ユーザーズガイド SOPHOS NAC ADVANCED 3.2 5-2009

[. . . ] Sophos NAC Advanced ベストプラクティス ガイド 製品バージョン: 3. 2 ドキュメント作成日: 2009年 5月 目次 1 このドキュメントについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2 全般のベストプラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3 ポリシーのベストプラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 4 プロファイルのベストプラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 5 アプリケーションのベストプラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 6 アクセステンプレートのベストプラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 7 登録のベストプラクティス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 8 補足 A: 施行シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 9 著作権情報. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 2 Sophos NAC Advanced ベストプラクティス ガイド 1 このドキュメントについて このドキュメントは、Compliance Manager を使用した、Sophos NAC Advanced の最も効率的なロールアウトおよび設定方法について説明しています。この ドキュメントは、Compliance Manager メニューの内容に準じて構成されてい ます。 1. 1 対象読者 このドキュメントは、中小規模の組織で IT 業務全般を担当されている方を 対象にしています。また、クライアント数 25, 000台以上の大規模なネット ワークの管理担当者の方にもご活用いただけます。なお、クライアント数が 1, 000台を超える場合は、ソフォス プロフェッショナル サービスのご利用を お勧めします。プロフェッショナルサービスの詳細についてはソフォスまで ご相談ください。 3 Sophos NAC Advanced ベストプラクティス ガイド 2 全般のベストプラクティス ここでは、Sophos NAC Advanced のロールアウト、および Compliance Manager の使用に関するベストプラクティスについて説明しています。ここで説明す るベストプラクティスは、Compliance Manager 全般に共通する内容です。 2. 1 NAC Advanced のテストとロールアウト Sophos NAC Advanced をロールアウトする前に、ポリシー、プロファイル、 アプリケーション、およびアクセステンプレートに関する詳細なテストを実 施してください。 タスク 組織内で使用するプロファイ ル、メッセージ、ポリシー、施 行の内容を決定する。 手順 1. ネットワーク アクセス コントロールの対象にする OS やパッチ、アプリケーションを決めます。 2. [. . . ] テストグループで、メッセージングや修復アクショ ンが適切であることを確認します。 すべてのユーザーに対して修復 ポリシーを適用する。 1. Compliance Manager を使用して、すべてのグループ に作成した修復ポリシーを適用します。 2. Compliance Manager のレポート機能を使い、現在の 社内のコンプライアンス ステートを確認します。 ヒント: ポリシーに準拠していない、あるいはポリ シーの一部にだけ準拠しているエンドポイントは、 全体のコンプライアンスレベルを向上させるために、 最終的には修復する必要があります。 テストグループに Enforce ポリ シーモードを指定して、ユー ザーに対するアクセスアクショ ンやメッセージングが適切であ ることを確認する。 1. 修復ポリシーを開き、「Save As New」(新規保存) ボ タンをクリックして、施行ポリシーを作成します。 2. ポリシーモードを「Enforce」(施行) に変更します。 3. 作成したポリシーをテストグループに適用します。 4. テストグループで、メッセージングや修復アクショ ン、および施行アクションが適切であることを確認 します。 すべてのユーザーに対して施行 ポリシーを適用する。 ヒント: 特定のグループのニー ズに応えるため、ポリシーを数 種類作成することもできます。 グループごとに異なるアプリ ケーションや OS を稼動してい る場合、それぞれ専用のポリ シーを適用すると便利です。 1. Compliance Manager を使用して、すべてのグループ に、作成した施行ポリシーを適用します。 2. Compliance Manager のレポート機能を使い、現在の 社内のコンプライアンス ステートを確認します。 ヒント: ポリシーに準拠していないエンドポイント は、最終的には修復するか、ネットワークへのアク セスを拒否する必要があります。 2. 1. 1 テストグループを使用する ベストプラクティス テストグループを使用する。 説明 テストグループに、組織内で使用されるウイルス対策 アプリケーション、シグネチャファイル、パーソナル 5 Sophos NAC Advanced ベストプラクティス ガイド ベストプラクティス 複数の Active Directory セキュリ ティグループや Windows NT セ キュリティグループに関連付け されているグループの場合、最 初に一致するセキュリティグ ループが使用されます。テスト グループでポリシーをテストす る前に、テストグループの優先 順位が Compliance Manager で適 切に設定されていることを確認 します。 ヒント: 本ソフトウェアを RADIUS プロキシとして使用し ている (別の RADIUS サーバー との間に、このソフトウェアを プロキシモードで設定している) 場合、ユーザーが適切なポリ シーを取得できるようにするに は、グループ名が、RADIUS サーバーから返される値と一致 するようにしてください。 説明 ファイアウォール アプリケーション、スパイウェア対 策アプリケーション、パッチ、OS などが含まれている ことを確認します。 ポリシーをアップデートしたり、ポリシーを新規作成 した場合は、そのポリシーをテストグループに適用し ます。 テストグループで、次の内容を確認します。 ■ エンドポイントの評価が実行され、適切なレポート 情報が作成される。 ■ ポリシーが正しく施行される。 ■ 評価対象のプロファイルに対して、適切なメッセー ジングが実施される。 ■ メッセージの内容がユーザーにとってわかりやすい。 2. 1. 2 Compliance Manager でアプリケーションを作成する際は、事前にテ ストをする ベストプラクティス Compliance Manager でアプリ ケーションを作成する際は、事 前にテストをする。 説明 アプリケーションを作成する際、エンドポイントで検 出するべき情報を確認するには、次の操作を行います。 1. テストマシンで検出したいアプリケーションを起動 します。 2. [. . . ] "< > | を使用することはできません。ファイルパスを付けるこ とはできません。ワールドカード文字には対応していま せん。TCP および UDP プロトコルの場合のみに対応し ています。 ■ Winsock レベルで実行されている実行ファイルのみが検 出されます。 6. 7 アクセステンプレートに除外を適用して NAC Advanced のロールアウトをコントロール ベストプラクティス RADIUS または DHCP Enforcement (施行) を利用す る場合は、アクセステンプ レートに Exemption を適用 して段階的に施行をロール アウトする。 説明 RADIUS または DHCP Enforcer Access Template と Exemption を併用して、ネットワークや施行デバイスのサブセットに NAC Advanced をロールアウトします。まず、少数のアクセ ステンプレートを定義して、次に、「除外」を定義してロー ルアウトの準備ができていないネットワークセグメントを 対象から外します。こうすることで、通常どおり施行をロー ルアウトし、状況や必要性に応じて特定のデバイスやデバ イスのサブセットをロールアウトの対象から除外できます。 DHCP 施行では、除外の条件は、常に最初に評価されます。 36 Sophos NAC Advanced ベストプラクティス ガイド 7 登録のベストプラクティス ここでは、登録の最も効率的な使用方法について説明します。Sophos NAC Advanced の登録機能で、セキュリティを向上し、認証プロセスを簡素化する ことができます。登録プロセスには、RSA 二要素認証が含まれ、組織の既存 の RSA サーバーのチャレンジレスポンス認証をより効果あるものにします。 ユーザーの登録機能が問題なく作動するよう、ここで説明するベストプラク ティスを実行することをお勧めします。 登録の設定は、次の 2つの要素から構成されます。登録は、Compliance Manager と Compliance Agent の両方で設定する必要があります。Compliance Manager の登録設定内容が、エージェントの登録モードと矛盾する場合、登録機能は 正常に動作しません。 Compliance Manager Registration Setting Compliance Manager の「 Configure System > Agent Registration 」(システムの 設定 - Agent Registration) エリアで、Compliance Manager の登録を設定します。 設定可能な Compliance Manager の登録内容は次のとおりです。 ■ Every: エージェントで、すべてのエージェントセッションについて、該当 する登録期間に従い、ユーザー名とパスワードによる登録をユーザーに要 求。 Once: エージェントで、1回のユーザー名とパスワードによる登録をユー ザーに要求。以降のエージェントセッションでは、ユーザー名の入力のみ が必要となります。 Never: エージェントで登録を要求するメッセージを表示しない、またはパ スワード入力による登録を要求しない。ユーザーがエンドポイントにログ インするときに使う Windows ドメインのアカウント情報を使って登録を 行うには、「Never」登録の設定を選択します。そして、Agent Configuration Template の「Register」設定で「Use Computer Logon」オプションを選択し てください。ユーザーが Windows ドメインのアカウント情報を使って登 録しない場合、ユーザー名の入力だけで登録を行うには、「Never」登録 の設定と一致するよう、Agent Configuration Template の「Register」設定で 「No Password」を選択してください。 警告: 「Use Computer Logon」設定が選択されていない場合、「Never」登 録の設定により、ユーザー認証なしでネットワークへのアクセスが許可さ れます。 ■ ■ Agent Registration Mode 37 Sophos NAC Advanced ベストプラクティス ガイド Compliance Manager の「 Manage > Agent Configuration Templates 」(管理 Agent Configuration Templates) エリアで、エージェントの登録モードを指定 します。設定可能なエージェントの登録モードは次のとおりです。 ■ Always Prompt: エージェントはユーザー名とパスワードの入力を促し、 エージェントが起動するたびに登録を行う。 Prompt on Demand: エージェントは登録が有効期限切れになった場合のみ ユーザー名およびパスワードの入力を促し、それ以外の場合は、ユーザー 名の入力のみ促す。 No Password: コンプライアンス アプリケーション サーバーから要求がな い限り、登録中、エージェントはユーザー名の入力を促さない。 Use Computer Logon: エージェントはユーザー名、パスワードどちらの入 力も促しません。ただし、エンドポイントにログオンするときに、ユー ザーが Winodws ドメインのアカウント情報を入力すると、登録が実行さ れます。 ヒント: Use Computer Logon 設定は、ユーザーが Winodws ドメインのアカ ウント情報を使って、エンドポイントにログオンしたときのみに適用され ます。この設定は Dissolvable Agent では利用できません。エージェントで 「Use Computer Logon」を指定している場合を除き、ユーザーが初回に エージェントを使う際に、ユーザーとパスワードの入力を要求します。 エージェントの「Use Computer Logon」設定を有効にするには、次のコマ ンドを使用します。msiexec /i "<エージェントのインストールファイルの フルパス> "AGENT_SETTINGS="Register=UseComputerLogon" ■ ■ ■ 7. 1 Compliance Manager の登録設定とエージェントの登録 モードの同期 Compliance Manager Registration Setting Every (分、時間、日数、週、ま たは月数を使って、期間を 指定する) Agent Registration Mode 例 Always Prompt Compliance Manager の登録設定 で、「Every 1 day」またはそれ 以下が設定されている場合は、 Agent Registration Mode を 「Always Prompt」に設定しま す。 このように両者を設定すること で、ユーザーは毎日登録が必要 となります。 38 Sophos NAC Advanced ベストプラクティス ガイド Compliance Manager Registration Setting Every (分、時間、日数、週、ま たは月数を使って、期間を 指定する) Agent Registration Mode 例 Prompt on Demand Compliance Manager の登録設定 で、「Every 7 days」またはそれ 以上が設定されている場合は、 Agent Registration Mode を 「Prompt on Demand」に設定 します。 このように両者を設定すること で、ユーザーは毎週登録が必要 となります。 Once Prompt on Demand Compliance Manager の登録設定 で、「Once」が設定されてい る場合は、Agent Registration Mode を「Prompt on Demand」 に設定します。 このように両者を設定すること で、ユーザーは 1回のみ登録が 必要となります。 Never No Password Compliance Manager の登録設定 で、「Never」が設定されてい る場合は、Agent Registration Mode を「No Password」に設定 できます。 このように両者を設定すること で、ユーザー登録の必要はあり ません。この設定では、ユー ザー認証が実行されません。 Never Use Computer Logon Compliance Manager の登録設定 で、「Never」が設定されてい る場合は、Agent Registration Mode を「Use Computer Logon」に設定できます。Use Computer Logon モードは、ユー ザーが Winodws ドメインのア カウント情報を使って、エンド ポイントにログオンしたときの みに適用されます。 このように両者を設定すること で、登録にユーザーのログオン 情報が要求されます。この設定 は、ユーザーが各エンドポイン トにログオンするときに 39 Sophos NAC Advanced ベストプラクティス ガイド Compliance Manager Registration Setting Agent Registration Mode 例 Windows ドメインのアカウン ト情報を 1回入力するだけで済 むので便利です。 7. 2 特定のシナリオに関する登録のべストプラクティス Compliance Manager の登録設定が「Never」に設定されていないとき、およ びエージェントの登録設定が「No Password」に設定されていないとき、次 のシナリオが使用されます。 シナリオ 1人または複数のユーザーに よるセキュリティ侵害が発生 した 1人または複数のユーザーが 1つのグループから別のグルー プに移動された Compliance Manager Registration 各ユーザーの登録を期限切れにする。これによって、各 ユーザーは再登録が必要になり、認証には、有効なユー ザー名とパスワードが必要となります。 各ユーザーの登録を期限切れにする。各ユーザーが、有 効なユーザー名とパスワードを使って再登録する際、新 規グループに適用されているポリシーが各ユーザーのエ ンドポイントに適用されます。 グループ内の各ユーザーの登録を期限切れにする。これ によって、グループ内の各ユーザーは再登録が必要にな ります。 ヒント: さらに、同グループが、Compliance Manager の「 Manage > Groups 」(管理 - グループ) エリアに追加され、 適切な優先順位が指定されたことを確認してください。 組織のユーザーストアのグ ループ名が変更された ユーザーが退職した ユーザーの登録を削除する。 ヒント: さらに、ユーザーを組織のユーザーストアから削 除してください。 40 Sophos NAC Advanced ベストプラクティス ガイド 8 補足 A: 施行シナリオ ここでの定義は次のとおりです。 ■ ユーザー: ユーザーの種類。ユーザーには、リモートユーザーと LAN ユー ザーがあります。リモートユーザーは、VPN を使用して組織のリソース に接続します。 エージェントタイプ: エンドポイントにインストールされているエージェ ントの種類。利用できるエージェントは、Continuous Agent、Quarantine Agent または Dissolvable Agent です。 施行タイプ: エンドポイントのネットワークリソースへのアクセスを定義 する施行タイプ。エージェント施行、RADIUS 施行、または DHCP 施行が あります。 ネットワーク ハードウェア: シナリオを正しく実行するために必要な特定 のネットワーク ハードウェア。 ■ ■ ■ 8. 1 エージェント施行環境の LAN ユーザー用ポリシーの作成 このシナリオでは、LAN ユーザーを継続して評価し、施行を実施することを 想定しています。このシナリオに、リモートユーザーは含まれません。 ユーザー エージェントタイプ 施行タイプ ネットワーク ハード ウェア LAN ユーザー Quarantine Agent エージェント施行 なし 「Enforce」モードのポリシー ポリシー内のプロファイルは次のとおりです。 ■ Windows XP OS プロファイル: Windows XP がインストールされており、 サービスパック 1a および 2 がインストールされていること。 Sophos Anti-Virus 7. x プロファイル: Sophos Anti-Virus 7. x がインストール されており、Real-Time Protection (リアルタイム保護) が有効になっている こと。ウイルス定義ファイルが 5日以内に更新されること、およびソフト ウェアのバージョンが 7 以降であること。 Sophos Client Firewall 1. x プロファイル: Sophos Client Firewall がインストー ルされており、有効になっていること、およびソフトウェアのバージョン が 1 以降であること。 ■ ■ 41 Sophos NAC Advanced ベストプラクティス ガイド ヒント: ここではエージェント施行を使用していますが LAN ユーザーのみを 対象にしているため、ポリシーに関連付けられている RADIUS および DHCP Access Template は無視されます。 Compliance State Agent Enforcer Access Template ネットワークアクセスを許 可。 アクション Compliant ■ Windows XP およびサー 対処なし。 ビスパック: インストー ル済み。 ■ Sophos Anti-Virus 7. x: イン ストール済み。Real-Time Protection: 有効。ウイル ス定義ファイル: 過去 5日 以内に更新済み。 ■ Sophos Client Firewall 1. x: インストール済みで有 効。 Partially Compliant ■ Windows XP およびサー ネットワークアクセスを許 可。 ビスパック: インストー ル済み。 ■ Sophos Anti-Virus 7. x: イン Sophos Anti-Virus のウイルス 定義ファイルの更新が開始 されるというユーザーメッ セージを表示する。Sophos Anti-Virus の定義ファイルが 自動的に更新されます。 ストール済み。Real-Time Protection: 有効。ウイル ス定義ファイル: 最新版 でない。 ■ Sophos Client Firewall 1. x: インストール済みで有 効。 Non-Compliant ■ Windows XP およびサー エンドポイントを隔離し、 ウイルス対策の定義ファイ ■ Sophos Anti-Virus のウイ ルス定義ファイルの更新 ビスパック: インストー ル済み。 42 Sophos NAC Advanced ベストプラクティス ガイド Compliance State Agent Enforcer Access Template ル更新時のみインターネッ トアクセスを許可。 アクション ■ Sophos Anti-Virus 7. x: イン ストール済み。Real-Time Protection: 無効。ウイル ス定義ファイル: 最新版 でない。 ■ Sophos Client Firewall 1. x: が開始されるというユー ザーメッセージを表示す る。Sophos Anti-Virus の 定義ファイルが自動的に 更新されます。 ■ Sophos Anti-Virus のリア インストール済みである が無効。 ルタイム保護を有効にす るというユーザーメッ セージを表示する。 Sophos Anti-Virus のリア ルタイム保護が自動的に 有効に設定されます。 ■ Sophos Client Firewall を有 効にするというユーザー メッセージを表示する。 Sophos Client Firewall が自 動的に有効に設定されま す。 8. 2 エージェント施行および RADIUS 施行を使用するポリシー の作成 このシナリオでは、リモートユーザーおよび LAN ユーザーを継続して評価 し、両タイプのユーザーに対して施行を実施することを想定しています。 ヒント: このシナリオを使用して、エージェントを稼動していないユーザー を見つけることができます。ユーザーはすべて Quarantine Agent を稼動して いるため、エージェントのないユーザーは、RAC (リモート アクセス コンセ ントレータ) によって検出されます。 ユーザー エージェントタイプ 施行タイプ ネットワーク ハード ウェア RAC (リモート アク セスコンセントレー タ) RAC (リモート アク セスコンセントレー タ) エージェントのある リモートユーザー Quarantine Agent エージェント施行お よび RADIUS 施行 エージェントのない リモートユーザー なし RADIUS 施行 43 Sophos NAC Advanced ベストプラクティス ガイド ユーザー エージェントタイプ 施行タイプ ネットワーク ハード ウェア なし LAN ユーザー Quarantine Agent エージェント施行 「Enforce」モードのポリシー ポリシー内のプロファイルは次のとおりです。 ■ Windows XP OS プロファイル: Windows XP がインストールされており、 サービスパック 1a および 2 がインストールされていること。 Internet Explorer 6. x パッチプロファイル: すべての Internet Explorer 6. x セ キュリティパッチがインストールされていること。 Sophos Anti-Virus 7. x プロファイル: Sophos Anti-Virus 7. x がインストールさ れており、Real-Time Protection (リアルタイム保護) が有効になっているこ と。ウイルス定義ファイルが 5日以内に更新されること、およびソフト ウェアのバージョンが 7 以降であること。 Sophos Client Firewall 1. x プロファイル: Sophos Client Firewall がインストー ルされており、有効になっていること、およびソフトウェアのバージョン が 1 以降であること。 ■ ■ ■ Compliance State Compliant ■ Windows XP およびサー Access Template エージェントのあるリモー トユーザー ■ Agent Enforcer Access アクション 対処なし。 ビスパック: インストー ル済み。 ■ Internet Explorer 6. x セ Template がネットワーク アクセスを許可。 ■ RADIUS Enforcer Access キュリティパッチ: イン ストール済み。 ■ Sophos Anti-Virus 7. x: イン Template がネットワーク アクセスを許可。 エージェントのある LAN ユーザー ■ Agent Enforcer Access ストール済み。Real-Time Protection: 有効。ウイル ス定義ファイル: 過去 5日 以内に更新済み。 ■ Sophos Client Firewall 1. x: Template がネットワーク アクセスを許可。 インストール済みで有 効。 44 Sophos NAC Advanced ベストプラクティス ガイド Compliance State Partially Compliant ■ Windows XP およびサー Access Template エージェントのあるリモー トユーザー ■ Agent Enforcer Access アクション Sophos Anti-Virus のウイルス 定義ファイルの更新が開始 されるというユーザーメッ セージを表示する。Sophos Anti-Virus の定義ファイルが 自動的に更新されます。 ビスパック: インストー ル済み。 ■ Internet Explorer 6. x セ Template がネットワーク アクセスを許可。 ■ RADIUS Enforcer Access キュリティパッチ: イン ストール済み。 ■ Sophos Anti-Virus 7. x: イン Template がネットワーク アクセスを許可。 エージェントのある LAN ユーザー ■ Agent Enforcer Access ストール済み。Real-Time Protection: 有効。ウイル ス定義ファイル: 最新版 でない。 ■ Sophos Client Firewall 1. x: Template がネットワーク アクセスを許可。 インストール済みで有 効。 Non-Compliant ■ Windows XP およびサー エージェントのあるリモー トユーザー ■ Agent Enforcer Access エージェントのあるユー ザー ■ 必須 Internet Explorer パッ ビスパック: インストー ル済み。 ■ Internet Explorer 6. x セ キュリティパッチ: 一部 はインストール済み、一 部は未インストール。 ■ Sophos Anti-Virus 7. x: イン ストール済み。Real-Time Protection: 無効。ウイル ス定義ファイル: 最新版 でない。 ■ Sophos Client Firewall 1. x: Template は、ユーザーを 検疫し、インターネッ ト、および社内修復サー バーへのアクセスのみ許 可。インターネットにア クセスすることで、ウイ ルス定義ファイルを更新 できます。修復サーバー にアクセスすることで、 Internet Explorer 用のパッ チをダウンロードできま す。 ■ RADIUS Enforcer Access チがないことを通知する ユーザーメッセージを表 示し、社内修復サーバー へのリンクを提供する。 ■ Sophos Anti-Virus のウイ ルス定義ファイルの更新 が開始されるというユー ザーメッセージを表示す る。Sophos Anti-Virus の 定義ファイルが自動的に 更新されます。 ■ Sophos Anti-Virus のリア インストール済みだが無 効。 Template がネットワーク アクセスを許可。 エージェントのある LAN ユーザー ■ Agent Enforcer Access ルタイム保護を有効にす るというユーザーメッ セージを表示する。 Sophos Anti-Virus のリア ルタイム保護が自動的に 有効に設定されます。 ■ Sophos Client Firewall を有 Template は、ユーザーを 検疫し、インターネッ ト、および社内修復サー バーへのアクセスのみ許 可。インターネットにア 効にするというユーザー メッセージを表示する。 Sophos Client Firewall が自 45 Sophos NAC Advanced ベストプラクティス ガイド Compliance State Access Template クセスすることで、ウイ ルス定義ファイルを更新 できます。修復サーバー にアクセスすることで、 Internet Explorer 用のパッ チをダウンロードできま す。 アクション 動的に有効に設定されま す。 Unknown エージェントが未インス トールで、完了した評価が ないため、コンプライアン ス ステートが不明。 エージェントのないリモー トユーザー ■ RADIUS Enforcer Access エージェントのないリモー トユーザー ■ エージェントが未インス Template は、RAC (リ モート アクセス コンセ ントレータ) にネット ワークアクセスを拒否す るよう指示。 トールのため、アクショ ンはすべて未完了。 8. 3 エージェント、RADIUS、および DHCP 施行を使用する ポリシーの作成 このシナリオでは、リモートユーザーおよび LAN ユーザーを継続して評価 し、両タイプのユーザーに対して施行 (Enforcement) を実施することを想定 しています。 ヒント: このシナリオを使って、未認証のユーザーを見つけることができま す。ユーザーはすべて Quarantine Agent を稼動しているため、未認証のユー ザーは、 DHCP サーバーによって検出されます。このシナリオでは、 DHCP Enforcer の使用が必要となります。 ユーザー エージェントタイプ 施行タイプ ネットワーク ハード ウェア エージェントのある リモートユーザー Quarantine Agent エージェント施行お よび RADIUS 施行 RAC (リモート アク セスコンセントレー タ) RAC (リモート アク セスコンセントレー タ) エージェントのない リモートユーザー なし RADIUS 施行 46 Sophos NAC Advanced ベストプラクティス ガイド ユーザー エージェントタイプ 施行タイプ ネットワーク ハード ウェア エージェントのある LAN ユーザー エージェントのない LAN ユーザー Quarantine Agent エージェント施行お よび DHCP 施行 DHCP 施行 DHCP サーバー なし DHCP サーバー 「Enforce」モードのポリシー ポリシー内のプロファイルは次のとおりです。 ■ Windows XP OS プロファイル: Windows XP がインストールされており、 サービスパック 1a および 2 がインストールされていること。 Sophos Anti-Virus 7. x プロファイル: Sophos Anti-Virus 7. x がインストールさ れており、Real-Time Protection (リアルタイム保護) が有効になっているこ と。ウイルス定義ファイルが 5日以内に更新されること、およびソフト ウェアのバージョンが 7 以降であること。 Sophos Client Firewall 1. x プロファイル: Sophos Client Firewall がインストー ルされており、有効になっていること、およびソフトウェアのバージョン が 1 以降であること。 ■ ■ Compliance State Compliant ■ Windows XP およびサー Access Template エージェントのあるリモー トユーザー ■ Agent Enforcer Access アクション 対処なし。 ビスパック: インストー ル済み。 ■ Sophos Anti-Virus 7. x: イン Template がネットワーク アクセスを許可。 ■ RADIUS Enforcer Access ストール済み。Real-Time Protection: 有効。ウイル ス定義ファイル: 過去 5日 以内に更新済み。 ■ Sophos Client Firewall 1. x: Template がネットワーク アクセスを許可。 エージェントのある LAN ユーザー ■ Agent Enforcer Access インストール済みで有 効。 Template がネットワーク アクセスを許可。 ■ DHCP Enforcer Access Template がネットワーク アクセスを許可。 47 Sophos NAC Advanced ベストプラクティス ガイド Compliance State Partially Compliant ■ Windows XP およびサー Access Template エージェントのあるリモー トユーザー ■ Agent Enforcer Access アクション ■ Sophos Anti-Virus のウイ ビスパック: インストー ル済み。 ■ Sophos Anti-Virus 7. x: イン Template がネットワーク アクセスを許可。 ■ RADIUS Enforcer Access ストール済み。Real-Time Protection: 有効。ウイル ス定義ファイル: 最新版 でない。 ■ Sophos Client Firewall 1. x: Template がネットワーク アクセスを許可。 エージェントのある LAN ユーザー ■ Agent Enforcer Access ルス定義ファイルの更新 が開始されるというユー ザーメッセージを表示す る。Sophos Anti-Virus の 定義ファイルが自動的に 更新されます。 インストール済みで有 効。 Template がネットワーク アクセスを許可。 ■ DHCP Enforcer Access Template がネットワーク アクセスを許可。 Non-Compliant ■ Windows XP およびサー エージェントのあるリモー トユーザー ■ Agent Enforcer Access ■ Sophos Anti-Virus のウイ ビスパック: インストー ル済み。 ■ Sophos Anti-Virus 7. x: イン ストール済み。Real-Time Protection: 無効。ウイル ス定義ファイル: 最新版 でない。 ■ Sophos Client Firewall 1. x: Template は、ユーザーを 検疫し、インターネッ ト、および社内修復サー バーへのアクセスのみ許 可。インターネットにア クセスすることで、ウイ ルス定義ファイルを更新 できます。 ■ RADIUS Enforcer Access ルス定義ファイルの更新 が開始されるというユー ザーメッセージを表示す る。Sophos Anti-Virus の 定義ファイルが自動的に 更新されます。 ■ Sophos Anti-Virus のリア インストール済みである が無効。 Template がネットワーク アクセスを許可。 エージェントのある LAN ユーザー ■ Agent Enforcer Access ルタイム保護を有効にす るというユーザーメッ セージを表示する。 Sophos Anti-Virus のリア ルタイム保護が自動的に 有効に設定されます。 ■ Sophos Client Firewall を有 Template は、ユーザーを 検疫し、インターネッ ト、および社内修復サー バーへのアクセスのみ許 可。インターネットにア クセスすることで、ウイ ルス定義ファイルを更新 できます。 効にするというユーザー メッセージを表示する。 Sophos Client Firewall が自 動的に有効に設定されま す。 48 Sophos NAC Advanced ベストプラクティス ガイド Compliance State Access Template ■ DHCP Enforcer Access アクション Template がネットワーク アクセスを許可。 Unknown エージェントが未インス トールで、完了した評価が ないため、コンプライアン ス ステートが不明。 エージェントのないリモー トユーザー ■ RADIUS Enforcer Access Remote or LAN Users without Agent ■ エージェントが未インス Template は、RAC (リ モート アクセス コンセ ントレータ) にネット ワークアクセスを拒否す るよう指示。 エージェントのない LAN ユーザー ■ DHCP Enforcer Access トールのため、アクショ ンはすべて未完了。 Template は、DHCP サー バーにネットワークアク セスを拒否するよう指 示。 49 Sophos NAC Advanced ベストプラクティス ガイド 9 著作権情報 Copyright © 2009 Sophos Group. この出版物の一部または全 部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法に おいても、使用許諾契約の条項に準じてドキュメントを複製することを許可 されている、もしくは著作権所有者からの事前の書面による許可がある場合 以外、無断に複製、復元できるシステムに保存、または送信することを禁じ ます。 その他記載されている会社名、製品名は、各社の登録商標または商標です。 50 [. . . ]