C H A P T E R
5
詳細:ポリシーへのプレログイン条件の割り
当て
プレログインアセスメントは、プレログインポリシーに関連付けられている一致条件で構成されます。 次のセクションを使用して、リモート PC にダウンロードされるプレログインアセスメントを設定しま す。 • プレログイン ポリシーの概要 • レジストリ キーのチェック(Microsoft Windows の場合) • ファイルのチェック • 証明書のチェック • OS のチェック • IP アドレスのチェック • プレログイン アセスメント設定の変更プレログイン
ポリシーの概要
Secure Desktop Manager を使用して、ユーザがセキュリティアプライアンスと接続を確立してからロ グイン証明書を入力するまでの間に実行されるチェックを指定できます。これらのチェックでは、プレ ログインポリシーを割り当てるかどうか、またはリモートユーザに対して「Login Denied」メッセー ジを表示するかどうかが決定されます。一致したプレログインポリシーの設定によって、Secure Desktop(Vault)と Cache Cleaner のどちらをロードするかが決定されます。Dynamic Access Policy
(DAP; ダイナミックアクセスポリシー)にプレログインポリシーが適用され、接続に適用されるアク セス権と制約が決定されます。また、ユーザログインの前後および最中での CSD コンポーネントの動 作が決定されます。たとえば、キーストロークロガーをチェックするかどうかや、非アクティブタイ ムアウトを適用するかどうかが決定されます。
設定されているプレログインアセスメントを表示するには、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Prelogin Policy] の順に選択します。
図 5-1 に、デフォルトのプレログインアセスメント設定を示します。「Default」という名前のプレログ インポリシーが含まれています。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て
プレログイン ポリシーの概要
図 5-1 Default Elements in the [Prelogin Policy] ペイン内の [Default] 要素
デフォルトでは、[Prelogin Policy] ペインに次の要素が表示されます。 • [Start]:青色で表示されるこのノードは、実行するチェックのシーケンスの開始点を視覚的に示し ています。[Start] ノードは編集できません。 • ライン:ノードの左右のノードに対する条件関係を視覚的に示しています。ラインは移動または削 除できません。 • [+] 記号:ラインの両側にある 2 つのノードの間にプレログインチェックを挿入するときにク リックします。Secure Desktop Manager を使用して、次のタイプのチェックを挿入できます。
– レジストリ:レジストリキーが存在しているかどうかを検出できます。 – ファイル:特定のファイル、そのバージョン、およびそのチェックサムが存在しているかどう かの条件を指定できます。 – 証明書:一致を確認する証明書の発行者、および証明書の属性と値を 1 つ指定できます。 単一の証明書の別の属性の一致も確認するには、その属性と値を指定する別のプレログイン チェックを作成します。
– OS チェック:Windows(Microsoft Windows 2000、Windows XP、および Windows Vista
用)、Win 9x(Windows 98 用)、Mac(Apple Mac OS X 10.4 用)、および Linux のチェック を設定できます。エディタによって、OS チェックに失敗したリモート接続用の [Failure] ライ ンと [Login Denied] エンドノードが挿入されます。 – IP アドレス:IP アドレス範囲、またはネットワークアドレスとサブネットマスクを指定でき ます。 • [Default]:このエンドノードは緑色で表示され、「Default」という名前のプレログインポリシー が指定されています。CSD がイネーブルにされている場合、デフォルトで、VPN セッションを試 行するすべてのリモートコンピュータに対してこのプロファイルが CSD によって割り当てられま す。このポリシーまたは他の任意のプレログインポリシーにプレログインチェックを追加して、 CSD がポリシーをリモート VPN セッションに割り当てる前に一致を確認する条件を指定できま す。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て
レジストリ キーのチェック(Microsoft Windows の場合)
エンドノードの前にチェックを挿入すると、Secure Desktop Manager によって自動的に、次の各タグ のインスタンスが少なくとも 1 つずつ割り当てられます。
• 新しいチェックから既存のプレログインポリシーへのラインに対する [Success] タグ。
• 新しいチェックから [Login Denied] ノードへのラインに対する [Failure] タグ。このノードは赤色 で表示され、「Login Denied」メッセージが表示される(CSD によってセキュリティアプライアン スへのユーザアクセスが拒否される)ことを意味しています。
[Start] ノード以外のノードに対しては、名前やタイプを変更できます。[Success] タグに続くエンド ノードを [Login Denied] ノードに変更したり、[Failure] タグに続くエンドノードをプレログインポリ シーに変更したりできます。また、エンドノードの各タイプをサブシーケンス ノードに変更できます。 このノードは青色で表示され、[Start] ノードの下に縦に並んだ別の青色のノードの続きであることを 示しています。一連の条件にサブシーケンスを割り当てるには、エンドノードをクリックしてから
[Subsequence] をクリックします。作成する各サブシーケンスには、固有の名前を割り当てる必要があ ります。ブランチの終点のサブシーケンスノード、および新しいブランチの開始点のノードの両方の インスタンスに対して、Secure Desktop Manager によって名前が割り当てられます。サブシーケンス を再利用するには、エンドノードをサブシーケンスノードに変更するときに、既存のサブシーケンス の名前を入力します。
すべてのプレログインポリシー(名前が「Default」のものも含む)の名前を変更できます。[Default]
ノードを変更するには、[Prelogin Policy] ペインに戻り、[Default] ノードをクリックします。[Label]
フィールド内のテキストを、プレログインポリシーとしてわかりやすい名前で置き換えます。たとえ ば、「Secure」という名前に変更して、このプロファイルが組織の PC(つまり、挿入されるチェック で判断される最も厳格な要件を満たすもの)に適用されることを示すことができます。関連するメ ニュー内のノードの名前が、Secure Desktop Manager によって自動的に変更されます。その後で、そ れに合わせてプレログインポリシー用の設定を調整できます。
レジストリ
キーのチェック(
Microsoft Windows
の場合)
Mac OS または Linux を実行しているコンピュータの場合は、プレログインアセスメントの際にレジ ストリキーのチェックが無視されます。 Microsoft Windows オペレーティングシステムを実行しているリモートコンピュータの特定のレジス トリキーのチェックを挿入する手順は、次のとおりです。 ステップ 1 [Prelogin Policy] を選択します。 ステップ 2 レジストリチェックを挿入する位置を決め、該当する [+] 記号をクリックします。 挿入するチェックのタイプの入力を求めるプロンプトが表示されます。ステップ 3 [Registry Check] を選択し、[Add] をクリックします。
Secure Desktop Manager によって、ウィンドウに [Registry Check] ノードが挿入され、[Registry Check] ウィンドウ(図 5-2)が開かれます。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て レジストリ キーのチェック(Microsoft Windows の場合) 図 5-2 レジストリチェック ヒント リモート PC 内に条件を 1 つ以上設定し、このプレログインポリシー用に指定したものとの一致を確認 するガイドとして、このウィンドウで指定する値のタイプを使用できます。たとえば、DWORD(倍 長、符号なし 32 ビット整数)値または文字列値をリモート PC のレジストリキーに追加し、設定する プレログインポリシーの一致として使用できます。 ステップ 4 [Registry Check] ウィンドウで必須属性に値を割り当てる手順は、次のとおりです。 • [Key Path] メニュー:ハイブ(レジストリキーへの最初のディレクトリパス)を選択します。オ プションは次のとおりです。 HKEY_CLASSES_ROOT¥ HKEY_CURRENT_USER¥ HKEY_LOCAL_MACHINE¥ HKEY_USERS¥ 各文字列は、各種情報を格納するレジストリベースを参照しています。HKEY_LOCAL_MACHINE¥パ スにはコンピュータ固有のレジストリファイルが含まれるので、最もよく使用されます。 • [Key Path] フィールド:リモート PC に存在する、または存在しないレジストリキーの名前を入力 します。 注意 スペースが含まれるレジストリキー名に引用符を入力しないでください。 エントリパスの文字列の例については、後述する属性の説明を参照してください。 ステップ 5 次のリストからオプションボタンを 1 つクリックし、関連付ける値を割り当てます。 • [Exists]:指定したレジストリキーがリモート PC に存在することを、設定するプレログインポリ シーとの一致条件とする場合にこれをクリックします。 例:プレログインポリシーの条件に一致するために、次のレジストリキーが存在している必要が ある場合は、[Exists] をクリックします。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て
レジストリ キーのチェック(Microsoft Windows の場合)
HKEY_LOCAL_MACHINE¥SOFTWARE¥<Protective_Software>
• [Does not exist]:指定したレジストリキーがリモート PC に存在しないことを、設定するプレログ インポリシーとの一致条件とする場合にこれをクリックします。
例:プレログインポリシーの条件に一致するために、次のレジストリキーが存在しない必要があ る場合は、[Does not exist] をクリックします。
HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥<Evil_SpyWare> • [DWORD value] オプションボタン:レジストリキーに「Dword」(倍長、32 ビット整数)が含ま
れていて、その値を条件として指定する場合は、これをクリックします。
「DWORD」は、[Add/Edit Registry Criterion] ダイアログボックス内の属性のことです。「Dword」 は、レジストリキー内に表示される属性のことです。
(注) Windows のコマンドラインからアクセスできる regedit アプリケーションを使用して、レ ジストリキーの Dword 値を表示するか、設定する要件を満たすためにレジストリキーに
Dword 値を追加します。
• [DWORD value] メニュー:レジストリキーの Dword 値と、右側に入力する値との関係を指定す るオプション(<、<=、=、!=、>、または >=)を選択します。
• [DWORD value] フィールド:リモート PC のレジストリキーの Dword 値と比較する 10 進数を入 力します。 例:次の保護ソフトウェアアプリケーションが最小バージョン要件を満たす必要がある場合に、 [>=] を選択します。 HKEY_LOCAL_MACHINE¥SOFTWARE¥<Protective_Software>¥Version • [String value] オプションボタン:レジストリキーに文字列が含まれていて、その値を条件として 使用する場合は、これをクリックします。 (注) Windows のコマンドラインからアクセスできる regedit アプリケーションを使用して、レ ジストリキーの文字列値を表示するか、設定している要件を満たすためにレジストリキー に文字列値を追加します。 • [String value] メニュー:次のオプションのいずれかを選択し、レジストリキーの文字列値と右側 に入力する値との関係を指定します。 – [contains] – [matches] – [differs] • [String value] フィールド:リモート PC のレジストリキーの文字列値と比較する文字列を入力し ます。 例:次の保護ソフトウェアアプリケーションがアクティブであることを確認するために、 [matches] を選択し、「Active」と入力します。 HKEY_LOCAL_MACHINE¥SOFTWARE¥<Protective_Software>¥Status
[Case sensitive]:条件を満たすために、リモート PC のレジストリキーの文字列値が、[String value] フィールドと大文字小文字も一致する必要がある場合は、これをオンにします。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て ファイルのチェック
ファイルのチェック
ファイル条件のプレログインチェックを使用して、特定のファイルが存在するまたは存在しないこと を、関連付けられたプレログインポリシーの条件に指定できます。たとえば、ファイルのプレログイ ンチェックを使用し、プレログインポリシーを適用する前に、ある社内ファイルが存在していること、 またはマルウェアを含んでいるピアツーピアのファイル交換プログラム(複数可)が存在していないこ とを確認できます。 リモート PC 上のファイルに対するプレログインアセスメントを挿入する手順は、次のとおりです。 ステップ 1 [Prelogin Policy] を選択します。 ステップ 2 ファイルチェックを挿入する位置を決め、該当する [+] 記号をクリックします。 挿入するチェックのタイプの入力を求めるプロンプトが表示されます。ステップ 3 [File Check] を選択し、[Add] をクリックします。
Secure Desktop Manager によって、ウィンドウに [File Check] ノードが挿入され、[File Check] ウィン ドウ(図 5-3)が開かれます。
図 5-3 ファイルチェック
ステップ 4 次の必須属性に値を割り当てます。
• [File Path]:ファイルへのディレクトリパスを入力します。
Secure Desktop Manager によって、入力したテキストの大文字と小文字が維持され、リモートデ バイス上のファイルへのパスがチェックされます。デバイスで Linux または Mac OS が実行されて いる場合だけ、大文字小文字が区別された一致結果になります。Microsoft Windows のファイル システムでは、大文字と小文字が区別されません。
次の例を参考にしてください。
C:¥Program Files¥Cisco Systems¥CSAgent¥bin¥okclient.exe
ステップ 5 次の必須選択のオプションボタンのいずれかをクリックします。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て
ファイルのチェック
• [Does Not Exist]:リモート PC にファイルが存在していない必要がある場合は、これをクリック し、手順7に進みます。
ステップ 6 ファイルバージョンを指定するには、次の属性を使用します。
• [Version] チェックボックス:ファイルのバージョンを条件として指定するには、これをオンにし
ます。この条件を使用して、特定のアプリケーションが特定のバージョンであること、または特定 のバージョンではないことを要求します。
(注) .exe ファイルのバージョンを表示するには、Windows Explorer でファイルを右クリックし て [Properties] を選択し、[Version] タブをクリックします。 • [Version] ドロップダウンリスト:ファイルのバージョンと、右側に入力する文字列との関係を指 定するオプション(<、<=、=、!=、>、または>=)を選択します。 • [Version] フィールド:リモート PC 上のファイルのバージョンと比較する文字列を入力します。 • [Checksum] チェックボックス:[Path] フィールドのファイル名を認証するためのチェックサムを 指定するには、これをオンにします。 • [Checksum] フィールド:0x で始まる 16 進数形式でチェックサムを入力します。または、 [Compute CRC32 Checksum] をクリックしてローカルに保存したファイルのチェックサムを計算 し、その値をこのフィールドに挿入します。 [Compute CRC32 Checksum] ダイアログボックス(図 5-4)が開かれます。 図 5-4 Compute CRC32 Checksum チェックサムを取得する手順は、次のとおりです。 a. [Browse] をクリックし、チェックサムを計算するファイルを選択します。 [Compute CRC32 Checksum] ダイアログボックスの上側のフィールドに、選択したファイルのパ スが表示されます。 b. [Calculate] をクリックします。 [Compute CRC32 Checksum] ダイアログボックスの下側のフィールドに、16 進数形式でチェック サムが表示されます。 c. [OK] をクリックします。
[Compute CRC32 Checksum] ダイアログボックスが閉じられ、16 進数値が [Checksum] フィール ドに表示されます。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て
証明書のチェック
証明書のチェック
プレログインアセスメントでは、Microsoft Windows、Mac OS、および Linux 上の証明書をチェック します。
リモートコンピュータ上の特定の証明書用のチェックを挿入する手順は、次のとおりです。 ステップ 1 ASDM の [Secure Desktop Manager] メニューに移動し、[Prelogin Policy] を選択します。 ステップ 2 証明書チェックを挿入する位置を決め、該当する [+] 記号をクリックします。
挿入するチェックのタイプの入力を求めるプロンプトが表示されます。 ステップ 3 [Certificate Check] を選択し、[Add] をクリックします。
Secure Desktop Manager によって、ウィンドウに [Certificate Check] ノードが挿入され、[Certificate Check] ウィンドウ(図 5-5)が開かれます。
図 5-5 証明書チェックの追加
(注) 複数の証明書の一致が必要な場合は、複数の証明書チェックを挿入します。
ステップ 4 一致を評価する証明書の属性を選択して証明書の発行者を識別するには、表 5-1の該当する手順を使用 します。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て
証明書のチェック
ステップ 5 以下のいずれかを実行します。
• [Certificate] ウィンドウの [General] タブをクリックし、[Issued to] フィールドの文字列を ASDM
の [Issued to] テキストボックスにコピーします。
• [Certificate] ウィンドウの [Details] タブをクリックし、[Issuer] フィールドまたはその下側にある
[Subject] フィールドをクリックします。
[Issuer] または [Subject] のすべての値が隣接する [Value] 列に表示され、[Issuer] または [Subject]
フィールドに関連付けられている個別のパラメータおよび値がウィンドウ下部のボックスに一覧表 示されます。 下部のボックスのパラメータ名の形式は、認証局ごとに異なります。次のリストは、ASDM のド ロップダウンリスト内のパラメータと一致するもので、通常のパラメータ名をかっこ内に示して います。このリスト内でかっこで囲まれた名前がないものは、通常は使用されないパラメータであ ることを示しています。 – Common Name(CN) – Given Name(GN) – Surname(SN) – Country(C) – Locality(L) – State or Province(ST) – Street Address(STREET) – Organization(O) – Organizational Unit(OU) – Title(T) – Initials(I) – Dn Qualifier(DNQ) – Domain Component(DC) [Details] タブのウィンドウ下部に表示されているパラメータに関連付けられているパラメータの名 前を、ASDM で選択します。パラメータの隣に表示されている値を、ASDM の [Add Certificate
表 5-1 証明書の属性と値の表示 証明書(.cer)ファイル 証明書を含むファイル 証明書のストア 証明書をダブルクリックします。 a. ファイルを右クリックし、 [Properties] を選択します。 b. [Digital Signatures] タブ (ファイルが署名されている 場合だけ表示されます)を クリックします。 c. [Details] をクリックします。 d. [View Certificate] をクリッ クします。 e. [Details] タブをクリックし ます。 a. [Control Panel] を開きます。 b. [Internet Options] を選択し ます。 c. [Content] タブをクリックし ます。 d. [Certificates] をクリックし ます。 e. 証明書を選択し、[View] を クリックします。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て OS のチェック (注) CSD では、次の証明書フィールドの一致は、プレログインの間に確認できません。 – Description – Business Category – Postal Address(PA)
– Postal Code(POSTALCODE) – Member(M)
– Owner
– Role Occupant
ステップ 6 [Certificate] ウィンドウの [General] タブをクリックし、[Issued by] フィールドの文字列を ASDM の
[Add Certificate] ウィンドウの [Issuer] テキストボックスにコピーします。 ステップ 7 [Update] をクリックします。
OS
のチェック
プレログインアセスメントには、VPN 接続の確立を試行している OS のチェックが含まれています。
OS プレログインチェックを挿入したかどうかにかかわらず、ユーザが接続を試行したときに、CSD
によって自動的に OS のチェックが行われます。
接続に割り当てられているプレログインポリシーで Secure Desktop(Vault)がイネーブルにされてい て、リモート PC で Microsoft Windows のサポートされるバージョンが実行されている場合は、ユーザ が OS プレログインチェックを挿入したかどうかにかかわらず、Secure Desktop がインストールされ ます。プレログインポリシーで Secure Desktop がイネーブルにされていて、オペレーティングシステ ムが Mac OS X または Linux のサポートされるバージョンの場合は、代わりに Cache Cleaner が実行さ れます。したがって、インストールする Secure Desktop または Cache Cleaner を設定したプレログイ ンポリシーの Cache Cleaner 設定が適切である必要があります。 CSD によって OS が自動的にチェックされますが、各 OS 用に後続のチェックを分離するために、OS プレログインチェックをプレログインポリシーの適用条件として挿入することもできます。 OS チェックを挿入する手順は、次のとおりです。 ステップ 1 [Prelogin Policy] を選択します。 ステップ 2 OS チェックを挿入する位置を決め、該当する [+] 記号をクリックします。 挿入するチェックのタイプの入力を求めるプロンプトが表示されます。 ステップ 3 [OS Check] を選択して、[Add] をクリックします。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て IP アドレスのチェック 図 5-6 OS チェック 必要に応じて、任意の [Login Denied] ノードをクリックし、プレログインポリシーまたはサブシーケ ンスノードに変更できます。
IP
アドレスのチェック
VPN 接続の確立を試行しているリモートホストの IP アドレスのチェックを挿入できます。IP アドレ スがこの数値範囲内、またはネットワークアドレスで指定された範囲内の場合、リモートホストは チェックに合格します。範囲外の場合は失敗します。たとえば、10.x.x.x ネットワーク上の社内 LAN から接続する PC では、機密情報の漏えいリスクはほとんどありません。これらの PC に対しては、 10.x.x.x ネットワーク上の IP で指定された Secure という名前のプレログインポリシーをセットアップ して、Cache Cleaner および Secure Desktop のインストールをイネーブルにするプレログインポリ シー設定をディセーブルにできます。 (注) PC に複数の IP アドレスがある場合、CSD は最初に検出されたアドレスだけを使用します。 プレログインチェックの一部として IP アドレスをチェックする手順は、次のとおりです。 ステップ 1 [Prelogin Policy] を選択します。 ステップ 2 IP アドレスチェックを挿入する位置を決め、該当する [+] 記号をクリックします。 挿入するチェックのタイプの入力を求めるプロンプトが表示されます。ステップ 3 [IP Address Check] を選択して、[Add] をクリックします。
Secure Desktop Manager で、[IP Address Check] ノードが挿入され、図の下に [IP Address Check]
ウィンドウが開きます。図 5-7 の左側の IP アドレスチェックウィンドウはデフォルトのマスク属性、 右側の IP アドレスチェックウィンドウは [Range] をクリックしたときに表示される属性です。
第 5 章 詳細:ポリシーへのプレログイン条件の割り当て プレログイン アセスメント設定の変更 図 5-7 IP アドレスのチェック([Mask] と [Range] オプションの両方を表示) ステップ 4 IP アドレスチェックのタイプを指定するには、次のオプションのどちらかを選択します。 • [Mask] をクリックし、ネットワークアドレスおよびサブネットマスクを入力します。 • [Range] をクリックし、[From] フィールドに IP アドレスを入力し(範囲を示すために右側から 1 つ以上のフィールドに 0 を残します)、[To] フィールドにサブネットマスクを入力します。 ステップ 5 [Update] をクリックします。
プレログイン
アセスメント設定の変更
[Prelogin Policy] ウィンドウ内の、[Start] および [OS] ノード以外の任意のノードを変更できます。
[Start] およびエンドノード以外の任意のノードを削除できます。ノードウィンドウを変更または削除 するには、該当するノードをクリックします。必要に応じて変更を加えて [Update] をクリックするか、 設定からノードを削除するために [Delete] をクリックします。
プレログインチェックを挿入するには、チェックを挿入する位置にある [+] 記号をクリックします。
Secure Desktop Manager で、チェックを選択できるウィンドウが挿入されます。次に、[Add] をク リックします。前のセクションの手順を使用して、チェックタイプのウィンドウで属性を設定し、
[Update] をクリックします。
任意のエンドノードのタイプと名前を変更するには、エンドノードをダブルクリックし、[Login Denied]、[Policy]、または [Subsequence] をクリックしてノードタイプを変更し、タイプが [Policy]
![図 5-1 Default Elements in the [Prelogin Policy] ペイン内の [Default] 要素](https://thumb-ap.123doks.com/thumbv2/123deta/5645043.504543/2.892.238.615.177.506/図51DefaultElementsinthePreloginPolicyペイン内のDefault要素.webp)
![表 5-1 証明書の属性と値の表示 証明書( .cer )ファイル 証明書を含むファイル 証明書のストア 証明書をダブルクリックします。 a. ファイルを右クリックし、 [Properties] を選択します。 b](https://thumb-ap.123doks.com/thumbv2/123deta/5645043.504543/9.892.195.852.183.454/ファイル証明含むファイルストアダブルクリックファイルクリック.webp)
