ユーザーズガイド SOPHOS NAC MANAGER 3.5

[. . . ] Sophos NAC Manager 環境設定ガイド 製品バージョン: 3. 5 ドキュメント作成日: 2010年 6月 目次 1 このガイドについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2 NAC Manager の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3 管理の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 4 施行の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 5 レポートの概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 6 システムの設定の概要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 7 Logging ツール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 8 Maintenance Mode ツール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 9 用語集. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 10 テクニカルサポート. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 11 ご利用条件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 2 環境設定ガイド 1 このガイドについて このガイドでは、Sophos Endpoint Security and Control ソフトウェアでの NAC の設定について説明します。 主な内容 ■ ■ ■ NAC の設定に関するベストプラクティス NAC Manager を使って NAC を設定する方法 NAC ツールの使用方法 対象読者: ■ ■ ■ ■ ■ Enterprise Console のユーザー Sophos NAC for Endpoint Security and Control のユーザー NAC の設定オプションを最適化したい方 NAC Manager の使い方を調べたい方 NAC ツールの使い方を調べたい方 このガイドを読む前に、「Sophos Endpoint Security and Control クイック ス タートアップガイド」をご覧ください。 Sophos Endpoint Security and Control の各ドキュメントは、次のサイトから入 手できます。 http://www. sophos. co. jp/support/docs/Endpoint_Security_Control-all. html 3 Sophos NAC Manager 2 NAC Manager の概要 このセクションは、NAC Manager の使用方法、および使用に関する情報につ いて説明しています。 制限: Web ブラウザのボタンを使用して NAC Manager を操作することはでき ません。各操作や機能の実行は、各ページにあるメニューアイテム、リン ク、ボタンを使用して行ってください。 2. 1 ネットワーク アクセス コントロールをロールアウトする ここでは、ネットワーク アクセス コントロールの最も効率的なロールアウ ト方法について説明します。 タスク Sophos Enterprise Console を使 い、各コンピュータを Sophos NAC で集中的に保護する。 NAC Manager のレポート機能 を使い、現在の社内コンプライ アンス ステートを把握する。 手順 1. Sophos Enterprise Console から「コンピュータの保護」 ウィザードを起動します。 1. NAC Manager のレポート機能を使い、各ユーザーの コンプライアンス ステートを確認します。 ヒント: NAC Manager では、NAC Managed (管理対象 エンドポイント用) ポリシーとユーザーの適合度につ いて、正確なレポートを表示できます。 2. NAC Manager のレポート機能を使い、ユーザーに対 して表示するメッセージが適切であることを確認し ます。 ヒント: メッセージは、ポリシーモードを 「Remediate」または「Enforce」に切り替えると、エ ンドポイントで表示されるようになります。この手 順は次のとおりです。 必要に応じて NAC Manager の プロファイルを更新する。 1. [. . . ] ネットワークリソースの名前と説明を入力します。 3. 「Network Resource Type」(ネットワークリソースのタイプ) リストをク リックし、「Port/Protocol」(ポート/プロトコル) または「Executable」(実 行ファイル) を選択します。 Agent Enforcer Access Template で使用される実行可能なネットワークリソー スの場合、エージェントによってエンドポイントから送信されるトラフィッ クの評価が行われ、どのプロセスを許可あるいは拒否するかが判断されま す。Agent Enforcer Access Template または DHCP Enforcer Access Template で 使用される「Port/Protocol」ネットワークリソースの場合、それぞれ、 Agent Enforcer または DHCP Enforcer によって、エンドポイントでどの方 向のアクセスを許可あるいは拒否するかが評価されます ヒント: ネットワークリソースは、各アプリケーションの実行ファイルに 対して個別に作成する必要があります。 ヒント: DHCP 施行で選択できるネットワークリソースは、「Port/Protocol 」のみです。 4. 次のいずれかの手順を実行してください。 ■ ■ ステップ 3 で、「Port/Protocol」を選択した場合は、「Server Category」 (サーバーのカテゴリ) リストからサーバーの種類を選択してください。 そして、「ANY」(すべて) ボタンをクリックして任意のポートに該当 するネットワークリソースを作成します。または、入力欄の横にある オプションボタンをクリックし、特定のポートを入力します。次に、 プロトコルを選択し、「Add」(追加) をクリックします。追加するポー トやプロトコルの数に応じて、この操作を繰り返します。 ステップ 3 で「Executable」(ファイル) を選択した場合は、「Name」(名 称) フィールドにアプリケーションの実行ファイルのプロセス名を入力 します。 重要: ■ ここで設定する実行ファイルのプロセス名は、Windows の「タスク マ ネージャ」の「プロセス」タブに表示されるプロセス名と同じでなけ ればなりません。 プロセスに拡張子がついていない場合を除いて、プロセス名には、必 ず「. exe」拡張子を付けてください。半角 64文字を超えるプロセス名は ■ 62 環境設定ガイド 使用できません。文字 \ / : * ?"< > | を使用することはできません。ファ イルパスを付けることはできません。ワールドカード文字には対応し ていません。TCP および UDP プロトコルの場合のみに対応していま す。 ■ Winsock レベルで実行されている実行ファイルのみが検出されます。 5. または、サーバーを指定するため、サーバーの IP アドレスやホスト名を 選択し、IP アドレス、サブネット (任意)、および説明、またはホスト名お よび説明を、該当するフィールドに入力し、「Add」(追加) をクリックし ます。 追加する IP アドレスやサブネットまたはホスト名の数に応じて、この操 作を繰り返します。 重要: サブネットマスクの値が 255. 255. 255. 255 以外で、かつ DHCP Enforcer Access Template で使用されているネットワークリソースは、Windows 2000 を稼動しているエンドポイントへのアクセスを拒否します。 6. 「Save」(保存) をクリックします。 ヒント: ネットワークリソースを作成後、そのネットワークリソースを使 用するアクセステンプレートを、「Network Resources」リストページの右 クリックメニューオプションにて、またはネットワークリソースの編集時 に、「View Usage Details」(使用状況の表示) をクリックして表示すること ができます。 4. 6 除外を作成する 「Exemptions」(除外) ページでは、様々な基準を基に、ネットワークに接続 する際にコンプライアンス評価が不要なエンドポイントを識別することがで きます。評価の対象から除外するエンドポイントには、Windows 以外のオペ レーティングシステムを稼動している場合など、エージェントを起動できな いエンドポイントや、サーバー、ルーター、プリンタなどのコンプライアン ス評価が不要なエンドポイントがあります。さらに、組織全体で、ポリシー を段階的に施行する場合など、段階ごとにポリシーの施行を必要としないエ ンドポイントやネットワークを除外することができます。 ヒント: 除外機能は、DHCP 施行のみで使用されます。 4. 7 DHCP 条件による除外を作成する 「Exemptions」(除外) ページでは、ネットワークに接続する際にコンプライ アンス評価が行われないエンドポイントを識別することができます。除外の 63 Sophos NAC Manager 条件と DHCP Enforcer Access Template は連動して除外を識別し、アクション を適用します。設定されている除外の条件に一致した場合、関連付けされて いる DHCP Enforcer Access Template で適切なネットワークアクセスのアクショ ンが決定されます。除外の作成後、「Exemptions」ページの一覧で優先順位 を設定できます。 操作方法 1. 「 Enforce > Exemptions 」(施行 - 除外) をクリックします。そして、ペー ジの左下にある「Create Exemption」(除外の作成) をクリックします。 2. 除外の名称と説明を入力します。 3. この除外を無効に設定するには、「Disable Exemption」(除外を無効にす る) チェックボックスを選択します。 除外を無効に設定すると、エンドポイントをコンプライアンス評価するこ とができます。除外が無効に設定されており、エンドポイントに Sophos Compliance Agent がインストールされていない場合、エンドポイントは 「不明」として扱われます。 4. 「Exemption Type」(除外のタイプ) リストをクリックして、「DHCP Criteria」(DHCP 条件) を選択します。 5. 「Exemption Criteria」(除外の条件) の下に表示されている、「MAC Address」(MAC アドレス)、「User Class」(ユーザークラス)、または 「Vendor Class」(ベンダクラス) オプションを選択して除外の条件を指定 し、該当する MAC アドレス (またはプレフィックス)、ユーザークラス、 またはベンダクラスを入力欄に記入し、「Add」(追加) をクリックしま す。 追加する除外の条件の数に応じて、この操作を繰り返します。 ヒント: ワイルドカード文字「*」を最後に指定して、除外の条件に使用 することもできます。たとえば、MAC アドレスとして「AA*」と入力す ると、「AA」で始まるすべての MAC アドレスが除外されます。「*」記 号なしで MAC アドレスを指定すると、除外したい MAC アドレスを正確 に入力する必要があります。 6. DHCP Enforcer Access Template を除外に追加するには、「Access Templates」 で「Select」(選択) をクリックし、該当するテンプレートを選択して「OK」 をクリックします。 適切な DHCP Enforcer Access Template が表示されない場合は、新規作成す ることができます。詳細は、DHCP Enforcer Access Template を作成する (p. 56) をご覧ください。 64 環境設定ガイド 7. 「Save」(保存) をクリックします。 重要: 除外の作成後、「Exemptions」ページの一覧で優先順位を設定でき ます。特定のエンドポイントに複数の除外が適用可能な場合は、エンドポ イントに適用可能な最初の除外が使用されます。ソフォスでは、より特化 した、条件の厳しい除外を優先することをお勧めしています。 4. 8 IP スコープによる除外を作成する 「Exemptions」(除外) ページでは、IP スコープを基に、ネットワークに接続 する際にコンプライアンス評価が行われないエンドポイントを識別すること ができます。IP スコープによる除外では、適用の対象から除外するネット ワークセグメントを設定します。関連付けされている DHCP Enforcer Access Templates で、IP スコープと適用するネットワークアクセスのアクションの 両方が定義されます。IP スコープによる除外は、組織全体でポリシーを段階 的に施行する場合など、段階ごとにポリシーの施行を必要としないエンドポ イントやネットワークを除外することができるため便利です。除外の作成 後、「Exemptions」ページの一覧で優先順位を設定できます。 操作方法 1. 「 Enforce > Exemptions 」(施行 - 除外) をクリックします。そして、ペー ジの左下にある「Create Exemption」(除外の作成) をクリックします。 2. 除外の名称と説明を入力します。 3. この除外を無効に設定するには、「Disable Exemption」(除外を無効にす る) チェックボックスを選択します。 除外を無効に設定すると、エンドポイントをコンプライアンス評価するこ とができます。除外が無効に設定されており、エンドポイントに Sophos Compliance Agent がインストールされていない場合、エンドポイントは 「不明」として扱われます。 4. 「Exemption Type」(除外のタイプ) リストをクリックして、「IP Scope」 (IP スコープ) を選択します。 5. IP スコープを除外に追加するには、「Exempted IP Scopes」(除外する IP ス コープ) で「Select」(選択) をクリックし、該当するスコープを選択して 「OK」をクリックします。 適切な IP スコープが表示されない場合は、新規作成することができます。 詳細は、DHCP Enforcer Access Template を作成する (p. 56) をご覧くださ い。 65 Sophos NAC Manager 6. 随時、矢印を使用して、スコープの優先順位を指定してください。 特定の除外に複数のスコープが適用可能な場合は、その除外に適用可能な 最初のスコープが使用されます。ソフォスでは、より特化した、条件の厳 しいスコープを優先することをお勧めしています。 7. 「Save」(保存) をクリックします。 重要: 除外の作成後、「Exemptions」ページの一覧で優先順位を設定でき ます。特定のエンドポイントに複数の除外が適用可能な場合は、エンドポ イントに適用可能な最初の除外が使用されます。ソフォスでは、より特化 した、条件の厳しい除外を優先することをお勧めしています。 4. 9 除外を有効/無効に切り替える 除外は作成されると、あえて無効に指定しない限り、自動的に有効になりま す。除外を無効に設定すると、エンドポイントをコンプライアンス評価する ことができます。除外が無効に設定されており、エンドポイントに Sophos Compliance Agent がインストールされていない場合、エンドポイントは「不 明」として扱われます。 操作方法 1. [. . . ] または、ホスト名と IP アドレスを入力します。次に、「Add」(追加) をク リックします。ホスト名を入力すると、NAC Manager でホスト名が名前解 決され、正しい IP アドレスが求められます。上手く名前解決されない場 合は、正しい IP アドレスを入力してください。 重要: ここで入力する IP アドレスでエージェントと NAC サーバーの接続 を確立するので、アドレスに間違いがないことを確認してください。アド レスが間違っていると、エージェントが NAC サーバーと通信できなくな ります。 4. 「Proxy Settings」(プロキシの設定) リストをクリックして、プロキシサー バーの適切なオプションを選択します。 ■ ■ ■ No Proxy: プロキシサーバーを経由せずに、NAC サーバーをインター ネットに接続する。 Use Proxy: プロキシサーバー経由で NAC サーバーをインターネットに 接続する。プロキシサーバーの設定は、はじめに NAC インストール時 に設定されますが、随時、変更することができます。 Use SEC Proxy Settings: Sophos Enterprise Console で設定されたプロキシ 経由で NAC サーバーをインターネットに接続する。このオプション は、Sophos Enterprise Console が NAC と同一のサーバーにインストール されている場合のみに選択できます。このオプションを選択した場合、 Sophos Enterprise Console でプロキシサーバーの設定内容をアップデー トする必要があります。 100 環境設定ガイド 5. プロキシサーバーの設定をアップデートします。 ヒント: プロキシサーバーのアドレスとポートの入力は必須です。ユー ザー名、パスワード、確認パスワードは、プロキシサーバーで認証を行っ ている場合のみに設定が必要です。 6. 「Save」(保存) をクリックします。 6. 7 ダウンロード用アカウントの詳細を更新する NAC は、ダウンロード用アカウントユーザー名とパスワードを使用して、セ キュリティ製品用の最新の検出定義ファイルをダウンロードします。この ユーザー名とパスワードはソフォスから入手し、NAC をインストールする際 に入力します。NAC をインストールした際に、誤って入力してしまった場合 は、「Download Account Details」ページで修正できます。 操作方法 1. [. . . ]