事前認証ポリシーとプロファイル
重要:
エンドポイント分析は、あらかじめ決められたコンプライアンス基準に照らしてユーザーデバイスを分析することを目的としており、エンドユーザーデバイスのセキュリティを強制または検証するものではありません。ローカル管理者による攻撃からデバイスを保護するには、エンドポイントセキュリティシステムを使用することをお勧めします。
NetScaler Gateway で認証される前にユーザーのデバイスをチェックするようにNetScaler Gateway を構成できます。ユーザーのデバイスが組織の要件を満たしていない場合、これを使用してアクセスを制限できます。デバイスチェックは、仮想サーバーに固有の個別のポリシーを使用して実装することも、次の2つの手順で説明するようにグローバルに実装することもできます。
事前認証ポリシーは、プロファイルと式で構成されます。ユーザーデバイスでのプロセスの実行を許可または拒否する式を使用するようにプロファイルを構成します。たとえば、テキストファイル clienttext.txt はユーザーのデバイスで実行されています。ユーザーがNetScaler Gateway にログオンすると、テキストファイルが実行されているかどうかに応じてアクセスを許可または拒否できます。プロセスの実行中にユーザーがログオンできないようにするには、ユーザーがログオンする前にプロセスを停止するように事前認証プロファイルを構成できます。
事前認証ポリシーには、次の設定を構成できます。
- 式。エクスプレッションを作成するのに役立つ次の設定が含まれています。
- 式。すべてのエクスプレッションを表示します。
- 任意の式にマッチします。選択した式のリストにある式のいずれかに一致するようにポリシーを設定します。
- [すべての式に一致]。選択した式のリストにあるすべての式に一致するようにポリシーを設定します。
- 表形式の表現。
OR (||) or AND (&&)
演算子を使用して、既存のエクスプレッションを含む複合エクスプレッションを作成します。 - 高度な自由形式。エクスプレッション名と
OR (||) and AND (&&)
演算子を使用して、カスタム複合エクスプレッションを作成します。必要なエクスプレッションのみを選択し、選択したエクスプレッションのリストから他のエクスプレッションを省略します。 - 追加。エクスプレッションを作成します。
- 修正。既存の式を変更します。
- 削除。選択したエクスプレッションを複合エクスプレッションリストから削除します。
- 名前付き式。設定済みの名前付き式を選択します。NetScaler Gateway にすでに存在する式のメニューから名前付き式を選択できます。
- [式を追加]。選択した名前付き式をポリシーに追加します。
- エクスプレッションを置換。選択した名前付き式をポリシーに置き換えます。
- エクスプレッションをプレビュー。名前付きの式を選択すると、NetScaler Gateway で構成されている詳細な文字列が表示されます。
事前認証プロファイルの設定
GUI を使用して事前認証プロファイルをグローバルに設定するには
- [構成]タブの[ NetScaler Gateway]をクリックし、 [ グローバル設定]をクリックします。
- 詳細ウィンドウの [ 設定] で、[ 事前認証設定の変更] をクリックします。
- [ グローバル事前認証設定 ] ダイアログボックスで、次の設定を構成します。
-
「 アクション」で、「 許可」または「拒否」を選択します。
エンドポイント分析の実行後、ユーザーのログオンを拒否または許可します。
-
「 キャンセルするプロセス」に、プロセスを入力します。
これは、Endpoint Analysis プラグインが停止する必要があるプロセスを指定します。
-
[ 削除するファイル] に、ファイル名を入力します。
Endpoint Analysis プラグインが削除する必要があるファイルを指定します。プロセスを削除またはキャンセルすると、エンドユーザーに通知が表示されます。
-
- Expression では、ns_true という式をそのまま使用することも、ウイルス対策ソフトウェアやセキュリティソフトウェアなどの特定のアプリケーション用の式を作成して、「 OK」をクリックすることもできます。
GUI を使用して事前認証プロファイルを設定するには
- [Citrix Gateway]>[ポリシー] >[認証/承認]に移動し、[事前認証EPA]をクリックします。
- 詳細ペインの [ プロファイル ] タブで、[ 追加] をクリックします。
- [ 名前] に、チェックするアプリケーションの名前を入力します。
- [ アクション] で [ 許可 ] または [ 拒否]を選択します
- [ キャンセルするプロセス] に、停止するプロセスの名前を入力します。
-
[ 削除するファイル] に、削除するファイルの名前(c:\clientext.txt など) を入力し、[ 作成 ]、[ 閉じる] の順にクリックします。
Endpoint Analysis プラグインが削除する必要があるファイルを指定します。プロセスを削除またはキャンセルすると、エンドユーザーに通知が表示されます。
GUI を使用して事前認証プロファイルを設定する場合は、[ポリシー] タブの [ 追加 ] をクリックして事前認証ポリシーを作成します 。[ 事前認証ポリシーの作成 ] ダイアログボックスで、[ 要求プロファイル] メニューからプロファイルを選択します 。
事前設定済みの式を事前認証ポリシーに追加する
NetScaler Gateway には、名前付き式と呼ばれる事前構成された式が付属しています。ポリシーを設定するときは、ポリシーの名前付き式を使用できます。たとえば、事前認証ポリシーで、更新されたウイルス定義を持つ Symantec Antivirus 10 をチェックするとします。事前認証ポリシーを作成し、次の手順の説明に従って式を追加します。
事前認証ポリシーまたはセッションポリシーを作成する場合、ポリシーの作成時に式を作成できます。その後、式を使用してポリシーを仮想サーバまたはグローバルに適用できます。
次の手順では、構成ユーティリティを使用して、構成済みのウイルス対策式をポリシーに追加する方法について説明します。
事前認証ポリシーに名前付き式を追加する
- [Citrix Gateway]>[ポリシー] >[認証/承認]に移動し、[事前認証EPA]をクリックします。
- 詳細ペインでポリシーを選択し、[ 開く] をクリックします。
- [ 名前付き式] の横にある [ アンチウイルス] を選択し、リストからアンチウイルス製品を選択します。
- [ 式の追加]、[ 作成]、 [ 閉じる] の順にクリックします。
カスタムエクスプレッションの設定
カスタム式は、ポリシー内に作成する式です。エクスプレッションを作成するときは、エクスプレッションのパラメータを設定します。
よく使われる文字列を参照するカスタムエクスプレッションを作成することもできます。これにより、事前認証ポリシーの設定プロセスが容易になり、設定済みの式の維持も容易になります。
たとえば、Symantec antivirus 10 用のカスタム式を作成し、ウイルス定義が 3 日以上前のものでないことを確認したいとします。ポリシーを作成し、ウイルス定義を指定する式を設定します。
次の手順は、事前認証ポリシーで式を作成する方法を示しています。セッションポリシーでも同じ手順を使用できます。
事前認証ポリシーとカスタム表現の作成
- [ NetScaler Gateway]>[ポリシー]>[認証/承認]に移動し、[事前認証EPA]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [名前] に、ポリシーの名前を入力します。
- 「 リクエストプロファイル」の横にある「 新規」をクリックします。
- [認証プロファイルの作成] ダイアログボックスの [ 名前] にプロファイルの名前を入力し、[ 操作] で [ 許可] を選択し、[ 作成] をクリックします。
- [事前認証ポリシーの作成] ダイアログボックスの [任意の式に一致する] の横にある [追加] をクリックします。
- [ 式の種類] で、[ クライアントセキュリティ] を選択します。
- 次のオプションを構成します:
- [ コンポーネント] で、[ アンチウイルス] を選択します。
- [ 名前] に、アプリケーションの名前を入力します。
- 「 修飾子」で「 バージョン」を選択します。
- 「 演算子」で「 ==」を選択します。
- [ 値] に値を入力します。
- 「 鮮度」に「3」と入力し、 「OK」をクリックします。
- [事前認証ポリシーの作成] ダイアログボックスで、[ 作成]、[ 閉じる] の順にクリックします。
カスタム式を設定すると、ポリシーダイアログボックスの [ 式 ] ボックスに追加されます。
複合式の設定
事前認証ポリシーには、1 つのプロファイルと複数の式を含めることができます。複合式を設定する場合は、演算子を使用して式の条件を指定します。たとえば、次のウイルス対策アプリケーションのいずれかを実行することをユーザデバイスに要求するように、複合式を設定できます。
- Symantec Antivirus 10
- McAfee Antivirus 11
- Sophos Antivirus 4
OR 演算子を使用して式を設定して、前述の 3 つのアプリケーションをチェックします。NetScaler Gateway がユーザーデバイス上のアプリケーションの正しいバージョンを検出すると、ユーザーはログオンできます。[Policy] ダイアログボックスの式は、次のように表示されます:
av_5_Symantec_10 || av_5_McAfeevirusscan_11 || av_5_sophos_4
複合式の詳細については、「 複合式の設定」を参照してください。
事前認証ポリシーのバインド
事前認証ポリシーを作成したら、ポリシーを適用するレベルにバインドします。事前認証ポリシーは、仮想サーバまたはグローバルにバインドできます。
事前認証ポリシーをグローバルに作成してバインドする
- [構成]タブの[ NetScaler Gateway]をクリックし、 [ グローバル設定]をクリックします。
- 詳細ウィンドウで、[ 事前認証設定の変更] をクリックします。
- [グローバル事前認証設定] ダイアログボックスの [ 操作] で、[ 許可 ] または [ 拒否] を選択します。
- [名前] に、ポリシーの名前を入力します。
- [ グローバル事前認証設定 ] ダイアログボックスで、[ 名前付き式] の横にある [ 全般]、[ True value]、[ 式の追加]、[ 作成]、[ 閉じる] の順にクリックします。
事前認証ポリシーを仮想サーバーにバインドする
- [構成]タブの[ NetScaler Gateway]をクリックし、 [ 仮想サーバー]をクリックします。
- 詳細ペインで仮想サーバーを選択して、[Open]をクリックします。
- [NetScaler Gateway 仮想サーバーの構成]ダイアログボックスで、[ ポリシー ]タブをクリックし、[ 事前認証]をクリックします。
- [詳細] の [ ポリシーの挿入] をクリックし、[ポリシー名] で事前認証ポリシーを選択します。
- [OK] をクリックします。
事前認証ポリシーのバインド解除と削除
必要に応じて、NetScaler Gateway から事前認証ポリシーを削除できます。事前認証ポリシーを削除する前に、仮想サーバから、またはグローバルにバインド解除します。
グローバル事前認証ポリシーのバインドを解除する
- [Citrix Gateway]>[ポリシー] >[認証/承認]に移動し、[事前認証EPA]をクリックします。
- 詳細ペインでポリシーを選択し、[ アクション] で [ グローバルバインディング] をクリックします。
- [ 事前認証ポリシーをグローバルにバインド/バインド解除 ]ダイアログボックスで、ポリシーを選択し、[ ポリシーのバインド解除]、[ OK]の順にクリックします。
仮想サーバからの事前認証ポリシーのバインド解除
- [構成]タブの[ NetScaler Gateway]をクリックし、 [ 仮想サーバー]をクリックします。
- [NetScaler Gateway 仮想サーバーの構成 ]ダイアログボックスで、[ ポリシー ]タブをクリックし、[ 事前認証]をクリックします。
- ポリシーを選択し、「 ポリシーのバインド解除」をクリックします。
事前認証ポリシーがバインド解除されると、NetScaler Gateway からポリシーを削除できます。
事前認証ポリシーを削除する
- [ NetScaler Gateway]>[ポリシー]>[認証/承認]に移動し、[事前認証EPA]をクリックします。
- 詳細ペインでポリシーを選択し、[ 削除] をクリックします。
事前認証ポリシーのプライオリティの設定
異なるレベルにバインドされた複数の事前認証ポリシーを持つことができます。たとえば、グローバルにバインドされている特定のウイルス対策アプリケーションをチェックするポリシーと、仮想サーバーにバインドされたファイアウォールポリシーがあるとします。ユーザーがログオンすると、仮想サーバーにバインドされているポリシーが最初に適用されます。グローバルにバインドされているポリシーが 2 番目に適用されます。
事前認証スキャンの発生順序を変更できます。NetScaler Gateway でグローバルポリシーを最初に適用するには、仮想サーバーにバインドされたポリシーの優先度番号を変更し、グローバルにバインドされたポリシーよりも高い優先度を指定します。たとえば、グローバルポリシーのプライオリティ番号を 1 に、仮想サーバポリシーのプライオリティ番号を 2 に設定します。ユーザーがログオンすると、NetScaler Gateway は最初にグローバルポリシースキャンを実行し、次に仮想サーバーポリシースキャンを実行します。
事前認証ポリシーのプライオリティを変更する
- [構成]タブの[ NetScaler Gateway]をクリックし、 [ 仮想サーバー]をクリックします。
- 詳細ペインで仮想サーバーを選択して、[Open]をクリックします。
- 「ポリシー」タブで、「 事前認証」をクリックします。
- [優先度]で、ポリシーの優先度番号を入力し、[ OK]をクリックします。