この記事では、セキュリティ要件を満たすデバイスのみがネットワークに接続できるようにするためのデバイスポスチャープロファイルとデバイスチェックの作成方法について説明します。
デバイスポスチャプロファイルとチェックにより、リモートユーザーがネットワークに接続する前にコンプライアンス要件を適用できます。 これらは、クライアント接続ポリシーおよびインターネットおよびWANファイアウォールで使用し、特定のデバイス要件を定義できます。
たとえば、特定のアンチマルウェアベンダー、製品、およびバージョンのデバイス チェックを作成できます。 クライアントはネットワークに接続する前に、このソフトウェアがデバイスにインストールされているか確認します。 クライアントは、このソフトウェアがデバイスにインストールされていることを確認した場合にのみネットワークに接続します。 クライアント接続フローの詳細については、Catoクライアント接続フローを理解するを参照してください。
様々なデバイスチェックを構成できます。 サポートデバイスチェックのセクションで利用可能なデバイスチェックのリストを確認し、特定のデバイスチェックと機能の作業で各チェックに関する追加情報を確認してください。
デバイスプロファイルには複数のデバイスチェックを追加可能です。 デバイスプロファイルは、 クライアント接続ポリシー に追加して、ネットワークに接続できるデバイスを決定できます。
デバイスプロファイルは、インターネットおよびWANファイアウォールでも使用でき、エンドユーザーの実際のデバイスに基づいて条件付きアクセスを含むルールを作成できます。 ファイアウォールポリシーでデバイスチェックを使用する詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。 リモートユーザーダッシュボードで、各デバイスポスチャプロファイルに準拠しているデバイスの数を監視できます。
注意事項
ノート: サポート対象:
-
Windowsクライアント v5.7
-
macOSクライアント v5.8
-
Linuxクライアント v5.3
デバイスポスチャプロファイルは、Socketの背後にあるネットワークに接続するデバイスに適用されます。 これにより、デバイスの物理的位置に関係なく、同じデバイスポスチャプロファイルを適用できます。 例えば、営業担当者がオフィスで2日、リモートで3日勤務する場合。 デバイスの姿勢プロファイルは、Cato に接続するたびに、いつでもどこでもデバイスに適用されます。
これらは、デバイス チェックの最小バージョンのクライアント要件です。 特定のデバイスチェックと機能の作業について、各デバイスチェックの詳細をご覧ください。
|
デバイス チェック |
Windows |
macOS |
Linux |
iOS |
Android |
|---|---|---|---|---|---|
|
アンチマルウェア |
5.2 |
5.2 |
5.1 |
||
|
ファイアウォール |
5.4 |
5.2 |
5.1 |
||
|
ディスク暗号化 |
5.5 |
5.6 |
|||
|
パッチ管理 |
5.5 |
5.2 |
5.2 |
||
|
デバイス証明書 |
5.5 |
5.4 |
5.1 |
5.3 |
5.0.1.115 |
|
DLP |
5.9 |
5.4.3 |
5.2 |
||
|
Catoクライアントバージョン |
5.0 |
5.0 |
5.0 |
||
|
実行中のプロセス |
5.11 |
5.7 |
|||
|
レジストリキー |
5.11 |
||||
|
プロパティリスト (plist) |
5.7 |
||||
|
オフィス内のユーザーに適用されるデバイスチェック |
5.7 |
5.3 |
空のボックスは、デバイスチェックがオペレーティングシステムでサポートされていないことを示します。
各デバイスチェックには次の設定を含めることができます。
-
1つのデバイステストタイプ(例えば、マルウェア対策やファイアウォール)
-
ベンダー、製品、およびバージョン(実行中のプロセス、レジストリキー、およびプロパティリストを除くすべてのチェック)
-
任意のバージョン、特定のバージョン、または最小バージョン(より大きい)を選択できます。
ノート: ファイアウォール デバイス チェックでAppleのmacOS組み込みファイアウォールを選択した場合、バージョン番号はmacOSのバージョン番号を指します。
-
アンチマルウェア、ファイアウォール、パッチ管理、DLPのデバイスポスチャーチェックでは、サポートされているベンダーや製品の一般的なチェックを作成できます。 例えば、サポートされているマルウェア対策ソリューションがインストールされているデバイスへのアクセスを許可するために、チェックを作成できます。 サポートされているベンダーや製品の一覧は、新規デバイスチェックパネルのベンダーセクションのドロップダウンリストを参照してください。
-
デバイスチェックは、デバイスがネットワークに接続するために必要な条件を定義します。 チェックを作成した後、デバイス プロファイルに追加して、ポスチャー要件を適用します。
デバイスチェックを作成した後、クライアント接続ポリシーまたはファイアウォールポリシーのルールに含めるために、デバイスポスチャープロファイルに追加できます。
デバイス プロファイルを構成するには:
-
ナビゲーションメニューからリソース > デバイスポスチャーを選択します。
-
デバイスポスチャープロファイルタブをクリックします。
-
新規をクリックします。
新しいデバイス プロファイル パネルが開きます。
-
デバイス プロファイルの設定を構成し、(前のセクションで作成した) デバイス チェック を追加します。
-
適用をクリックし、その後保存をクリックします。
デバイスチェックは、クライアント接続プロセス中にデバイスのポスチャーを評価します。 クライアントが接続された後もデバイスポスチャを評価し続けるには、デバイスチェックを複数回実行できるようにし、チェックの頻度を設定します。 デフォルトでは、定期チェックは10分ごとに実行されます。
定期チェックが失敗した場合のユーザーエクスペリエンスを理解するには、クライアント接続ポリシーの設定を参照してください。
特定のデバイスチェックと機能に関する重要な情報は、以下のセクションで述べられています。
実行中のプロセスチェックは、WindowsおよびmacOSデバイスでサポートされています。
デバイスでプロセスが実行中であり、指定された証明書で署名されていることを確認するためにデバイスチェックを作成できます。 このチェックを構成するには、プロセス名またはプロセスの完全なパスと署名者証明書のサムプリントのいずれかを含めることができます。
プロセスのプロパティ内で署名者証明書のサムプリントを確認できます。 例えば、プロセスCatoClient.exeの場合、署名者証明書のサムプリントは81d821c152fa98db1c950b87d435122e5a0b451dです。
署名者証明書のサムプリントを特定するには:
-
プロセスを右クリックして、プロパティを選択します。
-
デジタル署名タブで、必要な証明書を選択して詳細をクリックします。
デジタル署名の詳細ウィンドウが表示されます。
-
証明書を表示をクリックします。
-
詳細タブで、サムプリントをクリックします。
署名者証明書のサムプリントが表示されます。
注意: プロセス名とプロセスパスは大文字小文字を区別しません。
指定されたチームIDで署名されているプロセスがデバイスで実行中であることを確認するためにデバイスチェックを作成できます。 チームIDを特定するには、ターミナルでcodesignコマンドをプロセスの完全なパスに続けて実行します。 チームIDが返されます。 例えば、プロセス/Applications/CatoClient.app/Contents/MacOS/CatoClientの場合、チームIDはCKGSB8CH43です:
プロセス名にはUnicode文字を含めることができ、大文字小文字を区別します。
レジストリキーのチェックを作成するには、以下を指定します:
-
フルレジストリキーパス
-
値の名称(デフォルト値または特定の値のいずれかをチェックすることを選択できます)
-
値のデータ(任意の値または特定の値のいずれかをチェックすることを選択できます)
ノート
注意: レジストリキーや値名に非ASCII文字はサポートされていません。
すべてのデータタイプがサポートされています。 マルチストリングのレジストリキーでは、行を縦棒記号 (|) で区切ります。 バイナリ値またはバイナリ値タイプのデータのフォーマットは、最初の16バイトのHEX表現です。例えば、0102030405060708090A0B0C0D0E0F10です。
レジストリエディタで値の名称と値のデータを特定するには、確認しているレジストリキーをダブルクリックします。 以下の例では、キー値名はstart_minimizedであり、キー値データは0です。
プロパティリストファイル (plist) のチェックを作成するには、チェックするplistの完全なファイルパスを指定する必要があります。 次のことを確認するために、チェックを設定できます:
-
特定のキーがplistに存在することを確認するために、任意の値を選択します
-
特定のキーと値がplistに存在することを確認するために、特定を選択します。
plist内の名称と値を特定するには、ファイルをテキストエディターで開く。 下記の例では、キー名はLabelで、値はcom.catonetworks.mac.CatoClient.helperです。
時々、組織内でデバイスポスチャーを現在サポートしていないクライアントに対応する必要があり、これらのクライアントにネットワークへのアクセスを許可します。 デバイスチェックを設定する際、基準セクションでデバイスポスチャーをサポートしていないクライアントの挙動を選択できます。
サポートされていないクライアントがプロファイルを除いてルールの設定に一致する場合、以下の動作オプションがあります:
-
デバイスチェックをスキップし、サポートされていないクライアントにネットワークへの接続を許可する
-
サポートされていないクライアントをブロックする。デバイスチェックの要件を満たすことができないためです。
組織内でサポートされていないクライアントを許可するデバイスチェックの範囲と影響を最小限に抑えることをお勧めします。 許可されるサポートされていないクライアントが少ないほど、クライアント接続ポリシーは強固になります。
0件のコメント
サインインしてコメントを残してください。