ユーザーズガイド KYOSHO PIPER J-3 CUB 40

[. . . ] 認証局 (CA) のデジタル証明書がローカルコンピュータ (ユーザーではな く) の信頼された証明機関ストアにインストールされていることを確認し てください。HTTPS の実装に必要です。 ヒント: Windows 2000 など、比較的古い Microsoft® Windows® OS を稼動し ているエンドポイントで証明書を正しく有効にするには、マイクロソフト 社の Web サイトから適切なルート証明書の更新プログラムをインストー ルしてください。 2. コンプライアンス アプリケーション サーバーにデジタル証明書がインス トールされており、発行元が VeriSign などの信頼された認証局 (CA) であ ることを確認してください。HTTPS の実装に必要です。 ヒント: テスト環境で HTTP を使用している場合、URL も HTTP になりま す。 原因: コンプライアンス アプリケーション サーバーに接続できない。 対策: 1. エンドポイント上のファイアウォールで、コンプライアンス アプリケー ション サーバーへのトラフィックがブロックされていないこと、また、 他のファイアウォールで、エンドポイントへのトラフィックがブロックさ れていないことを確認してください。ファイアウォールでトラフィックが ブロックされている場合は、必要に応じて、トラフィックを許可するよう にファイアウォールの設定を変えてください。 2. Web ブラウザでコンプライアンス アプリケーション サーバーの URL をテ ストして、該当するコンプライアンス アプリケーション サーバーのアド レスが有効であることを確認してください。Web サービスのエラーが表 示された場合、サーバーアドレスに問題はありません。次のいずれかの URL をテストします。 http(s)://< コンプライアンス アプリケーション サーバー >/RegistrationInterface/RegistrationInterface310. asmx http(s)://< コンプライアンス アプリケーション サーバー >/ServerStatusInterface/ServerStatusInterface310. asmx 3. [. . . ] ポリシーが「Remediate」または「Enforce」モードに設定されていること を確認してください。ポリシーが「Report Only」モードに設定されている 場合、修復アクションは実行されません。 21 Sophos NAC Advanced 2. 適切なプロファイルの条件に対して修復アクションが選択されていること を確認し、条件がエンドポイントと一致することを確認してください。 Compliance Managerを使用し、「Agent Session」レポートと、プロファイ ル詳細にリンクする「Assessment Details」、およびエンドポイントで実行 される修復アクションを表示してください。 3. ソフトウェアのウイルス/スパイウェア対策のシグネチャファイルの自動 アップデートを指定するポリシーがある場合は、該当するアクセステンプ レートで、サーバー上のシグネチャファイルへのアクセスが許可され、 アップデートの実行が可能なことを確認してください。 4. ステップ 1～3 の内容を確認した後も、修復アクションが実行されない場 合は、修復アクションが、ご使用の OS に対応していないことが考えられ ます。修復アクションが一部の OS だけで利用できる場合は、利用できな い OS がX印で表示されます。ユーザーが別の方法でアプリケーションを 修復できることを確認してください。また、このアプリケーションの評価 項目に対するメッセージを作成して、修復方法に関する情報をユーザーに 表示してください。 6. 4 パッチ エージェントが最新のパッチを取得しない 重要: 詳細はイベントログ (p. 33) をご覧ください。 原因: Sophos NAC Advanced で最新のパッチファイルがダウンロードされな い。 対策: Compliance Manager のホームページにある「Server Task Status」(サー バータスクのステータス) コントロールを使って、Patch Loader がタスクの実 行に失敗したかどうか、また失敗の原因を確認してください。失敗する主な 理由は、コンプライアンス アプリケーション サーバーにインターネットへ の送信アクセスが許可されていないため、CurrentDefsLoader によるインター ネット接続が実行できないことです。コンプライアンス アプリケーション サーバーで、Patch Loader タスクを手動で実行し、パッチ情報をダウンロー ド・更新してください。詳細は「 Sophos NAC Advanced インストールガイド 」をご覧ください。 原因: 古いバージョンのエージェント (3. 0. x) 用のパッチが最新でない。 対策: コンプライアンス アプリケーション サーバーをインターネットに接続 していない場合は、パッチの検出に使用する CAB ファイルをコンプライア ンスアプリケーションサーバーに手動で保存してください。詳しくは「Patch Loader のエラーがコンプライアンス アプリケーション サーバーのイベント 22 トラブルシューティングガイド ログに表示される」をご覧ください。詳細はイベントログ (p. 33) をご覧く ださい。 原因: アクセスが制限されているエンドポイントで Dissolvable Agent を使用し ている。 対策: Dissolvable Agent は、制限付きユーザーアカウントで実行している場 合、パッチの評価を実施することはできません。管理者として実行するよう にユーザーを変更して、Dissolvable Agent を再起動してください。変更でき ない場合は、Dissolvable Agent を実行するユーザー用のポリシーを別に作成 することをお勧めします。通常、これらのユーザーはゲストユーザーです。 ポリシーにパッチは含めず、Windows Update プロファイルは含めるようにし てください。このプロファイルは、Windows Update ツールがインストールさ れており、自動更新が有効になっていることを確証します。 6. 5 シグネチャファイルの日付 エージェントがウイルス/スパイウェア対策アプリケーションのシグネチャファ イルの最新日付を取得していない 重要: 詳細は、イベントログ (p. 33) をご覧ください。 原因: Sophos NAC Advancedが最新のシグネチャファイルをダウンロードして いない。 対策: Compliance Managerのホームページにある「Server Task Status」(サーバー タスクのステータス) コントロールを使って、Current Definition Loader がタ スクの実行に失敗した原因を確認してください。失敗する主な理由は、サー バーにインターネットへの発信アクセスが許可されていないため、Current Definition Loader によるインターネット接続が実行できないことです。サー バーで、Current Definition Loader タスクを手動で実行し、シグネチャの日付 をダウンロード・更新してください。詳細は、「 Sophos NAC Advanced イン ストールガイド 」をご覧ください。 23 Sophos NAC Advanced 7 登録に関する問題 登録に関するトラブルシューティング情報は次のとおりです。 7. 1 登録 登録に失敗する 重要: 詳細はサーバーとの通信に関する問題 (エージェントが原因の場合) (p. 9) をご覧ください。 認証に失敗する 原因: エージェントに渡されたユーザー名/パスワードが正しくない。 対策: エージェントを起動するためのユーザー名/パスワードが正しいことを 確認してください。ここでのユーザー名/パスワードは、「登録」または「ア カウント情報」ダイアログボックスにユーザーが直接入力する場合と、スク リプトやダイヤラーなどの他のアプリケーションでコマンドラインに入力す る場合があります。 原因: ユーザーストアでユーザーが設定されていない。 対策: ユーザーストア (例: Active Directory、NT Domain など) でユーザー名/パ スワードを正しく設定してください。 原因: インターネット認証サービス (IAS) の共有シークレットが一致していな い。 ヒント: Authentication Test ツールの使用に関するトラブルシューティングに ついて、さらに詳しくは「 Sophos NAC Advanced ツールガイド 」をご覧くだ さい。 対策: エラーがインターネット認証サービスの共有シークレットの不一致に よるものかどうかを確認するには、Secret Encryption ツールを使って共有シー クレットの値を確認してください。そして、Authentication Test ツールで確認 した値をテストしてください。共有シークレットの不一致で表示される応答 エラーは次のような内容です。 「Completed Attempt (1): To server 127. 0. 0. 1:1812. Status: InvalidResponse In 2578. 1085 mS. Radius request failed after all attempts. Last Reason: InvalidResponse」 (試行回数 (1): 対象サーバー: 127. 0. 0. 1:1812。ステータス: InvalidResponse In 2578. 1085 mS。すべて試行後、RADIUS 要求に失敗しました。最後の理由: InvalidResponse) 対策: 24 トラブルシューティングガイド Secret Encryption ツールを使って、Policy Interface と RADIUS クライアントの インターネット認証サービスの共有シークレットを設定します。 原因: 認証タイプが一致していない。 ヒント: Authentication Test ツールの使用に関するトラブルシューティングに ついて、さらに詳しくは「 Sophos NAC Advanced ツールガイド 」をご覧くだ さい。 対策: エラーが認証タイプの不一致によるものかどうかを確認するには、 Registration Interface の Web. config ファイルで認証タイプ (インストール時の デフォルト設定は MS-CHAP v2 です) を確認し、Authentication Test ツールを 使って確認した値をテストしてください。認証タイプが不一致の場合、次の ような内容のエラーが表示されます。 「Results: Completed Attempt (1): To server 127. 0. 0. 1:1812. 32) ) をご覧ください。 10. 3 SQL サーバー すべてのコンプライアンス アプリケーション サーバーまたは RADIUS サーバー のコンポーネントがコンプライアンス データベースへの接続に失敗する 原因: コンプライアンス データベースで Sophos NAC Advancedのアプリケー ションに対するアクセス許可が正しく設定されていない。 対策: 1. コンプライアンス アプリケーション サーバーでサービス スナップインを 開きます。 32 トラブルシューティングガイド 2. Sophos NAC Host Service を参照して、このサービスを稼動するために使用 しているアカウントを表示します。 3. アカウントにコンプライアンス データベースへのアクセス権限があるか 確認してください。 10. 4 イベントログ Patch Loader のエラーがコンプライアンス アプリケーション サーバーのイベン トログに表示される 原因: コンプライアンス アプリケーション サーバー がインターネットに接続 されていない可能性があります。 対策: 1. コンプライアンス アプリケーション サーバーがインターネットに接続さ れており、Web ブラウザから Patch URL を参照できることを確認してくだ さい。確認するには、Program Files\Sophos\NAC\PatchLoader\ ディレクトリ で PatchLoader. exe. config ファイルを開き、次のキーを参照します。各 URL をコピーし、ブラウザのアドレスバーに貼り付けてテストを行ってくださ い。 ■ Compliance Manager にパッチ情報を追加するために Patch Loader で使用 される CAB ファイル: <add key="HfNetChkDataSource" value="http://nacpatchupdate. sophos. com/nacpatchupdate/Verified/5. 9/hfnetchk6b. cab" /> ■ エージェントの CAB ファイル出力のために、Patch Loader が使用する ZIP ファイル: <add key="AgentHFDataSource" value="http://nacpatchupdate. sophos. com/nacpatchupdate/verified/agentcab. zip" /> ■ Patch Loader でパッチのダウンロードを最適化するために使われるバー ジョンのインデックスファイル: <add key="VersionIndexDataSource" value="http://nacpatchupdate. sophos. com/nacpatchupdate/Verified/5. 9/versionIndex. xml" /> 2. コンプライアンス アプリケーション サーバーをインターネットに接続し ていない場合は、コンプライアンス アプリケーション サーバーのローカ ルディスクに、手動で CAB ファイル、ZIP ファイル、XML ファイルを直 33 Sophos NAC Advanced 接ロードしてください。そして PatchLoader. exe. config ファイルを編集して CAB/ZIP/XML ファイルを保存した場所を指定してください。 Current Definition Loader のエラーがコンプライアンス アプリケーション サー バーのイベントログに表示される 原因: コンプライアンス アプリケーション サーバー がインターネットに接続 されていない可能性があります。 対策: コンプライアンス アプリケーション サーバーがインターネットに接続 されていることを確認してください。確認するには、Program Files\Sophos\NAC\CurrentDefsLoader\ ディレクトリで CurrentDefsLoader. exe. config ファイルを開き、次の各キーを参照します。各 URL をコピーし、ブラウザ のアドレスバーに貼り付けてテストを行ってください。 <add key="SourceURI" value=" http://nacsigdefupdate. sophos. com/avsupdate/" /> <add key="SourceURI" value=" http://es-web-2. sophos. com/update/" /> ヒント: コンプライアンス アプリケーション サーバーをインターネットに接 続していない場合、Current Definition Loader の手動アップデートは簡単では ありません。このファイルは 1時間ごとにアップデートされるため、データ がすぐに古くなってしまいます。ファイルには、すべてのウイルス対策/ス パイウェア対策アプリケーションの、シグネチャの最新の日付が含まれま す。 34 トラブルシューティングガイド 11 施行に関する問題 ネットワーク施行に関するトラブルシューティング情報は次のとおりです。 11. 1 ネットワークアクセス エンドポイントで設定どおりに、アクセスの許可/拒否、検疫が実行されない、 またはエージェントの「結果」ダイアログボックスに誤ったメッセージが表示 される 原因: この現象は「エンドポイントが適切なポリシーを取得できない」とい う問題や、「エンドポイントの評価に最新のポリシーが使用されていない」 という問題の二次的問題である場合があります。詳細はポリシーの評価と施 行 (p. 16) をご覧ください。 対策: エンドポイントが適切、かつ最新のポリシーを入手していることを確 認してください (「Compliance Manager Agent Session」(エージェントセッショ ン) レポートをご覧ください)。取得していない場合は、「エンドポイントが 適切なポリシーを取得できない」、または「エンドポイントの評価に最新の ポリシーが使用されていない」トラブルシューティング項目にある手順に 従ってください。エンドポイントが適切、かつ最新のポリシーを取得してい る場合は、この項にある他のステップに進んでください。 原因: Agent Enforcer、RADIUS Enforcer、または DHCP Enforcer が、エンドポ イントへのアクセスを拒否している。 対策: Compliance Manager を使用して、Agent Enforcer、RADIUS Enforcer、ま たは DHCP Enforcer のレポートを表示し、エンドポイントへのアクセスが拒 否された理由をご覧ください。また、RADIUS Enforcer がユーザー認証に失 敗していることもあります。 原因: ポリシーに関連付けられている Agent Enforcer Access Template が正しく ない、あるいはその設定に誤りがある。 対策: Compliance Manager で、ポリシー内のエージェントステートおよびコ ンプライアンス ステートに対して、適切な Agent Enforcer Access Template が 適用されていること、およびポリシーで使用されている Agent Enforcer Access Template に適切なネットワーク リソースが指定されていることを確認してく ださい。また、該当する場合、ネットワーク リソースの実行ファイル名、 ポート/プロトコル、IP アドレスが正しく設定されていることを確認してく ださい。 デフォルトでポリシー内の「Non-Compliant」(準拠していない) コンプライ アンス ステートに適用されている Agent Enforcer Access Template は、すべて のソフォス製品へのアクセス、およびプライベート IP アドレスを使用する 35 Sophos NAC Advanced 組織内部のネットワークに対するインターネットアクセスを許可し、その他 の送信トラフィックをすべて拒否します。これらの設定を変更するには、新 しい Agent Enforcer Access Template を作成して、エンドポイントのポリシー 内の「Non-Compliant」コンプライアンス ステートに適用してください。 「Report Only」モードや「Remediate」モードで、ネットワークアクセスをブ ロックする Enforcer Access Template を適用すると、実際のコンプライアンス ステートに関係なく、すべてのエンドポイントはアクセスを拒否されます。 コンプライアンスのステートを強制的に適用するには、ポリシーモードを 「Enforce」に変更してください。 原因: 正しくない RADIUS Enforcer または DHCP Enforcer Access Template や、 設定に誤りのある RADIUS Enforcer または DHCP Enforcer Access Template が、 ポリシーやエンフォーサの設定に関連付けされている。 対策: Compliance Manager を使って、ポリシー/エンフォーサ設定内の適切な アクセスステート/コンプライアンス ステートに対して、適切な RADIUS Enforcer または DHCP Enforcer Access Template が適用されていることを確認 してください。また、RADIUS Enforcer あるいは DHCP Enforcer Access Template の設定内容が適切であることを確認してください。 「Report Only」モードや「Remediate」モードで、ネットワークアクセスをブ ロックする Enforcer Access Template を適用すると、実際のコンプライアンス ステートに関係なく、すべてのエンドポイントはアクセスを拒否されます。 コンプライアンスのステートを強制的に適用するには、ポリシーモードを 「Enforce」に変更してください。 原因: RADIUS Enforcer または DHCP Enforcer Access Template の優先順位が適 切でない。 対策: Compliance Manager のポリシーやエンフォーサ設定で、RADIUS Enforcer または DHCP Enforcer Access Template の優先順位が適切に指定されているこ とを確認してください。より特化された、条件の厳しいアクセステンプレー トを優先してください。条件の絞られたアクセステンプレートでは、特定の IP アドレス、またはより範囲の狭い IP アドレスが指定され、条件の絞られ ていないアクセステンプレートでは、より広範な IP アドレス範囲が指定さ れます。 原因: 実行可能なネットワーク リソースが検出されていない。 対策: ここで設定する実行ファイルのプロセス名には、Windows の「タスク マネージャ」の「プロセス」タブに表示されるプロセス名と同じものを使用 してください。 36 トラブルシューティングガイド Winsock レベルで実行されている実行ファイルのみが検出されます。Winsock レベルで実行されていない場合、アプリケーションは検出されません。 原因: ネットワークリソースの優先順位が適切でない。 対策: Compliance Manager を使用して、Agent Enforcer Access Template で、ネッ トワークリソースの優先順位が適切に指定されていることを確認してくださ い。より特化された、条件の厳しいネットワークリソースを優先し上から順 に並べてください。1つのエンドポイントに複数のネットワークリソースが 該当する場合は、最初に一致するネットワークリソースがそのエンドポイン トセッションのネットワーク接続を決定します。「Network Resource Type」 が「Executable」である場合は、「Port/Protocol」よりも先に評価されます。 原因: 除外対象ではないエンドポイントが除外される、または除外対象のエ ンドポイントが除外されない。 対策: Compliance Manager を使用して、コンプライアンスの評価が必要な場 合、エンドポイントが除外 (Exemption) の対象に指定されていないことを確 認してください。同様に、コンプライアンスを評価しない場合、エンドポイ ントが除外の対象に指定されていないことを確認してください。 適切な RADIUS Enforcer または DHCP Enforcer Access Template が、除外に適 用されていることを確認してください。 さらに、「Exemptions」(除外) ページの一覧で、除外に適切な優先順位が指 定されていることを確認してください。より特化した、条件の厳しい Exemption (除外) を優先します。1つのエンドポイントに複数の除外が該当す る場合は、最初に一致する除外がそのエンドポイントセッションのネット ワーク接続を決定します。また、特定の除外に対して複数のアクセステンプ レートが選択されている場合は、RADIUS クライアント、DHCP サーバー、 または DHCP リレーの IP アドレスが最初に一致したテンプレートが使用さ れます。 原因: Compliance Manager でカスタムアプリケーションの検出ルールが正し く定義されていない。 対策: 1. Compliance Manager でカスタムアプリケーションの検出ルールが正しく定 義されていることを確認してください。詳細は「アプリケーションがエン ドポイントで検出されない、または、アプリケーションの検出に失敗す る」(ポリシーの評価と施行 (p. 16) ) をご覧ください。 2. エージェントの「バージョン情報」ダイアログボックスに表示される「ロ グを有効にする」チェックボックスを選択して、「Brief Trace」(簡単な診 断トレース) ログの設定を有効にしてください。また、エンドポイントの 37 Sophos NAC Advanced ポリシーに適用されている Agent Configuration Template (エージェント環 境設定テンプレート) の「Logging」(ログ) のエージェント設定がエラー、 警告、情報および簡単な診断トレース メッセージを記録するようになっ ていることを確認してください。エージェント API のログ (<GUID>_trace. log) を参照して、検出に関する問題の原因を調べてくださ い。 ヒント: ログの実行は、パフォーマンスに影響を与えます。したがって、 トラブルシューティングを行う場合のみログを有効にし、操作完了後、無 効にすることをお勧めします。Windows 2000/XP 環境でログファイルは < ドライブ名>:\Documents and Settings\All Users\Application Data\Sophos\Sophos NAC\Logs ディレクトリにあります。なお、Windows Vista/7 の場合は、 < ドライブ名>:\ProgramData\Sophos\Sophos NAC\Logs ディレクトリにありま す。 原因: ポリシーに関連付けされているプロファイルまたはカスタムアプリケー ションにエンドポイントの OS が含まれていないため、プロファイルが正し く評価されない。 対策: 1. Compliance Manager を使用して、指定されたポリシーに、エンドポイント の OS が OS プロファイルとして含まれていることを確認してください。 また、「Application Profiles」(アプリケーション プロファイル) でポリシー に関連付けたカスタムアプリケーションにエンドポイントの OS が含まれ ていることを確認してください。 2. [. . . ] エンドポイントで、既存のセキュリティアプリケーションが通常どおり動 作していることを確認してください。詳細は、各セキュリティアプリケー ションの Web サイトやトラブルシューティング情報を参照し、必要に応 じてカスタマーサポートにお問い合わせください。 原因: ネットワークアクセスで発生した問題を特定できないことがあります。 対策: 1. ポリシーが適切であることを確認してください。 2. Compliance Manager の「Non-Compliance Detail」(ポリシーに準拠していな いステートの詳細) レポートや「Agent Session」(エージェントセッション) レポート、「Assessment Details」(評価基準) リンクから、コンプライアン ス評価の詳細を表示してください。 3. Compliance Manager の「Agent Session」(エージェントセッション) レポー トから、エージェントが、予期されるポリシーおよびポリシーのバージョ ンを取得していることを確認してください。 4. [. . . ]