ユーザーズガイド ASUS P5W MOTHERBOARD INSTALLATION GUIDE

[. . . ] これらの OS やパッチ、アプリケーションに対する メッセージの内容と修復アクションを決めます。 3. 施行とアクセステンプレートの種類を決めます。 Compliance Manager を使用し て、実際の運用環境で使えるプ ロファイル、アクセステンプ レート、ポリシー、およびグ ループを作成する。Report Only ポリシーモードで組織のコンプ ライアンスを評価する。 Compliance Manager のレポート 機能を使い、現在の社内のコン プライアンス ステートを把握 する。 1. [. . . ] 実際の運用環境で使えるプロファイルを新規作成す るか、あるいはソフトウェアで事前に設定されてい るプロファイルを運用環境にデプロイできるように 調整します。 ヒント: 運用環境用のプロファイルには、必要なメッ セージングや修復アクション、および OS やパッチ、 アプリケーションを設定してください。 2. 運用環境用のアクセステンプレートを作成します。 3. ポリシーを作成し、運用環境用のプロファイルとア クセステンプレートを追加し、「Report Only」(レ ポートのみ) ポリシーモードを選択します。 4. グループを作成し、各グループにポリシーを適用し ます。 5. Compliance Manager のレポート機能を使い、現在の 社内のコンプライアンス ステートを確認します。 ヒント: この方法では、ユーザーが実際にポリシーに どの程度準拠しているかを把握することができます。 テストグループに Remediate ポ リシーモードを指定して、ユー ザー に対するメッセージング や修復アクションが適切である ことを確認する。 1. 既存のポリシーを開き、「Save As New」(新規保存) ボタンをクリックして、修復ポリシーを作成します。 2. ポリシーモードを「Remediate」(修復) に変更しま す。 4 Sophos NAC Advanced ベストプラクティス ガイド タスク 手順 3. 関連する実行中のプロセスを Microsoft Windows 「タ スク マネージャ」で検索します。 4. 各 OS に対してレジストキーおよび実行中のプロセ スが適切であるよう、すべての OS 環境において、 アプリケーション情報を確認します。 重要: 「Date」(日付) を使用してレジストリの検出を行 う場合は、エンドポイントでアプリケーションが検出 されるよう、正しい日付の形式を使用してください。 6 Sophos NAC Advanced ベストプラクティス ガイド ベストプラクティス 説明 システム言語に基づいて日付の形式が指定される 「System Locale」(システムロケール)、または「English (U. S. )」を選択できます。使用する形式を決定するには、 サポート予定の英語版以外の OS にアプリケーションを インストール後、実行し、各 OS 環境ごとに、日付がど のように変更・保存されるか確認することをお勧めし ます。 2. 1. 3 アクセステンプレートの施行設定の正確性をテストする ベストプラクティス アクセステンプレートをテ ストポリシーに追加して、 エンドポイントに適切なア クセステンプレートが適用 されていることを確認す る。 ポリシーのテストや Sophos NAC Advanced のロールア ウトの詳細は、NAC Advanced のテストとロール アウト (p. 4) をご覧くださ い。 たとえば、ウイルス定義ファイルが最新版でない場合 に表示され、Sophos NAC Advanced が直ちに定義ファイ ルを更新することを通知するメッセージを作成します。 エージェントは、最適な言語を選択してメッセージを 表示します。英語以外のメッセージの表示に問題があっ た場合、英語でメッセージが表示されます。英語のメッ セージが存在せず、英語以外のメッセージの表示に問 題があった場合、ユーザーに対して、空のメッセージ ウィンドウが表示されます。また、Compliance Manager レポートでメッセージは英語で表示され、英語のメッ セージが存在しない場合、空のメッセージフィールド が表示されます。 条件ごとに表示されるメッセー ジを利用する。 メッセージはすべて英語で作成 し、その後、対応言語に翻訳す る。 4. 2. 4 修復アクションを使用する 使用可能な修復アクションは、各ソフトウェアのデザインに依存します。修 復アクションのなかには、そのアプリケーションに対応している OS の一部、 またはすべてのバージョンのアプリケーションで使用できないものがあるこ とも考えられます。修復アクションが一部の OS だけで利用できる場合は、 利用できない OS がX印で表示されます。 ベストプラクティス 修復アクションを選択し、 Report Only ポリシーモードで 作成したメッセージを非表示に する。 説明 実際の運用環境用の修復アクション設定にできる限り近 いプロファイルを作成します。「Report Only」(レポー トのみ) ポリシーモードを選択すると修復アクションを 非表示にできます。メッセージの表示や修復アクション を実行して、ポリシーの施行を無効にする場合は、 「Remediate」(修復) ポリシーモードに切り替えます。 また、ポリシーを強制的に適用する場合は、「Enforce」 (施行) ポリシーモードに切り替えます。詳細は、NAC 23 Sophos NAC Advanced ベストプラクティス ガイド ベストプラクティス 説明 Advanced のテストとロールアウト (p. 4) をご覧くださ い。 修復アクションを実施すると き、アクセスステートが Partially Compliant の条件を作 成する。 コンプライアンス ステートが「Compliant」または 「Non-Compliant」に設定されている条件だけ作成した 場合、ポリシーに準拠しないと評価された場合のみ、エ ンドポイントで修復アクションが実行されることになり ます。コンプライアンス ステートを「Partially Compliant」にして条件を作成すると、エンドポイント の保護を常に最新の状態に保つために、修復アクション を適用することが可能となります。また、保護が古く、 最新版と大幅に異なる場合のみに、エンドポイントは 「Non-Compliant」として評価されます。 デプロイの問題の原因となる場合のみ、プロファイルか ら修復アクションを削除します。 利用できる修復アクションすべ てを使用して最もセキュアなエ ンドポイント評価を行う。 エンドポイント上の作業に深刻 な影響を与える場合は、修復ア クションの使用を避ける。 適用しないようにするには、特定のユーザー用に修復ア クションが設定されていない別のプロファイルを作成す るか、既存のプロファイルの修復アクションの選択を一 時的に外す、あるいは、ユーザーのポリシーモードを 「Report Only」に変更します。 たとえば、セールスエンジニアが客先から自社のネット ワークに接続しようとして、トラフィックがファイア ウォールにブロックされた場合、暫定対策としてファイ アウォールを一時的に無効にすることも考えられます。 しかし、プロファイルでファイアウォールが自動的に有 効にされるように設定されていると、短時間で問題が解 決できず、作業が長時間中断されてしまう可能性があり ます。この場合、セールスエンジニアだけに対して、 ファイアウォールを有効にしない特別なプロファイルを 適用し、その他のユーザーに対しては、ファイアウォー ルを有効にするプロファイルを適用することができま す。 最終的には、修復アクションの実行でどの程度ユーザー の作業が中断されるかを判断し、修復アクションを実行 しないで発生するリスクと、ユーザーの重要な作業を中 断することで発生するリスクを比較し、対応を決めてく ださい。 24 Sophos NAC Advanced ベストプラクティス ガイド 5 アプリケーションのベストプラクティス ここでは、アプリケーションの最も効率的な使用方法について説明します。 アプリケーションに関する用語は次のとおりです。 ■ Applications: アプリケーションでは、ソフトウェア、その評価項目、関連 条件、コンプライアンス ステート、および実行可能な修復アクションを 設定します。Sophos NAC Advanced で事前に定義済みのアプリケーション を使用したり、各企業固有のカスタムアプリケーションを作成することが できます。 Application Types: アプリケーションタイプでは、アプリケーションを分類 し、各アプリケーションタイプに属するアプリケーションすべてに適用さ れるデフォルトのポリシー動作を設定します。カスタム アプリケーショ ン タイプを作成したり、事前に定義済みのアプリケーションタイプを使 用することができます。 事前に定義済みのアプリケーションタイプには、Anti-Spyware Application、 Anti-Virus Application、Assessment Application、Firewall Application、HIPS Application、IDS Application、および Patch Manager Application がありま す。 ■ 5. 1 アプリケーションタイプの作成 アプリケーションタイプを作成する際、タイプ別のアプリケーションの評価 方法を、「Best」または「All」を選択して定義することができます。 ヒント: 事前に設定済みのアプリケーションには、デフォルトの評価方法が 指定されていますが、ポリシー内で変更することができます。 ■ Use Best Profile: 各ポリシー内の特定のタイプのプロファイルは、エンドポ イントで評価され、最適な一致が判断されます。最適な一致のプロファイ ルに関連した規定のアクションのみが実行されます。「Best」では、エン ドポイントで最もポリシーに準拠しているプロファイルが使用され、ポリ シー内のそのプロファイル タイプのコンプライアンス ステートが決定さ れます。特に指定されない限り、アプリケーション プロファイルはこの ようにして評価されます。評価中のプロファイルがエンドポイントに全く インストールされていない場合は、最も優先順位の高いプロファイルにお ける、コンプライアンス ステートの「Else」条件が、ポリシー内の各プロ ファイルタイプのコンプライアンス ステートおよびアクションを決定す るために使用されます。 Use All Profiles: 各ポリシー内の特定のタイプのプロファイルすべてがエン ドポイントで評価され、プロファイルすべてに関連付けされている規定の アクションが実行されます。「All」では、エンドポイントで最低レベル 25 ■ Sophos NAC Advanced ベストプラクティス ガイド でポリシーに準拠しているプロファイルが使用され、ポリシー内のそのプ ロファイルタイプのコンプライアンス ステートが決定されます。パッチ プロファイルは、このようにして評価されます。エンドポイントでブロッ クするアプリケーションプロファイルはこの方法で評価されます。 たとえば、P2P アプリケーションを含む、「Peer-to-Peer Application」とい うアプリケーションタイプを作成し、この種のアプリケーションが稼動し ている場合ネットワークアクセスを拒否するには、デフォルトポリシーの 動作を「All」に指定できます。P2P アプリケーションが稼動しているエン ドポイントはすべて、ネットワークアクセスを拒否されます。 5. 1. 1 アプリケーションタイプを作成する ベストプラクティス アプリケーションの種類ごと に、アプリケーションタイプを 作成する。 説明 アプリケーションタイプを使用して、各アプリケーショ ンを種類別に分類することができます。アプリケーショ ンタイプを作成すると、ポリシーに特定の種類のアプ リケーションが複数追加された場合、デフォルトのポ リシーの動作 (Use Best Profile/Use All Profile) を指定する ことができます。 「Use All Profile」動作を指定すると、定義済みのアプリ ケーションやコンポーネントが 1つでも検出された場 合、ポリシーが施行されます。 また、アプリケーションプロファイルで適切なメッセー ジや修復アクションを指定すると、ユーザーは、再ア クセスを試みる前に、ポリシー準拠に関する問題に対 処することができます。 「Use Best Profile」動作を指定すると、定義済みのアプ リケーションやコンポーネントが検出されなかった場 合、ポリシーが施行されます。 また、アプリケーションプロファイルで適切なメッセー ジや修復アクションを指定すると、ユーザーは、エン ドポイントで稼動が許可されているアプリケーション やコンポーネントに関するメッセージや修復アクショ ンのみを受信することができます。 エンドポイントで実行を許可し たくないアプリケーションに対 して、アプリケーションタイプ を作成し、「Use All Profile」動 作を指定する。 エンドポイントで実行を許可す るアプリケーションに対して、 アプリケーションタイプを作成 し、「Use Best Profile」動作を 指定する。 5. 2 アプリケーションの作成 このセクションでは、NAC Advanced の導入ケースすべてに共通するアプリ ケーションの作成に関するベストプラクティスについて説明します。 26 Sophos NAC Advanced ベストプラクティス ガイド 5. 2. 1 マルチ OS 環境用に複数のアプリケーションを作成する マルチ OS 環境用にアプリケーションを作成する際、次の事柄を実行できま す。 ■ ■ 各 OS 用に別々のアプリケーションを作成する。 検出グループごとに分類した、各 OS 用の個別のアプリケーション検出 ルールを含むアプリケーション 1つを作成し、各検出グループで「OR」評 価方法を指定する。 ベストプラクティス 各 OS ごとに検出ルールが異な る場合、別々のアプリケーショ ンを作成する。 説明 アプリケーションの検出ルールすべてが、OS 環境に依 存せず同じ場合を除いて、各 OS 用の個別の検出ツール を定義する別々のアプリケーションを、OS ごとに作成 することをお勧めします。 プロファイル内でなく、アプリケーションの検出ルー ルで複数のバージョンを定義する場合は、メンテナン ス作業やポリシーへの追加を容易にするため、同じ OS 上の各バージョンのアプリケーション用に、それぞれ 別々のアプリケーションを作成してください。プロファ イルでバージョンを定義する方法の詳細は、「Specify in Profile」値を使用する (p. 28) をご覧ください。 プロファイル内でなく、アプリ ケーションの検出ルールで複数 のバージョンを定義し、同じ OS 上に、複数のバージョンの アプリケーションがある場合、 それぞれ別々のアプリケーショ ンを作成する。 5. 2. 2 複数のアプリケーション検出ルールを使用して、アプリケーション を定義する ベストプラクティス 複数のアプリケーション検出 ルールを使用して、アプリケー ションを定義する。 説明 なるべく多くのアプリケーション検出ルールを使用し て、アプリケーションをより正確に識別・検出するよ うにします。たとえば、アプリケーションにレジスト リキーとファイルバージョンがある場合は、各項目に それぞれ対応する合計 2つのアプリケーション検出ルー ルを作成してください。 27 Sophos NAC Advanced ベストプラクティス ガイド 5. 2. 3 適切なアプリケーションの評価項目を作成して検出する ベストプラクティス 適切なアプリケーションの評価 項目を作成して検出する。 説明 ■ 各アプリケーションに対して、「Installed」評価項目 を作成する必要があります。「Installed」評価項目 は、アプリケーションがインストールされているか どうかを評価するテストを実施します。 ■ 正常に動作していることを示す、実行プロセスがア プリケーションにある場合は、次に「Running」評価 項目を作成します。 ■ 適切なバージョンがインストールされていることを 確認するバージョンチェック機能がアプリケーショ ンにある場合は、次に「Version」評価項目を作成し ます。 ■ 他にテストしたい値がアプリケーションにあり、そ れを他の評価項目に含めることができない場合、ま たは、特定のタイプの評価項目を既に作成済みの場 合は、次に、「Value」評価項目を作成し、追加の値 をテストします。 5. 2. 4 別々のコンプライアンス ステートやメッセージを適用するため、異 なる評価項目を作成する ベストプラクティス 別々のコンプライアンスステー トやメッセージを適用するた め、検出ルール用の異なる評価 項目を作成する。 説明 特定の検出ルール用のコンプライアンスステートやメッ セージを設定するには、各検出ルール用に異なる評価 項目を作成します。複数の検出ルールを含む評価項目 を作成した場合、プロファイル内で、その検出ルール セットに対して、1つのコンプライアンス ステートおよ び 1つのメッセージのみ指定できます。 5. 2. 5 「Specify in Profile」値を使用する エージェントは、ブール型以外の値が指定可能な評価項目 (「Version」およ び「Value」) を使用する場合、事前に定義されたプロファイル内の値を使用 して、アプリケーションのインストール・操作ステータスを判断することが できます。 28 Sophos NAC Advanced ベストプラクティス ガイド 重要: 「Date」を使用してレジストリの検出を行う場合は、エンドポイント でアプリケーションが検出されるよう、正しい日付の形式を使用してくださ い。システム言語に基づいて日付の形式が指定される「System Locale」(シス テムロケール)、または「English (U. S. )」を選択できます。サポート予定の英 語版以外の OS にアプリケーションをインストール後、実行し、各 OS 環境 ごとに、日付がどのように変更・保存されるか確認することをお勧めしま す。 ベストプラクティス アプリケーションを作成するに は、値に対して、「Specify Now」オプションでなく、 「Specify in Profile」オプション を使用する。 説明 「Specify in Profile」オプションを指定すると、値が変更 した場合、アプリケーションで必要となるメンテナン ス作業は最小限で済みます。また、プロファイルが適 用されたアプリケーションを後で変更することはでき ません。したがって、値が変わらない場合のみ、 「Specify Now」オプションを使用してください。 5. 2. 6 適切なバージョンの検出ルールを作成する ベストプラクティス バージョンを使って検出ルール を定義する場合は、適切な桁数 の有意な値を入力する。 説明 たとえば、条件で「== 8」を指定し、エンドポイントの バージョンが 8. 1 の場合、8. 1 と条件にある 8 が比較さ れ (有意な値 1つ)、条件が満たされたと判断されます。 一方、条件で「== 8. 0」を指定し、エンドポイントの バージョンが 8. 1 の場合、8. 1 と条件にある 8. 0 が比較さ れ (有意な値 2つ)、条件が満たされなかったと判断され ます。 5. 3 アプリケーションの例 このセクションでは、P2P アプリケーション、およびインスタントメッセー ジングアプリケーションの例について説明します。この種のアプリケーショ ンは、業務上使用する必要がないと思われるアプリケーションの代表的な例 です。 5. 3. 1 例: Kazaa Kazaa は、業務上使用する必要がないと思われる P2P アプリケーションの代 表的な例です。kazaa. exe プロセスが実行しているかを判断する、アプリケー 29 Sophos NAC Advanced ベストプラクティス ガイド ションの検出ルールを作成することができます。エンドポイントで同プロセ スが実行中の場合、ネットワークアクセスを拒否するよう設定できます。 図 3: 例: Kazaa 5. 3. 2 例: AOL インスタント メッセンジャー AOL ® インスタント メッセンジャーは P2P アプリケーションで、適切なバー ジョンを実行している場合は、組織内での使用を許可しても問題ありませ ん。aim. exe プロセスが実行しており、それが許可されているバージョンか を判断する、アプリケーションの検出ルールを作成します。エンドポイント で同プロセスが実行中で、バージョンが適切でない場合、ネットワークアク セスを拒否するよう設定できます。 30 Sophos NAC Advanced ベストプラクティス ガイド 図 4: 例: AOL 31 Sophos NAC Advanced ベストプラクティス ガイド 6 アクセステンプレートのベストプラクティス ここでは、アクセステンプレートの最も効率的な使用方法について説明しま す。アクセステンプレートでは、エンドポイントに許可(または拒否) する ネットワークアクセスを設定します。Sophos NAC Advanced は、Agent、 RADIUS、および DHCP Enforcement (施行) に対応しています。アクセステン プレートを Compliance Manager の Compliant、Partically Compliant、または Non-Compliant Access State に適用すると、ポリシーの評価の結果によってネッ トワークアクセスが施行されます。アクセステンプレートの詳細は、 「Compliance Manager ガイド」をご覧ください。 アクセステンプレートに関する用語は次のとおりです。 ■ Network Resources: Network Resource (ネットワークリソース) は、修復に 必要なアプリケーションやデバイス、またはポリシーに準拠していないエ ンドポイントによるアクセスを拒否する必要のあるアプリケーションやデ バイスです。ネットワークリソースは、Quarantine Agent を稼動している エンドポイントのみに適用されます。 Access Enforcer Access Templates: Agent Enforcer Access Template (エージェン ト エンフォーサ アクセステンプレート) では、エージェントによる検疫を 使用する際に、エンドポイントにアクセスを許可/拒否するネットワーク リソースが識別されます。ネットワークリソースによって、アプリケー ションやデバイスがアクセスできるエンドポイントが決定されます。Agent Enforcer Access Template は、Quarantine Agent を実行しているエンドポイン トのみに適用されます。 RADIUS Enforcer Access Templates: RADIUS Enforcer Access Template (RADIUS Enforcer アクセステンプレート) は、RADIUS 施行のために必要なアクセス 設定を指定します。RADIUS は、ネットワークに認証、承認、アカウン ティング (記録) サービスを提供するプロトコルです。RADIUS Enforcer Access Template は、RADIUS 施行のみで使用されます。RADIUS 施行は、 VPN、802. 1x、Cisco NAC、拡張した RADIUS を実装している場合に使用し ます。 DHCP Enforcer Access Templates: DHCP Enforcer Access Template (DHCP Enforcer アクセステンプレート) では、DHCP 施行に必要なアクセス設定 を指定することができます。DHCP は、ネットワークに自動的に IP アド レスを割り当てるプロトコルです。DHCP Enforcer Access Template は、 DHCP 施行のみで使用されます。 Exemptions: Exemption (除外) では、様々な条件を基にして、ネットワーク 接続時に、コンプライアンス評価が必要のないエンドポイントが識別され ます。評価の対象から除外されるエンドポイントには、エージェントを実 ■ ■ ■ ■ 32 Sophos NAC Advanced ベストプラクティス ガイド 行できないエンドポイントや、安全と判断されているサーバー、ルータ、 プリンタ、エンドポイントなど、コンプライアンス評価が不要なエンドポ イントがあります。除外機能は、RADIUS 施行または DHCP 施行のみで使 用されます。 6. 1 運用環境用アクセステンプレートの作成 ベストプラクティス 運用環境用アクセステンプ レートを作成する。 説明 プロファイルの「Policy Mode」(ポリシーモード) 設定を使っ てユーザーに与える影響を徐々に拡大します。後の修正を 最小限に抑えつつ、シンプルな設定で施行を実施すること ができます。詳細は、適切なポリシーモードを指定する (p. 10) をご覧ください。 その後、作成したアクセステンプレートを含むポリシーを 作成、または更新します。アクセステンプレート作成時に Template Compliance State を指定することで、アクセステン プレートは、自動的に新規ポリシーに追加されます。 ポリシーを作成、または更 新する前に、すべてのアク セステンプレートを作成す る。 6. 2 定義済みのアクセステンプレートの利用 ベストプラクティス 定義済みのアクセステンプ レートを利用する。 説明 次のように、あらかじめ定義されているアクセステンプレー トを利用します。 ■ ソフトウェアのデモ、試用、あるいは有用性を実証する POC (Proof-of-Concept) テストなどに変更なしでそのま ま利用する。 ■ 実際の運用環境用にロールアウトする場合は、事前定義 済みアクセステンプレートをコピー (別名で保存) して、 設定をカスタマイズする。 使用しない定義済みのアク セステンプレートは、必ず ポリシーまたはエンフォー サ設定のアクセスステート から削除して、新しいアク セステンプレートを追加す る。 使用しない事前定義済みのアクセステンプレートは、削除 するか、あるいはアクセステンプレートの「Template Compliance States」(テンプレートのコンプライアンス ステー ト) チェックボックスの選択を外して、アクセステンプレー トが、新規ポリシーに自動的に追加されないようにします。 33 Sophos NAC Advanced ベストプラクティス ガイド 6. 3 ネットワークリソース、アクセステンプレート、および 除外の優先順位の指定 優先順位を付けて、適切なネットワークアクセスを設定します。 ベストプラクティス より特化された、条件の厳 しいネットワークリソー ス、アクセステンプレー ト、および除外を優先す る。 説明 ■ Network Resources: 1つのエンドポイントに複数のネット ワークリソースが該当する場合は、最初に一致するネッ トワークリソースがネットワーク接続を決定します。 「Network Resource Type」が「Executable」である場合 は、「Port/Protocol」よりも先に評価されます。 ■ Access Template: 特定のステートに適用可能なアクセス テンプレートが複数ある場合、そのステートに最初に該 当するアクセステンプレートが使用されます。条件の絞 られたアクセステンプレートでは、特定の IP アドレス、 またはより範囲の狭い IP アドレスが指定され、条件の 絞られていないアクセステンプレートでは、より広範な IP アドレス範囲が指定されます。 ■ Exemptions: 1つのエンドポイントに複数の除外が該当す る場合は、最初に一致する除外がネットワーク接続を決 定します。また、特定の除外に対して複数のアクセステ ンプレートが選択されている場合は、RADIUS クライア ント、DHCP サーバー、または DHCP リレーの IP アド レスが最初に一致したテンプレートが使用されます。 6. 4 テンプレートのコンプライアンス ステートの指定 ベストプラクティス 干渉する Template Compliance State を選択しな い。 説明 たとえば、「Compliant」を選択した場合、ネットワークア クセスを許可するテンプレートを作成するようにします。 同様に、「Non-Compliant」を選択した場合は、修復サー バーのみにネットワークアクセスを制限するテンプレート を作成するようにします。 特定の施行シナリオの詳細は、補足 A: 施行シナリオ (p. 41) を参照してください。 34 Sophos NAC Advanced ベストプラクティス ガイド ベストプラクティス アクセステンプレートを自 動的に新規ポリシーに追加 する場合のみ、Template Compliance State を選択す る。 説明 アクセステンプレートの新規ポリシーへの追加をコントロー ルする場合は、Template Compliance State を選択しないでく ださい。 大規模なネットワーク環境にデプロイする場合は、Template Compliance State を選択して、アクセステンプレートを自動 的に新規ポリシーに追加してください。アクセステンプレー トを新規作成しても、既存のポリシーに影響は与えません。 図 5: Template Compliance State 表示例 6. 5 デフォルトのアクセスステートに対するアクセステンプ レートの指定 ベストプラクティス Default アクセスステートに 対するアクセステンプレー トを指定する。 説明 RADIUS 施行や DHCP 施行を利用している場合は、 Compliance Manager の「 Configure System > Enforcer Settings 」(システムの設定 - エンフォーサ設定) ページから 「Default」のアクセスステートに対して適切なアクセステ ンプレートを指定します。 「Default」は、該当するアクセステンプレートがない場合 に最終的に適用されるアクセスステートです。したがって、 使用されるすべての IP アドレスを、「Default」アクセスス テートに適用されているアクセステンプレートに追加する ことを推奨します。より特化された、条件の厳しい Access Template を優先し、条件が ANY (すべて) - Deny All (すべて 拒否) に設定されているアクセステンプレートの優先順位を 下げてください。 6. 6 ネットワークリソースの作成 35 Sophos NAC Advanced ベストプラクティス ガイド ベストプラクティス 正確な実行可能なネット ワークリソースを作成す る。 説明 ネットワークリソースは、実行ファイルやポート/プロトコ ルといったリソースタイプ、および接続先 IP アドレスやサ ブネットなどの詳細情報から構成されています。実行可能 なネットワークリソースの場合、Quarantine Agent によって エンドポイントから送信されるトラフィックの評価が行わ れ、どのプロセスを許可あるいは拒否するかが判断されま す。ポート/プロトコルおよび IP アドレスの場合、Quarantine Agent によってエンドポイントでどの方向のアクセスを許可 あるいは拒否するかが評価されます。 実行可能なネットワークリソース作成におけるガイドライ ン: ■ ここで設定する実行ファイルのプロセス名は、Windows の「タスクマネージャ」の「プロセス」タブに表示され るプロセス名と同じでなければなりません。 ■ プロセスに拡張子がついていない場合を除いて、実行 ファイルのファイル名には、必ず「. exe」拡張子を付け、 ファイル名は省略されていないこと。ファイル名の長さ 制限: 半角 64文字まで。使用できない文字: \ / : * ? [. . . ] 10) をご覧ください。 その後、作成したアクセステンプレートを含むポリシーを 作成、または更新します。アクセステンプレート作成時に Template Compliance State を指定することで、アクセステン プレートは、自動的に新規ポリシーに追加されます。 ポリシーを作成、または更 新する前に、すべてのアク セステンプレートを作成す る。 6. 2 定義済みのアクセステンプレートの利用 ベストプラクティス 定義済みのアクセステンプ レートを利用する。 説明 次のように、あらかじめ定義されているアクセステンプレー トを利用します。 ■ ソフトウェアのデモ、試用、あるいは有用性を実証する POC (Proof-of-Concept) テストなどに変更なしでそのま ま利用する。 ■ 実際の運用環境用にロールアウトする場合は、事前定義 済みアクセステンプレートをコピー (別名で保存) して、 設定をカスタマイズする。 使用しない定義済みのアク セステンプレートは、必ず ポリシーまたはエンフォー サ設定のアクセスステート から削除して、新しいアク セステンプレートを追加す る。 使用しない事前定義済みのアクセステンプレートは、削除 するか、あるいはアクセステンプレートの「Template Compliance States」(テンプレートのコンプライアンス ステー ト) チェックボックスの選択を外して、アクセステンプレー トが、新規ポリシーに自動的に追加されないようにします。 33 Sophos NAC Advanced ベストプラクティス ガイド 6. 3 ネットワークリソース、アクセステンプレート、および 除外の優先順位の指定 優先順位を付けて、適切なネットワークアクセスを設定します。 ベストプラクティス より特化された、条件の厳 しいネットワークリソー ス、アクセステンプレー ト、および除外を優先す る。 説明 ■ Network Resources: 1つのエンドポイントに複数のネット ワークリソースが該当する場合は、最初に一致するネッ トワークリソースがネットワーク接続を決定します。 「Network Resource Type」が「Executable」である場合 は、「Port/Protocol」よりも先に評価されます。 ■ Access Template: 特定のステートに適用可能なアクセス テンプレートが複数ある場合、そのステートに最初に該 当するアクセステンプレートが使用されます。条件の絞 られたアクセステンプレートでは、特定の IP アドレス、 またはより範囲の狭い IP アドレスが指定され、条件の 絞られていないアクセステンプレートでは、より広範な IP アドレス範囲が指定されます。 ■ Exemptions: 1つのエンドポイントに複数の除外が該当す る場合は、最初に一致する除外がネットワーク接続を決 定します。また、特定の除外に対して複数のアクセステ ンプレートが選択されている場合は、RADIUS クライア ント、DHCP サーバー、または DHCP リレーの IP アド レスが最初に一致したテンプレートが使用されます。 6. 4 テンプレートのコンプライアンス ステートの指定 ベストプラクティス 干渉する Template Compliance State を選択しな い。 説明 たとえば、「Compliant」を選択した場合、ネットワークア クセスを許可するテンプレートを作成するようにします。 同様に、「Non-Compliant」を選択した場合は、修復サー バーのみにネットワークアクセスを制限するテンプレート を作成するようにします。 特定の施行シナリオの詳細は、補足 A: 施行シナリオ (p. 41) を参照してください。 34 Sophos NAC Advanced ベストプラクティス ガイド ベストプラクティス アクセステンプレートを自 動的に新規ポリシーに追加 する場合のみ、Template Compliance State を選択す る。 説明 アクセステンプレートの新規ポリシーへの追加をコントロー ルする場合は、Template Compliance State を選択しないでく ださい。 大規模なネットワーク環境にデプロイする場合は、Template Compliance State を選択して、アクセステンプレートを自動 的に新規ポリシーに追加してください。アクセステンプレー トを新規作成しても、既存のポリシーに影響は与えません。 図 5: Template Compliance State 表示例 6. 5 デフォルトのアクセスステートに対するアクセステンプ レートの指定 ベストプラクティス Default アクセスステートに 対するアクセステンプレー トを指定する。 説明 RADIUS 施行や DHCP 施行を利用している場合は、 Compliance Manager の「 Configure System > Enforcer Settings 」(システムの設定 - エンフォーサ設定) ページから 「Default」のアクセスステートに対して適切なアクセステ ンプレートを指定します。 「Default」は、該当するアクセステンプレートがない場合 に最終的に適用されるアクセスステートです。したがって、 使用されるすべての IP アドレスを、「Default」アクセスス テートに適用されているアクセステンプレートに追加する ことを推奨します。より特化された、条件の厳しい Access Template を優先し、条件が ANY (すべて) - Deny All (すべて 拒否) に設定されているアクセステンプレートの優先順位を 下げてください。 6. 6 ネットワークリソースの作成 35 Sophos NAC Advanced ベストプラクティス ガイド ベストプラクティス 正確な実行可能なネット ワークリソースを作成す る。 説明 ネットワークリソースは、実行ファイルやポート/プロトコ ルといったリソースタイプ、および接続先 IP アドレスやサ ブネットなどの詳細情報から構成されています。実行可能 なネットワークリソースの場合、Quarantine Agent によって エンドポイントから送信されるトラフィックの評価が行わ れ、どのプロセスを許可あるいは拒否するかが判断されま す。ポート/プロトコルおよび IP アドレスの場合、Quarantine Agent によってエンドポイントでどの方向のアクセスを許可 あるいは拒否するかが評価されます。 実行可能なネットワークリソース作成におけるガイドライ ン: ■ ここで設定する実行ファイルのプロセス名は、Windows の「タスクマネージャ」の「プロセス」タブに表示され るプロセス名と同じでなければなりません。 ■ プロセスに拡張子がついていない場合を除いて、実行 ファイルのファイル名には、必ず「. exe」拡張子を付け、 ファイル名は省略されていないこと。ファイル名の長さ 制限: 半角 64文字まで。使用できない文字: \ / : * ? [. . . ]