ユーザーズガイド SOPHOS NAC DHCP

[. . . ] 「Sophos DHCP Enforcer」ダイアログボックスで、NAC サーバーの IP ア ドレスを入力し、NAC サーバーの共有キーを入力・確認入力します。 「Next」(次へ) をクリックします。 入力した共有キーは大切に保管してください。NAC Manager を使用して DHCP Configuration Wizard (設定ウィザード) を実行する際に、ここで使用 したものと同一の共有キーの入力が必要となります。 4. 「Ready to Install the Program」(インストールする準備ができました) ダイ アログボックスで、「Install」(インストール) をクリックして、DHCP Enforcer をインストールします。 5. 「Finish」(完了) をクリックします。 各 DHCP サーバーに DHCP Enforcer をインストール後、NAC Manager を 使用して、ご使用の DHCP サーバーが Sophos NAC と連動するよう設定し ます。詳細は、NAC Manager で行う作業の実行 (p. 9) をご覧ください。 4. 1 DHCP Enforcer ソフトのアンインストール 1. [. . . ] 「Select」(選択) をクリックし、DHCP Enforcer Access Template を除外に追 加します。「DHCP - Full Access」(DHCP - フルアクセス) アクセステンプ レートを選択して「OK」をクリックします。 「DHCP - Full Access」アクセステンプレートは、ネットワークアクセスを 許可するよう Sophos NAC であらかじめ定義されています。この除外で は、Sophos NAC によるコンプライアンス評価なしでネットワークにアク セスするできるように設定しました。 7. 「Save」(保存) をクリックします。 5. 3. 2 IP スコープによる除外を作成する 対象から除外する必要のあるエンドポイントは、DHCP で IP アドレスを自 動的に取得しているエンドポイントだけです。NAC Manager の「Exemptions」 (除外) ページで、IP スコープによる除外を作成します。IP スコープによる除 外では、適用の対象から除外するネットワークセグメントを設定します。こ の除外では、組織全体でポリシーを段階的に施行する場合など、段階ごとに ポリシーの施行を必要としないネットワークセグメントを対象から除外する ことができるため便利です。 操作方法 1. NAC Manager にログオンします。 2. 「Enforce > Exemptions」(施行 - 除外) をクリックします。そして、ページ の左下にある「Create Exemption」(除外の作成) をクリックします。 3. 除外の名称と説明を入力します。 4. 「Exemption Type」(除外のタイプ) リストをクリックして、「IP Scope」 (IP スコープ) を選択します。 5. IP スコープを除外に追加するには、「Exempted IP Scopes」で「Select」(選 択) をクリックし、該当するスコープを選択して「OK」をクリックしま す。 適切な IP スコープが表示されない場合は、新規作成することができます。 新しい DHCP Enforcer Access Template を作成するか、あらかじめ定義され ている DHCP Enforcer Access Template を更新してください。 6. 随時、矢印を使用して、スコープの優先順位を指定してください。 特定の除外に複数の IP スコープが適用可能な場合は、その除外に適用可 能な最初の IP スコープが使用されます。ソフォスでは、より特化した、 条件の厳しい IP スコープを優先することをお勧めしています。 17 Sophos NAC DHCP環境設定ガイド 7. 「Save」(保存) をクリックします。 重要: 除外の作成後、「Exemptions」ページの一覧で優先順位を設定でき ます。特定のエンドポイントに複数の除外が適用可能な場合は、エンドポ イントに適用可能な最初の除外が使用されます。ソフォスでは、より特化 した、条件の厳しい除外を優先することをお勧めしています。 5. 4 DHCP 施行の有効化 不明なエンドポイント、および既知のエンドポイントの両方に対して、DHCP 施行を有効に設定することができます。これによって、不明なエンドポイン トに対しては DHCP 施行を使用し、既知のエンドポイントに対してはエー ジェント施行を使用するという柔軟な設定が可能となります。 5. 4. 1 不明なエンドポイントに対して DHCP 施行を有効にする DHCP 施行は、各 DHCP サーバー上の不明なエンドポイントに対して有効に 設定することができます。これによって、不明なエンドポイントを検疫する DHCP サーバーを指定できます。この機能を使用して、DHCP 施行を段階的 に実行してください。 不明なエンドポイントに対して DHCP 施行を有効にする前に、除外を作成し てください。対象から除外する必要のあるエンドポイントは、DHCP で IP アドレスを自動的に取得しているエンドポイントだけです。詳細は、DHCP による除外の作成 (p. 15) をご覧ください。 操作方法 1. 「Configure System > Server Settings」(システムの設定 - サーバー設定) を クリックします。 2. DHCP 施行を有効にしたい DHCP サーバーのサーバー名をクリックしま す。 3. 「Unknown Endpoint Mode」(不明なエンドポイントモード) リストをク リックして、「Enforce」(施行) を選択します。 ヒント: デフォルトで、「DHCP - Remediation Access」アクセステンプレー トによってネットワークアクセスが指定されます。このテンプレートに よって、エンドポイントが検疫され、DHCP Configuration Wizard 実行時に 指定した修復サーバーへのアクセスが許可されます。アクセステンプレー トは、「Configure System > Enforcer Settings」(システムの設定 - エンフォー サ設定) エリアで変更できます。 4. 「Save」(保存) をクリックします。 18 Sophos NAC DHCP環境設定ガイド 5. 4. 2 既知のエンドポイントに対して DHCP 施行を有効にする 既知のエンドポイントに対して、エージェント施行の代わり、またはそれに 加えて DHCP 施行を使用する場合は、該当するポリシー内で、ポリシーモー ドを「Report Only」(レポートのみ) から「Enforce」(施行) に変更してくださ い。 重要: すべてのポリシーおよびポリシーの変更内容は直ちに有効ですが、エー ジェントが取得するまで、エンドポイントには適用されません。 操作方法 1. NAC Manager にログオンします。 2. 「Manage > Policies」(管理 - ポリシー) をクリックします。そして、アッ プデートしたいポリシーのポリシー名をクリックします。事前に定義済み のポリシーに関する詳細は、事前に定義済みのポリシーを使用する (p. 21) をご覧ください。 3. 「Policy Mode」(ポリシーモード) リストをクリックして、「Enforce」(施 行) を選択します。 ■ Enforce: 「Enforce」ポリシーモードでは、指定されたポリシーに対する エンドポイント評価、NAC Manager でのレポート情報の作成が行われ ます。メッセージの表示、および修復アクションが実行され、該当す るアクセスステートに対するアクセステンプレートを使用して、施行 アクションが実行されます。「Enforce」モードは、ステップ 5 で関連 付けされるアクセステンプレートを使用します。 4. 「Agent Enforcement Action」(エージェント施行アクション) リストをク リックして、「Release Renew」(解放、更新) を選択します。既知のエンド ポイントに対して DHCP 施行を使用する場合は、必ず、「Release Renew」 を選択してください。 19 Sophos NAC DHCP環境設定ガイド 5. 左側のナビゲーション「Network Access」(ネットワークアクセス) エリア で、「DHCP」をクリックします。「Enforce」(施行) タブをクリックし、 適用されているアクセステンプレートを確認します。 ヒント: デフォルトで、各ポリシーには、アクセステンプレートが自動的 に適用されています。適切なアクセステンプレートが適用されていること を確認してください。「Report Only」(レポートのみ) および「Remediate」 (修復) モード用にアクセステンプレートはそのままにしておきます。 事前定義済みの DHCP Enforcer Access Template の適用 ■ Policy Retrieval Error: エンドポイントのコンプライアンス ステートが最 新でない状態。「Configure System > Enforcer Settings」(システムの設 定 - エンフォーサ設定) エリアで設定する「DHCP Policy Update Threshold」(DHCP ポリシー アップデートのしきい値) フィールドの値 により判断されます。「DHCP - Remediation Access」アクセステンプ レートは、DHCP Configuration Wizard 実行時に指定した修復サーバー 以外へのネットワークアクセスを拒否します。 Compliant: エンドポイントがポリシーに準拠している状態。「DHCP Full Access」アクセステンプレートは、エンドポイントがポリシーに準 拠している場合、ネットワークアクセスを許可します。 Partially Compliant: エンドポイントがポリシーに一部準拠している状 態。「DHCP - Full Access」アクセステンプレートは、エンドポイント がポリシーに一部準拠している場合、ネットワークアクセスを許可し ます。 Non-Compliant: エンドポイントがポリシーに準拠していない状態。 「DHCP - Remediation Access」アクセステンプレートは、DHCP Configuration Wizard 実行時に指定した修復サーバー以外へのネットワー クアクセスを拒否します。 ■ ■ ■ 6. 随時、矢印を使用して、DHCP Enforcer Access Template の優先順位を指定 してください。 特定のステートに適用可能なテンプレートが複数ある場合、そのステート に最初に該当するテンプレートが使用されます。ソフォスでは、より特化 された、条件の厳しいアクセステンプレートを優先することをお勧めして います。 7. 「Save」(保存) をクリックします。 20 Sophos NAC DHCP環境設定ガイド 5. 4. 2. 1 事前に定義済みのポリシーを使用する 事前に定義済みのポリシーを使用して、管理対象エンドポイント、および管 理対象外のエンドポイントの両方に対して、セキュリティポリシーを施行す ることができます。 ■ Default: 「Default」(デフォルト) ポリシーは、エンドポイントにCompliance Agent がインストール済みで、他のポリシーが指定済みでない場合、使用 されます。デフォルトで、ポリシーモードは「Report Only」に設定されて います。ポリシーモードが「Remediate」または「Enforce」に設定されて いる場合、エンドポイントで修復アクションを実行します。 Managed: 「Managed」(管理対象エンドポイント用) ポリシーは、Sophos Enterprise Console によって管理され、Compliance Agent がインストール済 みのエンドポイントに指定することができます。デフォルトで、ポリシー モードは「Report Only」に設定されています。ポリシーモードが 「Remediate」または「Enforce」に設定されている場合、エンドポイント で修復アクションを実行します。 Unmanaged: 「Unmanaged」(管理対象外のエンドポイント用) ポリシーは、 社外から持ち込まれたコンピュータに対して指定することができます。こ のポリシーは、エンドポイントで修復アクションを実行しません。 Dissolvable Agent は、「Unmanaged」ポリシーを使用します。 ■ ■ ヒント: エンドポイントにCompliance Agent がインストールされておらず、 Dissolvable Agent も使用されていない場合は、エンフォーサの設定によって ネットワークアクセスが指定されます。 5. 4. 3 DHCP 施行とユーザーのネットワークアクセス DHCP 施行を有効にした後、各ユーザーのエンドポイントのネットワークア クセスは、使用するエンドポイントが不明なエンドポイントか、既知のエン ドポイントかによって異なります。また、ゲストエンドポイントは、 Compliance Dissolvable Agent を実行して、ネットワークにアクセスすること が可能です。 ■ 不明なエンドポイントとは、Sophos Enterprise Console で集中管理していな いエンドポイントで、Compliance Agent をインストールしていない、施行 の対象から除外していない、および Dissolvable Agent を起動したことがな いエンドポイントを指します。 ゲストエンドポイントは、Compliance Dissolvable Agent を使用してネット ワークアクセスをコントロールすることができます。 ■ 21 Sophos NAC DHCP環境設定ガイド ■ 既知のエンドポイントとは、Sophos Enterprise Console で集中管理している エンドポイントで、Compliance Agent をインストール、実行しているエン ドポイントを指します。 DHCP 施行とユーザーのネットワークアクセス: 不明なエンドポイント DHCP 施行を有効に設定後、不明なエンドポイントのネットワークアクセス は次のとおりです。 1. エンドポイントが起動します。 2. [. . . ] 「DHCP Enforce Access Templates」エリアで、各 DHCP Enforce Access Template の横にある「ごみ箱」アイコンをクリックします。 この操作によって、「Enforcer Settings」ページから新バージョンの DHCP Enforcer Access Template が削除され、次に説明するステップを行うことで、 既存の DHCP Enforcer Access Template を追加することができます。 27 Sophos NAC DHCP環境設定ガイド 4. 「DHCP Enforcer Access Templates」にある「Select」(選択) をクリックし、 「Unknown Endpoint (Report Only)」、「Maintenance Mode/Enforcer Override」、および「Default - DHCP Permit (NULL User Class)」チェック ボックスを選択し、「OK」をクリックします。 このように選択することで、不明なエンドポイントにアクセスを許可し、 NAC サーバーがメンテナンスモードにある場合、または「Override DHCP Enforcer」チェックボックスを選択している場合に、すべてのエンドポイ ントにアクセスを許可します。 5. 「DHCP Enforcer Access Templates」にある「Select」(選択) をクリックし、 「Unknown Endpoint (Enforce)」、「Default」、および「Default - DHCP Deny (NACDeny User Class)」チェックボックスを選択し、「OK」をクリッ クします。 このように選択することで、不明なエンドポイントに対する DHCP 施行 を有効にした場合、不明なエンドポイントにアクセスを拒否します。詳細 は、不明なエンドポイントに対して DHCP 施行を有効にする (p. 18) をご 覧ください。また、関連付けされているアクセステンプレートを Sophos NAC が判断できない場合、エンドポイントにアクセスを拒否します。 6. [. . . ]