BigFix クライアント・コンプライアンス Windows (IPSec フレームワーク)

BigFix Client Compliance Windows (IPSec Framework) Fixlet サイトは、BigFix Client Compliance 拡張機能を使用した自己検疫機能を提供します。このソリューションでは、BES クライアントはコンピューターのコンプライアンス・ステータスに基づいて送受信ネットワーク接続を制限または有効にします (ただし、BES ネットワーク・トラフィックを通過させ、BES を介したコンピューターの管理を許可します)。

BigFix Client Compliance Windows (IPSec Framework) では、次の Fixlet、タスク、分析を使用できます。
  • Fixlet:
    • IPSec - 新しいクライアントを自動的に検疫
    • IPSec - コンプライアンスを決定
    • IPSec - 検疫が必要
    • IPSec - 検疫は不要になりました
  • タスク:
    • IPSec - 検疫オーバーライド
  • 分析:
    • IPSec - コンプライアンス評価情報
BigFix Client Compliance Windows (IPSec Framework) にアクセスするには、「BigFix 管理」 > 「サイトの管理 」 > 「外部サイト」 > 「BigFix クライアント・コンプライアンス (IPSec フレームワーク)」 > 「Fixlet とタスク」または「分析」を選択します。

Fixlet

IPSec - 新しいクライアントを自動的に検疫
この Fixlet メッセージにより、新しいワークステーション・コンピューターまたはクライアント・エンドポイントが最初にネットワークに接続されたときに、それらが検疫されるようにします。この Fixlet メッセージは、他の IPSec Fixlet メッセージの前に適用する必要があります。これをポリシー・アクションとしてデプロイし、ネットワークに接続しているすべての新しいコンピューターが、準拠していると判断されるまで自動的に検疫されるようにすることをお勧めします。
IPSec - コンプライアンスを決定
この Fixlet メッセージは、クライアント・コンピューターがコンプライアンス・ドキュメントで定義されているセキュリティー標準に準拠しているかどうかを判断します。Fixlet メッセージは定期的に関連状態になります (現在の設定は 5 分ごと)。この Fixlet をポリシー・アクションとしてデプロイして、ネットワーク上のコンピューターのコンプライアンス・ステータスが定期的に評価されるようにすることをお勧めします。
IPSec - 検疫が必要
問題のコンピューターが準拠しておらず、まだ検疫されていない場合、この Fixlet メッセージによりコンピューターが検疫され、BES クライアントと BES サーバー間の通信のみが開いた状態になります。BES コンソールからこの操作を実行する場合は、「メッセージ」タブのオプションを使用して、ユーザーに通知メッセージを送信します。この Fixlet メッセージをポリシー・アクションとしてデプロイすることをお勧めします。
IPSec - 検疫は不要になりました
クライアント・コンピューターが検疫されていて、準拠している場合、この Fixlet はコンピューターを検疫から削除します。BES コンソールからこの操作を実行する場合は、「メッセージ」タブのオプションを使用して、ユーザーに通知メッセージを送信します。この Fixlet メッセージをポリシー・アクションとしてデプロイすることをお勧めします。

タスク

IPSec - 検疫オーバーライド
このタスクでは、コンプライアンス・ステータスに関係なく、コンピューターを検疫から除外します。これは、コンピューターを検疫から解放するための一時的な措置です。アクションは、常に true と評価される 1 つのコンプライアンス式を含むコンプライアンス・ドキュメントをインストールし、クライアントがコンプライアンスに準拠するようにします。アクションの次の部分では、コンピューターの検疫が解除されます。この 2 つの部分で構成されたアクションにより、すでに有効なポリシー・アクションによりコンピューターが検疫状態に戻らないことが保証されます。

分析

IPSec - コンプライアンス評価情報
BigFix Client Compliance 拡張機能がインストールされているコンピューターの現在のコンプライアンス・ステータスと検疫状況を取得します。
注:
  1. 「コンプライアンス・ステータス」は前回のコンプライアンス評価結果に基づいて計算され、「検疫状況」は検疫アクションの結果に基づいて決定されます。検疫から除外されているコンピューターが必ずしもコンプライアンスに準拠しているわけではなく、その逆も同様です。コンプライアンス・ステータスと検疫状況が矛盾している場合は、コンプライアンス・ポリシー・アクションと検疫ポリシー・アクションが正しく設定されていることを確認してください。
  2. クライアント・コンピューターが検疫されると、BES コンソール管理者は、必要な Fixlet メッセージまたはカスタム・アクションを適用して、コンピューターをコンプライアンス状態にする必要があります。その時点で、「IPSec - 検疫は不要になりました」Fixlet メッセージが関連状態になり、検疫から削除できます。BES コンソール管理者は、ポリシー・アクションとして適切な Fixlet メッセージをデプロイすることにより、検疫されたコンピューターの修復と削除を自動化できます。
  3. この Fixlet サイトは、「BigFix Client Compliance Windows (IPSec Framework)」Fixlet サイトと併用するように設計されています。BigFix Client Compliance について詳しくは、https://support.bigfix.com/bes/sites/clientcompliance.html を参照してください。