録商標です。その他
記載されている会社名、製品名は、各社の登録商標または商標です。
49
Loading...