この記事では、セキュリティ要件を満たすデバイスのみがネットワークに接続できるようにするためのデバイスポスチャープロファイルとデバイスチェックの作成方法について説明します。
デバイスポスチャプロファイルとチェックにより、リモートユーザーがネットワークに接続する前にコンプライアンス要件を適用できます。 これらは、クライアント接続ポリシーおよびインターネットおよびWANファイアウォールで使用し、特定のデバイス要件を定義できます。
たとえば、特定のアンチマルウェアベンダー、製品、およびバージョンのデバイス チェックを作成できます。 クライアントはネットワークに接続する前に、このソフトウェアがデバイスにインストールされているか確認します。 クライアントは、このソフトウェアがデバイスにインストールされていることを確認した場合にのみネットワークに接続します。 クライアント接続フローの詳細については、Catoクライアント接続フローを理解するを参照してください。
様々なデバイスチェックを構成できます。 利用可能なデバイスのチェックについては、「サポートされているデバイスチェック」セクションを参照し、各チェックの追加情報については「特定のデバイスチェックと機能の操作」セクションを参照してください。
デバイスプロファイルには複数のデバイスチェックを追加可能です。 デバイスプロファイルは、 クライアント接続ポリシー に追加して、ネットワークに接続できるデバイスを決定できます。
デバイスプロファイルは、インターネットおよびWANファイアウォールでも使用でき、エンドユーザーの実際のデバイスに基づいて条件付きアクセスを含むルールを作成できます。 ファイアウォールポリシーでデバイスチェックを使用する詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。 リモートユーザーダッシュボードで、各デバイスポスチャープロファイルに適合するデバイスの数を監視できます。
デバイスチェックの効果を向上するための詳細情報は、クライアント接続ポリシー - 改善されたポスチャーチェックを参照してください。
ベストプラクティス: クライアントがデバイスポスチャを継続的にチェックするように、高度な設定ポスチャを有効にすることをお勧めします。 詳細情報は、クライアント接続ポリシー - 改善されたポスチャーチェックを参照してください。
注意
ノート: サポート対象:
- Windowsクライアント v5.7
- macOSクライアント v5.8
- Linuxクライアント v5.3
デバイスポスチャプロファイルは、Socketの背後にあるネットワークに接続するデバイスに適用されます。 これにより、デバイスの物理的位置に関係なく、同じデバイスポスチャプロファイルを適用できます。 例えば、営業担当者がオフィスで2日、リモートで3日勤務する場合。 デバイスの姿勢プロファイルは、Cato に接続するたびに、いつでもどこでもデバイスに適用されます。
これらは、デバイス チェックの最小バージョンのクライアント要件です。 各デバイスチェックの詳細は、特定のデバイスチェックと機能についてを参照してください。
| デバイスチェック | Windows | macOS | Linux | iOS | Android |
|---|---|---|---|---|---|
| マルウェア対策 | 5.2 | 5.2 | 5.1 | ||
| ファイアウォール | 5.4 | 5.2 | 5.1 | ||
| ディスク暗号化 | 5.5 | 5.6 | |||
| パッチ管理 | 5.5 | 5.2 | 5.2 | ||
| デバイス証明書 | 5.5 | 5.4 | 5.1 | 5.3 | 5.0.1.115 |
| DLP | 5.9 | 5.4.3 | 5.2 | ||
| Catoクライアントバージョン | 5.0 | 5.0 | 5.0 | ||
| 実行中のプロセス | 5.11 | 5.7 | |||
| レジストリキー | 5.11 | ||||
| プロパティリスト (plist) | 5.7 | ||||
| オフィス内のユーザーに適用されるデバイスチェック | 5.7 | 5.8 | 5.3 |
空のボックスは、デバイスチェックがオペレーティングシステムでサポートされていないことを示します。
各デバイスチェックには次の設定を含めることができます:
- 1つのデバイステストタイプ(例えば、マルウェア対策やファイアウォール)
-
ベンダー、製品、およびバージョン(実行中のプロセス、レジストリキー、およびプロパティリストを除くすべてのチェック)
-
任意のバージョン、特定のバージョン、または最小バージョン(より大きい)を選択できます
注: ファイアウォールデバイスチェックでAppleのmacOS組み込みファイアウォールを選択した場合、バージョン番号はmacOSのバージョン番号を指します
- アンチマルウェア、ファイアウォール、パッチ管理、DLPのデバイスポスチャーチェックでは、サポートされているベンダーや製品の一般的なチェックを作成できます。 例えば、サポートされているマルウェア対策ソリューションがインストールされているデバイスへのアクセスを許可するために、チェックを作成できます。 サポートされているベンダーや製品の一覧は、新規デバイスチェックパネルのベンダーセクションのドロップダウンリストを参照してください。
-
デバイスチェックは、デバイスがネットワークに接続するために必要な条件を定義します。 チェックを作成した後、デバイス プロファイルに追加して、ポスチャー要件を適用します。
デバイスチェックを作成した後、クライアント接続ポリシーまたはファイアウォールポリシーのルールに含めるために、デバイスポスチャープロファイルに追加できます。
デバイスプロファイルを構成するには:
- ナビゲーションメニューからリソース > デバイスポスチャーを選択します。
- デバイスポスチャープロファイルタブをクリックします。
-
新規をクリックします。
新しいデバイス プロファイル パネルが開きます。
- デバイスプロファイルの設定を構成し、(前のセクションで作成した)デバイスチェックを追加します。
- 適用をクリックし、その後保存をクリックします。
特定のデバイスチェックと機能に関する重要な情報は、以下のセクションで述べられています。
実行中のプロセスチェックは、WindowsおよびmacOSデバイスでサポートされています。
デバイスでプロセスが実行されていることを確認するためにデバイスチェックを作成することができ、指定された証明書IDで署名されていることをオプションで検証することができます。 このチェックを構成するには、プロセス名またはプロセスの完全なパスと、オプションで署名者証明書のサムプリントを含めることができます。
プロセスのプロパティ内で署名者証明書のサムプリントを識別できます。 例えば、CatoClient.exeプロセスの場合、署名者証明書のサムプリントは81d821c152fa98db1c950b87d435122e5a0b451dです。
署名証明書のサムプリントを識別するには:
- プロセスを右クリックして、プロパティを選択します。
-
デジタル署名タブで、必要な証明書を選択し、詳細をクリックします。
デジタル署名の詳細ウィンドウが表示されます。
- 証明書を表示をクリックします。
-
詳細タブで、サムプリントをクリックします。
署名者証明書のサムプリントが表示されます。
注意: プロセス名とプロセスパスは大文字と小文字を区別しません。
デバイスでプロセスが実行されていることを確認するためにデバイスチェックを作成することができ、指定されたチームIDで署名されていることをオプションで検証することができます。 チームIDを識別するために、ターミナルで codesign コマンドを実行し、その後に完全なプロセスパスを指定します。 チームIDが返されます。 例えば、プロセス /Applications/CatoClient.app/Contents/MacOS/CatoClient の場合、チームIDは CKGSB8CH43 です:
プロセス名にはユニコード文字を含めることができ、大文字と小文字を区別します。
レジストリキーのチェックを作成するには次の項目を指定する必要があります:
- 完全なレジストリキーパス
- 値の名前(デフォルト値または特定の値をチェックすることを選択できます)
- 値のデータ(任意の値または特定の値をチェックすることを選択できます)
注意
注意: レジストリキーまたは値の名称に対する非ASCII文字はサポートされていません。
すべてのデータタイプがサポートされています。 マルチストリングレジストリキーでは、行を垂直バー記号 (| ) で区切ります。 The format of the data in a Binary Value or Binary Value type is the HEX representation of the first 16 bytes, for example 0102030405060708090A0B0C0D0E0F10.
値の名称と値のデータを識別するには、レジストリエディタで確認しているレジストリキーをダブルクリックしてください。 以下の例では、キー値名称は start_minimized で、キー値データは 0 です。
プロパティリストファイル(plist)のチェックを作成するには、チェック対象のplistの完全なファイルパスを指定する必要があります。 チェックを構成して、以下を確認できます:
- 特定のキーがplistに存在し、任意の値を選択します
- 特定のキーおよび値がplistに存在し、特定を選択します。
plist内のキーと値を識別するには、ファイルをテキスト編集者で開きます。 以下の例では、キー名はLabelで、値はcom.catonetworks.mac.CatoClient.helperです。
組織内でデバイスポスチャをサポートしていないクライアントを対応させ、このクライアントにネットワークへのアクセスを許可する必要がある場合があります。 デバイスチェックを設定する際に、基準セクションでデバイスポスチャをサポートしていないクライアントの動作を選択できます。
サポートされていないクライアントがルールの設定に一致し、プロファイルを除外した場合、これらの動作オプションがあります:
- デバイスチェックをスキップし、サポートされていないクライアントがネットワークに接続できるようにします
- デバイスチェックの要件を満たせないため、サポートされていないクライアントをブロックします
組織内でサポートされていないクライアントが許可されるデバイスチェックの範囲と影響を最小限に抑えることをお勧めします。 許可されるサポートされていないクライアントが少ないほど、クライアント接続ポリシーが強固になります。
Catoクライアントは以下のOPSWATバージョンを使用しています:
Windowsクライアント
- Windowsクライアント v5.17はOPSWAT v4.3.4761を使用します
- Windowsクライアント v5.16はOPSWAT v4.3.4582を使用します
- Windowsクライアント v5.15はOPSWAT v4.3.4548を使用します
- Windowsクライアント v5.14.5はOPSWAT v4.3.4373を使用します
- Windowsクライアント v5.14はOPSWAT v4.3.4487を使用します
- Windowsクライアント v5.13はOPSWAT v4.3.4373を使用します
- Windowsクライアント v5.12はOPSWAT v4.3.4195を使用します
- Windowsクライアント v5.11はOPSWAT v4.3.3896を使用します
macOSクライアント
- macOSクライアント v5.11はOPSWAT v4.3.4222を使用します
- macOSクライアント v5.10はOPSWAT v4.3.4086を使用します
- macOSクライアント v5.9はOPSWAT v4.3.4025を使用します
- macOSクライアント v5.8.5はOPSWAT v4.3.3952を使用します
- macOSクライアント v5.8.0はOPSWAT v4.3.3952を使用します
- macOSクライアント v5.7はOPSWAT v4.3.3479を使用します
- macOSクライアント v5.6はOPSWAT v4.3.3479を使用します
Linuxクライアント
- Linuxクライアント v5.5はOPSWAT v4.3.3700を使用します
- Linuxクライアント v5.4はOPSWAT v4.3.3558を使用します
- Linuxクライアント v5.3はOPSWAT v4.3.3509を使用します
- Linuxクライアント v5.2はOPSWAT v4.3.2690を使用します
- Linuxクライアント v5.1はOPSWAT v4.3.2690を使用します
0件のコメント
サインインしてコメントを残してください。